21/12/23
Глобальный центр исследований и анализа угроз «Лаборатории Касперского» (Global Research and Analysis Team — GReAT) обнаружил три кроссплатформенные угрозы, актуальные к концу 2023 года. Одна из них, новый стилер AMOS, атакует macOS-устройства пользователей в том числе из России.
Стилер AMOS. Первую версию стилера AMOS, нацеленного на операционную систему macOS, заметили в апреле 2023 года. Она была написана на языке Go и продавалась в Telegram по модели «Вредоносное ПО как услуга» за тысячу долларов США в месяц. Сейчас распространяется более новая версия, которая написана на языке С. Вектор заражения — вредоносная реклама. Злоумышленники создают копии сайтов с популярным программным обеспечением и заманивают туда пользователей, обманом заставляя их загрузить вредоносный DMG-файл. При его открытии появляются инструкции по установке якобы легитимного ПО, под видом которого на устройство проникает зловред. Он собирает следующую информацию: базу данных приложения «Заметки»; документы с рабочего стола и из папки «Документы»; файлы cookie, логины, пароли и другую информацию из браузеров, в частности Chrome и Edge; данные криптовалютных кошельков (например, Binance и Exodus) и мессенджеров (например, Telegram и Discord). Собранные данные передаются на сервер управления злоумышленников, а каждая жертва получает уникальный UUID-идентификатор. Эксперты обнаружили попытки заражений AMOS по всему миру, однако большинство случаев приходится на Россию и Бразилию.
.png?width=522&height=257&name=image010%20(2).png)
Вымогатель Akira. Ещё одна распространённая сегодня угроза — шифровальщик Akira, направленный и на Windows, и на Linux. Зловред заразил устройства более 60 организаций по всему миру. Своими целями атакующие выбирают крупные организации в различных отраслях, в том числе в розничной торговле и образовании. По ряду признаков у Akira есть сходство с другим известным вымогателем — Conti: например, идентичная папка со списком исключений, но при этом используется панель сервера управления (C2) с уникальным минималистичным ретро-дизайном.
Кампания FakeSG по распространению троянца удалённого доступа. Среди последних угроз, обнаруженных экспертами GReAT, — кампания FakeSG. Злоумышленники распространяют троянец удалённого доступа NetSupport RAT. Для этого они заражают легитимные сайты, чтобы те показывали фейковое уведомление. Если нажать на уведомление, на устройство загружается вредоносный файл, который показывает поддельное уведомление о необходимости обновить браузер, а сам тем временем устанавливает соединение с сервером управления злоумышленников. Чтобы оставаться незамеченными как можно дольше, атакующие постоянно меняют домен, с которого загружается вредоносное ПО, однако путь остаётся прежним.
.png?width=558&height=308&name=image011%20(2).png)
Пример лендинга злоумышленников
«Чтобы успешно противостоять кибератакам, поставщикам в сфере кибербезопасности, компаниям и обычным пользователям нужно постоянно адаптироваться к меняющемуся ландшафту угроз. Злоумышленники используют нестандартные методы, чтобы атаковать разные операционные системы с помощью новых видов вредоносного ПО. Чтобы эффективно бороться с киберпреступностью, требуется объединение усилий, вот почему мы делимся с мировым сообществом по кибербезопасности опытом, знаниями и техническими открытиями», — комментирует Игорь Кузнецов, руководитель Глобального центра исследований и анализа угроз «Лаборатории Касперского».
Прочитать полную версию отчёта о новых видах вредоносного ПО можно на сайте Securelist.com: https://securelist.ru/crimeware-report-fakesg-akira-amos/108576/.
