This post is also available in:
English (אנגלית)
המרכז הלאומי ההולנדי לאבטחת סייבר (NCSC) פרסם אזהרה בנוגע למסע תקיפה עולמי נרחב, במסגרתו מופצת תוכנה זדונית באמצעות תוכנות שנראות לגיטימיות – כגון עורכי PDF וכלי חיפוש ידניים. הקמפיין מכוון הן למשתמשים פרטיים והן לארגונים, והופך מחשבים שנדבקו לכלים שמסתירים פעילות פלילית ברשת.
שחקנים זדוניים מסווים את התוכנות המזיקות ככלים שימושיים יומיומיים, ומקדמים אותן באמצעות פרסומות מקוונות. בין היישומים המשמשים כפיתיון ניתן למצוא את ManualFinder וכלים שונים לעריכת קבצי PDF. לאחר התקנתם, התוכנה מפעילה קוד זדוני באופן שקט, שמעניק לתוקפים שליטה על מכשיר הקורבן.
על פי NCSC, מערכות שנפגעו מנוצלות בתור "פרוקסי מגורים" (Residential Proxies), כלומר – התוקפים מנתבים דרכן תעבורה אינטרנטית, וכך משתמשים בכתובת ה-IP של הקורבן. בדרך זו, התעבורה הזדונית נראית כאילו היא מגיעה ממשק בית רגיל באותה מדינה של היעד, מה שמקשה מאוד על צוותי אבטחה לזהות או לאתר את מקור הפעילות האמיתי.
בדרך כלל, הקוד הזדוני מריץ קובץ JavaScript שמתקשר עם מספר שרתי פיקוד ובקרה (C2), ומעניק לתוקפים גישה מרחוק למערכת. החוקרים זיהו גם אפשרות לגישה לנתוני הדפדפן של המשתמש, אם כי היקף הגישה המלא עדיין נמצא בבדיקה. ייתכן שקיים קשר ל-OneStart Browser, תוכנה שמגיעה לעיתים כחלק מהתקנה של תוכנות חינמיות. אף שאינה מוגדרת כתוכנה זדונית, כמה ספקי אנטי-וירוס מסווגים אותה כתוכנה שאינה רצויה (PUA), בשל הקשר שלה להפצת תוכנות פרסום ורוגלות.
מספר המכשירים שנפגעו אינו ידוע, אך ב-NCSC מציינים כי קלות ההתקנה וההפצה באמצעות פרסום מעידים שהקמפיין עשוי היה להגיע לקהל רחב. אף כי הפעילות הנוכחית בקמפיין ירדה, מערכות שנדבקו בעבר ממשיכות להיות פגיעות.
ה-NCSC קורא לארגונים לנקוט צעדים פרואקטיביים, כולל חסימת דומיינים זדוניים ידועים וסריקת הרשתות לאיתור סימנים לפגיעה. כרגיל, מומלץ להוריד תוכנות אך ורק ממקורות מהימנים ולהיות ערניים במיוחד כאשר נתקלים בפרסומות מקוונות לתוכנות.
