Фишеры вклиниваются в переписку и подсаживают трояна PikaBot

Фишеры вклиниваются в переписку и подсаживают трояна PikaBot

Фишеры вклиниваются в переписку и подсаживают трояна PikaBot

ИБ-эксперты предупреждают о волне атак на корпоративных пользователей. Взломщики встраиваются в уже существующую деловую переписку, добавляя нового трояна-загрузчика PikaBot. Программа пока обходит пользователей стран СНГ, но ситуация может измениться в любой момент.

Новую изощренную схему подсаживания опасных программ в корпоративную почту обнаружили эксперты “Лаборатории Касперского”.

Особенность массовой рассылки в том, что сообщения приходят якобы от пользователей, с которыми получатели уже вели деловую переписку. Злоумышленники вклиниваются в уже существующий диалог.

Тема письма может указывать на запись аудиоконференции, информацию о встрече или деталях по реальному проекту. Во всех письмах содержится ссылка, за которой скрывается вредонос. Если получатель переходит по ней, на устройство скачивается троян PikaBot.

Волна началась в десятых числах мая, отметили эксперты. Пик атаки пришёлся на период с 15 по 18 мая. За несколько дней было зафиксировано почти 5 тысяч подобных писем.

“Семейство PikaBot умеет проверять языковые настройки целевой системы”, — подчеркивает исследователь угроз “Лаборатории Касперского” Артем Ушков.

Если троянец видит русский, белорусский, таджикский, словенский, грузинский, казахский и узбекский языки, атака прекращается.

“Может показаться, что PikaBot пока не представляет серьёзной угрозы для российских пользователей, однако в России уже было зафиксировано существенное количество атак, и ситуация может измениться в любой момент”, — предупреждает Ушков.

Вместо PikaBot может быть загружен более деструктивный вредоносный файл.

PikaBot — новое семейство зловредов. Чаще всего его пока используют для скрытой установки других вредоносных семейств, а также для исполнения произвольного кода командной строки, полученной с удалённого сервера.

В атаках PikaBot используются те же методы, а иногда та же инфраструктура, что и для распространения банковского трояна Qbot — Anti-Malware.ru писал о нем в апреле. Он способен извлекать пароли и куки из браузеров, воровать письма, перехватывать трафик и давать операторам удалённый доступ к заражённой системе.

“В последние годы злоумышленники всё чаще маскируют вредоносные и фишинговые рассылки под деловую переписку”, — предупреждает руководитель группы защиты от почтовых угроз в “Лаборатории Касперского” Андрей Ковтун.

Текст из реальных писем помогает сделать такие сообщения более убедительными. Иногда в поле отправителя мошенники добавляют имя настоящего адресанта, хотя внимательный пользователь заметит, что электронный адрес, с которого отправлено письмо, отличается.

Часто сообщения относятся к переписке, завершившейся несколько лет назад.

Чтобы не стать жертвой таких атак, “Лаборатория Касперского” рекомендует пользователям проверять адрес, с которого пришло письмо, и не пересылать сообщения третьим лицам, не перепроверив информацию.

Компаниям же советуют проводить тренинги по кибербезопасности для сотрудников, обучать их распознавать техники социальной инженерии, а также установить надёжное защитное решение, которое автоматически будет отправлять подобные письма в спам.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Kaspersky Container Security 2.1 научилась проверять ноды оркестраторов

«Лаборатория Касперского» выпустила обновление для своего решения Kaspersky Container Security (версия 2.1). Теперь оно умеет проверять не только контейнеры, но и ноды оркестраторов — то есть хосты, на которых они работают.

Оркестраторы вроде Kubernetes управляют контейнерными приложениями, а их кластеры состоят из нод с собственной ОС.

Как и любая операционная система, они могут содержать уязвимости. Новая функция позволяет сканировать такие узлы, фиксировать найденные дыры и подозрительные процессы, а также вести постоянный мониторинг с помощью встроенного антивирусного модуля. При этом проверка запускается вручную, чтобы не нагружать систему.

В интерфейсе теперь отображаются детали по каждой ноде: версия ОС, дата последнего сканирования, количество и критичность уязвимостей, история запусков потенциально опасных процессов.

Обновление также расширило список поддерживаемых инструментов и платформ. В него вошли, в частности, интеграция с Google Cloud Platform, российскими системами оркестрации Deckhouse и «Штурвал», а также поддержка RedOS для работы нод.

Появилась возможность передавать данные о событиях через вебхуки. Это значит, что система сможет отправлять информацию в любые внешние сервисы, например в средства мониторинга или оповещения, даже если их интеграция напрямую пока не реализована.

Кроме того, компании теперь могут использовать не только встроенные базы угроз, но и подключать свои собственные через API. Это позволит проверять события сразу по нескольким источникам.

Таким образом, продукт получил новые инструменты для мониторинга и анализа контейнерных сред — в том числе на уровне узлов, которые раньше оставались за кадром.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru