Новый эксплойт Unitrix способствует распространению вредоносных программ

В прошлом месяце в сети была зарегистрирована волна атак, в ходе которой, посредством электронной почты, распространялся новый эксплойт. Его основной целью является создание сети Pay-Per-Installation (PPI), полагают аналитики вирусной лаборатории AVASTSoftware.

По словам экспертов, эксплойт Unitrix отличается тем, что оригинальное название исполняемого файла маскируется под обычный файл, преимущественно с расширением *.doc или *.jpeg. Это возможно благодаря тому, что вирусописатели снабдили его некоторыми функциями, присущими стандарту Unicode. Как известно этот стандарт кодирования делает возможным представить символы практически всех  языков. В данном случае злоумышленники снабдили свое творение способностью маскировать оригинальное название файла, перевернув его справа налево и добавив дополнительные символы после специально скрытого кода (0x202E) к имени файла. Например, оригинальное название файла вредоносной программы оканчивается на "gpj.exe", однако пользователь увидит "photo_D18727_Collexe.jpg".   

AVAST_Unitrix_code

Это еще не все. Анализ кода данной вредоносной программы показал, что по всей видимости, она не имеет каких -либо специальных задач, кроме одной – создание Pay-Per- Installation (PPI) сети, которая, впоследствии, будет использована для распространения других опасных вредоносных программ. Это объясняется тем, что зараженные компьютеры никак не используются мошенниками, а, напротив, каждой жертве компьютеру присваивается уникальный номер.

Более того, попав на компьютере жертвы, зловред устанавливает связь с несколькими удаленными серверами, расположеных в Китае, России и Украине, которые используются для распространения вредоносных программ.

Исследователи вирусной лаборатории проанализировали более 50 различных модификаций этого зловреда, каждый образец был по- своему уникален. Однако при более детальном рассмотрении было установлено: во-первых, все они упакованы с помощью UPX, а во-вторых, окончательный файл формировался посредством полиморфного упаковщика. По мнению экспертов это дает двухуровневую защиту. Более подробный анализ этого зловреда представлен на блоге вирусной лаборатории.

Как отмечают специалисты, его основной целевой аудиторией являются корпоративные пользователи. Максимальное количество загрузок приходилось на рабочие дни и доходило до 25000, а вот в выходные активность падала до 5000. При этом, в качестве транспорта исходного носителя была выбрана электронная почта.

AVAST_Unitrix"Как правило, среднестатистический пользователь обращает внимание только на расширение файла. Именно на этом и играют злоумышленники", - считает глава вирусной лаборатории AVAST Йиндржих Кубек. "Следовательно, вероятность обнаружить в полученном файле вредоносное программное обеспечение составляет лишь небольшой процент, ито в случае если на компьютере жертвы установлено дополнительное ПО для того, чтобы просмотреть свойства файла, а также правильно настроенная система безопасности, которая предупредит о появлении подозрительного файла", -добавил он.

Г-н Кубек также подчеркнул, что пока нет универсальных способов детектирования такого зловреда, поскольку возможен большой процент ложных срабатываний. Тем не менее, для пользователей avast! уже предусмотрена возможность обезопасить себя от получения этого зловреда на свой компьютер при помощи песочницы.

В прошлом месяце в сети была зарегистрирована волна атак, в ходе которой, посредством электронной почты, распространялся новый эксплойт. Его основной целью является создание сети Pay-Per-Installation (PPI), полагают аналитики вирусной лаборатории AVASTSoftware.

" />

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Газпромбанк пожаловался на мощную DDoS-атаку

6 сентября на сервисы Газпромбанка натравили ботов. В результате DDoS-атаки пострадали сайт компании, кол-центр и смс-провайдер. ИБ-отдел Газпромбанка жалуется, что бизнесу в кибервойне не помогают силовики.

“Прошли те времена, когда модель угроз состояла из криминала, а целью была нажива. Теперь это политически подкованные группы с идеей что-то обрушить, сделать что-то плохое”, — этими словами начал свое выступление на Business Information Security Summit Александр Егоркин, первый вице-президент Газпромбанка.

Егоркин рассказал о масштабной DDoS-атаке, которой подверглись сервисы Газпромбанка 6 сентября. Хактивисты настроили тысячи ботов, которые одномоментно заполняли анкеты на сайте банка. Злоумышленники вбивали в форму данные из утечек интернет-провайдера, а тот автоматически рассылал сообщения по указанным номерам телефонов.

В итоге “упали” сайт и кол-центр Газпромбанка, а также сам смс-провайдер, рассказывает Егоркин.

“Надо отдать должное, атакующие серьезно готовились”, — оправдывается Егоркин. В тот же день атакам подвергся банк-клиент и сетевой экран Газпромбанка. По словам топ-менеджера, на восстановительные работы ушло примерно четыре часа.

Егоркин считает, что в сегодняшних сложных условиях кибервойны банки остаются один на один с хактивистами. Силовые структуры не уделяют должного внимания ни предотвращению, ни расследованию инцидентов.

Нас “дидосили” с российских, белорусских и китайских IP-адресов, добавляет ИБ-специалист. “Интернет-проксеры” и правоохранительные органы могли бы оперативно найти центр управления атаками и заблокировать сервер. Но этим никто не занимается.

“Каждый сам за себя в этом киберпространстве”, — сожалеет Егоркин.

Представитель Газпромбанка считает, что государство должно активнее помогать бизнесу в борьбе с атаками.

Уже на другой дискуссии, участников круглого стола “Ландшафт и стратегия ИБ голосами практиков” спросили, нужно ли государству больше вмешиваться в “разборки” больших бизнесов с киберпреступниками.

Крупные финансово-коммерческие организации должны сами оценивать свои риски, высказался Роман Морозов, руководитель Управления информационной безопасности Департамента безопасности, Capital Group.

Государство уже и так достаточно делает, добавили другие спикеры.

На рост атак жаловался и представитель коммерческого банка Кыргызстана.

Все мошенники, которые до этого терроризировали своими звонками российских пользователей, перешли на наших граждан, — уточнил начальник Службы ИБ Батырбек Абдрашитов. — В том числе потому, что официальный государственный язык в Кыргызстане — русский”.

Аферисты масштабировали свои сценарии на киргизских граждан.

После введения антироссийских санкций Кыргызстан стал плацдармом для поддержки “изъятых” в России банковских услуг, напоминает Абдрашитов. Риски при этом возросли.

“Нам было бы полезно и приятно принять участие в киберучениях вместе с российскими коллегами”, — добавляет Абдрашитов.

Есть вопросы у бизнеса и к импортозамещению, которое теперь принято называть “цифровой независимостью”.

В Газпромбанке больше половины систем уже импортозамещены, рассказывает Егоркин. Еще несколько десятков продуктов проходят тесты. По словам топ-менеджера, основные претензии к российским решениям — нагрузочные характеристики, слабая функциональность, сбои и “недружелюбный” интерфейс.

С такой оценкой согласен и Юрий Забавин, начальник отдела ИБ РусГазШельф:

“Многие российские решения, которые предлагают сейчас наши вендоры вместо ушедших, имеют костыли. Многие топовые решения ушли с рынка. Российские же не могут полноценно заменить. Интерфейс, нагрузочные характеристики не справляются, многое в стадии разработки. Мы ищем отечественные аналоги, которые бы нас удовлетворили. Но многие иностранные решения по деньгам были дешевле, чем наши. Сейчас я формирую бюджет. Пока не знаю, как буду защищать этот бюджет, если решения в 2022 году на такое же количество людей, стоят намного дороже, чем в 2021”.

Сдержанные эмоции вызвала у представителей бизнеса инициатива оборотных штрафов за утечки. На первой пленарной сессии BISS’22 регуляторы активно требовали большей ответственности для игроков.

По мнению вице-президента Газпромбанка, если банк внедрил все нужные ИБ-решения и соответствует требованиям, его не за что наказывать.

“Любая система уязвима, — считает Егоркин. — Тот, кто говорит, что можно построить неуязвимую систему, ничего не понимает в ИБ. Имея неограниченный денежный и временной ресурс, можно взломать любую систему”.

Кроме того, высокие оборотные штрафы могут спровоцировать шантажистов, считают участники дискуссии.

Оборотные штрафы за утечки — это философский вопрос, готового решения пока нет, заключили эксперты ИБ от бизнеса.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru