Hackare kopierar sajter för säkerhetsverktyg för att sprida skadlig kod
Säkerhetsforskare på Check Point Research har avslöjat ett nätverk av över 100 falska webbplatser som utger sig för att vara officiella nedladdningssidor för populära säkerhetsverktyg. Målet är att lura besökare att ladda ner skadlig kod i stället för de verktyg de söker efter.
Bland de verktyg som kopieras finns Ghidra, NSA:s välkända reverse engineering-verktyg, samt dnSpy, ILSpy och CrystalDiskMark. Sidorna ser ut som de riktiga och innehåller till och med äkta GitHub-länkar som visas när användaren håller muspekaren över nedladdningsknapparna.
Så fungerar attacken
När en användare klickar på nedladdningsknappen aktiveras ett JavaScript-skript som är hostat på CloudFront. Det vidarebefordrar besökaren till ett så kallat Traffic Distribution System (TDS), som analyserar land, webbläsare och enhet. Bara de besökare som uppfyller angriparnas kriterier får skadlig kod levererad till sig. Övriga kan få en ofarlig fil eller ingen nedladdning alls.
Skadeprogrammen som distribueras inkluderar RemusStealer, som stjäl lösenord och känsliga uppgifter, krypto-klippare som ändrar klistrade plånboksadresser, samt olika typer av laddarprogram som kan installera ytterligare hot.
Varför är detta farligt för företag?
Ghidra och dnSpy används av säkerhetsanalytiker, penetrationstestare och IT-proffs. Det innebär att de som söker efter dessa verktyg ofta arbetar i miljöer med tillgång till känslig information. Om en anställd installerar en falsk version på sin jobbdator kan angripare få fotfäste i hela nätverket.
Attacken utnyttjar ett vanligt beteende: att lita på den första sökträffen och inte kontrollera att man verkligen är på rätt webbplats.
Vad kan man göra?
Check Point rekommenderar att alltid verifiera nedladdningar mot officiella projektwebbplatser och GitHub-repositorier. Företag bör också ha policyer som begränsar installation av oauktoriserade verktyg och övervaka nätverkstrafik för ovanliga anslutningar.
Incidenten påminner om vikten av att ha ett aktivt slutpunktsskydd och att utbilda personal i hur man identifierar falska webbplatser, även när de ser professionella ut.