Hackeři umí přes LinkedIn do PC propašovat virus, který krade přihlašovací údaje a odinstaluje antivirus
Lukáš Altman
Lukáše psaní naplňovalo už od dětství, že se tím bude živit si uvědomil ještě jako student v roce 2013. V tu dobu už si několika dílčími texty začal přivydělávat. Jeho profesionální kariéra začala o tři roky později, kdy se stal externím redaktorem pro portál Alza.cz. Od té doby spolupracoval s řadou firem různých rozsahů a dokonce založil několik vlastních projektů, včetně Mobify.cz, který časem přešel pod společnost abcMedia Network. Nyní se Lukáš řadí mezi nejvlivnější české redaktory v oblasti elektroniky.
Dokonce i zájem o práci může být zneužitý, zejména když ji opravdu chcete. Obětí se může stát de facto jakákoliv společnost, obezřetnost je proto na místě.
Vždy si dávejte pozor, na jaké odkazy klikáte. Jak totiž upozorňuje Tom’sHardware, zneužívají útočníci i velkých jmen k údajnému náboru do zaměstnání, a ve skutečnosti se snaží zájemcům propašovat do počítače škodlivý software DarkGate. Ten souvisí s dříve identifikovaným virem Ducktail, který krade přihlašovací údaje/soubory cookies a předává je hackerům. Redakce Mobify ovšem varuje, že se oproti němu jedná o ještě sofistikovanější virus.
Obětí se stala technologická firma
Jak výše zmíněný zdroj upřesnil, již ke konci roku 2023 zneužil vietnamský kyberzločinecký gang jméno společnosti Corsair, která se zabývá herním hardwarem a příslušenstvím. Konkrétně na sociální síti LinkedIn publikovali falešné příspěvky a posílali uživatelům, primárně těm z Ameriky, Velké Británie a Indie, napřímo zprávy o volném místě ve společnosti Corsair. Obvykle údajně poptávala specialistu na reklamy na Facebooku.
V příspěvcích i zprávách byl tradičně odkaz na pochybný web, který byl ovšem navržen tak, že vypadal jako oficiální stránka společnosti Corsair. Uchazeči o zaměstnání byly poté přesměrováni na soubor zip uložený na DropBoxu nebo Google Disku s názvem „Plat a nové produkty8.2.1.zip“. V tom byly následně ke stažení položky Náplň práce Corsair.docx, Plat a nové produkty.txt a PDF Plat a Produkty.pdf (samozřejmě vše anglicky).
Jenomže jak upozorňuje WithSecure, je v archivu obsažen skript VBS, který zajistí souborům v počítači jiné umístění pro případ, že by je uživatel smazal, a otevřou komunikaci s externími servery, z nichž stáhne autoit3.exe a skript autoit3. Spuštěný skript pak manifestuje malware DarkGate určený k extrakci citlivých informací, a rovněž se pokusí odinstalovat antivirus, ačkoliv WithSecure uvedl, že třeba jeho software to nedovolil.
Virus DarkGate ukradne i facebookový účet
K incidentu se vyjádřil také BleepingComputer, podle něhož virus kromě výše popsaného také krade firemním uživatelům facebookové účty přes cookies, v nichž najde přístupové údaje, a následně se pokusí přidat jako jejich správce. A poté to začíná, neboť má i funkci automatického vytváření a publikování podvodných reklamních kampaní. Obětí se teoreticky může stát jakákoliv firma, takže je obezřetnost na místě – zejména, pokud pracujete v zahraničí.
Zdroje
Autorský komentář Lukáše Altmana