Обнаружен софт-шпион

F.A.C.C.T. обнаружили более тысячи ресурсов, заражавших пользователей шпионами и стилерами под видом установки взломанного софта.

Специалисты F.A.C.C.T., российской компании, занимающейся разработкой технологий для борьбы с киберпреступностью, обнаружили сеть из более чем 1300 доменов, распространяющих вредоносные программы под видом популярных утилит, офисных приложений и ключей активации. Это позволяло пользователям загружать на свои компьютеры шпионское ПО, стилеры и криптомайнеры при попытке установить недоступный в России софт.

С помощью системы F.A.C.C.T. Managed XDR была обнаружена и локализована череда инцидентов в российских компаниях, связанная с попытками загрузить вредоносный файл на рабочий компьютер сотрудника.

Используя систему графового анализа Graph Threat Intelligence F.A.C.C.T., аналитики обнаружили сеть из 1316 уникальных доменов, связанных с ресурсами для нелегальной установки ПО: антивирусов, программ для работы с фото и видео, офисных приложений и других.
Для продвижения вредоносных ресурсов использовались различные сервисы, включая заблокированный в России LinkedIn, где было обнаружено более 300 аккаунтов, рекламирующих взломанное ПО. Пик активности аккаунтов пришёлся на 2022 и 2023 годы, а в первом квартале 2024 года было найдено почти столько же новых постов, сколько за весь 2023 год.

Среди российских ресурсов информация о преимуществах программ и ссылки на скачивание взломанных версий размещались на популярных социальных сетях, видеохостингах и образовательных платформах.

На момент исследования кампании посетителям предоставлялись файлы с вредоносным ПО семейства Amadey, которое собирает данные с компьютера и загружает другие вредоносные программы. В качестве дополнительного модуля использовался криптомайнер Coinminer. Другая часть вредоносных экземпляров относится к стилерам, таким как RedLine Stealer, Vidar и CryptBot.

Использование стилеров создаёт проблемы для корпоративной кибербезопасности, так как с их помощью похищаются рабочие учётные записи сотрудников, используемые на личных устройствах, что может привести к утечке конфиденциальной информации и развитию более сложных атак на корпоративную инфраструктуру.

Для защиты от подобных угроз эксперты F.A.C.C.T. рекомендуют:

  • Информировать, проводить обучение сотрудников для повышения знаний об угрозах в области информационной безопасности.
  • Установить запрет рядовым пользователям самостоятельно устанавливать утилиты на рабочее устройство.
  • Активировать многофакторную аутентификацию.
  • Использовать для защиты инфраструктуры комплексный подход, защищающий от различных векторов атак. Такую защиту могут обеспечить решения класса XDR.
  • Проводить мониторинг фактов компрометации учетных записей корпоративных пользователей, их публикации или на продажи на теневых площадках.

Для всех пользователей самые важные правила: не стоит переходить по сомнительным ссылкам и необходимо убедиться в том, что ПО загружается и обновляется из доверенных источников.

https://www.facct.ru