«Касперский зертханасы» қаржылық зияндардың жаңа нұсқалары туралы айтты

«Касперский зертханасының» сарапшылары жаңа зиянкесті құралдарды талдады.

Arkei стилерінің ізашары болған Lumma зиянкесі бірінші рет 2018 жылдың мамырында байқалды. Зиянкес .docx файлдарды pdf-ке түрлендіруге арналған жалған веб-сайт арқылы таралады.  Жүктелген файлдар қос кеңейтіммен қайтарылады — .pdf.exe және оларды ашуға тырысқанда, компьютерге зиянкес орнатылады. Стилер кэштелген файлдарды, конфигурациялық файлдарды және криптовалюта әмияндарының жазбаларын ұрлай алады. Ол браузер плагині ретінде жұмыс істей алады, сонымен қатар Binance қосымшасымен үйлесімді. Lumma-да стилердің алдыңғы нұсқаларында болмаған мүмкіндіктер -жүйелік процестердің тізімдерін алу мүмкіндігі, шифрлаудың жетілдірілген әдістері және командалық сервер жіберетін динамикалық конфигурация файлдарын пайдалану бар.

Заңды қосымшалар ретінде Перудан келген пайдаланушыларға шабуыл жасайтын Zanubis банктік трояны 2022 жылдан бері белгілі. Ол Accessibility Services (арнайы мүмкіндіктер қызметі) қызметіне кіруге рұқсат береді. Ол алдымен Android-те қаржылық және криптовалюта қызметтері ретінде жасырылды, ал 2023 жылдың сәуірінде Перудегі Ұлттық кеден және салық әкімшілігінің (SUNAT) ресми қосымшасы ретінде еліктеу пайда болды. Кодты шатастыру (обфускация) үшін Zanubis Obfuscapk — Android үшін танымал қолданбалы файл обфускаторын пайдаланады. Троян қолданбаларда веб-беттерді ашуға жауапты WebView жүйелік құрамдауыш арқылы нақты SUNAT сайтын жүктейді.

Сарапшылар анықтағандай, троян командалық сервермен байланысу үшін WebSocket хаттамасы мен Socket.IO кітапхананы пайдаланады. Бұл оған бейімделуге және проблемалар туындаған жағдайда да байланыста болуға мүмкіндік береді. Көптеген заманауи зиянды бағдарламалар сияқты, Zanubis -те шабуыл жасайтын қосымшалардың тіркелген тізімі жоқ: зиянкестер бұл тізімді әр нақты құрылғыға реттей алады. Сонымен қатар, зиянкес құрылғыны толық басқаруға мүмкіндік беретін екінші қосылымды жасай алады, тіпті оны Android үшін жаңарту ретінде толығымен бұғаттай алады.

«Касперский зертханасының» сарапшылары сонымен қатар ASMCrypt — астыртын форумдарда сатылатын таяуда жаңадан табылған криптор/жүктеушіні талдады. Мұндай типтегі құралдар жүктеу процесін немесе басқа зиянды БЖ жасыру үшін қолданылады. ASMCrypt-бұл TOR желісінде орындалатын қызмет үшін «қасбет» ретінде пайдаланылатын DoubleFinger жүктеушісінің жетілдірілген нұсқасы болып табылады. Сатып алушылар жұқтыру әдістерін, шабуыл мақсаттарын, өздігінен іске қосу параметрлерін, сондай-ақ әртүрлі ЗБЖ мүмкіндіктерін реттей алады. Зиянды функционал хостинг сайтына жүктелген png. ажыратымдылықпен кескіннің ішінде жасырылған.

«Пайда табу үшін зиянкестер криптовалюта тақырыбын белсенді қолданады және мемлекеттік мекемелердің қосымшаларына ұқсатады. Lumma стилері және Zanubis трояны мысалында зиянды бағдарламалық жасақтаманың ландшафты мен осындай киберқауіптердің табиғаты қалай өзгеретінін байқауға болады. Киберқауіпсіздік саласындағы мамандарға зиянды кодтың өзгеруін және зиянкестердің тактикасын үнемі қадағалап отыру керек. Дамып келе жатқан қауіптерден қорғану үшін ұйымдар қырағы болып, олардың қалай дамып жатқаны туралы хабардар болуы маңызды. Біздің есептеріміз зиянкестердің ең жаңа зиянды құралдары мен әдістері туралы ақпарат береді. Бұл бізге цифрлық қауіпсіздік үшін күресте бір қадам алда болуға мүмкіндік береді», - деп Касперский зертханасындағы ақпараттық қауіпсіздікке төнетін қауіптердің жетекші зерттеушісі Татьяна Шишкова түсіндіреді.

Осындай киберқауіптерден қорғану үшін «Касперский зертханасының» мамандары мыналарды ұсынады:

- төтенше жағдайда оларды жылдам пайдалану үшін шабуылдаушылар қол жеткізе алмайтын деректердің офлайн резервтік көшірмелерін жасау;

-барлық соңғы құрылғылар үшін бопсалаушы бағдарламаларынан қорғаныс бағдарламаларын орнатыңыз. Kaspersky Anti-Ransomware Tool тегін шешімі компьютерлер мен серверлерді бопсалаушы бағдарламаларынан және зиянды бағдарламалардың басқа түрлерінен қорғайды, сонымен қатар эксплойттармен күреседі, және бұдан бөлек бұрын орнатылған қорғаныс шешімдерімен үйлесімді келеді;

- пайдаланушыларға -әмиян интернетке қосылатын барлық құрылғыларды Kaspersky Premium сияқты сенімді шешіммен қорғау қажет;

- компанияларға -киберқауіпсіздік бөлімінің қызметкерлеріне, мысалы, Threat Intelligence қызметтері арқылы зиянкестердің ең жаңа тәсілдері, техникасы мен рәсімдері туралы жаңа ақпаратқа қол жеткізу мүмкіндігін беру керек.