EN

Herferð sem blekkir fólk að afrita og keyra upp spillikóða í tölvu

CERT-IS hefur upplýsingar um herferð sem margir íslendingar hafa fallið fyrir upp á síðkastið. Herferðin er með fjöldan allan af vefsíðum sem innihalda gervi-skynpróf (e. CAPTCHA) sem er í raun að blekkja fólk til að afrita spillikóða og keyra hann upp í tölvu. Þegar það hefur verið gert keyrist upp annar spillikóði sem reynir að sækja viðkvæm gögn af tölvunni og senda til árásaraðilans til að komast yfir t.d. kortanúmer, lykilorð, auðkenningartóka og fleira.

Í fyrstu lítur síðan út eins og gervi-skynpróf þar sem fólk á að staðfesta að það sé ekki yrki heldur manneskja.
Í næsta skrefi fær fólk leiðbeiningar hvernig eigi að staðfesta sig en það er í raun að blekkja fólk að keyra inn spillikóða beint inn í skipanaham (Windows Run).

Þegar skipuninni hefur verið komið fyrir í Run glugganum sést einungis sá hluti kóðans sem er athugasemd og birtist eins og CAPTCHA staðfesting.

Hér má sjá raunverulega spillikóðann sem er skipun sem sækir skrá, í þessu dæmi .mp3 skrá sem er tónlistarskrá sem í raun inniheldur annan spillikóða.

Forritið “mshta.exe” sækir spillikóða á borð við “Lumma Stealer” sem er þekktur hugbúnaður sem stelur viðkvæmum upplýsingum og sendir til árásaraðilans.

Hingað til hafa öll fórnarlömb verið að keyra Windows stýrikerfi frá Microsoft en ekki er útilokað að sambærileg árás gæti átt sér stað sem myndi herja á önnur stýrikerfi.

Viðbragð

  1. Ganga úr skugga um að sækja nýjustu öryggisviðbætur frá Windows, þá sérstaklega uppfærslur fyrir Defender.

  2. Aldrei afrita og líma hluti í skipanatól á borð við “Run”, eða í stjórnborð svo sem í vefvafra (Inspector Console) eða í “Command Prompt”.

  3. Kerfisstjórar geta skoðað að loka tímabundið, sérstaklega meðan herferðin er í gangi, fyrir flýtilykilinn “Win+R” sem opnar upp “Run” í stýrikerfum frá Microsoft. Athugið að slíkt getur valdið óþægindum fyrir notanda ef hann er vanur að nota þá leið til að opna forrit.


Heimildir

Attackers Use Fake CAPTCHAs to Deploy Lumma Stealer RAT

Malicious ads push Lumma infostealer via fake CAPTCHA pages

ClickFix – netárás sem fyrirtæki þurfa að þekkja

CERT-IS hefur upplýsingar um herferð sem margir íslendingar hafa fallið fyrir upp á síðkastið. Herferðin er með fjöldan allan af vefsíðum sem innihalda gervi-skynpróf (e. CAPTCHA) sem er í raun að blekkja fólk til að afrita spillikóða og keyra hann upp í tölvu. Þegar það hefur verið gert keyrist upp annar spillikóði sem reynir að sækja viðkvæm gögn af tölvunni og senda til árásaraðilans til að komast yfir t.d. kortanúmer, lykilorð, auðkenningartóka og fleira.

Í fyrstu lítur síðan út eins og gervi-skynpróf þar sem fólk á að staðfesta að það sé ekki yrki heldur manneskja.
Í næsta skrefi fær fólk leiðbeiningar hvernig eigi að staðfesta sig en það er í raun að blekkja fólk að keyra inn spillikóða beint inn í skipanaham (Windows Run).

Þegar skipuninni hefur verið komið fyrir í Run glugganum sést einungis sá hluti kóðans sem er athugasemd og birtist eins og CAPTCHA staðfesting.

Hér má sjá raunverulega spillikóðann sem er skipun sem sækir skrá, í þessu dæmi .mp3 skrá sem er tónlistarskrá sem í raun inniheldur annan spillikóða.

Forritið “mshta.exe” sækir spillikóða á borð við “Lumma Stealer” sem er þekktur hugbúnaður sem stelur viðkvæmum upplýsingum og sendir til árásaraðilans.

Hingað til hafa öll fórnarlömb verið að keyra Windows stýrikerfi frá Microsoft en ekki er útilokað að sambærileg árás gæti átt sér stað sem myndi herja á önnur stýrikerfi.

Viðbragð

  1. Ganga úr skugga um að sækja nýjustu öryggisviðbætur frá Windows, þá sérstaklega uppfærslur fyrir Defender.

  2. Aldrei afrita og líma hluti í skipanatól á borð við “Run”, eða í stjórnborð svo sem í vefvafra (Inspector Console) eða í “Command Prompt”.

  3. Kerfisstjórar geta skoðað að loka tímabundið, sérstaklega meðan herferðin er í gangi, fyrir flýtilykilinn “Win+R” sem opnar upp “Run” í stýrikerfum frá Microsoft. Athugið að slíkt getur valdið óþægindum fyrir notanda ef hann er vanur að nota þá leið til að opna forrit.


Heimildir

Attackers Use Fake CAPTCHAs to Deploy Lumma Stealer RAT

Malicious ads push Lumma infostealer via fake CAPTCHA pages

ClickFix – netárás sem fyrirtæki þurfa að þekkja

Scroll to Top