חוקרי מעבדות חברת סייברארק הישראלית מזהירים מפני מתקפת סייבר רחבת היקף המתחזה לתוכנות עריכת PDF חינמיות. המתקפה, שכונתה TamperedChef, מתקינה דלתות אחוריות במחשבים של משתמשים תמימים המחפשים כלי עבודה חינמיים.
איך פועלת המתקפה?
המשתמשים מורידים תוכנות שנראות כעורכי PDF לגיטימיים, כמו AppSuite PDF Editor, המציעות שירותים חינמיים לעריכת מסמכים, המרת קבצים ומדריכים טכניים. תהליך ההתקנה נראה רגיל לחלוטין, אך מאחורי הקלעים מותקנת דלת אחורית - תוכנה זדונית המאפשרת לתוקפים לשלוט במחשב מרחוק.
"יש תוכנות שפועלות באזור האפור ומסווגות כתוכנות שעשויות להיות לא רצויות", מסביר אמיר לנדאו, ראש צוות מחקר נוזקות במעבדות סייברארק. "כלים כאלה לעיתים משווקים כאפליקציות פרודוקטיביות, אך בפועל נבנו לאיסוף מידע ולהרצת קוד נסתר".
גילוי מקרי חשף רשת נרחבת
המקרה התגלה כאשר מפתח האפליקציה AppSuite PDF Editor פנה לחברות אנטי-וירוס בטענה שתוכנתו זוהתה בטעות כתוכנה זדונית. אולם כאשר חוקרי סייברארק בדקו את התלונה, הם גילו שמדובר בדלת אחורית מלאה המאפשרת הרצת קוד מרחוק.
הניתוח חשף מקרים נוספים תחת שמות שונים. רבות מהתוכנות היו מבוססות על פלטפורמת Electron - טכנולוגיה לפיתוח אפליקציות המשלבת טכנולוגיות אינטרנט. התוכנות נראו ככלי עבודה לגיטימיים, אך למעשה יצרו קשר עם שרת שליטה מרוחק, אספו מידע רגיש ואפשרו לתוקפים להריץ קוד מרחוק.
יכולות נרחבות לתוקפים
לאחר ההתקנה, התוקפים זוכים ליכולות נרחבות: איסוף מידע אישי ועסקי, הורדת קבצים רגישים, התקנת תוכנות זדוניות נוספות ושליטה מלאה במחשב הנגוע. במקרים מסוימים, הקבצים אף נחתמו בחתימה דיגיטלית מזויפת, מה שאפשר להם לעבור מתחת לרדאר של מערכות האבטחה הרגילות.
בסייברארק מצביעים על הסכנה הסמויה: הסיכון עלול להישאר חבוי עד לעדכון עתידי שימיר כלי תמים לכאורה לאיום אבטחה חמור.
אזהרה למשתמשים
החוקרים מדגישים עיקרון בסיסי: תוכנה חינמית ממקורות לא מהימנים אינה באמת חינמית. המחיר הנסתר הוא פרטיותכם ואבטחת המידע שלכם. לנדאו ממליץ למשתמשים להוריד תוכנות רק מהמפתחים הרשמיים או מחנויות אפליקציות מוכרות, לבדוק ביקורות ודירוגים לפני הורדה, ולוודא שמערכת האנטי-וירוס מעודכנת וזיהתה את התוכנה כבטוחה.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו