Hakukoneen ensimmäinen tulos asensi haittaohjelman – näin väärennetyt latussivut toimivat
Ohjelman lataaminen Googlen kärkituloksesta voi tuoda koneelle tietovarkaan. Check Point kartoitti verkoston, joka kaappaa latausklikkauksen samalla kun selaimen tilarivi näyttää aitoa osoitetta.
Tiivistelma
Check Point Research kuvasi ekosysteemin, jossa väärennetyt ohjelmistosivustot nousevat Googlen kärkeen, kaappaavat latausklikkauksen ja toimittavat tietovaroja. Sama myrkytetty hakutulos osuu myös suomalaisiin. Jutussa kerrotaan, miten ohjelmia ladataan turvallisesti.
Etsit ilmaista työkalua, klikkaat Googlen ensimmäistä tulosta ja lataat asennustiedoston. Sivusto näyttää viralliselta, ja selaimen tilarivi vahvistaa latauksen tulevan tutusta GitHub-osoitteesta.
Silti koneellesi voi asentua tietovaras. Check Point Research kuvasi tuoreessa raportissaan kokonaisen verkoston, joka tekee juuri tämän.
Raportin nimi on suomennettuna karu: tekeytymistä, klikkauksen kaappausta ja liikenteen ohjausta haittaohjelman levityksen sisällä. Tutkijat löysivät yli sata aktiivista tekeytymisverkkotunnusta, jotka jäljittelevät suosittuja ohjelmistoja.
Kohteeksi oli valittu nimenomaan teknisten käyttäjien luottamia työkaluja. Yksi esimerkki on ghidralite[.]com, joka esiintyy Ghidra-työkaluna. Listalla ovat myös dnSpy, ILSpy ja CrystalDiskMark.
Kolme kerrosta, jotka piilottavat ansan
Miten tällainen ansa käytännössä toimii? Verkosto rakentuu kolmesta osasta. Ensimmäinen on hakukonemyrkytys. Ammattimaisesti tehdyt valesivustot nousevat Googlessa korkealle, kun käyttäjä etsii tunnettua ohjelmaa.
Toinen kerros on klikkauksen kaappaus. JavaScript sieppaa "Download"-painikkeen klikkauksen mutta jättää aidon linkin paikalleen, joten tilarivi näyttää yhä laillista GitHub-osoitetta.
Tässä piilee ovela yksityiskohta. Ensimmäinen klikkaus ohjautuu hyökkääjän kautta, mutta seuraavat klikkaukset palauttavat aidon tiedoston.
Nopea tarkistaja huijautuu helposti. Kun lataus toisella yrityksellä näyttää aidolta, käyttäjä luulee saaneensa puhtaan tiedoston.
Kolmas kerros on liikenteen ohjausjärjestelmä eli TDS. Se suodattaa kävijät sijainnin, selaimen sormenjäljen ja datakeskus- tai VPN-tunnistuksen perusteella.
– Tietoturvatutkijat ja botit saavat puhtaan tiedoston, oikeat käyttäjät haittaohjelman, kuvaa Check Pointin tutkimus järjestelmän logiikkaa. Sama mekanismi vaikeuttaa myös tartuntojen havaitsemista.
Mitä koneelle päätyy
Haittakuormat ovat sarja tietovaroja. Mukana ovat SessionGate-latain, RemusStealer-tietovaras ja AnimateClipper, joka vaihtaa leikepöydälle kopioidun kryptolompakon osoitteen rikollisen osoitteeseen.
RemusStealer kohdistuu yli 20 selaimeen ja yli 330 lisäosaan. Se kerää myös kryptolompakoita, salasananhallintaohjelmia ja kaksivaiheisen tunnistuksen tietoja.
VirusTotal-palveluun on tullut yli 5 000 aiheeseen liittyvää näytettä. Näkyvyyttä löytyi Turkista, Puolasta, Brasiliasta, Saksasta, Ranskasta ja Britanniasta.
Tietovaras (infostealer)
Haittaohjelma, joka kahmii koneelta tallennetut salasanat, selaimen evästeet ja istuntotunnukset sekä kryptolompakoiden tiedot. Yksi tartunta riittää tyhjentämään käyttäjän kirjautumistiedot kerralla.
Malwarebytes arvioi, että tietovarkaista on tullut kalastelukampanjoiden suosikkikuorma. Varastettu istuntoeväste voi päästää rikollisen tilille ilman salasanaa, koska selain on jo läpäissyt kirjautumisen ja kaksivaiheisen tunnistuksen.
Hinta pitää ilmiötä yllä. Haittaohjelma myydään palveluna, ja yksi tartunta myydään edelleen usealle ostajalle.
Suomalainen näkökulma
Kyberturvallisuuskeskus on varoittanut molemmista uhkista. Se on flaggannut laillisiksi sovelluksiksi naamioidut haittaohjelmat, kuten valeantivirus- ja vale-PDF-ohjelmat, jotka leviävät hakukonemainosten ja epäluotettavien sivustojen kautta, ja erikseen tietoja varastavat haittaohjelmat, jotka kahmivat salasanoja, tunnuksia ja sähköpostien sisältöä.
Keskuksen vakioneuvo on toistaiseksi sama molemmissa. Kyberturvallisuuskeskus neuvoo lataamaan ohjelmat vain virallisista sovelluskaupoista tai valmistajan omilta sivuilta.
Suomalainen ei ole tämän ulkopuolella. Ohjelmaa haetaan ihan yhtä lailla suomeksi kuin englanniksi, ja osuma samaan myrkytettyyn hakutulokseen ei vaadi enempää.
Tunnistusmerkit
- Aidon sivuston yläpuolella näkyy "sponsored"- tai mainostulos.
- Verkkotunnus muistuttaa aitoa mutta ei ole se: "-lite"-pääte tai maakohtainen muunnos.
- Sivu on hiottu mutta ei ole projektin oikea kotisivu.
- Lataus käynnistyy verkkotunnuksesta, joka ei ole valmistajan oma.
Mitä tehdä
Mene suoraan valmistajan tai projektin viralliseen osoitteeseen. Kirjoita se itse tai käytä kirjanmerkkiä, äläkä luota hakutuloksen ensimmäiseen riviin.
Avoimen lähdekoodin työkaluissa lataa tiedosto projektin oikealta GitHubin julkaisusivulta. Suhtaudu mainostuloksiin varauksella.
Pelkkä hiiren osoittimen tuoma esikatselu ei riitä, koska itse klikkaus voidaan kaapata. Tilarivin osoite voi olla aito, vaikka lataus ei ole.
Jos epäilet tartuntaa, irrota laite verkosta ensin. Aja täysi tarkistus tai asenna järjestelmä uudelleen, ja vaihda sen jälkeen kaikki salasanat puhtaalta laitteelta.
Kirjaudu ulos kaikista istunnoista ja nollaa kaksivaiheinen tunnistus. Selaimeen tallennetut salasanat ja aktiiviset evästeet on syytä olettaa varastetuiksi.
Ilmoita tapauksesta Kyberturvallisuuskeskukselle osoitteeseen cert@traficom.fi tai ilmoita.kyberturvallisuuskeskus.fi. Mitä useampi väärennetty latussivu päätyy viranomaisen tietoon, sitä nopeammin ne saadaan alas.