Harvoin tietoturvatiedotteet osuvat näin ytimekkäästi: HP:n varoitus matkailijoille paljastaa evästehuijauksen, joka saattaa päätyä laitteeseesi troijalaisena. Kesälomakauden kynnyksellä matkailijoita vaanii uusi, ovelasti naamioitu tietoturvauhka.
HP Wolf Securityn tuore Threat Insights -raportti paljastaa, kuinka kyberrikolliset hyödyntävät tekaistuja matkavaraussivustoja ja niille sijoitettuja haitallisia evästepainikkeita – ja tekevät sen poikkeuksellisen kekseliäällä tavalla.
Kyseessä ei ole pelkkä huijaus, vaan monivaiheinen hyökkäys, jossa käyttäjän klikkaus ”Hyväksy evästeet” -painikkeeseen voi ladata koneelle etäkäyttötroijalaisen nimeltä XWorm. Tämä haittaohjelma antaa hyökkääjälle täyden hallinnan uhrin tietokoneeseen: verkkokamerasta ja mikrofonista aina tiedostojen varastamiseen ja kyberturvaohjelmistojen poiskytkentään asti.
HP:n uhkatutkija Patrick Schläpfer kuvailee osuvasti, kuinka GDPR:n myötä arkipäiväistyneet evästeilmoitukset ovat tehneet käyttäjistä klikkausautomaattisia – juuri se reaktio, jota hyökkääjät tavoittelevat. Kun väärennetty sivu muistuttaa aidosti vaikkapa Booking.comia ja tarjoaa kiireiselle lomailijalle mahdollisuuden nopeasti päästä eteenpäin, käy ”Hyväksy”-painikkeesta ovi haittaohjelmalle.
Tekninen ansa
Raportin mukaan hyökkäysketju alkaa JavaScript-tiedostolla, joka lataa taustalla PowerShell-skriptejä. Näiden kautta koneelle asennetaan .NET-pohjainen injektori, joka käynnistää haitallisen prosessin MSBuild.exe:n avulla. Lopullinen hyötykuorma, XWorm, ajetaan käynnistämällä sen sisältämä koodi suoraan tietokoneen muistiin.
Hyökkäyksessä käytetään myös poikkeuksellisia tiedostomuotoja, kuten Windowsin kirjastotiedostoja (.library-ms), joiden avulla uhrille esitetään tutulta näyttäviä kansioita, vaikka todellisuudessa sisältö tulee hyökkääjän hallitsemalta WebDAV-palvelimelta. Mukana voi olla PDF:ltä näyttävä pikakuvake, joka käynnistää infektion.
PowerPoint-ansoja ja MSI-haitakkeita
Raportti nostaa esiin myös muita kampanjoita, joissa käytetään PowerPoint-esityksiä, MSI-asentimia ja SVG-kuvatiedostoja haittaohjelmien levittämiseen. Erityisesti ChromeLoader-kampanjat ovat lisänneet MSI-asentimien suosiota, ja jopa GitHubia ja Google Drivea on käytetty haitallisten tiedostojen levitykseen.
HP Wolf Securityn teknologiat eristävät epäilyttävän toiminnan mikrovirtuaalikoneisiin, mikä mahdollistaa haittaohjelmien turvallisen tarkastelun. Mutta vaikka suojaukset kehittyvät, käyttäjän oma valppaus on yhä ratkaisevaa. Erityisesti lomakauden kiireessä, kun matkatarjoukset houkuttavat ja evästeiden hyväksyminen tuntuu rutiinilta, on syytä pysähtyä hetkeksi – ennen kuin koneellesi päätyy jotain paljon pahempaa kuin ylimääräinen mainoseväste.
Raportti löytyy täältä.
