В ходе расследования инцидента с CCleaner Avast обнаружили кейлоггер

Олег Иванов 14 Марта 2018 - 11:48

Домашние пользователи

...

После инцидента с распространением зараженной версии программы CCleaner компания Avast провела собственное расследование, результатами которого поделилась на саммите Security Analyst Summit.

Компания рассказала о процессе инфицирования пользователей, детализировав его поэтапно. Первым этапом вредоносной программы был сбор информации о пользователях CCleaner. Эта была довольно общая информация, включающая имя компьютера, список установленных программ и запущенных процессов.

После этого в процесс включались возможности загрузчика, который устанавливал на зараженные машины бинарник, представляющий собой уже второй этап процесса заражения. Примечательно, что этот бинарник устанавливался лишь на 40 из миллионов зараженных устройств, что уже приобретало очертания таргетированной атаки.

"До сих пор у нас нет никаких доказательств того, что на зараженные компьютеры был установлен вредоносный файл, представлявший третий этап атаки, однако некоторая вредоносная активность в этой кампании указывает на то, как мог выглядеть третий этап заражения пользователей", - пишут специалисты Avast.

Во время проведения действий, направленных на ликвидацию последствий заражения программы CCleaner, эксперты Avast обнаружили, что злоумышленники использовали специальный инструмент ShadowPad, который связывают с определенной группой киберпреступников.

ShadowPad представляет собой некую платформу для осуществления кибератаки, которую злоумышленники разворачивают в сети жертвы для получения возможности удаленного управления. Инструмент был установлен на четырех компьютерах Piriform 12 апреля 2017 года, а предварительная версия вредоносной программы второго этапа была установлена на компьютерах 12 марта 2017 года.

"Более старая версия загрузчика второго уровня связывалась с серверами CnC, но на момент расследования они уже не функционировали, что не позволило нам узнать, что именно должен был загружать с них вредонос", - объясняют в Avast.

Поскольку инструмент ShadowPad считается изобретением китайской группы киберпреступников Axiom, в Avast считают, что именно они стоят за данной вредоносной операцией.

"Мы также обнаружили файлы журнала ShadowPad, которые содержали зашифрованные нажатия клавиш, зафиксированные кейлоггером, установленным на компьютерах. Удалось установить, что кейлоггер был активен с 12 апреля 2017 года, записывая нажатия клавиш на компьютерах", - подчеркивают исследователи.

Установив такой инструмент, как ShadowPad, киберпреступники могли удаленно управлять системой, осуществлять сбор учетных данных и анализировать операции на целевом компьютере. Помимо этого инструмента, эксперты обнаружили также похититель паролей и программы, позволяющие устанавливать дополнительное программное обеспечение и плагины на зараженной машине.

Напомним, мы освещали данный инцидент, когда версия CCleaner была заражена вредоносом Floxif в течение месяца.

Следующая главная новость »

Как эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности

Екатерина Быстрова 08 Декабря 2025 - 15:12

Корпорации Сетевая безопасность Security Vision

В Security Vision 5 внедрили новые механизмы контроля доступа к API

Платформа Security Vision 5 получила очередное обновление, в котором разработчики сосредоточились на улучшении безопасности, управляемости и прозрачности процессов. Релиз приносит доработки интерфейса, новые механизмы контроля доступа к API, расширенный аудит, улучшения в корреляции событий и инцидентах, а также ряд усовершенствований рабочих процессов и визуализации.

Обновление интерфейса затронуло дизайн редакторов виджетов и свойств объектов. Формы ввода и вывода стали аккуратнее, обновлены иконки групп.

За счёт большей визуальной единой логики повседневные сценарии работы стали проще и понятнее.

С точки зрения безопасности появились важные изменения. Теперь для API-токенов можно задать список разрешённых IP-адресов — это позволяет ограничить вызовы API доверенной инфраструктурой. Добавлен тип учётной записи API-only, предназначенный для интеграций без доступа к веб-интерфейсу. Кроме того, секреты — пароли коннекторов, токены и другие данные — теперь могут перешифровываться собственным мастер-паролем организации.

Расширился и объём данных в аудите. Теперь фиксируются остановка расписаний и коннекторов, изменение состояния рабочих процессов, а также создание отчётов — как вручную, так и по расписанию. Можно настроить уровень детализации логирования внутри запущенных процессов.

Корреляционные правила тоже получили обновления: при срабатывании система может автоматически создавать инцидент и формировать раздел с детальной информацией. У правил появилась критичность, а сработки теперь сопровождаются алертами для оценки важности произошедшего.

Рабочие процессы стали гибче. В действии «Вызов коннектора» можно динамически выбирать конфигурацию подключения, что позволяет использовать один блок для разных сред. В корпоративных чатах теперь поддерживаются сообщения от имени «системы», а массовые операции ускорены за счёт запуска одного процесса на несколько выбранных записей.

Для аналитики добавили круговой режим в виджете «Индикатор», а графики получили подписи осей, что улучшило читаемость отчётов. В администрировании теперь можно скрывать раздел «Настройки» для отдельных ролей, снижая риск случайных правок. Быстрые фильтры по умолчанию используют оператор «Входит в», что ускоряет работу со справочниками и множественным выбором.

Обновление получилось объёмным и адресует сразу несколько важных аспектов — от безопасности API до удобства пользователей.