Kybernetičtí zločinci se v současné době snaží napadat počítače obětí novým druhem podvodu. Útočníci zneužívají jako prostředek upravené zástupce souborů. Technika útoku má následující scénář:
Ve Windows se zástupci souborů používají především pro usnadnění přístupu k cílovému souboru nebo adresáři. Zástupce je specifický typ souboru, používaný systémem Windows. Umožňuje vytvořit ukazatel na soubor (zkratku), aniž by bylo nutné původní soubor kopírovat nebo přesouvat. Běžně se to používá pro spustitelné soubory nebo dokumenty. Často se také umísťují zástupci složek například na Plochu.
V této konkrétní kampani kybernetiční zločinci posílají obětem e-maily, které obsahují přílohy. Těmi jsou soubory zástupců systému Windows, jejichž přípony byly změněny na PDF. Rychlým pohledem nic netušící oběti se nedá zjistit rozdíl.
Nebezpečí je ale v tom, že pomocí zástupců lze do koncového cílového umístění uložit prakticky jakýkoliv škodlivý kód. V tomto případě se do adresáře »Temp« ukládá payload viru Emotet. Pokud je akce úspěšná, Emotet se nahraje do paměti prostřednictvím souboru »regsvr32.exe«, který poté z adresáře »Temp« odstraňuje původní zprostředkující kód.
Nebezpečí pro uživatele Windows: jak se chránit
Podvod se zástupci souborů Windows se objevil už dříve. V první vlně se soubory .LNK maskovaly jako archivy ZIP. Účinnou ochranou je především obezřetnost v případech podezřelých e-mailů a jejich příloh. | Zdroj: Outlook/Microsoft 365
Bezpečnostní experti uvádějí, že nejlepší ochranou před touto formou nebezpečí je důkladná kontrola každého příchozího e-mailu. Pokud je sebemenší podezření, že v příloze e-mailu se nachází podezřelý obsah, raději je lepší ji neotevírat a ihned přesunout do složky se spamem.
Podezřelá může být i příloha s archivem, tedy například souborem ZIP. I ten může maskovat zástupce souborů Windows, které mohou později páchat na počítači oběti velkou škodu.
Zdroj: Techradar
