Ajándékozz éves hvg360 előfizetést!
Nem meglepő, bár meglehetősen szomorú, hogy a számítógépes bűnözők kihasználnak egy olyan komoly egészségügyi problémát, mint amilyen a koronavírus-járvány. A módszereik sokoldalúak, ráadásul nem átallják felhasználni az Egészségügyi Világszervezet (WHO) nevét sem.
Az IBM X-Force Threat Intelligence kutatói fedezték fel, hogy számítógépes bűnözők terjesztik újra HawkEye rosszindulatú szoftvert. A HawkEye Predator Pain néven is ismert, és már 2013-ban is felbukkant a sötét weben. Mostani reinkarnációjában a látszólag a WHO-tól érkezett e-mail, Tedros Adhanom Ghebreyesus főigazgató hivatalos üzenete mögé bújik. A felhasználótól azt kérik, hogy nyisson meg egy fájlt, és ha ez megtörténik, akkor elindul egy jelszó- és bitcoin-gyűjtő program az áldozat Windows rendszerén, méghozzá úgy, hogy a kiszemelt abból valószínűleg semmit sem vesz észre.
Az e-mail értelmében a melléklet a WHO utasítását tartalmazza a koronavírus elleni küzdelem segítésére. A felhasználót felkérik, hogy nézze meg a mellékelt fájlt, és kövesse az abban szereplő utasításokat, illetve továbbítsa a család és a barátok számára. A melléklet egy végrehajtható fájl (Coronavirus Disease (Covid-19) CURE.exe), amely állítólag a vírusfertőzésre adható gyógyszerekről informál. Az e-maileket személyre szabják oly módon, hogy az e-mail-címből kivett felhasználónevet használják.
A koronavírussal kapcsolatos gyógyszertanácsok helyett a végrehajtható fájl valójában egy HawkEye keylogger betöltő, anti-VM és anti-sandbox képességekkel, amely megpróbálja kikapcsolni a Windows Defendert, és letiltja a beolvasásokat és a frissítéseket a PowerShell használatával. Az IBM X-Force által elemezett HawkEye minta képes rögzíteni a fertőzött készülékeken végrehajtott billentyűleütéseket, rögzíthet képernyőképeket, és felhasználói hitelesítő adatokat is képes ellopni a legkülönbözőbb alkalmazásokból és a rendszer vágólapjáról, de betöltőként is működhet, és botneteket kihasználva más rosszindulatú programokat is telepíthet.
Sajnos nem csupán ezen kártevő miatt került be a WHO neve a „hacker-híradóba”. Ahogy arról mi is írtunk, az Egészségügyi Világszervezet szervereit fokozott mértékben érik támadások, méghozzá a kifejlesztés alatt álló vakcinák és a kezelési stratégiák miatt.
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.
