Hamis Facebook hirdetésbe botlottam, aminek a mélyére ásva megtaláltam az internet egyik sötét világát!

Figyelem! Fel szeretném hívni a figyelmet, hogy a cikkben található oldalakat ne látogassátok meg, mivel vírusos állományokat és rosszindulatú programkódokat tartalmaz. Ez a blogbejegyzés nem útmutató a veszélyes webhelyek felkeresésére, hanem az óvatosságra és az internet veszélyeire hívja fel a figyelmet!

Manapság a digitális világ fejlődésével, a közösségi oldalakon található hirdetések rengeteg álhírt, átverést és adathalász tevékenységet rejtenek, ami méginkább a bűnőzök melegágyává vált, főleg a koronavírus-helyzet következtében a rengeteg otthonról internetező miatt. Ezek az átverések általában egy pszichológiai trükkön alapulnak (megtévesztés egy kitűnően kedvező ajánlatról, siettetés a mielőbbi döntéshozáshoz, stb…) aminek sajnos naponta több ezer ember esik áldozatul.

Ez volt az a hirdetés, ami eljutott hozzám. A szöveget lefordítva egy kitűnően jó ajánlatot kínálnak, Google hirdetés formájában, ami egy 300 eurós kupont kínál a Google Ads használatához (a Google Ads a Google hirdetések létrehozásához szolgáló oldal).

Na de mi a baj ezzel a hirdetéssel?

Az oldalra kattintott és „generált txt” állomány valójában egy vírus, ami nemcsupán megfertőzi a gépünket, hanem csatlakoztatja egy úgynevezett zombi-hálózatra (botnetre), amivel a tudtunk nélkül használják fel eszközünket globális DoS támadásokra, spamelésre, és más rosszindulatú célokra.

De ez még mindig csak a jéghegy csúcsa.

Visszatérve a kis hirdetésünkhöz, normál esetben gyanútlan áldozatként mi történne ezzel?

Rákattintunk a hirdetésre, ami betölti az alábbi oldalt.

Rákattintunk a „{} Generate Code” gombra (ahonnan gondosan elrejtették az url-t), majd a Google Drive-ra feltöltött fájlt letöltve, megnyitjuk a promóciós kódot.

Majd az „AdsCouponCode.zip” állományt letöltve és futtatva, megnyílik a böngésző, ahol meg is jelenik egy 14 karakteres kód, ami akár lehetne is egy promóciós kód. Ezt tesztelve rájövünk, hogy ez az egész egy nagy átverés (és most a lehető legfinomabban fejeztem ki magam) és sajnáljuk az elmúlt másfél percünket amíg erre áldoztuk az időnket. Na de üsse kő, mit vesztettünk, el is felejtjük ezt a dolgot. Ezek után pár napig a hackerek társaságában éljük a digitális életünket a számítógépen, mivel

a háttérben a program futtatásával olyan dolgokat indítottunk el, aminek hosszútávú következményei, akkora károkat okoznak, ami már nem mérhető fel anyagi javakban.

1. Minden gépen tárolható adatot ellopnak: jelszavak, képek, böngészési előzmények és sütik
2. Folyamatos megfigyelést kapcsolnak be: webkamera, e-mail üzenetek olvasása, billentyűzetrögzítés, képernyőkép- és videófelvétel készítés a webkameráról és a képernyőről

és még mindig nem soroltam fel az összes dolgot, amit ez a program csinál a háttérben – a tudtunk nélkül.

A jelenlétét észre sem vennénk pár napig, de miután minden létező dolgot megtudott rólunk, amit csak lehet, működésbe lép az általunk is észlelhető veszély: egy zsarolóvírus formájában, eltitkosítja az egész számítógépet az összes adatunkkal együtt – váltságdíjért cserébe. A számítógépünk használhatatlanná válik, az adataink nem elérhetők. Ilyenkor két lehetőség merülhet fel bennünk:

1. Kifizetjük az esetlegesen igen magas váltságdíjat bitcoinban
2. Elvisszük szervizbe, ahol reménykedünk, hogy tudnak vele valamit kezdeni

A fizetésnél nincs garancia az adatok visszaszerzésére. Sőt, állítólag vagy még több pénzt követelnek vagy ha mégis visszaállítják a gépünket egy úgynevezett „backdoor”-t, azaz hátsó ajtót hagynak, egy következő lecsapásra. „Természetesen” a megfigyelés nincs benne a váltságdíj árában, ezért a 0-24-es „livestream” a számítógépünkről folytatódna. Ha mégis jól járunk és mindenünket visszakapjuk, kötelező a számítógép újratelepítése.

Szervizelés esetén (mivel az adatokat a titkosítás végett nem lehetett megmenteni) a technikus újratelepíti a számítógépet, ami mindent megsemmisít a winchesterről. Innentől lesz egy új operációs rendszerünk, ami már mentes a vírusoktól, de sajnos a régi adatainktól is.

Röviden ez történik a fájl gyanútlan futtatásakor.

De! Térjünk vissza a „promóciós kódunkhoz” és nézzünk bele mi áll ennek az egésznek a hátterében, mivel ez számítógépek millióit érinti és egy komoly hacker-hálózat áll a jelenség mögött.

A tesztelést egy speciális Linux rendszeren végeztem, ami kifejezetten az ilyen rosszindulatú fenyegetésekkel szemben nyújt védelmet.

Megnyitva a letöltött fájl forráskódját, már látszik is, hogy nem egy átlagos promóciós kód. Egyrészről ez nem is egy TXT fájl, hanem egy HTML dokumentumból futtatható program (*.hta), amit jelen esetben a számítógép megfertőzésére programoztak (mint pl. egy telepíthető program egy „*.exe” kiterjesztést).

A képeken kitűnően látszik, hogy megjelenítve a promóciós kódot a háttérben elindít egy javascript nyelven megírt programkódot. A soronkénti értelmezéssel, jelen esetben nem foglalkozunk, kizárólag a működést elemezzük.

A lényeg az URL: a script egy IP címen keresztül szerzi a szükséges lépéseket/feladatokat.

Megnyitva ezt az IP-címet, egy fehér oldalon egy lista töltődik be, tele linkekkel.

A linkek többsége valamilyen rosszindulatú programkódhoz vezet, amivel figyelik és irányítják gépek milliót! Ez a Spiderman Botnet!

és ez nem egy összeesküvés-elmélet, sajnos ez a valóság.

Végignéztem egyesével a képen látható összes linket, itt vannak felsorolva a főbb tevékenységek miket is csinál a futtatott programkód:

• Visszafejti a böngésző által titkosított sütiket (deencrypt-cookies), ezáltal is a későbbi zsaroláshoz felhasználható anyagok után kutatva (intim témájú oldalak, vagy egyéb, a rólunk felépített profilba kompromittálónak minősülő adatok kiszivárogtatásával fenyegetve)
• Billentyűzetrögzítés
• Adatfeltárás (jelszavak, képek után kutatva)
• Adattitkosítás majd a kriptopénzzel történő fizetési lehetőségek biztosítása
• Outlookba vagy más e-mail kiszolgálóba beépülve az üzenetek olvasása, későbbi célzott támadáshoz (pénzcsalás, zsarolás, stb..) és több millió spam kiküldése a felhasználói fiókon keresztül
• Hálózaton más védtelen számítógépek és egyéb eszközök után kutat, ahol tovább terjesztheti magát
• Képernyőképek és videók készítése az eszközről
• Webkamera és mikrofon rögzítés
• Zombihálózatra „becsatlakozás” világméretű digitális támadások lebonyolítása
• Cryptobányászat a számítógépen. Valószínűsíthetően a számítógépünk, a hackerek szolgálatába állítva cryptovalutákat termel a gépünk segítségével
• Megtévesztő vírusos hirdetések, üzenetek megjelenítése és feltört fiókokból további hirdetések futtatása
• További letölthető vírusok

Egy két programkódot bemutatok, ezek nyíltan fent vannak a világhálón a Google keresési találataiban bárki számára elérhetőek, aki komolyabban foglalkozik a témával (megjegyzem a weboldalt üzemeltető személyek is ezt tették, mert a programkódba „hanyagul” belinkelték a megjegyzésekbe, hogy melyik oldalról másolták a scripteket).

(Kattints a képre a továbbiak megtekintéséhez)

A történet sajnos ezzel befejeződik. Több biztonsági szakértővel egyeztetettem és elmondásuk alapján, ezek ellen nem lehet sok mindent tenni. Rendőrségi feljelentéssel nem megyünk sokra, mivel nem a saját országunkban történik, hanem az esetünkben Törökországban (bár országon belül sem valószínű, hogy tudnának bármit is kezdeni vele). Konkrét megkárosítás esetén sem tudnák elkapni a tettest, mivel ezek a személyek többnyire férgekhez hasonló digitális életet folytatnak: sokasodnak, másokon élősködve nyerészkednek.

Feltört Facebook profilokon és hirdetési fiókokon keresztül hirdetik és terjesztik a vírusokat (mint a képen látható hirdetést is), ezek mellett cégek feltört szerverein tárolják a rosszindulatú programjaikat és üzemeltetik a böngészőben is látható vírushálózatot, amiket valószínűleg órákon belül át tudnak költöztetni más szerverekre. Ugyanígy az IP címekkel és gyakorlatilag majdnem mindennel ez a fajta gyakorlat történik ezért nagyon nehéz fellépni ellenük, mert egy roppant komplex és kifinomult több országot érintő rajtaütéssel lehet csak egy-egy ilyen jelenséget megfékezni.

Zárószó

Jelen esetben mi csupán keveset tehetünk: Jelentjük a Facebooknak az oldalt és a megjelenített hirdetést, ezenfelül a Googlenek a csaló weboldalt és az IP-címet ezen az oldalon keresztül: https://safebrowsing.google.com/safebrowsing/report_phish/

Megelőzve a bajt, egy fizetős vírusirtó telepítése az első számú védelem, illetve a megfelelő óvatosság az ilyen típusú „jó ajánlat”-tokkal szemben.

Ha sajnos mégis megtörténik a baj és a csalás áldozatai lettünk – azaz a programot lefuttattuk – de még nem kapcsolt be a zsarolóvírus, akkor azonnal ki kell kapcsolni a számítógépet (és utána nem szabad bekapcsolni, mivel ez aktiválhatja a zsarolóvírust). El kell vinni egy szervizbe, minden adatot lementetni és újratelepíteni a gépet, illetve minden használt jelszót megváltoztatni egy újra, és reménykedni, hogy privát adatok nem kompromittálódtak. Bár ez  sajnos még mindig nem elég mert ott van még a többi védtelen számítógép, amit otthon használtunk, könnyen megfertőződhettek. Ilyenkor érdemes egy rendszergazdát felkeresni, hogy felmérje a károkat.

Amennyiben már eltitkosították a gépünket, csak egy választás van: visszaállni mentésekből, ha nincs akkor sajnos nagy valószínűséggel mindenünk odaveszett a titkosításba, és nincs mit tenni, kezdeni elölről. Ezért is érdemes legalább egy kicsit biztosítani a védelmet a számítógépünkön, felhős tárhelyet választani, fizetős vírusirtóra előfizetni, vagy laptop esetén az alábbi laptoptakarót megvásárolni, a webkamera rögzítés ellen:

Ha bármilyen ezzel vagy más témával kapcsolatos kérdésed van, nyugodtan keress minket bizalommal.

E-mail címünk: office@liveit.sk

Telefonszám: +421 915 855 548

Ez a cikk egy kicsit szakmaibb a szokásosnál, de mindenképp fel szeretném hívni a figyelmet, hogy egy „ártalmatlan promóciós kóddal” mekkora veszélynek tehetjük ki a gépünket, vagy akár az egész magánéletünket. A témát kétfajta szemszögből tekintjük át. Ez a rész a vírus (esetleges) számítógépre telepített tevékenységét mutatja be, míg a másik ezeknek a fenyegetettségeknek a megelőzéséről szól.

Bár az IP-címet néhány helyen kitakartuk igazából, aki nagyon meg szeretné találni, az úgy is talál rá módot, hogy felkereshesse az oldalakat. Ezek a fertőzött oldalak továbbra is elérhetőek voltak a cikk megírásakor is. Ismételten fel szeretnénk hívni, a figyelmet, hogy ezeket az oldalakat ne látogassa meg senki, mivel vírusos állományokat és rosszindulatú programkódokat tartalmaznak. Ez a blogbejegyzés nem útmutató a veszélyes webhelyek felkeresésére, hanem az óvatosságra, a körültekintés fontosságára és az internet veszélyeire hívja fel a figyelmet! A LiveIT s.r.o. nem vállal felelősséget, ha valaki ebből a blogbejegyzésből adódóan anyagi, vagy bármilyen egyéb károsodást szenved.

Köszönöm, hogy végig olvastad a blogot. Mindenkinek biztonságos internetezést kívánok, legyünk résen az átverésekkel szemben!

Update: Elkészült a következő rész, ha érdekel ennek egy ilyen típusú támadás megelőzése olvasd el az alábbi cikkünket:

Facebook hirdetésben terjedő vírusok (2. rész)