Отчеты о вредоносном ПО

Развитие информационных угроз в первом квартале 2023 года

Целевые атаки

BlueNoroff использует новые методы обхода MotW

В конце 2022 года мы рассказывали о последней активности группы BlueNoroff, известной атаками с кражей криптовалюты. Ранее для первичного проникновения эти злоумышленники обычно использовали документы Word и файлы с ярлыками. Но с недавних пор они перешли на новые методы доставки своего вредоносного ПО.

Один из них, предназначенный для обхода защитной функции Mark-of-the-web (MotW), состоит в использовании форматов файлов .ISO (образ оптического диска) и .VHD (виртуальный жесткий диск). MotW — это метка, которой система Windows снабжает файлы, загруженные из интернета. Когда пользователь пытается открыть такой файл, появляется предупреждение.

Также, по всей видимости, BlueNoroff экспериментирует с новыми типами файлов для доставки зловредов. Мы обнаружили новый скрипт Visual Basic, файл Windows Batch и исполняемый файл Windows, которых мы ранее не видели.

Наши аналитики нашли более 70 доменов, используемых BlueNoroff, — то есть до недавнего времени группа была чрезвычайно активна. Кроме того, злоумышленники создали многочисленные поддельные домены, похожие на домены венчурных компаний и банков, причем большинство имитирует японские компании. Это указывает на значительный интерес группы к финансовым организациям в Японии.

Roaming Mantis реализует новый механизм изменения настроек DNS

Мы продолжаем отслеживать активность известной группы Roaming Mantis (Shaoye), действующей преимущественно в странах Азии. С 2019 по 2022 год эта группа в основном использовала SMS-фишинг для распространения ссылки на страницу с вредоносным ПО для Android, позволяющим контролировать зараженное устройство и воровать информацию, в том числе учетные данные пользователя.

Однако в сентябре 2022 года мы провели анализ нового зловреда группы Wroba.o для Android и обнаружили в нем функцию для изменения настроек DNS. Она нацелена на определенные модели роутеров Wi-Fi, популярные преимущественно в Южной Корее.

После компрометации роутера и модификации настроек DNS злоумышленники могут управлять обменом данными на подключенных устройствах, например перенаправлять пользователя на вредоносные узлы и вмешиваться в обновления защитных продуктов. Зараженные устройства Android пользователи могут подключать к бесплатным публичным сетям Wi-Fi в кафе, барах, библиотеках, гостиницах, торговых центрах и аэропортах. Если роутер в публичной сети Wi-Fi имеет уязвимые настройки, зловред компрометирует его и заражает через него другие устройства. Это приводит к широкому распространению угрозы в целевых регионах.

BadMagic: новая APT-угроза, связанная с российско-украинским конфликтом

С начала российско-украинского конфликта мы наблюдаем множество кибератак геополитической направленности. Они описаны в нашем обзоре киберугроз, связанных с этим конфликтом.

В октябре прошлого года мы выявили активное заражение правительственных, сельскохозяйственных и транспортных организаций в Донецке, Луганске и Крыму. Начальный вектор компрометации неизвестен, но анализ следующего этапа позволяет заподозрить применение целевого фишинга или другого подобного метода. Жертвы переходили по ссылке на ZIP-архив, размещенный на вредоносном веб-сервере. Архив содержал два файла: документ-приманку (мы нашли документы в форматах PDF, XLSX и DOCX) и вредоносный LNK-файл с двойным расширением (например, PDF.LNK), открыв который, пользователь запускал цепочку заражения.

В некоторых случаях содержимое документа-приманки было напрямую связано с именем вредоносного LNK-файла, что могло вынудить пользователя открыть его.

LNK-файл скачивал и устанавливал PowerShell-бэкдор PowerMagic, который в свою очередь разворачивал сложный модульный фреймворк CommonMagic. Мы обнаружили плагины CommonMagic, способные красть файлы с USB-устройств, а также делать снимки экрана и отправлять их злоумышленникам.

В ходе первичного анализа мы не смогли найти ничего, что связывало бы найденные образцы и данные, используемые в кампании, с известными группами. Однако дальнейшее расследование позволило нам обнаружить больше информации об этой угрозе, в том числе установить ее связь с другими APT-кампаниями. Подробности об этом расследовании можно прочитать здесь.

Прочее вредоносное ПО

Prilex блокирует бесконтактные транзакции

Зловред Prilex эволюционировал из инструмента для атак на банкоматы в самую продвинутую из известных нам угроз для платежных терминалов. Злоумышленники значительно превзошли программы типа memory scraper (сканеры памяти), которые ранее использовались для атак на PoS-терминалы, и создали продвинутое вредоносное ПО, использующее уникальную схему шифрования и способное в реальном времени модифицировать целевое ПО, понижать версию протокола, манипулировать криптограммами, выполнять так называемые GHOST-транзакции и похищать данные банковских карт, даже защищенных чипом и PIN-кодом.

В процессе расследования одного инцидента мы обнаружили свежие образцы Prilex и выяснили, что одна из новых функций в них позволяет блокировать бесконтактные транзакции. Каждая такая транзакция генерирует уникальный идентификатор, действительный только для нее, поэтому для злоумышленников они бесполезны. Блокируя транзакцию, Prilex пытается вынудить покупателя вставить карту в терминал и провести оплату с использованием чипа и PIN-кода. Это позволяет злоумышленникам использовать стандартные методы для похищения данных карты.

Учитывая постоянный рост числа бесконтактных транзакций, этот метод позволяет группе Prilex продолжать  воровать данные банковских карт, не снижая обороты.

Для заражения POS-терминалов злоумышленники используют социальную инженерию. Они пытаются убедить сотрудников магазина в необходимости срочно обновить программное обеспечение терминала и просят пустить к нему «технического специалиста» или хотя бы предоставить ему удаленный доступ. Розничным организациям важно отслеживать признаки заражения — в том числе постоянные сбои бесконтактных транзакций — и информировать сотрудников о методах, которые злоумышленники используют для проникновения в системы.

Также компаниям (особенно крупным сетям с множеством филиалов) стоит разработать внутренние регламенты и донести до сотрудников, как именно должен происходить процесс технического обслуживания устройств и обновления программного обеспечения. Это поможет исключить доступ посторонних лиц к POS-терминалам. Нелишним будет и в целом повышать уровень осведомленности сотрудников о новейших киберугрозах, чтобы они были меньше подвержены новым методам социальной инженерии.

Кража криптовалюты через поддельный браузер Tor

Недавно мы выявили продолжительную кампанию по краже криптовалюты, жертвами которой стали более 15 000 пользователей в 52 странах. Злоумышленники использовали метод, известный более десяти лет: изначально он применялся в банковских троянцах для подмены номеров банковских счетов. Однако в последней кампании злоумышленники заражали устройства жертв с помощью троянизированной версии браузера Tor.

Цепочка заражения выглядела так: жертва загружает со стороннего ресурса троянизированный установщик Tor, который содержит защищенный паролем RAR-архив, — пароль помогает избежать обнаружения защитными решениями. После проникновения в целевую систему вредоносный файл прописывается в автозагрузке и использует для маскировки значок популярного приложения, например uTorrent.

Зловред отслеживает содержимое буфера обмена — если текст содержит адрес криптовалютного кошелька, он заменяет его на адрес кошелька злоумышленников.

Анализ существующих образцов позволяет оценить потери жертв кампании не менее чем в 400 000 долларов США. Но фактический ущерб может быть гораздо выше, так как мы рассматривали только атаки через вредоносный установщик Tor. В других кампаниях могут использоваться программы, методы доставки и кошельки других типов.

Мы не смогли найти единый веб-сайт для скачивания установщика, поэтому предполагаем, что злоумышленники распространяют его через торрент-сервисы или другие загрузчики программного обеспечения. Установочные файлы, загруженные с официального веб-сайта Tor Project, имеют цифровую подпись и не содержат никаких признаков зловреда. Поэтому, чтобы защитить себя, загружайте программное обеспечение только из надежных, проверенных источников. А если вы загрузите троянизированную версию, хорошее антивирусное решение обнаружит угрозу.

Если вы опасаетесь, что ваша система была заражена подобным вредоносным ПО, есть способ это проверить. Введите в «Блокнот» следующий биткойн-адрес:
bc1heymalwarehowaboutyoureplacethisaddress

Нажмите одновременно клавиши Ctrl+C, а затем Ctrl+V. Если адрес изменится — система, вероятно, заражена троянцем-клиппером, подменяющим данные в буфере обмена. В таком случае пользоваться компьютером опасно.

Чтобы найти и обезвредить вредоносное ПО, рекомендуем просканировать систему с помощью защитного решения. А чтобы гарантировать отсутствие скрытых бэкдоров, скомпрометированную систему следует переустановить.

Только и разговоров, что о ChatGPT

С тех пор как компания OpenAI предоставила публичный доступ к своей большой языковой модели GPT-3 через чат-бот ChatGPT, интерес к проекту неуклонно растет. Люди массово исследуют возможности чат-бота: просят его писать стихи, ведут с ним беседы, запрашивают информацию, создают контент для веб-сайтов и т. д.

Также широко обсуждается потенциальное влияние ChatGPT на ландшафт угроз.

Учитывая, что ChatGPT может создавать текст, почти не отличимый от написанного человеком, вполне вероятно, что уже сейчас его используют для целевого фишинга. С помощью ChatGPT злоумышленники могут создавать убедительные персонализированные письма в промышленных масштабах. Более того, можно легко загрузить в чат-бот любой ответ от получателя фишингового сообщения и за считаные секунды сгенерировать последующую реплику. Но хотя ChatGPT может облегчить киберпреступникам задачу массового производства фишинговых сообщений, характер атаки не меняется.

На подпольных хакерских форумах злоумышленники пишут о том, как использовали ChatGPT для создания новых троянцев. Чат-бот способен писать код. Если пользователь опишет в запросе желаемую функцию (например, «сохранять все пароли в файле X и отправлять в запросе HTTP POST на сервер Y»), то сможет создать простой стилер без навыков программирования. Однако такие троянцы могут быть примитивными и содержать ошибки, снижающие их работоспособность. По крайней мере, пока разработку зловредов чат-бот ведет на уровне новичка.

Мы также обнаружили вредоносную кампанию, эксплуатирующую растущую популярность ChatGPT. Мошенники создавали в социальных сетях группы, имитирующие сообщества энтузиастов. В них они размещали данные для входа в готовые учетные записи, через которые якобы можно было получить доступ к ChatGPT, и публиковали правдоподобные ссылки на скачивание поддельной версии ChatGPT для Windows.

По вредоносной ссылке на компьютер загружался троянец, ворующий учетные данные из Chrome, Edge, Firefox, Brave и других браузеров.

Исследователи кибербезопасности часто публикуют открытые отчеты о киберпреступных группах и их тактиках, методах и процедурах (TTP) и других индикаторах. Поэтому мы решили выяснить, что ChatGPT знает об аналитике угроз и может ли он помочь обнаруживать распространенные вредоносные инструменты и индикаторы компрометации, например вредоносные хеши и домены.

Ответы на вопросы об артефактах на уровне хоста имели больший потенциал, поэтому мы дали ChatGPT задание написать код для извлечения метаданных из тестовой системы Windows, а затем спросить себя же о наличии в них индикаторов компрометации:

Так как некоторые фрагменты кода оказались полезнее остальных, мы решили доработать экспериментальное решение вручную. Мы выбрали события, для которых ChatGPT отметил наличие индикатора компрометации (ответ начинался со слова «yes»), добавили обработчики исключений и отчеты в формате CSV, исправили мелкие ошибки и преобразовали фрагменты кода в отдельные командлеты — в результате получился простой сканер индикаторов компрометации, HuntWithChatGPT.psm1, способный проводить проверку удаленной системы через WinRM.

Хотя точный поиск индикаторов компрометации обходится не слишком дешево (плата за использование OpenAI API составляет от 15 долларов США до 20 фунтов стерлингов за хост), промежуточные результаты очень любопытны и открывают возможности для дальнейшего исследования и тестирования.

Участие искусственного интеллекта в нашей жизни выйдет далеко за пределы текущих возможностей ChatGPT и других современных проектов машинного обучения. Иван Квятковский, исследователь из команды GReAT (Global Research and Analysis Team), недавно оценил вероятный масштаб ожидаемых изменений в долгосрочной перспективе. Применение искусственного интеллекта приведет не только к повышению производительности, но и социальным, экономическим и политическим изменениям.

Отслеживание цифрового следа

Мы привыкли, что поставщики сервисов, маркетинговые и аналитические компании отслеживают каждый наш клик мышкой, посты в социальных сетях, историю посещения веб-сайтов и просмотра на стриминговых платформах. Они делают это по ряду причин. Во-первых, они хотят лучше понимать наши предпочтения и предлагать продукты и услуги, которые мы купим с большей вероятностью. Во-вторых — выяснить, какие изображения или тексты больше всего привлекают наше внимание. Наконец, они хотят продавать третьим сторонам информацию о наших привычках и поведении в сети.

Для отслеживания чаще всего используются веб-маяки , они же следящие или «шпионские» пиксели. Они представляют собой крошечные изображения (1 × 1 или даже 0 x 0 пикселей), размещенные в электронных письмах, приложениях или на веб-страницах. При открытии письма или страницы почтовый клиент или браузер делает запрос на скачивание картинки с сервера и отправляет информацию о пользователе, которая сохраняется на сервере. Эти данные включают время открытия, информацию об устройстве, операционной системе, браузере и странице, с которой был загружен следящий пиксель. Так оператор маяка узнает, когда и как вы открыли письмо или веб-страницу. Часто вместо пикселя на странице используется маленький фрагмент JavaScript-кода, который собирает еще больше подробных данных. Размещенные на каждой странице или каждом экране приложения маяки позволяют компаниям отслеживать ваши перемещения в интернете.

В нашем недавнем отчете о веб-трекерах перечислены 20 маяков, которые чаще всего встречаются на веб-сайтах и в электронных письмах. Данные о веб-маяках основаны на обезличенной статистике компонента Do Not Track (DNT) из продуктов «Лаборатории Касперского» для домашних пользователей, который блокирует загрузку трекеров на веб-сайтах. Цифровой рекламой и маркетингом в той или иной мере занимаются большинство компаний, в том числе такие технологические гиганты, как Google, Microsoft, Amazon и Oracle.

Данные о маяках в электронной почте основаны на обезличенных данных из компонента Анти-Спам в продуктах «Лаборатории Касперского» для защиты электронной почты. Компании из списка предоставляют либо услуги по рассылке электронных писем (ESP), либо услуги по управлению взаимодействием с клиентами (CRM).

Информация, собранная с использованием трекеров, представляет ценность не только для законопослушных компаний, но и для киберпреступников. Если они заполучат ее в результате, например, утечки данных, то смогут использовать для взлома учетных записей в интернете или рассылки поддельных писем. Кроме того, злоумышленники сами могут использовать веб-маяки. Информацию о том, как защититься от слежки, можно найти здесь.

Вредоносная реклама в результатах поиска

В последние месяцы появляется все больше вредоносных кампаний с использованием Google Рекламы для распространения и доставки вредоносного ПО. По меньшей мере два разных стилера, RedLine и Rhadamanthys, доставляются на компьютеры пользователей таким образом.

По нашим наблюдениям, они используют один и тот же метод — имитацию веб-сайта, связанного с популярным программным обеспечением, например Notepad++ и Blender 3D. Злоумышленники создают копии легитимных веб-сайтов для загрузки ПО и используют в URL-адресах тайпсквоттинг (неправильное написание названий брендов или компаний) или комбосквоттинг (сочетание тайпсквоттинга и произвольных слов), чтобы вызвать доверие у пользователей. Затем они оплачивают продвижение сайтов в поисковой системе, чтобы выводить их на верхние строчки поисковой выдачи. Этот метод называется вредоносной рекламой (malvertising).

Распределение обнаруженных образцов вредоносного ПО указывает на то, что злоумышленники действуют по всему миру и атакуют как отдельных пользователей, так и компании.

Развитие информационных угроз в первом квартале 2023 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике