fbpx

Figyelmeztetés: Hackerek hamis Google 2FA alkalmazással lopják el adataidat

Mi lenne, ha azt mondanám, hogy ha a hivatalos Google Authenticator alkalmazást keresed a Google keresőjében, egy hamis verzióra bukkanhatsz, amely ellopja az adataidat ahelyett, hogy 2FA biztonsági kódokat biztosítana?

Jérôme Segura, a Malwarebytes vezető fenyegetéskutatója figyelmeztetett: „Ha az elmúlt napokban a Google keresőjén keresztül próbáltad letölteni a népszerű Google Authenticator alkalmazást, előfordulhat, hogy akaratlanul is kártékony szoftvert telepítettél a számítógépedre.”

A “Verified by Google” nem mindig jelenti azt, hogy megbízható

A Malwarebytes fenyegetéskutatói szerint a hamis Google Authenticator incidens középpontjában a Google által megjelenített hirdetések állnak. Amikor valaki a Google keresőjében a Google Authenticator alkalmazást keresi, a hirdetések „úgy jelennek meg, mintha hivatalos forrásokból származnának, és a hirdetők identitását a Google igazolta volna.”

A biztonsági szakértők gyorsan figyelmeztetnek, hogy soha ne bízzunk meg vakon semmiben, és mindig ellenőrizzünk – ez az úgynevezett „zero trust” (zéró bizalom) védelem alapelve. Azonban amikor egy hirdetésben a cél URL-ként a www.google.com szerepel, és a hirdető identitását a Google hitelesítette, ez az elv látszólag megdől.

Aki rákattintott a Google Authenticator alkalmazás letöltésére szánt, valódi linknek tűnő hirdetésre, számos átirányításon ment keresztül, míg végül a kártékony letöltési oldalra jutott.

A hamisított oldalhoz tartozó domain aznap lett regisztrálva, amikor a hirdetést megjelenítették.

„Korábban is láttunk már hasonlóan hatékony URL-álcázási stratégiát rosszindulatú hirdetési kampányok során” – mondta Jérôme Segura. „Ezek közé tartozott például a KeePass, az Arc böngésző, a YouTube és az Amazon hamisított hirdetése. Ennek ellenére a Google továbbra sem képes időben észlelni az ilyen ál-hirdetéseket.”

Az AnyRun nevű, rosszindulatú szoftverek elemzésével foglalkozó szakértők arról számoltak be, hogy a hacking kampány áldozatai egy valódi Google Authenticator letöltési oldalnak tűnő webhelyet láttak. A kutatók bizonyítékot találtak arra is, hogy a fenyegetést jelentő szereplők számos különböző hamis domain segítségével próbálták becsapni a látogatókat. Az összekötő kapocs ezek között az volt, hogy végül mindegyik esetben a DeerStealer nevű adatlopó malware-t juttatták a célpont gépére.

Egyszerű biztonsági ellenőrzések megkerülése

A Malwarebytes kutatói a hamis oldal forráskódját megvizsgálva megállapították, hogy a rosszindulatú kód – amely Google Authenticatorként és Authenticator.exe néven tüntette fel magát – a GitHub-on volt tárolva. Ez tovább növelte a fenyegetés hitelességének látszatát. A kódban orosz nyelvű megjegyzések szerepeltek, de a támadás pontos forrását nem lehetett azonosítani. Annyi biztos, hogy a Google által hitelesített hirdetések és a GitHub tárhely kombinációja lehetővé tette a támadók számára, hogy megkerüljék az alapvető végfelhasználói biztonsági védelmeket.

„Mivel ezek a támadások teljes mértékben a social engineeringre építenek, kritikus fontosságú lenne megfelelően megkülönböztetni a valódi hirdetőket a hamisaktól” – figyelmeztetett Segura. „Ahogy ebben az esetben is láttuk, egy ismeretlen személy sikeresen adta ki magát a Google-nak, és malware-t terjesztett, amely egy márkázott Google-terméknek álcázta magát.”

Hogyan előzzük meg az ilyen támadásokat?

A felhasználók számára azt tanácsolják, hogy ne kattintsanak olyan hirdetésekre, amelyek szoftver letöltését ígérik, még akkor sem, ha kifejezetten azt keresték. Ehelyett mindig az alkalmazás hivatalos áruházaiból töltsék le a programokat.

A Google válasza

Egy Google szóvivő a következőket nyilatkozta:

„Tilos olyan hirdetéseket közzétenni, amelyek megpróbálják megkerülni az irányelveinket azáltal, hogy a hirdető identitását álcázva megtévesztik a felhasználókat és rosszindulatú szoftvereket terjesztenek. Amikor olyan hirdetéseket azonosítunk, amelyek megsértik az irányelveinket, eltávolítjuk azokat, és azonnal felfüggesztjük a kapcsolódó hirdetői fiókot, ahogy ebben az esetben is tettük.”

A Google szerint az érintett hirdetőt felfüggesztették, és az összes hirdetését eltávolították a platformról. Jelenleg vizsgálják az ügyet, és további lépéseket terveznek a probléma kezelésére.

A Google hangsúlyozta, hogy aktívan vizsgálják a hirdetéseket és a kapcsolódó fiókokat. Például 2023-ban több mint 3,4 milliárd hirdetést távolítottak el5,7 milliárd hirdetést korlátoztak, és több mint 5,6 millió hirdetői fiókot függesztettek fel.

A vállalat ugyanakkor elismeri, hogy a rosszindulatú szereplők egyre kifinomultabb technikákat alkalmaznak, például egyszerre több ezer fiókot hoznak létre, szövegek manipulálásával megkerülik az automatikus észlelést, valamint úgynevezett „cloaking” technikát használnak, hogy a hirdetésellenőrzők és a felhasználók eltérő tartalmat lássanak. Ezek kombinációja jelentősen megnehezíti a rosszindulatú tartalmak felismerését és eltávolítását.

Az oldal tartalma nem másolható!