E-mailt kapott a WHO-tól? Ki ne nyissa a mellékletet

Nem meglepő, bár meglehetősen szomorú, hogy a számítógépes bűnözők kihasználnak egy olyan komoly egészségügyi problémát, mint amilyen a koronavírus-járvány. A módszereik sokoldalúak, ráadásul nem átallják felhasználni az Egészségügyi Világszervezet (WHO) nevét sem.

  • hvg.hu hvg.hu
E-mailt kapott a WHO-tól? Ki ne nyissa a mellékletet

Az IBM X-Force Threat Intelligence kutatói fedezték fel, hogy számítógépes bűnözők terjesztik újra HawkEye rosszindulatú szoftvert. A HawkEye Predator Pain néven is ismert, és már 2013-ban is felbukkant a sötét weben. Mostani reinkarnációjában a látszólag a WHO-tól érkezett e-mail, Tedros Adhanom Ghebreyesus főigazgató hivatalos üzenete mögé bújik. A felhasználótól azt kérik, hogy nyisson meg egy fájlt, és ha ez megtörténik, akkor elindul egy jelszó- és bitcoin-gyűjtő program az áldozat Windows rendszerén, méghozzá úgy, hogy a kiszemelt abból valószínűleg semmit sem vesz észre.

Az e-mail értelmében a melléklet a WHO utasítását tartalmazza a koronavírus elleni küzdelem segítésére. A felhasználót felkérik, hogy nézze meg a mellékelt fájlt, és kövesse az abban szereplő utasításokat, illetve továbbítsa a család és a barátok számára. A melléklet egy végrehajtható fájl (Coronavirus Disease (Covid-19) CURE.exe), amely állítólag a vírusfertőzésre adható gyógyszerekről informál. Az e-maileket személyre szabják oly módon, hogy az e-mail-címből kivett felhasználónevet használják.

IBM X-Force

A koronavírussal kapcsolatos gyógyszertanácsok helyett a végrehajtható fájl valójában egy HawkEye keylogger betöltő, anti-VM és anti-sandbox képességekkel, amely megpróbálja kikapcsolni a Windows Defendert, és letiltja a beolvasásokat és a frissítéseket a PowerShell használatával. Az IBM X-Force által elemezett HawkEye minta képes rögzíteni a fertőzött készülékeken végrehajtott billentyűleütéseket, rögzíthet képernyőképeket, és felhasználói hitelesítő adatokat is képes ellopni a legkülönbözőbb alkalmazásokból és a rendszer vágólapjáról, de betöltőként is működhet, és botneteket kihasználva más rosszindulatú programokat is telepíthet.

Sajnos nem csupán ezen kártevő miatt került be a WHO neve a „hacker-híradóba”. Ahogy arról mi is írtunk, az Egészségügyi Világszervezet szervereit fokozott mértékben érik támadások, méghozzá a kifejlesztés alatt álló vakcinák és a kezelési stratégiák miatt.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.

BrandLab

6 pontban arról, miért éri meg kiszervezni a bérszámfejtést
Rém hangosan és irtó közel, ráadásul óriási képernyőn
A textil második élete: hova dobhatjuk ki a használt ruháinkat és mi lesz belőlük?
2025 26. lapszám