Złośliwe oprogramowanie nie musi być widoczne u wszystkich i nie zawsze uruchamia się na każdym systemie. W metodzie wodopoju przestępcy mogą zawęzić atak do wąskiego grona osób.
Opublikowano 22.12.2022 14:39
Czasami twórcy oprogramowania szyfrującego pliki nie infekowali komputerów, których użytkownicy posługiwali się konkretnym językiem. Mogło to wynikać z tego, że lokalna policja nie wszczynała śledztwa - dopóki nie było ofiar z danego kraju.
W przeglądarkach zdarzają się błędy. Można je wykorzystać do zaatakowania naszego systemu. Ale błąd zazwyczaj działa tylko na konkretnych wersjach oprogramowania. Nie ma więc sensu atakować użytkownika przeglądarki Chrome - gdy wykorzystuje się błąd z innej przeglądarki.
CIH to wirus, który aktywował się 26 kwietnia. Jego wcześniejsze uruchomienie powodowało jedynie infekowanie innych plików. Tak zmodyfikowane pliki trafiały na komputery kolejnych, niczego nieświadomych użytkowników. A w rocznicę awarii w Czarnobylu - nadpisywał dane na dysku.
W celu analizy złośliwego oprogramowania często uruchamia się je w wirtualnej maszynie. Jest to odizolowane środowisko, które przypomina fizyczny komputer. Malware może próbować wykryć takie systemy i działać wtedy inaczej niż zazwyczaj. Utrudnia to prawidłową ocenę pliku.
Nie tak dawno wykryto zmodyfikowaną wersję narzędzia IDA Pro. To bardzo drogi program używany do analizy plików binarnych. Infekując tak specyficzne narzędzie zapewne liczono, że w pułapkę wpadnie ktoś zajmujący się bezpieczeństwem komputerowym.
Powstawały specjalne blogi, na których opisywano różne podatności. Tak budowano zaufanie społeczności. Taki rzekomy ekspert kontaktował się następnie z inną osobą - oferując współpracę przy projekcie. A w gratisie - backdoor łączący się z obcym adresem.
Mikrotargetowanie wykorzystuje się też w reklamach. Można tak kierować specjalnie przygotowany przekaz reklamowy - do wąskiej grupy odbiorców. W gorszym scenariuszu - można próbować przekierowywać małe grono osób do stron ze złośliwym oprogramowaniem.