Хакери використовують відкриті додатки для зараження ПК: нова загроза навіть у LinkedIn

У світі кібербезпеки з'явився новий, особливо підступний вектор атак. Зловмисники тепер маскують шкідливе програмне забезпечення під легітимні відкриті програми, щоб обдурити навіть обережних користувачів. Останнім часом таку схему активного використовують навіть на LinkedIn — платформі, яка асоціюється з професійним спілкуванням та довірою. Дослідники компанії ReliaQuest зафіксували фішингову кампанію, яка змушує користувачів завантажувати зловмисні архіви, приховані під виглядом безневинних бізнес-документів.

Як працює нова схема обману?

Атака починається зі звичайного повідомлення в Direct Messages на LinkedIn. Користувачеві пропонують переглянути важливий документ, наприклад, "Upcoming_Products.pdf". Однак замість простого PDF-файлу жертва завантажує самоархівуючийся RAR-архів. Його хитрість полягає в тому, що поряд з файлом, який виглядає як документ, в архіві знаходиться справжній відкритий PDF-ридер. Це створює ілюзію безпеки та легітимності всього пакету.

Коли користувач запускає завантажений PDF-ридер, відбувається так званий сідлоадінг (sideloading). Програма, не підозрюючи нічого, завантажує з того ж каталогу шкідливу DLL-бібліотеку, яка маскується під системний файл. Ось чому це небезпечно:

• Уникнення виявлення: Антивіруси часто довіряють легітимним відкритим програмам.
• Відсутність підозр: Весь процес виглядає як штатна робота додатка для читання PDF.
• Тривалий доступ: Користувач може довго не підозрювати, що його система скомпрометована.

Що відбувається після зараження?

Після успішного впровадження в систему шкідлива DLL виконує низку небезпечних дій. Спочатку вона встановлює на комп'ютер жертви інтерпретатор Python. Далі запускається скрипт, який створює ключ автозавантаження в системному реєстрі Windows (Run key). Це гарантує, що шкідливий код активується щоразу при вході в систему.

На цьому етапі зловмисники отримують значний контроль. Вони можуть:

1. Віддалено керувати зараженим комп'ютером.
2. Красти конфіденційну інформацію: документи, паролі, дані сеансів.
3. Використовувати ПК як плацдарм для атак всередині корпоративної мережі, особливо якщо жертва — співробітник цікавої для хакерів компанії.

Чому відкриті програми стали новим інструментом хакерів?

ReliaQuest підкреслює, що використання відкритого програмного забезпечення як "транспорту" для загрози — це нова тактика. Вона ефективна саме через довіру, яку такі програми викликають. Відкрите ПЗ часто асоціюється з прозорістю, спільнотою та безпекою. Крім того, вони легкодоступні для завантаження, що спрощує роботу зловмисникам.

LinkedIn вибраний не випадково. Його професійне середовище дозволяє хакерам швидко встановлювати довіру та знайомство, збільшуючи шанси на успіх при таргетингу на високопоставлених співробітників або осіб з цінними даними в корпоративному середовищі. Соціальні мережі, на відміну від корпоративної пошти, часто менше моніторяться IT-відділами, що ускладнює виявлення таких атак.

Як захистити себе?

Хоча ця конкретна кампанія була виявлена на LinkedIn, подібна схема може бути використана в будь-якому місці: інших соцмережах, месенджерах або навіть на ігрових форумах під виглядом патчів чи модів.

• Підвищена обережність: Двічі подумайте перед завантаженням файлів з будь-яких посилань, навіть від знайомих.
• Перевіряйте розширення: Файл "Document.pdf.exe" — це виконуваний файл, а не документ!
• Використовуйте офіційні джерела: Завжди завантажуйте програми, навіть відкриті, з офіційних сайтів або перевірених репозиторіїв.
• Оновлюйте захист: Переконайтеся, що антивірусне ПЗ та операційна система завжди актуальні.

Пам'ятайте, що найкращий захист — це ваша уважність. Навіть у світі ігор, де ми часто завантажуємо моди, фанарт або патчі з різних джерел, залишайтеся пильними. Якщо пропозиція виглядає занадто привабливою або викликає найменші сумніви — краще від неї відмовитися. Бережіть свої дані та ігрові акаунти так само ретельно, як і професійну інформацію.