En ny, effektiv form for malware spreder sig for tiden gennem falske browseropdateringer. Malwaren omfatter blandt andet såkaldte banking-programmer, der kan bruges til at stjæle logininformationer til bank-konti, samt fjernstyre computeren, skriver digi.no.
Ifølge Malwarebytes kører der lige nu en malware-kampagne, som selskabet har kaldt FakeUpdates campaign.
Der er tale om et sofistikeret stykke malware, der spreder sig ved at angriberne planter software på ellers legitime sider, der popper op og fortæller brugeren af browseren, at den skal opdateres.
De falske opdateringsvinduer er specialdesignede til den browser, de popper op på og findes både i variationer til Chrome og Firefox. Der er også fundet variationer af malwaren, der beder offeret opdatere sin Flash-version.
Ifølge digi.no er opdateringsvinduerne ganske svære at skelne fra ægte opdateringspåmindelser, hvilket naturligvis gør angrebskoden så meget desto farligere.
Kører JavaScript-fil
Så snart man klikker på linket til ‘opdateringssiden’ hentes en javascriptfil ned fra Dropbox. Med denne fil kan hackerne se after eventuelle sandboxes og virtuelle maskiner og undgå dem.
Når hackerne med javafilen har vurderet, at der er fri bane hentes en .exe-fil. Det er selve sprænghovedet i hackernes våben og så snart den ondsindede exefil, der er signeret med en godkendt OS-signatur, er hackerne godt i gang med at ravriste de ønskede logins fra det uvidende offer.
Og det er især denne effektive brug af en lokkefil i form af JavaScriptet, der er bemærkelsesværdigt, skriver Malwarebytes. Lokkefilen gør det nemmere for hackerne at målrette deres angreb og langt sværere for offeret bagefter at finde hackernes aftryk efter angrebet.
Digi.no skriver, at det blandt andet er hjemmesider lavet med Wordpress, Joomla og SquareSpace, der er inficeret med den ondsindede kode, men at man ikke ved, præcis hvor mange enheder der er inficeret med FakeUpdates.
Hvad så hvis jeg bruger Firefox i Linux mint? Så kan jeg ikke se at en exe-fil kan gøre noget. Desuden har jeg opdatering af firefox via en opdateringshåndtering, så jeg aldrig opdatere vi et link.
Så det er jo udelukkende et windows problem -eller?
Med mindre du har installeret wine eller lignede på din linux maskine. I så fald, er du dårligere stillet end dem der har en rigtig windows (bortset fra at det nok er sværere at eskalerer rettigheder) :)
Ingen wine - dual booter, hvis jeg skulle finde på at spille et spil, som kun virker i windows ;o)
På de 3 streger, der indikerer browsermenuen øverst i højre hjørne sad et lille grønt, rundt ikon med en opadpegende ^ pil på (i sidste uge, tror jeg). Da jeg blev træt af at se på det, aktiverede jeg det, og der kom en meddelelse om, at der var opdateringer, hvis jeg genstartede. (Mener blot det var det. Husker ikke hvordan det stod/så ud).
Jeg gik ikke videre derfra, fordi jeg var i gang med noget, og fordi alle opdateringer installeres automatisk, min computer havde blot ikke været rigtigt slukket/genstartet en række dage på det tidspunkt.
Har ellers blokeret alt, hvad jeg kan blokere og er generelt forsigtig, men nu kommer jeg da meget i tvivl, om det mon var galt…
Firefox er kommet med flere forbedringer/opdateringer til browseren de seneste måneder, synes jeg, så det er ligesom den er i løbende udvikling og ændrer sig, hvorfor det virkede naturligt, men nu bliver jeg da lidt nervøs.
Kan nogen mon hjælpe med svar?
Det trick, som man her benytter, er at lave en usædvanlig vellignende side. Men sider bliver indenfor den del af browseren, som er til at vise indholdet af sider - Firefox' "burger" menu (de tre korte vandrette streger) ligger udenfor dette område, og er derfor Firefox' eget. Det er mao. en rigtig opdatering, som du der har fået. Det er vigtigt at holde software, som browsere, opdateret, og derfor er det trist, hvis man som bruger bliver bange for det.
Bemærk, at sider også kan have burger-menuer, og de kan være meget vellignende (men de kan stadig ikke sprænge rammerne for, hvilket område en side vises i).
Bemærk at installerer du udvidelser (aka. browser extensions), så kan de dukke op andre steder i brugerfladen; jeg husker ikke de konkrete regler for Firefox. Så vidt jeg ved, så kan de ikke røre selve burger-menuen, men de kan nok godt komme tæt på. Browserudvidelser kan lave nogle pænt fantastisk ting, men med stor magt kommer stort ansvar, så vær ekstra skeptisk overfor dem.
Håber at det hjælper.
PS: hvor er jeg træt af, at almindelige brugere igen skal være tekniske eksperter for at kunne bruge noget så fundamentalt, som en browser (og dermed er det urimeligt høje krav, vi stiller til helt almindelige mennesker for at de kan deltage i dagens samfund på en tryg måde); men det kan godt være, at hvis man laver en browser eller en computer sikker, så er den præcist så hjælpeløs, at den bliver ubrugelig. Suk!
Tak, Bjarne Nielsen :)
Igår morges da jeg loggede på min computer her på arbejdet fik jeg en popup med, at jeg kunne downloade en opdatering til Flash... Fint nok, tænkte jeg og trykkede på "Download"-knappen, derefter Næste, uncheckede Google Chrome, Næste igen - hvorefter den side jeg fik frem var på russisk....?!
Mystisk, tænkte jeg og trykkede Tilbage, måske jeg bare havde valgt opdateringen på det forkerte sprog. Samme skete igen, så jeg annullerede opdateringen...
... var jeg lige ved at blive udsat for noget skidt her?! :-D