Специалисты компании «Лаборатория Касперского» выявили сложную многоступенчатую атаку, направленную против владельцев криптовалютных кошельков в Европе, США и Латинской Америке. Злоумышленники используют троян-загрузчик DoubleFinger для внедрения на ПК жертв программы для кражи логинов и паролей от криптокошельков GreetingGhoul и трояна Remcos Remote Access (RAT).

Источник изображения: pixabay.com

Атака начинается в момент, когда жертва открывает вредоносное вложение в формате PIF из электронной почты. Это действие активирует первый этап загрузчика DoubleFinger. Всего ему требуется пять этапов для создания задачи, которую в дальнейшем GreetingGhoul будет выполнять ежедневно в определённое время. Стилер GreetingGhoul состоит из двух компонентов, первый из которых задействует среду MS WebView2 для создания фальшивых окон, которые перекрывают интерфейс настоящих криптокошельков, а второй осуществляет поиск приложений с криптовалютными кошельками на устройстве жертвы.

Отмечается, что некоторые образцы DoubleFinger также загружали троян Remcos RAT, являющийся известным коммерческим инструментом, с помощью которого злоумышленники могут удалённо администрировать устройство жертвы. В процессе работы DoubleFinger использует шелл-коды и стеганографию, т.е. методы сокрытия информации. Он также обеспечивает скрытное исполнение с помощью COM-интерфейсов Windows и использует технику подмены легитимного процесса вредоносным для внедрения в удалённые процессы. Всё это указывает на проработанность и сложность хакерской атаки.

Любопытно, что в коде вредоноса специалисты обнаружили несколько текстовых фрагментов на русском языке. К примеру, URL-адрес командного сервера начинается с русского слова в искажённой транслитерации «Privetsvoyu». Однако сказать, что за атаками стоят русскоговорящие хакеры, только по этому признаку нельзя.

«Интерес злоумышленников к криптовалюте не спадает. Группа, стоящая за загрузчиком DoubleFinger и вредоносным ПО GreetingGhoul, способна создавать вредоносное ПО уровня тщательно продуманных, целевых атак. Защита криптовалютных кошельков — это общая ответственность их производителей, владельцев и всего заинтересованного сообщества. Сохранение бдительности, применение надёжных мер защиты и понимание наиболее актуальных угроз позволит снизить риски и обеспечить безопасность ценных цифровых активов», — считает эксперт по кибербезопасности «Лаборатории Касперского» Сергей Ложкин.

В этом месяце хакеры провели массовую рассылку фишинговых писем российским компаниям. Вредоносные сообщения отправлялись под видом документов от госорганов о призыве и мобилизации. Об этом пишет «Коммерсантъ» со ссылкой на данные сервиса Bi.Zone.

Источник изображения: Pete Linforth / pixabay.com

В сообщении сказано, что злоумышленники использовали технику спуфинга или подделки адреса отправителя. Получатели получали сообщения с темами «Призыв на мобилизацию», «Всеобщая мобилизация 2023», «Сверка документов Военкомат», «Призывники 2023 список». Электронное письмо также содержало архив или ссылку для его скачивания. В самом же архиве находился вредоносный файл, осуществляющий установку трояна DCRat, который позволяет получить полный контроль над скомпрометированной системой.

«С помощью DCRat злоумышленники делают скриншоты, записывают последовательность нажатия клавиш, получают содержимое буфера обмена и т.д. В итоге у преступников могут оказаться логины и пароли от корпоративный аккаунтов, финансовая информация, персональные данные, а также другие конфиденциальные сведения», — говорится в сообщении Bi.Zone.

По данным компании Positive Technologies, работающей в сфере информационной безопасности, количество хакерских атак на российские компании с помощью вирусов шифровальщиков, которые шифрую данные на скомпрометированных устройствах и требуют выкуп за восстановление работоспособности, с начала года выросло на 77 % в годовом выражении. Эту тенденцию также подтвердили в компании F.A.C.C.T. (бывшая Group-IB), добавив, что количество таких атак в период с января по май этого года выросло на 50-60 %.

Группа ИБ-исследователей, финансируемых Управлением перспективных исследовательских проектов Министерства обороны США (DARPA) и ВВС США, опубликовала статью, в которой описывается техника кражи данных с Arm-процессоров Apple и Qualcomm, дискретных графических ускорителей NVIDIA и AMD, а также интегрированной графики в чипах Intel и Apple. Для этого исследователи используют атаку по сторонним каналам, которая предполагает измерение определённых физических параметров устройства.

Источник изображения: fre

В рамках новой концепции исследователи использовали информацию, которую открывает механизм динамического масштабирования частоты и напряжения (DVFS), реализованный во многих современных чипах. С помощью DVFS осуществляется модуляция частоты и мощности в режиме реального времени, чтобы поддерживать тепловыделение и TDP на приемлемом уровне, тем самым обеспечивая либо оптимальную энергоэффективность, либо наилучшую производительность для выполнения текущей задачи.

Концепция исследователей предполагает сбор и анализ данных с внутренних датчиков питания, температуры и частоты работы процессора. Заставив одну из трёх переменных DVFS (питание, тепловыделение и частота работы) стать постоянной, исследователи могут контролировать две другие переменные. За счёт этого они могут определить, какие инструкции выполняются, причём с точностью, позволяющей определять различные операнды одной и той же инструкции.

Хорошая новость в том, что данная техника вряд ли будет использоваться злоумышленниками на практике. Ведь для сбора данных с внутренних датчиков необходим прямой доступ к системе. Если же злоумышленник получит прямой доступ к системе, то, вероятнее всего, он найдёт более простой способ кражи данных.

В конце марта американский производитель накопителей данных Western Digital был вынужден заявить, что подвергся хакерской атаке, в результате которой часть информации из облачных сервисов компании была похищена. Отключив в целях безопасности ряд корпоративных информационных систем, компания только сейчас начала возвращать их в строй. Одновременно предупреждаются пользователи, чьи данные могли попасть в руки злоумышленников.

Источник изображения: Western Digital

Как отмечается в заявлении на сайте Western Digital, сейчас основная часть отключенных ранее систем возобновила работу, а предприятия по выпуску накопителей продолжали работать даже во время активной фазы расследования инцидента, поставки продукции не прекращались. Сейчас компания продолжает проверять на достоверность данные, ставшие достоянием общественности в результате действий хакеров. О полученных выводах WDC обещает информировать пользователей и клиентов в полном объёме.

Компания возобновила работу сервиса My Cloud, который пострадал от атаки, доступ клиентов к нему будет полностью возобновлён с 15 мая этого года. По сути, на устранение проблем с его функционированием у компании ушло более месяца. Частные клиенты сервиса тоже пострадали, поскольку злоумышленникам стали известны их имена, номера телефонов и часть номеров банковских карт, которые хранились в системе. Сейчас компания связывается с пострадавшими клиентами с целью минимизации дальнейшего ущерба.

В результате недавней хакерской атаки на сетевые ресурсы корпорации Western Digital, как предполагается, были похищены более 10 Тбайт служебной и пользовательской информации. Ресурсу TechCrunch удалось пообщаться с предполагаемыми организаторами этой атаки и выяснить, что они требуют у компании крупный выкуп за похищенные данные и условные гарантии дальнейшей безопасности.

Источник изображения: Western Digital Corporation

Как удалось узнать изданию TechCrunch, организаторы атаки на инфраструктуру Western Digital выбрали цель произвольно, при этом они не только похитили данные, но и сохранили доступ к важным информационным ресурсам. В качестве доказательства успешности атаки специалистам были продемонстрированы цифровые сертификаты, позволяющие подписывать документы от лица руководства Western Digital, а также служебные номера телефонов высокопоставленных сотрудников корпорации. Попытки дозвониться до них сопровождались включением автоответчика, который упоминал имена руководителей компании, идентифицируемые хакерами. Наконец, злоумышленники продемонстрировали снимок экрана служебной видеоконференции с участием руководителя подразделения WDC, отвечающего за информационную безопасность. Кроме того, хакеры получили доступ к определённым корпоративным информационным системам и хранилищам данных.

Шифровать скомпрометированные данные авторы атаки не стали, а теперь они рассчитывают на получение единовременного крупного выкупа, измеряемого десятками миллионов долларов США. В обмен на деньги они готовы отказаться от доступа к инфраструктуре Western Digital и указать компании на слабые места в системах защиты. Естественно, невыполнение этих требований грозит компании дальнейшими неприятностями, которые могут усугубиться при попытках пострадавшей стороны найти и наказать организаторов атаки. Если последние не получат выкуп к определённому времени, то похищенные данные будут выложены на сайте одной из хакерских группировок, к которой они сами прямого отношения не имеют. Организаторы атаки также не склонны никак идентифицировать свою группу. По их словам, до сих пор представители Western Digital на контакты с ними старались не идти. Хакеры признались, что получили доступ к учётной записи Western Digital в облачной инфраструктуре Microsoft Azure с привилегиями администратора, а также добрались до внутренних корпоративных ресурсов. Акции компании на фоне подобных новостей упали в цене на 2,95 %.

Исследователи из нескольких компаний, работающих в сфере информационной безопасности, сообщили о масштабной хакерской атаке на пользователей приложений для VoIP-телефонии компании 3CX Phone. Злоумышленники из группировки Labyrinth Chollima, которая предположительно связана с правительством Северной Кореи, сумели интегрировать троян в приложения 3CX для Windows и macOS, которые используют свыше 600 тыс. компаний по всему миру.

Источник изображения: Pixabay

Согласно имеющимся данным, хакерам удалось скомпрометировать систему сборки программного обеспечения 3CX, которая используется для создания и распространения новых версий программных продуктов компании для платформ Windows и macOS. Контроль над этой системой дал злоумышленникам возможность скрыть троян в легитимных приложениях для VoIP-телефонии, которые были подписаны с помощью валидного сертификата 3CX. Из-за этого под ударом могут оказаться миллионы пользователей, поскольку приложения 3CX используют компании из разных стран мира, в том числе American Express, Mercedes-Benz, Price Waterhouse Cooper и др.

По данным источника, угрозу могут представлять версии приложений, выпущенные в марте этого года. Речь идёт о версиях под номерами 18.12.407 и 18.12.416 для Windows, а также под номерами 18.11.1213, 18.12.402, 18.12.407 и 18.12.416 для macOS. Механизм атаки запускается, когда пользователь скачивает MSI-установщик с сайта 3CX или производит загрузку пакета обновления. В процессе установки осуществляется извлечение нескольких вредоносных DLL-файлов, необходимых для проведения следующего этапа атаки. Хотя сам исполняемый файл установщика не является вредоносным, упомянутые библиотеки используются для загрузки, извлечения и выполнения зашифрованной полезной нагрузки.

Источник изображения: CheckPoint

После этого производится скачивание из репозитория GitHub файлов ICO с дополнительными строками кода, которые используются для доставки финальной полезной нагрузки на устройства жертв. Источник отмечает, что первые файлы ICO были добавлены на GitHub в декабре прошлого года. Что касается самой вредоносной программы, то речь идёт о неизвестном ранее трояне, предназначенном для кражи информации, включая логины и пароли, хранящиеся в веб-браузерах.

Генеральный директор 3CX Ник Галеа (Nick Galea) написал сообщение на форуме компании, в котором принёс извинения за произошедший инцидент. Он также порекомендовал пользователям удалить версии приложений, которые скомпрометированы злоумышленниками, и временно перейти на использование веб-версии софтфона.