В последние недели появились новые методы кибератак, использующие поддельные обновления сервисов. В частности, злоумышленники создали фальшивую страницу обновления Google Meet, которая может обмануть пользователей и привести к удаленному управлению их компьютерами на Windows. Этот сценарий представляет новую угрозу, поскольку не требует загрузки вредоносного файла и использует легитимные функции операционной системы.
Детали атаки и механизм работы
Исследователи из компании Malwarebytes обнаружили фальшивую страницу, которая маскируется под официальное уведомление о необходимости обновления Google Meet. Страница использует привычные цвета и логотипы Google, чтобы казаться достоверной. При нажатии кнопки «Обновить сейчас» пользователь не скачивает обновление, а инициирует встроенную функцию Windows — подключение к системе управления устройством через специальную ссылку.
Эта ссылка вызывает окно «Настройка учетной записи для работы или учебы», которое обычно появляется при настройке корпоративных устройств. В данном случае оно предварительно заполнено данными, ведущими к удаленному серверу злоумышленников, что позволяет злоумышленникам контролировать компьютер.
Если пользователь завершит процесс, его устройство станет частью системы мобильного управления (Mobile Device Management, MDM), что даст злоумышленникам полный контроль, аналогичный управлению со стороны IT-отдела компании. Это включает возможность установки программ, изменения настроек, просмотра файлов и даже удаления данных.
Почему данная атака опасна и как ее распознать
Основная сложность заключается в использовании легитимных функций Windows, которые не вызывают подозрений у пользователя или антивирусных программ. В отличие от традиционных вирусов, здесь не устанавливается вредоносное ПО, а активируются встроенные механизмы системы, что затрудняет обнаружение.
Google официально подчеркнул: «Такие уведомления с предложением обновления не являются легитимными. Google Meet обновляется автоматически через браузер или приложение, и компания никогда не просит переходить по сторонним ссылкам для установки обновлений».
Для защиты рекомендуется проверять URL-адрес — он должен быть meet.google.com. Любое предложение о обновлении, требующее посещения сторонних сайтов, считается мошеннической попыткой. Также следует в настройках Windows проверять раздел «Доступ к работе или учебе» и отключать незнакомые учетные записи или организации.
Рекомендации по безопасности и предотвращению атак
- Всегда проверяйте источник обновлений — они должны поступать через официальный сайт или приложение.
- Открывайте настройки Windows и проверяйте раздел «Доступ к работе или учебе» на наличие незнакомых учетных записей.
- Используйте современные антивирусные программы с функциями реального времени для обнаружения подозрительных изменений.
- Обновляйте операционную систему и браузеры до последних версий для устранения уязвимостей.
- Рекомендуется использовать менеджеры паролей, чтобы избегать автоматического заполнения данных на подозрительных страницах.
Общая оценка и последствия
Данная атака демонстрирует растущую тенденцию использования легитимных функций операционных систем для злоумышленных целей. В отличие от вирусных программ, она не вызывает автоматического обнаружения и может оставаться незамеченной длительное время. В случае успешной реализации злоумышленники получают контроль над устройством, что ставит под угрозу личные данные и корпоративную безопасность.
Эксперты подчеркивают важность повышения осведомленности пользователей и внедрения дополнительных мер защиты. В будущем могут появиться новые механизмы блокировки подобных злоупотреблений системных возможностей.
Дарья Тимошенко
Автор. Технологический обозреватель. Пишет о цифровых трендах, инновациях и гаджетах. Разбирает сложное просто, следит за будущим уже сегодня. Все посты