BitDefender, liderul pieţei româneşti de securitate a informaţiilor, a descoperit o nouă ameninţare virtuală care foloseşte tehnici avansate de inginerie socială pentru a păcăli utilizatorii să descarce un troian pe sistemul lor, ca mai apoi să le dezinstaleze soluţia antivirus şi să conecteze calculatoarele compromise într-o reţea de distribuţie malware.
Un film despre tine, cu numele tău în titlu şi o mulţime de comentarii de la prietenii de pe Facebook, iată cum poţi fi păcălit să accesezi un link periculos şi să descarci troianul care îţi dezinstalează soluţia antivirus şi permite atacatorilor să preia controlul asupra calculatorului.
Mecanismul de răspândire a troianului este unul extrem de ingenios. Mai întâi alege un utilizator de Facebook, pe care îl anunţă despre existenţa unui film postat pe Youtube, în care chiar el este protagonistul. Filmuleţul pare a fi autentic, deoarece conţine o mulţime de comentarii din partea prietenilor de pe Facebook. În plus, pentru ca totul să fie cât mai credibil, filmul afişează în titlu chiar numele utilizatorului, extras din profilul său de Facebook.
„Cu această ameninţare, infractorii cibernetici au dus tehnicile de inginerie socială la un cu totul alt nivel. Utilizatorul este hărțuit cu mesaje personalizate şi foarte bine ţintite, informaţiile folosite fiind extrase chiar din contul său de Facebook. Astfel, totul este conform cu realitatea și astfel extrem de credibil”, a declarat Cătălin Coşoi, Head of Online Threats Lab, BitDefender.
Atunci când utilizatorul doreşte să vizualizeze filmul, i se cere să instaleze o versiune actualizată a plugin-ului de Flash care, de fapt, este o falsă soluţie antivirus cu funcţii de downloader şi de bot (duce la instalarea unor programe periculoase care permit controlul de la distanţă al calculatorului compromis). Falsul antivirus copiază în detaliu interfaţa şi comportamentul soluţiei antivirus folosită de utilizator şi recomandă repornirea sistemului pentru a finaliza procedura de dezinfecţie. În realitate, această acţiune este folosită pentru dezinstalarea soluţiei antivirus autentice, care va fi înlocuită cu o replică fidelă, dar fără funcţionalităţi de protecţie.
Falsa soluţie antivirus poate să imite 16 produse diferite de securitate. Mesajele de avertizare sunt scrise în limba setată inițial de către utilizator. După dezinstalarea soluţiei antivirus funcţionale, componentele de descărcare şi bot permit atacatorilor virtuali să preia controlul asupra calculatorului compromis şi să îl folosească în acțiuni malițioase dintre cele mai diverse.