Farlig virus er tilbake: Derfor må du være ekstra forsiktig når du googler

Ifølge nettsikkerhetsportalen BleepingComputer bruker svindlerne såkalt SEO-forgiftning for å plassere falske nettsteder høyt i søkeresultatene. Disse sidene ser troverdige ut og tilbyr gratis maler for kontrakter og juridiske dokumenter, men nedlastingene inneholder i virkeligheten ondsinnet kode.

Når du laster ned filene, får du et ZIP-arkiv med en JScript-fil som åpner bakdører til datamaskinen din. Derfra kan angripere rulle ut løsepengevirus eller annen skadevare som krypterer filer og krever betaling for å låse dem opp.

Nye metoder for å lure sikkerhetssystemer

Den nyeste varianten av Gootloader bruker avanserte teknikker for å skjule seg fra antivirusprogrammer. Blant annet benyttes en egen webfont som gjør filnavn og kode uleselig for både brukeren og enkelte sikkerhetsverktøy.

Ifølge cybersikkerhetsplattformen Huntress samarbeider operatørene bak Gootloader – kjent som Storm-0494 – med ransomware-gruppen Vanilla Tempest, som bruker skadevaren til å skaffe seg kontroll over systemer. I flere tilfeller har gruppen klart å overta en hel domenekontroller på under 17 timer.

Bakdør gir angripere full tilgang

I tillegg til skadevaren sprer kampanjen også verktøyet Socks5, en bakdør som gir angripere fjernstyring av infiserte enheter. Dette gjør det mulig å overvåke aktivitet, stjele data og installere nye trusler uten at offeret merker det.

Slik beskytter du deg

Eksperter advarer spesielt mot å laste ned juridiske dokumenter, kontrakter og skjemaer fra ukjente nettsteder. Gå alltid direkte til kjente kilder, som offentlige sider eller bedrifters egne portaler.

Hold antivirusprogrammet oppdatert, bruk tofaktorautentisering der det er mulig – og husk: hvis et nettsted ser for godt ut til å være sant, er det som regel nettopp det.