PXA Stealer нацелен на конфиденциальные данные в вашем браузере – вот как оставаться в безопасности

Ноутбук с Windows с предупреждением о вредоносном файле.

Включение автозаполнения в вашем браузере не только удобно для вас. Это также кладезь для хакеров, особенно с вредоносным ПО PXA Stealer, которое нацелено на все конфиденциальные данные, хранящиеся в вашем любимом браузере. Существует несколько способов защитить себя.

PXA Stealer маскируется под невинные приложения и документы

Это нечто необычное для вредоносного ПО. Скрываясь на виду, легче обмануть пользователей, заставляя их загружать и устанавливать его. На момент написания группа вьетнамских хакеров уже украла более 200,000 паролей по всему миру и получила доступ к более чем 4,000 IP-адресам.

Их главная цель – данные автозаполнения вашего браузера. Для многих пользователей это полные пароли, адреса, номера кредитных карт и многое другое.

Конечно, вы не получите PXA Stealer просто пока просматриваете интернет. Вместо этого вам нужно что-то установить или скачать. В данном случае киберпреступники сосредоточили свое внимание на бесплатном инструментарии PDF и файлах Microsoft Word 2013 в почтовых вложениях.

Как только вы установите инструментарий PDF или откроете файл Word, вы получите больше, чем ожидали. Вредоносное ПО устанавливается и может даже захватывать другой вредоносный код, хранящийся удаленно на аккаунтах Dropbox.

Избегайте Haihaisoft PDF Reader

Бесплатные PDF-читалки хороши, но будьте осторожны с тем, что и где вы скачиваете. Особенно, когда у вас есть бесплатный Adobe Acrobat Reader и большинство основных браузеров открывают PDF-файлы, наряду с многочисленными другими известными PDF-читалками. Хотя PXA Stealer в настоящее время нацеливается на Windows, пользователи macOS также могут выбрать из множества PDF-читалок, не поддаваясь на зараженные альтернативы.

Хакеры используют фишинговые сайты, чтобы привести вас к бесплатному Haihaisoft PDF Reader. Это даже подписьская загрузка, что обычно считается безопасным. Но, как только вы скачаете и попытаетесь установить его, вы получите вместо этого вредоносное ПО.

Домашняя страница Haihaisoft PDF Reader.

Технически, этот PDF-читалка действительно реальна и легитимна, но в течение многих лет она стала мишенью для вредоносной активности. Если вы решите скачать его, убедитесь, что вы посетили сайт Haihaisoft напрямую. Не переходите на другие сайты. И проверьте ссылку на загрузку через VirusTotal сначала.

Мой совет – всегда исследуйте любое приложение/программное обеспечение/инструмент перед установкой. Избегайте нажатия на ссылки сайтов из случайных писем или поп-апов. И самое главное, всегда загружайте с официального сайта, а не с третьего сайта.

Пропустите вложения Microsoft Word

Я знаю, очень заманчиво кликнуть на маленькую ссылку вложения, чтобы посмотреть, что внутри этого совершенно неожидаемого вложения Microsoft Word. Не делайте этого. Это не закончится хорошо.

Фишинговые письма становятся все более изощренными и часто звучат так, будто они отправлены от доверенных компаний, коллег, друзей и семьи. Проблема в том, что, как только вы откроете это вложение, у вас не будет второго шанса проверить, является ли оно реальным или вредоносным. Урон причинен, и вам придется пытаться удалить вредоносное ПО и изменить все ваши пароли.

Поскольку еще один предпочтительный метод инфекции PXA Stealer – это вложение Word в .ZIP-файле, будьте особенно осторожны, если увидите такой файл.

Когда вы попытаетесь разархивировать файл, вы получите сообщение об ошибке. Это может показаться достаточно безобидным, но это всего лишь скрывает установку вредоносного ПО в фоновом режиме.

Всегда дважды подумайте, прежде чем загружать любые вложения. На этой неделе это документ Word. На следующей неделе это может быть PDF-файл, электронная таблица или даже текстовый файл. Если вы не совсем уверены, удалите его.

Избегайте хранения конфиденциальной информации в вашем браузере

Когда вы включаете автозаполнение в вашем браузере, вы увеличиваете риск того, что хакеры украдут ваши данные. Причина проста. Фишинговый сайт выглядит легитимным и просто просит вас заполнить несколько данных для рассылки новостей, таких как ваше имя и электронная почта. То, что вы не видите, это скрытые поля, захватывающие все остальное, что ваш браузер сохранил.

С PXA Stealer вредоносное ПО захватывает любые данные автозаполнения, которые вы используете, включая пароли, данные о криптовалютных кошельках, кредитные карты и многое другое. Оно может поглотить все ваши куки браузера, используя DLL, которая обходит шифровальные механизмы вашего браузера.

Просмотр менеджера паролей Google в Chrome.

Браузеры не обладают лучшей безопасностью, когда дело касается хранения личной информации. Лучше всего полагаться на вашу собственную память или сторонний менеджер паролей. С менеджером паролей вам сначала нужно разблокировать ваши данные.

Конечно, если вы стали жертвой вредоносного ПО, оно все равно может захватить любые данные автозаполнения из вашего менеджера паролей.

Советы по избежанию PXA Stealer

Ошибки случаются. Вы кликаете по ссылке, не задумываясь, или скачиваете вложение, которое кажется легитимным. Даже это потрясающее приложение (в данном случае PDF-читалка) кажется идеальным для ваших нужд.

Предупреждение о угрозе от Microsoft Defender.

Лучшие способы избежать PXA Stealer:

Проверяйте ссылки в ваших письмах перед тем, как кликать (наведите курсор, чтобы увидеть, куда они ведут)
Посещайте официальные сайты напрямую для загрузки программного обеспечения или нажимайте на ссылки только на доверенных сайтах
Проверяйте ссылки для скачивания и сайты через VirusTotal
Никогда не загружайте вложение, которого не ожидаете
Сканируйте все загруженные файлы и вложения с помощью вашего антивируса и/или приложения против вредоносных программ

Помните, что жертвой не только пользователей Windows. Каждый операционная система подвержены риску. Например, пользователей Android нацеливались на вредоносное ПО Godfather. И пользователи WhatsApp всегда должны быть бдительными, чтобы избежать мошенничества и вредоносного ПО.