Goodnews.ua


ПО для взлома банков пряталось в облаке Google

Март 11
22:03 2019

Домен облачного хранилища Google как правило рассматривается как заведомо надежный, чем и пользуются злоумышленники: использование этих ресурсов помогает обходить защитные инструменты в корпоративных сетях и обманывать пользователей.

Облако под подозрением

Банковские и финансовые учреждения в США и Великобритании стали объектом фишинговой кампании, в ходе которой основные вредоносные программные элементы хранятся и раздаются через Google Cloud Storage.

Атака начинается с массовой рассылки сообщений, содержащих ссылки на сжатые файлы с расширениями .zip или .gz. Внутри архивов содержится вредоносный код.

Хостинг вредоносов на storage.googleapis.com позволяет злоумышленникам обходить защитные инструменты: огромное количество компаний используют этот домен для своих нужд, так что он рассматривается как заведомо надежный, и коммерческие защитные инструменты обычно игнорируют его.

«Это пример растущей популярности “репутационного перехвата” — атаки, при которой злоумышленники прячутся за хорошо известными, популярными хостинг-сервисами, чтобы избегать обнаружения», — говорится в анализе фирмы Menlo Labs, выявившей проблему.

Злоумышленники не случайно выбирают такой способ распространения угрозы. Многие защитные продукты легко распознают вредоносные вложения в почту, однако переход по ссылкам на веб-ресурсы злоумышленников будут блокировать только в том случае, если домены уже находятся в черном списке. Домен storage.googleapis.com, естественно, не будет рассматриваться как вредоносный.

Houdiniи QRat — старые знакомые

Эксперты Menlo Labs проанализировали вредоносное содержимое рассылаемых в рамках кампании архивов. Часть этих файлов представляла собой скрипты VBS, подвергнутые тщательной обфускации (запутыванию кода). Аналитикам удалось выяснить, что эти скрипты скачивали вредоносы семейства Houdini/jRAT и QRat.

Houdini представляет собой типичного компьютерного червя, который появился в 2013 г. и с тех пор активно используется и столь же активно совершенствуется. В течение 2019 г. было отмечено три всплеска распространения вредоноса через ресурсы Pastebin.

В свою очередь, jRAT и QRat — это средства удаленного управления зараженными компьютерами.

«RAT — один из инструментов, наиболее активно используемых злоумышленниками для закрепления в инфраструктуре атакуемой организации, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — При атаках на финансовые организации злоумышленники заинтересованы в длительном сохранении присутствия и возможности доступа к ключевым узлам корпоративных сетей. Средства удаленного администрирования в этом плане для них — незаменимая вещь».

Источник: safe.cnews.ru

Share

Статьи по теме







0 Комментариев

Хотите быть первым?

Еще никто не комментировал данный материал.

Написать комментарий

Комментировать

Залишаючи свій коментар, пам'ятайте, що зміст та тональність вашого повідомлення можуть зачіпати почуття реальних людей, що безпосередньо чи опосередковано пов'язані із цією новиною. Виявляйте повагу та толерантність до своїх співрозмовників. Користувачі, які систематично порушують це правило, будуть заблоковані.

Website Protected by Spam Master


Останні новини

Австрійська OMV розірвала контракт із Газпромом, укладений до 2040 року

Читать всю статью

Ми у соцмережах




Наші партнёри

UA.TODAY - Украина Сегодня UA.TODAY
Goodnews.ua