Позначка: Шкідливе ПЗ

UAC-0099 атакують Українські підприємства використовуючи вірус Lonepage

Кібервійна України з Росією триває, оскільки угруповання UAC-0099 посилює свою кампанію кібершпигунства проти українських підприємств. Використовуючи серйозну вразливість у популярному програмному забезпеченні WinRAR, група організовує складні атаки для розгортання шкідливого програмного забезпечення Lonepage, що базується на VBS і здатне віддалено виконувати команди та викрадати дані.

UAC-0099 використовують вразливість в WinRar

У більшості останніх атак UAC-0099 зосередився на використанні вразливості WinRAR (CVE-2023-38831, оцінка CVSS: 7.8), що свідчить про складний підхід до кібератак. Ця вразливість WinRAR, широко використовуваного інструменту для стиснення файлів, дозволяє зловмисникам впроваджувати шкідливий код в системи, які нічого не підозрюють. Експлойт передбачає використання підроблених архівів, що саморозпаковуються (SFX), і спеціально створених ZIP-файлів, призначених для обходу традиційних заходів безпеки і доставки шкідливого програмного забезпечення Lonepage безпосередньо в серце цільової системи.

Вектори атаки через WinRAR:

  1. Архіви, що саморозпаковуються: Зловмисники поширюють SFX-файли, які містять шкідливі ярлики LNK, замасковані під звичайні документи DOCX. Ці файли, використовуючи знайомі іконки, такі як Microsoft WordPad, спонукають жертв до ненавмисного запуску шкідливих скриптів PowerShell, які встановлюють Lonepage.
  2. Маніпуляції з ZIP-файлами: UAC-0099 також використовує ZIP-архіви, спеціально створені для використання вразливості WinRAR. Ці файли розроблені так, щоб запускати вразливість, яка через низку недосконалостей у програмі дозволяє виконання довільного коду.
Вразливості в WinRAR які використовує Lonepage
Ланцюг вразливості в WinRAR

Хто такі UAC-0099?

Угруповання UAC-0099, вперше виявлене українською командою реагування на кіберінциденти CERT-UA у червні 2023 року, передусім націлене на українських робітників, які працюють у міжнародних компаніях. Їх тактика, хоч і не є інноваційною, виявилася ефективною для компрометації критично важливої інформації з широкого кола державних організацій та медіа-структур. Нещодавній аналіз Deep Instinct виявив тривожну тенденцію: постійний фокус групи на шпигунстві, що ставить під загрозу не лише організації, а й окремих осіб, які в них працюють.

Що таке Lonepage?

Lonepage – це бекдор, що використовується UAC-0099 у кампаніях кібершпигунства. Він призначений для прихованого проникнення в цільові системи та встановлення зв’язку з командно-контрольним сервером (C2). Після встановлення Lonepage може отримувати та виконувати подальші шкідливі інструкції з цього сервера.

Можливості Lonepage включають розгортання додаткового корисного навантаження, такого як клавіатурні шпигуни, викрадачі даних та інструменти для створення знімків екрана. Універсальність і здатність адаптуватися до різних середовищ роблять цього шкідника значною загрозою, здатною непомітно отримувати конфіденційну інформацію та здійснювати довготривале спостереження за скомпрометованими системами.

Рекомендації та пом’якшення наслідків

Оскільки зловмисники продовжують вдосконалювати свою тактику, організаціям, особливо тим, що мають зв’язки з Україною, вкрай важливо випереджати ці загрози за допомогою ефективних практик безпеки, безперервного навчання та надійного технологічного захисту. Боротьба з кіберзлочинністю триває, і обізнаність є першим кроком до захисту нашого цифрового майбутнього.

Ось кілька порад:

  • Переконайтеся, що все програмне забезпечення, особливо широко поширені програми, такі як WinRAR, мають найновіші виправлення безпеки.
  • Проводьте регулярні тренінги для співробітників, щоб навчити їх розпізнавати спроби фішингу та підозрілі додатки до електронних листів.
  • Впроваджуйте передові рішення з безпеки, включаючи брандмауери, антивірусні програми та системи виявлення вторгнень.
  • Виконуйте регулярний аналіз системи безпеки та постійно відстежуйте мережевий трафік на наявність ознак незвичайної активності.

LitterDrifter – російський USB-хробак, націлений на українські організації

USB-хробак LitterDrifter тісно пов’язаний із сумнозвісною групою “Gamaredon”, яка походить з Росії. Він націлений на українські організації. Це ще один інструмент у арсеналі російсього державного кібершпигунства. Це не лише демонструє адаптивність та інноваційність “Гамаредона”, але й піднімає питання про потенційні геополітичні наслідки цієї новітньої кіберзброї.

Хто такі Gamaredon?

Служба безпеки України (СБУ) пов’язала співробітників “Гамаредона” з Федеральною службою безпеки Росії (ФСБ), що додає діяльності групи геополітичного характеру. ФСБ, відповідальна за контррозвідку, боротьбу з тероризмом і військовий контроль, проливає світло на стратегічний і спонсорований державою характер операцій “Гамаредона”. Незважаючи на постійно змінний характер цілей, інфраструктура Gamaredon демонструє стійкі закономірності, що підкреслює необхідність ретельної перевірки з боку експертів з кібербезпеки.

LitterDrifter – Хробак у 2023?

Один з новітніх інструментів “Гамаредона” – черв’як LitterDrifter, що розповсюджується через USB накопичувачі. Це шкідливе програмне забезпечення, написане на VBS, демонструє адаптивність та інноваційність “Гамаредона”. Незважаючи на застарілий номінальний тип шкідника, він містить досить багато функцій, які необхідні в сучасних кібератаках.

Як частина інфраструктури APT (advanced persistent threat), LitterDrifter вносить глобальний аспект в діяльність “Гамаредона”. Окрім запланованих цілей в Україні, цей черв’як залишив по собі потенційні інфекції в таких країнах, як США, В’єтнам, Чилі, Польща, Німеччина і навіть у Гонконгу. Глобальне поширення LitterDrifter збільшує загальний потенціал загрози для кібератак світового масштабу.

Глобальне поширення LitterDrifter

Основна функціональність черв’яка LitterDrifter полягає в тому, що він є інструментом віддаленого доступу. Іншими словами, це бекдор з можливостями саморозповсюдження, подібними до тих, які були притаманні вірусам-хробакам. Він функціонує як прихована несанкціонована точка доступу в комп’ютерній системі, програмному забезпеченні або мережі, яка дозволяє отримати доступ до цільового середовища. У кібератаках бекдори здебільшого діють як інструменти початкового доступу та розвідки, які потім “відкривають двері” для подальшого проникнення шкідливого програмного забезпечення.

Діяльність Гамаредона проти України

Група “Гамаредон” проводить тривалу та цілеспрямовану кампанію кібершпигунства проти України та її структур. До її складу входять військові, неурядові організації, судові, правоохоронні та неприбуткові установи. Активність групи вперше зафіксована щонайменше у 2013 році. Група, яку підозрюють у зв’язках з російським кібершпигунством, послідовно зосереджується на проникненні в українські установи. Про це свідчить вибір україномовних приманок та основних цілей у регіоні.

LitterDrifter ще один інструмент, який використовує ця група у своїх різноманітних кіберопераціях. Як виявили дослідники, що здійснюють постійний моніторинг та аналіз, Gamaredon використовує LitterDrifter разом з іншими інструментами та шкідливим програмним забезпеченням для досягнення своїх цілей. Це ще більше зміцнило статус угруповання як APT, сконцентрованої на перешкоджанні інтересам України та її союзників.

Як захиститися від LitterDrifter?

У міру того, як LitterDrifter демонструє свій глобальний вплив, з’являється очевидний стимул до об’єднаного посилення глобального захисту у кіберпросторі. Здатність черв’яка долати кордони підкреслює актуальність міжнародної співпраці у боротьбі з кіберзагрозами та їх пом’якшенні.

Захист від таких загроз, як LitterDrifter, вимагає поєднання проактивних практик кібербезпеки та пильності. Ось кілька рекомендацій, які допоможуть посилити ваш захист:

  • Будьте обережні, підключаючи USB-накопичувачі до комп’ютера, особливо якщо вони з невідомих або ненадійних джерел. Використовуйте USB-накопичувачі, які мають режим “тільки для читання”, щоб запобігти несанкціонованому запису.
  • Регулярно створюйте резервні копії важливих даних і зберігайте їх у безпечному місці. У разі атаки зловмисників наявність останніх резервних копій допоможе вам відновити систему без сплати викупу.
  • Дотримуйтесь найкращих правил безпеки, таких як використання надійних і унікальних паролів, двофакторна автентифікація та обмеження привілеїв користувачів. Ці заходи можуть створити додаткові рівні захисту від різних кіберзагроз.
  • Слідкуйте за останніми новинами про загрози та слабкі місця у сфері кібербезпеки. Обізнаність у сфері загроз, що постійно змінюється, дозволить вам відповідно реагувати на них і адаптувати свої заходи безпеки.

Хакери, без досвіду в розробці, використовують штучний інтелект ChatGPT для створення вірусів

З моменту запуску чат-бота ChatGPT люди використовували його для написання есе, сценаріїв, коду, а також спілкувалися про фінанси та дізнавалися нове. Цього разу чат-бот використовували для написання шкідливого коду. Про це з посиланням на ArsTechnica пише MC.today.

Експерти з кібербезпеки Check Point Research повідомили, що після запуску ChatGPT учасники форумів кіберзлочинності використовували чат-бот для написання шкідливого програмного забезпечення та фішингових листів. Зазначається, що у деяких користувачів навіть немає досвіду програмування.

У компанії додали, що поки зарано говорити, чи стане ChatGPT улюбленим інструментом Даркнету. Однак уже зараз можна помітити інтерес кіберзлочинців до можливостей чат-бота. В одному з прикладів розповідається, як чат-бот написав скрипт на мові Python, який у разі доопрацювання може слугувати програмою-вимагачем. За допомогою цього програмного забезпечення зловмисники можуть шифрувати дані на комп’ютері користувача.

ChatGPT
Пост на хакерському форумі, який описує використання ChatGPT для створення шкідливого ПЗ

В іншому прикладі програмне забезпечення розробили для створення майданчика для онлайн-торгівлі. На ньому здійснюється купівля або обмін скомпрометованих акаунтів, даних банківських карт, шкідливих програм та інших незаконних віртуальних товарів. Скрипт використовував сторонній інтерфейс для отримання поточних цін на криптовалюту. Це допомагає користувачеві встановлювати ціни під час здійснення покупок.

ChatGPT
Обговорення використання ChatGPT для створення скриптів для маркетплейсів Dark Web

Дослідники Check Point раніше намагалися розробити шкідливе програмне забезпечення за допомогою ChatGPT. Чат-бот створив “переконливий фішинговий лист”, у якому потенційній жертві повідомляють про блокування акаунта і пропонують відкрити вкладений файл Excel із вбудованим VBA-макросом (його також створив штучний інтелект).

Хоча умови ChatGPT забороняють його використання в незаконних або зловмисних цілях, у дослідників не виникло проблем зі зміною своїх запитів, щоб обійти ці обмеження.

Тисячі репозиторіїв GitHub розповсюджують шкідливе програмне забезпечення під експлойти

Фахівці Лейденського інституту передових комп’ютерних наук виявили тисячі репозиторіїв GitHub з підробленими експлойтами PoC для різних вразливостей, які поширюють шкідливе ПЗ.

Виявилося, що ймовірність зараження шкідливим ПЗ при завантаженні PoC може досягати 10. 3%, навіть якщо виключити явні збої. Нагадаємо ми також повідомляли, що GitHub вилучив експлойт ProxyLogon і був підданий критиці, а також що хакери використовують підроблені сповіщення CircleCI для доступу до облікових записів GitHub.

GitHub є одним з найбільших сайтів для розміщення коду. Дослідники по всьому світу використовують його для публікації експлойтів PoC, щоб інші члени спільноти могли тестувати патчі, визначати вплив і масштаби помилок у програмах.

Для своїх досліджень фахівці проаналізували понад 47,300 репозиторіїв, що пропонують експлойти для різних вразливостей, виявлених між 2017 і 2021 роками. Для аналізу були використані наступні методи.

  1. Аналіз IP-адрес. Порівняння IP-адреси автора з публічними блеклистами, а також VirusTotal і AbuseIPDB.
  2. Бінарний аналіз. Перевірка наданих виконуваних файлів і їх хешів через VirusTotal.
  3. Розбір шістнадцяткового та Base64 шифрування. Така перевірка спрощує бінарні і IP-перевірки обфускованого коду.

В результаті з 150734 унікальних IP-адрес, 2864 були чорного списку (1522 VirusTotal ідентифікував як зловмисні, ще 1069 були присутні в базі даних AbuseIPDB).

В ході бінарного аналізу був випробуваний набір з 6160 виконуваних файлів, серед яких було знайдено 2164 зловмисних зразків, розташованих в 1398 сховищах. У цьому огляді, в цілому 4,893 з 47,313 протестованих репозитаріїв, були визнані зловмисники, при цьому більшість PoC пов’язані з вразливостями в 2020 році.

Після вивчення деяких з цих експлойтів, дослідники виявили різні скрипти шкідливого програмного забезпечення і шкідливого програмного забезпечення, починаючи від троянів віддаленого доступу до Cobalt Strike.

Наприклад, в одному з прикладів, підроблений PoC для CVE-2019-0708, широко відомий як BlueKeep, містив заплутаний скрипт Python base64, який видобуває VBScript з Pastebin. Таким сценарієм був Houdini RAT, старий троян JavaScript, який підтримує віддалене виконання команд через командний рядок Windows.

В іншому випадку дослідники виявили підроблений експлойт, який був інформаційним стилером, що збирав системну інформацію, IP-адресу, а також інформацію UserAgent з інфікованої системи. Оскільки цей PoC раніше створювався як експеримент іншим дослідником, фахівці вважали його відкриття підтвердженням того, що їх підхід спрацював.

Експерти прийшли до висновку, що не слід сліпо довіряти репозиторіям GitHub, оскільки вміст тут не модерується. Згідно з авторами доповіді, всі тестери повинні виконувати наступні дії перед роботою з експлойтами:

  1. Уважно прочитайте код, який ви плануєте запустити у вашій мережі або клієнтській мережі;
  2. Якщо код занадто складний і аналізується вручну занадто довго, слід покласти його в ізольоване середовище (наприклад, віртуальну машину) і перевірити мережу на підозрілий трафік;
  3. Використовувати інструменти аналізу з відкритим кодом, такі як VirusTotal для тестування бінарних файлів.

Дослідники пишуть, що вони сповістили GitHub про всі зловмисні репозиторії, але для їх перевірки і видалення знадобиться деякий час, тому багато з них все ще доступні всім.

Все, Що Потрібно Знати про Програми-вимагачі (Ransomware) в 2022: Гайд Рекомендацій

Програми-вимагачі (ransomware) вважаються одним із найнебезпечніших видів шкідливих програм. Ви можете не погоджуватися, але все ж таки випадок, коли ваші дані стають недоступними, робить всі інші загрози значно меншими. У той час як атаки шпигунських програм, бекдори або рекламне програмне забезпечення намагаються зробити їх безшумними або, принаймні, не дуже помітними, програми-вимагачі заявляють про себе у повний зріст. Знання про те, як захистити свою систему від атаки програм-вимагачів, важливі незалежно від того, хто ви — фрілансер, співробітник величезної корпорації чи полковник у відставці.

Чому Важливий Захист від Програм-вимагачів (Ransomware)?

Проблема захисту від програм-вимагачів є досить актуальною, оскільки існує більше десятка різних груп кіберзлочинців, націлених на різні категорії користувачів. Кожен з них має різні способи розповсюдження, маскування та міцність ключа шифрування. Деякі з атак вимагачів можуть бути розшифровані через нерозсудливість їх розробників, деякі мають конструктивні недоліки, які роблять шифр простим перебором, що розшифровується.

РЕКОМЕНДАЦІЯ: Ви можете спробувати найкращий інструмент захисту від шифрувальників-вимагачів – Gridinsoft Anti-Malware. Цей інструмент захисту від шкідливого ПЗ виявляє, видаляє та запобігає програмам-вимагачам.
Ми покажемо вам способи захистити себе, коли ви є простим користувачем, а також коли ви перебуваєте в корпорації, спираючись на типові прийоми, які вони використовують. Крім того, ми також пояснимо робочі етапи захисту від програм-вимагачів.

Чи важливий захист вашого ПК від програм-вимагачів (Ransomware)?

По-перше, дозвольте мені пояснити, чому атака програм-вимагачів (ransomware) є такою поганою ознакою. Йдеться не лише про те, щоб зробити ваші дані недоступними. Існує кілька інших типів шкідливих програм, які запобігають доступу користувачів до файлів. Однак значного поширення вони не набули. Такі речі, як скрінлокери, шифрувальники-архіватори та ярликові віруси просто перестали існувати — і це не просто тому, що так склалося. Ось чому дуже важливо знайти гарне та працююче рішення для захисту від атак вимагачів.

Шифрувальники-вимагачі (принаймні більшість із них) використовують дуже складний шифр, який робить практично неможливим повернення ваших даних. Точніше, навіть якщо ви використовуєте сучасний квантовий комп’ютер, ви, скоріше за все, витратите більше кількох тисяч років на підбір ключа розшифровки.

ПРИМІТКА. До списку небезпечних програм-вимагачів входять: програма-вимагач Avaddon, програма-вимагач STOP/Djvu, шифрувальник LockBit, Makop і т.д.

приклад програми-вимагача STOP/Djvu

Але це ще не єдина катастрофа — деякі зразки програм-вимагачів несуть шпигунські ПЗ разом зі своїм основним навантаженням і збирають усі дані, до яких можуть дістатися. На жаль, ніхто (крім самих шахраїв) не може видалити вкрадені дані. Ось чому важливо знайти працюючі рішення для кращого програмного забезпечення для захисту від програм-вимагачів, щоб бути на озброєнні.

Взагалі відновлення файлів після атаки шифрувальника – складне завдання, якщо ви не збираєтесь платити викуп. Сучасні варіанти програм-вимагачів можуть видяляти тіньові копії томів, резервні копії OneDrive та інші популярні методи резервного копіювання. Шахраї часто лякають жертв тим, що будь-яка спроба відновлення файлів призведе до втрати даних.

Вони також можуть сказати, що ваші дані будуть видалені, якщо вимога про сплату викупу не буде виконана. У той час як перше частково вірне, друге – повна брехня – просто щоб налякати вас і змусити платити викуп. Проте мати справу із наслідками атаки ніколи не буває приємно. Давайте розберемося, як запобігти атакам програм-вимагачів.

Поради щодо запобігання атак програм-вимагачів (Ransomware)

Рекомендації щодо того, як залишатися в безпеці, залежать від вашого середовища. Шахраї будуть застосовувати різні підходи для атаки на окремого користувача чи співробітника компанії. Навіть коли ви працюєте вдома за своїм персональним комп’ютером, ви будете атаковані по-іншому, коли шахраї націлені не тільки на ваш комп’ютер, а й на всю компанію.

  1. Не використовуйте сумнівних/ненадійних джерел програмного забезпечення, фільмів та інших ризикованих матеріалів. Близько 90% випадків програм-вимагачів припадає на використання сторонніх сайтів для отримання потрібних програм або фільмів, не заплативши ні копійки.
  2. Пам’ятайте: безкоштовним може бути тільки шматок сиру в мишоловці. Великі гравці серед шифрувальників, такі як STOP/Djvu, навіть створюють свої сайти-одноденки, що імітують форуми зі зламаним софтом, або сторінки з новими фільмами для безкоштовного скачування. Торрент-трекінги, які поширюються через ці сайти, містять шкідливе ПЗ, яке виконується відразу після завершення завантаження.
  3. Не відкривайте вкладення електронної пошти від невідомих відправників. Шахраї спробують замаскувати свої адреси електронної пошти, щоб вони виглядали законно, але уважний погляд на них покаже вам правду.

  4. Якщо ви не впевнені, що отриманий вами електронний лист від служби доставки є реальним, не полінуйтеся перевірити список реальних адрес електронної пошти підтримки/доставки. І не будьте наївними – ніхто не пропонує отримати приз у лотереї, в якій ви ніколи не брали участі.
  5. Будьте обережні з програмним забезпеченням, яке ви знайшли на форумах чи соціальних мережах. Не всі з них небезпечні, і не всі небезпечні містять програми здирники. Але все одно користуватись такими програмами все одно, що купувати напої у брудному під’їзді.
  6. Ви ніколи не знаєте, справжній цей файл, або підроблений, але ви точно знаєте, хто винен у проблемах, які ви побачите наступного дня. Такий спосіб поширення досить рідкісний, але все ж таки не варто його викреслювати, особливо враховуючи високий рівень довіри до таких додатків.

Поради щодо запобігання впровадженню програм-вимагачів у корпорації

Ці поради будуть корисними як адміністраторам, так і співробітникам, яким доводиться мати справу з потенційними напрямками здійснення кібератак. Як правило, атаки на компанії здійснюються специфічними методами та не повторюють напрямки атак на фізичних осіб. Таким чином, ви можете побачити те, що є спільним для обох ситуацій.

  • Використовуйте захищене з’єднання RDP. Атаки RDP через брутфорс логіну та паролю є одним із найпоширеніших векторів атак. Вони використовуються для розгортання програм-вимагачів, шпигунських програм, просунутих постійних загроз (APT) і лише Бог знає чого ще. Дуже важливо контролювати цей момент; буде ідеально, якщо сисадміни самі налаштують усі RDP — щоб унеможливити будь-які невірні налаштування. Брутфорс з’єднання RDP стає доступним лише тоді, коли порти, які використовуються для встановлення з’єднання, є типовими та незахищеними. На жаль, ці порти використовуються за замовчуванням, тому недосвідчені користувачі, які вперше налаштовують RDP, швидше за все, виберуть їх.
  • Кластеризувати внутрішню корпоративну мережу. У більшості компаній всі комп’ютери підключені до однієї локальної мережі в одному офісі. Такий крок полегшує управління, але значно полегшує і зараження цієї мережі. Коли їх 4-5 штук, кожна з яких керується окремим ПК адміністратора, а потім — контролером домену, хакери, швидше за все, не зможуть атакувати усю мережу одразу.
  • Використовуйте 2FA для входу в вразливі місця. Щоб розширити свою присутність у зараженій мережі, зловмисники намагаються вкрасти облікові дані або перебрати всі місця, які можуть бути використані для поширення шкідливого ПЗ в мережі. Їхня кінцева мета – контролер домену – комп’ютер, який управляє всією мережею і має доступ до серверів. Його захист має бути максимально високим.
  • Ініціювати регулярну зміну пароля серед персоналу. Деякі з відомих атак сталися після витоку пароля з однієї з мереж. Крім того, просунуті атаки можуть тривати кілька місяців — а паролі, що раптово змінилися, повністю заплутати їх карти.

Як постскриптум хочу порадити уникати деяких поширених паролів — «qwerty», «12345» або щось таке. Успіх перебору є особливо важливим для таких простих паролів. Їх містять навіть найдешевші (або навіть безкоштовні) бази паролів для перебору. Використовуйте надійні паролі, щоб їх неможливо було зламати – це одна з головних запоруок успіху.

* Будь ласка, ЗВЕРНІТЬ УВАГУ: Ще однією поширеною помилкою є додавання особистої інформації в паролі. Дата народження вас чи вашого партнера, ім’я вашого, дата, коли ви приєдналися до компанії – все це дуже легко з’ясувати за допомогою даних з відкритих джерел. Майте це на увазі, створюючи таку важливу річ!

Покажіть співробітникам, як відрізнити підроблений лист від справжнього. Найчастіше саме компанії та їх електронні адреси стають цілями для подібного спаму, адже щодня надходять сотні листів. Вчитатися у деталі чи тим паче виявити підробку може просто не стати часу – особливо у “гарячі” дні перед святами.

* А кіберзлочинці не лінуються придумувати справді хитрі маскування для своїх листів. Вони можуть імітувати запити у вашу техпідтримку, пропозиції від інших компаній, повідомлення про рахунки, які потрібно сплатити компанії тощо. Немає нічого небезпечного в тому, щоб відкрити та прочитати таке повідомлення, але будь-які посилання в ньому і прикріплених файлах наражають вас на потенційну небезпеку.

*ХОЧУ НАГАДАТИ: дуже важливо вибрати для себе найкраще рішення для захисту від програм-вимагачів, щоб захистити себе та свій комп’ютер. Вивчивши необхідні матеріали та дослідження, ви захистите свій ПК від рекламного програмного забезпечення, шпигунських програм, програм-вимагачів та інших загроз.

Найкращий захист від шифрувальників-вимагачів(ransomware) можливий при постійному оновленні баз даних і, що важливіше, правильному про активному захисті. Ці дві речі вже дадуть досить високий коефіцієнт захисту. Тим не менш, проблеми більшості масових антивірусів нікуди не поділися: вони, як і раніше, можуть перевантажувати ваш ЦП/ОЗУ, а також розкидати вашу конфіденційність, надсилаючи багато телеметрії.

Ось чому я рекомендував би вам той, у якого немає обох цих недоліків — Gridinsoft Anti-Malware. Його бази даних оновлюються щогодини, а загальне споживання ЦП та ОЗУ досить низьке, щоб відповідати навіть найслабшим системам. Проактивний захист, заснований одночасно на евристичному двигуні та нейронній мережі, безперечно зробить ваш пристрій набагато більш захищеним від більшості типів шкідливих програм.

Шкідливе програмне забезпечення ховається на зображеннях з телескопа Джеймса Вебба

Дослідники Securonix помітили цікаву кампанію з поширення шкідливого програмного забезпечення під назвою GO#WEBBFUSCATOR, написане на Go. Для його поширення хакери використовують фішингові електронні листи, шкідливі документи та зображення з телескопа Джеймса Вебба.

Нагадаю, ми також говорили про те, що ботнет MyKingz використовує фото Тейлор Свіфт для зараження цільових машин, а також про те, що хакери ховають скімери MageCart у кнопках соціальних мереж.

Як правило, зараження починається з фішингового листа із вкладеним шкідливим документом Geos-Rates.docx, який завантажує файл шаблону. Цей файл у свою чергу містить обфускований макрос на VBS, який запускається автоматично, якщо макроси в Office дозволені.

Після цього із віддаленого ресурсу, який контролюється зловмисниками (xmlschemeformat[.]com), завантажується зображення у форматі JPG (OxB36F8GEEC634.jpg). Картинка декодується у файл, що виконується (msdllupdate.exe) за допомогою certutil.exe, після чого файл запускається.

Цікаво, що якщо просто відкрити цей шкідливий JPG, то можна побачити скупчення галактик SMACS 0723, зняте телескопом Джеймса Вебба та опубліковане НАСА у липні 2022 року. Якщо відкрити файл у текстовому редакторі, можна знайти додатковий контент, а саме шкідливе навантаження, зашифроване за допомогою Base64, яке зрештою перетворюється на шкідливий виконуваний файл.

Динамічний аналіз шкідливого ПЗ показав, що виконуваний файл забезпечує шкідливому ПЗ стабільну присутність у системі, копіюючи себе в %%localappdata%%\microsoft\vault і створюючи новий ключ реєстру. Після запуску шкідлива програма встановлює DNS-з’єднання з сервером, що управляє, і відправляє йому зашифровані запити.

У разі GO#WEBBFUSCATOR зв’язок із сервером управління та контролю реалізований за допомогою запитів TXT-DNS та запитів nslookup. Усі дані кодуються за допомогою Base64.”- кажуть дослідники.

Сервер керування та контролю може реагувати на шкідливе програмне забезпечення, встановлюючи часові інтервали між запитами на підключення, змінюючи час очікування nslookup або відправляючи команди для виконання за допомогою cmd.exe. Так, фахівці Securonix спостерігали як зловмисники запускали довільні команди перерахування на тестових системах, тобто проводили первинну розвідку на заражених машинах.

Дослідники зазначають, що домени, які використовуються в цій кампанії, були зареєстровані нещодавно, найстаріший з них датований 29 травня 2022 року.

Дослідники виявили в Google Play 35 шкідливих програм, які були встановлені 2000000 разів

Експерти Bitdefender виявили в магазині Google Play 35 шкідливих програм, які розповсюджували небажану рекламу і які користувачі завантажили понад 2 000 000 разів.

Нагадаю, ми писали про те, що близько 8% додатків у Google Play Store вразливі до бага в бібліотеці Play Core, а також про те, що шкідливе програмне забезпечення Mandrake ховалося в Google Play більше чотирьох років.

Дослідники кажуть, що програми дотримувалися класичної тактики заманювання користувачів, вдаючи, що виконують якусь спеціалізовану функцію, а потім змінювали своє ім’я та знак після встановлення, що ускладнювало їх пошук та видалення пізніше. Як правило, шкідлива програма змінює іконку на шестерню і перейменовується в Налаштування, але іноді виглядає як системні програми Motorola, Oppo та Samsung.

Після проникнення на пристрій жертви, програми починають відображати нав’язливу рекламу, зловживаючи WebView і таким чином приносячи прибуток від реклами своїм операторам. Крім того, оскільки ці програми використовують власну структуру завантаження реклами, цілком імовірно, що на скомпрометований пристрій можуть бути доставлені додаткові шкідливі дані.

WebView використовується для показу шкідливої реклами
Небажана реклама, додана завдяки зловживанню функціоналом WebView

Виявлене шкідливе програмне забезпечення використовує кілька способів маскування, у тому числі намагається отримувати оновлення якомога пізніше, щоб надійніше замаскуватися на пристрої. Крім того, якщо жертва знаходить підозрілі налаштування і відкриває їх, запускається шкідливий додаток з розміром вікна 0, щоб сховатися від людських очей. Потім зловмисне програмне забезпечення відкриває меню реальних налаштувань, щоб користувач думав, що запускає реальну програму.

Аналітики відзначають, що шкідливе програмне забезпечення використовує складну обфускацію і шифрування, щоб утруднити зворотний інжиніринг і приховати основне корисне навантаження у двох зашифрованих файлах DEX.

Список найпопулярніших шкідливих програм (більше 100 000 завантажень) можна побачити нижче. У той же час потрібно сказати, що більшість з них вже видалені з офіційного магазину Google, але, як і раніше, доступні в сторонніх магазинах додатків, включаючи APKSOS, APKAIO, APKCombo, APKPure та APKsfull.

  1. Walls light – Wallpapers Pack (gb.packlivewalls.fournatewren);
  2. Big Emoji – Keyboard 5.0 (gb.blindthirty.funkeyfour);
  3. Grand Wallpapers – 3D Backdrops 2.0 (gb.convenientsoftfiftyreal.threeborder);
  4. Engine Wallpapers (gb.helectronsoftforty.comlivefour);
  5. Stock Wallpapers (gb.fiftysubstantiated.wallsfour);
  6. EffectMania – Photo Editor 2.0 (gb.actualfifty.sevenelegantvideo);
  7. Art Filter – Deep Photoeffect 2.0 (gb.crediblefifty.editconvincingeight);
  8. Fast Emoji Keyboard APK (de.eightylamocenko.editioneights);
  9. Create Sticker for Whatsapp 2.0 (gb.convincingmomentumeightyverified.realgamequicksix);
  10. Math Solver – Camera Helper 2.0 (gb.labcamerathirty.mathcamera);
  11. Photopix Effects – Art Filter 2.0 (gb.mega.sixtyeffectcameravideo);
  12. Led Theme – Colorful Keyboard 2.0 (gb.theme.twentythreetheme);
  13. Animated Sticker Master 1.0 (am.asm.master);
  14. Sleep Sounds 1.0 (com.voice.sleep.sounds);
  15. Personality Charging Show 1.0 (com.charging.show);
  16. Image Warp Camera;
  17. GPS Location Finder (smart.ggps.lockakt).

Найкращий спосіб не стати жертвою – не встановлювати непотрібні програми. Ви також повинні видаляти програми, які не використовуються, перевіряти програми, які мають велику кількість завантажень і мало або взагалі не мають відгуків. Також варто з обережністю ставитися до додатків, які запитують спеціальні дозволи або не мають нічого спільного із запитами на доступ відносноз рекламованої функціональності.

Sharkbot знову на плаву

Нещодавно дослідники з команди Check Point Research (CPR) попередили користувачів про все ще наявну небезпеку шкідливого програмного забезпечення Sharkbot, знайденого цього року в Google Play. Хоча про знахідку було негайно повідомлено Google і шкідливе ПЗ було видалено, команда каже, що знайшли нові шкідливі програми Sharkbot.

Що таке шкідливе програмне забезпечення Sharkbot?

Sharkbot — це програма-стілер в Android, яка видає себе за антивірусне ПЗ в Google Play. Це зловмисне програмне забезпечення краде банківську інформацію та облікові дані, одночасно впроваджуючи геозони та інші методи ухилення, що в якомусь аспекті на фоні інших виділяє його. Також цікавий аспект, на який вказують фахівці з кібербезпеки — алгоритм генерації домену (DGA) — рідко використовується серед шкідливих програм Android.

На пристрої жертви зловмисне програмне забезпечення створює вікна, які імітують справжні форми введення облікових даних, заманюючи жертв ввести свої облікові дані.

Потім зламані дані надсилаються на шкідливий сервер. Sharkbot використовує свою функцію геозонування для націлювання лише на конкретних жертв, за винятком користувачів з України, Білорусі, Румунії, Росії, Індії та Китаю. Крім того, він не працюватиме, якщо виконується в пісочниці.

Sharkbot знову на плаву
Програми, які було виявлено шкідливими

У магазині Google Play команда CheckPoint Research (CPR) загалом виявила шість різних програм, які поширювали шкідливе програмне забезпечення. Згідно з інформацією, отриманою з www.appbrain.com, ці програми на момент виявлення вже були завантажені та встановлені приблизно 15 тисяч разів.

Трьох облікових записів розробників звинувачують у поширенні зловмисного програмного забезпечення: Bingo Like Inc, Adelmio Pagnotto та Zbynek Adamcik. Під час ретельної перевірки спеціалістів з кібербезпеки стало відомо, що два із згаданих акаунтів були активні вже восени 2021 року.

Sharkbot знову на плаву
Статистика кількості завантажених шкідливих програм

Деякі з програм, які, ймовірно, належали цим обліковим записам, було видалено з Google Play, але вони все ще існують на неофіційних сайтах. Фахівці з кібербезпеки пояснюють, що це може означати, що розробники Sharkbot намагаються залишатися якомога непоміченими, продовжуючи здійснювати шкідливу діяльність.

Технічний аналіз Sharkbot

Команди

Говорячи про основну функціональність шкідливого програмного забезпечення, Sharkbot працює з традиційними інструментами як для шкідливого ПЗ на Android. Фахівці з кібербезпеки знайшли 27 версій бота.

Загалом Sharkbot може реалізувати 22 команди. За допомогою сервера командування та керування (CnC) на зламаному пристрої хакери можуть виконувати різні типи шкідливих дій.
Можуть виконуватися такі команди:

  • removeApp

Насправді це не команда, а поле команди updateConfig. Під час виконання цієї команди сервер створює великий список програм, які слід видалити з пристрою жертви. Наразі список містить 680 назв додатків.

  • autoReply

Те саме, це не фактична команда, а поле в команді updateConfig. Під час цієї команди сервер надсилає повідомлення, що імітує відповідь на події push.

  • Swipe

Ця команда імітує рух користувача по екрану пристрою. Фахівці з кібербезпеки припускають, що це було зроблено, щоб дати можливість хакерам відкрити якусь програму або пристрій.

  • APP_STOP_VIEW

Тут CnC створює назви пакетів, а потім служба доступності не дозволяє користувачам отримати доступ до названих програм.

  • sendPush

Команда показує користувачеві push-повідомлення з призначеним текстом.

  • iWantA11

Вмикає службу доступності для Sharkbot.

  • getDoze

Вимикає оптимізацію акумулятора для пакета Sharkbot.

  • змінитиSmsAdmin

Збирає назви старих і використовуваних на даний момент програм SMS за замовчуванням для шкідливого ЧПУ.

  • збір контактів

Збирає та надсилає вкрадені контакти на шкідливі сервери.

  • видалити додаток

Ця команда видаляє названу програму в пакеті.

  • smsSend

Дія перевіряє, чи надано дозвіл на надсилання SMS. Якщо дозвіл надано, зловмисне програмне забезпечення може читати та надсилати SMS.

Є також деякі другорядні команди, що відповідають переважно за внутрішню роботу Sharkbot.

Sharkbot знову на плаву
Активність серверів Sharkbot зареєстрована командою

Мережа

Немає такої кількості шкідливих програм, які можуть працювати без зв’язку з сервером CnC. Шкідливе ПЗ як Sharkbot – це ті, кому потрібен зв’язок із CnC-сервером. І ось тут випливає один цікавий факт про цю шкідливу програму.

Коли в суб’єктів загрози заблокували всі свої сервери, вони можуть використовувати алгоритм генерації домену, який майже ніколи не використовується в шкідливих програмах Android, але Sharkbot є винятком.

DGA — це алгоритм, при якому зловмисний клієнт і зловмисник змінюють сервер CnC без будь-якого зв’язку. За допомогою цього алгоритму важче заблокувати сервери оператора шкідливого ПЗ.

DGA складатиметься з двох частин: фактичного алгоритму та констант, які використовує цей алгоритм. Константи називаються сідсами DGA.

  • Протокол і нок-пакет

Обмін на сервері CnC відбувається через HTTP із запитом POST на шляху /. І запити, і відповіді шифруються за допомогою RC4.

Час від часу в чітко встановлений проміжок бот надсилатиме нок-пакет на сервер. За замовчуванням пакет надсилатиметься кожні 30 секунд. Період часу можна змінити за допомогою команди updateTimeKnock.

Інфраструктура

Під час публікації звіту команда Check Point Research (CPR) виявила 8 IP-адрес, які в різний час використовували оператори Sharkbot.

Дослідники припускають, що насправді є один реальний сервер, а інші — просто реле. Пік активності шкідливого ПЗ зрісло у березні; Фахівці з кібербезпеки пов’язали цей факт з тодішнім активним використанням дроппера Sharkbot в Google Play.

Sharkbot знову на плаву
Статистика цілей Sharkbot

Згідно зі статистикою на основі розташування, основні цілі були у Сполученому Королівстві та Італії.

Дропери

Спочатку зловмисне програмне забезпечення завантажується та встановлюється під виглядом антивірусної програми. Потрапивши на машину жертви, Sharkbot виявляє емулятори, і якщо такий знайдений, він припиняє роботу.

У разі виявлення емулятора зв’язок з ЧПУ не відбудеться. Але зловмисне програмне забезпечення взагалі не працюватиме, якщо місцевістю є Україна, Білорусь, Росія, Румунія, Індія та Китай.

Та частина програми, яка контролюється сервером CnC, розуміє 3 команди:

  • Завантаження та встановлення файлу APK із наданої URL-адреси;
  • Зберігання поля автовідповіді в локальному сеансі;
  • Перезапуск локальної сесії.

Усі вони запитуватимуть однаковий набір дозволів.

Згодом вони зареєструють службу, щоб отримати доступ до Подій доступності.

Висновки

У швидкому темпі сучасного життя іноді можна пропустити червоний прапорець — ознака шкідливого програмного забезпечення в магазині додатків. На останок дослідницька група CheckPoint дала короткі поради щодо того, як уникнути шкідливих програм, особливо таких, як ця, маскована під антивірусне ПЗ:

  • Негайно повідомляйте про всі підозрілі програми, які ви зустрічаєте в магазині;
  • Уникайте завантаження програми від нового видавця, натомість спробуйте знайти аналогічний у надійного видавця;
  • Встановлюйте програми лише від перевірених і відомих видавців.

Незважаючи на те, що Google негайно видалив шкідливі програми, вони вже були завантажені 15 000 тисяч разів. Шкода завдана. Цей факт ще раз показує, що при прийнятті рішення про те, чи завантажувати програму чи ні, потрібно також покладатися на свою поінформованість.

Було знайдено Electron Bot в офіційному магазині Microsoft

Дослідники з Check Point Research (CPR) повідомляють про новий виявлений тип зловмисного програмного забезпечення, що поширюється через офіційний магазин Microsoft. Нова загроза здатна брати під контроль облікові записи соціальних мереж у SoundCloud, Google і Facebook.

Дослідники повідомляють, що шкідливе програмне забезпечення вже заразило понад 5000 активних пристроїв у всьому світі. Воно виявляє здатність реєструвати нові облікові записи, входити в акаунти, коментувати і навіть лайкати інші публікації. Зловмисники маскувалися під такі популярні ігри, як «Subway Surfer» і «Temple Run», для розповсюдження шкідливого програмного забезпечення.

Згодом зловмисники зможуть використовувати його як бекдор, щоб потім отримати повний контроль над пристроєм жертви. Більшість жертв шкідливого програмного забезпечення Electron Bot були зі Швеції, Бермудських островів, Іспанії, Болгарії та Росії.

Що таке Electron Bot?

CPR вже повідомив компанію Microsoft про знайдене зловмисне програмне забезпечення та всіх виявлених видавців ігор, які стоять за кампанією. Своє ім’я шкідливе програмне забезпечення отримало від останньої зафіксованої дослідниками його активності C&CdomainElectron-Bot[.]s3[.]eu-central-1[.]amazonaws.com. Шкідливе програмне забезпечення, яке є модульним SEO, використовувалося для шахрайства з кліками та просуванням в соціальних мережах.

Було знайдено Electron Bot в офіційному магазині Microsoft
Ланцюжок зараження шкідливим ПЗ

Зловмисники розпочали свою зловмисну ​​діяльність як кампанію кліків реклами наприкінці 2018 року. У той час зловмисне програмне забезпечення ховалося за програмою під назвою «Альбом від Google Photos» в Microsoft Store, яка видавала себе за легальний продукт Google LLC. Протягом багатьох років зловмисне програмне забезпечення отримувало значні оновлення, зокрема нові функції та методи. Сьогодні хакери в основному поширюють його через платформу Microsoft Store, створюючи десятки заражених додатків (які в більшості випадків є іграми). Зловмисники також не забувають регулярно оновлювати шкідливе програмне забезпечення.

Electron Bot використовує фреймворк Electron, який імітує поведінку користувача під час перегляду веб-сайтів і має функцію оминання захисту веб-сайтів. Electron — це фреймворк, розроблений для створення кросплатформних настільних додатків, які використовують веб-скрипти. Він поєднує час виконання Node.js і механізм візуалізації Chromium, що уможливлює функціонал браузера, який керується сценаріями, наприклад JavaScript.

Можливості Electron Bot

Щоб уникнути виявлення, зловмисники динамічно завантажують шкідливе програмне забезпечення під час виконання зі своїх серверів. Такі дії дозволяють їм у будь-який момент змінити поведінку ботів і змінити зловмисне навантаження програмного забезпечення. Дослідники описали наступний “функціонал” Electron Bot:

  • Він просуває онлайн-продукти, приносячи прибутки за допомогою кліків по рекламі або збільшенням рейтингу магазину, в свою чергу збільшуючи його продажі;
  • Він просуває облікові записи в соціальних мережах, наприклад SoundCloud і YouTube, спрямовуючи трафік на певний контент і таким чином збільшуючи перегляди та кількість кліків по оголошеннях для отримання прибутку;
  • Це також рекламний клікер, комп’ютерний вірус, який працює у фоновому режимі, постійно підключаючись до віддалених веб-сайтів і таким чином створюючи кліки для реклами. Зловмисники отримають прибуток залежно від того, скільки разів було натиснуто оголошення;
  • Чорне SEO, зловмисницький метод, коли хакери, використовуючи тактику пошукової оптимізації, створюють шкідливі веб-сайти, які потім відображатимуться першими в результатах пошуку. Зловмисники також використовують цей метод як сервіс для просування рейтингу інших веб-сайтів.

Як Electron Bot заражає своїх жертв?

Дослідники описують ланцюжок зараження зловмисним ПЗ як звичайний для такого типу шкідливого ПЗ. Він починається з встановлення зараженої програми, яку користувач завантажує з Microsoft Store.

Коли користувач запускає гру, дроппер JavaScript динамічно завантажується у фоновому режимі із сервера зловмисників. Після цього виконується кілька дій, серед яких завантаження та встановлення зловмисного програмного забезпечення та його збереження в папці запуску.

Було знайдено Electron Bot в офіційному магазині Microsoft
Гра Temple Endless Runner 2 в офіційному магазині застосунків Майкрософт

Коли справа доходить до безпосередньої роботи шкідливого програмного забезпечення, при наступному запуску системи воно запускається. Шкідливе програмне забезпечення також встановлює з’єднання з C&C і згодом отримує динамічне шкідливе навантаження JavaScript з набором функцій можливостей. У самому кінці налаштування шкідливого процесу C&C надсилає файл конфігурації, що містить команди для виконання.

Як уникнути зараження шкідливим ПЗ?

Дослідники відзначають, що наразі зловмисне програмне забезпечення не бере участі у високоризикованій діяльності на заражених машинах, але було б не зайве знати, як взагалі уникнути зараження. Electron Bot також може використовуватися хакерами в якості дропера для RAT або навіть програми-вимагача. Крім того, він виконує експлуатацію всіх ресурсів комп’ютера, включаючи обчислення GPU.

Користувачі зазвичай вірять у безпечність програм, що мають принаймні хоча б деяку кількість відгуків. Але користувачам все ж треба з серйозністю підходити до цього питання. Ми повторюємо це ще раз: недостатньо, щоб додаток вважався офіційним лише тому, що він має певну кількість відгуків.

Потрібно уважніше придивлятися до цих відгуків. Вони мають читаться так, як такі, що були написані реальними людьми. Це може бути нескладним завданням, щоб перевірити, якщо поставити себе на місце реального користувача.

Було знайдено Electron Bot в офіційному магазині Microsoft
Жорстко закодовані коментарі зловмисного ПЗ на Ютуб

Просто поміркуйте про власний відгук про програму, з якою ви працювали вже протягом тривалого часу. Те, що вам спадає на думку, якраз і може бути прикладом реального відгуку реальної людини.

Наприкінці своєї статті з оглядом нової загрози дослідники з CPR додали кілька порад з безпеки щодо того, як уникнути зараження таким та подібним видом шкідливої програми. І поради будуть наступними:

  • Перш ніж прийняти рішення про завантаження будь-якої програми, уважно придивіться до її назви. Чи звучить вона так само, як, як ви знаєте звучить оригінальна назва цієї програми?
  • Краще не завантажувати програму з відносно невеликою кількістю відгуків. Щось 100 відгуків або менше для програми, як-от якийсь месенджер, повинно вас насторожити;
  • Загальне правило полягає в тому, що відгуки повинні бути з різними часовими проміжками, позитивними та реалістичними.

На додаток до цих порад ви також можете перевірити видавця програми та знайти інформацію про нього в Інтернеті. Якщо це щось темне, ви, швидше за все, отримаєте очікуваний результат.