F.A.C.C.T.

Аналитики F.A.C.C.T., российского разработчика технологий для борьбы с киберпреступлениями, обнаружили сеть из более чем 1300 доменов, распространяющих вредоносные программы, под видом популярных утилит, офисных приложений вместе с ключами активации или активаторов — ПО, предназначенного для обхода встроенных систем защиты программ от неавторизованного использования. В итоге пользователи, пытавшиеся установить популярный софт, переставший работать в России, загружали на свои компьютеры шпионское ПО, стилеры и криптомайнеры.

С конца прошлого года с помощью системы F.A.C.C.T. Managed XDR была обнаружена и локализована череда инцидентов в различных российский компаниях, связанных с попыткой загрузки вредоносного файла на рабочий компьютер сотрудника, пытавшегося активировать или скачать нелицензионное ПО.

Отталкиваясь от технических данных инцидентов, специалисты Центра кибербезопасности F.A.C.C.T., с помощью системы графового анализа Graph Threat Intelligence F.A.C.C.T. , обнаружили целую сеть из 1316 уникальных доменов, связанных с ресурсами, на которых предлагалось скачать и нелегально установить ПО: антивирусы, программы для работы с фото и видео, офисные приложения, программы для проектирования и моделирования и др.

Анализ ресурсов из общей вредоносной инфраструктуры злоумышленников показал, что доменные имена регистрировались на протяжении длительного времени и на момент исследования часть из этих ресурсов уже были не доступны. С другой стороны, продолжают появляться и новые доменные имена, например, в 1-м кв. 2024 г. было обнаружено 28 регистраций доменных имен, на которых был размещен вредоносный контент в рамках данной кампании.

Для продвижения вредоносных ресурсов используются различные сервисы. Например, в LinkedIn (заблокирован в России) было обнаружено более 300 уникальных аккаунтов, рекламирующих сайты со взломанным ПО. Больше всего учетных записей относилось к Пакистану (66%), Индии (8%), Бангладеш (3%). Пик активности аккаунтов, размещающих рекламные посты вредоносных сайтов, был зафиксирован в 2022 и 2023 гг., при этом за 1-й кв. 2024 г. было найдено почти столько же новых постов, как за весь 2023 г. Среди российских ресурсов информацию о преимуществах программ и ссылки на скачивание взломанных версий злоумышленники размещали на популярных российских социальных сетях, видеохостингах и образовательных платформах.

Как отмечают аналитики Центра кибербезопасности F.A.C.C.T., на момент исследования кампании в большинстве случаев посетителям отгружались файлы, содержащие вредоносное ПО семейства Amadey, которое обладает функционалом сбора данных со скомпрометированного компьютера и загрузки других вредоносных программ. В исследуемых экземплярах в качестве дополнительного модуля подгружался криптомайнер Coinminer. Другая часть вредоносных экземпляров относится к стилерам, среди которых можно выделить RedLine Stealer, Vidar, CryptBot и др.

Использование стилеров в данной схеме создает еще одну проблему для корпоративной кибербезопасности, когда с помощью такого вредоносного ПО похищаются рабочие учетные записи сотрудников, использующиеся на своих личных устройствах — домашних ПК или ноутбуках. Злоумышленники компрометируют неподконтрольные для специалистов отдела ИБ или IT-устройства работников и в последствии могут использовать похищенные данные для развития более сложной атаки уже на корпоративную инфраструктуру.

Для защиты от подобных угроз эксперты F.A.C.C.T. рекомендуют:

  • проводить регулярные обучения рядовых сотрудников организации для повышения знаний об актуальных угрозах в области информационной безопасности;
  • определить список разрешенных для использования утилит в инфраструктуре (запрещено все, что не разрешено);
  • установить запрет рядовым пользователям самостоятельно устанавливать утилиты на рабочее устройство;
  • активировать многофакторную аутентификацию (MFA), использовать ее как часть обязательной корпоративной IT-политики;
  •  использовать для защиты инфраструктуры комплексный подход, защищающий от различных векторов атак. Такую защиту могут обеспечить решения класса XDR, например, F.A.C.C.T. Managed XDR — решение, предназначенное для выявления сложных киберугроз на ранней стадии, а также осуществления превентивных мер защиты.