Злоумышленникам удалось подменить ссылки на американском сайте "Лаборатории Касперского"

Злоумышленникам удалось подменить ссылки на американском сайте "Лаборатории Касперского"

"Лаборатория Касперского" признала, что 17 октября пользователи, желавшие загрузить продукты компании через ее американское Интернет-представительство usa.kaspersky.com, перенаправлялись на вредоносный ресурс и подвергались атаке ложного антивирусного программного обеспечения "Security Tool".



Сообщается, что на минувших выходных упомянутый сайт компании был взломан; злоумышленники смогли заменить легитимные ссылки для загрузки продуктов "Лаборатории Касперского" вредоносными. В результате посетители сайта, переходившие по подобным ссылкам, оказывались на внешней странице, где им активно предлагали лжеантивирусное ПО. Т.н. "Security Tool" - это классический образец ложного антивируса, который обнаруживает несуществующие "уязвимости и вирусы", всячески запугивает ими пользователя и настойчиво рекомендует купить якобы полную версию продукта для избавления от этих угроз.


Пострадавшие пользователи сообщили о происшествии на нескольких форумах, в том числе на собственном форуме "Лаборатории Касперского", однако, по их словам, представители компании упорно отрицали факт взлома. Единственным исключением является ответ сотрудника японского подразделения "Лаборатории", известного под псевдонимом "Micha": он поблагодарил посетителей за информацию и пообещал, что проблема будет исправлена.


Тем не менее, компания официально признала произошедшее только через два дня, 19 октября. "Лаборатория Касперского" сообщила Интернет-изданию IT Pro, что вредоносное перенаправление существовало в течение трех с половиной часов 17 октября, пораженный сервер был отключен уже через 10 минут после получения соответствующих уведомлений, а в настоящее время ошибки безопасности исправлены, сервер снова в сети, продукты компании доступны для загрузки.


По данным eWeek, один из пострадавших, который в числе прочих сообщил о проблеме на официальном форуме компании, там же рассказал, что, когда он позвонил в службу технической поддержки, представители "Лаборатории Касперского" обвинили в инциденте его самого - в частности, они высказали предположение, что пользователь перешел по фишинговой ссылке или неверно набрал URL в адресной строке, в результате чего попал на ложный сайт. Когда же пострадавший указал, что вредоносное перенаправление происходит при открытии ссылки для загрузки из официального письма с подтверждением заказа и оплаты лицензии, присланного ему еще семь месяцев назад, сотрудник компании ответил, что "это письмо, вероятно, было поддельным".


"Мало того, что Kaspersky не хочет помочь, так еще и требует денег, чтобы мы купили их продукт и устранили инфекцию, попавшую на компьютер по их же вине", - возмущенно писал пользователь. В целом молчание компании и ее упрямый отказ признать взлом, очевидно, вызвали у посетителей гораздо больше негативных эмоций, нежели сам факт несанкционированного доступа.


Исследователь из Trend Micro Рик Фергюсон написал в корпоративном блоге CounterMeasures, что причиной взлома стала "ошибка в третьестороннем программном продукте, который использовался для администрирования сайта". "Компрометация легитимного центра загрузок, а в особенности - принадлежащего поставщику средств безопасности, может означать смену тактики распространителей ложных антивирусов; этой проблеме необходимо уделить определенное внимание", - указал он.


На форуме Calendar of Updates один из пользователей написал: "Не знаю, чем еще я мог бы помочь. Мне хотелось бы некоторой прозрачности в ответных действиях компании, однако я уверен, что ни один производитель защитного программного обеспечения никогда не признается во взломе своего официального сайта".


"Производители систем безопасности часто становятся целью взломщиков, и, безусловно, политика честности и открытости представляет собой наилучший способ действий в подобной ситуации", - подтвердил в своем блог-сообщении и г-н Фергюсон.


Блог ZDNet Zero Day сообщил по этому поводу, что с 2000 года различные Интернет-представительства "Лаборатории Касперского" подверглись по меньшей мере 36 успешным атакам. В их числе - ошибка безопасности базы данных, выявленная после запуска новой версии сайта технической поддержки компании в 2009 году; тогда атака посредством SQL-инъекции позволяла извлечь электронные адреса клиентов и коды активации. На этот раз, впрочем, "Лаборатория Касперского" уверена, что пользовательские сведения раскрыты не были.

" />

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Число фишинговых инцидентов в доменах .RU/.РФ снизилось на 40%

С начала 2025 года Координационный центр доменов .RU/.РФ получил 13 850 обращений, связанных с фишингом. Это на 1,6 раза меньше по сравнению с аналогичным периодом 2024 года, когда поступило 23 274 обращения. До этого количество подобных сообщений стабильно росло.

Максимальный — четырёхкратный — рост числа обращений по поводу фишинга был зафиксирован в первом полугодии 2023 года. Также снизилась доля фишинга среди всех инцидентов: если в 2024 году на него приходилось 89% обращений, то в 2025 году — уже 64%.

С начала года участники проекта «Доменный патруль» заблокировали более 13,5 тыс. фишинговых доменов. Для сравнения, за первое полугодие 2024 года было заблокировано 22,6 тыс. доменов. Среднее время реагирования составило 15 часов — это один из лучших показателей по скорости блокировки в мире.

По мнению директора Координационного центра Андрея Воробьёва, снижение активности фишинга связано с тем, что злоумышленники всё чаще переходят к более сложным схемам, основанным на использовании вредоносных программ:

«О фишинге сегодня знает практически каждый пользователь, и многие научились его распознавать. А вредоносы действуют гораздо скрытнее. Они могут попасть на устройство через заражённые приложения, файлы или ссылки — и при этом не вызвать подозрений. Получив доступ, злоумышленники используют устройство для новых атак или кражи личных и финансовых данных. Эти схемы менее заметны и потому более опасны».

Также, как отметил Андрей Воробьёв, важную роль сыграла скоординированная работа участников «Доменного патруля». Благодаря высокой скорости реакции киберпреступникам приходится переносить активность в другие доменные зоны, где контроль менее жёсткий.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru