Cisco анонсировала новые сервисы для защиты почты и конечных точек

Cisco анонсировала новые сервисы для защиты почты и конечных точек

Cisco представила новые сервисы для защиты почты и конечных точек на конференции RSA 2018. Новые технологии обеспечат защиту от фишинга, программ-вымогателей, криптомайнинга и бестелесных вредоносных программ.

На конференции Cisco подчеркнула важность информационной безопасности в сфере бизнеса, на защиту которой направлены новые сервисы. Cisco Advanced Malware Protection (AMP) обеспечивает защиту конечных точек. Новая технология использует сложную систему определения и защиты устройств от бестелесных вредоносных программ и программ-вымогателей. Главная причина популярности среди злоумышленников бестелесных вредоносных программ - их деятельность сложно обнаружить. Лежащий в основе Cisco AMP, новый защитный механизм противостоит этим угрозам. Он обеспечивает защиту от уязвимостей необновленного ПО. Сервис работает беспрерывно, даже если пользователь “оффлайн”. Он не требует настройки или регулировки от пользователя. Все новые сервисы Cisco управляются с облачного пространства и не требуют установки на жесткий диск. 

Чтобы обезопасить свои домены от фишинга, Cisco обратилась к технологии DMARC. С его помощью Cisco Domain Protection отслеживает любую подозрительную активность своих доменов. Затем Cisco Advanced Phishing Protection определяет почтовый адрес, который использует злоумышленник, будь то попытки спуфинга или фишинга.

Компания недавно заключила договор с ConnectWise Advanced Security Dashboard, и теперь этот сервис предлагает новые продукты Cisco в общей доступности.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Обнаружен инфостилер-конструктор, использующий вебхуки Discord

На YouTube и в Discord рекламируется новый инструмент для создания вредоносных программ с функциями кражи данных и получения снимков экрана. Как оказалось, собранные из конструктора зловреды отправляют добычу оператору, используя Discord-функцию Webhooks.

В ИБ-компании Uptycs новому билдеру присвоили имя KurayStealer. Анализ созданного с его помощью семпла показал, что написанный на Python инфостилер схож с другими собратьями, коды которых можно найти в публичных репозиториях — например, на GitHub.

При запуске вредонос прежде всего проверяет используемую версию (бесплатная или коммерческая) и по результатам загружает на машину жертвы файл DualMTS.py или DualMTS_VIP.py. После этого он пытается заменить строку api/webhooks в базе данных приложения BetterDiscord записью Kisses — чтобы обойти защиту и беспрепятственно отправлять краденые данные через вебхуки.

В случае успеха инфостилер делает скриншот, используя Python-модуль pyautogui, и определяет географическое местоположение жертвы через обращение к легитимному сервису ipinfo.io. После этого зловред приступает к сбору данных из приложений (в списке целей числятся два десятка программ, в том числе Discord, Microsoft Edge, Chrome, Opera, Яндекс.Браузер и Sputnik).

В коде KurayStealer аналитики нашли имя создателей — Suleymansha & Portu, а также ссылку для приглашений в канал Discord, посвященный новинке. Его создал пользователь Portu#0022, в профиле которого приведена ссылка на интернет-магазин Shoppy, где числятся и другие вредоносные продукты того же авторства:

 

Профиль Portu также содержит ссылку на учетную запись YouTube — там можно было посмотреть, как пользоваться KurayStealer, однако автор уже удалил деморолик, оставив в аккаунте только мультяшную аватарку и информацию о своем месте жительства (Испания).

В конце апреля в Discord-канале Portu было опубликовано объявление о новом проекте — вирусописатели приступили к созданию шифровальщика.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru