Центр безопасности Symantec. Актуальные угрозы текущего года. Сводка 06.01.2023

Высшим приоритетом Symantec является защита наших клиентов. Нападающие никогда не отдыхают, и мы тоже. Высококвалифицированная и преданная своему делу команда постоянно создает новые средства защиты от сотен тысяч новых угроз, которые появляются каждый день. Хотя было бы невозможно публиковать информацию о каждой новой угрозе, от которой мы защищаемся, в этих отчетах публикуются обновления защиты от угроз, которые появляются в новостях, и тех, которые все еще находятся в поле зрения, чтобы вы знали, что защищены.

Программа-вымогатель ThiefQuest для macOS остается активной в дикой природе
ThiefQuest (также известный под старым названием EvilQuest) — это вариант программы-вымогателя, нацеленный на платформу macOS. Помимо типичных характеристик программ-вымогателей, некоторые варианты этой вредоносной программы также обладают дополнительными функциями кейлогинга, кражи информации и бэкдора. ThiefQuest может выполнить несколько проверок, чтобы выяснить, работает ли он в виртуализированной среде. Одной из таких проверок, выполняемых вредоносной программой, является проверка организационного уникального идентификатора (OUI) устройства MAC. Вредоносная программа также попытается отключить решения безопасности, установленные на устройстве, чтобы избежать обнаружения. Несмотря на то, что ThiefQuest присутствует на рынке угроз уже несколько лет, только за последний месяц в дикой природе было обнаружено много новых образцов. 
Symantec защищает вас от этой угрозы, определяемой следующим образом:
File-based
- OSX.RansomThiefQuest
- OSX.RansomThiefQue!g1
- OSX.Trojan.Gen
- WS.Malware.1

Программа-вымогатель Monti для Linux
Monti — это вариант программы-вымогателя, основанный на утечке исходного кода печально известной программы-вымогателя Conti. Вредоносная программа нацелена на системы Linux и добавляет расширение .puuuk к зашифрованным файлам. Злоумышленники, стоящие за этим вариантом программы-вымогателя, управляют веб-сайтом утечки данных на базе Tor. После шифрования файлов программа-вымогатель оставляет примечание о выкупе в виде файла README.txt и дополнительно еще один файл с именем result.txt с количеством и общим размером зашифрованных файлов.
Symantec защищает вас от этой угрозы, определяемой следующим образом:
File-based
- Ransom.Conti
- Trojan.Gen.NPE
- WS.Malware.1

Вредоносное ПО IcedID распространяется через поддельные установщики Zoom
IcedID — хорошо известная банковская вредоносная программа, часто используемая в качестве загрузчика дополнительных вредоносных полезных нагрузок и модулей. Совсем недавно вредоносное ПО, распространяемое в рамках новой кампании, использует фишинговые веб-сайты, доставляющие двоичные файлы вредоносных программ, замаскированные под установщики приложений Zoom. Фишинговые веб-сайты были разработаны таким образом, чтобы имитировать законные страницы Центра загрузки Zoom и обманом заставлять пользователей загружать установщики Zoom Client в комплекте с двоичными файлами вредоносного ПО. После запуска загруженного установщика вредоносное ПО запускается, но также во избежание подозрений пользователя вместе с ним устанавливается законная версия приложения Zoom.
Symantec защищает вас от этой угрозы, определяемой следующим образом:
File-based
- Trojan Horse
- Trojan.Gen.2
- WS.Malware.1
Machine Learning-based
- Heur.AdvML.B
Web-based
- Observed domains/IPs are covered under security categories

Вредоносное ПО SpyNote продолжает атаковать клиентов банков
Примерно в конце 2022 года семейство вредоносных программ для мобильных устройств SpyNote все чаще нацелено на банковских клиентов. Функциональность вредоносного ПО включает, среди прочего, сбор данных и кражу учетных данных со взломанных устройств, ведение журнала ключей, извлечение кодов Google Authenticator и запись звонков/камер. Последний вариант SpyNote.C даже рекламируется и продается через канал Telegram под названием CypherRAT, так как он может похвастаться некоторыми дополнительными возможностями RAT.
Symantec защищает вас от этой угрозы, определяемой следующим образом:
Mobile-based
- Android.Reputation.1
- Android.Reputation.2
- ppRisk:Generisk
Web-based
- Observed domains/IPs are covered under security categories


Кампания Bluebottle по-прежнему нацелена на финансовый сектор
Symantec недавно опубликовала блог о недавних действиях группы киберпреступников, известной как Bluebottle. Известно, что эта группа специализируется на нападении на финансовые организации. Недавно наблюдаемая кампания продолжает эту тенденцию, жертвы которой проживают во франкоязычных странах Африки. Тактика, методы и процедуры включают в себя использование «живущих за счет земли», инструментов двойного назначения и обычных вредоносных программ, при этом в этой кампании не используется специальное вредоносное ПО.
Подробнее читайте в нашем блоге: Bluebottle: Кампания поражает банки во франкоязычных странах Африки 
Symantec защищает вас от этой угрозы, определяемой следующим образом:
Behavior-based
- SONAR.TCP!gen6
File-based
- Downloader
- Hacktool
- Hacktool.Mimikatz
- Hacktool.Mimikatz!g4
- Hacktool.Rootkit
- Hacktool.SharpHound
- Infostealer
- MSIL.Downloader!gen8
- Packed.NSISPacker!g14
- Trojan Horse
- Trojan.Gen.2
- Trojan.Gen.MBT
- Trojan.Guloader
- WS.Malware.1
- WS.Malware.2
- WS.SecurityRisk.3
- WS.SecurityRisk.4
Machine Learning-based
- Heur.AdvML.B
- Heur.AdvML.C
Web-based
- Observed domains/IPs are covered under security categories