Летом мы опубликовали исследование, в котором аналитики Центра кибербезопасности F.A.C.C.T. рассказали про обнаруженную ими сеть из более чем 1300 доменов, распространяющих вредоносные программы под видом популярных утилит, офисных приложений вместе с ключами активации или активаторами. В итоге пользователи, пытавшиеся установить популярный софт, переставший работать в России, загружали на свои компьютеры шпионское ПО, стилеры и криптомайнеры.
Для продвижения вредоносных ресурсов используются различные сервисы. Например, в LinkedIn (заблокирован в России) было обнаружено более 300 уникальных аккаунтов, рекламирующих сайты со взломанным ПО. Больше всего учетных записей относилось к Пакистану (66%), Индии (8%), Бангладеш (3%).
Среди российских ресурсов информацию о преимуществах программ и ссылки на скачивание взломанных версий злоумышленники размещали на популярных российских социальных сетях, видеохостингах и образовательных платформах.
С недавнего времени злоумышленники стали продвигать ссылки на вредоносные ресурсы через GitHub — крупнейший веб-сервис для хостинга IT-проектов и их совместной разработки.
Статьи и приманки
В ходе мониторинга угроз аналитиками ЦК были обнаружены попытки загрузки вредоносного ПО, и как показал анализ инцидентов – пользователи перед загрузкой посещали GitHub. Более подробный поведенческий анализ подтвердил, что на начальной стадии использовались уже классические для данной кампании приманки: посты и комментарии рекламного характера для продвижения доменов с вредоносными программами под видом взломанного софта.
Рассмотрев различные посты, обсуждения и комментарии нельзя выделить какую-то одну конкретную программу, использовавшуюся в качестве приманки. Стоит отметить, что в части статей ссылки на скачивание вели на один и тот же файл.
Если сравнивать описание программ в публикациях на Linkedin и GitHub, то они почти ничем не отличаются. Авторы сообщений на обоих ресурсах стараются максимально кратко, но доходчиво описать саму программу, а также подсветить ее плюсы и технические требования. В некоторых случаях можно увидеть статьи, в которых задействованы сразу несколько пользователей.
Что касается самих учетных записей, то некоторые аккаунты пользователей были созданы недавно, а часть, предположительно, были взломаны.
Из интересного стоит отметить, что в архивах пароли публикуются в виде изображений.
В начале сентября в этой кампании был зафиксирован всплеск активности. Количество сообщений, опубликованных на GitHub составило в среднем 25–40 постов в день. Например, 5 сентября было замечено 26 постов, которые связаны со взломанным ПО, а в период с 17 сентября по 19 сентября число постов в день превышало сотню: 134, 166, 188. В итоге мы видим четырехкратный рост. Это может свидетельствовать только о том, что распространение вредоносного ПО на ресурсе GitHub набирает популярность. С 5 сентября по 19 сентября виден почти ежедневный рост количества постов.
Также стоит отметить, что предпочтения по файлообменникам не поменялись со времени публикации исследования. ВПО все также размещается на площадках Mega и Mediafire.
Статистика по семействам
Если распределять распространяемое ВПО по семействам, то можно выделить три:
Vidar Stealer
Cryptobot
RedLine Stealer
Cryptobot — отличительной особенностью стилера является похищение данных связанных с денежными средствами. Это могут быть данные браузера, криптокошелька, данные о кредитных картах и т. п.
RedLine Stealer — это вредоносная программа, доступная на подпольных форумах для продажи как в виде отдельных версий, так и по подписке. Эта вредоносная программа собирает информацию из браузеров, в том числе сохраненные учетные данные, данные автозаполнения и сведения о кредитных картах.
Vidar – стилер часто использует различные профили в качестве части своей C2 инфраструктуры. IP-адрес инфраструктуры C2 встраивается в профиль пользователя на таких платформах, как Steam или Telegram. Вредоносная программа может получить доступ к этому профилю, связаться с указанным IP-адресом и загрузить файлы конфигурации, инструкции и дополнительные вредоносные программы.
Заключение
Анализа данной схемы распространения вредоносного ПО показал, что она является продолжением исследованной нами ранее кампании. Не будет лишним напомнить наши рекомендации для защиты от подобных угроз:
Проводить регулярные обучения рядовых сотрудников организации для повышения знаний об актуальных угрозах в области информационной безопасности.
Рекомендовать сотрудникам не использовать личные устройства — ПК или ноутбуки — в рабочих целях.
Установить запрет рядовым пользователям самостоятельно устанавливать утилиты на рабочее устройство.
Активировать многофакторную аутентификацию (MFA), использовать ее как часть обязательной корпоративной IT-политики.
Проводить мониторинг фактов компрометации учетных записей корпоративных пользователей, их публикации на дарквеб-площадках, продажи в андеграундных магазинах, а также появления в слитых базах данных.
Использовать для защиты инфраструктуры комплексный подход, защищающий от различных векторов атак.