Malware deghizat într-o soluție de securitate împotriva HeartBleed, distribuit printr-o campanie de spam

14 iunie 2014

La începutul lunii aprilie, vulnerabilitatea OpenSSL HeartBleed a pus în alertă o lume întreagă, fiind considerată una dintre cele mai importante ameninţări de securitate informatică din istoria recentă. De la dezvăluirea HeartBleed, infractorii cibernetici au încercat să profite de această vulnerabilitate și să desfășoare atacuri în interese proprii.

La începutul lunii aprilie, vulnerabilitatea OpenSSL HeartBleed a pus în alertă o lume întreagă, fiind considerată una dintre cele mai importante ameninţări de securitate informatică din istoria recentă. De la dezvăluirea HeartBleed, infractorii cibernetici au încercat să profite de această vulnerabilitate și să desfășoare atacuri în interese proprii.

Symantec a identificat și dezvăluit recent o campanie spam care se folosește de amenințarea Heartbleed și profită de temerile utilizatorilor pentru a-i determina să instaleze un program de securitate împotriva HeartBleed care ascunde în realitate un program malware. Utilizatorii primesc un e-mail care îi atenționează că, deși au luat măsuri de securitate și au schimbat parolele pe site-urile pe care le vizitează frecvent, computerele lor pot fi în continuare infectate cu HeartBleed. Astfel, utilizatorii sunt îndrumați să ruleze un program de securitate care să înlăture HeartBleed de pe computerele lor, atașat e-mailului primit.
Acest atac vizează utilizatorii care nu dețin toate informațiile despre HeartBleed și nu au cunoștințe tehnice pentru a ști că, în realitate, HeartBleed nu este un program malware și, prin urmare, nu poate infecta un computer. Atacatorii folosesc mesaje și tactici prin care încearcă să sperie uitilizatorii și să îi determine să deschidă fișierul atașat e-mailului transmis.

Un prim semnal de alarmă care ar trebui să trezească suspiciunea este subiectul e-mailului, și anume „În căutarea unor oportunități de investiții în Siria”, care nu are nicio legătură cu conținutul propriu-zis al e-mailului.

Prin acest mesaj spam, infractorii informatici încearcă să câștige încrederea utilizatorilor pretinzând că e-mailul este trimis de către o binecunoscută companie din domeniul aplicațiilor de management al parolelor. E-mailul oferă detalii despre cum se utilizează instrumentul de securitate împotriva HeartBleed și care sunt pașii de urmat în cazul în care antivirusul blochează operațiunile de curățare a computerului. Documentul atașat este de tip Word, având extensia .docx, care pentru utilizatori poate părea mai sigur decât un fișier executabil. Cu toate astea, după ce documentul Word este deschis, utilizatorului descoperă un fișier cu extensia .zip al cărui conținut este criptat. După dezarhivare, utilizatorii găsesc un  fișier  periculos heartbleedbugremovaltool.exe.

Odată deschis, heartbleedbugremovaltool.exe downloadează un keylogger în fundal, în timp ce pe ecran apare un mesaj pop-up cu o bară de progres. După încărcarea completă, apare un nou mesaj prin care utilizatorul este informat că HeartBleed nu a fost depistat pe computer şi că, prin urmare, computerul este curat. 

După ce instrumentul fals de securitate împotriva HeartBleed face dovada calităţilor sale de scanare şi curăţare prin mesajul pop-up, utilizatorii se pot simţi uşuraţi că nu le-au fost infectate computerele. Departe de adevăr, totuşi, pentru că acum au un keylogger în calculator, care înregistrează fiecare literă scrisă, face screenshot-uri şi transmite informaţii confidenţiale către o adresă de e-mail a unui furnizor gratuit de găzduire e-mail.

Aşa cum este detaliat în Symantec Heartbleed Advisory, Symantec avertizează utilizatorii să fie precauţi cu privire la orice e-mail care solicită informaţii cu caracter personal, noi sau actualizate, dar și la e-mailuri care presupun accesarea unor fişiere cu scopul de a şterge HeartBleed. Nu în ultimul rând, utilizatorii ar trebui să evite să dea click pe link-urile din  mesajele care par suspecte. 

Cauți o aplicație software?

Completați formularul și veți fi contactat de unul din consultanții noștri!

Articole IT&C similare

Amenințarea pentru spionaj Triout revine mascată într-o aplicație gratuită foarte populară

Specialiștii în securitate informatică de la Bitdefender au depistat reapariția amenințării informatice Triout, specializată în colectarea de informații de pe telefonul mobil – apeluri telefonice, mesaje, fotografii, videoclipuri și coordonate GPS, într-o aplicație populară de VPN pentru Android, descărcată din Google Play de 50 milioane de ori și cu peste un m...

Citește tot arrow_forward

Operațiunea ShadowHammer: noi atacuri asupra lanțului de aprovizionare amenință sute de mii de utilizatori din toată lumea

Kaspersky Lab a descoperit o nouă campanie de tip APT (amenințare complexă și persistentă), care a afectat un număr mare de utilizatori prin ceea ce este cunoscut drept un atac asupra lanțului de aprovizionare. Cercetările noastre au arătat că autorii operațiunii ShadowHammer au vizat utilizatorii utilitarului ASUS Live Update, prin injectarea unui backdoor, cel puțin în perioada...

Citește tot arrow_forward

Românii au făcut cumpărături online în valoare de peste 3,5 miliarde de euro în 2018, cu 30% mai mult decât în 2017 | Raportul Pieței de E-Commerce GPeC 2018

Conform statisticilor și estimărilor GPeC împreună cu principalii jucători din piața românească de e-commerce (sursele sunt menționate la finalul raportului), valoarea cumpărăturilor online a depășit pragul de 3,5 miliarde de euro în 2018, cu aprox. 30% mai mult decât în 2017, când s-au înregistrat 2,8 miliarde de euro....

Citește tot arrow_forward