Zlonamerni softver skriven u lažnoj NFT igrici zanemaruje dvofaktorsku autentifikaciju i dobija pristup Google nalogu žrtve preko zlonamerne Chrome ekstenzije da bi vam ukrao novac.
Microsoft Defender, antivirusna aplikacija koja je omogućena u Windows 7 i novijim verzijama, navodno nije uspela da uhvati vrstu malvera koji je oteo Google nalog žrtve u Chrome pretraživaču i ukrao preko 24.000 dolara u kriptovalutama.
„Dobio je pristup mojim Google lozinkama jer je moj Bitwarden bio otključan, a zatim je oduzeo lozinke ekstenzije novčanika. To me je dovelo do propasti“, objasnila je žrtva u objavi, dodajući da je napadač stranac koji mu je poslao poruku na Telegramu, aplikaciju koju prevaranti često koriste i ubedio ga da preuzme zlonamernu aplikaciju.
Žrtva je rekla da ima Malwarebytes na svom Windows laptopu, ali je verovatno imala besplatnu verziju bez omogućene zaštite u realnom vremenu, jer je otkrila preuzimanje igre kao trojanca tek nakon što je žrtva pokrenula skeniranje. Softver ga je zatim stavio u karantin, ali do tog trenutka šteta je već bila učinjena.
Istraživači SafetyDetectives-a testirali su izveštaj žrtve i utvrdili da je istinit, prema njihovom zapisu objavljenom ove nedelje. Oni su potvrdili da je naučno-fantastična blokčejn igra poznata kao Orbit Unit koju je žrtva prevarena da preuzme zapravo prevara jer preuzimanje igre aktivira Windows malwer.
Microsoft Defender ne blokira instalaciju igre, a kada se igra instalira, Defender takođe ne hvata malver.
Otkrili su da je Defender bio “potpuno tih” tokom celog testa, ne uspevajući da upozori korisnika. Ovaj zlonamerni softver zatim koristi PowerShell za pokretanje različitih skripti.
Instalira zlonamerno proširenje za Chrome nazvano „Google Keep Chrome Extension“, zavaravajući pravi Google Keep alat za pravljenje beleški. Ali ovaj krade podatke za prijavu i korisničke kolačiće, nadgleda sve što je kopirano ili nalepljeno unutar Google Chrome-a i vidi svu istoriju pregledača. Može čak i da otvori nove kartice pretraživača.
Ovo zlonamerno proširenje zatim zaobilazi dvofaktorsku autentifikaciju i prikuplja dovoljno podataka i dozvola za daljinsko upravljanje računarom, prema testu istraživača na Windows virtuelnoj mašini sa instaliranim samo Microsoft Defenderom.
U drugom testu sa Malwarebytes-om sa omogućenom zaštitom u realnom vremenu, međutim, ovaj antivirusni program je blokirao malver pre nego što je instaliran. Bitdefender nije blokirao instalaciju, ali je zaustavio malver pre nego što je pristupio osetljivim informacijama na računaru.
SafetyDetectives kaže da su oba ova antivirusna programa jednako dobro rešila problem uprkos tome što je Bitdefender otkrio problem kasnije u procesu, jer nijedan plaćeni program nije doveo do krađe podataka ili dozvolio malveru da izvrši napad.
Značajno je da ovaj malver, kao i neki drugi koje su primenili hakeri, otkriva lokaciju korisnika da bi odlučio da li da nastavi sa napadom. U ovom slučaju, ako je korisnik Windows-a preuzeo malver na uređaj koji se nalazi u Rusiji, Ukrajini ili Belorusiji, malver neće nastaviti.
Ovaj izuzetak može biti zato što se napadač nalazi u jednoj od ovih zemalja ili želi da se tako misli, ali je u ovom slučaju teško potvrditi.