Аналитики Центра Кибербезопасности компании F.A.C.C.T. обнаружили масштабную кампанию распространения ВПО (вредоносного программного обеспечения) под видом взломанных программ.
С помощью системы графового анализа были обнаружены более 1300 уникальных доменов, участвующих в данной компании. Так пользователи, пытаясь установить популярный софт, который перестал работать в России, загружали на свои компьютеры шпионское ПО, стилеры, криптомайнеры.
Как распространялись ВПО и как минимизировать подобные риски, расскажем в этой статье.
Не попадись в сети хакеров
Ресурсы-приманки с вредоносными ссылками были созданы на основе нескольких типовых шаблонов. При анализе активных на момент исследования ресурсов было установлено, что они реализованы с помощью WordPress с использованием бесплатных тем и лишь на одном из таких сайтов был блог, созданный с помощью сервиса Blogger.
Чаще всего на сайте встречаются авторы с ником “admin”. В начале веб-страницы содержится краткое описание предлагаемого ПО, например различных пакетов Microsoft Office, решений компании Adobe, AutoCad, Nanocad, программ активации офисных приложений и операционных систем KMS. Также присутствует навигация по сайту с поиском, последними публикациями, выбором категорий и ссылками на социальные сети, такие как Facebook (принадлежит Meta Platforms, которая считается экстремистской организацией, и ее деятельность запрещена в России), Twitter, LinkedIn, Pinterest.
В статьях на этих ресурсах часто указывалось, что программа является абсолютно безопасной. Завершается все размещением ссылок, с которых после цепочки перенаправлений скачивается вредоносное ПО.
Пример ресурса, созданного с помощью WordPress:
Реклама все решает
Для масштабирования своей кампании злоумышленники создали целую сеть поддельных аккаунтов в различных социальных сетях, массово размещали сообщения и посты рекламного характера на площадках с видеоконтентом и образовательных порталах. Так они пытались замотивировать пользователей воспользоваться преимуществом взломанного софта за счет отсутствия трат на покупку.
Для продвижения были задействованы различные видеохостинги образовательные платформы и социальные сети, например только в LinkedIn было обнаружено более 300 уникальных аккаунтов, рекламирующих сайты со взломанным ПО.
В ходе анализа статей в LinkedIn было выявлено множество профилей, в которых домашним регионом были указаны страны Азии, в первую очередь Пакистан, Индия, далее Бангладеш, а также Бразилия и Египет. Примечательно, что чаще всего профили были зарегистрированы именно в Пакистане.
Весь материал публиковался шаблонно, в одном стиле, что говорит о том, что злоумышленники не уделяли особого внимания на оформление, концентрируясь исключительно на охвате аудитории.
В некоторых случаях злоумышленники, оставляя «рекламные» посты и комментарии на различных площадках, не использовали отдельные вредоносные ресурсы в цепочке, а сразу ввели по ссылке на загрузку вредоносного ПО, размещенного на файлообменниках. Общая информация о софте представлялась в таком информационном посте в виде обычного текста и ссылки на загрузку.
Например, были обнаружены случаи размещения информации в материалах для урока на одной из популярных образовательных платформ или под описанием к видео на популярном отечественном видеохостинге:
«С уходом иностранных вендоров и исчезновением из легального поля некоторых популярных лицензионных программ российские пользователи и администраторы стали чаще прибегать к поиску обходных путей, в том числе, использования "кряков" и других нелегальных способов активации. Наблюдая подобный спрос, злоумышленники активно создают сайты, на которых пользователи вместо программы скачивают вредоносное ПО, и активно продвигают их на популярных ресурсах» — комментирует Ярослав Каргалев, руководитель Центра кибербезопасности компании F.A.С.С.T.
Какое ВПО загружали жертвы
ПО загружается с файлообменников. Самым популярным является MEGA, использование которого было замечено еще в 2018 году. В ходе исследования было установлено, что с 2023 года начал набирать у злоумышленников популярность файлообменник Dropbox. В редких случаях использовался MediaFire.
В большинстве случаев жертвы загружали файлы, содержащие вредоносное ПО семейства Amadey. Вредоносные экземпляры этого семейства способны собирать данные со скомпрометированного компьютера и отправлять их злоумышленникам, по команде загружать дополнительные модули с другим вредоносным функционалом. В качестве дополнительного модуля подгружался криптомайнер Coinminer.
Другая часть вредоносных экземпляров относится к стилерам, среди которых можно выделить RedLine Stealer, Vidar, CryptBot и другие с дополнительными функциями банковского трояна.
Статистика семейств вредоносных программ:
Как минимизировать риски
- Проводить регулярные обучения сотрудников организации для повышения знаний об актуальных угрозах в области информационной безопасности.
- Определить список разрешенных для использования утилит в инфраструктуре (запрещено все, что не разрешено).
- Установить запрет рядовым пользователям самостоятельно устанавливать утилиты на рабочее устройство.
- Активировать многофакторную аутентификацию (MFA), использовать ее как часть обязательной корпоративной IT-политики.
- Использовать для защиты инфраструктуры комплексный подход, защищающий от различных векторов атак. Такую защиту могут обеспечить решения класса XDR, например, F.A.C.C.T. Managed XDR — решение, предназначенное для выявления сложных киберугроз на ранней стадии, а также осуществления превентивных мер защиты.
Подробнее о компании распространения ВПО читайте в нашем блоге по ссылке.
Оставайтесь в курсе актуальных новостей в сфере информационной безопасности и подписывайтесь на канал “Кибербез по фактам”, а также на остросюжетный телеграм-канал.