O ιός Spora ransomware μεταμφιέζεται σε παραπλανητική ενημέρωση Chrome Font Pack

Δεν αποτελεί έκπληξη ο δημιουργικός ‘οίστρος’ που επιδεικνύουν οι κυβερνο-εγκληματίες στη διαδικτυακή προώθηση των κακόβουλων λογισμικών τους. Καταφέρνουν κι εντοπίζουν τυχόν κενά ασφάλειας σε Windows, Mac, διαδικτυακές υπηρεσίες, δίκτυα, browsers, κλπ., μεταλάσσουν αναλόγως τους ιούς και κατόπιν διεισδύουν με ευκολία σε συστήματα υπολογιστών ανά τον κόσμο.

Απ’ ό,τι φαίνεται ήρθε η σειρά και του Chrome. Ο ειδικός σε θέματα διαδικτυακής ασφάλειας συστημάτων, Brad Duncan, διαπίστωσε ότι ο ιός Spora ransomware, ο οποίος γνωρίζει τεράστια έξαρση στο διαδίκτυο το τελευταίο διάστημα, προσπαθεί να διεισδύσει σε συσκευές χρηστών μέσω μιας παραπλανητικής ενημέρωσης με το όνομα Chrome Font Pack Update. H όλη τεχνική διείσδυσης είναι το ίδιο περίπλοκη όσο περίπλοκος είναι και ο ιός Spora.

Ο Chrome browser είναι από τους πλέον δημοφιλείς, εάν όχι ο δημοφιλέστερος, browsers παγκοσμίως. Αυτό δείχνει ξεκάθαρα ότι οι δημιουργοί του συγκεκριμένου ιού crypto-malware στοχεύουν ψηλά. Η ανάλυση όλης της καμπάνιας στόχευσης των χρηστών του Chrome browser καταδεικνύει πολλά κοινά στοιχεία με τις μεθόδους που χρησιμοποιεί ο ιός Locky virus.

Και τώρα η σημαντικότερη ερώτηση: Είναι δυνατή η αποφυγή μόλυνσης από τον συγκεκριμένο πολύ επικίνδυνο και περίπλοκο ιό?

Τα στοιχεία δείχνουν ότι τα exploit kits γίνονται ολοένα και πιο δημοφιλή εργαλεία ανάμεσα στους ransomware developers. Σε αντίθεση με τα spam emails, τα οποία χάνουν αρκετό έδαφος όσον αφορά τα ποσοστά επιτυχίας, φαίνεται ότι η συγκεκριμένη μέθοδος είναι πιο δύσκολα εντοπίσιμη και παρέχει πολύ μεγαλύτερη ελαστικότητα επιλογών στους κυβερνο-εγκληματίες.

Ευτυχώς, εν τέλει κι αυτή η παραπλανητική μέθοδος ήταν δυνατό να εντοπιστεί. Ο ιός Spora ransomware χρησιμοποιεί το EITattack για να κάνει δυνατή τη διαδικασία διείσδυσης. Οι συγκεκριμένοι κυβερνο-εγκληματίες εντοπίζουν κι επιλέγουν domains που έχουν χαμηλά επίπεδα ασφάλειας, κι επομένως πολλά τρωτά σημεία, και ενσωματώνουν κρυφά κακόβουλο javascript code. Αυτό έχει ως αποτέλεσμα οι ‘τρωτές’ αυτές ιστοσελίδες να μη μπορούν να διαβαστούν και να ανοιχτούν σωστά, καθώς εμφανίζονται source code strings. Έτσι, εμφανίζεται ένα μήνυμα στον χρήστη που τον ενημερώνει ότι θα πρέπει να εγκαταστήσει το “Chrome Font Pack” για να του ανοίξει κανονικά η σελίδα.

Μόλις ο χρήστης πατήσει το συγκεκριμένο σύνδεσμο, θα ανακατευθυνθεί σε ιστότοπο όπου θα ενημερωθεί ότι το HoeflerText font wasn’t found. Αν γίνει κλικ για την ενεργοποίηση εκτελέσιμου αρχείου update.exe ώστε να ξεκινήσει η λήψη της υποτιθέμενης ενημέρωσης, ξεκινάει και η διείσδυση του ιού. Περιττό να πούμε ότι όλα τα αναδυόμενα μηνύματα που εμφανίζονται είναι σχεδόν παρόμοια με τις αντίστοιχες αναδυόμενες Chrome ενημερώσεις.

Το καλό σε όλη αυτή την υπόθεση είναι ότι ακόμα κι αν επισκεφτείς μια τέτοια μολυσμένη ιστοσελίδα, μπορείς να ακυρώσεις χειροκίνητα τα παραπλανητικά αναδυόμενα μηνύματα που θα εμφανιστούν κι έτσι να αποφύγεις τη μόλυνση του συστήματος του υπολογιστή σου.

Ενδιαφέρον έχει το γεγονός ότι ο ιός Spora ransomware, ο οποίος είναι πολύ πιθανόν να αποτελεί μεταλλαγμένη έκδοση του ιού Cerber ransomware, χρησιμοποιεί την ίδια EITest τεχνική με τον ιό CryptoShield 1.0 virus – την πιο πρόσφατη έκδοση του ιού CryptoMix. Υπάρχουν πολλές ενδείξεις ότι οι δημιουργοί των επικίνδυνων ιών Locky και Cerber έδωσαν τα χέρια κι ένωσαν τις δυνάμεις τους. Άλλωστε, ο αχανής παγκόσμιος ιστός έχει τεράστια δυναμική πλούτου και μια τέτοιου είδους συνεργασία θα μπορούσε να αποφέρει αύξηση κερδών με γεωμετρική πρόοδο.

Επίσης, αξίζει να σημειωθεί ότι ολοένα και περισσότερα νόμιμα κι αξιόπιστα websites στοχεύονται από hackers και χρησιμοποιούνται ως εργαλεία για τη διαδικτυακή εξάπλωση ιών. Μάλιστα, πέρυσι, το website ενός πολύ δημοφιλούς Κινεζικού εστιατορίου για αρκετό διάστημα ‘σέρβιρε’ στους διαδικτυακούς επισκέπτες του ιό ransomware αντί των απολαυστικών γαστρονομικών δημιουργιών του μενού.

Και αυτό δεν είναι παρά ένα μικρό χαρακτηριστικό παράδειγμα της νέας τάσης των hackers. Υπάρχουν χιλιάδες ακόμα, και δυστυχώς ο αριθμός αυξάνεται ταχύτατα σε καθημερινή βάση. Ακόμα και στην περίπτωση που έχεις εγκαταστημένα τα πλέον αξιόπιστα, κορυφαία, και πλήρως ενημερωμένα λογισμικά ασφάλειας, δεν είναι σίγουρο ότι θα αποφύγεις πλήρως τέτοιου είδους ύπουλες και κακόβουλες διεισδύσεις. Όσο καλό κι αν είναι ένα λογισμικό ασφάλειας, ο τελευταίος λόγος ανήκει στον ανθρώπινο παράγοντα, τον χρήστη. Απαιτείται συνεχής εγρήγορση και μεγάλη προσοχή, γιατί το διαδίκτυο μπορεί να φαντάζει ως ένας μαγικός κόσμος με πολλές ευκαιρίες, γνώσεις, κι ενδιαφέρον, ωστόσο υπάρχουν και πολλές επικίνδυνες παγίδες.

Οπότε, προσοχή! Μην κλικάρεις ποτέ ύποπτες browser επεκτάσεις (browser extensions), μη ανοίγεις ποτέ επισυνάψεις spam emails, μην επισκέπτεσαι ποτέ ύποπτους/’ψαγμένους’ ιστότοπους, μη κατεβάζεις ποτέ πειρατικά/σπασμένα προγράμματα, και φυσικά τα αναδυόμενα μηνύματα / αναδυόμενες διαφημίσεις που εμφανίζονται από το πουθενά, μόνο προβλήματα μπορούν να σου δημιουργήσουν. Προσοχή και εγρήγορση, μόνο έτσι θα ελαχιστοποιήσεις τις πιθανότητες μόλυνσης του υπολογιστή σου.