Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Новая фишинговая кампания раздавала вредоносы из Google Cloud Storage

11/03/19

hack38Банковские и финансовые учреждения в США и Великобритании стали объектом фишинговой кампании, в ходе которой основные вредоносные программные элементы хранятся и раздаются через Google Cloud Storage.

Атака начинается с массовой рассылки сообщений, содержащих ссылки на сжатые файлы с расширениями .zip или .gz. Внутри архивов содержится вредоносный код.

Хостинг вредоносов на storage.googleapis.com позволяет злоумышленникам обходить защитные инструменты: огромное количество компаний используют этот домен для своих нужд, так что он рассматривается как заведомо надежный, и коммерческие защитные инструменты обычно игнорируют его.

«Это пример растущей популярности “репутационного перехвата” — атаки, при которой злоумышленники прячутся за хорошо известными, популярными хостинг-сервисами, чтобы избегать обнаружения», — говорится в анализе фирмы Menlo Labs, выявившей проблему.

Злоумышленники не случайно выбирают такой способ распространения угрозы. Многие защитные продукты легко распознают вредоносные вложения в почту, однако переход по ссылкам на веб-ресурсы злоумышленников будут блокировать только в том случае, если домены уже находятся в черном списке. Домен storage.googleapis.com, естественно, не будет рассматриваться как вредоносный.

Эксперты Menlo Labs проанализировали вредоносное содержимое рассылаемых в рамках кампании архивов. Часть этих файлов представляла собой скрипты VBS, подвергнутые тщательной обфускации (запутыванию кода). Аналитикам удалось выяснить, что эти скрипты скачивали вредоносы семейства Houdini/jRAT и QRat.

Houdini представляет собой типичного компьютерного червя, который появился в 2013 г. и с тех пор активно используется и столь же активно совершенствуется. В течение 2019 г. было отмечено три всплеска распространения вредоноса через ресурсы Pastebin.

В свою очередь, jRAT и QRat — это средства удаленного управления зараженными компьютерами.

«RAT — один из инструментов, наиболее активно используемых злоумышленниками для закрепления в инфраструктуре атакуемой организации, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — При атаках на финансовые организации злоумышленники заинтересованы в длительном сохранении присутствия и возможности доступа к ключевым узлам корпоративных сетей. Средства удаленного администрирования в этом плане для них — незаменимая вещь».

Темы:GoogleПреступленияфишинг
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...