Эксперты по кибербезопасности из компании Outpost 24 обнаружили обновлённый вариант вируса LummaC2 4.0, который при помощи тригонометрических методов отслеживает положение указателя мыши на экране, определяя таким образом присутствие пользователя — это помогает ему оставаться неактивным всё прочее время и затрудняет его изучение в «песочнице».

Источник изображения: Pexels / pixabay.com

«Песочница» позволяет экспертам по кибербезопасности ограничивать среду работы подозрительных приложений, где их действия можно отслеживать в изоляции от уязвимого окружения. Предназначенный для кражи данных LummaC2 4.0 избегает попадания в «песочницу», потому что активизируется только тогда, когда за компьютером работает человек.

Вирус отслеживает позицию курсора мыши по пяти ключевым точкам, что помогает ему срабатывать лишь в том случае, когда разница между его положениями оказывается достаточно большой, чтобы указывать на живого пользователя — свойственные человеку действия вычисляются при помощи тригонометрии. Если же оно не обнаруживается, вредонос запускает цикл заново.

LummaC2 4.0 отличается от предыдущих версий и другими нововведениями, в том числе более эффективными методами обфускации — затруднения анализа кода, и более удобной панелью управления, что важно для вируса, который продаётся разработчиками. Эксперты по кибербезопасности отмечают, что новаторский механизм работы LummaC2 4.0 несколько осложняет его изучение: потребуется эмулятор движения мыши на основе шаблонов, свойственных живому пользователю, или анализ алгоритма отслеживания. Тригонометрические методы анализа — это конечно, остроумное решение, но едва ли они станут решающим фактором для распространения вируса, уверены эксперты.

Google начала юридическую войну против мошенников из Вьетнама, которые, используя шумиху вокруг генеративного ИИ, обманом побуждают пользователей скачивать и устанавливать якобы «неопубликованную версию ИИ-чат-бота Google Bard», скрывающую в себе вредоносное ПО, крадущее данные пользователей.

Источник изображения: Franz26 / Pixabay

В иске, поданном в штате Калифорния (США), Google обвинила неизвестных мошенников, предположительно из Вьетнама, в создании фейковых страниц в социальных сетях, включая Facebook✴, и запуске рекламных кампаний, направленных на распространение вредоносного ПО под видом «неопубликованной версии» генеративного ИИ Bard. Мошенники используют торговые марки Google, в том числе Google AI и Bard, для привлечения ничего не подозревающих пользователей.

Эти действия напоминают криптовалютные аферы, когда мошенники эксплуатируют интерес людей к новейшим технологиям. В данном случае злоумышленники вводят в заблуждение пользователей, утверждая, что Bard — это платное приложение, требующее загрузки, хотя на самом деле оно доступно бесплатно на сайте bard.google.com

Скриншот из документа Google, демонстрирующий один из мошеннических аккаунтов (источник изображения: Google)

Google уже приняла меры, подав более 300 запросов на удаление материалов, связанных с действиями злоумышленников, и стремится предотвратить регистрацию новых мошеннических доменов. Компания также хочет добиться блокировки таких доменов у американских регистраторов.

«Судебные иски являются эффективным инструментом для создания правового прецедента, разрушения инструментов, используемых мошенниками, и повышения степени ответственности для недобросовестных игроков», — написала главный юрисконсульт Google Халима ДеЛейн Прадо (Halimah DeLaine Prado) в блоге компании.

В эпоху бурного развития информационных технологий мошенники неустанно ищут новые методы обмана, активно используя интерес людей к передовым технологиям, таким как ИИ. Иск Google не только служит защите собственных интересов и безопасности пользователей, но и является важным сигналом о необходимости сотрудничества для борьбы с международной киберпреступностью.

Boeing сообщила о кибератаке на своё подразделение по дистрибуции и продаже запчастей. В компании не сообщили, кто стоял за инцидентом, но об этом сообщил сам его предполагаемый виновник — хакерская группировка LockBit, ответственная за распространение одноимённого вируса-вымогателя.

Источник изображения: John McArthur / unsplash.com

«Нам известно о киберинциденте, затронувшем элементы нашего бизнеса по дистрибуции и продаже запчастей. <..> Мы уведомляем наших клиентов и поставщиков», — сообщил ресурсу The Register представитель Boeing. В компании добавили, что происшествие не повлияло на безопасность полётов; сейчас проводится расследование инцидента, а действия специалистов согласуются с властями. На момент написания материала раздел сайта Boeing, связанный с соответствующим подразделением «не работал в связи с техническими проблемами».

Источник изображения: twitter.com/vxunderground

В Boeing виновников кибератаки не назвали, но, похоже, хакеры сделали это сами: ответственность за инцидент взяла на себя группировка LockBit. Эксперты по кибербезопасности VX Underground в минувшие выходные опубликовали скриншот сайта LockBit — группировка включила компанию в список своих жертв и дала ей шесть дней на то, чтобы начать переговоры. В понедельник упоминание Boeing пропало с сайта LockBit, а представители группировки сообщили VX Underground, что переговоры начались. Официального пресс-релиза или уведомления Комиссии по ценным бумагам и биржам США (SEC) от компании пока не последовало.

По оценке Агентства кибербезопасности и защите инфраструктуры США (CISA), группировка LockBit в 2022 году была самым активным оператором вирусов-вымогателей. Это не просто «кучка ботаников в подвале», утверждает VX Underground, — в группировке действует строгая административная иерархия. Хакеры занимаются продвижением собственного бренда: в частности, платят блогерам за татуировки с логотипом LockBit; и не стесняются брать на себя ответственность за киберинциденты, хотя к их заявлениям рекомендуется относиться скептически. В период с начала 2020 года по середину 2023-го группировка «заработала», по некоторым оценкам, более $90 млн, а среди её жертв значатся TSMC и SpaceX.

В интернете начал распространяться компьютерный вирус Ghostpulse, заражающий системы под управлением Windows. Он маскируется под установочные файлы MSIX известных программ. О масштабной кампании сообщили эксперты Elastic Security Labs.

Источник изображения: Pete Linforth / pixabay.com

«MSIX — это формат пакетов приложений для Windows, который разработчики могут применять для упаковки, распространения и установки своих приложений пользователями Windows», — пояснили в Elastic Security Labs. ПО в таком формате устанавливается очень просто, зачастую достаточно лишь двойного щелчка мышью, поэтому MSIX является подходящим инструментом для киберпреступников. Но для реализации своих планов хакерам приходится покупать или красть сертификаты подписи кода, что свидетельствует о вероятном наличии у них серьёзных ресурсов.

Источник изображения: elastic.co

При помощи взломанных сайтов, методов поисковой оптимизации (SEO) и онлайн-рекламы злоумышленники пытаются заставить людей скачивать вредоносные пакеты MSIX и запускать их установку. Пакеты маскируются под установочные файлы браузеров Chrome, Brave и Edge, платформы для изучения английского языка Grammarly, клиента службы видеоконференций Cisco Webex и других программ.

Процесс установки выглядит штатным: на экран не выводится никаких всплывающих окон или предупреждений, но в фоне выполняется скрипт PowerShell, посредством которого на компьютер загружается Ghostpulse, далее происходят его расшифровка и развёртывание. Компания Elastic Security Labs подготовила свой инструмент обнаружения вируса. Мотивы злоумышленников пока не уточняются, но известно, что сопутствующие полезные нагрузки облегчают удалённый доступ, возможность выполнения произвольного кода и кражу данных.

В рекламной сети Google Ads эксперты компании Malwarebytes, ответственной за разработку одноимённого антивируса, сообщили о новом типе атаки, направленной на привлечение доверчивых пользователей Сети на поддельные ресурсы, адреса которых максимально схожи с адресами сайтов добросовестных разработчиков ПО.

Источник изображения: Malwarebytes

Реклама в поисковых системах имеет соответствующую пометку, но внешне практически не отличается от органической выдачи — в результате невнимательный пользователь рискует перейти по ссылке в объявлении и попасть на сайт, созданный мошенниками или распространителями вирусов. Злоумышленники не просто создают копии сайтов добросовестных разработчиков ПО, но и подделывают их URL-адреса: компания Malwarebytes сообщила, что они размещают объявления в сети Google Ads, заменяя некоторые символы на очень похожие.

Для этого они используют Punycode — стандартный метод преобразования символов Unicode в ACE-последовательности, которые используются в веб-адресах. Эта тактика называется «атакой омографов» — в адресах используются символы, которые не входят в базовый латинский алфавит: буквы кириллицы, греческого и арабского языков, даже китайские иероглифы. Ярким тому примером стала поддельная реклама менеджера паролей KeePass.

Ранее злоумышленники использовали поддомены или альтернативные доменные зоны, чтобы обманом заставить пользователей переходить по этим ссылкам, но применение Punycode может обмануть даже внимательного и технически продвинутого пользователя. В качестве одного из примеров приводится символ «ḳ» (U+1E33), который отличается от обычной латинской k маленькой точкой снизу — её легко пропустить или принять за пятнышко на мониторе.

Тактика «атаки омографов» известна достаточно давно, но она впервые замечена в рекламной сети Google. К сожалению, простого решения проблемы нет — только внимательнее относиться к поисковой рекламе или вводить известные адреса самостоятельно, избегая опечаток, которые, кстати, тоже являются известным оружием в руках мошенников.

В рамках совместной операции правоохранительные органы нескольких стран арестовали разработчика вируса-вымогателя Ragnar Locker и отключили сайты в даркнете, принадлежащие группировке, которая была связана с этим вредоносным ПО. С 2020 года, по версии следствия, группировка осуществила кибератаки на 168 международных компаний по всему миру.

Источник изображения: Robinraj Premchand / pixabay.com

Разработчика вируса арестовали 16 октября в Париже, а в его доме в Чехии провели обыск. В последующие дни были допрошены пятеро подозреваемых в Испании и Латвии. В конце недели разработчик предстал перед судом в Париже. Обыск был проведён в доме ещё одного предполагаемого члена группировки в Киеве — у него конфисковали ноутбуки, мобильные телефоны и другие электронные устройства.

Дело по запросу французских властей Евроюст возбудил в мае 2021 года. Ведомство провело пять координационных встреч для содействия участвующим в расследовании органам. Это уже третья операция против данной банды вымогателей — на сей раз в ней участвовали правоохранительные органы Франции, Чехии, Германии, Италии, Латвии, Нидерландов, Испании, Швеции, Японии, Канады и США.

В сентябре 2021 года на Украине были арестованы двое подозреваемых благодаря скоординированным усилиям властей Канады, США и Украины. В октябре 2022 года в Канаде был задержан ещё один подозреваемый — в операции участвовали сотрудники правоохранительных органов Канады, США и Франции. В ходе последней операции были изъяты криптоактивы подозреваемых и закрыты сайты в даркнете.

В отличие от многих современных группировок, работающих по модели Ransomware-as-a-Service, группировка Ragnar Locker действовала преимущественно собственными силами, привлекая внешних тестировщиков для взлома корпоративных сетей. Среди жертв оказались производитель комплектующих Adata, авиационный гигант Dassault Falcon и японский разработчик игр Capcom. Кроме того, с апреля 2020 года вирус-вымогатель обозначился в сетях как минимум 52 организаций в различных сетях критической инфраструктуры США, сообщило ФБР.

Специалисты Secureworks, американской компании, специализирующейся на кибербезопасности, обнаружили новую функцию вредоносного ПО Smoke Loader. Выяснилось, что оно способно определять местоположение заражённого ПК с помощью триангуляции Wi-Fi. Этот метод редко встречается среди хакерских инструментов, но его потенциальное применение может быть направлено на запугивание жертвы.

Источник изображения: geralt / Pixabay

Smoke Loader — это вредоносное ПО, известное специалистам по безопасности уже многие годы. Оно было создано, чтобы загружать и устанавливать на ПК дополнительные вредоносные программы, что в свою очередь позволяет злоумышленникам контролировать заражённую систему. Недавно исследователи из Secureworks обнаружили новую функцию этого вредоноса, которую они назвали Whiffy Recon. Она каждую минуту определяет местоположение заражённого ПК, анализируя сигналы ближайших точек доступа Wi-Fi. Для этого Whiffy Recon использует Google Maps Geolocation API. Этот сервис был создан для устройств, не имеющих встроенного GPS, и он определяет местоположение устройства на основе данных о близлежащих Wi-Fi-точках доступа и сотовых вышках.

Зачем киберпреступникам знать местоположение жертвы? Специалисты Secureworks предполагают, что данная информация может быть использована для запугивания: например, чтобы угрожать пользователю или давить на него, зная, где он находится.

Как отметил Дон Смит (Don Smith), вице-президент Secureworks, такая возможность вредоносного ПО редко используется киберпреступниками. В отдельности эта функция не позволяет быстро получить прибыль. Однако реальность такова, что она может быть использована для реализации любых преступных мотивов.

Для минимизации рисков, связанных с вредоносным ПО, рекомендуется следующее:

• всегда обновляйте свою ОС и ПО, так как новые версии часто содержат патчи для уязвимостей, которые могут быть эксплуатированы такими программами, как Smoke Loader;
• используйте надёжное антивирусное программное обеспечение с актуальными базами данных для обнаружения и блокировки известных киберугроз;
• будьте особенно осторожны при открытии вложений или переходе по ссылкам из электронных писем, особенно если отправитель вам неизвестен;
• наконец, скачивайте программы и приложения только из официальных и проверенных источников, избегая сомнительных сайтов или неофициальных платформ.

Исследование компании Zimperium показало, что новый вид вредоносного ПО для Android умело маскируется от антивирусных программ, используя необычный метод антианализа для файлов Android Package (APK), что делает его практически невидимым для большинства антивирусов.

Источник изображения: neotam / Pixabay

Zimperium, специализирующаяся на вопросах кибербезопасности, обнаружила, что вредоносные файлы противостоят декомпиляции (процессу, который антивирусы используют для выявления подозрительного кода) с помощью нестандартных или сильно модифицированных алгоритмов сжатия. Так как этот метод пока неизвестен антивирусным программам, вредоносное ПО может маскироваться под обычное приложение, полностью обходя защиту смартфона.

Отчёт Zimperium, опубликованный на этой неделе, указывает на 3 300 APK-файлов, использующих подобный способ сжатия. Из них 71 APK-файл успешно запускается и работает на Android 9 и старше. Zimperium не нашла доказательств того, что приложения, связанные с обнаруженными вредоносными APK-файлами, когда-либо размещались в Google Play Маркет.

Это указывает на то, что их распространение происходило иными путями, например, через сторонние магазины приложений или путём ручной установки пользователем. Хотя это тревожная новость для владельцев Android-смартфонов, тем не менее, основному риску подвергаются те пользователи, кто устанавливает приложения не из официальных магазинов.

В июле российские компании начали в массовом порядке получать электронные письма с вложениями, заражёнными вирусом White Snake — он предназначен для кражи учётных данных пользователей, конфиденциальной информации, а также получения доступа к микрофонам и веб-камерам на компьютерах, пишет «Коммерсантъ».

Источник изображения: Robinraj Premchand / pixabay.com

Фишинговые письма на адреса российских компаний рассылаются от имени Роскомнадзора и содержат два файла вложений. В одном из файлов — уведомление, в котором утверждается, что на основе «выборочного мониторинга активности» якобы было установлено, что сотрудники компании посещают экстремистские ресурсы и сайты, распространяющие информацию от имени иноагентов. Соответствующие материалы, говорится в уведомлении, приложены во втором файле — их следует изучить и дать по ним пояснение, чтобы избежать административного и уголовного преследования. На самом деле во втором файле содержится ссылка на вредоносное ПО.

Отличительной особенностью кампании является использование «коммерческого» вируса — он продаётся на теневых форумах за $1,9 тыс. единоразово или по подписке за $140 в месяц. Организаторы атаки всячески пытаются заставить потенциальных жертв запустить вредонос, угрожая многомиллионными штрафами и делая пометку «проверено антивирусом» в конце письма, добавили в «Лаборатории Касперского».

Вирус White Snake целенаправленно собирает регистрационные данные через популярные браузеры, такие как Chrome и Firefox, программы вроде Outlook, Discord, Telegram и криптокошельки, рассказали в Positive Technologies. При этом атака на одного сотрудника и кража у него учётных данных позволяет получать доступ к устройствам других. Учитывая, что в большинстве компаний до сих пор не используют двухфакторной авторизации, злоумышленники могут получить постоянную точку присутствия на предприятии, а ущерб может составить от «нескольких миллионов до сотен миллионов рублей», уверены эксперты.