Знакомьтесь: недавно в глобальной экосистеме вредоносного ПО появился новый участник – StealC. Это malware, который ворует конфиденциальную информацию с ПК и других устройств. Оно может угонять пароли, данные кредиток, личные документы и другую важную информацию. StealС распространяется через фишинговые e-мейлы, зараженные веб-сайты или вредные вложения.
Особенности StealC, делающие его особенно опасным
StealC использует простые методы для воровства учетных данных, что делает его доступным даже для малоопытных хакеров. Он специально нацелен на пользователей Chrome, едва ли не самого популярного браузера в мире, увеличивающего количество потенциальных жертв.
Вредоносное ПО может воровать учетные данные, сохраненные в браузере: пароли, данные для входа и другую конфиденциальную информацию. Благодаря своей простоте, StealC может быстро получать доступ к большому количеству аккаунтов.
Раздражение – самый эффективный способ хакнуть персональные данные
StealC использует самый простой, но при этом самый эффективный метод получения доступа к персональным данным аккаунта Google: раздражает жертву до безумия. Исследователи Open Analysis Lab – платформы, предоставляющей автоматизированные услуги по анализу вредоносного ПО – обнаружили, что кампания по смывам учетных данных использует эту технику по меньшей мере с 22 августа. Исследователи OALabs подтвердили, что хакеры заставляют жертву ввести свои учетные данные в браузере, откуда вредоносное ПО может их угнать.
Кампания по угону учетных данных, использующая StealC, блокирует браузер пользователя в режиме киоска, одновременно блокируя клавиши F11 и ESC, чтобы предотвратить выход из полноэкранного режима. Единственное, что отображается на экране браузера в этом раздражающем режиме – это окно входа, чаще всего для вашей учетной записи Google.
Смыватель аккаунтов Google не является кражей аккаунтов
Смыватель учетных данных – credential harvester – вредоносное ПО, которое не похищает учетные данные напрямую. Он создает условия, при которых пользователь добровольно вводит свои учетные данные, обычно через поддельные веб-страницы или программы. После этого активируется StealC, который ворует пароли из браузера Chrome и передает их злоумышленникам. Эта кампания возможна благодаря использованию нескольких известных инструментов, таких как Amadey, загружающий вредоносное ПО.
Вот примерный сценарий атаки:
Жертва заражается Amadey
— Amadey загружает смыватель учетных данных
—Смыватель учетных данных запускает браузер в режиме киоска.
—Жертва вводит свои данные для входа, которые затем угоняются StealC.
Меры защиты от угрозы StealC
Убедитесь, что у вас установлено современное антивирусное ПО, регулярно обновляющееся для выявления новых угроз. Всегда используйте последнюю версию браузера Chrome, поскольку обновления часто содержат исправления безопасности.
Не оставьте шанса фишинговым атакам: не нажимайте на подозрительные ссылки в и-мейлах или сайтах, которые могут перенаправить вас на вредные ресурсы. Используйте двухфакторную аутентификацию: включите 2FA для учетных записей Google для дополнительного уровня защиты.
Удаляйте ненужные или подозрительные расширения из браузера, которые могут использоваться для кражи данных. Используйте сложные и уникальные пароли для различных аккаунтов и регулярно меняйте их.
Новый банковский троян TrickMo с использованием поддельных экранов входа и перехватчика кодов 2FA
Помимо угрозы StealC, пользователям Chrome угрожает другая угроза похищения учетных данных. Исследователи из группы разведки угроз компании Cleafy обнаружили новый вариант банковского трояна – TrickMo, – который выдает себя в приложение для веб-браузера Google Chrome для Android.
После установки вредоносного приложения жертва получает предупреждение о необходимости обновления Google Play и видит диалоговое окно с кнопкой подтверждения. На самом же деле устанавливается еще одно приложение под названием Google Services, которое запрашивает доступ к разрешениям пользователя. Приложение помогает пользователю пройти через процесс, направляя его включить службы доступности для приложения.
После этого злоумышленники получают повышенные разрешения, необходимые для перехвата SMS и любых одноразовых кодов передаваемых таким образом двухфакторной аутентификации. TrickMo также использует HTML-атаку с наложением, которая заключается в отображении экрана, похожего на настоящий логин, для перехвата учетных данных аккаунта.
Чтобы избежать обнаружения вредоносного ПО браузерами и устройствами, TrickMo использует технику искажения Zip-архивов. Ее суть состоит в создании каталогов, имеющих такие же названия, как и критические системные файлы. «Эта хитрая стратегия может привести к тому, что при разархивировании важные системные файлы будут перезаписаны, что усложнит дальнейший анализ», — отмечают исследователи. Они добавляют, что это также создает трудности для автоматизированных инструментов анализа, используемых киберзащитниками, поскольку «неправильная структура архива может вызвать ошибки или неполное извлечение файлов, что значительно усложняет процесс анализа».
Как защититься от атак киоск-режима и TrickMo-атак
На первый взгляд, это сизифовая работа, но выйти из режима киоска без доступа к более очевидным клавишам ESC или F11 на клавиатуре все же возможно.
Пользователям стоит попробовать комбинации горячих клавиш Alt+F4, Ctrl+Shift+Esc, Ctrl+Alt+Delete и Alt+Tab, чтобы добраться до рабочего стола и запустить диспетчер задач, чтобы таким образом убить браузер Chrome. Также можно использовать комбинацию клавиш Win+R, чтобы открыть командную строку Windows, откуда Chrome можно убить с помощью «taskkill/IM chrome.exe/F».
Наконец, есть радикальная альтернатива – отключение кнопкой питания. Если вы решите использовать этот метод, не забудьте загрузиться в безопасном режиме, нажав клавишу F8, и выполнить полную проверку системы на наличие вредоносного ПО, чтобы избежать повторного заражения. Malwarebytes предлагает бесплатный сканер вредоносных программ, которые могут помочь очистить систему.
Чтобы избежать атаки с помощью последней версии TrickMo, совет прост: загружайте программное обеспечение для Android исключительно с официального Play Store.
Как еще злоумышленники могут угнать ваши персональные данные
Злоумышленники используют множество методов для доступа к ценным аккаунтам Google, ключам к вашему почтовому ящику Gmail и хранящимся в нем важным данным или к парольной фразе вашего криптогаманца. Например, существует вредное программное обеспечение, использующего технологию оптического распознавания символов (OCR) для перехвата криптопаролов, а также другое ПО, нацеленное на коды двухфакторной аутентификации, обманом заставляя пользователей предоставлять разрешение на чтение SMS-сообщений. Но это уже тема отдельного разговора.
Татьяна Морараш
