Az egyik zsarolóvírus (ransomware) fertőzésekkel pénzt szerző kiberbűnöző csoport social engineering taktikákat alkalmazva próbálja rávenni a felhasználókat, hogy biztosítsanak hozzáférést a gépükhöz a Quick Assist nevű alkalmazáson keresztül. A támadások, a Microsoft szerint 2024 április közepe óta tartanak és az általuk Storm-1811-nek nevezett hackercsoport – amely nagy valószínűséggel a Black Basta ransomware csoport társa –alkalmazza ezt a módszert.

A Quick Assist – ami a magyar nyelvű Windows rendszereken "Gyors segítség" néven érhető el – egy ügyfélkezelő eszköz, amin keresztül a felhasználók megoszthatják eszközüket – akár Mac, akár Windows – egy másik távoli felhasználóval, általában abból a célból, hogy technikai támogatást kaphassanak a másik féltől, aki ilyenkor átveszi az irányítást az eszköz felett, az adott probléma gyorsabb és hatékonyabb megoldása érdekében.

A támadás azzal kezdődik, hogy a támadók spam e-mailekkel bombázzák a célpontokat, ami úgy történik, hogy a hackerek a célpont email címét több email előfizetési szolgáltatásra is feliratkoztatják, amelyek aztán elárasztják a postaládájukat a feliratkozott tartalommal.

Ezt követően a támadók hangalapú adathalász támadással (vishing) célozzák a felhasználót, melynek során technikai támogatást ajánlanak fel, amelyben az érintett vállalat informatikai ügyfélszolgálatának adják ki magukat és felajánlják, hogy segítenek megoldani a tömegesen beérkező spam emailek problémáját.

A hívás során a csalók megpróbálják rávenni az áldozatot, hogy a Quick Assist segítségével hozzáférést adjon nekik a eszközéhez. Amennyiben az áldozat gépén Windows operációs rendszer fut, a Quick Assist már eleve fennt van a gépén, azt ilyenkor telepíteni nem szükséges, "csak" használni kell. Ugyanakkor – és ezt fontos kiemelni – a Quick Assist használatához is szükség van a felhasználó közreműködésére, anélkül a másik fél nem tud csatlakozni.

Ahhoz, hogy a csalók csatlakozni tudjanak ráveszik a felhasználót, hogy nyissa meg a Quick Assist-ot a CTRL + Windows + Q billentyűkombinációval. Az alkalmazás a megnyitása után bekéri a másik fél (jelen esetben a csaló) biztonsági kódját, amit a felhasználónak kell beírnia. A beírandó biztonsági kódot természetesen megadják a támadók, majd miután azt beírta a felhasználó és elfogadta a csatlakozást, veszik át az irányítást a gépe felett a csalók. (Tehát az alkalmazás megnyitásával még nincs veszve semmi, ott még mindig következmények nélkül visszaléphet a felhasználó, a támadó azután veheti át az irányítást a gépe felett, miután a felhasználó beírta a megfelelő biztonsági kódot és elfogadta a kapcsolódást.)

Onnantól, hogy a támadó megkapta a hozzáférést, különféle rosszindulatú szoftvereket telepít. Első körben jellemzően olyanokat, amik segítségével növelheti a jogosultságait a rendszerben. Ezt követően a támadó egy olyan szkriptet futtat, amely több fájl letöltésére szolgál, beleértve további távfelügyeleti és -kezelési eszközöket (amikkel később már a felhasználó közbenjárása nélkül is hozzáférhet az eszközhöz), valamint a Qakbot malware-t, amit aztán további, a támadó számára hasznos programok, például a Cobalt strike szállítására használnak.

Miután a támadó befejezte a támadáshoz szükséges kezdeti eszközrendszer telepítését a PsExec parancssori eszközzel telepítheti a Black Basta zsarolóprogramot és bontja a kapcsolatot. A felhasználóban ezután pedig már viszonylag gyorsan tudatosul, hogy átverték, hiszen a telepített zsarolóvírus megkezdi a működését és a fájljai elérhetetlenné válnak, a gépén pedig megjelenik a figyelmeztető ablak, hogy hova küldje a pénzt, ha ismét hozzá szeretne férni azokhoz.

Az elmúlt években jelentősen megnőtt azoknak a támadásoknak a száma, amikben a támadók különféle távoli asztali hozzáférési szoftvereket kihasználva hajtnanak végre támadásokat, és a növekedés továbbra is folytatódik az ilyen jellegű támadásokat illetően.

A hibrid munkavégzés megjelenésével és rohamos terjedésével a távoli hozzáférési eszközök mindenütt elterjedtek a vállalati hálózatokban, és a hozzáférés szintje hasznos eszközzé teszi őket a támadók számára is, amennyiben megfelelően ki tudják használni őket.

2024 februárjában például a szintén távoli hozzáférést nyújtó ConnectWise ScreenConnect termékének két súlyos sebezhetőséget használták ki aktívan a hackerek, hogy az azt használó gépeket különféle célbokból megfertőzzék. (Forrás: Trend Micro)

Hasonlóképpen a Quick Asisst támadásokhoz, egy másik népszerű távoli hozzáférési eszközt, a TeamViewert használták fel a közelmúltban egy zsarolóvírus-kampányban, a Surprise nevű zsarolóvírus telepítésére. (Forrás: Huntress, 2024 január)

A Quick Assist és bármelyik más távoli hozzáférést lehetővé tevő alkalmazásokon keresztül elkövetett támadások száma folyamatosan növekedik, ugyanakkor jó hír az, hogy ezek kivédése nem igényel mély technikai ismereteket, az átlag felhasználók megfelelő odafigyeléssel ezt megtehetik. Éppen ezért kiemelten fontos, hogy a felhasználók ismerjék meg (és tartsák be) az alapvető kiberbiztonsági jógyakorlatokat és kísérjék figyelemmel az aktuális kibertámadási trendeket.