Исследование

Злоумышленники используют Amazon S3 для распространения SpyEye

Провайдеры бесплатных облачных сервисов предоставляют гигабайты дискового пространства для хранения данных, а злоумышленники используют его для хранения и распространения вредоносного программного обеспечения. С другой стороны, многие платные легитимные сервисы также привлекательны для киберпреступников — например, Amazon Simple Storage, он же Amazon S3.

Стоимость услуг Amazon S3 не является серьезным препятствиям для успешных киберпреступников. Мой коллега Дмитрий Бестужев уже писал о распространении вредоносного ПО с облачных сервисов Amazon.

Случаи использования облачных сервисов в противозаконных целях далеко не единичны. Согласно нашим исследованиям, злоумышленники используют Amazon для распространения SpyEye уже не первую неделю.

Однако для использования сервиса Amazon S3 необходимо создать аккаунт Amazon Web Services, для чего требуется ввести идентификационные данные реального лица и реквизиты законного средства оплаты. Совершенно очевидно, что это препятствие злоумышленники преодолевают, используя данные, украденные у пользователей.

По нашим данным, в прошлом месяце облачный сервис Amazon интенсивно использовался для распространения вредоносного ПО. График, размещенный ниже, отражает активность использования доменов Amazon для распространения вредоносного ПО во второй половине июля 2011 года.

Использование облачных сервисов для проведения атак быстро набирает обороты, превращаясь в серьезную угрозу, и требует срочного принятия защитных мер.

Мы направили в Amazon информацию об использовании их доменов в криминальных целях. Кстати, для сообщений о злоупотреблениях сервисами Amazon предусмотрена специальная веб-страница и адрес электронной почты.

Злоумышленники используют Amazon S3 для распространения SpyEye

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике