ЛК нашла опасную программу, безвозвратно стирающую данные

ЛК нашла опасную программу, безвозвратно стирающую данные

ЛК нашла опасную программу, безвозвратно стирающую данные

Компании на Ближнем Востоке и в Европе были атакованы новым сложным зловредом, уничтожающим все данные на зараженном компьютере. «Лаборатория Касперского» обнаружила программу-стиратель StoneDrill, которая не только безвозвратно удаляет данные с устройства, но также шпионит за жертвами и старательно избегает попадания на радары защитного ПО. 

Своим поведением StoneDrill очень напоминает нашумевшую пять лет назад аналогичную программу Shamoon (также известную как Disttrack) – в 2012 году этот зловред парализовал работу 35 тысяч компьютеров в нефтегазовой компании на Ближнем Востоке и поставил таким образом под удар существенную долю мировой нефтепромышленности. После этого громкого случая группировка, стоявшая за Shamoon, ушла в тень. Однако в конце 2016 года она, похоже, вернулась, и, расследуя это возвращение, эксперты «Лаборатории Касперского» нашли нового игрока с новым сложным зловредом и более масштабными целями. 

Обнаружить StoneDrill удалось с помощью правил детектирования целевых атак (Yara-правил), разработанных экспертами «Лаборатории Касперского» для идентификации неизвестных образцов Shamoon. И хотя StoneDrill создан «в стиле» Shamoon, между двумя программами существует большая разница. 

Исследователям до сих пор неизвестно, как распространяется новый зловред, но для того чтобы остаться незаметным на зараженном устройстве, он использует две сложных антиэмуляционных техники, которые не позволяют детектировать его по поведению. Как только программа StoneDrill попадает в компьютер, она встраивается в процесс памяти того браузера, который используется на устройстве чаще всего. Сразу же после установки зловред начинает уничтожать файлы на жестком диске.

Кроме модуля, стирающего информацию, StoneDrill также содержит бэкдор для шпионажа за жертвами – эксперты «Лаборатории Касперского» обнаружили четыре сервера управления, с помощью которых злоумышленники вели слежку на зараженных устройствах. 

«Мы крайне заинтригованы теми сходствами, которые мы обнаружили между различными вредоносными операциями. Проанализировав код двух программ, мы видим, что в Shamoon присутствует йеменский вариант арабского языка, а в StoneDrill превалирует персидский язык. Геополитики могли бы предположить, что за операциями стоят иранские и йеменские игроки, заинтересованные в причинении ущерба компаниям в Саудовской Аравии, где и было обнаружено большинство жертв атак StoneDrill и Shamoon. Но, разумеется, не стоит исключать возможность того, что все языковые метки в коде намеренно оставлены злоумышленниками, чтобы пустить исследователей по ложному следу. Кроме того, обнаружение StoneDrill в Европе говорит о том, что группировка имеет интересы и за пределами ближневосточного региона. И хотя атакованная европейская компания работает в нефтехимической сфере, она не имеет никаких связей с нефтяным бизнесом на Ближнем Востоке», – рассказывает Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского».

ИИ научился клепать клоны Android-приложений почти за копейки

Нейросети могут за несколько минут изменить Android-приложение, пересобрать его и сохранить работоспособность. Причём цена такой операции начинается с 88 копеек, выяснили специалисты Positive Technologies. Эксперимент провели на 90 приложениях разных категорий.

Вредоносный код исследователи не добавляли: они вносили нейтральное изменение и проверяли, продолжит ли программа работать после вмешательства.

Результат получился неприятный. Закрытые коммерческие модели успешно справились с задачей в 84% попыток, модели с открытыми весами — в 61%. В среднем нейросети требовалось 14 итераций и от пяти с половиной до девяти минут.

 

Стоимость одного успешного результата составила от 0,88 до 40,89 рубля. То есть за несколько тысяч рублей потенциальный злоумышленник может попробовать модифицировать сотню популярных приложений.

На практике вместо безобидной правки в APK можно встроить перехват данных, изменить поведение программы или добавить связь с внешним сервером. Затем поддельную сборку легко выдать за оригинал, улучшенную версию или приложение, которое якобы недоступно в официальном магазине.

 

Распространять такие клоны могут через сторонние каталоги, сайты, мессенджеры и тематические сообщества. Особенно уязвимы пользователи, которые привыкли скачивать APK где придётся.

В Positive Technologies отмечают, что ИИ не изобрёл новый вид атаки, но заметно снизил порог входа. То, что раньше требовало времени и навыков реверс-инжиниринга, теперь можно частично поручить нейросети.

Разработчикам советуют защищать код от анализа и изменения, отслеживать появление неофициальных сборок и закладывать безопасность ещё на этапе разработки. Иначе клон приложения может появиться быстрее, чем команда успеет выпустить очередной патч.

RSS: Новости на портале Anti-Malware.ru