Новый бэкдор SpeakUp используется для распространения майнера XMRig

Олег Иванов 14 Февраля 2019 - 12:50

Домашние пользователи

...

Специалисты компании Check Point выявили новый образец вредоносной программы, цель которой — серверы Linux. Получивший имя SpeakUp зловред распространяет криптомайнер XMRig. На данный момент ни один из антивирусов не обнаруживает данный троян.

В сущности, вредонос SpeakUp может использоваться для загрузки и распространения любого вида вредоносных программ, именно поэтому эксперты расценивают его как серьезную угрозу. По словам Check Point, сам SpeakUp распространялся с помощью серии эксплойтов.

Также исследователи привели интересную статистику. В январе первые четыре строчки рейтинга самых активных вредоносных программ заняли криптомайнеры. Coinhive остается главным зловредом, атаковавшим 12% организаций по всему миру.

XMRig снова стал вторым по распространенности вредоносом (8%), за которым последовал криптомайнер Cryptoloot (6%). Несмотря на то, что в январском отчете представлены четыре криптомайнера, половина всех вредоносных форм из первой десятки может использоваться для загрузки дополнительных злонамеренных программ на зараженные машины.

«В январе произошли небольшие изменения в формах вредоносных программ, ориентированных на организации по всему миру, однако мы находим все новые способы распространения вредоносных программ. Подобные угрозы являются серьезным предупреждением о грядущих угрозах. Бэкдоры, такие как Speakup, могут избежать обнаружения, а затем распространять потенциально опасное вредоносное ПО на зараженные машины. Поскольку Linux широко используется именно на корпоративных серверах, мы ожидаем, что Speakup станет угрозой для многих компаний, масштабы и серьезность которой будут расти в течение года, — комментирует Василий Дягилев, глава представительства Check Point SoftwareSoftware Technologies в России и СНГ. — Кроме того, второй месяц подряд в тройке самых активных вредоносных программ в России оказывается BadRabbit.Так что злоумышленники используют все возможные уязвимости для получения прибыли».

Алексей Мальнев, руководитель центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет»:

«Новость одновременно примечательна и обыденна. Относительная примечательность заключается в том, что этап доставки трояна SpeakUP происходит через WEB-канал связи и на Linux-серверы (большинство современных угроз используют доставку посредством email и нацелены на платформы Microsoft Windows). При этом вполне обычное дело, что большинство известных антивирусных систем не способны пока обнаружить вредонос: порядка ¾ успешных атак используют ранее неизвестные уязвимости, для которых еще не выпущены средства защиты. В реальной практике подобные угрозы 0-day можно обнаружить с помощью систем мониторинга Web-трафика (Web Application Firewall). Например, эти решения помогают определить попытку загрузки шелл-кода. А комплекс систем поведенческого анализа помогает выявить аномалии в сетевом трафике, в поведении пользователей и запущенных процессах. Но если все-таки заражение уже произошло, то в обнаружении вредоносного ПО до этапа финальной реализации угрозы будет полезным мониторинг инцидентов ИБ. Например, так можно обнаружить вредоносную активность на этапе горизонтального распространения в инфраструктуре».

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 13 Ноября 2025 - 09:19

Android Домашние пользователи Корпорации Защита мобильных устройств Защита мобильных устройств Google

Android сохранит установку неподтверждённых приложений для опытных юзеров

В конце августа Google объявила об изменении, которое здорово разозлило энтузиастов и независимых разработчиков. Корпорация решила, что с 2026 года Android будет блокировать установку приложений от непроверенных разработчиков. Теперь компания пошла на уступки.

В блоге Google сообщила, что готовит «расширенный сценарий установки» — специальный режим для опытных пользователей, которые «осознают риски и готовы самостоятельно устанавливать неподтверждённые приложения».

По словам Google, новый механизм будет учитывать определённые меры безопасности, чтобы злоумышленники не могли обманом заставить пользователя обойти защиту.

Перед установкой система будет выдавать чёткие предупреждения о рисках, но решение останется за самим пользователем. Сейчас компания собирает ранние отзывы о концепции и обещает рассказать больше в ближайшие месяцы.

Пока непонятно, как именно будет выглядеть этот «расширенный сценарий». Ранее предполагалось, что единственный способ установить неподтверждённое приложение — через ADB, то есть с помощью командной строки и кабеля.

Это несложно, но явно неудобно. Новый способ, если всё пойдёт по плану, сделает процесс проще и безопаснее — без необходимости прибегать к костылям вроде Shizuku.

Кроме того, Google начала приглашать разработчиков, которые распространяют приложения вне Play Store, пройти раннюю верификацию через Android Developer Console. Рассылка приглашений стартовала ещё 3 ноября, а с 25 ноября 2025 года присоединиться смогут и те, кто публикует приложения в Play Store.

Всё это — часть новой политики безопасности. Google объясняет, что проверка разработчиков поможет защитить пользователей от мошенников, которые распространяют вредоносные приложения под видом банковского софта.

Обязательная верификация должна осложнить жизнь злоумышленникам — теперь им придётся использовать реальные данные, что сделает массовое создание новых вредоносных приложений труднее.

В то же время Google понимает, что строгие требования могут отпугнуть студентов и разработчиков-любителей. Для них компания готовит особый тип аккаунта без платы за регистрацию и с упрощённой проверкой. Правда, такие аккаунты смогут устанавливать приложения только на ограниченное число устройств и не подойдут для публикации в магазинах.

Компания подчёркивает, что до окончательного запуска новых правил ещё будет время, и она планирует доработать систему с учётом отзывов сообщества.