Tag: Kenkėjiškos programos

  • Ekspertai įspėja: „Steam“ plinta klastingi virusai, taikosi į paskyras per „Workshop“ turinį

    Ekspertai įspėja: „Steam“ plinta klastingi virusai, taikosi į paskyras per „Workshop“ turinį

    Kaip apgaulė veikia „Steam“

    Žaidėjams skirtoje platformoje „Steam“ fiksuojama suaktyvėjusi kenkėjiškų programų platinimo schema, kai užkratas slepiamas bendruomenės kuriamame turinyje. Kibernetinio saugumo analitikai atkreipia dėmesį, kad rizika kyla ne tik atsisiunčiant žaidimus, bet ir diegiant modifikacijas bei kitus papildinius.

    Pagal tyrėjų aprašytą scenarijų, užpuolikai išnaudoja „Steam Workshop“ ekosistemą ir su ja siejamus įrankius, tarp jų ir „Wallpaper Engine“, skirtą animuotoms užsklandoms bei fonams. Į tariamai nekaltus paketus gali būti įterpiami vykdomieji failai, DLL bibliotekos arba scenarijai, kurie paleidžiami vartotojui atlikus kelis įprastus veiksmus.

    Kokie duomenys gali būti pavogti

    Saugumo specialistų vertinimu, tokios kampanijos tikslas dažniausiai yra prieiga prie vartotojo paskyros ir aktyvių prisijungimų perėmimas. Praktikoje tai reiškia, kad užpuolikai gali bandyti išvilioti prisijungimo duomenis, perimti sesiją arba surinkti informaciją apie įrenginyje esančius nustatymus ir paskyras.

    Kai kuriais atvejais kenkėjiškas turinys platinamas archyvuose, kurie apsaugoti slaptažodžiu, taip apsunkinant automatinį patikrinimą. Tyrėjai taip pat mini scenarijų, kai viena užsklanda ar modifikacija gali bandyti paleisti kelis komponentus vienu metu, o tai didina žalą ir apsunkina aptikimą.

    Kaip sumažinti riziką

    Pirmiausia rekomenduojama atsisiųsti bendruomenės turinį tik iš patikimų autorių, atkreipiant dėmesį į jų reputaciją, įvertinimus ir komentarus. Jei aprašyme prašoma išjungti saugos nustatymus, paleisti papildomą vykdomąjį failą ar įdiegti neaiškios kilmės bibliotekas, tai turėtų būti laikoma aiškiu pavojaus signalu.

    Specialistai pataria įjungti „Steam Guard“ ir naudoti dviejų veiksnių autentifikavimą, nes tai gali apsunkinti paskyros perėmimą net nutekėjus slaptažodžiui. Taip pat svarbu reguliariai atnaujinti operacinę sistemą, naršyklę ir saugumo sprendimus bei periodiškai peržiūrėti aktyvius prisijungimus ir įrenginius, kurie turi prieigą prie paskyros.

    Jei kyla įtarimų dėl užkrato, verta nedelsiant pakeisti slaptažodį, atšaukti aktyvias sesijas, patikrinti kompiuterį patikimu antivirusiniu įrankiu ir įvertinti, ar nebuvo atlikta neleistinų veiksmų paskyroje. Kuo greičiau reaguojama, tuo didesnė tikimybė sumažinti pasekmes ir apsaugoti skaitmeninį turtą.

  • GTA 6 karštinė išnaudojama kenkėjams: plinta netikri diegikliai ir sukčiavimo svetainės

    GTA 6 karštinė išnaudojama kenkėjams: plinta netikri diegikliai ir sukčiavimo svetainės

    GTA 6 laukimas tapo masalu

    „NordVPN“ grėsmių tyrėjai fiksuoja staigų kenkėjiškų kampanijų augimą, kurios išnaudoja triukšmą apie „GTA VI“ pasirodymą ir tariamą išankstinę prekybą. Nusikaltėliai platina netikrus diegiklius, apgaulingas Android programėles ir suklastotas svetaines, taikydamiesi į kompiuterių bei telefonų naudotojus.

    Svarbi detalė ta, kad pirmosiomis dienomis žaidimas išvis nebus skirtas daliai platformų, į kurias nukreipiami „beta“ pažadai. Būtent šis neatitikimas, anot ekspertų, tampa patogia priedanga apgauti žmones, kurie nori gauti prieigą anksčiau už kitus.

    Kaip atrodo atakos schema

    Vienas dažniausių scenarijų – suklastoti „repack“ tipo įdiegimo paketai, kuriuose paslepiami kenkėjiški moduliai, galintys įrašyti papildomas programas ar vogti duomenis. Tyrėjai aprašo atvejus, kai kenkėjiškas failas po paleidimo aktyvuojamas fone ir apsimeta teisėtu sistemos komponentu, kad nekeltų įtarimų.

    Tokios programos vėliau gali keisti įrenginio atmintį, atsisiųsti naujų kenkėjų ir jungtis prie išorinių serverių tolimesnėms komandoms gauti. Ekspertų vertinimu, trumpai prieš atakas registruotos domenų vardų zonos dažnai rodo specialiai trumpalaikėms kampanijoms sukurtą infrastruktūrą.

    Netikra „GTA 6 Beta“ Android’e

    Kitas plintantis masalas – tariama Android programėlė „GTA 6 Beta“, kuri vizualiai imituoja oficialų produktą: naudoja atpažįstamus grafinius elementus, rodo įžanginį vaizdo įrašą, o vėliau prašo atsisiųsti papildomų duomenų. Realiai žaidimo joje nėra, o vartotojas nukreipiamas į reklaminius ar apgaulingus puslapius.

    Tokios programėlės gali rodyti viso ekrano reklamas, stumti į mokamas prenumeratas ar raginti diegti dar vieną programą, kuri jau gali būti kenkėjiška. Pasak tyrėjų, tam naudojami ir įvairūs maskavimo metodai, kad būtų sunkiau suprasti, kur iš tiesų nukreipiamas srautas.

    Phishingas per Social Club ir klonuotos svetainės

    Lygiagrečiai aptikta daug sukčiavimo svetainių, kurios bando išvilioti prisijungimus prie „Rockstar Social Club“ per netikras prisijungimo formas. Tokie puslapiai kartais talpinami ir teisėtose platformose, kad pasinaudotų jų reputacija bei apeitų bazinius filtrus.

    Užvaldytos paskyros gali būti perparduodamos pogrindinėse rinkose arba naudojamos neteisėtai veiklai. Be to, tie patys puslapiai neretai tampa ir kenkėjų platinimo taškais, kai vietoje „atsisiųsti“ mygtuko pateikiamas failas su adware, duomenų vagimis ar kitais trojanais.

    Ką daryti, kad nepakliūtumėte

    Ekspertai pataria nepasitikėti pažadais apie ankstyvą „beta“ prieigą, „išskirtinius raktus“ ar „nemokamus aktyvavimo kodus“, ypač jei prašoma atlikti papildomas „verifikacijas“ ar įdiegti neaiškias programėles. Taip pat verta atsiminti, kad kibernetiniai sukčiai dažnai spaudžia emocijas, kurdami baimę praleisti progą.

    Praktiškai saugiausia laikytis oficialių kanalų, vengti neaiškių diegimo failų, netikrinti „nutekintų“ versijų ir nespausti atsisiuntimų iš abejotinų puslapių. Jei jau suvedėte prisijungimo duomenis į įtartiną formą, rekomenduojama nedelsiant pasikeisti slaptažodį ir įjungti dviejų žingsnių autentifikavimą.

    „Jei kažkas žada prieigą prie „GTA VI“ ten, kur ji dar net nenumatyta, tai dažniausiai yra ne pasiūlymas, o spąstai“, – sakė Marijus Briedis.

  • Tyrėjai įspėja apie „TrapDoor“: kenkėjiški paketai taikosi į kripto kūrėjus ir pinigines

    Tyrėjai įspėja apie „TrapDoor“: kenkėjiški paketai taikosi į kripto kūrėjus ir pinigines

    Kibernetinio saugumo bendrovės „Socket“ tyrėjai pranešė aptikę naują kenkėjiškų programų platinimo kampaniją „TrapDoor“, nukreiptą į kriptovaliutų kūrėjų aplinkas. Pasak jų, atakos taikiniais tapo ekosistemos, susijusios su Aptos, Sui ir Solana, o platinimui pasitelkti populiarūs programavimo paketų katalogai.

    Tyrimo duomenimis, identifikuota daugiau nei 34 kenkėjiški paketai, išplatinti per tris registrus: „npm“, „PyPI“ ir „Crates.io“. Iš viso suskaičiuota daugiau nei 384 šių paketų versijos, o dalis pavadinimų buvo parinkti taip, kad primintų įprastus kūrėjų įrankius ir bibliotekas.

    Kaip veikia ataka?

    Tyrėjų teigimu, „TrapDoor“ sukurta vogti jautrius duomenis iš programuotojų kompiuterių ir darbo aplinkų. Tarp taikinių įvardijami SSH raktai, kriptovaliutų piniginių saugyklos, „AWS“ prisijungimai, „GitHub“ prieigos raktai ir naršyklių prisijungimų duomenų bazės.

    Kenksmingas kodas aktyvuojamas skirtingais būdais, priklausomai nuo ekosistemos. „npm“ atveju tai gali būti automatiniai diegimo scenarijai, „Python“ paketuose vykdymas inicijuojamas importavimo metu, o „Rust“ aplinkoje pasitelkiami projekto surinkimo scenarijai, kurie startuoja kompiliavimo metu.

    Kodėl taikomi būtent kūrėjai?

    Kripto projektų kūrėjų kompiuteriuose ir CI aplinkose dažnai laikomi raktai, žetonai bei prieigos prie infrastruktūros duomenys, todėl vienas sėkmingas užkratas gali atverti kelią daug platesnei kompromitacijai. Nutekinti prisijungimai gali būti panaudoti tiek lėšoms iš piniginių, tiek prieigai prie kodų saugyklų, debesijos resursų ar projektų tiekimo grandinės.

    „Socket“ tyrėjai atkreipė dėmesį, kad paketų pavadinimai buvo kuriami taip, jog atrodytų susiję su kripto, DeFi, saugumo ar net DI darbo srautais. Tokia taktika didina tikimybę, kad kūrėjai atsisiųs paketą manydami, jog tai pagalbinis įrankis ar populiarios bibliotekos priedas.

    Ką verta daryti dabar?

    Praktikoje svarbiausia peržiūrėti, kokie paketai pastaruoju metu buvo įtraukti į projektus, ir įsitikinti jų kilme bei reputacija. Taip pat verta apriboti, kokius slaptus raktus kūrimo aplinka gali pasiekti pagal nutylėjimą, ir atskirti darbo stotis nuo kritinių raktų saugyklų.

    Ekspertai primena, kad tokio tipo kampanijos rodo augančią programinės įrangos tiekimo grandinės riziką: užtenka vieno „patogaus“ paketo, kad užkratas patektų į organizacijos vidų. Dėl to vis dažniau rekomenduojama taikyti griežtesnę priklausomybių kontrolę, registrų leidimų ribojimą ir nuolatinę saugumo stebėseną.

    „Matome mažos apimties, bet didelės žalos kampaniją: paketų nėra daug, tačiau taikomasi į aplinkas, kuriose saugomi itin vertingi autentifikavimo ir finansiniai duomenys“, – sakė „Socket“ tyrėjai.

  • Ukrainoje sulaikyti „Roblox“ hakeriai: pavogė 600 000 paskyrų ir uždirbo apie 200 000 eurų

    Ukrainoje sulaikyti „Roblox“ hakeriai: pavogė 600 000 paskyrų ir uždirbo apie 200 000 eurų

    Ukrainos policija pranešė sulaikiusi grupę jaunuolių, įtariamų masine „Roblox“ žaidėjų paskyrų vagyste. Tyrėjų duomenimis, įtariamieji sukūrė kenkėjišką programą, kuri leido perimti prisijungimo duomenis ir užvaldyti vartotojų profilius.

    Skaičiuojama, kad galėjo būti pavogta daugiau kaip 600 000 paskyrų, o iš neteisėtos prekybos jų turiniu ir prieiga įtariamieji galėjo gauti apie 200 000 eurų. Tokios bylos vis dažniau siejamos su sparčiai augančia skaitmeninių daiktų ir paskyrų juodąja rinka.

    Kaip veikė schema

    Policijos versija tokia: įtariamieji rėmėsi socialinės inžinerijos metodais ir programavimo žiniomis. Jie platino programą, kuri buvo pristatoma kaip teisėtas įrankis, žadantis žaidėjams premijas ar papildomus priedus.

    Iš tikrųjų tai buvo duomenų vagystei skirta kenkėjiška programa, perimanti prisijungimo informaciją. Gavę prieigą prie paskyros, nusikaltėliai galėjo perimti ne tik profilį, bet ir jame sukauptus virtualius daiktus, valiutą bei kitą skaitmeninį turtą.

    Kodėl žaidėjų paskyros vertos pinigų

    Šiuolaikiniuose žaidimuose paskyra dažnai reiškia daugiau nei prisijungimo vardą ir slaptažodį. Vertę kuria reti kosmetiniai daiktai, kolekciniai elementai, virtuali valiuta, išskirtiniai personažo patobulinimai ir ilgamečiai pasiekimai.

    Dėl to susiformavo antrinė rinka, kurioje paskyros ir virtualūs daiktai grupuojami pagal vertę ir pardavinėjami už realius pinigus. Tyrėjai nurodo, kad pavogti profiliai buvo rūšiuojami nuo mažesnės iki didesnės vertės ir realizuojami uždarose bendruomenėse, atsiskaitymams naudojant kriptovaliutas.

    Ką rado pareigūnai ir kas gresia

    Per kratas pareigūnai konfiskavo grynuosius pinigus, telefonus, kompiuterius, nešiojamuosius kompiuterius, planšetinius įrenginius ir banko korteles. Šie daiktai, tikėtina, bus naudojami kaip įrodymai, siekiant nustatyti nukentėjusiųjų mastą, duomenų nutekėjimo kelią ir pinigų srautus.

    Įtariamiesiems gresia iki 15 metų laisvės atėmimo. Policija pabrėžia, kad tokio tipo atakos dažniausiai remiasi ne tik techniniais pažeidžiamumais, bet ir vartotojų patiklumu, todėl didžiausia rizika išlieka tada, kai programos diegiamos iš nepatikimų šaltinių.

    Kibernetinio saugumo ekspertai nuolat kartoja: verta įjungti dviejų veiksnių autentifikavimą, naudoti unikalius slaptažodžius ir nepasitikėti įrankiais, žadančiais nemokamas premijas ar lengvai gaunamą virtualią valiutą. Tai ypač aktualu platformoms, kuriomis naudojasi nepilnamečiai, nes jie dažniau tampa socialinės inžinerijos taikiniu.