Oare Ai Fost Deja Compromis?
Oare Ai Fost Compromis?
Cursuri
Articole educative Module video Cyber Security Tips Quiz
Noutăți Despre noi Devino membru

ALERTĂ DE PHISHING: Operațiunea ForumTrol

ALERTĂ DE PHISHING: Operațiunea ForumTrol

-

Rating: 0.0 (0 voturi)
Noutăți 19.12.2025

Grupul de hackeri ForumTrol a lansat o nouă campanie sofisticată de phishing care vizează experții ruși în științe politice și economie. Atacul utilizează e-mailuri care imită biblioteca legitimă eLibrary, invitând victimele să descarce rapoarte de plagiat false. Această operațiune continuă seria de atacuri începută în primăvara anului 2025, când grupul a exploatat o vulnerabilitate de tip „zero-day” în Google Chrome.

Atacatorii au demonstrat o pregătire meticuloasă, înregistrând domenii malițioase cu luni de zile înainte pentru a evita filtrele de spam și personalizând fișierele descărcate cu numele complet al fiecărei victime. Site-ul clonat include mecanisme de protecție avansate, cum ar fi restricționarea descărcărilor repetate și detectarea sistemelor de operare, solicitând utilizatorilor să acceseze conținutul exclusiv de pe dispozitive Windows pentru a asigura succesul infecției.

Odată ce victima deschide arhiva capcană, un script PowerShell instalează malware-ul și asigură persistența acestuia în sistem prin tehnici de manipulare a regiștrilor Windows. În timp ce utilizatorului i se afișează un document PDF fals pentru a menține aparența de legitimitate, atacatorii primesc acces de la distanță la computerul compromis prin intermediul platformei comerciale Tuoni, utilizată de obicei în testele de securitate.


Sfaturi de Protectie


1. Actualizarea și securizarea browserului Chrome

  • Pasul 1 (Update Manual): Deschide Chrome > Click pe cele trei puncte (dreapta sus) > Help > About Google Chrome. Browserul va verifica automat dacă există versiuni noi; dacă exista, va începe descărcarea. Apasă pe Relaunch pentru a aplica patch-ul anti-0-day.
  • Pasul 2 (Enhanced Protection): Mergi la Settings > Privacy and security > Security și bifează Enhanced protection. Această setare oferă o protecție proactivă și mai rapidă împotriva site-urilor și descărcărilor periculoase identificate de Google în timp real.



2. Inspectarea extensiilor de fișiere ascunse

  • Pasul 1 (Setări Windows): Deschideți File Explorer > View (Vizualizare) > bifați căsuța File name extensions (Extensii nume fișiere).
  • Pasul 2 (Identificare): Verificați dacă un fișier care pare a fi PDF are de fapt extensia .lnk, .exe sau .bat (ex: Raport.pdf.lnk). Dacă extensia nu corespunde pictogramei, ștergeți fișierul.



3. Analiza fișierelor de tip Shortcut (.LNK)

  • Pasul 1 (Proprietăți): Faceți click dreapta pe fișierul suspect > selectați Properties.
  • Pasul 2 (Câmpul Target): Verificați secțiunea Target. Dacă vedeți comenzi de tip powershell.exe, cmd.exe sau adrese URL de descărcare, este un atac cibernetic.



4. Dezactivarea execuției automate PowerShell

  • Pasul 1 (Admin): Deschideți PowerShell cu drepturi de administrator.
  • Pasul 2 (Restricționare): Rulați comanda Set-ExecutionPolicy Restricted. Aceasta va bloca rularea scripturilor malițioase descărcate de pe internet fără aprobarea dumneavoastră explicită.



5. Monitorizarea modificărilor în Regiștri (COM Hijacking)

  • Pasul 1 (Regedit): Apăsați Win + R, tastați regedit și mergeți la HKCU\Software\Classes\CLSID.
  • Pasul 2 (Audit): Căutați chei precum InProcServer32 care indică spre foldere neobișnuite (ex: %localappdata%). Dacă găsiți căi către fișiere .dll necunoscute, sistemul poate fi compromis.



6. Verificarea reputației fișierelor prin Hash

  • Pasul 1 (Generare): Deschideți CMD și tastați certutil -hashfile [cale_fișier] MD5 pentru a obține semnătura digitală a arhivei primite.
  • Pasul 2 (Scanare): Introduceți codul rezultat pe VirusTotal . com. Dacă acesta apare ca fiind asociat cu ForumTrol sau LeetAgent, nu deschideți arhiva.



7. Utilizarea unui mediu izolat (Sandbox)

  • Pasul 1: Activarea (Unde găsești setarea)
  1. Apasă tasta Windows pe tastatură.
  2. Scrie direct: Turn Windows features on or off.
  3. Apasă Enter pe primul rezultat. Se va deschide o fereastră mică cu o listă.
  4. Derulează în listă până jos și caută Windows Sandbox.
  5. Bifează căsuța din dreptul numelui și apasă OK.
  6. Windows va descărca fișierele necesare. Când termină, apasă pe butonul Restart now (obligatoriu pentru activare).
  • Pasul 2: Deschiderea și Testarea (Cum procedezi)
  1. După ce calculatorul s-a repornit:
  2. Deschide Sandbox: Apasă tasta Windows, scrie Sandbox și dă click pe aplicația care apare. Se va deschide o fereastră care arată ca un Windows nou, gol.
  3. Mută fișierul suspect: * Pe calculatorul tău real, dă Click dreapta -> Copy pe arhiva suspectă.
  4. Mergi în fereastra de Sandbox, dă Click dreapta -> Paste pe desktop-ul de acolo.
  5. Dezarhivează și testează: În interiorul Sandbox-ului, dezarhivează fișierul și rulează-l. Orice ar face acel program (chiar dacă este un virus), el rămâne blocat doar în acea fereastră.




8. Blocarea descărcărilor de pe domenii noi

  • Pasul 1 (DNS): Configurați routerul sau PC-ul să folosească un serviciu DNS securizat (ex: Quad9 sau Cloudflare for Families).
  • Pasul 2 (Filtrare): Aceste servicii blochează automat accesul la domenii nou înregistrate (cum a fost e-library[. ]wiki) care nu au încă o reputație stabilită.



9. Inspectarea folderelor ascunse din arhive

  • Pasul 1 (Explorare): Înainte de a extrage o arhivă, deschideți-o cu un utilitar (ex: 7-Zip).
  • Pasul 2 (Detectare decoys): Căutați foldere precum .Thumbs care conțin zeci de imagini inutile. Acestea sunt folosite pentru a induce în eroare antivirușii prin mărirea dimensiunii fișierului.



10. Verificarea certificatelor SSL/TLS

  • Pasul 1 (Browser): Dați click pe pictograma lacăt de lângă adresa URL a site-ului e-library[. ]wiki.
  • Pasul 2 (Detalii): Verificați cine a emis certificatul și pentru ce organizație. Un site oficial de bibliotecă ar trebui să aibă un certificat emis către o entitate juridică verificabilă, nu unul generic și gratuit.



11.Verificarea autenticității domeniului (Anti-Typosquatting)

  • Pasul 1 (Analiza numelui): Verificați cu atenție extensia domeniului în bara de adrese.
  • Pasul 2 (Căutare independentă): Nu folosiți linkul primit in e-mailul suspect; deschideți o fereastră nouă în browser și căutați manual site-ul oficial (eLibrary) pentru a vedea dacă informația se regăsește acolo.

Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro

Sursa