Черви, стилеры, майнеры: какие новые виды таких зловредов появились недавно

Даже давно известные типы вредоносных программ, такие как черви, стилеры и майнеры, по-прежнему могут представлять опасность для современных устройств. «Лаборатория Касперского» рассказывает о новых образцах таких угроз.

Черви. Это тип вредоносных программ, которые способны воспроизводить себя на других устройствах. В июне 2022 года был замечен новый зловред такого типа — RapperBot. Это червь на базе ботнета Mirai. Он заражает IoT-устройства, чтобы в дальнейшем запускать DDoS-атаки на цели, использующие протоколы, отличные от HTTP. Сначала он применялся для атак на сервисы, использующие протокол Secure Shell (SSH), который считается безопасным способом передачи данных, поскольку шифрует их — в отличие от Telnet, который передаёт данные в открытом виде. Telnet-сервисы на тот момент оставались вне зоны интереса злоумышленников. Однако из последней версии была удалена функциональность, связанная с SSH, и теперь RapperBot атакует только Telnet-сервисы — причём с ощутимым успехом. В четвёртом квартале 2022 года были зафиксированы попытки заразить 112 тысяч пользователей с более чем 2 тысяч уникальных IP-адресов.

От других червей RapperBot отличает «интеллектуальный» способ перебора данных для авторизации. Он не просто подставляет разные данные, а анализирует, какую информацию запрашивает устройство при попытке подключения, чтобы понять, что это за устройство, и на основе этого подбирает подходящие учётные данные.

Майнеры. Сравнительно недавно, в 2021 году, появилось семейство CUEMiner. Это вредоносная программа с открытым исходным кодом. Самая новая версия зловреда была обнаружена в октябре 2022 года. Она включает в себя собственно майнер и инструмент мониторинга системы. Если этот инструмент не обнаруживает процессов, потребляющих много системных ресурсов (таких как игры), начинает работать майнер. Если запускается игра или другой ресурсоёмкий процесс, майнер прекращает работу и возобновляет только после остановки процесса. Это позволяет ему дольше оставаться незамеченным. CUEMiner распространяется под видом легитимного, а на самом деле взломанного ПО, в которое внедрён троянец. Это происходит через загрузку либо через BitTorrent, либо из хранилища OneDrive.

Внедрение вредоносного ПО в программы с открытым исходным кодом — популярный метод среди злоумышленников-любителей. С его помощью они проводят массовые кампании. Жертвами CUEMiner в настоящее время становятся пользователи по всему миру.

Стилеры, или программы для кражи информации. Ещё один зловред, первые образцы которого эксперты «Лаборатории Касперского» обнаружили недавно, в начале 2023 года, — стилер Rhadamanthys. Он распространяется с помощью сервиса Google Ads. Rhadamanthys имеет много сходств с майнером Hidden Bee, нацеленным непосредственно на добычу криптовалюты. В обоих образцах используются изображения для маскировки полезной нагрузки и похожие шелл-коды для инициализации, а также виртуальные файловые системы с хранением данных в оперативной памяти и язык Lua для загрузки плагинов и модулей.

«Вредоносные программы с открытым исходным кодом, повторное использование кода и обновление уже известных зловредов — всё это методы, которые широко используются злоумышленниками. Теперь им не нужно обладать большим опытом, чтобы проводить масштабные кампании и атаковать жертв по всему миру. Также набирает обороты такой метод, как malvertising — когда злоумышленники демонстрируют рекламу легитимных приложений, но ссылки ведут на фишинговые сайты. Чтобы защитить бизнес от подобных атак, важно быть в курсе того, что происходит в сфере кибербезопасности, и использовать новейшие средства защиты», — комментирует Дмитрий Галов, эксперт по кибербезопасности «Лаборатории Касперского».

Чтобы защитить компанию от кибератак, специалисты «Лаборатории Касперского» рекомендуют:

• регулярно обновлять программное обеспечение на всех используемых устройствах, чтобы предотвратить эксплуатацию уязвимостей;
• ввести политику создания надёжных паролей к корпоративным сервисам и их регулярной смены и следить за её соблюдением;
• установить мультифакторную аутентификацию для доступа к удалённым сервисам;
• внедрить надёжное решение, такое как Kaspersky Endpoint Security для бизнеса, в котором есть модуль поведенческого детектирования и контроля аномалий для эффективной защиты от известных и неизвестных угроз;
• внедрить EDR-решение и сервис, который умеет распознавать и останавливать атаки на ранней стадии, до того как злоумышленники нанесут существенный урон, такой как Kaspersky Managed Detection and Response.