Взломщики российских компаний отключают антивирусы, чтобы скрыть атаку

Взломщики российских компаний отключают антивирусы, чтобы скрыть атаку

Взломщики российских компаний отключают антивирусы, чтобы скрыть атаку

В рунете объявилась кибергруппа, которая после проникновения в корпоративные сети отключает антивирусную защиту, чтобы скрыть вредоносную активность. Эксперты ГК «Солар» зафиксировали подобные атаки в сфере промышленного производства.

Для взлома систем и загрузки инструментов блокировки защитных решений злоумышленники используют уязвимости.

Так, в одном из случаев им помог интернет-доступ к софту DameWare Mini Remote Control; соответствующий порт, по всей видимости, остался открытым со времен пандемии ковида. После взлома авторы атаки поместили зловреда в директорию агента администрирования антивируса Kaspersky и с его помощью нейтрализовали защиту.

Анализ образца выявил функцию отключения механизма MiniFilter, который многие антивирусные решения используют для сбора данных об операциях в файловой системе Windows и анализа поведения программ.

В ходе данной атаки на Windows вредоносный драйвер создал свой мини-фильтр и осуществил подмену, заблокировав ИБ-продукту возможность мониторинга. Об инциденте сообщили в «Лабораторию Касперского», там доработали самозащиту и выпустили обновления.

Был также зафиксирован случай, когда взломщикам удалось отключить антивирус из-за некорректного взаимодействии Windows с цифровыми подписями драйверов. В результате атаки ИТ-инфраструктура жертвы была выведена из строя.

«Последнее время атакующие все чаще применяют инструменты, позволяющие отключать и обходить средства защиты, поставляемые различными вендорами, — констатирует эксперт Solar 4RAYS Дмитрий Маричев. — Подходы и техническая реализация отличаются лишь деталями, например, именами файлов их компонентов. Чтобы вовремя пресечь подобную атаку, нужно регулярно проверять работоспособность установленных в инфраструктуре защитных решений и контролировать, идет ли с них телеметрия. Кроме того, важно периодически проводить оценку компрометации, что значительно повышает шансы выявить атаку до наступления серьезных последствий».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники знакомятся, дарят визит в салон красоты и крадут деньги со счета

Мошенники, практикующие схему Fake Date, придумали новую приманку. Выдавая себя за владельца салонов красоты, они дарят девушкам одноразовый доступ к премиум-услугам и получают контроль над смартфоном жертв, соблазнившихся предложением.

По данным F6, новые «подарки» в рамках Fake Date злоумышленники начали раздавать полторы недели назад. Выявлено более 190 пострадавших, у которых суммарно украли 2,7 млн рублей.

Действуя по новому сценарию, аферисты создают на сайте знакомств профиль респектабельного мужчины 30-35 лет, проживающего в одном из крупных городов России. В качестве аватарки обычно используется фото, позаимствованное из делового журнала.

При первом контакте вымышленный персонаж старается завоевать доверие потенциальной жертвы, выказывая дружелюбие, а затем предлагает перенести общение в Telegram. В ходе переписки выясняется, что собеседник владеет сетью салонов красоты и хочет сделать новой знакомой подарок — бесплатное посещение с обслуживанием по высшему классу.

Если девушка соглашается принять подарок, ей высылают «персональный промокод» и ссылку на фейковый ресурс для записи — клон сайта одного из московских салона красоты.

После заполнения формы посетителю предлагают скачать на Android-устройство специализированное приложение, а на самом деле трояна, умеющего открывать удаленный доступ, перенаправлять на фишинговые страницы, перехватывать СМС и данные банковских карт и отсылать хозяевам информацию, введенную на смартфоне, облегчая кражу денег со счетов жертвы.

 

Владелицам iPhone для подтверждения заявки предлагают зарегистрироваться с использованием Apple ID. Введенные в фишинговые формы данные позволяют злоумышленникам захватить контроль над устройством.

 

В прошлом году в рамках схемы Fake Date мошенники предлагали девушкам бесплатные услуги профессионального фотографа.

«На смену обычным фишинговым сайтам приходят технически сложные многоступенчатые сценарии, работающие на любую аудиторию пользователей мобильных устройств, — отметил аналитик Евгений Егоров из команды Digital Risk Protection компании F6. — Такие варианты схем позволяют киберпреступникам получать большую прибыль при небольшом числе жертв».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru