Et av rådene som sikkerhetsutøvere har gitt ut de siste par tiårene, om ikke lenger, er at du bare bør laste ned programvare fra anerkjente nettsteder. Når det gjelder råd om datasikkerhet, virker dette som om det burde være ganske enkelt å praktisere.

Men selv når slike råd deles bredt, laster folk fortsatt ned filer fra utpreget ikke-anerkjente steder og blir kompromittert som et resultat. Jeg har vært en leser av Neowin i over et par tiår nå, og medlem av forumet nesten så lenge. Men det er ikke det eneste stedet jeg deltar på nett: i litt over tre år har jeg frivillig gitt tiden min til å moderere et par av Reddits fora (subreddits) som gir både generell datastøtte så vel som mer spesifikke råd om fjerning av skadelig programvare. I disse subredditsene har jeg hjulpet folk om og om igjen mens de forsøkte å komme seg etter nedfallet av kompromitterte datamaskiner. Angrep i disse dager er vanligvis økonomisk motivert, men det er andre uventede konsekvenser også. Jeg bør si at dette ikke er noe unikt for Reddits brukere. Denne typen spørsmål dukker også opp i nettchatter på forskjellige Discord-servere hvor jeg også melder meg frivillig.

En ting jeg bør påpeke er at både Discord- og Reddit-tjenestene går på en yngre demografisk side enn sosiale medier som Twitter og Facebook. Jeg mistenker også at de er yngre enn den gjennomsnittlige WeLiveSecurity-leseren. Disse menneskene vokste opp digitalt kunnskapsrike og har hatt tilgang til råd og diskusjoner om trygge databehandlingsmetoder tilgjengelig siden førskolen.

Et sammenbrudd i kommunikasjonen

Til tross for at de har fordelen av å ha vokst opp med datamaskiner og informasjon om å sikre dem, hvordan har det seg at disse menneskene har blitt ofre for visse angrepsmønstre? Og fra informasjonssikkerhetsutøverens side, hvor skjer egentlig koblingen mellom det vi ber folk gjøre (eller ikke gjøre, alt ettersom), og hva de gjør (eller igjen, ikke gjør)?

Noen ganger vil folk åpent innrømme at de visste bedre, men bare gjorde en "dum ting", og stoler på kilden til programvaren når de visste at den ikke var pålitelig. Noen ganger virket det imidlertid pålitelig, men var det ikke. Og andre ganger hadde de veldig tydelig utpekt kilden til skadevaren som pålitelig selv når den var iboende upålitelig. La oss ta en titt på de vanligste scenariene som fører til at datamaskinene deres blir kompromittert:

• De mottok en privat melding via Discord «fra» en nettvenn som ba dem om tilbakemelding på et spill vennen skrev. «Spillet» nettvennen skrev var i en passordbeskyttet .ZIP-fil, som de måtte laste ned og pakke ut med passordet før de kjørte det. Dessverre hadde vennens konto blitt kompromittert tidligere, og angriperen brukte den nå til å spre skadelig programvare.
• De brukte Google til å Søk for en kommersiell programvarepakke de ønsket å bruke, men spesifiserte at de var på utkikk etter en gratis eller en cracket versjon av den og lastet den ned fra et nettsted i søkeresultatene. Det er ikke alltid kommersiell programvare; til og med gratis eller åpen kildekode-programmer har nylig blitt målrettet mot ondsinnet reklame (malvertising) kampanjer ved hjelp av Google Ads.
• På samme måte søkte de på YouTube etter en video om hvordan man laster ned en gratis eller knekt versjon av en kommersiell programvarepakke, og gikk deretter til nettstedet nevnt i videoen eller oppført i kommentarene for å laste den ned.
• De torrenterte programvaren fra et kjent nettsted som spesialiserer seg på piratkopiert programvare.
• De torrenterte programvaren fra en privat tracker, Telegram-kanal eller Discord-server der de hadde vært aktive i over et år.

Jeg vil påpeke at dette ikke er den eneste måten folk ble lurt til å kjøre skadelig programvare. WeLiveSecurity har rapportert om flere bemerkelsesverdige saker nylig som involverte å lure brukeren:

• I ett bemerkelsesverdig tilfelle, KryptoCibule, cryptocurrency-fokusert skadelig programvare som var rettet mot tsjekkiske og slovakiske brukere, ble spredt gjennom en populær lokal fildelingstjeneste, utgitt som piratspill eller nedlastbart materiale (DLC) for dem.I et annet, ikke-relatert tilfelle, ble kinesiskspråklige høyttalere i Sørøst- og Øst-Asia målrettet mot forgiftede Google-søkeresultater for populære applikasjoner som nettleseren Firefox, og populære meldingsapper Telegram og WhatsApp, for å installere trojaniserte versjoner som inneholder FatalRAT fjerntilgang trojaner.

Virker noen av disse scenariene lik hverandre på noen måte? Til tross for de ulike måtene å motta filen på (oppsøke i forhold til å bli spurt, ved hjelp av en søkemotor, videoside eller piratside osv.) har de alle én ting til felles: de utnyttet tillit.

Sikre(r) nedlastinger

Når sikkerhetsutøvere snakker om å laste ned filer bare fra anerkjente nettsteder ser det ut til at vi ofte bare gjør halvparten av jobben med å utdanne publikum om dem, eller kanskje til og med litt mindre for den saks skyld: vi har gjort en langt bedre jobb med å fortelle folk hva slags nettsteder å gå til (anerkjente, åpenbart) uten å forklare hva som gjør et nettsted trygt å laste ned fra i utgangspunktet. Så, uten noen fanfare, her er hva gjør et nettsted som er kjent for å laste ned programvare fra:

• Du bør kun laste ned programvare direkte fra forfatterens eller utgiverens nettsted, eller et nettsted som er uttrykkelig autorisert av dem.

Og det er det! I dagens programvareverden kan utgiverens nettsted være litt mer fleksibel enn hva den historisk sett har vært. Ja, det kan være et nettsted med samme domenenavn som utgiverens nettsted, men det kan også være at filene er plassert på GitHub, SourceForge, vert på et innholdsleveringsnettverk (CDN) som drives av en tredjepart, og så videre . Det er fortsatt utgiverens nettsted, siden det eksplisitt ble lastet opp av dem. Noen ganger gir utgivere tilleggslenker til flere nedlastingssider også. Dette gjøres av en rekke årsaker, for eksempel for å dekke hostingkostnader, for å gi raskere nedlastinger i forskjellige regioner, for å markedsføre programvaren i andre deler av verden, og så videre. Det er disse også offisiell nedlastingssider fordi de er spesifikt autorisert av forfatteren eller utgiveren.

Det er også nettsteder og tjenester som fungerer som programvarelager. SourceForge og GitHub er populære nettsteder for hosting av åpen kildekode-prosjekter. For shareware og prøveversjoner av kommersiell programvare, er det mange nettsteder som spesialiserer seg på å liste opp deres nyeste versjoner for nedlasting. Disse nedlastingssidene fungerer som kuratorer for å finne programvare på ett sted, noe som gjør det enkelt å søke og oppdage ny programvare. I noen tilfeller kan de imidlertid også ha en mørkere side: Noen av disse nettstedene plasseres programvareinnpakninger rundt filer lastet ned fra dem som kan be om å installere tilleggsprogramvare i tillegg til programmet du leter etter. Disse programpakkerne kan gjøre ting som ikke er relatert til programvaren de er knyttet til, og kan faktisk installeres potensielt uønskede applikasjoner (PUA) på datamaskinen.

Andre typer nettsteder du bør være oppmerksom på er filoppbevaringstjenester som Box, Dropbox og WeTransfer. Selv om disse alle er svært legitime fildelingstjenester, kan de misbrukes av en trusselaktør: folk kan anta at fordi tjenesten er klarert, er programmer lastet ned fra dem trygge. Omvendt kan IT-avdelinger som sjekker for eksfiltrering av data ignorere opplastinger av filer som inneholder personlig informasjon og legitimasjon fordi de er kjent for å være legitime tjenester.

Når det gjelder søkemotorer, kan det være vanskelig å tolke resultatene for uinnvidde, eller folk som rett og slett er utålmodige. Mens målet for enhver søkemotor – enten det er Bing, DuckDuckGo, Google, Yahoo eller en annen – er å gi de beste og mest nøyaktige resultatene, dreier kjernevirksomheten deres ofte rundt annonsering. Dette betyr at resultatene øverst på siden i søkemotorresultatene ofte ikke er de beste og mest nøyaktige resultatene, men betalt annonsering. Mange legger ikke merke til forskjellen mellom annonsering og søkemotorresultater, og kriminelle vil dra nytte av dette gjennom malvertising-kampanjer hvor de kjøper annonseplass for å omdirigere folk til nettsteder som brukes til phishing og andre uønskede aktiviteter, og skadelig programvare. I noen tilfeller kan kriminelle registrere et domenenavn ved hjelp av Typosquatting eller lignende utseende øverste nivå domene til programvareutgiveren for å gjøre nettstedets adresse mindre synlig ved første øyekast, for eksempel eksempel.com versus examp1e.com (merk hvordan bokstaven "l" har blitt utgitt av tallet "1" i det andre domenet) .

Jeg vil påpeke at det er mange legitime, trygge steder å gå på internett for å laste ned gratis- og prøveversjoner av programvare, fordi de lenker til utgiverens egne nedlastinger. Et eksempel på dette er Neowin, som den originale versjonen av denne artikkelen ble skrevet for. Neowins Software nedlastingsseksjonen engasjerer seg ikke i noen form for uoppriktig oppførsel. Alle nedlastingslenker går enten direkte til utgiverens egne filer eller til deres nettside, noe som gjør Neowin til en pålitelig kilde for å finne ny programvare. Et annet anerkjent nettsted som lenker direkte til programvareutgiveres nedlastinger er MajorGeeks, som har listet dem på nesten daglig basis i over to tiår.

Selv om direkte nedlasting sikrer at du får programvare fra selskapet (eller enkeltpersonen) som skrev den, betyr det ikke nødvendigvis at den er fri for skadelig programvare: det har vært tilfeller der skadelig programvare ble inkludert i en programvarepakke, utilsiktet or ellers. På samme måte, hvis en programvareutgiver pakker potensielt uønskede applikasjoner eller adware sammen med programvaren, vil du fortsatt motta det med en direkte nedlasting fra nettstedet deres.

Spesielle hensyn bør tas til de forskjellige applikasjonsprogramvarebutikkene som drives av operativsystemleverandører, for eksempel Apple App Store, Google Play-butikken, Microsofts Windows App-butikker og så videre. Man kan anta at disse nettstedene er anerkjente nedlastingssider, og for det meste er de akkurat det, men det er ingen 100 % garanti: Skruppelløse programvareforfattere har omgått appbutikkenes vetting-prosesser for å distribuere programvare som invaderer folks privatliv med spyware, display grove annonser med adware, og engasjere seg i annen uønsket atferd. Disse appbutikkene har muligheten til å fjerne slik programvare fra butikkene sine, så vel som eksternt avinstallere den fra plagede enheter, noe som tilbyr en løsning; Dette kan imidlertid være dager eller uker (eller mer) etter at programvaren er gjort tilgjengelig. Selv om du bare laster ned apper fra den offisielle butikken, er det et must å ha sikkerhetsprogramvare på enheten din for å beskytte den.

Enhetsprodusenter, forhandlere og tjenesteleverandører kan legge til sine egne appbutikker på enheter; Det kan imidlertid hende at disse ikke har muligheten til å avinstallere apper eksternt.

Om skadelig programvare som er involvert

Med alt dette i tankene, lurer du sannsynligvis på nøyaktig hva skadelig programvare gjorde på de berørte datamaskinene. Mens det var forskjellige familier av skadelig programvare involvert, som hver hadde sitt eget sett med handlinger og atferd, var det to som i utgangspunktet skilte seg ut fordi de var gjengangere, noe som genererte mange forespørsler om assistanse.

• STOP/DJVU, oppdaget av ESET som Win32/Filecoder.STOPP, er en familie med løsepenger som så ut til å være sterkt rettet mot studenter. Selv om ikke alle de berørte ble målrettet på samme måte, rapporterte flere studenter at løsepengevaren dukket opp etter piratkopiering av kommersielle VST-plugins beregnet på skole- eller personlige prosjekter mens de var på universitetet. Dette til tross for at pluginene har blitt lastet ned fra torrenter med "høyt rykte" som er delt av langtidsbrukere og har dusinvis eller noen ganger til og med hundrevis av seeders for den aktuelle magnetlenken.

• Kort tid etter at programvarepiratvirksomheten skjedde, fant studentene ganske standard løsepengevarenotater på skrivebordet. Det som var uvanlig med utpressingssedlene var at i stedet for å be om å bli betalt titusenvis eller hundretusenvis av dollar, ble mye lavere beløp bedt om av kriminelle - rundt 1,000-1,200 dollar (i kryptovaluta). Men det er ikke alt: ofre som betaler innen de første 24–72 timene etter varsling, var kvalifisert for 50 % rabatt. Selv om beløpet som blir utpresset virker veldig lavt sammenlignet med hva kriminelle som retter seg mot bedrifter ber om, kan det lavere beløpet bety en større sannsynlighet for betaling fra offeret, spesielt når de står overfor slike høytrykkstaktikker. Det er mulig at STOP/DJVU-ransomware markedsføres som løsepengevare-som-en-tjeneste (RaaS), noe som betyr at utviklerne leier den ut til andre kriminelle i bytte mot betaling og en andel av fortjenesten. Andre kriminelle kan også bruke det, men det ser ut til at minst én gruppe har funnet sin søte plass i å målrette mot studenter.

Og bare i tilfelle du lurte: Jeg har aldri hørt om noen som har klart å dekryptere filene sine etter å ha betalt løsepenger til STOP/DJVU-kriminelle. Det beste alternativet for å dekryptere filene dine er å sikkerhetskopiere dem i tilfelle en dekryptering noen gang blir utgitt.

• Redline Stealer, som navnet tilsier, er en familie av tilpassbare trojanere som kan stjele informasjon som oppdages av ESET som MSIL/Spy.RedLine og MSIL/Spy.Agent. I likhet med STOP/DJVU-ransomware, ser den ut til å være leid ut som en del av Criminal-programvaren som en tjeneste-familie av verktøy. Selv om jeg har sett flere rapporter om at det blir spredt gjennom Discord, siden det er "solgt" som et tjenestetilbud, er det sannsynligvis mange kriminelle gjenger som distribuerer det på forskjellige måter for en rekke formål. I disse tilfellene mottok ofrene direkte meldinger fra kompromitterte venners kontoer der de ba dem kjøre programvare som ble levert til dem i en passordbeskyttet .ZIP-fil. De kriminelle fortalte til og med ofrene at hvis antivirusprogramvaren deres oppdaget noe, at det var en falsk positiv alarm, og at de skulle ignorere det.

Når det gjelder funksjonaliteten, utfører Redline Stealer noen ganske vanlige aktiviteter for skadelig programvare som stjeler informasjon, for eksempel å samle informasjon om versjonen av Windows PC-en kjører, brukernavn og tidssone. Den samler også inn informasjon om miljøet der den kjører, for eksempel skjermstørrelse, prosessor, RAM, skjermkort og en liste over programmer og prosesser på datamaskinen. Dette kan være for å finne ut om det kjører i en emulator, virtuell maskin eller en sandkasse, noe som kan være et advarselstegn til skadelig programvare om at den overvåkes eller omvendt konstruert. Og som andre lignende programmer, kan den søke etter filer på PC-en og laste dem opp til en ekstern server (nyttig for å stjele private nøkler og kryptovaluta-lommebøker), samt laste ned filer og kjøre dem.

Men den primære funksjonen til en informasjonsteler er å stjele informasjon, så med den tanken, hva går egentlig Redline Stealer etter? Den stjeler legitimasjon fra mange programmer, inkludert Discord, FileZilla, Steam, Telegram, forskjellige VPN-klienter som OpenVPN og ProtonVPN), samt informasjonskapsler og legitimasjon fra nettlesere som Google Chrome, Mozilla Firefox og deres derivater. Siden moderne nettlesere ikke bare lagrer kontoer og passord, men også kredittkortinformasjon, kan dette utgjøre en betydelig trussel.

Siden denne skadevare brukes av forskjellige kriminelle gjenger, kan hver av dem fokusere på noe litt annerledes. I disse tilfellene var imidlertid målene oftest Discord-, Google- og Steam-kontoer. De kompromitterte Discord-kontoene ble brukt til å spre skadelig programvare til venner. Google-kontoene ble brukt til å få tilgang til YouTube og øke antallet visninger av visse videoer, i tillegg til å laste opp videoer som annonserte forskjellige uredelige ordninger, noe som førte til at kontoen ble utestengt. Steam-kontoene ble sjekket for spill som hadde valutaer i spillet eller gjenstander som kunne bli stjålet og brukt eller videresolgt av angriperen. Dette kan virke som rare valg gitt alle tingene som kan gjøres med kompromitterte kontoer, men for tenåringer kan dette være de mest verdifulle nettaktiva de har.

For å oppsummere, her har vi to forskjellige typer skadelig programvare som selges som tjenester for bruk av andre kriminelle. I disse tilfellene så det ut til at disse kriminelle var rettet mot ofre i tenårene og begynnelsen av tjueårene. I ett tilfelle, utpressing av ofre for et beløp som er proporsjonalt med hva slags midler de måtte ha; i det andre tilfellet målrettet mot Discord, YouTube (Google) og nettspill (Steam). Gitt viktimologien, må man spørre seg om disse kriminelle gjengene er sammensatt av mennesker i lignende aldersgrupper, og i så fall velge spesifikke målrettings- og lokkemetoder de vet ville være svært effektive mot jevnaldrende.

Hvor går vi hen herfra?

Sikkerhetsutøvere råder folk til å holde datamaskinens operativsystemer og applikasjoner oppdatert, kun bruke de nyeste versjonene og kjøre sikkerhetsprogramvare fra etablerte leverandører. Og for det meste: folk gjør det, og det beskytter dem mot en rekke trusler.

Men når du begynner å lete etter sketchy kilder å laste ned fra, kan ting ta en vending til det verre. Sikkerhetsprogramvare prøver å gjøre rede for menneskelig atferd, men det gjør også kriminelle som utnytter konsepter som omdømme og tillit. Når en nær venn på Discord ber deg se på et program og advarer om at antivirusprogramvaren din feilaktig kan oppdage det som en trussel, hvem skal du tro, sikkerhetsprogramvaren din eller vennen din? Programmatisk å reagere på og forsvare seg mot angrep på tillit, som i hovedsak er typer sosial ingeniørkunst, kan være vanskelig. I den typen scenarier som er forklart her, er det brukeropplæring og ikke datakode som kan være det ultimate forsvaret, men det er bare hvis sikkerhetsutøverne får frem de riktige meldingene.

Forfatteren vil gjerne takke sine kolleger Bruce P. Burrell, Alexandre Côté Cyr, Nick FitzGerald, Tomáš Foltýn, Lukáš Štefanko og Righard Zwienenberg for deres hjelp med denne artikkelen, samt Neowin for å ha publisert den originale versjonen av den.

Arye Goretsky
Utmerket forsker, ESET

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoAiStream. Web3 Data Intelligence. Kunnskap forsterket. Tilgang her.
• Minting the Future med Adryenn Ashley. Tilgang her.
• Kjøp og selg aksjer i PRE-IPO-selskaper med PREIPO®. Tilgang her.
• kilde: https://www.welivesecurity.com/2023/05/16/you-may-not-care-where-download-software-malware-does/