«Лаборатория Касперского» о новых кроссплатформенных угрозах

--> Дата: Дек 26, 2023 520

Инциденты нарушения безопасности Лаборатория Касперского (Kaspersky Lab)ОС macOS Программы шифровальщики-вымогатели Троянское ПО

По сообщению «Лаборатории Касперского», ее Глобальный центр исследований и анализа угроз (Global Research and Analysis Team — GReAT) обнаружил три кроссплатформенные угрозы, актуальные к концу 2023 г. Одна из них, новый стилер AMOS, атакует macOS-устройства пользователей, в том числе из России.

Первая версия стилера AMOS, нацеленного на операционную систему macOS, была замечена в апреле 2023 г. Версия, написанная на языке Go, продавалась в Telegram по модели «Вредоносное ПО как услуга» за 1000 долл. в месяц. Сейчас распространяется более новая версия на языке С, вектор заражения – вредоносная реклама. Злоумышленники создают копии сайтов с популярным ПО и заманивают туда пользователей, обманом заставляя их загрузить вредоносный DMG-файл. При его открытии появляются инструкции по установке якобы легитимного продукта, под видом которого на устройство проникает вредоносное ПО. Оно собирает следующую информацию: базу данных приложения «Заметки»; документы с рабочего стола и из папки «Документы»; файлы cookie, логины, пароли и другую информацию из браузеров, в частности Chrome и Edge; данные криптовалютных кошельков (например, Binance и Exodus) и мессенджеров (например, Telegram и Discord). Собранные данные передаются на сервер управления злоумышленников, а каждая жертва получает уникальный UUID-идентификатор. Эксперты обнаружили попытки заражений AMOS по всему миру, однако большинство случаев приходится на Россию и Бразилию.

Еще одна распространенная сегодня угроза –шифровальщик Akira, направленный и на Windows, и на Linux. Им заражены устройства более 60 организаций по всему миру. Своими целями атакующие выбирают крупные организации в различных отраслях, в том числе в розничной торговле и образовании. По ряду признаков у Akira есть сходство с другим известным вымогателем – Conti: например, идентичная папка со списком исключений, но при этом используется панель сервера управления (C2) с уникальным минималистичным ретродизайном.

Среди последних угроз, обнаруженных экспертами GReAT, – кампания FakeSG по распространению троянца удаленного доступа. Злоумышленники распространяют троянец NetSupport RAT, заражая легитимные сайты, чтобы те показывали фейковое уведомление. Если нажать на уведомление, на устройство загружается вредоносный файл, который показывает поддельное уведомление о необходимости обновить браузер, а сам тем временем устанавливает соединение с сервером управления злоумышленников. Чтобы оставаться незамеченными как можно дольше, атакующие постоянно меняют домен, с которого загружается вредоносное ПО, однако путь остается прежним.