Οι διαδικτυακοί πωλητές στοχοποιούνται από νέα καμπάνια κακόβουλου λογισμικού κλοπής πληροφοριών

Οι διαδικτυακοί πωλητές στοχεύονται σε μια νέα καμπάνια για να προωθήσουν το κακόβουλο λογισμικό Vidar που κλέβει πληροφορίες, επιτρέποντας στους παράγοντες απειλών να κλέβουν διαπιστευτήρια για πιο επιζήμιες επιθέσεις.

Η νέα καμπάνια ξεκίνησε αυτή την εβδομάδα, με τους παράγοντες απειλών να στέλνουν παράπονα στους διαχειριστές των ηλεκτρονικών καταστημάτων μέσω email και φορμών επικοινωνίας ιστότοπου.

Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου προσποιούνται ότι προέρχονται από έναν πελάτη ενός ηλεκτρονικού καταστήματος που του αφαιρέθηκαν 550 $ από τον τραπεζικό του λογαριασμό, αφού μια υποτιθέμενη παραγγελία δεν πραγματοποιήθηκε σωστά.

Το BleepingComputer έλαβε ένα από αυτά τα email αυτή την εβδομάδα και, μετά από έρευνα για την επίθεση, το βρήκε ευρέως διαδεδομένο με πολλές υποβολές στο VirusTotal την περασμένη εβδομάδα.

Στόχευση διαδικτυακών πωλητών

Οι διαδικτυακοί πωλητές είναι ένας ζουμερός στόχος για τους παράγοντες απειλών, καθώς η απόκτηση διαπιστευτηρίων στο backend των τοποθεσιών ηλεκτρονικού εμπορίου επιτρέπει διάφορους τύπους επιθέσεων.

Για παράδειγμα, μόλις ένας παράγοντας απειλής αποκτήσει πρόσβαση στο backend διαχειριστή ενός ηλεκτρονικού καταστήματος, μπορεί να εγχύσει κακόβουλα σενάρια JavaScript για να εκτελέσει επιθέσεις MageCart, δηλαδή όταν ο κώδικας κλέβει τις πιστωτικές κάρτες των πελατών και τα προσωπικά στοιχεία των πελατών κατά την ολοκλήρωση αγοράς.

Η πρόσβαση στο backend μπορεί επίσης να χρησιμοποιηθεί για την κλοπή των πληροφοριών πελατών ενός ιστότοπου, δημιουργώντας αντίγραφα ασφαλείας για τη βάση δεδομένων του καταστήματος, τα οποία μπορούν να χρησιμοποιηθούν για εκβιασμό των θυμάτων, απειλώντας ότι πρέπει να πληρώσουν λύτρα διαφορετικά τα δεδομένα θα διαρρεύσουν δημόσια ή θα πωληθούν σε άλλους παράγοντες απειλών.

Νωρίτερα αυτήν την εβδομάδα, η BleepingComputer έλαβε ένα email που προσποιήθηκε ότι ήταν από έναν πελάτη που χρεώθηκε 550 $, παρόλο που μια παραγγελία δεν ολοκληρώθηκε σωστά, το οποίο εμφανίζεται παρακάτω.

«Γράφω για να μεταφέρω τη βαθιά ανησυχία και την απογοήτευσή μου σχετικά με μια πρόσφατη συναλλαγή που έκανα στον ιστότοπό σας.

Στις 14 Μαΐου 2023, έκανα μια αγορά για αντικείμενα αξίας άνω των 550 $ από το κατάστημά σας.

Ωστόσο, έχει προκύψει ένα ουσιαστικό πρόβλημα που χρειάζεται την άμεση προσοχή σας.

Αμέσως μετά την ολοκλήρωση της αγοράς, αντιμετώπισα ένα σήμα σφάλματος στην ιστοσελίδα σας, που έλεγε ότι δεν ήταν σε θέση να πραγματοποιήσει την πληρωμή και ότι απλώς δεν αφαιρέθηκαν χρήματα από την τραπεζική μου κάρτα.

Προς έκπληξή μου, κατά τον έλεγχο του τραπεζικού μου λογαριασμού, ανακάλυψα ότι η πληρωμή είχε όντως εκτελεστεί και το ίδιο ποσό αποσύρθηκε.

Σας προτρέπω να χειριστείτε αυτό το ζήτημα με τη μέγιστη επείγουσα ανάγκη και να διορθώσετε το πρόβλημα γρήγορα.

Είναι σημαντικό να αναλύσετε την αιτία αυτής της ασυμφωνίας και να προβείτε σε άμεσες ενέργειες για την επιστροφή του αφαιρεθέντος χρηματικού ποσού.

Για την κριτική σας και ως απόδειξη της αγοράς, έχω παράσχει ένα αντίγραφο της τραπεζικής μου κίνησης παρακάτω, το οποίο εμφανίζει προφανώς την ανάληψη χρημάτων.

Αυτό θα πρέπει να λειτουργεί ως τελική απόδειξη της πληρωμής και να τονίζει τον επείγοντα χαρακτήρα της πλήρους επιστροφής χρημάτων.

Θα εκτιμήσω πραγματικά τις άμεσες ενέργειές σας.

Εδώ είναι ο υπερσύνδεσμος στη δήλωσή μου https://bit.ly/xxxx”

Στο παραπάνω μήνυμα ηλεκτρονικού ταχυδρομείου εσωκλείεται ένας σύνδεσμος bit.ly προς το υποτιθέμενο αντίγραφο κίνησης τραπεζικού λογαριασμού, συντομευμένο για απόκρυψη του αρχικού συνδέσμου.

Το μήνυμα ηλεκτρονικού ταχυδρομείου είναι γραμμένο για να μεταδώσει την αίσθηση του επείγοντος, απαιτώντας από τον πωλητή λιανικής να εκδώσει επιστροφή χρημάτων και να διερευνήσει τη βασική αιτία του προβλήματος.

Όταν κάνετε κλικ στη διεύθυνση URL, στους στόχους θα εμφανιστεί ένας ιστότοπος που προσποιείται ότι είναι το Google Drive. Στις δοκιμές του BleepingComputer, αυτό το ψεύτικο Google Drive είτε θα εμφανίσει ένα αντίγραφο κίνησης τραπεζικού λογαριασμού είτε θα ζητήσει από τον χρήστη να κατεβάσει το αντίγραφο κίνησης.

Οι τομείς που πιστεύεται ότι σχετίζονται με αυτήν την καμπάνια είναι:

http://bank.verified-docs.org[.]za/
http://chase.sign-docs.org[.]za/
http://documents.cert-docs.net[.]za/
http://documents.verified-docs[.]com/
https://bank.cert-docs.net[.]za
https://bank.my-sign-docs[.]com
https://bank.sign-documents[.]net.za
https://bank.sign-documents[.]org.za
https://bank.verified-docs[.]net.za
https://bank.verified-docs[.]org.za
https://bank.verified-docs[.]site
https://chase.cert-docs.co[.]za
https://chase.my-sign-docs[.]org
https://chase.sign-docs.net[.]za
https://chase.sign-docs.org[.]za
https://chase.sign-documents.co[.]za
https://chase.sign-documents.org[.]za
https://documents.cert-docs.co[.]za
https://documents.my-sign-docs[.]org
https://documents.sign-docs.co[.]za
https://documents.verified-docs.org[.]za
https://sign-documents.net[.]za/
https://statements.my-sign-docs.net[.]za/
https://statements.sign-docs.co[.]za/
https://statements.sign-documents.co[.]za/
https://statements.sign-documents.net[.]za/
https://statements.sign-documents.org[.]za/
https://statements.verified-docs.org[.]za/
https://verified-docs[.]com/

Εάν ο ιστότοπος εμφανίζει το αντίγραφο κίνησης τραπεζικού λογαριασμού, εμφανίζει α

δείγμα τραπεζικού λογαριασμού από την Commerce Bank

που χρησιμοποιεί παραδείγματα δεδομένων, όπως το όνομα πελάτη “Jane Customer” στο “Anywhere Dr.”

Ωστόσο, άλλες δοκιμές θα εμφανίζουν μια ψεύτικη σελίδα Google Drive που λέει ότι μια προεπισκόπηση δεν είναι διαθέσιμη και ζητά από τον χρήστη να πραγματοποιήσει λήψη του “Bank_statement.pdf”. Ωστόσο, με αυτόν τον τρόπο θα πραγματοποιηθεί λήψη ενός εκτελέσιμου αρχείου με το όνομα ‘bank_statement.scr’.

Ενώ ενεργοποιούνται οι πάροχοι προστασίας από ιούς

VirusTotal

ανιχνεύστε το μόνο ως κλέφτη γενικών πληροφοριών,

Ηχογραφήθηκε το Future’s Triage

το εντόπισε ως κακόβουλο λογισμικό Vidar που κλέβει πληροφορίες.

Το Vidar είναι ένας trojan που κλέβει πληροφορίες που μπορεί να κλέψει cookies, ιστορικό προγράμματος περιήγησης, αποθηκευμένους κωδικούς πρόσβασης, πορτοφόλια κρυπτονομισμάτων, αρχεία κειμένου, βάσεις δεδομένων Authy 2FA και στιγμιότυπα οθόνης της ενεργής οθόνης των Windows.

Στη συνέχεια, αυτές οι πληροφορίες θα μεταφορτωθούν σε έναν απομακρυσμένο διακομιστή, ώστε οι εισβολείς να μπορούν να τις συλλέξουν. Μετά την αποστολή των δεδομένων, η συλλογή των αρχείων θα αφαιρεθεί από το μολυσμένο μηχάνημα, αφήνοντας πίσω έναν κατάλογο γεμάτο κενούς φακέλους.

Μόλις οι φορείς της απειλής λάβουν τις κλεμμένες πληροφορίες, είτε πωλούν τα διαπιστευτήρια σε άλλους παράγοντες απειλών είτε τα χρησιμοποιούν για να παραβιάσουν λογαριασμούς που χρησιμοποιούνται από το θύμα.

Εάν λάβατε παρόμοια μηνύματα ηλεκτρονικού ταχυδρομείου και πιστεύετε ότι επηρεαστήκατε από αυτήν την καμπάνια διανομής κακόβουλου λογισμικού, είναι ζωτικής σημασίας να σαρώσετε τον υπολογιστή σας για κακόβουλο λογισμικό αμέσως και να αφαιρέσετε οτιδήποτε βρεθεί.

Για να αποτρέψετε περαιτέρω επιθέσεις, θα πρέπει να αλλάξετε τον κωδικό πρόσβασής σας σε όλους τους λογαριασμούς σας, ειδικά σε αυτούς που σχετίζονται με τους ιστότοπους ηλεκτρονικού εμπορίου, τους τραπεζικούς λογαριασμούς και τις διευθύνσεις ηλεκτρονικού ταχυδρομείου σας.

Τέλος, διερευνήστε διεξοδικά τον ιστότοπό σας ηλεκτρονικού εμπορίου για να ελέγξετε εάν έχει εισαχθεί πηγαίος κώδικας σε πρότυπα HTML, νέους λογαριασμούς με αυξημένα δικαιώματα ή τροποποιήσεις στον πηγαίο κώδικα του ιστότοπου.