Un nou val de atacuri cibernetice folosește fișiere SVG (Scalable Vector Graphics) și atașamente de e-mail pentru a livra troieni periculoși (XWorm și Remcos RAT). Aceste amenințări sunt foarte subtile, deoarece folosesc formate de fișiere neconvenționale pentru a ocoli mecanismele de securitate tradiționale.
Atacul începe cu un e-mail ce conține un atașament ZIP sau un link către un site de încredere. În interiorul arhivei se află un script de tip BAT mascat, care, la rulare, execută o serie de comenzi complexe. Aceste comenzi lansează un script PowerShell care injectează malware-ul direct în memoria sistemului, fără a mai scrie fișiere pe disc.
Această metodă, numită "fileless", este greu de detectat de soluțiile antivirus obișnuite. Odată activat, malware-ul blochează funcțiile de securitate ale Windows, cum ar fi AMSI și ETW, și se asigură că va rula la fiecare pornire a sistemului. Astfel, atacatorii își pot menține controlul total asupra computerului infectat.
Sfaturi de protecție
1. Nu deschide atașamente sau linkuri din e-mailuri suspecte
Pasul 1: Verifică întotdeauna adresa completă a expeditorului (ex. nume.prenume@companie.com în loc de nume.prenume@companie-suport.net).
Pasul 2: Nu descarca sau deschide niciodată un atașament (.zip, .rar, .7z) pe care nu l-ai solicitat.
Pasul 3: Fii precaut cu atașamentele care conțin fișiere cu dublă extensie, cum ar fi factura.pdf.exe sau fișiere cu extensii neobișnuite, cum ar fi .js, .vbs, .bat sau .lnk. Pentru a te asigura că vezi extensiile complete ale fișierelor și poți detecta un nume fals (cum ar fi factura.pdf.exe), iată pașii pe care trebuie să-i urmezi în Windows pentru a le face vizibile:
Pași pentru Windows 10/11:
- Deschide File Explorer (apasă tasta
Windows + E). - Dă click pe meniul "Vizualizare" (sau "View" în engleză) din partea de sus a ferestrei.
- Aici, ai două opțiuni:
- Pentru Windows 10: Bifează caseta "Extensii nume fișier".
- Pentru Windows 11: Dă click pe "Afișare", apoi selectează "Extensii nume fișier".
2. Configurează o soluție de securitate de tip EDR (Endpoint Detection and Response)
Pasul 1: Instalează pe toate computerele o soluție de securitate modernă, bazată pe inteligență artificială, care poate monitoriza comportamentul proceselor, nu doar semnăturile de fișiere.
Pasul 2: Configurează soluția să detecteze activități suspecte precum rularea de scripturi PowerShell sau BAT mascate.
Pasul 3: Asigură-te că soluția EDR poate detecta încercările de a dezactiva serviciile de securitate ale Windows, cum ar fi AMSI sau ETW.
3. Monitorizează procesele PowerShell și BAT
Pasul 1: Deschide Task Manager (apasă Ctrl + Shift + Esc).
Pasul 2: Mergi la tab-ul Details și verifică linia de comandă pentru procesele powershell.exe sau cmd.exe.
Pasul 3: Fii atent la comenzile lungi sau la scripturile care conțin șiruri de caractere Base64. Orice script care folosește parametri ciudați (-ExecutionPolicy Bypass) sau cod lung, indescifrabil, este suspect.
4. Restricționează utilizarea PowerShell
Pasul 1: Apasă tasta Windows, tastează gpedit.msc și apasă Enter pentru a deschide Local Group Policy Editor.
Pasul 2: Navighează la Computer Configuration -> Administrative Templates -> Windows Components -> Windows PowerShell.
Pasul 3: Activează opțiunea Turn on PowerShell Script Block Logging. Aceasta va înregistra toate scripturile care rulează pe sistem.
5. Dezactivează rularea fișierelor din directoarele temporare
Pasul 1: Instalează și configurează Windows Defender Application Control (WDAC).
Pasul 2: Creează o politică care să blocheze rularea oricăror fișiere executabile (.exe, .dll, .bat, .ps1) din folderele temporare (%TEMP%, %APPDATA% etc.).
Pasul 3: Rulează regulat o scanare de securitate care să verifice integritatea sistemului.
6. Actualizează sistemele de operare și aplicațiile
Pasul 1: Apasă tasta Windows, tastează Check for updates și apasă Enter.
Pasul 2: Descarcă și instalează toate actualizările disponibile pentru sistemul de operare.
Pasul 3: Asigură-te că browserele web (Chrome, Firefox, Edge) sunt mereu la zi, deoarece ele sunt adesea prima linie de apărare.
7. Configurează un filtru de e-mail avansat
Pasul 1: Folosește o soluție de securitate pentru e-mail care include o funcție de sandbox.
Pasul 2: Configurează aceasta solutie să scaneze atașamentele în medii izolate pentru a detecta comportamente malițioase înainte de a ajunge la utilizator.
8. Folosește un browser cu securitate sporită și extensii de protecție
Pasul 1: Accesează setările browserului tău și activează Safe Browsing. Chrome - Selecteaza cele 3 puncte verticale din coltul din dreapta sus al browserului - Setari - Privacy and security - Safe Browsing - Enhanced protection
Pasul 2: Instalează extensii de securitate (ex. uBlock Origin pentru blocarea reclamelor malițioase și NoScript pentru a controla scripturile care rulează pe site-uri).
9. Monitorizează directorul de startup al Windows
Pasul 1: Apasă tasta Windows + R, tastează shell:startup și apasă Enter.
Pasul 2: Verifică conținutul acestui folder pentru a vedea dacă există fișiere suspecte (ex. .bat sau .lnk).
Pasul 3: Dacă găsești ceva neobișnuit, dă click dreapta pe fișier și alege Delete.
10. Instalează un manager de parole
Pasul 1: Nu mai salva parolele în browser.
Pasul 2: Instalează un manager de parole dedicat (ex. KeePass, 1Password sau Bitwarden).
Pasul 3: Șterge toate parolele salvate in browser pentru a preveni furtul lor de către un malware de tip RAT.
Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro