Salausvaluutan ympärillä pyörivä rikollinen toiminta ei ole mitään uutta. Kun ihmiset piilottavat kaivostyöläiset palvelimille ja huijarit käyttävät valuuttaa keinona ansaita rahaa, kryptovaluutta on nähnyt sen kohtuullisen osuuden pahasta toiminnasta. Viimeisin kryptovaluuttamaailman hyökkäys pyrkii ohjaamaan hiljaisesti hyökkääjälle suoritetut maksut aiotun vastaanottajan sijaan.
Kuinka se toimii?
Haittaohjelma löydettiin ensimmäisen kerran Pirate Bayn torrenteista. Muutama video, kuten ”Tyttö hämähäkinverkossa” -lataus, sisälsi oudon videotiedostoksi naamioidun .LNK-tiedoston. Kun tiedosto oli avattu auki nähdäksesi, mitä se tekee, ihmiset löysivät erittäin harhaanjohtavan haittaohjelman, jonka tarkoituksena oli kaapata käyttäjän selauskokemus.
Se näytti aluksi melko ”harmittomalta” – se tarkisti, onko käyttäjä käynyt tietyllä verkkosivulla, ja sitten pistää mainoksia sivustoon ansaitsemaan tuloja haittaohjelmien jakelijoille. Pienemmän analyysin jälkeen havaittiin, että se teki paljon enemmän – se yritti huijata ihmisiä maksamaan kryptovaluutta jonkun toisen lompakkoon!
Osoitteen kaappaus
Haittaohjelmalla oli muutama erilainen hyökkäystapa. Yksi heistä sisälsi Google-haun kaappaamisen, jotta haitalliset tulokset saataisiin huipulle. Se myös ruiskutti mainoksia Googlelle, jotta kehittäjät saisivat hieman ylimääräistä rahaa.
Kun menet syvemmälle koodiin, löydät lisää huolestuttavia hyökkäystapoja. Yksi heistä kohdistuu nimenomaan Wikipediaan. Kun käyttäjä vierailee sivustolla, haittaohjelma tuottaa väärennetyn lahjoituspyynnön, joka sisältää linkit kryptovaluutta lompakkoon. Lompakon linkki ei kuitenkaan ole Wikipedian linkki; se linkittää haittaohjelmakehittäjän lompakkoon. Jokainen, joka seuraa pyyntöä, ei auta lainkaan Wikipediaa; he vain asettavat taskut ihmisille, jotka ovat kehittäneet tämän haittaohjelman!
Hyökkäys menee askeleen pidemmälle tunnistamalla automaattisesti, milloin BitCoin-lompakon linkki ilmestyy verkkosivulle. Kun se löytyy, se korvaa hiljaa linkin, joka ohjaa haittaohjelmakehittäjän omaan lompakkoon. Jos et ole koskaan ennen nähnyt lompakon linkkiä, ne ovat näennäisesti satunnaisia merkkijonoja kirjaimista ja numeroista. Ellei käyttäjällä ollut ennakkotietoa siitä, miltä lompakkolinkki näytti, heillä ei olisi mitään syytä uskoa linkin vaihtaneen nenänsä alta.
Kuinka voittaa se
Onneksi tätä haittaohjelmaa ei ole liian vaikea välttää. Se riippui siitä, että käyttäjä latasi elokuvan The Pirate Bay ja avasi sitten tiedoston, jolle annettiin samanlainen tiedostonimi kuin muille elokuvatiedostoille. Onneksi tiedostoa tarkemmin tarkasteltaessa paljastui, että se ei ollut ollenkaan elokuvatiedosto; se oli .LNK, jota ei koskaan käytetä elokuvien toistamiseen. Jos käyttäjät tutkivat lataamansa tiedoston, he eivät olisi tartuttaneet itseään haittaohjelmiin.
Tämä osoittaa, että on tärkeää tarkistaa tiedostot uudelleen ennen niiden lataamista tai suorittamista, etenkin laittomista tai epäluotettavista lähteistä. Jos tiedosto näyttää ”outolta” tai käyttää erilaista tiedostotyyppiä kuin odotit, ole varovainen ja varmista, että tiedät avaamasi tiedot ennen kuin teet niin.
Vääriä tiedostoja
Tämän uuden krypto-valuutan haittaohjelman avulla pyörii, se muistuttaa meitä siitä, kuinka tärkeää on tarkistaa tuntemattomista lähteistä avaamamme tiedostot. Nyt tiedät uudesta haittaohjelmasta ja miten se toimii.
Luuletko, että kryptovaluuttaan perustuvat hyökkäykset ovat vuoden 2019 yleisimpiä haittaohjelmia? Kerro meille alla.
Kuvahyvitys: Nukkuva tietokone