Контакты
Подписка 2024
Кибербезопасность
30 июля. Кибербезопасность предприятия: защита инфраструктуры и данных от современных угроз
Регистрируйтесь на онлайн-конференцию!

Кряк-бряк: F.A.C.C.T. обнаружили более тысячи ресурсов, заражавших пользователей шпионами и стилерами под видом установки взломанного софта

20/06/24

ФАККТ-Jun-20-2024-12-52-03-1261-PM
 
Аналитики F.A.C.C.T., российского разработчика технологий для борьбы с киберпреступлениями,  обнаружили сеть из более чем 1300 доменов, распространяющих вредоносные программы, под видом популярных утилит, офисных приложений вместе с ключами активации или активаторов — ПО, предназначенного для обхода встроенных систем защиты программ от неавторизованного использования.
 
В итоге пользователи, пытавшиеся установить популярный софт, переставший работать в России, загружали на свои компьютеры шпионское ПО, стилеры и криптомайнеры.
 
С конца прошлого года  с помощью системы F.A.C.C.T. Managed XDR была обнаружена и локализована череда инцидентов в различных российский компаниях, связанных с попыткой загрузки вредоносного файла на рабочий компьютер сотрудника, пытавшегося активировать или скачать нелицензионное программное обеспечение.
 
Отталкиваясь от технических данных инцидентов, специалисты Центра кибербезопасности F.A.C.C.T., с помощью системы графового анализа Graph Threat Intelligence F.A.C.C.T. , обнаружили целую сеть из 1316 уникальных доменов, связанных с ресурсами, на которых предлагалось скачать и нелегально установить ПО: антивирусы, программы для работы с фото и видео, офисные приложения, программы для проектирования и моделирования и другие.
 
Ð Ð ̧Ñ . 4. ПрР̧Ð1⁄4ÐμÑ€ Ñ Ð2Ñ Ð·ÐμÐ1 Ð2Ñ€ÐμÐ ́Ð3⁄4Ð1⁄2Ð3⁄4Ñ Ð1⁄2Ñ‹Ñ... Ñ€ÐμÑ ÑƒÑ€Ñ Ð3⁄4Ð21

Анализ ресурсов из общей вредоносной инфраструктуры злоумышленников показал, что доменные имена регистрировались на протяжении длительного времени и на момент исследования часть из этих ресурсов уже были не доступны. Например, некоторые доменные имена были просрочены или размещались на доменных парковках. С другой стороны, продолжают появляться и новые доменные имена, например, в первом квартале 2024 года было обнаружено 28 регистраций доменных имен, на которых был размещен вредоносный контент в рамках данной кампании.


Для продвижения вредоносных ресурсов используются различные сервисы. Например, в LinkedIn (заблокирован в России) было обнаружено более 300 уникальных аккаунтов, рекламирующих сайты со взломанным ПО. Больше всего учетных записей относилось к Пакистану (66%), Индии (8%), Бангладеш (3%). Пик активности аккаунтов, размещающих рекламные посты вредоносных сайтов, был зафиксирован в 2022 и 2023 годах, при этом за первый квартал 2024 года было найдено почти столько же новых постов, как за весь 2023 год.

Среди российских ресурсов информацию о преимуществах программ и ссылки на скачивание взломанных версий злоумышленники размещали на популярных российских социальных сетях, видеохостингах и  образовательных платформах.

Как отмечают аналитики Центра кибербезопасности F.A.C.C.T., на момент исследования кампании в большинстве случаев посетителям отгружались файлы, содержащие вредоносное ПО семейства Amadey, которое обладает функционалом сбора данных со скомпрометированного компьютера и загрузки других вредоносных программ. В исследуемых экземплярах в качестве дополнительного модуля подгружался криптомайнер Coinminer. Другая часть вредоносных экземпляров относится к стилерам, среди которых можно выделить RedLine Stealer, Vidar, CryptBot и другие.

Ð Ð ̧Ñ . 17. СтатР̧Ñ Ñ‚Ð ̧Ðoа Ñ ÐμÐ1⁄4ÐμÐ1Ñ Ñ‚Ð2 Ð2Ñ€ÐμÐ ́Ð3⁄4Ð1⁄2Ð3⁄4Ñ Ð1⁄2Ñ‹Ñ... прÐ3⁄4Ð3раÐ1⁄4Ð1⁄4__

 
«С уходом иностранных вендоров и исчезновением из легального поля некоторых популярных лицензионных программ российские пользователи и администраторы  стали чаще прибегать к поиску обходных путей, в том числе, использования «кряков» и других нелегальных способов активации, — отмечает Ярослав Каргалев, руководитель Центра кибербезопасности компании F.A.С.С.T. — Наблюдая подобный спрос, злоумышленники активно создают сайты, на которых пользователи вместо программы скачивают вредоносное ПО, и активно продвигают их на популярных ресурсах».
 
Использование стилеров в данной схеме создает еще одну проблему для корпоративной кибербезопасности, когда с помощью такого  вредоносного ПО похищаются рабочие учетные записи сотрудников, использующиеся на своих личных устройствах — домашних ПК или ноутбуках. Злоумышленники компрометируют неподконтрольные для специалистов отдела ИБ или IT-устройства работников и в последствии могут использовать похищенные данные для развития более сложной атаки уже на корпоративную инфраструктуру. 
 
Для защиты от подобных угроз эксперты F.A.C.C.T. рекомендуют:
 
  • Проводить регулярные обучения рядовых сотрудников организации для повышения знаний об актуальных угрозах в области информационной безопасности.
  • Определить список разрешенных для использования утилит в инфраструктуре (запрещено все, что не разрешено).
  • Установить запрет рядовым пользователям самостоятельно устанавливать утилиты на рабочее устройство.
  • Активировать многофакторную аутентификацию (MFA), использовать ее как часть обязательной корпоративной IT-политики.
  • Использовать для защиты инфраструктуры комплексный подход, защищающий от различных векторов атак. Такую защиту могут обеспечить решения класса XDR, например, F.A.C.C.T. Managed XDR — решение, предназначенное для выявления сложных киберугроз на ранней стадии, а также осуществления превентивных мер защиты.
Для пользователей самые важные правила: не стоит переходить по сомнительным ссылкам и необходимо убедиться в том, что ПО загружается и обновляется из доверенных источников.
Темы:Пресс-релизУгрозыкибершпионажпиратское ПОF.A.C.C.T.
NGFW
24 июля. Отечественные ИT-платформы и ПО для объектов КИИ: готовность предприятий к 01 января 2025
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

  • Attack Surface Management: с чего начинать управление уязвимостями
    Николай Степанов, руководитель направления F.A.C.C.T. Attack Surface Management
    Attack Surface Management – относительно молодой продукт, он появился в 2021 г. В его основе лежит более ранняя разработка инженеров F.A.C.C.T. – граф сетевой инфраструктуры, который показывает связь между доменами, IP-адресами, сервер-сертификатами, злоумышленниками, ВПО и другими цифровыми сущностями в глобальном Интернете.
  • Cyber Defence Center: лучше и эффективнее традиционных SOC
    Ярослав Каргалёв, руководитель Центра кибербезопасности F.A.C.C.T.
    Cyber Defence Center, который является новым поколением SOC, сами проводят реагирование на инциденты и ведут проактивный поиск киберугроз в инфраструктуре
  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...