Ett av de råd som säkerhetsutövare har gett ut under de senaste decennierna, om inte längre, är att du bara ska ladda ner programvara från välrenommerade webbplatser. När det gäller råd om datorsäkerhet verkar det som om det borde vara ganska enkelt att öva.

Men även när sådana råd delas brett, laddar folk fortfarande ner filer från tydligt icke välrenommerade platser och blir kompromissade som ett resultat. Jag har varit en läsare av Neowin i över ett par decennier nu, och medlem av dess forum nästan så länge. Men det är inte det enda stället jag deltar på nätet: i lite över tre år har jag frivilligt avsatt min tid för att moderera ett par av Reddits forum (subreddits) som ger både allmänt datorstöd och mer specifika råd om att ta bort skadlig programvara. I dessa subreddits har jag hjälpt människor om och om igen när de försökte återhämta sig från nedfallet av komprometterade datorer. Attacker dessa dagar är vanligtvis ekonomiskt motiverade, men det finns andra oväntade konsekvenser också. Jag bör säga att detta inte är något unikt för Reddits användare. Den här typen av frågor dyker också upp i onlinechattar på olika Discord-servrar där jag också frivilligt lägger min tid.

En sak jag bör påpeka är att både Discord- och Reddit-tjänsterna vänder sig mot en yngre demografisk än sociala medier som Twitter och Facebook. Jag misstänker också att de är yngre än den genomsnittliga WeLiveSecurity-läsaren. Dessa människor växte upp digitalt läskunniga och har haft tillgång till råd och diskussioner om säkra datorer tillgängliga sedan förskolan.

Ett sammanbrott i kommunikationen

Trots att de har fördelen av att ha vuxit upp med datorer och information om att säkra dem, hur kommer det sig att dessa människor har fallit offer för vissa attackmönster? Och från informationssäkerhetsutövarens sida, exakt var sker kopplingen mellan vad vi säger åt folk att göra (eller inte göra, beroende på fallet) och vad de gör (eller, återigen, inte gör)?

Ibland kommer människor öppet att erkänna att de visste bättre men bara gjorde en "dum sak" och litade på källan till programvaran när de visste att den inte var pålitlig. Ibland verkade det dock pålitligt, men det var det inte. Och vid andra tillfällen hade de mycket tydligt angett källan till skadlig programvara som pålitlig även när den i sig var opålitlig. Låt oss ta en titt på de vanligaste scenarierna som leder till att deras datorer äventyras:

• De fick ett privat meddelande via Discord "från" en onlinevän som bad dem om feedback på ett spel som vännen skrev. "Spelet" som onlinevännen skrev var i en lösenordsskyddad .ZIP-fil, som de var tvungna att ladda ner och extrahera med lösenordet innan de kördes. Tyvärr hade vänns konto äventyrats tidigare, och angriparen använde det nu för att sprida skadlig programvara.
• De använde Google för att Sök för ett kommersiellt mjukvarupaket de ville använda men angav att de letade efter en gratis eller en knäckt version av det och laddade ner det från en webbplats i sökresultaten. Det är inte alltid kommersiell programvara; till och med gratisprogram eller program med öppen källkod har nyligen riktats mot skadlig reklam (malvertising) kampanjer med Google Ads.
• På samma sätt sökte de på YouTube efter en video om hur man laddar ner en gratis eller knäckt version av ett kommersiellt mjukvarupaket och gick sedan till webbplatsen som nämns i videon eller listades i dess kommentarer för att ladda ner den.
• De laddade ner programvaran från en välkänd webbplats som specialiserat sig på piratkopierad programvara.
• De torrentade programvaran från en privat spårare, Telegram-kanal eller Discord-server där de hade varit aktiva i över ett år.

Jag vill påpeka att detta inte är det enda sättet med vilka människor lurades att köra skadlig programvara. WeLiveSecurity har rapporterat om flera anmärkningsvärda fall nyligen som involverade att lura användaren:

• I ett anmärkningsvärt fall, KryptoCibule, cryptocurrency-fokuserad skadlig programvara som riktade sig till tjeckiska och slovakiska användare, spreds genom en populär lokal fildelningstjänst, utklädd som piratkopierade spel eller nedladdningsbart innehåll (DLC) för dem.I ett andra, orelaterade fall, måltavlades kinesiska talare i Sydostasien och östra Asien med förgiftade Google-sökresultat för populära applikationer som webbläsaren Firefox och populära meddelandeappar Telegram och WhatsApp, för att installera trojaniserade versioner som innehåller FatalRAT fjärråtkomst trojan.

Verkar något av dessa scenarier likna varandra på något sätt? Trots de olika sätten att ta emot filen (söka mot att bli tillfrågad, använda en sökmotor, videosajt eller piratkopieringssajt, etc.) har de alla en sak gemensamt: de utnyttjade förtroende.

Säkra(r) nedladdningar

När säkerhetsutövare pratar om att ladda ner filer endast från välrenommerade webbplatser verkar det som att vi ofta bara gör hälften av jobbet med att utbilda allmänheten om dem, eller kanske till och med lite mindre för den delen: vi har gjort ett mycket bättre jobb med att berätta för folk vad typ av webbplatser att gå till (uppenbarligen välrenommerade) utan att förklara vad som gör en webbplats säker att ladda ner från i första hand. Så, utan någon fanfar, här är vad gör en webbplats som är känd för att ladda ner programvara från:

• Du bör endast ladda ner programvara direkt från författarens eller utgivarens webbplats, eller en webbplats som uttryckligen godkänts av dem.

Och det är allt! I dagens mjukvaruvärld kan utgivarens webbplats vara lite mer flexibel än vad den historiskt sett har varit. Ja, det kan vara en webbplats med samma domännamn som utgivarens webbplats, men det kan också vara så att filerna finns på GitHub, SourceForge, värd på ett innehållsleveransnätverk (CDN) som drivs av en tredje part, och så vidare . Det är fortfarande utgivarens webbplats, eftersom den uttryckligen laddades upp av dem. Ibland tillhandahåller utgivare ytterligare länkar till ytterligare nedladdningswebbplatser. Detta görs av en mängd olika skäl, till exempel för att täcka värdkostnader, för att tillhandahålla snabbare nedladdningar i olika regioner, för att marknadsföra programvaran i andra delar av världen, och så vidare. Dessa är också tjänsteman nedladdningswebbplatser eftersom de är specifikt auktoriserade av författaren eller utgivaren.

Det finns också webbplatser och tjänster som fungerar som programvarulager. SourceForge och GitHub är populära webbplatser för att vara värd för projekt med öppen källkod. För shareware och testversioner av kommersiell programvara finns det många webbplatser som är specialiserade på att lista sina senaste versioner för nedladdning. Dessa nedladdningssidor fungerar som curatorer för att hitta programvara på ett ställe, vilket gör det enkelt att söka och upptäcka ny programvara. I vissa fall kan de dock också ha en mörkare sida: Vissa av dessa platser placeras mjukvaruomslag runt filer som laddats ner från dem som kan uppmana till att installera ytterligare programvara förutom programmet du letade efter. Dessa programbuntare kan göra saker helt orelaterade till programvaran de är kopplade till och kan faktiskt installeras potentiellt oönskade applikationer (PUA) till din dator.

Andra typer av webbplatser att vara medveten om är filskåptjänster som Box, Dropbox och WeTransfer. Även om dessa alla är mycket legitima fildelningstjänster, kan de missbrukas av en hotaktör: människor kan anta att eftersom tjänsten är pålitlig är program som laddas ner från dem säkra. Omvänt kan IT-avdelningar som letar efter exfiltrering av data ignorera uppladdningar av filer som innehåller personlig information och referenser eftersom de är kända för att vara legitima tjänster.

När det gäller sökmotorer kan det vara svårt att tolka deras resultat för oinvigde, eller människor som helt enkelt är otåliga. Även om målet för alla sökmotorer – oavsett om det är Bing, DuckDuckGo, Google, Yahoo eller någon annan – är att ge de bästa och mest exakta resultaten, kretsar deras kärnverksamhet ofta kring reklam. Det betyder att resultaten överst på sidan i sökmotorns resultat ofta inte är de bästa och mest exakta resultaten, utan betald annonsering. Många människor märker inte skillnaden mellan reklam och sökmotorresultat, och brottslingar kommer att dra fördel av detta genom malvertising-kampanjer där de köper reklamutrymme för att omdirigera människor till webbplatser som används för nätfiske och andra oönskade aktiviteter, och skadlig programvara. I vissa fall kan brottslingar registrera ett domännamn med hjälp av typskattning eller liknande utseende toppdomän till programutgivarens för att göra deras webbadress mindre märkbar vid första anblicken, som exempel.com kontra examp1e.com (notera hur bokstaven "l" har släppts av siffran "1" i den andra domänen) .

Jag kommer att påpeka att det finns många legitima, säkra ställen att gå på internet för att ladda ner gratis- och testversioner av programvara, eftersom de länkar till utgivarens egna nedladdningar. Ett exempel på detta är Neowin, för vilken den ursprungliga versionen av denna artikel skrevs. Neowins Mjukvara nedladdningssektionen ägnar sig inte åt någon typ av ohederligt beteende. Alla nedladdningslänkar går antingen direkt till förlagets egna filer eller till deras webbsida, vilket gör Neowin till en pålitlig källa för att hitta ny programvara. En annan ansedd webbplats som länkar direkt till programutgivares nedladdningar är MajorGeeks, som har listat dem nästan dagligen i över två decennier.

Även om direkt nedladdning säkerställer att du får programvara från företaget (eller individen) som skrev den, betyder det inte nödvändigtvis att den är fri från skadlig programvara: det har förekommit fall där skadlig programvara inkluderades i ett programpaket, oavsiktligt or annat. På samma sätt, om en programutgivare kombinerar potentiellt oönskade applikationer eller adware med sin programvara, kommer du fortfarande att få det med en direkt nedladdning från deras webbplats.

Särskild hänsyn bör tas till de olika programvarubutikerna som drivs av leverantörer av operativsystem, såsom Apple App Store, Google Play Store, Microsofts Windows App Store, och så vidare. Man kan anta att dessa sajter är välrenommerade nedladdningssidor, och för det mesta är de precis det, men det finns ingen 100% garanti: skrupelfria mjukvaruförfattare har kringgått appbutikers granskningsprocesser för att distribuera programvara som invaderar människors integritet med spionprogram, display grova annonser med adware och ägna sig åt andra oönskade beteenden. Dessa appbutiker har möjligheten att ta bort sådan programvara från sina butiker samt avinstallera den på distans från drabbade enheter, vilket erbjuder en åtgärd; detta kan dock vara dagar eller veckor (eller mer) efter att programvaran har gjorts tillgänglig. Även om du bara laddar ner appar från den officiella butiken är det ett måste att ha säkerhetsprogramvara på din enhet för att skydda den.

Enhetstillverkare, återförsäljare och tjänsteleverantörer kan lägga till sina egna appbutiker till enheter; men dessa kanske inte har möjlighet att avinstallera appar på distans.

Om den inblandade skadliga programvaran

Med allt detta i åtanke undrar du förmodligen exakt vad skadlig programvara gjorde på de drabbade datorerna. Även om det fanns olika familjer av skadlig programvara inblandade, som var och en hade sin egen uppsättning handlingar och beteenden, var det två som i princip stack ut eftersom de var återfallsförbrytare, vilket genererade många förfrågningar om hjälp.

• STOP/DJVU, upptäckt av ESET som Win32/Filecoder.STOPP, är en familj av ransomware som verkade rikta in sig på studenter. Även om inte alla de drabbade var inriktade på samma sätt, rapporterade flera studenter att ransomwaren dök upp efter att ha piratkopierat kommersiella VST-plugins avsedda för skolprojekt eller personliga projekt när de var på universitetet. Detta trots att plugins har laddats ner från torrents med "högt anseende" som delas av långvariga användare och har dussintals eller ibland hundratals sådare för just den magnetlänken.

• Kort efter att piratkopieringen inträffade hittade eleverna ganska vanliga anteckningar om ransomware på sina skrivbord. Det som var ovanligt med utpressningssedlarna var att istället för att begära att få betalt tiotals eller hundratusentals dollar, begärdes mycket lägre belopp av brottslingarna – runt 1,000 1,200-24 72 USD (i kryptovaluta). Men det är inte allt: offer som betalade inom de första 50-XNUMX timmarna efter anmälan var berättigade till XNUMX % rabatt. Även om beloppet som utpressas verkar mycket lågt jämfört med vad brottslingar som riktar in sig på företag begär, kan det lägre beloppet innebära en större sannolikhet för betalning av offret, särskilt när de står inför sådana högtryckstaktik. Det är möjligt att STOP/DJVU ransomware marknadsförs som ransomware-as-a-service (RaaS), vilket innebär att dess utvecklare hyr ut den till andra kriminella i utbyte mot betalning och en del av vinsten. Andra brottslingar kanske också använder det, men det verkar som om åtminstone en grupp har hittat sin favoritplats i att rikta in sig på studenter.

Och bara ifall du undrade: Jag har aldrig hört talas om någon som lyckats dekryptera sina filer efter att ha betalat lösen till STOP/DJVU-kriminella. Det bästa du kan göra för att dekryptera dina filer är att säkerhetskopiera dem ifall en dekryptering någonsin släpps.

• Redline Stealer, som namnet antyder, är en familj av anpassningsbara informationsstjälande trojaner som upptäcks av ESET som MSIL/Spy.RedLine och MSIL/Spy.Agent. Liksom STOP/DJVU ransomware verkar det vara uthyrt som en del av Criminal Software as a Service-familjen av verktyg. Även om jag har sett flera rapporter om att det sprids genom Discord, eftersom det "säljs" som ett tjänsteerbjudande, finns det förmodligen många kriminella gäng som distribuerar det på olika sätt för en mängd olika ändamål. I dessa fall fick offren direktmeddelanden från komprometterade vänners konton där de bad dem köra programvara som levererades till dem i en lösenordsskyddad .ZIP-fil. Brottslingarna sa till och med till offren att om deras antivirusprogram upptäckte något, att det var ett falskt positivt larm och att de skulle ignorera det.

När det gäller dess funktionalitet utför Redline Stealer några ganska vanliga aktiviteter för informationsstjäl skadlig programvara, som att samla in information om vilken version av Windows som datorn kör, användarnamn och tidszon. Den samlar också in viss information om miljön där den körs, såsom skärmstorlek, processor, RAM, grafikkort och en lista över program och processer på datorn. Detta kan vara för att hjälpa till att avgöra om den körs i en emulator, virtuell maskin eller en sandlåda, vilket kan vara ett varningstecken för skadlig programvara att den övervakas eller omvänd konstruktion. Och som andra liknande program kan den söka efter filer på datorn och ladda upp dem till en fjärrserver (användbart för att stjäla privata nycklar och kryptovaluta-plånböcker), samt ladda ner filer och köra dem.

Men den primära funktionen för en informationsstjälare är att stjäla information, så med det sinnet, vad exakt går Redline Stealer efter? Den stjäl referenser från många program inklusive Discord, FileZilla, Steam, Telegram, olika VPN-klienter som OpenVPN och ProtonVPN), samt cookies och referenser från webbläsare som Google Chrome, Mozilla Firefox och deras derivat. Eftersom moderna webbläsare inte bara lagrar konton och lösenord, utan även kreditkortsinformation, kan detta utgöra ett betydande hot.

Eftersom denna skadliga programvara används av olika kriminella gäng, kan var och en av dem fokusera på något lite annorlunda. Men i dessa fall var målen oftast Discord-, Google- och Steam-konton. De komprometterade Discord-kontona användes för att sprida skadlig programvara till vänner. Google-kontona användes för att komma åt YouTube och öka antalet visningar för vissa videor, samt för att ladda upp videor som annonserade om olika bedrägliga system, vilket ledde till att kontot förbjöds. Steam-kontona kontrollerades för spel som hade valutor i spelet eller föremål som kunde stjälas och användas eller säljas vidare av angriparen. Dessa kan tyckas vara udda val med tanke på alla saker som kan göras med inträngda konton, men för tonåringar kan dessa vara de mest värdefulla onlinetillgångar de har.

För att sammanfatta, här har vi två olika typer av skadlig programvara som säljs som tjänster för användning av andra kriminella. I dessa fall verkade dessa brottslingar rikta in sig på offer i tonåren och början av tjugoårsåldern. I ett fall, utpressning av offer för ett belopp som står i proportion till vilken typ av medel de kan ha; i det andra fallet, inriktat på deras Discord, YouTube (Google) och onlinespel (Steam). Med tanke på viktimologin måste man undra om dessa kriminella gäng är sammansatta av människor i liknande åldersintervall, och om så är fallet, valde specifika inriktnings- och lockelsemetoder som de vet skulle vara mycket effektiva mot sina kamrater.

Var ska vi gå härifrån?

Säkerhetsutövare råder människor att hålla sina datorers operativsystem och applikationer uppdaterade, att endast använda deras senaste versioner och att köra säkerhetsprogramvara från etablerade leverantörer. Och för det mesta: människor gör det, och det skyddar dem från en mängd olika hot.

Men när du börjar leta efter skissartade källor att ladda ner från kan saker och ting ta en vändning till det sämre. Säkerhetsprogramvara försöker ta hänsyn till mänskligt beteende, men det gör även kriminella som utnyttjar begrepp som rykte och förtroende. När en nära vän på Discord ber dig titta på ett program och varnar för att ditt antivirusprogram felaktigt kan upptäcka det som ett hot, vem ska du tro, din säkerhetsprogramvara eller din vän? Att programmässigt svara på och försvara sig mot angrepp på förtroende, som i huvudsak är typer av social ingenjörskonst, kan vara svårt. I den typ av scenarier som förklaras här är det användarutbildning och inte datorkod som kan vara det ultimata försvaret, men det är bara om säkerhetsutövarna får fram rätt meddelanden.

Författaren vill tacka sina kollegor Bruce P. Burrell, Alexandre Côté Cyr, Nick FitzGerald, Tomáš Foltýn, Lukáš Štefanko och Righard Zwienenberg för deras hjälp med den här artikeln, samt Neowin för att ha publicerat originalversionen av den.

Arye Goretsky
Framstående forskare, ESET

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoAiStream. Web3 Data Intelligence. Kunskap förstärkt. Tillgång här.
• Minting the Future med Adryenn Ashley. Tillgång här.
• Köp och sälj aktier i PRE-IPO-företag med PREIPO®. Tillgång här.
• Källa: https://www.welivesecurity.com/2023/05/16/you-may-not-care-where-download-software-malware-does/