ЛК раскрыла еще один способ распространения банковского троянца Lurk

Эксперты «Лаборатории Касперского» выяснили, что нашумевший троянец Lurk, с помощью которого киберпреступники смогли украсть более 3 миллиардов рублей со счетов клиентов российских банков, попадал на компьютеры жертв вместе с легитимной программой удаленного администрирования Ammyy Admin.

Злоумышленники использовали  особенности подобного ПО, а именно то обстоятельство, что установка программ для удаленного доступа к системе часто сопровождается уведомлением о потенциальном риске со стороны защитных решений. И в данном случае уведомление о наличии зловреда многие пользователи, среди которых были и системные администраторы компаний, могли принять просто за ложное срабатывание антивируса.

По данным «Лаборатории Касперского», банковский троянец Lurk распространялся с официального сайта разработчика ammyy.com как минимум с февраля 2016 года. Как оказалось, сайт был скомпрометирован киберпреступниками и загружаемый с него файл-установщик Ammyy Admin по сути представлял собой программу-дроппер, предназначенную для скрытой установки зловреда в системе. Эксперты «Лаборатории Касперского» проинформировали об этом компанию Ammyy Group, после чего вредоносный код с сайта был удален. 

Однако в начале апреля 2016 года модифицированная версия троянца Lurk вновь появилась на официальном сайте разработчика Ammyy Admin. На этот раз перед установкой зловред проверял, является ли заражаемый компьютер частью корпоративной сети. И это свидетельствует о том, что злоумышленников интересовали именно корпоративные пользователи и хранимые на их устройствах данные. Об этом инциденте «Лаборатория Касперского» также проинформировала Ammyy Group.   

1 июня 2016 года стало известно об аресте кибергруппировки, стоящей за Lurk. И в этот же день на сайте ammyy.com был найден новый троянец Fareit, охотившийся за персональной информацией пользователей. Как и во всех предыдущих случаях, после сообщения от «Лаборатории Касперского» Ammyy Group удалила зловреда со своего сайта. В настоящее время следов вредоносного ПО на сайте ammyy.com не обнаружено.  

«Использование легитимного ПО для распространения зловредов – крайне эффективная техника киберпреступников. Ведь выбирая программы от известных разработчиков и скачивая их из официальных источников, пользователи даже и не подумают, что вместе с нужным им ПО они в придачу могут получить какие-либо вредоносные вложения. Таким образом, злоумышленники гораздо легче получают доступ к интересующим их устройствам, а количество жертв при подобном способе заражения увеличивается в разы», – поясняет Василий Бердников, антивирусный аналитик «Лаборатории Касперского».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Apple не успела пропатчить macOS — атакующие обходят Gatekeeper

К сожалению, Apple затянула с устранением серьезной уязвимости в macOS Mojave, которая позволяет обойти Gatekeeper — судя по всему, киберпреступники взялись активно эксплуатировать эту брешь в реальных атаках. Об этом предупреждают эксперты компании Intego.

Неудивительно, что все к этому пришло, ведь PoC-код был опубликован еще в прошлом месяце. В итоге киберпреступникам оставалось проделать минимум работы, чтобы оснастить свои кампании соответствующим эксплойтом.

По словам исследователей Intego, на прошлой неделе удалось обнаружить четыре экземпляра вредоносной программы для macOS на VirusTotal. Все они использовали уязвимость для обхода GateKeeper и выполнения вредоносного кода в системе macOS.

При этом уязвимость позволяет избежать любых уведомлений пользователя, так что процесс заражения системы проходит незаметно.

Вредоносная программа, используемая в этих атаках, получила детект «OSX/Linker». Эксперты полагают, что вредонос до сих пор находится в стадии разработки, а в настоящее время просто «обкатывается» преступниками.

На это указывает специфическое поведение вредоноса — он не загружает в атакованную систему дополнительных злонамеренных программ.

«Один из обнаруженных нами файлов подписан с идентификатором Apple Developer ID. Это отчасти может служить доказательством заимствования техник у адваре OSX/Surfbuyer», — пишет аналитик Intego Джошуа Лонг в блоге.

Напомним, что в конце мая детали непропатченной уязвимости в системе macOS 10.14.5 (Mojave) и более ранних версиях появились в Сети. Используя эту проблему безопасности, атакующий может выполнить произвольный код без всякого взаимодействия с пользователем.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru