- Бизнес

ПО для взлома банков пряталось в облаке Google

Домен облачного
хранилища Google как правило рассматривается как
заведомо надежный, чем и пользуются злоумышленники: использование этих ресурсов
помогает обходить защитные инструменты в корпоративных сетях и обманывать
пользователей.

Облако под
подозрением

Банковские и финансовые учреждения в США и Великобритании
стали объектом фишинговой кампании, в ходе которой основные вредоносные
программные элементы хранятся и раздаются через Google Cloud Storage.

Атака начинается с массовой рассылки сообщений, содержащих
ссылки на сжатые файлы с расширениями .zip или .gz. Внутри архивов содержится
вредоносный код.

Хостинг вредоносов на storage.googleapis.com позволяет
злоумышленникам обходить защитные инструменты: огромное количество компаний
используют этот домен для своих нужд, так что он рассматривается как заведомо
надежный, и коммерческие защитные инструменты обычно игнорируют его.

«Это пример растущей популярности “репутационного перехвата”
— атаки, при которой злоумышленники прячутся за хорошо известными, популярными
хостинг-сервисами, чтобы избегать обнаружения», — говорится в анализе фирмы
Menlo Labs, выявившей проблему.

Фишеры спрятали вредоносное ПО для банков в облаке Google

Злоумышленники не случайно выбирают такой способ
распространения угрозы. Многие защитные продукты легко распознают вредоносные
вложения в почту, однако переход по ссылкам на веб-ресурсы злоумышленников
будут блокировать только в том случае, если домены уже находятся в черном
списке. Домен storage.googleapis.com, естественно, не будет рассматриваться как
вредоносный.

Houdiniи QRat — старые знакомые

Эксперты Menlo Labs проанализировали вредоносное содержимое
рассылаемых в рамках кампании архивов. Часть этих файлов представляла собой
скрипты VBS, подвергнутые тщательной обфускации (запутыванию кода). Аналитикам удалось
выяснить, что эти скрипты скачивали вредоносы семейства Houdini/jRAT и QRat.

Houdini представляет собой типичного компьютерного червя,
который появился в 2013 г. и с тех пор активно используется и столь же активно
совершенствуется. В течение 2019 г. было отмечено три всплеска распространения
вредоноса через ресурсы Pastebin.

В свою очередь, jRAT и QRat — это средства удаленного
управления зараженными компьютерами.

«RAT — один из инструментов, наиболее активно используемых
злоумышленниками для закрепления в инфраструктуре атакуемой организации, —
отмечает Михаил Зайцев, эксперт по
информационной безопасности компании SEC Consult Services. — При атаках на
финансовые организации злоумышленники заинтересованы в длительном сохранении
присутствия и возможности доступа к ключевым узлам корпоративных сетей.
Средства удаленного администрирования в этом плане для них — незаменимая вещь».

Источник

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *