Атаки на клиентов растут и будут расти

Мошенники не устают придумывать и внедрять все новые сценарии кибератак и хищения денег, а компании по информационной безопасности – выявлять угрозы и разрабатывать новые методы борьбы со злоумышленниками. Без передышки на летние каникулы и отпуска 

Лаборатория Касперского

В начале 2023 года в России выросло количество кибератак на компьютеры автоматизированных систем управления.

По данным Kaspersky ICS CERT, в первые пять месяцев 2023 года доля заблокированных вредоносных объектов на компьютерах автоматизированных систем управления (АСУ) в России составила 31,3%. Рост по сравнению с аналогичным периодом в 2022 году составил 4,5 процентных пункта. Он преимущественно связан с увеличением количества атак на компьютеры АСУ вредоносными объектами из интернета. Вопреки распространённому мнению, что промышленный контур изолирован от внешней сети, это могут быть устройства, с которых можно попасть на произвольные сайты в интернете – автоматизированные рабочие места операторов и инженеров.

С января по май 2023 года в топ-3 отраслей с наиболее высокой долей компьютеров АСУ, на которых были заблокированы вредоносные объекты, вошли сфера инжиниринга и интеграции АСУ (33,8%), автоматизация зданий (32%), энергетика (30,6%).

В целом, по опыту экспертов «Лаборатории Касперского», наиболее распространённые причины кибер-инцидентов на предприятиях связаны с тем, что:

• защитные решения давно не обновлялись;
• в них бывают выключены необходимые компоненты защиты;
• средства защиты установлены не на всех конечных узлах;
• технологическая сеть не изолирована от офисной;
• удалённый доступ в технологическую сеть не организован с соблюдением всех необходимых мер ИБ.

«Чтобы снизить все возможные риски, важен комплекс мер. Всегда нужно опираться на базовые принципы информационной безопасности. Первое – это эшелонированная защита, второе – обучение персонала. Третье – использование специализированных технологий, в том числе современных наложенных средств защиты, например промышленной XDR-платформы. Стоит помнить и о грамотном сегментировании сети, а также применять специализированные программно-аппаратные средства, например межсетевые экраны. Мы рекомендуем предприятиям заботиться о том, чтобы у специалистов, ответственных за защиту АСУ, были современные средства мониторинга и анализа угроз. Важно обеспечивать их актуальными данными о текущих киберугрозах, векторах атак, наиболее уязвимых элементах в промышленной инфраструктуре, а также мерах для повышения устойчивости информационных систем», – рассказывает Владимир Дащенко, эксперт Kaspersky ICS CERT.

Для защиты компьютеров АСУ от киберугроз «Лаборатория Касперского» рекомендует:

• проводить аудит безопасности ОТ-систем для своевременного распознавания и устранения проблем безопасности;
• использовать решения для мониторинга сетевого трафика компьютеров АСУ, анализа и детектирования киберугроз и уязвимостей технологической сети – для наиболее эффективной защиты от атак, потенциально угрожающих технологическому процессу и главным активам предприятия;
• проводить тренинги для ИБ-специалистов и ОТ-инженеров, чтобы улучшать качество реагирования на различные, в том числе новые и продвинутые, вредоносные техники;
• ограждать от киберугроз ИТ-инфраструктуру. Интегрированные продукты для защиты конечных устройств предоставляют возможности для детектирования киберугроз и реагирования на них.

Более подробно прочитать о наиболее распространённых причинах кибер-инцидентов на производстве можно здесь: https://ics-cert.kaspersky.ru/publications/blog/2023/06/06/why-apts-are-so-successful-stories-from-ir-trenches

Компания F.A.С.С.T

Финансовый фрод – новый поворот: количество атак на клиентов российских банков выросло на 60%

Эксперты компании F.A.С.С.T., российского разработчика технологий для борьбы с киберпреступлениями, сообщили о росте количества попыток перехвата мошенниками учетных записей пользователей в сервисах дистанционного банковского обслуживания (ДБО) или получения удаленного доступа к смартфону. Опасность в том, что в случае успешной атаки на аккаунты и устройства, клиенты банков могут потерять деньги или доступ к личному кабинету.

Основываясь на данных системы борьбы с финансовым мошенничеством F.A.С.С.T. Fraud Protection, аналитики выделили наиболее популярные схемы, которые использовали мошенники против клиентов российских банков весной 2023 года (не считая случаев, когда жертвы сами переводили деньги злоумышленникам).

Так, в марте-апреле был зафиксирован рост на 59% количества попыток перехвата учетных записей пользователей в сервисах ДБО по сравнению с январем-февралем 2023 года. Сценариев атаки может быть несколько, одна из популярных схем выглядит следующим образом.

Мошенники, используя данные из утечек, заполняют от имени жертвы заявку на получение кредита сайте банка. Клиент получает SMS-сообщение от банка с просьбой подтвердить заявку. В этот момент с жертвой связываются мошенники и от имени банка предлагают прекратить процесс оформления кредита. Однако вместо этого они переходят на страницу восстановления доступа к сервису банка и отправляют запрос на восстановления/смены пароля. Клиенту получает SMS с кодом, якобы отменяющим кредитную заявку, а по факту дающим возможность мошеннику получить доступ к учетной записи в банковском сервисе для дальнейшего входа в личных кабинет и вывода денег.

Другая массовая схема связана с попытками получения удаленного доступа к смартфону клиента банка. В этом случае под видом сохранения средств на счете, жертве предлагают установить мобильное приложение или программу якобы для обучения или демонстрации экрана, являющуюся сервисом удаленного доступа. Получив доступ к аккаунту жертвы, мошенники выводят деньги на подконтрольные счета. По данным F.A.С.С.T. Fraud Protection, количество попыток подключиться к устройствам клиентов банков в 1,7 раза превысило количество атак с целью перехвата учетных записей в сервисах онлайн-банкинга.

«Мошенники постоянно разрабатывают и внедряют все новые сценарии хищений денег со счета, но основными способами добраться до ДБО остаются перехват аккаунта в онлайн-банкинге, удаленный доступ к устройству и схемы, – замечает специалист компании F.A.С.С.T. по противодействию финансовому мошенничеству Дмитрий Дудков. – Одна из причин роста атак может быть следствием рекордного числа опубликованных утечек и распространением различного ВПО, например, стилеров, программ-шпионов и мобильных троянов. Банки сейчас могут обезопасить своих клиентов, используя технологии для защиты как мобильных, так и веб-каналов от финансового мошенничества».

Пользователям эксперты F.A.C.C.T. рекомендуют соблюдать основные правила, которые помогут защитить деньги от финансовых мошенников:

• Не делитесь в интернете, соцсетях информацией клиентом какого банка вы являетесь, не публикуйте фотографии и сканы ваших документов и банковских карт.
• Не стоит переходить по подозрительным ссылкам и открывать подозрительные файлы, документы.
• Используйте для онлайн-покупок, расчетов в интернете отдельную банковскую карту. Не оставляйте данные своей банковской карты на подозрительных ресурсах.
• Используйте сложные пароли – разные для всех устройств и ресурсов.
• Не совершайте действий по счету, если вам звонят с предложением совершить какой-либо перевод.
• Если вам позвонил «сотрудник банка», «сотрудник правоохранительных органов» никогда не сообщайте CVV, кодовое слово или код из смс. Как только вы услышали подобную просьбу – спокойно прервите разговор и сообщите в ваш банк, с какого номера поступил звонок.
• Связывайтесь с банком по номеру, указанному на банковской карте или на официальном сайте. Игнорируйте подозрительные смс с номером и с просьбой перезвонить в банк.
• Внимательно следите за приходящими смс о блокировке или перевыпуске сим-карты.

Компания «Доктор Веб»

Выявлена троянская программа-стилер в ряде неофициальных сборок ОС Windows 10.

Программу злоумышленники распространяли через один из торрент-трекеров. Получившее имя Trojan.Clipper.231, это вредоносное приложение подменяет адреса крипто кошельков в буфере обмена на адреса, заданные мошенниками. На данный момент с его помощью злоумышленникам удалось похитить криптовалюту на сумму, эквивалентную порядка $19 000.

В конце мая 2023 года в компанию «Доктор Веб» обратился клиент с подозрением на заражение компьютера под управлением ОС Windows 10. Проведенный специалистами компании анализ подтвердил факт присутствия троянских программ в системе –стилера Trojan.Clipper.231, а также вредоносных приложений Trojan.MulDrop22.7578 и Trojan.Inject4.57873, осуществлявших его запуск. Вирусная лаборатория «Доктор Веб» успешно локализовала все эти угрозы и справилась с их обезвреживанием.

В то же время выяснилось, что целевая ОС являлась неофициальной сборкой, и вредоносные программы были встроены в нее изначально. Дальнейшее исследование позволило выявить несколько таких зараженных сборок Windows:

• Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
• Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso

Все они были доступны для скачивания на одном из торрент-трекеров, однако нельзя исключать, что злоумышленники используют и другие сайты для распространения инфицированных образов системы.

Вредоносные программы в этих сборках расположены в системном каталоге:

• \Windows\Installer\iscsicli.exe (Trojan.MulDrop22.7578)
• \Windows\Installer\recovery.exe (Trojan.Inject4.57873)
• \Windows\Installer\kd_08_5e78.dll (Trojan.Clipper.231)

Инициализация стилера происходит в несколько стадий. На первом этапе через системный планировщик задач запускается вредоносная программа Trojan.MulDrop22.7578: %SystemDrive%\Windows\Installer\iscsicli.exe

Ее задача – смонтировать системный EFI-раздел на диск M:\, скопировать на него два других компонента, после чего удалить оригиналы троянских файлов с диска C:\, запустить Trojan.Inject4.57873 и размонтировать EFI-раздел.

В свою очередь, Trojan.Inject4.57873 с использованием техники Process Hollowing внедряет Trojan.Clipper.231 в системный процесс %WINDIR%\\System32\\Lsaiso.exe, после чего стилер начинает работать в его контексте.

Получив управление, Trojan.Clipper.231 приступает к отслеживанию буфера обмена и подменяет скопированные адреса крипто кошельков на адреса, заданные злоумышленниками. При этом у него имеется рад ограничений.

Во-первых, выполнять подмену он начинает только при наличии системного файла %WINDIR%\\INF\\scunown.inf.

Во-вторых, троян проверяет активные процессы. Если он обнаруживает процессы ряда опасных для него приложений, то подмену адресов крипто кошельков не производит.

Внедрение вредоносных программ в EFI-раздел компьютеров как вектор атаки по-прежнему встречается весьма редко. Поэтому выявленный случай представляет большой интерес для специалистов по информационной безопасности.

По подсчетам вирусных аналитиков компании, на момент публикации этой новости, с помощью стилера Trojan.Clipper.231 злоумышленники украли 0.73406362 BTC и 0.07964773 ETH, что примерно эквивалентно сумме $18 976,29 или 1 568 233 рубля.

Компания «Доктор Веб» рекомендует пользователям скачивать только оригинальные ISO-образы операционных систем и только из проверенных источников, таких как сайты производителей. Антивирус Dr.Web успешно обнаруживает и нейтрализует Trojan.Clipper.231 и связанные с ним вредоносные приложения, поэтому для пользователей антивирусом эти троянские программы опасности не представляют.

Выявлен программный модуль для ОС Android, который обладает шпионскими функциями.

Этот программный модуль собирает информацию о хранящихся на устройствах файлах. Он способен передавать их злоумышленникам, а также может подменять и загружать содержимое буфера обмена на удаленный сервер.

Модуль распространяется под видом маркетингового SDK и встраивается разработчиками в различные Android-игры и приложения, доступные в том числе в Google Play. По классификации Dr.Web он получил имя Android.Spy.SpinOk.

Вирусные аналитики компании обнаружили его в 101программах, которые суммарно были загружены не менее 421 290 300 раз.

Модуль SpinOk предназначен для удержания пользователей в приложениях с помощью мини-игр, системы заданий, а также якобы розыгрышей призов. При инициализации это троянское SDK соединяется с C&C-сервером, отправляя на него запрос с множеством технических данных о зараженном устройстве.

Среди них – данные сенсоров, таких как гироскоп, магнитометр и т. д., которые могут использоваться для распознавания работы в среде эмуляторов и корректировки работы вредоносного приложения во избежание обнаружения его активности исследователями.

С этой же целью игнорируются и настройки прокси-устройства, что позволяет скрыть сетевые подключения при анализе. В ответ модуль получает от управляющего сервера список ссылок, которые тот загружает в WebView для демонстрации рекламных баннеров.

Специалисты компании выявили этот троянский модуль и несколько его модификаций в целом ряде приложений, распространявшихся через каталог Google Play. Некоторые из них содержат вредоносное SDK до сих пор, другие имели его лишь в определенных версиях, либо уже удалены. Вирусные аналитики компании обнаружили его в 101 программах, которые суммарно были загружены не менее 421 290 300 раз.

Таким образом, сотни миллионов владельцев Android-устройств рискуют стать жертвами кибершпионажа. Компания «Доктор Веб» оповестила корпорацию Google о выявленной угрозе.

При этом троянское SDK расширяет возможности JavaScript-кода, выполняемого на загружаемых рекламных веб-страницах. Оно добавляет такому коду множество возможностей, среди которых:

• получение списка файлов в указанных директориях,
• проверка наличия заданного файла или директории на устройстве,
• получение файла с устройства,
• получение и изменение содержимого буфера обмена.

Это позволяет тем, кто управляет данным троянским модулем, получать конфиденциальную информацию и файлы с устройства пользователя.

Например, файлы, доступ к которым есть у приложения со встроенным Android.Spy.SpinOk. Для этого злоумышленникам понадобится добавить соответствующий код в HTML-страницу рекламного баннера.

Доктор Веб приглашает российских разработчиков применять антивирусное ядро Dr.Web для NGFW

Сегодня одним из главных трендов на российском рынке кибербезопасности стало создание Next Generation Firewall (NGFW) – брандмауэра следующего поколения, который комплексно защищает корпоративные сети от вторжений и угроз.

Однако для того, чтобы обеспечить полноценную и всестороннюю защиту, требуется встроенное антивирусное ядро – в NGFW западных разработчиков, которые сейчас ушли с нашего рынка, антивирус часто включался в состав продукта.

Компания «Доктор Веб» предлагает российским разработчикам, которые пришли на смену западным вендорам, использовать в своих решениях потоковое сканирующее ядро антивируса Dr.Web, которое можно интегрировать в NGFW.

Брандмауэры следующего поколения – это межсетевые экраны, которые выходят за рамки традиционного Firewall: они лучше распознают новейшие угрозы и блокируют потенциально опасный трафик.

Сегодня на российском рынке существует уже больше десятка игроков, которые разрабатывают такие решения. Но чтобы фильтрация и проверка функционировали полноценно, требуется интеграция антивирусного ядра, которое позволит находить сигнатуры вредоносных файлов в проходящем через брандмауэр трафике.

Новое решение Dr.Web специально адаптировано для потокового сканирования, что позволяет анализировать данные и обнаруживать угрозы в режиме реального времени на устройствах с высокой пропускной способностью. Вредоносные объекты в трафике выявляются антивирусным ядром при помощи сигнатурного анализа: ядро сканирует поток данных с целью выявления в нем наиболее распространенных угроз. Важно также, что сканирование выполняется в оперативной памяти.

Приглашаем разработчиков к тестированию ядра Dr.Web в NGFW и обсуждению сотрудничества с целью максимальной защиты пользователей. Объединив усилия и опыт, мы добьемся повышения уровня информационной безопасности в русле такого важного процесса как импортозамещение. Всех заинтересованных просим писать на электронную поч­ту ngfw_research@drweb.com. 

Ключевые слова: троянский модуль, угрозы, антивирусное ядро, стилеры, программы-шпионы, мобильные трояны, кибератаки

Подпишитесь на журнал
Купите в Интернет-магазине

Комментарии могут оставлять только зарегистрированные пользователи