Застаріле шкідливе програмне забезпечення ICEFOG (інша назва Fucobha), яке вважали таким, що зникло, знову з’явилося в арсеналі кіберзлочинців.

Спочатку ICEFOG використовувався однойменною китайської APT-групою, діяльність якої описали ще в 2013 році. Після публікації звіту угруповання згорнуло свої операції, і ICEFOG зник з кіберзлочинної арени. Однак, як виявилося, робота над шкідливим ПЗ не припинялася.

На конференції з кібербезпеки, що відбулася в Польщі минулого тижня, дослідниця компанії FireEye Чи-Ень Шень повідомила про виявлення оновлених версій ICEFOG. Головні з них, ICEFOG-P і ICEFOG-M, використовувалися в атаках з 2014-го і 2018 го року відповідно. Обидві версії є прямими “нащадками” оригінального ICEFOG, а значить, насправді робота над шкідливим ПЗ не припинялася. Більш того, Шень виявила раніше невідому версію ICEFOG для Mac.

Примітно, що угрупування, що використовують нові версії ICEFOG, ніяк не пов’язані з однойменною APT-групою. Шкідливе ПЗ було виявлене у величезних кількостях операцій, що проводяться різними угрупованнями.

“Операції, що проводяться в 2011-2014 роках, відрізнялися послідовністю, що вказувало на ексклюзивне використання шкідливого ПЗ однією групою. Нові варіанти стали використовуватися різними групами вже після кампанії 2013 року. Я порівняла інфраструктуру, що використовувалася в кампанії 2013 року, з кампаніями після 2014 року і не змогла виявити зв’язок”, – повідомила дослідниця виданню ZDNet.

Яким чином шкідник опинився в арсеналі багатьох угруповань, Шень важко сказати. Проте, раніше ІБ-експерти вже стикалися з використанням одних і тих же інструментів різними китайськими угрупованнями.

Нові варіанти ICEFOG були виявлені в атаках на європейську сільськогосподарську компанію, урядові та фінансові організації, а також ЗМІ, урядові установи пострадянських країн (Roaming Tiger), казахських посадових осіб (APPER) тощо. У 2018-2019 роках шкідник використовувався в атаках на турецькі і казахські організації (операція SKYLINE).

До речі, аби незаконно зняти кошти з банківських рахунків, зловмисники вдаються до нових видів шахрайства. Наприклад, шляхом перевипуску абонентського номеру, пов’язаного з банківською карткою користувача, у довірливих жертв знімають кошти з рахунків.

Також за останні кілька років майже 440 мільйонів користувачів Android встановили додатки з Google Play Store, що містять нав’язливу рекламу.

Нагадаємо, що спільна команда дослідників з Віргінського політехнічного інституту, аналітичного центру RAND і компанії Cyentia Institute опублікувала результати цікавого дослідження, з’ясувавши, яка кількість уразливостей, виявлених за останній десяток років, насправді використовувалася у реальних атаках.

Окрім цього, незважаючи на безліч шахрайських схем – від нав’язливої реклами і до майнінгу криптовалют за Ваш рахунок – існує кілька простих порад, які вбережуть Ваш браузер і комп’ютер від зовнішніх загроз.