Авторизуйтесь Чтобы скачать свежий номер №36(2730) от 17.05.2024 Смотреть архивы


USD:
3.2211
EUR:
3.501
RUB:
3.5013
Золото:
248.82
Серебро:
3.07
Платина:
110.29
Палладий:
102.42
Назад
ИТ-технологии
12.10.2023 6 мин на чтение мин
Распечатать с изображениями Распечатать без изображений

В Kaspersky рассказали о новых версиях финансовых зловредов

Фото: kaspersky.com

Эксперты Kaspersky проанализировали новые вредоносные инструменты, один из которых, стилер Lumma, крадёт логи криптовалютных кошельков.

Откуда взялся Lumma

Его предвестник – стилер Arkei, впервые замеченный в мае 2018 года. Lumma — это новая версия Arkei. Она распространяется через поддельный веб-сайт для преобразования файлов .docx в .pdf. Загруженные файлы возвращаются с двойным расширением — .pdf.exe, и при попытке их открытия на компьютер устанавливается зловред. Стилер умеет красть кэшированные файлы, конфигурационные файлы и логи криптовалютных кошельков. Он может работать как плагин для браузера, а также совместим с приложением Binance.В Lumma есть и функции, которых не было в предыдущих версиях стилера, – возможность получать списки системных процессов, усовершенствованные техники шифрования, а также использование динамических конфигурационных файлов, которые присылает командный сервер.

Эволюция Zanubis

Банковский троянец Zanubis, который атакует пользователей из Перу под видом легитимных приложений, известен с 2022 года. Он выманивает разрешение на доступ к Accessibility Services (службе специальных возможностей). Сначала он маскировался под финансовые и криптовалютные сервисы на Android, а в апреле 2023 года появилась имитация под официальное приложение перуанского Национального управления таможенной и налоговой администрации (SUNAT). Для запутывания кода (обфускации) Zanubis использует Obfuscapk – популярный обфускатор файлов приложений для Android. Троянец подгружает реальный сайт SUNAT с помощью системного компонента WebView, отвечающего за открытие веб-страниц в приложениях.

Как выяснили эксперты, для связи с командным сервером троянец использует протокол WebSocket и библиотеку Socket.IO. Это позволяет ему адаптироваться и оставаться на связи даже в случае проблем. Как и во многих современных вредоносных программах, у Zanubis нет фиксированного списка приложений для атаки: этот список злоумышленники могут настроить под каждое конкретное устройство. При этом зловред может создавать второе соединение, позволяющее получить полный контроль над устройством и даже полностью заблокировать его под видом обновления для Android.

Новый криптор

Эксперты Kaspersky также проанализировали ASMCrypt – недавно обнаруженный криптор/загрузчик, продающийся на подпольных форумах. Инструменты такого типа используются, чтобы скрыть сам процесс загрузки или другое вредоносное ПО. ASMCrypt — это более продвинутая версия загрузчика DoubleFinger, используемая в качестве «фасада» для службы, которая выполняется в сети TOR. Покупатели могут настроить под себя методы заражения, цели атаки, параметры автозагрузки, а также разные возможности ВПО. Вредоносный функционал скрыт внутри изображения с разрешением .png, загруженного на хостинговый сайт.

«В погоне за прибылью злоумышленники активно используют тему криптовалют и имитируют приложения государственных учреждений. На примере стилера Lumma и троянца Zanubis можно проследить, как меняется ландшафт вредоносного ПО и сама природа подобных киберугроз. Специалистам в области кибербезопасности нужно постоянно отслеживать изменения вредоносного кода и тактик злоумышленников. Чтобы защититься от развивающихся угроз, организациям важно сохранять бдительность и быть в курсе того, как они эволюционируют. Наши отчёты предоставляют информацию о новейших вредоносных инструментах и методах злоумышленников. Это позволяет нам быть на шаг впереди в борьбе за цифровую безопасность», – комментирует Татьяна Шишкова, ведущий исследователь угроз информационной безопасностив Kaspersky.

Прочитать полную версию отчёта можно на сайте Securelist.

Чтобы защититься от подобных киберугроз, эксперты Kaspersky рекомендуют:

  • создавать резервные офлайн-копии данных, к которым не смогут получить доступ злоумышленники, чтобы в экстренной ситуации ими можно было быстро воспользоваться;

  • установить защитные программы от программ-вымогателей для всех конечных устройств. Бесплатное решение Kaspersky Anti-Ransomware Tool защищает компьютеры и серверы от программ-вымогателей и других типов вредоносных программ, а также борется с эксплойтами, и, кроме того, совместимо с ранее установленными защитными решениями;

  • пользователям – защищать все устройства, с помощью которых кошелёк подключается к интернету, с помощью надёжного решения, такого как Kaspersky Premium;

  • компаниям – предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например, с помощью сервисов Threat Intelligence.

Читайте нас в Telegram и Viber

Распечатать с изображениями Распечатать без изображений
Разместить рекламу на neg.by