“Дьявол с серебряным языком” и атаки на публичных лиц

Недавно корпорация Microsoft сообщила о том, что специалисты компании без лишнего шума работала над тем, чтобы разработать меры противодействия злоумышленникам, атакующим частных лиц. В числе последних атак такого типа можно выделить Candiru — группировку, ответственную за распространение вредоносного ПО DevilsTongue

Вообще за последний год Candiru действовала под самыми разными именами, и одним из последних было “Sourgum”. Эта атака коснулась более 100 жертв по всему миру, в числе которых — политики, борцы за праве человека, журналисты, академики, сотрудники посольств и даже политические диссиденты. И последний выпуск Patch Tuesday от Microsoft предложил исправления для ряда уязвимостей, которыми пользовались Candiru. Однако гарантий, что тем самым были закрыты все возможные вектора атак, нет. 

Особенность деятельности Candiru заключается в том, что преступная группа использует еще недокументированные эксплойты и атакует конкретных жертв. Поэтому противодействовать их активностям только за счет патчей и заплаток не получится. Для этого нужно использовать бихевиористическое обнаружение подозрительной активности.

Заархивируй это, заархивируй еще раз!

Исследователи обнаружили новую фишинг-кампанию по распространению вредоносного ПО BazarBackdoor. Чтобы обмануть антивирусы злоумышленники архивируют вредоносное ПО несколько раз, а после этого выдают его за изображение..

И хотя такая стратегия распространения и маскировки вредоносного ПО совершенно не нова, она помогает обойти ряд систем защиты, и регулярно просачиваются через шлюзы email некоторых производителей. Попавшая в сегодняшний дайджест атака использовала World Environment Day как повод для рассылки. И это помогло обмануть немало пользователей, которые решили посмотреть, что за картинку им прислали в честь даты, объявленной ООН днем защиты природы.

Кстати, по нашим данным, подобные атаки составляют примерно 80% инцидентов систем безопасности, и в 94% вредоносное ПО доставляется на компьютеры жертвы через email.

Троян с криптоджекингом атакует Linux-системы

Еще одна вредоносная кампания была запущена из Румынии и нацелена на системы с ОС Linux, пользователи которых часто считают себя в безопасности от большинства угроз. Попав на компьютер, троян устанавливает майнер XMRig Monero. Для этого атакующие сначала получают доступ к системе зща счет брутфорсного подбора данных учетной записи при помощи специально инструмента “Diicot brute”, написанного на Golang.

В прошлом эта группа киберпреступников уже практиковала установку ботов IRC и различных вариантов ботнета DDoS Demonbot. Их тактика позволяет установить надежную коммуникацию между компьютерами атакующего и жертвы по каналу Discord. В результате отпадает необходимость в центральном сервере С&C, который бдительные службы защиты могут просто отключить.

В случае с этими румынскими атаками отключать нечего, и пользователям остается рассчитывать исключительно на системы защиты, которые смогут обнаружить проникновение на компьютер и вредоносную активность.

“Новая нормальность” так и не стала нормой с точки зрения фишинга

Пандемия COVID-19 создала идеальную почву для работы специалистов по фишингу, которые накинулись на сотни тысяч людей, работающих из дома. Большинство из них полагаются на системы удаленного доступа, и недавно проведенный опрос показал, что ситуация в этой сфере складывается тревожная.

74% компаний стали жертвами фишинговых атак, и 40% — только в прошлом месяце. При этом 80% организаций отметили значительное увеличение числа попыток фишинга, направленных на их сотрудников. 

Корень этой проблемы давно известен: многим пришлось быстро переходить на новые цифровые решения, не располагая для этого надежной инфраструктурой, сложившимися регламентами и практиками. Около 70% респондентов сообщили, что им так и не удалось провести достаточное количество тренингов по ИБ. 52% не хватает сотрудников ИТ-департаментов, чтобы обеспечить работу распределенной команды. И в этих условиях не удивительно, что почти половина (47%) фишинговых атак оказалась успешной. И нередко, обманув лишь одного сотрудника, злоумышленники получают доступ ко всей корпоративной сети.

Троян Windows захватывает территорию Mac

Новый вариант третьего по популярности в мире вредоносного ПО FormBook, впервые был замечен на macOS. Версия для Mac оказалась портом новейшего  XLoader из семейства FormBook, и она уже доступна на подпольных форумах всего за $49 в месяц.

Тем временем XLoader уже использовался для атак в 96 странах, несмотря на то, что его фокус приходился на США (53% жертв из этой страны). Троянская программа может красть учетные данные из браузеров, делать скриншоты, отслеживать нажатия на клавиатуру, а также загружать и устанавливать любые дополнительные пейлоады. 

Надо сказать, что сегодня все больше вредоносного ПО атакует системы Mac, ведь только за 2020 год было продано примерно 20,2 миллиона новых систем Apple. И даже отказ производителя от процессоров Intel не останавливает разработчиков вредоносного ПО от попыток все чаще атаковать macOS, причем эти попытки нередко оказываются успешными. Похоже, пользователи Apple все-таки нужно рассматривать систему защиты как такой же маст-хэв, как обладателям компьютеров с Windows.