Eksperci bezpieczeństwa z MalwareBytes ostrzegają przed nową kampanią phishingową, w której cyberprzestępcy rozprowadzają fałszywą aktualizację Google Meet. Wystarczy jedno kliknięcie w przycisk aktualizacji, aby komputer ofiary został podłączony do infrastruktury zarządzanej przez atakujących.
Co szczególnie niepokojące, atak nie wymaga instalacji malware ani kradzieży haseł. Zamiast tego wykorzystuje legalne funkcje systemu Windows.
Fałszywa strona aktualizacji
Atak rozpoczyna się od strony phishingowej, która do złudzenia przypomina komunikat o aktualizacji Google Meet. Użytkownik widzi komunikat informujący o konieczności instalacji najnowszej wersji aplikacji, aby dalej korzystać z usługi.
Kliknięcie przycisku „Update now” lub „Learn more” nie prowadzi jednak do strony Google. Zamiast tego aktywowany zostaje specjalny link systemowy wykorzystujący mechanizm ms-device-enrollment:.
Źródło: malwarebytes.comFunkcja ta jest częścią systemu Windows i służy administratorom IT do szybkiego dodawania komputerów pracowników do systemów zarządzania firmowymi urządzeniami (MDM – Mobile Device Management).
Cyberprzestępcy wykorzystują tę funkcję, przekierowując ją do własnego serwera zarządzania. W rezultacie na komputerze pojawia się standardowe okno Windows „Set up a work or school account”, które wygląda jak legalny proces konfiguracji firmowego urządzenia.
Formularz jest już częściowo wypełniony – zawiera m.in. adres e-mail podszywający się pod firmową domenę oraz adres serwera kontrolowanego przez atakujących.
Jeśli użytkownik przejdzie dalej w procesie konfiguracji, jego komputer zostanie zapisany w systemie MDM należącym do cyberprzestępców.
Co atakujący mogą zrobić z komputerem
Po dodaniu urządzenia do złośliwego systemu zarządzania napastnicy uzyskują bardzo szerokie możliwości kontroli. MDM pozwala administratorowi m.in.:
- instalować lub usuwać aplikacje,
- zmieniać ustawienia systemowe,
- uzyskiwać dostęp do plików,
- blokować ekran komputera,
- a choćby zdalnie wyczyścić cały system.
Co istotne, wszystkie te działania wykonywane są przez legalne funkcje systemu operacyjnego, więc wiele narzędzi bezpieczeństwa może nie wykryć żadnego malware.
W przeciwieństwie do klasycznych kampanii phishingowych lub malware, w tym przypadku:
- nie jest pobierany żaden złośliwy plik,
- nie dochodzi do kradzieży loginów czy haseł,
- infrastruktura ataku korzysta z legalnych usług chmurowych.
Oznacza to, iż system operacyjny sam wykonuje polecenia, które normalnie byłyby używane przez dział IT.
Ten trend – polegający na nadużywaniu legalnych funkcji systemów i usług chmurowych – jest coraz częściej obserwowany w nowoczesnych kampaniach cyberataków.
Słowo przestrogi
Aby uniknąć tego typu ataku, warto stosować kilka podstawowych zasad higieny pracy:
- nie instalować aktualizacji z przypadkowych stron internetowych,
- aktualizować aplikacje tylko z oficjalnych źródeł,
- zwracać uwagę na nietypowe okna konfiguracji kont służbowych,
- regularnie sprawdzać w systemie Windows sekcję „Access work or school”, czy nie pojawiło się nieznane konto zarządzania.
Jeśli komputer został już zapisany do nieznanego systemu MDM, należy jak najszybciej odłączyć go od tej usługi i przeprowadzić pełną analizę bezpieczeństwa.
Kampania z fałszywą aktualizacją Google Meet pokazuje nowy kierunek w cyberatakach. Zamiast instalować malware, napastnicy coraz częściej nadużywają legalnych funkcji systemów operacyjnych i usług chmurowych, aby przejąć kontrolę nad urządzeniami ofiar.
W praktyce oznacza to, iż choćby pojedyncze kliknięcie w pozornie niewinną aktualizację może doprowadzić do pełnej kompromitacji komputera.
