Фишеры вклиниваются в переписку и подсаживают трояна PikaBot

Фишеры вклиниваются в переписку и подсаживают трояна PikaBot

Фишеры вклиниваются в переписку и подсаживают трояна PikaBot

ИБ-эксперты предупреждают о волне атак на корпоративных пользователей. Взломщики встраиваются в уже существующую деловую переписку, добавляя нового трояна-загрузчика PikaBot. Программа пока обходит пользователей стран СНГ, но ситуация может измениться в любой момент.

Новую изощренную схему подсаживания опасных программ в корпоративную почту обнаружили эксперты “Лаборатории Касперского”.

Особенность массовой рассылки в том, что сообщения приходят якобы от пользователей, с которыми получатели уже вели деловую переписку. Злоумышленники вклиниваются в уже существующий диалог.

Тема письма может указывать на запись аудиоконференции, информацию о встрече или деталях по реальному проекту. Во всех письмах содержится ссылка, за которой скрывается вредонос. Если получатель переходит по ней, на устройство скачивается троян PikaBot.

Волна началась в десятых числах мая, отметили эксперты. Пик атаки пришёлся на период с 15 по 18 мая. За несколько дней было зафиксировано почти 5 тысяч подобных писем.

“Семейство PikaBot умеет проверять языковые настройки целевой системы”, — подчеркивает исследователь угроз “Лаборатории Касперского” Артем Ушков.

Если троянец видит русский, белорусский, таджикский, словенский, грузинский, казахский и узбекский языки, атака прекращается.

“Может показаться, что PikaBot пока не представляет серьёзной угрозы для российских пользователей, однако в России уже было зафиксировано существенное количество атак, и ситуация может измениться в любой момент”, — предупреждает Ушков.

Вместо PikaBot может быть загружен более деструктивный вредоносный файл.

PikaBot — новое семейство зловредов. Чаще всего его пока используют для скрытой установки других вредоносных семейств, а также для исполнения произвольного кода командной строки, полученной с удалённого сервера.

В атаках PikaBot используются те же методы, а иногда та же инфраструктура, что и для распространения банковского трояна Qbot — Anti-Malware.ru писал о нем в апреле. Он способен извлекать пароли и куки из браузеров, воровать письма, перехватывать трафик и давать операторам удалённый доступ к заражённой системе.

“В последние годы злоумышленники всё чаще маскируют вредоносные и фишинговые рассылки под деловую переписку”, — предупреждает руководитель группы защиты от почтовых угроз в “Лаборатории Касперского” Андрей Ковтун.

Текст из реальных писем помогает сделать такие сообщения более убедительными. Иногда в поле отправителя мошенники добавляют имя настоящего адресанта, хотя внимательный пользователь заметит, что электронный адрес, с которого отправлено письмо, отличается.

Часто сообщения относятся к переписке, завершившейся несколько лет назад.

Чтобы не стать жертвой таких атак, “Лаборатория Касперского” рекомендует пользователям проверять адрес, с которого пришло письмо, и не пересылать сообщения третьим лицам, не перепроверив информацию.

Компаниям же советуют проводить тренинги по кибербезопасности для сотрудников, обучать их распознавать техники социальной инженерии, а также установить надёжное защитное решение, которое автоматически будет отправлять подобные письма в спам.

Opera встроила защиту от вредоносных команд в буфере обмена

Opera решила ударить по одной из самых неприятных схем последних лет — атакам через буфер обмена. В браузере появилась новая функция Paste Protect, которая должна защищать пользователей от подмены скопированных данных и вредоносных команд, которые жертву заставляют вставить в терминал своими руками.

Функция включена по умолчанию и работает прямо на уровне браузера, а не ждет, пока антивирус или операционная система заметят что-то подозрительное.

Paste Protect объединяет два механизма. Первый — уже знакомая защита от перехвата, когда вредонос меняет содержимое буфера обмена. Классика жанра: пользователь копирует криптокошелек или банковский IBAN, а в буфере внезапно оказывается адрес злоумышленника. Opera должна распознать такую подмену и предупредить пользователя.

 

Второй механизм — новая защита от инъекции. Он нацелен на атаки в стиле ClickFix, где пользователя обманывают фейковыми CAPTCHA, ошибками браузера или проблемами с воспроизведением видео. Дальше всё просто: сайт предлагает скопировать команду для исправления проблемы и вставить её в терминал или PowerShell. После этого человек фактически сам запускает вредоносную нагрузку.

Opera теперь анализирует содержимое буфера обмена в реальном времени на Windows, macOS и Linux. Если браузер видит признаки шелл-скрипта, PowerShell-команды, закодированной нагрузки или другого подозрительного содержимого, копирование блокируется, а пользователь получает предупреждение. В уведомлении показывается короткий фрагмент заблокированного текста — до 120 символов.

Для продвинутых пользователей оставили обходные варианты. Например, функцию Hold to Copy, где блокировку можно снять после задержки, а также список доверенных сайтов. Это пригодится разработчикам, которые регулярно копируют команды с GitHub или из документации.

В Opera подчёркивают, что Paste Protect не отменяет здравый смысл. Если сайт просит вставить непонятную команду в терминал, это не починка браузера, а почти наверняка ловушка.

RSS: Новости на портале Anti-Malware.ru