hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
7 stycznia 2021

Dodatek w dodatku, czyli stealer zamiast tłumacza

Michał Rosiak

Instalujecie czasami dodatki do przeglądarek? Nie ma co się wstydzić, bardzo często są to naprawdę pomocne aplikacje, nierzadko oszczędzają nam mnóstwo czasu, bądź ułatwiają pracę. A zastanawialiście, ile z nich przy okazji instaluje złośliwe oprogramowanie?

Skoro zainstalowałeś dodatek, to teraz… zainstaluj dodatek?

Pytanie z leadu nie padło przypadkiem. Wyobraźcie sobie taką sytuację. 375 tysięcy użytkowników, średnia ocen 3,6 gwiazdki. Całkiem przyjemne dane, jak na dodatek do Firefoxa, prawda?

Sam dodatek wielu może się przydać, to – hmmm, powiedzmy, że interfejs do tłumacza Google. Zakładamy, że dostając się do sklepu Firefox przeszedł kontrole bezpieczeństwa. A jednak przy pewnej nieostrożności możemy zainstalować sobie całkiem wredny malware.

Jak? Jeśli instalowaliście kiedyś dodatki do przeglądarek to zapewne zdarzyło się Wam spotkać z sytuacją, gdy po instalacji odpalała się Wam nowa zakładka w przeglądarce, w której mogliście zapoznać się ze stroną twórcy programu. Takie tam standardy: trochę chwalenia się, czasami historia rozwoju aplikacji, a czasem… zaraz zaraz – możliwość pobrania aplikacji?

Nie wiem, jak Wam, ale nam to brzydko pachnie. Skoro przed chwilą zainstalowaliśmy dodatek, to dlaczego teraz daje nam się możliwość zainstalowania dodatku? Co więcej, przy przycisku podane jest hasło, co oznacza, że zapewne jest on w pliku ZIP? A czemu ZIP? Pewnie temu, by antywirusy nie wykryły jego złośliwego charakteru.

Niby tłumacz, a dane wykrada!

I co? I BINGO! Pod linkiem jest plik Translator(pass123).zip, a w nim – translator.exe (MD5: a7cf97de0e85e78c2e9a78c8c1ffcc8d).

Co to nam się tak ładnie na czerwono pokolorowało? Masad Stealer, wykradający z naszego komputera poniższe dane:

  • Cryptocurrency Wallets
  • PC and system information
  • Credit Card Browser Data
  • Browser passwords
  • Installed software and processes
  • Desktop Files
  • Screenshot of Desktop
  • Browser cookies
  • Steam files
  • AutoFill browser fields
  • Discord and Telegram data
  • FileZilla files

Wykradzione dane lądują w katalogu C:\Users\admin\AppData\Roaming\amd64_microsoft-windows-videodiagnostic\, by następnie – przy wykorzystaniu infrastruktury aplikacji Telegram (!), zostać wyprowadzonymi na serwery złodzieja.

Nie ufaj ZIPom z hasłem

Opisywany przypadek to wyjątkowo sprytny sposób „przemycenia” złośliwego oprogramowania i zabezpieczenia go przed systemami bezpieczeństwa. Przede wszystkim dlatego, że strona informacyjna z linkiem jest na Google’owym Blogspocie, ZIP został umieszczony na chmurowym dysku Google (drive.google.com), a do transmisji z C&C wykorzystywane są serwery Telegrama (Telegramu?). W efekcie nie ma możliwości zablokowania aktywności przestępcy przez dostawcę internetu na żadnym z poziomów, wiązałoby się to bowiem z ryzykiem uniemożliwienia dostępu do legalnych witryn/aktywności w opisywanych serwisach.

Co zatem zrobić? To co zawsze, dać sobie chwilę na przemyślenie każdej aktywności, związanej z instalacją czegokolwiek. Dodatkowo zawsze, gdy trafia do nas z jakiejś strony albo za pośrednictwem nieoczekiwanego maila plik ZIP zabezpieczony hasłem, warto po prostu założyć, że to hasło znalazło się tam po to, by ukryć złośliwy charakter pliku.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

25 lipca 2025
Chcą ukraść hasło do Facebooka, podsyłają „ofertę pracy”
Dowiedz się więcej
15 lipca 2025
W wakacje wypoczywaj (cyber)bezpiecznie
Dowiedz się więcej
9 lipca 2025
Użytkownicy Steam na celowniku – atak Browser-in-the-Browser
Dowiedz się więcej
Masz ciekawą informację?
Poinformuj nas
Komunikat dotyczący plików cookies

Ta witryna używa plików cookies (małych plików tekstowych, przechowywanych na Twoim urządzeniu). Są one stosowane dla zapewnienia prawidłowego działania strony oraz do zbierania informacji o Twoich preferencjach i nawykach użytkowania witryny.

Pliki cookies niezbędne do działania strony używamy do zapewnienia podstawowych funkcji, takich jak logowanie oraz zapewnienie bezpieczeństwa witrynie. Ich wykorzystanie nie wymaga Twojej zgody.

Pliki cookies funkcyjne. Pozwalają nam zbierać informacje na temat zalogowanych sesji oraz przechowywać dane wpisane przez Ciebie w formularzach znajdujących się na stronie takich jak: czas trwania zalogowanej sesji , nazwę użytkownika.

Pozostałe kategorie wykorzystywania plików cookies, które wymagają Twojej zgody na używanie

Pliki cookies statystyczne/analityczne. Pozwalają nam zbierać anonimowe informacje o ruchu na stronie (liczba odwiedzin, źródło ruchu i czas spędzony na witrynie). Te dane pomagają nam zrozumieć, jak nasi użytkownicy korzystają z witryny i poprawiają jej działanie.

Możesz zmienić swoje preferencje dotyczące plików cookies w każdej chwili. W celu zarządzania plikami cookies lub wycofania zgody na ich używanie, prosimy skorzystać z ustawień przeglądarki internetowej.

Wspierane przez  GDPR Cookie Compliance