SEO poisoning kampanja preko lažnog TestDisk sajta ubacuje ScreenConnect
CyberPress prenosi kampanju u kojoj napadači preko lažnog sajta za TestDisk navode korisnike da preuzmu trojanizovani instalacioni paket. Prema javno dostupnim nalazima, lažni installer koristi legitimni Microsoft binar i DLL sideloading kako bi pokrenuo dalji lanac infekcije, a završni cilj je instalacija ScreenConnect alata za daljinski pristup. Umesto klasičnog custom malware-a, napadači se oslanjaju na legitimne administrativne alate kako bi duže ostali neprimećeni i lakše zadržali pristup sistemu.
Napad je neprijatan zato što počinje baš u trenutku kada korisnik sam traži legitiman alat, pa sumnja prirodno pada. Kada se uz to upotrebe potpisani Microsoft binar i poznat RMM alat, granica između normalne administracije i upada postaje mnogo mutnija nego kod običnog phishing priloga.
- Preuzimati alate kao što je TestDisk samo sa zvaničnih sajtova i proveravati domen pre klika
- Nadzirati pojavu novih RMM alata, posebno ScreenConnect instalacija koje nisu odobrene
- Pratiti DLL sideloading obrasce i neobično pokretanje legitimnih Microsoft binara iz netipičnih lokacija
- Obučiti korisnike da ne veruju prvim rezultatima pretrage i da izbegavaju sponzorisane ili sumnjive download stranice
- Ograničiti koje administrativne alate smeju da se instaliraju i koriste na krajnjim uređajima