ЛК выяснила, как утекают зашифрованные конфиденциальные переписки

Александр Панасенко 18 Января 2016 - 14:53

Лаборатория Касперского

Вредоносные программы

Недекларированные возможности

Утечки информации

Инсайдеры

...

ЛК выяснила, как утекают зашифрованные конфиденциальные переписки

Для слежки за конфиденциальными переговорами, которые пользователи теперь все чаще ведут в специальных защищенных мобильных мессенджерах, злоумышленники стали применять программы-импланты, позволяющие полностью контролировать устройство и видеть все данные и сообщения, которые получает его владелец.

В этом случае даже самое надежное шифрование, применяемое при отправке информации, не способно защитить данные от утечки. Подобные зловреды используются в целевых атаках на высокопоставленных лиц и организации. За последние пару лет в ходе расследования целевых атак и кампаний кибершпионажа «Лаборатория Касперского» обнаружила, что подобное вредоносное ПО использовалось как минимум в 6 масштабных операциях.

На сегодняшний день программы-импланты могут атаковать все распространенные мобильные платформы: Android, iOS, Windows Mobile, Blackberry. При этом их функции крайне широки – зловреды могут не только «просматривать» текстовые сообщения, изображения и файлы, хранящиеся на смартфоне, они также отслеживают географические координаты, включают камеру и микрофон для записи действий жертвы, следят за состоянием батареи устройства, фиксируют замену SIM-карты и запоминают точки доступа к Wi-Fi, которыми пользовался владелец смартфона.

Заражению мобильными имплантами часто подвергаются смартфоны, пользователи которых сделали джейлбрейк. Нередко зловред попадает в устройство при подключении его к заранее зараженному компьютеру, например, для зарядки батареи через USB-порт. Кроме того, если жертва занимает высокое положение, атакующие могут применить методы заражения, в которых используются дорогостоящие и эффективные эксплойты.

«Злоумышленники уже давно поняли, что заражение мобильного устройства может дать им гораздо больше, чем атака на традиционный ПК. Жертвы кибератак всегда имеют при себе мобильные телефоны, и зачастую на них хранится информация, которой нет на рабочем компьютере. Кроме того, мобильные устройства обычно хуже защищены, поэтому для их заражения злоумышленникам приходится прилагать меньше усилий, – поясняет Дмитрий Бестужев, антивирусный эксперт «Лаборатории Касперского». – В случае же с программами-имплантами зараженное мобильное устройство никак не защищено от шпионских действий, даже несмотря на надежное шифрование информации в мессенджере – злоумышленники имеют возможность читать те же сообщения, что и сами пользователи. При этом нет необходимости взламывать протоколы шифрования или перехватывать данные на сетевом уровне. Они могут просто читать сообщения так, как это делает жертва».

Для того чтобы избежать заражения мобильными имплантами, «Лаборатория Касперского» рекомендует пользователям не подвергать свои устройства джейлбрейку, поддерживать операционную систему и все приложения в актуальном состоянии, то есть своевременно устанавливать все обновления, использовать VPN-соединение при подключении к Интернету, контролировать процессы, выполняющиеся в памяти устройства, не заряжать телефон через USB-порт компьютера и, конечно же, использовать качественное защитное ПО.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 18 Июня 2025 - 17:47

Трояны Утечки информации Умышленные утечки информации Кража данных Домашние пользователи

Вредонос под видом мода к Minecraft украл данные 1500 игроков

Если вы скачиваете моды к Minecraft с GitHub — самое время быть осторожным. Исследователи из Check Point обнаружили новую многоступенчатую вредоносную кампанию, нацеленную именно на игроков этой игры.

Всё начинается с якобы безобидного мода, а заканчивается кражей паролей, токенов и данных из криптокошельков.

Злоумышленники распространяют вредонос под видом модов под названиями Oringo и Taunahi — это так называемые «чит-скрипты». Работают они только в среде Minecraft, потому что написаны на Java и запускаются, если игра установлена.

Заражение происходит в несколько этапов:

Игрок сам копирует вредоносный JAR-файл в папку с модами.
При запуске Minecraft этот файл загружается вместе с остальными модами.
Он скачивает второй этап заражения — ещё один JAR, который, в свою очередь, вытягивает .NET-программу-крадущую (инфостилер).

Причём вся передача команд и ссылок завуалирована — используется Pastebin с зашифрованным IP-адресом сервера.

Что может этот зловред?

Очень многое. После загрузки финального компонента начинается сбор:

токенов Discord, Minecraft, Telegram;
логинов и паролей из браузеров;
данных криптокошельков;
файлов с компьютера;
данных из приложений вроде Steam и FileZilla;
снимков экрана, буфера обмена и списка запущенных процессов.

Всё это отправляется обратно через Discord Webhook.

Кто за этим стоит?

Исследователи подозревают, что за атакой стоит русскоязычный злоумышленник. Об этом говорят артефакты на русском языке и часовой пояс (UTC+03:00) в коммитах на GitHub. По предварительным оценкам, уже пострадали более 1 500 устройств.

Вся эта кампания использует нелегальный сервис Stargazers Ghost Network — он позволяет размещать вредоносные репозитории на GitHub, маскируя их под взломанное ПО и игровые моды.

А что с KimJongRAT?

Параллельно исследователи из Unit 42 (Palo Alto Networks) сообщили о двух новых вариантах известного шпионского инструмента KimJongRAT. Один — в виде исполняемого файла (PE), второй — в PowerShell-реализации. Оба активируются через клик по LNK-файлу и загружают компоненты для кражи данных и нажатий клавиш. За этим стоит, предположительно, северокорейская группировка, связанная с кампаниями BabyShark и Stolen Pencil.

ЛК выяснила, как утекают зашифрованные конфиденциальные переписки

Читайте также