Глобальный центр исследований и анализа угроз «Лаборатории Касперского» (Global Research and Analysis Team — GReAT) обнаружил три кроссплатформенные угрозы, актуальные к концу 2023 года. Одна из них, новый стилер AMOS, атакует macOS-устройства пользователей в том числе из России.
Стилер AMOS. Первую версию стилера AMOS, нацеленного на операционную систему macOS, заметили в апреле 2023 года. Она была написана на языке Go и продавалась в Telegram по модели «Вредоносное ПО как услуга» за тысячу долларов США в месяц. Сейчас распространяется более новая версия, которая написана на языке С. Вектор заражения — вредоносная реклама. Злоумышленники создают копии сайтов с популярным программным обеспечением и заманивают туда пользователей, обманом заставляя их загрузить вредоносный DMG-файл. При его открытии появляются инструкции по установке якобы легитимного ПО, под видом которого на устройство проникает зловред. Он собирает следующую информацию: базу данных приложения «Заметки»; документы с рабочего стола и из папки «Документы»; файлы cookie, логины, пароли и другую информацию из браузеров, в частности Chrome и Edge; данные криптовалютных кошельков (например, Binance и Exodus) и мессенджеров (например, Telegram и Discord). Собранные данные передаются на сервер управления злоумышленников, а каждая жертва получает уникальный UUID-идентификатор. Эксперты обнаружили попытки заражений AMOS по всему миру, однако большинство случаев приходится на Россию и Бразилию.
Вымогатель Akira. Ещё одна распространённая сегодня угроза — шифровальщик Akira, направленный и на Windows, и на Linux. Зловред заразил устройства более 60 организаций по всему миру. Своими целями атакующие выбирают крупные организации в различных отраслях, в том числе в розничной торговле и образовании. По ряду признаков у Akira есть сходство с другим известным вымогателем — Conti: например, идентичная папка со списком исключений, но при этом используется панель сервера управления (C2) с уникальным минималистичным ретро-дизайном.
Кампания FakeSG по распространению троянца удалённого доступа. Среди последних угроз, обнаруженных экспертами GReAT, — кампания FakeSG. Злоумышленники распространяют троянец удалённого доступа NetSupport RAT. Для этого они заражают легитимные сайты, чтобы те показывали фейковое уведомление. Если нажать на уведомление, на устройство загружается вредоносный файл, который показывает поддельное уведомление о необходимости обновить браузер, а сам тем временем устанавливает соединение с сервером управления злоумышленников. Чтобы оставаться незамеченными как можно дольше, атакующие постоянно меняют домен, с которого загружается вредоносное ПО, однако путь остаётся прежним.
«Чтобы успешно противостоять кибератакам, поставщикам в сфере кибербезопасности, компаниям и обычным пользователям нужно постоянно адаптироваться к меняющемуся ландшафту угроз. Злоумышленники используют нестандартные методы, чтобы атаковать разные операционные системы с помощью новых видов вредоносного ПО. Чтобы эффективно бороться с киберпреступностью, требуется объединение усилий, вот почему мы делимся с мировым сообществом по кибербезопасности опытом, знаниями и техническими открытиями», — прокомментировал Игорь Кузнецов, руководитель Глобального центра исследований и анализа угроз «Лаборатории Касперского».
Чтобы защититься от подобных киберугроз, эксперты «Лаборатории Касперского» рекомендуют:
- создавать резервные копии данных и регулярно проверять, что в случае необходимости можно быстро получить к ним доступ;
- установить защитное ПО от программ-вымогателей на все устройства, например бесплатное решение Kaspersky Anti-Ransomware Tool for Business. Оно помогает защитить компьютеры и серверы от программ-вымогателей и других типов вредоносных программ, а также предотвращает проникновение эксплойтов. Решение совместимо с другим защитным ПО;
- использовать надежную защиту конечных точек, а также инструменты для обнаружения и реагирования класса EDR. Например, линейку продуктов Kaspersky Smart для среднего бизнеса (от 250 до 1000 узлов) или Kaspersky Symphony XDR для крупных организаций с развитой службой информационной безопасности;
- проводить тренинги для специалистов по реагированию на киберинциденты, чтобы развивать их компетенции, а также повышать уровень цифровой грамотности сотрудников неспециализированных подразделений, поскольку целевые атаки часто начинаются с фишинга или других схем с использованием социальной инженерии.