Oare Ai Fost Deja Compromis?
Oare Ai Fost Compromis?
Cursuri
Articole educative Module video Cyber Security Tips Quiz
Noutăți Despre noi Devino membru

Malware cu certificat de încredere: Un nou RAT 'invizibil' vândut ca alternativă la ScreenConnect

Malware cu certificat de încredere: Un nou RAT 'invizibil' vândut ca alternativă la ScreenConnect

-

Rating: 0.0 (0 voturi)
Noutăți 22.09.2025

Un nou malware de tip Remote Access Trojan (RAT) este vândut pe forumurile clandestine, fiind promovat ca o alternativă "complet nedetectabilă" (FUD - Fully UnDetectable) la instrumente legitime precum ScreenConnect. Acest RAT reprezinta un exemplu clar al evoluției uneltelor de criminalitate cibernetică, oferind atacatorilor o soluție gata de utilizat, cu funcționalități avansate, menite să eludeze soluțiile de securitate moderne.

Principalul său punct forte este abilitatea de a ocoli avertismentele de securitate din browsere precum Google Chrome și din Windows SmartScreen. Acest lucru este realizat prin includerea unui certificat de validare extinsă (EV), care este de obicei asociat cu identități digitale de încredere. Astfel, atacatorii induc o falsă senzație de securitate, convingând victima că descarcă un program legitim. Malware-ul include, de asemenea, mecanisme anti-bot și cloak landing pages pentru a ascunde codul malițios de sandbox-uri și scannerele de securitate automate.

Odată instalat, acest RAT permite atacatorilor să aibă control vizual total asupra ecranului victimei, facilitând furtul de date și manipularea sistemului în timp real. Deoarece utilizează PowerShell-ul pentru a se încărca, malware-ul evită detectarea de către soluțiile antivirus bazate pe scanarea fișierelor. Funcționând ca un FUD loader, acest RAT este conceput pentru a stabili un punct de acces persistent și invizibil, permițând ulterior instalarea unor amenințări mai periculoase, cum ar fi ransomware sau troieni bancari.


Sfaturi de Protectie


1. Analizează cu atenție certificatele de securitate ale site-urilor

Acest pas este esențial pentru a identifica o pagină de descărcare falsă, chiar și atunci când atacatorii folosesc un certificat de validare extinsă (EV) pentru a păcăli victimele.

Pasul 1: Verifică certificatul EV.

  • Acțiune: Înainte de a descărca orice fișier de pe un site, apasă pe iconița de lacăt din bara de adrese a browserului.
  • Instrucțiuni tehnice: Apasă pe "Connection is secure" sau "Certificate". Verifică numele companiei căreia i-a fost emis certificatul. Asigură-te că numele companiei (de exemplu, "Adobe Inc.") se potrivește cu site-ul pe care te afli. Fii extrem de precaut cu certificatele de tip EV pe site-uri de descărcări neoficiale, deoarece sunt folosite pentru a induce în eroare.

Pasul 2: Compară site-ul cu versiunea oficială.

  • Acțiune: Verifică URL-ul în bara de adrese.
  • Instrucțiuni tehnice: Asigură-te că este adresa oficială a companiei (de exemplu, https://www.adobe.com/reader) și nu o adresă falsă cu o mică greșeală (de exemplu, https://www.adobe-reader-download.com).



2. Implementează Application Whitelisting (Lista Albă a Aplicațiilor)

Aceasta este o măsură de securitate proactivă care previne rularea oricărui program neaprobat, indiferent dacă este malware sau nu.

Pasul 1: Configurează o politică de whitelisting.

  • Acțiune: Utilizează AppLocker sau Software Restriction Policies (SRP) în Windows pentru a permite rularea doar a programelor aprobate de departamentul IT.
  • Instrucțiuni tehnice: În Local Security Policy (secpol.msc), mergi la Application Control Policies -> AppLocker. Creează reguli pentru a permite executarea programelor doar din locații de încredere (C:\Windows, C:\Program Files) sau semnate digital de producători de software recunoscuți.

Pasul 2: Blochează executarea scripturilor din locații neautorizate.

  • Acțiune: Creează o regulă care să blocheze rularea fișierelor de tip .exe sau .ps1 din foldere temporare sau de descărcare.
  • Instrucțiuni tehnice: Adaugă o regulă de Deny (Refuz) în AppLocker pentru directoarele %temp% și %userprofile%\Downloads.



3. Implementează o soluție EDR (Endpoint Detection and Response) avansată

O soluție EDR modernă, bazată pe comportament, poate detecta acțiunile unui malware chiar și atunci când fișierul inițial este nedetectabil.

Pasul 1: Alege un EDR cu detecție bazată pe comportament.

  • Acțiune: Optează pentru un EDR care folosește inteligența artificială pentru a detecta anomalii în comportamentul proceselor.
  • De ce: Un EDR avansat poate detecta o succesiune de evenimente anormale, cum ar fi un proces care inițiază o conexiune de rețea și apoi încearcă să modifice un fișier de sistem.

Pasul 2: Activează monitorizarea proceselor în detaliu.

  • Acțiune: Configurează EDR-ul să se logheze și să alerteze atunci când un proces neobișnuit încearcă să lanseze un alt proces cu privilegii ridicate sau să se conecteze la internet.
  • Instrucțiuni tehnice: În consola EDR, activează process monitoring sau behavioral analysis și creează o regulă care să alerteze atunci când un fișier executabil descărcat dintr-un browser (de exemplu, chrome.exe sau firefox.exe) încearcă să execute un alt fișier într-un director temporar.



4. Blochează accesul la site-uri suspecte

Această măsură proactivă oprește amenințarea la sursă, înainte ca utilizatorul să aibă ocazia să descarce malware-ul.

Pasul 1: Implementează un Secure Web Gateway sau un DNS Filter.

  • Acțiune: Configurează o soluție de filtrare web care să blocheze accesul la site-uri cu reputație proastă.
  • Instrucțiuni tehnice: Folosește un Secure Web Gateway sau un DNS Filter (precum Cloudflare Gateway sau Cisco Umbrella) pentru a bloca accesul la domenii cunoscute ca fiind folosite pentru distribuția de malware.

Pasul 2: Folosește liste de reputație actualizate.

  • Acțiune: Asigură-te că soluția de filtrare utilizează liste de reputație (threat intelligence feeds) actualizate în timp real.
  • De ce: Amenințările noi apar constant, iar o bază de date actualizată este crucială pentru a identifica și a bloca noile domenii malițioase.



5. Dezactivează sau monitorizează utilizarea PowerShell și a altor scripturi

Deoarece malware-ul folosește PowerShell pentru a se încărca, limitarea și monitorizarea acestui instrument sunt esențiale.

Pasul 1: Configurează PowerShell pentru a folosi logging detaliat.

  • Acțiune: Activează logarea detaliată a comenzilor PowerShell.
  • Instrucțiuni tehnice: Folosește Group Policy în Windows (gpedit.msc) pentru a activa PowerShell Script Block Logging și PowerShell Transcription. Aceste opțiuni înregistrează fiecare comandă executată, inclusiv scripturile ofuscate.

Pasul 2: Creează reguli de alertă.

  • Acțiune: Configurează o regulă în SIEM sau EDR care să alerteze atunci când powershell.exe este rulat cu parametri neobișnuiți sau este lansat dintr-o locație suspectă.
  • Instrucțiuni tehnice: În SIEM, creează o regulă de corelare care caută un eveniment de creare de proces pentru powershell.exe cu o cale a fișierului care conține %temp% sau %userprofile%\Downloads.



6. Educa angajații cu privire la atacurile de tip social engineering

Chiar și cele mai bune soluții tehnice pot fi ocolite de un utilizator care face o greșeală.

Pasul 1: Realizează traininguri de conștientizare.

  • Acțiune: Educa angajații să recunoască semnele unui atac de phishing sau ale unei pagini web false.
  • De ce: Fii transparent cu angajații și arată-le exemple concrete de e-mailuri și site-uri web false. Explică-le de ce un site care arată legitim, dar are un URL ciudat, este un semnal de alarmă.

Pasul 2: Simulează atacuri de phishing cu linkuri false de descărcare.

  • Acțiune: Trimite e-mailuri de test care imită scenariul de atac cu "ScreenConnect Alternative" pentru a evalua vigilența angajaților.



7. Activează User Account Control (UAC) și SmartScreen

Aceste instrumente native din Windows oferă o barieră importantă împotriva execuției de cod malițios.

Pasul 1: Asigură-te că UAC este activat și configurat corect.

  • Acțiune: Verifică setările UAC pe toate sistemele Windows.
  • Instrucțiuni tehnice: Mergi la Control Panel -> User Accounts -> User Accounts -> Change User Account Control settings. Nivelul recomandat este al treilea de sus: Notify me only when apps try to make changes to my computer (default).

Pasul 2: Menține Windows SmartScreen activat.

  • Acțiune: Activează Windows SmartScreen pentru a bloca fișierele neautorizate.
  • De ce: Deși atacatorii încearcă să-l ocolească cu certificate false, SmartScreen rămâne un strat suplimentar de protecție care poate bloca fișierele cu o reputație necunoscută.



8. Realizează scanări periodice și audituri de securitate

O abordare proactivă este esențială pentru a te asigura că sistemele sunt configurate corect și sunt protejate.

Pasul 1: Rulează scanări de vulnerabilitate.

  • Acțiune: Folosește un scanner de vulnerabilități.
  • Instrucțiuni tehnice: Folosește Nessus sau OpenVAS pentru a scana rețeaua și a identifica potențialele puncte de intrare.

Pasul 2: Efectuează audituri de configurare a sistemelor.

  • Acțiune: Verifică periodic dacă politicile de securitate (inclusiv cele de logging și whitelisting) sunt aplicate corect pe toate sistemele.
  • Instrucțiuni tehnice: Folosește un instrument de Configuration Management (de exemplu, Microsoft Endpoint Manager) pentru a verifica conformitatea sistemelor cu politicile tale de securitate.



9. Implementează E-mail Gateway avansat cu Sandboxing

E-mailul este una dintre cele mai frecvente căi de distribuție malware.

Pasul 1: Folosește un e-mail gateway care scanează atașamentele.

  • Acțiune: Configurează soluția de securitate pentru e-mail să trimită toate fișierele atașate cu risc ridicat într-un mediu izolat (sandbox) pentru analiză.
  • De ce: Chiar dacă fișierul este "nedetectabil" de către un antivirus tradițional, sandbox-ul va observa comportamentul său periculos.

Pasul 2: Blochează tipurile de fișiere suspecte.

  • Acțiune: Restricționează primirea fișierelor cu anumite extensii.
  • Instrucțiuni tehnice: Configurează e-mail gateway-ul să blocheze fișierele cu extensii precum .ps1, .vbs, .js sau alte tipuri de scripturi dacă nu provin din surse de încredere.



10. Limitează privilegiile utilizatorilor

Aplicarea principiului "cel mai mic privilegiu" reduce semnificativ impactul unei breșe de securitate.

Pasul 1: Aplică principiul "cel mai mic privilegiu".

  • Acțiune: Asigură-te că utilizatorii nu au drepturi de administrator pe sistemele lor.
  • De ce: Un atacator care compromite un cont de utilizator standard nu va putea să instaleze software, să modifice fișiere de sistem sau să dezactiveze soluțiile de securitate.

Pasul 2: Folosește conturi separate pentru sarcini administrative.

  • Acțiune: Utilizatorii ar trebui să folosească un cont standard pentru activitățile de zi cu zi și un cont separat, cu privilegii ridicate, doar atunci când este absolut necesar.
  • Instrucțiuni tehnice: În Active Directory, creează grupuri de utilizatori pentru sarcini specifice și acordă-le doar permisiunile necesare.

Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro

Sursa