Emailovi sa alatom za uklanjanje Heartbleed “virusa“ kriju malver

Početkom aprila bag u OpenSSL koji je nazvan Heartbleed, bio je tema kojom su se mediji i stručnjaci bavili danima pa i nedeljama. Čak i u medijima koji se temama iz oblasti tehnologije bave samo površno, Heartbleed bag je uspeo da nađe mesto. Zato je malo verovatno da nikada niste čuli za Heartbleed, čak i ako o tome ne znate mnogo.

v1_2684_hb

Kao i uvek kada se dogodi nešto značajno u svetu, samo je pitanje vremena kada će sajber kriminalci pokušati da iskoriste interesovanje javnosti za vest.

To se dogodilo i sa Heartbleed bagom. Stručnjaci kompanije Symantec nedavno su uočili spam kampanju koja koristi priču o Heartbleed bagu za zastrašivanje korisnika sa ciljem da se korisnici nateraju da instaliraju malver.

Neiskusnom oku jedan takav email bi mogao izgledati kao pravi ako korisnik ignoriše naslov emaila koji nema veze sa temom emaila (kao što je na primer naslov emaila “Looking for investement opportunities from Syria”).

Spam emailovi koji se šalju u okviru ove kampanje upozoravaju korisnike da treba promeniti lozinke na web sajtovima koje koriste, čak i ako su ih već jednom promenili. Korisnici se pokušavaju zaplašiti tvrdnjom da su im računari možda zaraženi Heartbleed “virusom”. Zato bi, sledeći instrukcije iz emaila, korisnici trebalo da otvore atačment u emailu i da pokrenu alat za uklanjanje Heartbleed virusa koji se nalazi u njemu.

Kriminalci koriste društveni inženjering računajući na korisnike koji nemaju dovoljno tehničkog znanja da bi znali da Heartbleed bag nije malver i da tvrdnje o mogućoj infekciji “Heartbleed virusom” nisu tačne. Ideja prevaranata je da se korisnik uplaši i tako na tera da otvori fajl u prilogu.

Zanimljivo je i još jedno upozorenje iz emaila. Naime, korisniku se savetuje da eventualno upozorenje Windowsa ili antivirusa instaliranog na računaru da fajl iz emaila može oštetiti računar, ignoriše i nastavi sa instalacijom navodnog alata za uklanjanje Heartbleed virusa. To se pravda tvrdnjom da će virus na računaru pokušati da spreči instalaciju alata, prikazujući obaveštenje Windowsa ili antivirusa.

Zip fajl koji treba otvoriti je od virusa na računaru zaštićen lozinkom “cleaner”, tvrdi se u emailu.

Nakon instalacije alata, korisnici treba odmah da promene lozinke.

To je otrpilike sve što piše u emailu. Fajl u prilogu je docx fajl koji će korisnicima možda izgledati bezbednije nego izvršni fajl. Kada se docx fajl otvori korisnik će videti šifrovani zip fajl. U njemu se nalazi heartbleedbugremovaltool.exe fajl koji je maliciozan.

Kada se ovaj fajl pokrene, on u pozadini preuzima keylogger dok se na ekranu pojavljuje prozor sa indikatorom progresa. Kada se provera računara završi, korisnik se obaveštava da Hearbleed bag nije pronađen i da je računar čist.

I dok neiskusni korisnik oseća olakšanje zbog toga što mu kompjuter nije zaražen, takva tvrdnja ne može biti dalje od istine, jer je ustvari na računaru upravo instaliran keylogger.

Keylogger koji je krišom preuzet beleži kucanje korisnika na tastaturi (što znači i lozinke, informacije o kreditnoj kartici, i sve ostalo), pravi snimke ekrana i šalje ove informacije kriminalcima.

Symantec detektuje malver kao Trojan.Dropper a preuzeti keylogger kao Infostealer.

Poruka stručnjaka Symanteca upućena korisnicima je da ne otvaraju fajlove i linkove iz sumnjivih emailova.

izvor: http://www.informacija.rs