זוהתה מתקפה כנגד משתמשים ישראליים במייל של וואלה!
מאת:
מערכת Telecom News, 3.7.18, 16:11
מתקפה מטורגטת זוהתה הבוקר נגד משתמשים בשירות הדואר של וואלה. מקור התוקפים אינו ידוע בשלב זה, וממצאי החקירה עדיין נבדקים. הנוזקה מכילה תוכנת השתלטות מרחוק ויש לה ממשק ניהול נוח לתפעול, שמטרתו לשלוט במחשבי המשתמשים, שהורידו והפעילו את התוכנה. נדרשת תמיכה טכנית כדי להסירה לחלוטין. על אלה שהפעילו את התוכנה במחשב במקום העבודה או מחשב המחובר לרשת חברה, לכבות את המחשב ולהעביר אותו לטיפול אנשי המחשוב.
הבוקר, קיבלו חוקרי אבטחת המידע של מעבדת קספרסקי מידע על אימייל זדוני שנשלח באופן ממוקד למשתמשי וואלה!. במייל נאמר: " לקוחות וואלה מייל יקרים וכל משתמשי ישראל, וירוס חדש התגלה והוא מותקף על המכשירים הישראלים מאיראן. זה וירוס מסוכן אנא הורד ת האנטי וירוס נגד וירוס זה באמצעות הקישור הבא." (השגיאות במקור)
הפנייה לכל משתמשי ישראל מצביעה על התקפה ממוקדת ומטורגטת כלפי משתמשים ישראליים ולכן עולה מן הנאמר, שהתוקפים מאחורי הקמפיין הם בעלי אינטרס לאסוף מידע מודיעיני על ישראלים.
עידו נאור, חוקר בכיר בצוות ה-
GReAT של קספרסקי: "תהליך ההדבקה מתבצע בעת הלחיצה על הלינק שבמייל. אתר וואלה, שעד הודעתנו לא זיהה את האתר של התוקף כזדוני, ביצע ניתוב אוטומטי להורדה של הנוזקה משרת התוקף. הנוזקה כללה בתוכה תוכנה בשם אלסינור סקרין קונקט (
Elsinore Screen Connect), שמשמשת להשתלטות מרחוק. בשלב הבא הקורבן מפעיל את הקובץ, כשההפעלה מתקינה, למעשה, את תוכנת ההשתלטות מרחוק על המחשב המותקף ומקנה לתוקף שליטה מלאה על המחשב ויתכן שגם על מערכות נוספות המחוברות אליו".
חוקרי קספרסקי עדכנו את "וואלה!", ושם מיהרו לסמן את הלינק כזדוני. כעת, כאשר מופנה הקורבן אל עמוד ההורדה של הפוגען, תופיע אזהרה לגבי הורדת התוכנה. חוקרי קספרסקי עדכנו בנוסף גם את גופי הביטחון הרלוונטיים.
משתמשים ביתיים, שכבר הפעילו את תוכנת השליטה מרחוק ,יכולים לבטל את פעולתה, אך ידרשו תמיכה טכנית כדי להסירה לחלוטין. כדי להפסיק את פעולת השליטה מרחוק יש לבצע את הפעולות הבאות:
- CTRL + R על מנת לפתוח את שורת הפקודה.
- בשורת הפקודה יש לכתוב taskmgr כדי לפתוח את מנהל המשימות
- ניתן לבצע את אותה פעולה ע"י לחיצה על כפתור ימני כשהעכבר נמצא על שורת המשימות ובחירה ב- Task Manager.
- לחיצה על טאב בשם "שירותים" או Services וחיפוש שורה בה כתוב – "ScreenConnect Client".
- יש לסמן עם העכבר את אותה שורה, ללחוץ על כפתור ימני בעכבר ולבחור "Stop service" או "עצור שירות".
פעולה זו אינה מונעת לחלוטין את פעולת הפוגען, אך מפסיקה זמנית את החיבור בין הקורבן לשרת השליטה של התוקף. על משתמשים ,הפעילו את התוכנה במחשב במקום העבודה או מחשב המחובר לרשת החברה, לכבות את המחשב ולהעביר אותו לטיפול אנשי המחשוב.