A mondás szerint ajándék lónak mindig nézzük meg a fogát, mert néha kiderülhet, hogy a trójai fajtához tartozik. Trójainak nevezzük azt a programot, ami rejtetten valami mást is csinál, mint amit magáról eredetileg állít. A vírussal fertőzött hamis alkalmazások témája már nem először kerül a címlapra.
Az egyik legemlékezetesebb átverés talán a 2015-ös Potao incidens volt, ahol a Truecrypt fájl- és lemeztitkosító szoftver nevével éltek vissza. Az orosz illetőségű Sandworm csoport kémprogrammal fertőzött letöltési csomagokat terjesztett, így aki a hamis truecryptrussia.ru weboldalról töltötte le a 2014-ben lezárt fejlesztésű nyílt forráskódú titkosító szoftvert, az az orosz nyelvű lokalizált változat esetében egy kémkedő trójaival megfejelt alkalmazást kapott.
Az akkori akció egyik fő célja az volt, hogy ukrán tisztviselők és újságírók után kémkedjenek.
A mostani új, kifinomult kibertámadási esetnél a csalók hamis KeePass jelszókezelő programot terjesztettek, amelyeket online Bing keresőhirdetéseken keresztül népszerűsítettek, és az itteni kattintások megtévesztő weboldalakra vezettek, ahonnan a megpiszkált telepítőcsomagokat lehetett letölteni. A hamis KeePass telepítője egy "KeeLoader" nevű trójai programot is tartalmazott, amely a valódi jelszókezelő funkciók mellett a Cobalt Strike hacker eszközt is telepítette, amely lehetővé tette a támadók számára a rendszer távoli irányítását.
Az eredetileg pentester programot bűnözők is előszeretettel használják, hogy hozzáférjenek számítógépekhez, ellopják onnan a jelszavakat, és távolról további rosszindulatú programokat telepítsenek.
A hamisított program működése szinte teljesen megegyezett az eredetiével, így a felhasználók nehezen észlelték a csalást. A kampány során a hamisított program a felhasználók jelszó-adatbázisát is ellopta, és továbbította azt a támadóknak.
Ezután a megszerzett hozzáférésekkel a támadók zsarolóvírust telepítettek a VMware ESXi szerverekre, ahol titkosították az adatokat, majd váltságdíjat követeltek a visszaállításért.
Egyes szakértők szerint az akciónál kapcsolat feltételezhető a Black Basta zsarolóvírus-csoporttal. A támadók a siker reményében több különböző hamis weboldalt is létrehoztak, például keeppaswrd PONT com és keegass PONT com címeken, hogy minél több áldozatot elérhessenek.
Ez utóbbi oldalak a cikk írásakor már nem éltek.
A kiberbűnözők egyre kifinomultabb módszereket alkalmaznak, és még a neves, megbízható szoftverek nevét is felhasználják a támadásaikhoz. Mit tehetünk a védelmünk érdekében, és hogy megelőzzük az ilyen támadásokat? Mindig a hivatalos weboldalakról töltsünk le a szoftvereket, sose kattintsunk hirdetésekre vagy ismeretlen linkekre.
Gyakran lehet olvasni egy olyan incidensről, amelynél valaki a kereső találatok között megtévesztő hirdetésre kattintott egy olyan linkre, amely a legitim banki oldalnak tűnik, aztán ellopják az összes pénzét.
Használjunk megbízható vírusirtó programot, rendszeresen frissítsük a szoftver környezetet a biztonsági javításokkal, és figyeljünk a gyanús jelekre. Ha viszont valaki már telepítette a hamis KeePass programot, akkor az eltávolítás után is sok teendője lesz. Egy alapos vírusellenőrzés után a jelszavait is érdemes lesz azonnal megváltoztatnia.
Nyilván az eredeti KeePass rendben teszi a dolgát, de ha ez valaki számára égi jelnek tűnik egy esetleges váltásra, bőven van még miből választani. Az ESET Home Security Premium csomagban is található egy teljes értékű jelszó menedzser, de ha valaki egyéb thirdparty jelszószéf alkalmazást keres, ami ráadásul multiplatform is (Windows, Linux, Macintosh, Android, iPhone), akkor a Bitwarden is lehet egy jó választás.
