Egy óvatos felhasználó tudhatja, hogyan néznek ki általában a gyanús weboldalak, és nem tölt le kalózszoftvereket, nem futtat kétes fájlokat. Ha egy fájl eredetében bizonytalan, még a VirusTotal.com-on is ellenőrzi, mielőtt megnyitja. De ha egyben kíváncsi természetű is, akkor néha kipróbál új alkalmazásokat, amelyek megkönnyítik az életét. Például rátalál egy receptes oldalra, és szívesen kipróbál néhányat. Aztán eszébe jut egy régi balatoni nyaralás, és keres egy AI-alapú képjavító weboldalt, hogy a régi fotókat feljavítsa. És ekkor jön Jacky – egy fiatal, kedves rajzolt női figura, aki más barkácsötletek mellett azt is megmondja, hogyan javítsa meg a fürdőszobaajtó kilincsét.

A fent említett weboldalak valóban léteznek, és mind profin néznek ki. Nincsenek rajtuk helyesírási hibák, de van „Rólunk”, „Adatvédelem” és „Felhasználási feltételek” menüpontjuk – semmi nem tűnik gyanúsnak első látásra. A receptoldalon több száz recept található meg, a barkácsötleteket adó AI-segéd pedig valóban hasznos ötletekkel szolgál. Ilyen esetben a felhasználók jelentős része kedvet érez, hogy az ingyenesen elérhető asztali alkalmazást is letöltse, hogy még könnyebben tudjon keresni a gyűjteményekben. Mivel a VirusTotal sem jelez veszélyt a letöltött alkalmazásokra, az óvatosság, ami évekig megvédett, itt már nem működik.

Barkács Jacky például a háttérben ütemezett feladatot hoz létre, amely naponta többször is futtatja a kódját, és ugyanarról a szerverről, ahonnan a tanácsokat kapod, titkos utasításokat is lehív. A receptes app tényleg recepteket tölt le – de a szövegben elrejtett láthatatlan karakterek parancsokat hajtanak végre. Az AI-képfelismerő pedig a fotóért cserébe hozzáférést ad a géphez a támadóknak.

A G DATA arra figyelmeztet, hogy ezek már nem elszigetelt esetek – ez egy teljes értékű trójai faló reneszánsz.

Mi változott?

A „trójai” szó a kiberbiztonságban sokszor mást jelent: lehet bármilyen nem önszaporító kártevő, megtévesztő fájl, vagy akár a malware szinonimája. A klasszikus értelemben vett trójai faló viszont egy hasznos programba ágyazott kártékony kód, ami a hasznos funkció nélkül nem létezhet. Az elmúlt 10-15 évben ezek ritkábbak voltak, helyettük inkább harmadik féltől származó „összecsomagolók” jelentek meg. Most azonban a mesterséges intelligencia mindent megváltoztatott.

MI és vírusirtó-kijátszás

A támadók eddig is használták a VirusTotalhoz hasonló rendszereket a felismerés elkerülésére. A VT szkennerei főleg statikus elemzést végeznek, így egy új kártékony kód gyakran átcsúszik rajtuk. Korábban a felismerés után ehhez a teljes kód újraírására volt szükség, ami sok munka a bűnözők számára – most viszont a mesterséges intelligencia percek alatt előállít egy új, ismeretlen kódrészletet.

Az AI motorok ráadásul nemcsak a kódot generálják le, hanem segítenek profi, megbízhatónak tűnő weboldalakat és alkalmazásokat készíteni, amelyek megtévesztik a felhasználókat és az alap szkennereket is. Az említett példákban közös, hogy mindhárom weboldal jobb felső sarkában ott van egy letölthető alkalmazás linkje – és a letölthető alkalmazás egy látszólag hasznos segédprogram, de valójában trójai falóként működve a háttérben kártékony folyamatokat futtat.

Mi a megoldás?

Régóta ismert, hogy a hagyományos, statikus vírusdefiníciók nem elegendők a felismerésre. Ha a VirusTotal nem ismer fel egy fájlt kártékonynak, az önmagában még nem jelenti azt, hogy a fájl biztonságosan megnyitható. Ilyenkor a gépre telepített vírusvédelem viselkedésalapú, kontextusérzékeny és dinamikus elemzése adhat védelmet. A JustAskJacky például azzal bukhat le, hogy véletlenszerű időközönként futtat feladatokat a háttérben – ezeket a telepített vírusvédelem felismerheti.

A felhasználóknak pedig tudniuk kell: a „józan paraszti ész” és a gyanús jelek figyelése már nem mindig elég, mivel a támadók mesterséges intelligenciát használnak a hitelesség látszatának megteremtésére. Ezért érdemes például a keresőkben, fórumokon is tájékozódni egy-egy alkalmazásról, és a frissített vírusvédelem használata is ajánlott.

A megállapítás a Microsofttól származik, a cég elemzői több kampányt is megfigyeltek, amelynek során a szankciókkal sújtott ország – feltehetően állami kötődésű – hackercsoportjai hamis profilokat hoztak létre a LinkedInen, majd toborzókat és álláskeresőket céloztak meg ezek segítségével.

A hackerek hamis készségfelmérő portálokat hoztak létre – gondoljunk itt akár általános intelligenciatesztekre, akár valamilyen speciális ismerettel kapcsolatos tesztekre, nyelvi felmérőkre –, és ezeket használták az áldozatok gépének megfertőzésére.

Ha valaki jelentkezni szeretett volna egy meghirdetett állásra, elirányították, hogy töltse ki a teszteket, ehhez pedig az operációs rendszerétől függően egy AppleScript (.scpt) vagy Visual Basic Script (.vbs) fájlt is küldtek neki, amely látszólag a teszt futtatásához volt szükséges.

A szkripteket azonban rosszindulatú programokat telepítésére használták, majd a gépekről hitelesítő adatokat és kripotvaluta-pénztárcákat loptak. Mindehhez a hackerek befektetési bankok és pénzügyi szolgáltatók toborzást végző HR-munkatársának adták ki magukat a LinkedInen.

Az észak-koreai hackerek másik módszere, hogy a közösségi portálon kockázati tőkésnek adták ki magukat, majd befektetésre váró kis- és középvállalatok ügyvezetőjével szerveztek le online találkozókat. Amikor az áldozat megpróbált csatlakozni az értekezlethez, hibaüzenet jelent meg számára, és a probléma elhárításához őt is egy (fertőzött) kód telepítésére kérték.

A kampányban szerepet játszottak más országban üzemeltetett észak-koreai fedőcégek is, amelyeken keresztül a beavatott vagy éppen mit sem sejtő alkalmazottak bankszámlákat nyitottak és telefon-előfizetéseket kötöttek.

Egyes esetekben a hackerek olyan mesterségesintelligencia-platformokat is használtak, mint a Faceswap, hogy minél meggyőzőbb, professzionális megjelenésű LinkedIn-profilokat hozzanak létre, és a Microsoft beszámolója szerint a hanghívások során már hangmódosító, hangváltó szoftvereket is használnak.

Hogyan védekezhetünk az ilyen csalások ellen?

A G DATA arra figyelmeztet, hogy a gépünkre ne telepítsünk ismeretlen helyről származó szoftvereket, kódokat, akkor sem, ha ezt kérik tőlünk. Egy valódi képességfelmérő futtatásához nem szükségesek pluszprogramok, ezek szinte minden esetben úgy vannak elkészítve, hogy kompatibilisek legyenek az elterjedt böngészőkkel.

Ne adjunk távoli hozzáférést a gépünkhöz ismeretlen terméktámogatási csapatnak sem, mert ilyenkor kikerül a kezünkből az irányítás, és a gépünkre rejtett kártevők települhetnek.

Végül ellenőrizzük a felkeresett weboldalak webcímét, különösen a címben szereplő utolsó pont előtti és utáni részt. A www.cegneve.atveres.com domain például az atveres.com oldalhoz tartozik, és a cegneve.hu.atveres.com is ugyanide tartozik. A fontos információ mindig az utolsó pont előtt és után van közvetlenül. A pont előtti rész mutatja a webcímet, a pont utáni rész pedig azt, hogy milyen országhoz (vagy domaintartományhoz) tartozik az adott domain. A bankneve.hu/atveres így valódi weboldal a példában, amelyen a bank tájékoztatja az internetezőket a nevében elkövetett átverésekkel kapcsolatban.

A WordPress magasan a legnépszerűbb internetes tartalomkezelő rendszer, majdnem minden harmadik weboldal ezen fut. Nem véletlen, hogy a bűnözők is kedvelik, akik átveréssel veszik rá a weboldalak tulajdonosait a fertőzött kiegészítők telepítésére.

A WordPress segítségével programozói tudás nélkül is tetszetős weboldalak készíthetők, a fejlesztést rengeteg ingyenes és fizetős kiegészítő teszi könnyebbé. Az egyik legnépszerűbb a Revolution Slider, amellyel mutatós mozgó bannereket lehet készíteni. Ez azonban fizetős plugin, körülbelül 7 ezer forintot kell fizetni a használatáért, ráadásul a frissítéseket is meg kell vásárolni.

Nem véletlen, hogy sok weboldal-tulajdonos ahelyett, hogy a hivatalos webáruházban megvásárolná a különböző kiegészítőket, inkább ingyenesen próbál meg hozzájutni ezekhez. Ez pedig lehetőséget teremt a bűnözők számára, akik különböző hamis weboldalakon tucatjával helyezik el a népszerű WordPress-bővítmények fertőzött változatát. Ráadásul a jelenség egyre elterjedtebb. A bűnözők ügyesen terjesztik a termékeiket, így azok gyakran a Google első találati oldalán szerepelnek a keresési eredmények között.

A G DATA elemzője most tüzetesen megvizsgálta a Script.Backdoor.Wp-Vcd.A nevű kártevőt, melyet egy népszerű letöltési oldalon találtak meg a Revolution Slider bővítményben. Az elemzés eredménye szerint, ha valaki ezt a változatot telepíti, úgy gyakorlatilag egy hátsó ajtót nyit a bűnözőknek a weboldalához. Onnantól kezdve a hacker a weboldal látogatóit átirányíthatja más oldalakra. Így el lehet téríteni például egy törvényesen működő internetes bolt fizetési oldalát, és a bűnözők megszerezhetik a vásárlók bankkártyáinak adatait. A G DATA becslése szerint a fertőzött bővítményt tartalmazó weboldalt csak idén januárban több mint 880 ezer látogató kereste fel, és ha csak a töredékük telepítette a kártékony kiegészítőt a weboldalára, máris több ezer fertőzött WordPress-oldal jött létre. A biztonsági cég ezért arra hívja fel a figyelmet, hogy egy webáruház üzemeltetése felelősséggel is jár, és az minden honlaptulajdonostól elvárható, hogy a különböző bővítményeket a hivatalos forrásból vásárolja meg.