Figyelem! Mac és Windows felhasználók tömeges fertőzése: a hackelt internetszolgáltatók által terjesztett szoftverfrissítések veszélye!

Új Malware Támadások Windows és Mac Felhasználók Ellen

Hackerek malware-t juttattak el Windows és Mac felhasználókhoz, miután kompromittálták egy internet szolgáltató (ISP) infrastruktúráját, és manipulálták a szoftverfrissítéseket, amelyeket biztonságos kapcsolatokon keresztül szállítottak.

A támadásról a Volexity biztonsági cég kutatói számoltak be, akik szerint a támadók routerek és hasonló eszközök hackelésével szerezték meg az irányítást egy ismeretlen ISP felett. A támadók ezután ezt a hatalmat kihasználva mérgezték meg a domain név rendszer válaszait, amelyeket hat különböző Windows vagy macOS alkalmazáshoz használtak.

A károsodott alkalmazások között szerepel a 5KPlayer, a Quick Heal, a Rainmeter, a Partition Wizard, valamint a Corel és a Sogou programjai.

A frissítési mechanizmusok nem használtak TLS-t vagy titkosított aláírásokat a kapcsolatok vagy letöltött szoftverek hitelesítésére, így a támadók képesek voltak sikeresen végrehajtani a gépen belüli (MitM) támadásokat, amelyek a célzott felhasználókat ellenséges szerverekhez irányították a szoftvergyártók helyett. Ezek az irányítások akkor is működtek, amikor a felhasználók nem titkosított nyilvános DNS szolgáltatásokat használtak, mint például a Google 8.8.8.8 vagy a Cloudflare 1.1.1.1.

A Volexity vezérigazgatója, Steven Adair online interjúban kifejtette: “Ez a szórakoztató/félelmetes rész – ez nem az ISP DNS szervereinek feltörése volt. Ez az internetes forgalom hálózati infrastruktúrájának kompromittálása volt.”

Például a 5KPlayer alkalmazás egy nem biztonságos HTTP kapcsolatot használ, hogy ellenőrizze, elérhető-e frissítés. A StormBamboo néven ismert hackercsoport DNS mérgezést használt, hogy egy károsított Youtube.config fájlt juttasson el a felhasználókhoz, amely egy PNG képnek álcázott végrehajtható fájlt töltött le.

A MACMA és a POCOSTICK néven nyilvántartott malware-ek a legújabb fenyegetések közé tartoznak. A MACMA 2021-ben került napvilágra, míg a POCOSTICK legalább 2014 óta aktív. A kutatók megállapították, hogy a malware-t ártalmatlan szoftverek legitim frissítéseivel telepítették.

Végül, a támadók a www.msftconnecttest.com domainek hijackelésével is éltek, amelyet a Microsoft használ arra, hogy ellenőrizze, hogy a Windows eszközök aktívan csatlakoznak-e az internethez.

Érdekes tény: A DNS mérgezés egy elterjedt technika a kiberbűnözők körében, amely lehetővé teszi számukra, hogy hamis válaszokat küldjenek, így a felhasználók a támadók által irányított szerverekhez csatlakoznak.

Források: Volexity, Google Threat Analysis Group