Катки без геймеров и слежка за ИИ: что умеют новые вредоносы

Привет! С вами я, Дмитрий Стрельцов, и исследовательская группа департамента аналитики ИБ Positive Technologies. Мы подготовили отчет об актуальных киберугрозах II квартала. Первое, что скажем: вредоносы по-прежнему остаются одним из основных методов атак на организации — они использовались в 64% успешных кибернападений. А еще мы второй квартал подряд наблюдаем тренд на увеличение доли по сравнению с началом года ^[1] прирост составил 9% и 5% соответственно.

Знаем, что этими фактами вас не удивить. Так давайте же углубимся в тренды, связанные с ВПО, и рассмотрим самые впечатляющие образцы и техники, которые только появились и имеют большие перспективы в киберпреступном мире. Поверьте, мы откопали много интересного. Злоумышленники постарались на славу: и геймеров обокрали, и дипфейками побаловались, и секреты ИИ выведали, и защиту Android обошли.

Ну что, погнали под кат? А полный отчет, как всегда, ждет вас здесь ^[2].

Игра без правил

Злоумышленники никогда ничего не делают просто так — только ради выгоды. А где она прячется сегодня? Например, в игровом мире: индустрия хоть и медленно, но растет ^[3]. Беря сей факт в расчет, киберпреступники ищут жертв среди геймеров, при этом обращают особое внимание на игровые платформы и связанное с ними ПО. За удачно выбранный аккаунт с точки зрения набора внутриигровых атрибутов или персональных данных на киберпреступном рынке могут предложить неплохую «ачивку».

В погоне за наградой злоумышленники изобретают новые инструменты для обкрадывания геймеров. В их числе — Sharp Stealer ^[4]. Он собирает системную информацию (тип операционной системы и процессора, параметры дисплея, содержимое буфера обмена и так далее), cookie-файлы для входа на сайты, пароли, а также данные карт из браузеров, криптокошельков и учетных записей Epic Games, Minecraft, Roblox, Steam, Ubisoft, VimeWorld.

Еще одно новое оружие в арсенале киберпреступников — вредонос, схожий с ^[5]RedLine Stealer . Он притворяется демкой инструментов под названием Cheat Lab и Cheater Pro (это программы для читеров). ВПО использует URL-адреса, связанные с репозиторием Microsoft на GitHub.

Интересно: в качестве приманки киберпреступники обещают предоставить программу бесплатно, если жертвы убедят своих друзей установить зараженную демоверсию. Так что, геймеры, возьмите на заметку: даже самый надежный источник иногда может подложить вам свинью моба, которого будет не так просто убить.

Темная сторона ИИ

Искусственный интеллект умеет уже довольно много: и стихи писать, и музыку сочинять, и фотографировать, и даже создавать запахи. В общем, талантов у ИИ много и перспектив тоже, поэтому киберпреступники отчаянно переманивают искусственный разум на свою сторону. Для этого им даже пришлось примерить на себя роль тайных агентов. Например, в мае была обнаружена новая кампания, направленная на исследовательские организации в области ИИ. Злоумышленни ки выведывали непубличную информацию, связанную с генеративным искусственным интеллектом. С этим им помогал троян для удаленного управления — SugarGh0st. Вредонос распространялся через фишинговые письма. Кампания затронула менее 10 человек, но все они имели прямое отношение к одной ведущей американской организации в сфере искусственного интеллекта.

Умное чтение

Все больше погружаясь в технологии ИИ, злоумышленники внедряют их в свои инструменты. Так, во вредоносную программу был интегрирован ^[7] Tesseract — механизм распознавания текста (OCR, optical character recognition) на базе опенсорса. OCR использует нейронные сети для поиска и считывания текста на изображениях. Киберпреступники, можно сказать, совершили скачок в методологии проведения атак. Теперь их вредонос способен извлекать текст из картинок и сканировать строки на наличие фраз, связанных с учетными данными, в том числе для входа в криптовалютные кошельки.

Охота за платежными данными

По итогам II квартала доля данных платежных карт среди украденной информации в атаках на частных лиц увеличилась с 13% до 22%. На наш взгляд, на это повлияло как минимум два факта: массовое распространение RAT и шпионского ПО и появление новых веб-скиммеров и техник кражи данных.

Например, обнаружен скиммер под названием Caesar Cipher ^[8]. Этот вредонос нацелен на системы управления контентом (CMS), такие как Magento, OpenCart, WordPress. Киберпреступники внедряли ВПО в PHP-файл оформления заказа в плагине WooCommerce.

Другой способ кражи данных платежных карт ^[9], замеченный во II квартале, связан с плагином pkfacebook — он был создан для платформы электронной коммерции PrestaShop. Злоумышленники эксплуатировали уязвимость в плагине (CVE-2024-36680 ^[10]) для развертывания скиммера на сайтах. Этот недостаток имеет высокий уровень опасности (7,5 по шкале CVSS) и связан с внедрением SQL-кода.

Исследователи безопасности Friends of Presta опубликовали ^[11] эксплойт для CVE-2024-36680 и предупредили о его активном использовании в подобных атаках.

За рубежом защиты Android

Киберпреступники — товарищи смекалистые. Чтобы достичь целей, они умудряются применять в атаках даже инструменты ИБ. Яркий пример — новый вредонос Snowblind ^[12], нацеленный на устройства Android. ВПО использует seccomp — функцию безопасности Linux, которая позволяет системе Android изолировать приложения и ограничивать выполняемые ими вызовы. Так вот, Snowblind переупаковывает целевые приложения таким образом, чтобы они не могли обнаруживать злоупотребление службами специальных возможностей. С помощью последних зловред получает вводимые пользователем данные или доступ к удаленному управлению для совершения грязных делишек.

Пока нет информации, сколько приложений было атаковано таким способом, но есть вероятность, что этот метод подхватят и другие злоумышленники. Специалисты BleepingComputer обратились в Google за комментариями ^[13]. Представитель корпорации сообщил, что в Google Play не обнаружено приложений, которые содержат вредоносный код, схожий со Snowblind. В ответе также сослались на то, что пользователей Android защищают от ВПО с помощью Google Play Protect, — а надежно ли?

Разобраться поможет кейс, связанный с выходом новой версии ^[14] вредоносной программы CraxsRAT. Она как раз умеет обходить Google Play Protect — это тревожный звоночек для безопасности мобильных устройств Android. Кроме того, обновленное ВПО поддерживает несколько языков, умеет снимать блокировку с гаджетов и внедрять вредоносную нагрузку в APK-файлы.

На этом все, друзья. Но в нашем полном отчете за II квартал вы сможете узнать намного больше, причем не только о новых вредоносах, но и в целом об актуальных киберугрозах, трендах, крупных утечках данных, громких атаках и их последствиях. Там же мы поделились рекомендациями по защите — с учетом специфики II квартала они вам очень даже пригодятся.

До новых исследований!

Дмитрий Стрельцов

Аналитик исследовательской группы Positive Technologies