שנה אחרי המתקפה על וואלה! התוקפים מטרגטים קורבנות חדשים בישראל דרך הפייסבוק
מאת:
מערכת Telecom News, 15.7.19, 15:23
בימים האחרונים זוהתה בישראל בפייסבוק הודעה הקוראת למשתמשים להוריד "דור חדש של צ'ט עם מעל למיליון משתמשים המחלק פרסים מידי שבוע". התוקפים מובילים את הקורבנות להוריד גרסת אנדרואיד, בעוד שבשנה שעברה כללה התקיפה רק גרסת חלונות. איך זה עובד ונראה ב-2 הגרסאות?
התוקף זוהה כבר בשנה שעברה ע"י חוקרי
קספרסקי כאשר השתמש בשיטות תקיפה דומות, ושלח מיילים למשתמשי וואלה! הקורא להם להוריד ולהתקין פתרון אבטחה חדש העוצר וירוס איראני. חוקרי החברה ביצעו חקירה של המתקפה והצליחו לשייך בין 2 המקרים.
תמונת פוסט הפייסבוק:
לדברי
עידו נאור, חוקר בכיר בקספרסקי, החידושים בתקיפה האחרונה הם קודם כל השימוש בפייסבוק כפלטפורמת תקיפה, שהפכה להיות פופולרית בשימושים שונים, גם ע"י החמאס, כפי שעלה במספר אירועים שתועדו.
בנוסף, התוקפים מובילים את הקורבנות להוריד גרסת אנדרואיד, בעוד שבשנה שעברה הכילה התקיפה גרסת חלונות בלבד.
לחיצה על הלינק בפוסט הפייסבוק תוביל את הקורבן לדף פישינג המכיל 2 אופציות הורדה:
- גרסת אנדרואיד (קובץ apk)
- גרסת חלונות (קובץ exe)
תמונת אתר הפישינג
wall[.]store:
גרסת אנדרואיד
התוקפים הטמיעו באפליקציה תוכנה בשם
WebMonitor Enterprise, פתרון של חברת
RevCode לאנשי סיסטם ו-
IT. התוכנה מקנה לתוקף שליטה מלאה מרחוק, כולל אפשרות למשלוח פקודות דרך ממשק מבוסס דפדפן. בין הפקודות - אפשרות האזנה לאודיו, שמירה וניהול שיחות, צילום באמצעות המצלמה, ניהול קבצים, מעקב אחרי מיקום, ניהול תקשורת אלחוטית, צפיה ב-
SMS, גישה לאנשי קשר ועוד.
שרת התקיפה מוצפן וכן גם שם דף ה-
PHP המקבל את המידע מאפליקציית האנדרואיד הזדונית. בעת ההתקנה מתבצעת פניה לשרת והבקשה מודיעה לשרת השליטה על קורבן נוסף שהתקין את האפליקציה.
תמונת פנייה מוצפנת לשרת, בקוד המקור של האפליקציה:
תמונת גישת ממשק הניהול
WebMonitor (
DEMO) של
RevCode :
גרסת חלונות
התוקפים השתמשו בגרסה דומה לזו שהשתמשו בשנה שעברה. הם הטמיעו חלק מאפליקצייה לשליטה מרחוק בשם
Elsinore ScreenConnect. בעת הרצה של התוכנה, היא מתקשרת עם שרת מרוחק משם ניתן להוציא פקודות אל מחשב הקורבן, ממש כמו תוכנות מוכרות יותר כמו
TeamViewer. התוקפים לקחו רק חלק מהתוכנה מפני שלא היה להם צורך בממשק שבמחשב הקורבן (כדי שלא יסגור את התקשורת).
תמונת קוד המקור של התוכנה המראה את שרת השליטה וסוג התוכנה להשתלטות מרחוק:
פייסבוק קיבלה דיווח על התקיפה והורידה את הדף. חשוב לציין, שבזכות ערנות הגולשים, שדיווחו ל
קספרסקי, ההערכה היא, שהתקיפה נחסמה בשלב מוקדם ושמספר הקורבנות היה מועט. זהות התוקפים אינה ידועה בשלב זה.
משתמשים הנתקלים בפוסטים דומים מתבקשים שלא ללחוץ על הלינקים בפייסבוק או בכל רשת חברתית אחרת. יש להוריד אפליקציות אך ורק מהחנות הרשמית, וחשוב לא פחות לשים לב להרשאות גישה שאותן האפליקציה מבקשת.