Tag: Kenkėjiška programinė įranga

  • Įsilaužėliai rado naują triuką: kenkėjišką kodą slepia „ChatGPT“ dalijimosi nuorodose

    Įsilaužėliai rado naują triuką: kenkėjišką kodą slepia „ChatGPT“ dalijimosi nuorodose

    Skaitmeninių grėsmių aplinka sparčiai keičiasi: sukčiai vis dažniau pasitelkia dirbtinis intelektas paremtus įrankius, kad apeitų įprastas apsaugas ir atrodytų patikimi. Kibernetinio saugumo bendrovės pastaruoju metu fiksuoja atvejus, kai piktnaudžiaujama populiarių pokalbių robotų turinio dalijimosi funkcijomis.

    Push Security tyrėjai šį metodą apibūdina kaip LLMShare: nusikaltėliai išnaudoja tai, kad tokios sritys kaip „chatgpt.com“ daugelyje organizacijų laikomos patikimomis. Dėl to nuorodos iš žinomų domenų neretai praslysta pro filtrus, kurie remiasi reputacijos vertinimu.

    Ankstesniuose scenarijuose aukai būdavo pateikiama vieša nuoroda į tariamai oficialią instrukciją, o tuomet siūloma nukopijuoti ir komandinėje eilutėje įklijuoti komandą. Tokie veiksmai gali nepastebimai atsisiųsti ir paleisti duomenis vagiančias programas, ypač taikantis į slaptažodžius, naršyklių saugyklas ir kriptovaliutų pinigines.

    Naujesnė atakos versija tampa dar pavojingesnė, nes mažina poreikį aukai ranka vykdyti komandas. Pasitelkiant programinio kodo generavimą, to paties patikimo domeno aplinkoje gali būti pademonstruojamas suklastotas puslapis, imituojantis sistemos sutrikimą ir raginantis atsisiųsti programą darbui tęsti.

    Paspaudus atsisiuntimo mygtuką vartotojas paprastai nukreipiamas į išorinę svetainę, kuri vizualiai kopijuoja „OpenAI“ atsisiuntimo puslapį ir siūlo diegimo failus „Windows“ ar „macOS“ sistemoms. Diegikliai gali bandyti aptikti saugos programas, tikrinti, ar neveikia virtualioje aplinkoje, o galiausiai įdiegti vadinamąjį infostealer tipo kenkėją, skirtą duomenų vagystei.

    Kad apgaulę būtų sunkiau nustatyti, naudojamas sąlyginis atvaizdavimas: saugumo skeneriams ar automatiniams tikrintuvams rodinys gali būti visai nepavojingas. Tuo tarpu realiam vartotojui pateikiamas kenkėjiškas turinys, todėl incidentą sunkiau atkartoti ir greitai užblokuoti.

    Tokios nuorodos dažnai išplatinamos per paieškos sistemų reklamą ir SEO, kai sukčiai taikosi į populiarias užklausas bei dažnas rašybos klaidas. Dėl to paieškos rezultatuose matomas adresas gali atrodyti visiškai normalus, nors veda į kruopščiai suklastotą puslapį.

    Ekspertai pabrėžia platesnę tendenciją: nusikaltėliai vis dažniau naudojasi teisėtomis platformomis ir globalių technologijų prekės ženklų infrastruktūra, kad jų veiksmai atrodytų patikimi. Tai apima ir el. pašto siuntimo paslaugų, ir teisėtų talpinimo sprendimų išnaudojimą, kai tradiciniai filtrai automatiškai suteikia pasitikėjimo kreditą.

    Praktinė apsauga prasideda nuo elgsenos higienos: nepasitikėti instrukcijomis, raginančiomis vykdyti komandas terminale, net jei jos pateikiamos kaip pagalbos centro patarimai. Taip pat verta tikrinti tikrąjį atsisiuntimo adresą, diegti atnaujinimus, naudoti daugiafaktorį prisijungimą ir organizacijose taikyti saugumo priemones, kurios vertina ne tik domeno reputaciją, bet ir turinio bei elgsenos požymius.

  • „Steam“ skandalas: žaidimas slėpė virusą, vagusį kriptovaliutas – „Valve“ jį skubiai pašalino

    „Steam“ skandalas: žaidimas slėpė virusą, vagusį kriptovaliutas – „Valve“ jį skubiai pašalino

    „Steam“ platformoje aptiktas žaidimas, kuris, kaip įtariama, veikė kaip kenkėjiška programinė įranga ir taikėsi į kriptovaliutų pinigines. Nors užkrėsti žaidimai šioje parduotuvėje nėra kasdienybė, incidentas primena, kad net ir populiariose platformose pasitaiko pavojingų išimčių.

    Kalbama apie žaidimą „Beyond the Dark“, pristatytą kaip ėjimais paremtą strateginį projektą su siaubo elementais. Iš pažiūros jis niekuo neišsiskyrė: aprašymai, iliustracijos ir žaidimo puslapis galėjo atrodyti pakankamai įtikinamai, kad dalis vartotojų nuspręstų jį atsisiųsti.

    Tyrimą paviešino kibernetinio saugumo turinio kūrėjas Ericas Parkeris, analizavęs žaidimo failus izoliuotoje aplinkoje. Pasak jo, „Beyond the Dark“ elgėsi kaip tipinis kenkėjiškas paketas, galintis parsisiųsti papildomų komponentų ir plėsti užkrėtimą.

    Didžiausias įtarimas krito ant failo „unity.dll“, kuris, kaip teigiama, galėjo veikti kaip „įkroviklis“ papildomam kenkėjiškam kodui. Tokie komponentai dažnai naudojami tam, kad pirminė programa atrodytų įprastai, o pavojingesnė veikla būtų vykdoma tik vėliau, atsisiuntus papildomų modulių.

    Pasak tyrimo, atakos grandinėje buvo minimi ir naršyklės plėtiniai bei „Chrome“ aplinka, o pagrindinis taikinys buvo kriptovaliutų piniginės ir su jomis susiję prisijungimo duomenys. Tokie vagystėms pritaikyti kenkėjai paprastai ieško piniginių failų, slapukų, išsaugotų slaptažodžių ar kitų autentifikavimo žymių.

    Nėra patvirtinta, kiek žmonių spėjo atsisiųsti ar paleisti šį žaidimą ir ar realiai patyrė nuostolių. Vis dėlto, kai su incidentu siejami signalai pasiekė „Valve“, žaidimas buvo pašalintas iš „Steam“, todėl jo atsisiųsti nebegalima.

    Ekspertai ne kartą yra pabrėžę, kad kenkėjiškos kampanijos vis dažniau maskuojamos kaip legalūs produktai, o žaidimų ekosistema tampa patraukliu kanalu dėl didelės auditorijos ir įpročio greitai diegti naujus pavadinimus. Ypač rizikinga, kai vartotojai turi kriptovaliutų, o jų piniginių ar paskyrų apsauga nėra sustiprinta papildomais saugumo žingsniais.

    Ši istorija primena ir ankstesnius atvejus, kai kenkėjiškas kodas žaidimuose buvo naudojamas finansiniams duomenims vogti. Pavyzdžiui, anksčiau buvo minėta, kad žaidimas „BlockBlasters“ panašiu principu iš kelių šimtų žaidėjų galėjo išvilioti apie 140 000 eurų.

    Jei vartotojas įtaria, kad galėjo atsisiųsti įtartiną žaidimą, rekomenduojama nedelsiant jį pašalinti, patikrinti kompiuterį patikima saugumo programine įranga ir pakeisti svarbiausius slaptažodžius. Kriptovaliutų atveju saugumo specialistai taip pat pataria perkelti lėšas į naują piniginę, jei yra bent menkiausia tikimybė, kad pradinės piniginės duomenys galėjo būti kompromituoti.

  • „Google“ šokas: DI pirmąkart sukūrė pavojingą zero day, kuris apėjo 2FA

    „Google“ šokas: DI pirmąkart sukūrė pavojingą zero day, kuris apėjo 2FA

    Dirbtinio intelekto vaidmuo kibernetinio saugumo srityje tampa vis labiau dviprasmis: tie patys įrankiai padeda greičiau rasti spragas, tačiau jais vis aktyviau naudojasi ir užpuolikai. „Google“ grėsmių žvalgybos grupė pranešė pirmą kartą identifikavusi atvejį, kai zero day tipo išnaudojimas, tikėtina, buvo atrastas ir parengtas pasitelkiant DI.

    Zero day spraga yra ypač pavojinga todėl, kad apie ją dar nebūna žinoma gamintojams ar plačiajai bendruomenei, o pataisos tuo metu dažnai dar neegzistuoja. Pasak „Google“, nustatytas incidentas rodo naują lūžį: DI gali būti panaudojamas ne tik gynybai ar kodo analizei, bet ir realiam puolamųjų priemonių kūrimui.

    „Pirmą kartą matome tokį atvejį, kai DI požymiai pastebimi pačiame zero day išnaudojimo kode ir jo pateikime“, – sakė „Google“ grėsmių žvalgybos grupės tyrėjai.

    „Google“ teigimu, spraga buvo aptikta populiariame atvirojo kodo žiniatinklio sistemų administravimo įrankyje, o jos išnaudojimas leido apeiti dviejų veiksnių autentifikavimą. Vis dėlto sėkmingam išnaudojimui vis tiek reikėjo turėti teisingus naudotojo prisijungimo duomenis, todėl tai labiau primena atakų grandinės dalį, o ne universalų įsilaužimo raktą.

    Tyrėjai atkreipė dėmesį į išnaudojimo kodo struktūrą ir stilių, kurie, jų vertinimu, primena DI generuojamus fragmentus. Minimi požymiai apima perteklinius mokomuosius komentarus, netipiškai tvarkingą, vadovėlinį formatą ir net sugalvotus techninius įvertinimus, kurie realiame saugumo darbe dažnai nenaudojami taip, kaip juos pateikia DI.

    „Google“ pabrėžė, kad šiam atvejui nebuvo naudojamas „Gemini“ modelis. Toks patikslinimas svarbus dėl reputacinių rizikų: visuomenėje didėja jautrumas tam, kaip didieji modeliai gali būti išnaudojami, o technologijų bendrovės vis dažniau aiškinasi, kokiose situacijose jų įrankiai nedalyvavo.

    Kartu „Google“ vertinimu, DI įsilaužėlių rankose tampa efektyvumo daugikliu per visą atakos ciklą. Tai apima spartesnę pažeidžiamumų paiešką, tikslesnę žvalgybą, įtikinamesnes socialinės inžinerijos schemas ir lengvesnį kenkėjiško kodo pritaikymą skirtingoms aplinkoms, kad jį būtų sunkiau aptikti.

    Grėsmių žvalgybos vertinimu, dalis su valstybėmis siejamų grupių DI priemones naudoja pažeidžiamumams identifikuoti ir išnaudoti, o kitos daugiau dėmesio skiria maskavimo technikoms, polimorfiniam kenkėjiškam kodui bei atakų automatizavimui. Saugumo ekspertai pastebi ir dar vieną kryptį: pereinama prie vis labiau autonominių atakų orkestravimo, kai DI padeda interpretuoti užkrėstos sistemos būseną ir generuoti veiksmų sekas.

    Tuo pat metu DI naudojimas gynyboje taip pat plečiasi. „Google“ viešai mini kryptį, kurioje DI agentai galėtų automatiškai aptikti programinės įrangos klaidas ir pasiūlyti pataisas, taip trumpinant laiką nuo spragos aptikimo iki jos užlopymo.

    Ekspertai pabrėžia, kad organizacijoms svarbiausia išlieka bazinė higiena: daugiafaktorė autentifikacija, saugi slaptažodžių politika, reguliarūs atnaujinimai, įvykių stebėsena ir prieigos teisių ribojimas. Nors aptariamas atvejis siejamas su 2FA apėjimu, praktikoje tokios spragos dažniausiai suveikia tik tada, kai atakos vykdytojai jau turi dalį reikalingų duomenų arba vidinę prieigą.