ЦЕНТР АНТИВІРУСНОГО ЗАХИСТУ ІНФОРМАЦІЇ ДЕРЖСПЕЦЗВ'ЯЗКУ УКРАЇНИ

Компанія Check Point, що займається програмним забезпеченням, виявила фішингову аферу в Google Документах, яка обходить звичайні заходи захисту і потрапляє прямо в поштові скриньки жертв.

Дослідники вважають, що це новий різновид Business Email Compromise (BEC) або атака з використанням компрометації ділового листування. Тільки тепер вона використовує офіційні сайти для отримання доступу до чужої інформації. Працює нова афера просто: зловмисник створює документ та розміщує в ньому будь-який доступний йому вірус, включаючи фішингові посилання та URL-адреси, які перенаправляють на шкідливе програмне забезпечення. Потім ділиться файлом через Google Диск, а жертва (з доступної хакеру бази даних з іменами акаунтів) отримує повідомлення з шкідливим посиланням від імені Google. Оскільки електронний лист надходить через справжню адресу та домен Google, а не той, що належить шахраю, його практично неможливо ідентифікувати як атаку, зазначають дослідники. Крім того, антивірусні поштові сканери також з більшою ймовірністю довірятимуть електронним листам від офіційних сервісів (в даному випадку Google). У корпорації поки що ніяк не відреагували на цю вразливість. Щоб не стати жертвою подібної атаки фішингу, фахівці рекомендують не переходити за посиланнями всередині таких листів від Google і використовувати програми для сканування файлів.

2023-07-26

Ботнет Emotet повертається, поширюючиcь в країнах Європи через спам

Компанія ESET — лідер у галузі інформаційної безпеки — попереджає про зростання активності ботнета Emotet, який поширюється через спам та може викрадати інформацію з пристроїв жертв. Зокрема зловмисники можуть збирати інформацію про банківські картки, що зберігається в браузері. При цьому кіберзлочинців цікавлять не лише пристрої компаній, а й звичайних користувачів. Більшість атак протягом 2022-2023 років були спрямовані на деякі країни Європи, а також Японію. «Emotet поширюється через спам. Загроза може викрадати інформацію із інфікованих комп’ютерів і поширювати сторонні шкідливі програми. Кіберзлочинці не дуже вибагливі під час вибору своїх цілей, встановлюючи шкідливе програмне забезпечення у системи, які належать окремим особам, компаніям і організаціям», — розповідає Якуб Калоч, дослідник ESET. Колись одна з найпоширеніших загроз у всьому світі знову активізувалася. ESET. Виявлення Emotet за даними телеметрії ESET (січень 2022 – червень 2023 року) Варто зазначити, що Emotet — це сімейство шкідливих програм, яке активне з 2014 року і управляється групою кіберзлочинців, відомою як Mealybug або TA542. Спочатку загроза мала функціонал банківського трояна, а потім перетворилася на ботнет, який став однією з найпоширеніших загроз у всьому світі. У січні 2021 року Emotet був знешкоджений в результаті спільних зусиль восьми країн, координованих Євроюстом і Європолом. Ботнет повернувся в листопаді 2021 року та запустив кілька хвиль спам-повідомлень. З кінця 2021 до середини 2022 року Emotet поширювався здебільшого через шкідливі документи Microsoft Word і Microsoft Excel із вбудованими макросами VBA. Вимкнення у 2022 році Microsoft макросів VBA в документах, отриманих через Інтернет, змінило правила гри для багатьох сімейств шкідливих програм, які використовували фішингові електронні листи зі шкідливими документами як метод розповсюдження. «До кінця 2022 року зловмисники намагалися знайти новий вектор атаки, який був би таким же ефективним, як макроси VBA. У 2023 році вони поширювали шкідливий спам, експериментуючи з різними техніками проникнення та соціальної інженерії», — пояснює дослідник ESET. Пізніше Emotet використовував вбудовану приманку в MS OneNote, і навіть попередження, що ця дія може призвести до завантаження шкідливого вмісту, як правило, жертв не зупиняло. Крім цього, після його повторної появи у ботнет було додано кілька нових модулів та функцій, щоб запобігати відстеженню та ускладнити виявлення. Поширюється Emotet через спам-повідомлення, і користувачі часто довіряють цим електронним листам. І хоча до знешкодження загроза викрадала повідомлення та контактну інформацію з Outlook, то після відновлення діяльності ботнет зосередився на безкоштовній альтернативній програмі для обміну електронною поштою – Thunderbird. Крім цього, загроза почала використовувати модуль, який викрадає інформацію про банківські картки, що зберігається в браузері Google Chrome.

2023-07-07

Від безпечного функціоналу до шпигунства: шкідливий додаток виявлено в Google Play

Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення шкідливої програми для Android з фукціоналом запису аудіо та викрадення файлів. Додаток iRecorder - Screen Recorder був доступний у Google Play як легітимний у вересні 2021 року, а шкідливий функціонал, ймовірно, доданий у серпні 2022 року. За час свого існування програма була встановлена на понад 50 000 пристроїв. Шкідливий функціонал, який додано до безпечної версії iRecorder, був створений на базі відкритого коду трояна віддаленого доступу AhMyth та отримав назву AhRat. Ця шкідлива програма здатна записувати аудіо за допомогою мікрофона пристрою та викрадати файли, що може бути частиною шпигунської атаки. Шкідливе ПЗ для Android на базі відкритого коду, трояна віддаленого доступу AhMyth. ESET. Рис.1. Додаток iRecorder зі шкідливим функціоналом. Крім магазину Google Play, дослідники ESET не виявили AhRat більш ніде. Однак це не перший випадок, коли шкідливе програмне забезпечення для Android на основі AhMyth доступне в офіційному магазині. Раніше ESET виявила такий шкідливий додаток у 2019 році. Тоді шпигунська програма, створена на основі AhMyth, двічі обійшла процес перевірки Google як додаток для потокового радіо. Однак програму iRecorder також можна знайти на альтернативних та неофіційних магазинах для Android, а розробник також пропонує інші додатки в Google Play, але без шкідливого коду. «Дослідження AhRat є прикладом того, як спочатку легітимна програма може перетворитися на шкідливу, шпигуючи за користувачами та порушуючи їх конфіденційність. Хоча можливо, розробник програми хотів створити базу користувачів, перш ніж інфікувати пристрої Android через оновлення. Однак наразі будь-які підтвердження цьому відсутні», – пояснює Лукаш Штефанко, дослідник ESET. Крім легітимної функції запису екрана, шкідливий iRecorder може записувати аудіо зовні з мікрофона пристрою та завантажувати його на командний сервер зловмисників. Загроза може викрадати з пристрою файли з певними розширеннями, зокрема збережені вебсторінки, зображення, аудіо, відео, а також документи та архіви. Користувачі Android, які встановили попередню версію iRecorder (до версії 1.3.8), у якій були відсутні будь-які шкідливі функції, могли несвідомо інфікувати свої пристрої AhRat у разі оновлення програми вручну або автоматично, навіть без надання додаткових дозволів. «Заходи для запобігання таким зловмисним діям вже реалізовано в Android версії 11 та новіших версіях у вигляді сплячого режиму програми. Ця функція фактично переводить додатки, які були неактивні протягом кількох місяців, у стан глибокого сну, таким чином скидаючи їхні дозволи на час виконання та запобігаючи функціонуванню шкідливим програмам, — робить висновок Лукаш Штефанко. — Цей небезпечний додаток було видалено з Google Play після сповіщення від компанії ESET. Подібні випадки підтверджують необхідність забезпечення захисту від потенційних загроз, зокрема за допомогою ESET Mobile Security».

2023-05-23

Доброго дня!

Інформуємо Вас, що з 27.02.2023 буде запущено новий сайт ЦАЗІ в тестовому режимі. Сайт буде доступний за адресою https://new.cazi.gov.ua.

2023-02-27