Традиционные средства защиты проигрывают вирусописателям

Традиционные средства защиты проигрывают вирусописателям

Компания Cezurity, сообщает об основных тенденциях мира вредоносных программ и хакерских атак, которые стали заметны в 2013 году и, вероятно, получат развитие в будущем. Информация об угрозах собиралась специалистами Cezurity в процессе работы Cezurity Cloud – облачной технологии антивирусного анализа.

Данная технология сегодня лежит в основе двух сервисов: решения для обнаружения целенаправленных атак на корпоративные ИТ-системы и Антивирусного Сканера – бесплатного продукта для детектирования и лечения заражений компьютеров широкого круга пользователей. В 2013 году Сканером воспользовалось более 100 тысяч человек. За этот период вылечено более 150 тысяч активных заражений компьютеров.

Одним из ключевых событий в информационной безопасности, произошедших за последние несколько лет, стало окончательное разделение компьютерных атак на массовые и целенаправленные. Как в атаках одного, так и другого типа, злоумышленниками используются вредоносные программы. Но сегодня у этих видов компьютерных преступлений зачастую больше различий, чем общих свойств. Отличия касаются подхода к организации атаки, выбора целей и инструментов, профессионализма атакующих. Например, цели массовых атак – широкий круг пользователей, из которых жертвами становятся лишь некоторые. Задача атакующих состоит в том, чтобы найти наименее защищенных. В случае целенаправленной атаки злоумышленники решают противоположную задачу – обходят существующую защиту конкретной информационной системы. Таким образом, сегодня можно однозначно сказать, что существуют два совершенно разных типа компьютерной преступности, обусловленных разными причинами и развивающихся своими путями.

“Еще совсем недавно господствовало мнение, что целенаправленные атаки – просто разновидность компьютерной преступности, с которой индустрия безопасности сталкивается на протяжении десятков лет, – говорит Кирилл Пресняков, ведущий аналитик отдела развития технологий Cezurity, – но сейчас мы видим, что это совсем другое явление. Отличия целенаправленных атак настолько фундаментальны, что традиционные средства защиты оказываются просто бесполезны”.

Сегодня можно ожидать дальнейшего роста числа целенаправленных атак. Раньше мишенью оказывались, как правило, крупные компании и правительственные организации. В недалеком будущем, вероятно, к услугам киберпреступников все чаще для решения своих задач начнет прибегать бизнес. В свою очередь это приведет к увеличению финансирования создания инструментов атак, а организация самих атак станет гораздо более доступной. Учитывая, что распространенные и ставшие уже традиционными средства защиты не могут противостоять целенаправленным атакам, можно ожидать как значительного роста внимания со стороны бизнеса к вопросам информационной безопасности, так и появления новых технологий защиты.

Основным фактором быстрого роста числа массовых атак и, соответственно, количества используемых в них вредоносных программ, в 2013 году было постоянное снижение требований к технической квалификации вирусописателей. Например, широкое распространение получили вредоносные расширения браузеров, технология установки и работы которых сама по себе решает часть задач злоумышленников. Так, для установки и обновления вредоносных расширений часто используются собственные механизмы браузера. При этом в России и странах СНГ пользователи все чаще предпочитают локальные браузеры – Яндекс.Браузер и браузер Mail.ru, вредоносные расширения для которых не всегда могут быть обнаружены с помощью зарубежных антивирусных решений. Это во многом связано с тем, что такие заражения носят локальный характер, то есть не распространены и, соответственно, не могут быть обнаружены в других регионах.

С одной стороны, упрощение реализации массовых атак с технической точки зрения приводит к быстрому пополнению рядов вирусописателей. С другой, это позволяет злоумышленникам фокусировать внимание на логике мошеннических действий. В результате можно ожидать все большего использования в атаках социальной инженерии, которая будет становиться все более изощренной.

Одной из заметных тенденций 2013 года стало распространение приложений и сервисов с неявной монетизацией. Злоумышленники создают приложения, включающие потенциально вредоносную функциональность наряду с полезной. Пользователи рекомендуют друг другу такие приложения, устанавливают их и используют, не понимая, какие вредоносные действия либо уже происходят в системе, либо могут начаться в любой момент. При этом ущерб от некоторых заведомо вредоносных функций часто оценивается пользователями как несущественный – например, это может быть подмена рекламы, убытки от которой несет в первую очередь другая сторона. Другие вредоносные действия вообще остаются незаметными для пользователей на протяжении очень долгого времени. Это может быть включение компьютера в бот-сеть для рассылки спама, кликов на рекламу, организации DDoS-атак, злоумышленники могут использовать компьютер жертвы для сохранения анонимности при осуществлении других атак.

“Все привыкли к тому, что огромное число удобных сервисов бесплатны и можно не задумываться о причинах их существования, – говорит Кирилл Пресняков, – этим активно пользуются злоумышленники. Сегодня подход “была бы аудитория, а уж способ на ней заработать придумаем” становится тенденцией мира вирусописательства”.

Для разработчиков средств защиты тенденция распространения приложений и сервисов с неявной монетизацией означает трудности в проведении границы между легитимным и вредоносным ПО. К тому же, сегодня нельзя сделать однозначный вывод о том, не превратится ли легитимное приложение во вредоносное в будущем.

Важной тенденцией сегодня становится снижение эффективности традиционных антивирусных решений. По статистике работы Антивирусного Сканера, за последний год* существенно выросла доля защищенных тем или иным антивирусом компьютеров среди тех, на которых было обнаружено заражение. Если в первом квартале 2013 года доля защищенных компьютеров составляла 23% от всех зараженных, то в четвертом квартале она выросла до 37%.

“Традиционные способы защиты компьютеров стремительно сдают позиции, – говорит Кирилл Пресняков, – в основе этого явления лежит множество причин, которые связаны и с экономикой вирусописательства, и с приоритетами антивирусных компаний, и с глобальным развитием информационных технологий. Компьютерные атаки становятся сложнее, их число быстро растет. В сложившейся ситуации есть только один выход – увеличивать глубину анализа, оценивая большее число характеристик и событий в защищаемых системах, анализируя их взаимосвязи. А это едва ли возможно без применения облачных технологий и методов обработки больших массивов данных – Big Data”.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

 

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

  • собирать системную информацию;
  • воровать информацию из браузеров;
  • прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
  • отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
  • делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru