Az ESET szokás szerint közzétette legfrissebb kiberfenyegetettségi jelentését, amely a 2024. december és 2025. május közötti időszakban tapasztalt kiberkockázatokat mutatja be a vállalat saját telemetriai adatai, illetve kutatói elemzései alapján.
Az időszak egyik legszembetűnőbb fejleménye az áldozatokat megtévesztő ClickFix robbanásszerű elterjedése volt: előfordulása több mint 500%-kal nőtt az előző félévhez képest, és jelenleg az adathalászat után a második leggyakoribb módszer a kibertámadások között. Röviden a ClickFix valamilyen hamis hibaüzenet, amely arra kéri a felhasználót, hogy valamit kimásoljanak és beillesszenek a parancssorba.
Mivel amúgy is elég sokszor kell bizonyítanunk, hogy nem vagyunk robotok valamilyen elmosódott szöveg begépelésével, az összes lépcső, busz, vízcsap, bicikli megjelölésével, esetleg kirakós darabok helyreigazításával, sokaknak nem is tűnik fel a kiberbűnözők ilyen trükkje.
A ClickFix a social engineering (pszichológiai manipuláció) egy új fajtája, amely hamis hibaüzenettel vagy hitelesítő üzenettel veszi rá az áldozatokat egy rosszindulatú szkript kimásolására és beillesztésére, majd futtatására. A módszer minden nagyobb operációs rendszert érint, beleértve a Windows, Linux és macOS platformokat is.
Az ilyen fenyegetések listája sajnos napról napra bővül, ideértve az adatlopó kártevőket, zsarolóvírusokat, távoli hozzáférésű trójai programokat, kriptobányász programokat, az utólagos támadást lehetővé tévő post-exploitation eszközöket, sőt még nemzetállamokhoz köthető fenyegető szereplők által használt, egyedi kártevőket is.
Az adatlopó kártevők terén is jelentős változások történtek, itt a SnakeStealer lett a fő adatlopó. Ez képes naplózni a billentyűleütéseket, menteni a hitelesítési adatokat, alkalmas képernyőképek készítésére és a vágólap tartalmának gyűjtésére.
A kártevő főként adathalász e-mailek rosszindulatú mellékleteként terjed, többek között közép- és kelet-európai országokban is. A SnakeStealer üzemeltetői egy VIP verziót is kínálnak, amely magasabb bérleti díj ellenében további kártékony funkciókat tartalmaz.
Jó hírek is vannak, a bűnüldöző szervek és a kiberbiztonsági cégek - köztük az ESET - hónapokig tartó kemény munkája meghozta gyümölcsét, és két ismert adatlopó tevékenységét is sikerült közös erővel felszámolni.
A Lumma Stealer és a Danabot nevű, kész kártevőket eladásra kínáló Malware-as-a-Service (MaaS) szolgáltató a beavatkozást megelőzően egyaránt jelentős aktivitást mutatott: a Lumma Stealer előfordulása 21%-kal, a Danaboté pedig 52%-kal nőtt 2024 második félévéhez képest.
Különösen érdekes, hogy az Android platformon észlelt reklámprogramok száma 160%-kal nőtt, amit elsősorban a Kaleidoscope névre keresztelt, kifinomult kártevő megjelenése okozott. Ez a rosszindulatú szoftver megtévesztő „gonosz iker” módszerrel terjeszti a kártékony alkalmazásokat, amelyek zavaró hirdetésekkel árasztják el a felhasználókat, rontva az eszköz teljesítményét.
A művelet mögött álló kiberbűnözők ugyanazon alkalmazásból két, közel azonos verziót készítenek – egy ártalmatlant, amely hagyományos ikonnal a hivatalos alkalmazásboltokban érhető el, és egy rosszindulatú fehér kör ikont megjelenítő verziót, amely harmadik féltől származó boltokon keresztül terjed.
Az NFC technológia jó célokra használva gyorsabb és biztonságosabb fizetést tesz lehetővé, de sajnos a kiberbűnözők figyelmét sem kerülte el. Az NFC-alapú visszaélések száma több mint harmincötszörösére nőtt, ami főként adathalász kampányok és relay támadások növekedésének köszönhető, melyek során a támadók távolról is képesek visszaélni a digitális tárcák adataival.
Az ESET kutatásai szerint a GhostTap nevű kártevő képes ellopni a felhasználók kártyaadatait, amelyeket a támadók saját digitális pénztárcáikba másolnak, és azokat világszerte érintésmentes fizetésekhez használják fel telefonjaikkal. A SuperCard X egyszerűen használható MaaS szolgáltatásként kínálja az NFC-alapú lopást. Az ártatlannak tűnő app telepítése után a háttérben valós időben továbbítja a megszerzett kártyaadatokat a támadóknak.
További részletek az ESET 2025 első félévére vonatkozó kiberfenyegetettségi jelentésében olvashatók az alábbi linke, a WeLiveSecurity.com oldalon, angol nyelven.
