זוהה וירוס שהתקיף משתמשים ישראליים במייל של וואלה!

מתקפה ממוקדת וממוענת זוהתה הבוקר (ג') על ידי מעבדת קספרסקי (Kaspersky Lab) נגד משתמשים ישראליים בשירות הדואר של וואלה!. זהותם של התוקפים אינה ידועה בשלב זה,

לדברי עידו נאור, חוקר בכיר בצוות ה-GReAT של קספרסקי, הנוזקה מכילה תוכנת השתלטות מרחוק ויש לה ממשק ניהול נוח לתפעול שמטרתו לשלוט במחשבי המשתמשים שהורידו והפעילו את התוכנה.ב וירוס

חוקרי אבטחת המידע של קספרסקי קיבלו הבוקר מידע על אימייל זדוני שנשלח באופן ממוקד למשתמשי וואלה!. במייל נאמר (השגיאות במקור): "לקוחות וואלה מייל יקרים וכל משתמשי ישראל, וירוס חדש התגלה והוא מותקף על המכשירים הישראלים מאיראן. זה וירוס מסוכן אנא הורד ת האנטי וירוס נגד וירוס זה באמצעות הקישור הבא."

הפנייה לכל משתמשי ישראל מצביעה על התקפה ממוקדת וממוענת כלפי משתמשים מקומיים.
לכן, עולה מן הנאמר, כי התוקפים מאחורי הקמפיין הם בעלי אינטרס לאסוף מידע מודיעיני על ישראלים.

לדברי נאור, "תהליך ההדבקה מתבצע בעת הלחיצה על הלינק שבמייל. אתר וואלה!, שעד ההודעה שלנו לא זיהה את האתר של התוקף כזדוני, ביצע ניתוב אוטומטי להורדה של הנוזקה משרת התוקף. הנוזקה כללה תוכנה בשם אלסינור סקרין קונקט (Elsinore Screen Connect) המשמשת להשתלטות מרחוק. בשלב הבא הקורבן מפעיל את הקובץ כשההפעלה מתקינה את תוכנת ההשתלטות מרחוק על המחשב המותקף. כך, היא מקנה לתוקף שליטה מלאה על המחשב ויתכן שגם על מערכות נוספות המחוברות אליו".

צילום מסך.

"ביצוע כמה פעולות על מנת להפסיק את פעולת השליטה מרחוק"

חוקרי קספרסקי עדכנו את וואלה! ושם מיהרו לסמן את הלינק כזדוני. כעת, כאשר מופנה הקורבן אל עמוד ההורדה של הפוגען תופיע אזהרה לגבי הורדת התוכנה. החוקרים עדכנו גם את גופי הביטחון הרלוונטיים.

משתמשים ביתיים שכבר הפעילו את תוכנת השליטה מרחוק יכולים לבטל את פעולתה אך יידרשו לתמיכה טכנית על מנת להסירה לחלוטין.

ענקית אבטחת המידע הרוסית ממליצה על ביצוע כמה פעולות על מנת להפסיק את פעולת השליטה מרחוק:

(1) CTRL + R על מנת לפתוח את שורת הפקודה

(2) בשורת הפקודה יש לכתוב taskmgr על מנת לפתוח את מנהל המשימות
a. ניתן לבצע את אותה פעולה על ידי לחיצה על כפתור ימני כשהעכבר נמצא על שורת המשימות ובחירה ב- Task Manager.

(3) לחיצה על טאב בשם "שירותים" או Services וחיפוש שורה בה כתוב – "ScreenConnect Client"

(4) יש לסמן עם העכבר את אותה שורה, ללחוץ על כפתור ימני בעכבר ולבחור "Stop service" או "עצור שירות"

בקספרסקי ציינו כי פעולה זו אינה מונעת לחלוטין את פעולת הפוגען, אך היא מפסיקה זמנית את החיבור בין הקורבן לשרת השליטה של התוקף. "על משתמשים אשר הפעילו את התוכנה במחשב במקום העבודה או מחשב המחובר לרשת החברה לכבות את המחשב ולהעביר אותו לטיפול אנשי המחשוב", נמסר.