BitDefender avertizează: nu deschideți linkuri suspecte, pot conține malware chiar dacă sunt primite de la o adresa cunoscută
Unele campanii de malware și phishing au o durată scurtă de viață, tinzând să se disipeze după ce sunt identificate de soluțiile de securitate. Alții par să supraviețuiască an de an, victimele căzând în aceleași trucuri. Troieni bancari precum TeaBot și FluBot și mesajul „Esti tu în videoclip?” sunt doar două exemple de amenințări care se adaptează pentru a rămâne relevante.
Troieni bancari în lume
Impactul troienilor TeaBot și FluBot a devenit evident anul trecut la nivel global. Actorii amenințărilor au folosit machete ale aplicațiilor populare, aplicații care se prezintă drept blocanți de anunțuri și au trimis mesaje SMS de pe dispozitive deja compromise pentru a răspândi malware-ul în mod organic. Funcționalitatea troienilor bancari este simplă – fură date bancare, de contact, SMS și alte tipuri de date private de pe dispozitivele infectate. Au la dispoziție un arsenal de alte comenzi, inclusiv trimiterea unui SMS. Acest lucru permite operatorilor să schimbe din mers băncile vizate și alte caracteristici, în funcție de țările afectate.
Aceste amenințări supraviețuiesc pentru că vin în valuri cu mesaje diferite și în fusuri orare diferite. În timp ce malware-ul în sine rămâne destul de static, mesajul folosit pentru a-l transmite, domeniile care găzduiesc dropper-urile și alți parametri se schimbă constant.
Flubot
De la începutul lunii decembrie, Bitdefender Labs a interceptat peste 100.000 de mesaje SMS rău intenționate legate de distribuirea malware FluBot, analizând telemetria din noua funcție Scam Alert, acum disponibilă implicit în Bitdefender Mobile Security & Antivirus. Constatările arată că atacatorii își modifică subiectele și folosesc escrocherii mai vechi, dar verificate, pentru a-i atrage pe utilizatori să facă clic. În plus, atacatorii schimbă rapid țările pe care le vizează în această campanie.
SMS despre un ipotetic colect
SMS-ul rău intenționat informează acum utilizatorii cu privire la potențialele probleme cu livrarea unui colet și le spune utilizatorilor că Flash player are nevoie de o actualizare, că au o mesagerie vocală ratată sau că o componentă Android are nevoie de upgrade.
Distribuție FluBot în întreaga lume
Operatorii FluBot vizează diferite zone pentru perioade scurte – uneori doar câteva zile. De exemplu, în luna dintre 1 decembrie a anului trecut și 2 ianuarie a acestui an, malware-ul a fost foarte activ în Australia, Germania, Spania, Italia și alte câteva țări europene. Începând cu 3 ianuarie 2022, atacatorii au început să caute în alte țări pentru a-și răspândi programele malware, inclusiv Polonia, România și Țările de Jos. De altfel, România a fost una dintre principalele ținte în ultimele zile.
Mesajul „Esti tu în acest videoclip?”, adaptat în campania FluBot
O campanie simplă de phishing continuă să circule pe rețelele de socializare, în primul rând prin Facebook Messenger. Utilizatorii primesc un mesaj de la un prieten din lista lor cu o întrebare („Esti tu în acest videoclip?” sau o variantă) și un link. Când victima face clic pe link, de obicei o redirecționează către o autentificare Facebook falsă care oferă atacatorilor acces direct la acreditări.
Această campanie de phishing are deja câțiva ani și este persistentă. Apare pe Facebook în valuri și nu pare să dispară. Acum operatorii FluBot au adoptat un mesaj similar pentru malware-ul lor. În această situație, victimele primesc un mesaj SMS de tipul „Esti tu în acest videoclip?”. Dacă acceseză linkul victima este informată că Flash sau o componentă Android are nevoie de upgrade. Accesând upgradarea propusă, victima instaleazâ de fapt un software rău intenționat.
Acest nou vector pentru troienii bancari arată că atacatorii caută să se extindă dincolo de mesajele SMS rău intenționate obișnuite.
România, în vizor
România a fost una dintre principalele ținte în cea mai recentă campanie „Esti tu în acest videoclip?”, distribuită prin Messenger. BitDefender a interceptat peste 10.000 de adrese URL rău intenționate doar în ultimele 30 de zile. Deși cele două campanii probabil nu sunt legate, este interesant de văzut cum un grup folosește metodele altuia.