Nicolai Busekist
Har du hentet denne app, så skal du være opmærksom, da det har vist sig, at den indeholder malware.
Sikkerhedsforskere advarer nu mod en ny type malware, der i første omgang præsenterede sig som en gratis PDF-editor, men som nu aktivt stjæler adgangskoder og andre følsomme oplysninger.
Forskere fra Truesec og G DATA har rettet opmærksomheden mod TamperedChef, der er en form for malware udviklet til at stjæle både adgangskoder og cookies. Hackerne bag denne malware har handlet usædvanligt snedigt, hvilket gør TamperedChef ekstra farlig.
I begyndelsen virkede alt uskyldigt. Malwaren blev markedsført som et legitimt og gratis program kaldet ‘AppSuite PDF Editor’. Gennem annoncer blev ofrene lokket til en række professionel hjemmesider, hvor de kunne downloade programmet.
Efter installation fungerede editoren tilsyneladende som lovet, og der skete ikke noget mistænkeligt. I baggrunden blev der dog gjort klar til at aktivere en skjult proces på et senere tidspunkt – med det formål at stjæle adgangskoder og cookies.
Ifølge forskerne har malwaren cirkuleret siden mindst slutningen af juni, men selve datatyveriet begyndte først den 21. august. Det betyder, at TamperedChef havde mindst halvanden måned til at sprede sig, før den blev aktiv.
Ud over annoncer har spredningen muligvis også fundet sted via eksisterende ofre, som i god tro har anbefalet programmet til andre, fordi det længe fremstod legitimt. Kampagnen skulle stadig være aktiv, så truslen er ikke overstået.
Malvertising via Google
Hjemmesiderne bag AppSuite PDF Editor var målrettet optimeret til at rangere højt ved både annoncer og søgeresultater. Undersøgelser viser, at der blev investeret i store reklamekampagner via Google for at sprede malwaren – en klar påmindelse om, at man bør være på vagt over for selv betalte annoncer.
Denne metode, hvor malware forklædes som legitim software og promoveres gennem reklamer, kaldes malvertising. Det er en populær metode blandt hackere.
Under efterforskningen blev der også opdaget lignende sider for værktøjer som ‘PDF OneStart’ og ‘PDF Editor’, hvor malwaren i nogle tilfælde gjorde mere end blot at stjæle adgangskoder og cookies – den kunne også fungere som backdoor til at hente yderligere malware og inficere systemet yderligere.
Hvad kan du gøre?
Som altid er sund fornuft det bedste forsvar. Undlad at downloade ukendte programmer, du ser i annoncer, og benyt i stedet officielle hjemmesider og app-butikker.
Hvis du for nylig har downloadet en mistænkelig applikation, bør du straks fjerne den, køre en komplet virusscanning og ændre dine adgangskoder for en sikkerheds skyld. Hold også øje med mistænkelig aktivitet ved opstart og planlagte opgaver.
Oplever du noget mærkeligt, kan det i værste fald være nødvendigt at geninstallere hele systemet – men først efter at have taget backup af vigtige data.
Netværksadministratorer i større organisationer – f.eks. virksomheder – bør undersøge, om der har været trafik til mistænkelige domæner. Det kan desuden være fornuftigt at gennemgå og eventuelt stramme reglerne for installation af software i organisationen.
