SearchInform представила новые продукты для предотвращения утечек информации

SearchInform представила новые продукты для предотвращения утечек

Компания SearchInform, провела презентацию новых компонентов своего флагманского решения – «Контура информационной безопасности SearchInform» в рамках первого семинара RoadShow, прошедшего 24 сентября в Москве. Особое внимание было уделено демонстрации возможностей новых продуктов: ViberSniffer, CloudSniffer, ADSniffer и URLSniffer.

Особый интерес гости мероприятия проявили к модулю ADSniffer. Этот модуль контролирует нетипичный для DLP-систем канал – действия системных администраторов в ActiveDirectory. Контролируются действия, как с учётными записями, так и с группами пользователей. Примечательно, что анализируются только подозрительные операции, как-то: создание/удаление учетной записи, изменения в учетной записи (сброс пароля, активация/деактивация), авторизация в нерабочее время, попытки подбора пароля, очистка журнала безопасности на контроллере домена и т.п. ADSniffer интегрирован в AlertCenter – модуль, отвечающий за автоматическую проверку перехваченной информации по заданным критериям – что позволяет существенно повысить скорость выявления инцидентов.

Не обошли вниманием и ViberSniffer – модуль, предназначенный для мониторинга трафика популярного приложения для обмена сообщениями Viber. Особенностью SearchInform ViberSniffer является перехват всей информации: чатов, звонков, файлов и контактов. С учетом полной синхронизации десктопной и мобильной версий Viber, отдел информационной безопасности получает огромное количество новых данных для анализа, в том числе и полные телефонные книги пользователей. За счёт интеграции ViberSniffer'a в AlertCenter, специалистам отдела информационной безопасности доступны все аналитические возможности «Контура информационной безопасности SearchInform», включая запатентованный алгоритм «Поиск похожих».

Анонсированный в августе этого года SearchInform CloudSniffer также был представлен участникам семинара. Ключевым отличием модуля, предназначенного для предотвращения утечек корпоративных конфиденциальных данных через облачные сервисы, является возможность перехвата информации, отправленной не только через веб-интерфейс, но и через отдельные приложения. Благодаря этому ни один файл, загружаемый сотрудниками в облако, не пройдет мимо отдела информационной безопасности.

Претерпели изменения и уже известные, хорошо зарекомендовавшие себя, продукты компании. Так, в решении SearchInform MonitorSniffer появился реализованный по многочисленным пожеланиям клиентов режим непрерывной записи действий сотрудников. За счёт применения захвата изображения по ключевым кадрам вкупе с передовыми алгоритмами сжатия, удалось достичь беспрецедентной экономии при сохранении информации. Так, 4 часа непрерывного «кино» занимают порядка 150 Мб. При этом файл с записью можно просмотреть на любом компьютере в стандартном медиа-проигрывателе, то есть без специального «клиента-просмотрщика».

Обновлённый SearchInform DeviceSniffer теперь поддерживает автоматическое шифрование всей информации, записываемой на внешние носители. На всех компьютерах корпоративной сети, где установлен SearchInform DeviceSniffer, зашифрованные данные откроются без каких-либо затруднений для пользователя, в то время как сторонний человек, получив подобную флэшку, увидит лишь зашифрованные данные. Для обеспечения легальной передачи данных удаленным контрагентам предусмотрен режим удаленной разблокировки. Такой простой механизм обеспечивает надежную защиту конфиденциальной информации компании, как от преднамеренных, так и от случайных утечек.

Улучшенная интеграция SearchInform URLSniffer с инструментом отчётности SearchInform ReportCenter теперь позволяет не только построить отчет обо всех посещённых сотрудником сайтах и проведённом на них времени, но и автоматизировать этот процесс. Так, с помощью удобного мастера отчётов можно создать автоматическое оповещение, к примеру, о том, что сотрудник провёл на страницах соцсетей слишком много (более 30 минут) времени в течение рабочего дня. Это позволяет выявлять сотрудников, расходующих оплаченное работодателем время нецелевым образом.

Как отметил генеральный директор компании SearchInform Лев Матвеев, «постоянное внесение усовершенствований в продукты является одним из главных постулатов идеологии SearchInform, обеспечивающим нашей компании лидерство на рынке уже более пяти лет. Новые функции «Контура информационной безопасности SearchInform» позволят компаниям выстроить еще более эффективную систему защиты от утечек конфиденциальной информации и обезопасить себя от возможных убытков».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

 

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

  • собирать системную информацию;
  • воровать информацию из браузеров;
  • прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
  • отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
  • делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru