Η Kaspersky αποκάλυψε πρόσφατα μια νέα κυβερνοαπειλή που πλήττει χρήστες σε διάφορες περιοχές του κόσμου, όπως η Λατινική Αμερική, η Ασία-Ειρηνικός, η Ευρώπη και η Αφρική. Οι επιτιθέμενοι αξιοποιούν ιστοσελίδες που έχουν κατασκευαστεί με τη βοήθεια τεχνητής νοημοσύνης για να προωθήσουν νόμιμες εκδόσεις του εργαλείου απομακρυσμένης πρόσβασης Syncro. Αυτές οι παραπλανητικές ιστοσελίδες προσελκύουν επισκέπτες μέσω μηχανών αναζήτησης ή phishing emails και μιμούνται δημοφιλείς εφαρμογές, όπως πορτοφόλια κρυπτονομισμάτων, antivirus και διαχειριστές κωδικών, εξαναγκάζοντας τους χρήστες να τις κατεβάσουν. Στη συνέχεια, οι επιτιθέμενοι εκμεταλλεύονται τις εφαρμογές αυτές για κακόβουλους σκοπούς.
Η συγκεκριμένη επιχείρηση συνδυάζει τεχνικές scareware — όπως παραπλανητικές ειδοποιήσεις ασφαλείας — για να επιτύχει τον απομακρυσμένο έλεγχο των συσκευών των θυμάτων και να διευκολύνει την κλοπή κρυπτονομισμάτων.
Ένα αποτέλεσμα αναζήτησης για το ερώτημα «Polymarket desktop» που εμφανίζει σύνδεσμο προς την ψεύτικη ιστοσελίδα, η οποία διανέμει το εργαλείο απομακρυσμένης πρόσβασης.
Παράδειγμα phishing ιστοσελίδας που διανέμει το εργαλείο απομακρυσμένης πρόσβασης.
Παράδειγμα phishing ιστοσελίδας που διανέμει το εργαλείο απομακρυσμένης πρόσβασης.
Οι επιτιθέμενοι χρησιμοποιούν τον κατασκευαστή ιστοσελίδων AI “Lovable” για να δημιουργούν σελίδες με επαγγελματική εμφάνιση, επιλέγοντας domain names που ευθυγραμμίζονται στενά με συνηθισμένα ερωτήματα αναζήτησης, όπως το Polymarket, μια πλατφόρμα prediction market. Αν και οι ιστοσελίδες αυτές δεν είναι πιστά αντίγραφα των αυθεντικών, αποτελούν πειστικές παραλλαγές που καθιστούν δύσκολη την ταυτοποίησή τους με μια γρήγορη ματιά. Οι επισκέψεις αντλούνται κυρίως από αποτελέσματα αναζήτησης ή παραπλανητικά emails που προτείνουν token migrations ή παροτρύνουν τους χρήστες να εγκαταστήσουν trading εφαρμογές, antivirus ή ενημερώσεις λογισμικού. Σε κάθε περίπτωση, οι χρήστες καταλήγουν να εγκαθιστούν το Syncro — ένα εργαλείο διαχείρισης που χρησιμοποιείται συχνά από ομάδες IT για την απομακρυσμένη πρόσβαση στους υπολογιστές. Το εργαλείο εγκαθίσταται με προεπιλεγμένες ρυθμίσεις, προσφέροντας στους επιτιθέμενους πλήρη πρόσβαση στις συσκευές των θυμάτων, περιλαμβάνοντας προβολή οθόνης, πρόσβαση σε αρχεία και εκτέλεση εντολών, χωρίς να ενεργοποιεί τις συνήθεις ειδοποιήσεις antivirus, μιας και δεν θεωρείται εγγενώς κακόβουλο.
Το λογισμικό απομακρυσμένης πρόσβασης Syncro εγκαθίσταται μόλις ο χρήστης το κατεβάσει από τις ψεύτικες ιστοσελίδες και το εκτελέσει.
«Αυτή η εκστρατεία αναδεικνύει την εξέλιξη του τοπίου των απειλών, όπου νόμιμα εργαλεία μετατρέπονται σε όπλα μέσω παραπλάνησης που υποστηρίζεται από την τεχνητή νοημοσύνη. Με την αυτοματοποίηση της δημιουργίας ψεύτικων ιστοσελίδων, οι κυβερνοεγκληματίες μπορούν να κλιμακώσουν αποτελεσματικά τις επιθέσεις τους, εκμεταλλευόμενοι την εμπιστοσύνη των χρηστών προς γνωστά brands και παραπλανητικές προειδοποιήσεις. Αυτή είναι μια σημαντική υπενθύμιση ότι ακόμη και το λογισμικό από φαινομενικά αξιόπιστες πηγές απαιτεί προσεκτικό έλεγχο», δήλωσε ο Vladimir Gursky, αναλυτής κακόβουλου λογισμικού στην Kaspersky.
Για την προστασία από αυτές τις επιθέσεις, η Kaspersky προτείνει να αποφεύγετε τη λήψη λογισμικού από μη επαληθευμένες πηγές, ιδίως σε συσκευές που χρησιμοποιούνται για οικονομικές συναλλαγές ή τη διαχείριση κρυπτονομισμάτων. Είναι σημαντικό να ελέγχετε προσεκτικά ότι τα URLs αντιστοιχούν στις επίσημες ιστοσελίδες πριν προχωρήσετε και να δίνετε ιδιαίτερη προσοχή σε εργαλεία απομακρυσμένης πρόσβασης. Επιπλέον, θα πρέπει να ενεργοποιείτε τις λειτουργίες anti-phishing και να διενεργείτε τακτικούς ελέγχους ασφαλείας για να ελαχιστοποιήσετε τους κινδύνους από scareware και επιθέσεις μέσω εργαλείων απομακρυσμένης πρόσβασης.
