Bezpečnostní výzkumníci upozornili na malware s názvem DeepLoad, který útočníci používají ke krádeži přihlašovacích údajů uložených v internetových prohlížečích. K šíření této hrozby slouží technika ClickFix a k udržení přístupu v napadeném systému mechanismus perzistence přes Windows Management Instrumentation (WMI).
DeepLoad je navržen tak, aby po kompromitaci zařízení shromažďoval citlivá data, zejména přihlašovací údaje z prohlížečů. Útočníci se podle zjištění zaměřují na získání informací, které mohou následně zneužít k dalším útokům, převzetí účtů nebo pohybu v napadeném prostředí.
ClickFix jako vstupní bod útoku
K doručení malwaru je využívána technika ClickFix, která spoléhá na sociální inženýrství. Oběť je přiměna provést akci, jež ve výsledku spustí škodlivý kód. Tento přístup je v poslední době mezi útočníky stále oblíbenější, protože zneužívá důvěru uživatelů a jejich ochotu následovat zobrazené pokyny.
Právě tímto způsobem se DeepLoad dostává do systému, kde následně zahajuje další škodlivé činnosti.
Po spuštění v napadeném zařízení malware využívá WMI k zajištění perzistence. To znamená, že se dokáže v systému udržet i po restartu a znovu se aktivovat bez vědomí uživatele.
Zneužití WMI je pro obránce problematické mimo jiné proto, že jde o legitimní součást systému Windows. Škodlivá aktivita tak může na první pohled splývat s běžnou administrativní činností a její odhalení je složitější.
Krádež dat z prohlížečů
Hlavním cílem malwaru DeepLoad je získávání přihlašovacích údajů uložených v prohlížečích. Taková data mohou zahrnovat uživatelská jména, hesla i další informace spojené s webovými účty.
Odcizené údaje mohou útočníkům posloužit k neoprávněnému přístupu do firemních systémů, e-mailových schránek, cloudových služeb nebo dalších online platforem. Riziko je o to vyšší, pokud uživatelé používají stejná hesla napříč více službami.
Případ DeepLoadu znovu ukazuje, že útočníci nespoléhají pouze na technické zranitelnosti, ale stále častěji využívají manipulaci uživatelů. Kombinace sociálního inženýrství, legitimních systémových nástrojů a krádeže uložených přihlašovacích údajů představuje nebezpečný scénář jak pro jednotlivce, tak pro organizace.
Pro obranu je zásadní omezit ukládání hesel v prohlížečích, používat vícefaktorové ověřování, sledovat neobvyklé WMI aktivity a školit uživatele, aby byli schopni rozpoznat podvodné výzvy a falešné instrukce.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
