Угроза актуальна для российских предприятий, в том числе из сегмента малого бизнеса
«Лаборатория Касперского» обнаружила вредоносную кампанию, направленную на российские организации. Злоумышленники распространяют стилер под видом пиратского активатора для популярного ПО, в котором можно вести бухгалтерский учёт и управлять предприятием. Они утверждают, что с помощью активатора можно обходить проверку лицензии и пользоваться программами бесплатно. Зловред позволяет получить доступ к корпоративным устройствам и красть конфиденциальные данные. Кампания началась в январе 2024 года, и угроза остаётся актуальной до сих пор.
Приманка. Злоумышленники публикуют объявления на профильных форумах о ведении бизнеса и бухгалтерском учёте, в которых предлагают скачать обновлённую версию активатора HPDxLIB для пиратского софта. В сообщениях содержится инструкция, как обойти проверку лицензии. При выполнении этих шагов начинается загрузка стилера RedLine, который тщательно спрятан внутри вредоносного активатора. Примечательно, что для заражения злоумышленники не используют никакие уязвимости в ПО — нужно лишь убедить жертву воспользоваться активатором и выполнить инструкцию.
Чем известен стилер. RedLine распространяется по модели «вредоносное ПО как услуга» (Malware-as-a-Service): злоумышленники могут купить его единоразово или пользоваться по подписке. Стилер позволяет красть конфиденциальную информацию, например, логины и пароли, данные из браузеров и мессенджеров, сведения о заражённой системе и пользователях. RedLine распространён среди злоумышленников: по данным «Лаборатории Касперского», в 2023 году более половины устройств (55%) в мире, атакованных стилерами, были заражены именно им.
После того, как вредоносное ПО начали детектировать защитные решения, некоторые форумы, через которые злоумышленники распространяли активатор, стали предупреждать пользователей о возможном наличии стилера RedLine в HPDxLIB. Однако меры безопасности могут не подействовать: в инструкциях злоумышленников есть просьба отключить защиту и добавить в исключения вредоносные файлы — иначе активатор якобы не будет работать.
«Злоумышленники часто распространяют зловреды с помощью пиратского ПО. Однако в этом случае атаки нацелены не на частных пользователей, а на бизнес, что достаточно нестандартно. Данные, украденные стилерами, обычно продают в даркнете другим злоумышленникам, которые хотят получить доступ к организации. Проникнув в сетевую инфраструктуру компании, они могут, например, зашифровать данные и потребовать выкуп, размер которого будет несопоставим с покупкой лицензии для программы. Поэтому мы настоятельно рекомендуем компаниям отказаться от использования нелицензионного ПО, чтобы оставаться в безопасности», — комментирует Александр Кряжев, эксперт по кибербезопасности в «Лаборатории Касперского».
Более подробную информацию об угрозе можно прочитать в отчёте: https://securelist.ru/stealer-infected-activators-for-business-software-ru-ver-pre-final/111241/.
В течение 2023 года решения «Лаборатории Касперского» принимали участие в 100 независимых тестированиях защитных технологий по различным параметрам и 93 раза заняли в них первые места.
