Зловред остаётся в системе после кражи данных
В сентябре эксперты «Лаборатории Касперского» зафиксировали атаки на российские компании с использованием нового троянца Unicorn, направленные на кражу конфиденциальных данных. Атакам подверглись российские энергетические компании, заводы, поставщики и разработчики электронных компонентов. Шпионское ПО распространяется через вредоносные рассылки в электронной почте. В отличие от других подобных атак зловред не самоудаляется сразу после кражи информации, а продолжает похищать новые и изменившиеся файлы, пока его не обнаружат.
Как происходит заражение. Вредоносное ПО распространяется через почтовые вложения или файлы на Яндекс.Диске, на которые ведёт ссылка из письма. Это RAR-архив с документом, имеющим двойное расширение: pdf и lnk (ярлык). Вредоносный ярлык содержит командную строку на скачивание и запуск файла, замаскированного под PDF, который на самом деле относится к типу HTML Application. После его запуска выполняется вредоносный VBS-скрипт, создающий на диске два скрипта — update.vbs и upgrade.vbs. Также он генерирует ключи для их автозапуска в реестре и дополнительные ключи, где в зашифрованном виде содержится вредоносный код.
Как троянец похищает данные. При запуске скрипта update.vbs создаётся папка, в которую он копирует нужные файлы из домашнего каталога пользователя. В частности, его интересуют файлы не менее 50 Мб с расширениями: txt, pdf, doc, docx, xls, xlsx, png, rtf, jpg, zip, rar. Второй скрипт, upgrade.vbs, отправляет на сайт злоумышленников похищенные данные с помощью расшифрованного кода из реестра. Информацию о скопированных файлах, дате их последнего изменения, а также об уже переданных документах скрипты сохраняют в текстовые файлы и постоянно с ними сверяются, чтобы не повторяться.
«Особенность этих атак заключается в том, что после кражи данных вредоносные скрипты остаются в системе. В отличие от других подобных зловредов, вместо того чтобы один раз украсть данные и замести следы, вредоносное ПО продолжает передавать злоумышленникам новые или обновлённые файлы, пока его не обнаружат и не примут меры, что потенциально увеличивает масштаб возможных потерь», — комментирует Олег Купреев, эксперт «Лаборатории Касперского» по кибербезопасности. Более подробно о новом шпионском троянце читайте по ссылке: https://securelist.ru/unicorn-data-stealing-scripts/110606/.
Чтобы защитить организацию от данной угрозы, «Лаборатория Касперского» рекомендует:
- регулярно проводить обучающие
тренинги для сотрудников, чтобы снизить вероятность успешных атак с
использованием методов социальной инженерии, в том числе фишинга, например
с помощью онлайн-платформы Kaspersky
Automated Security Awareness Platform. Для расширения навыков
ИБ-специалистов подойдут продвинутые тренинги от экспертов «Лаборатории
Касперского»;
- установить надёжное защитное
решение, которое автоматически будет отправлять подозрительные письма в
спам, например Kaspersky
Secure Mail Gateway;
- использовать продукты кибербезопасности,
эффективность которых подтверждается независимыми
тестовыми лабораториями;
- регулярно обновлять операционную систему и ПО на всех корпоративных устройствах, чтобы своевременно закрывать известные уязвимости;
- использовать сложные и уникальные пароли для защиты корпоративных учётных записей и регулярно их обновлять. Для их создания и хранения рекомендуется использовать специализированные менеджеры паролей;
- предоставлять ИБ-специалистам возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью сервисов Threat Intelligence.
