Представитель Google рассказал о борьбе поискового гиганта с киберпреступностью

Николай Головко 28 Октября 2010 - 18:43

Средства управления информационной безопасностью

...

О мерах борьбы с вредоносным программным обеспечением и другими угрозами рассказал в своем докладе на конференции SecTOR исследователь из Google Фабрис Жобер. По его словам, компания активно противостоит любым попыткам нарушить безопасность пользователей Сети и задействует для этого самые разнообразные инструменты и механизмы.

Согласно докладу, Google считает вредоносным такой сайт, на котором размещается программное обеспечение, способное нанести ущерб компьютеру пользователя; в результатах поиска подобные ресурсы отмечаются особым предупреждением. Этот механизм претерпел ряд изменений в течение последних лет; так, изначально посетителям показывали особую промежуточную страницу с уведомлением о потенциальной опасности и кнопкой, позволявшей продолжить просмотр опасного сайта - и, по данным г-на Жобера, 95% пользователей нажимали-таки эту кнопку, игнорируя предупреждение. Поэтому теперь Google изменил тактику: вместо кнопки поисковая машина отображает URL подозрительного ресурса в виде текста, так что для перехода по адресу необходимо потрудиться: выделить его, скопировать, вставить в адресную строку обозревателя...

Представитель компании также рассказал, что некоторые разновидности вредоносных сайтов, равно как и фишинговые / спамерские ресурсы, исключаются из индекса Google.

Касаясь вопроса о потенциальной опасности определенных типов сайтов, г-н Жобер подтвердил, что ареал обитания вредоносных программ чрезвычайно обширен, и любой ресурс может иметь нежелательное содержимое. "В Сети вы не найдете 'безопасной гавани'", - сказал он. - "Даже если вы привыкли посещать лишь определенный круг сайтов, риск заражения все равно существует".

Google обнаруживает вредоносное содержимое разными способами. Помимо прочего, у компании есть "приманка" для вирусов и эксплойтов - набор виртуальных машин с устаревшими версиями Windows и Internet Explorer. Г-н Жобер сообщил, что сайты тестируются и через Firefox, но обычно вредоносный функционал реагирует в первую очередь на IE. Виртуальные рабочие станции отслеживают сетевой трафик и имитируют ответную реакцию, чтобы определить наличие вредоносной активности. Подобным образом Google исследует миллионы сайтов, выискивая очаги инфекций.

Результаты исследования используются некоторыми продуктами компании - например, службой Safe Browsing, которая защищает пользователей Safari, Firefox и Chrome от опасных сайтов, а также инструментарием Google для вебмастеров. В итоге уведомления об угрозах поступают и обычным пользователям, и администраторам ресурсов Интернета.

eSecurity Planet

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 22 Ноября 2024 - 15:54

Трояны Домашние пользователи Корпорации

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

собирать системную информацию;
воровать информацию из браузеров;
прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.