«Лаборатория Касперского». Черви, стилеры, майнеры: какие новые виды таких зловредов появились недавно
Эти угрозы атакуют пользователей по всему миру
Даже давно известные типы вредоносных программ, такие как черви, стилеры и майнеры, по-прежнему могут представлять опасность для современных устройств. «Лаборатория Касперского» рассказывает о новых образцах таких угроз.
Черви. Это тип вредоносных программ, которые способны воспроизводить себя на других устройствах. В июне 2022 года был замечен новый зловред такого типа — RapperBot. Это червь на базе ботнета Mirai. Он заражает IoT-устройства, чтобы в дальнейшем запускать DDoS-атаки на цели, использующие протоколы, отличные от HTTP. Сначала он применялся для атак на сервисы, использующие протокол Secure Shell (SSH). Он считается безопасным способом передачи данных, поскольку шифрует их — в отличие от Telnet, который передаёт данные в открытом виде. Telnet-сервисы на тот момент оставались вне зоны интереса злоумышленников. Однако из последней версии была удалена функциональность, связанная с SSH, и теперь RapperBot атакует только Telnet-сервисы — причём с ощутимым успехом. В четвёртом квартале 2022 года были зафиксированы попытки заразить 112 тысяч пользователей с более чем 2 тысяч уникальных IP-адресов.
От других червей RapperBot отличает «интеллектуальный» способ перебора данных для авторизации. Он не просто подставляет разные данные, а анализирует, какую информацию запрашивает устройство при попытке подключения, чтобы понять, что это за устройство, и на основе этого подбирает подходящие учётные данные.
Майнеры. Сравнительно недавно, в 2021 году, появилось семейство CUEMiner. Это вредоносная программа с открытым исходным кодом. Самая новая версия зловреда была обнаружена в октябре 2022 года. Она включает в себя собственно майнер и инструмент мониторинга системы. Если этот инструмент не обнаруживает процессов, потребляющих много системных ресурсов (таких как игры), начинает работать майнер. Если запускается игра или другой ресурсоёмкий процесс, майнер прекращает работу и возобновляет только после остановки процесса. Это позволяет ему дольше оставаться незамеченным. CUEMiner распространяется под видом легитимного, а на самом деле взломанного ПО, в которое внедрён троянец. Это происходит через загрузку либо через BitTorrent, либо из хранилища OneDrive.
Внедрение вредоносного ПО в программы с открытым исходным кодом — популярный метод среди злоумышленников-любителей. С его помощью они проводят массовые кампании. Жертвами CUEMiner в настоящее время становятся пользователи по всему миру.
Стилеры, или программы для кражи информации. Ещё один зловред, первые образцы которого эксперты «Лаборатории Касперского» обнаружили недавно, в начале 2023 года, — стилер Rhadamanthys. Он распространяется с помощью сервиса Google Ads. Rhadamanthys имеет много сходств с майнером Hidden Bee, нацеленным непосредственно на добычу криптовалюты. В обоих образцах используются изображения для маскировки полезной нагрузки и похожие шелл-коды для инициализации, а также виртуальные файловые системы с хранением данных в оперативной памяти и язык Lua для загрузки плагинов и модулей.
«Вредоносные программы с открытым исходным кодом, повторное использование кода и обновление уже известных зловредов — всё это методы, которые широко используются злоумышленниками. Теперь им не нужно обладать большим опытом, чтобы проводить масштабные кампании и атаковать жертв по всему миру. Также набирает обороты такой метод, как malvertising — когда злоумышленники демонстрируют рекламу легитимных приложений, но ссылки ведут на фишинговые сайты. Чтобы защитить бизнес от подобных атак, важно быть в курсе того, что происходит в сфере кибербезопасности, и использовать новейшие средства защиты», — комментирует Дмитрий Галов, эксперт по кибербезопасности «Лаборатории Касперского».
Чтобы защитить компанию от кибератак, специалисты «Лаборатории Касперского» рекомендуют:
-регулярно обновлять программное обеспечение на всех используемых устройствах, чтобы предотвратить эксплуатацию уязвимостей;
-ввести политику создания надёжных паролей к корпоративным сервисам и их регулярной смены и следить за её соблюдением;
-установить мультифакторную аутентификацию для доступа к удалённым сервисам;
-внедрить надёжное решение, такое как Kaspersky Endpoint Security для бизнеса, в котором есть модуль поведенческого детектирования и контроля аномалий для эффективной защиты от известных и неизвестных угроз;
-внедрить EDR-решение и сервис, который умеет распознавать и останавливать атаки на ранней стадии, до того как злоумышленники нанесут существенный урон, такой как Kaspersky Managed Detection and Response.
Материал подготовлен
АО "Лаборатория Касперского"
Ваши контактные данные не публикуются на сайте.