Нещодавно викрита хакерська кампанія, яку назвали “витонченою кіберзлочинною операцією”, була направлена на організації охорони здоров’я та освіти за допомогою спеціально створених на основі Python троянів.
Це шкідливе програмне забезпечення дає зловмисникам майже повний контроль над системами під Windows з можливістю контролювати дії та красти конфіденційні дані. Про це пише ZDnet. Зловмисні функції трояна віддаленого доступу, що отримав назву PyXie RAT, включають блокування журналів запису дій, збирання облікових даних, записування відео, крадіжку файлів cookie, можливість виконувати атаки “людина-в-середині” та можливість розгортання інших форм зловмисного програмного забезпечення на заражені системи. Все це досягається за рахунок самоочищення від слідів підозрілої активності.
Однак сліди нападів знайшли та деталізували дослідники з кібербезпеки компанії Blackberry Cylance, які назвали це зловмисне програмне забезпечення PyXie через те, що його скомпільований код використовує розширення файлу “.pyx” замість “.pyc”, як правило, асоційованого з Python. PyXie RAT активний з 2018 року та дуже складний, що свідчить про те, що на його створення було витрачено багато часу та ресурсів.
“Спеціально створений інструментарій трояна та той факт, що він довгий час залишався непоміченим, безумовно, показує рівень таємності та складності, який відповідає витонченій кіберзлочинній операції”, – розповів ZDNet Джош Лемос, віце-президент з питань досліджень та розвідки Blackberry Cylance.
Зловмисне програмне забезпечення, як правило, доставляється жертвам за допомогою алгоритму стороннього завантаження, яка використовує законні програми для проникнення в систему жертви. Одним із таких розкритих дослідниками додатків була троянізована версія гри з відкритим кодом, яка, якщо її буде завантажено, буде таємно встановлювати зловмисні корисні навантаження, використовуючи PowerShell для збільшення привілеїв та постійного перебування на зараженій машині.
Третій рівень багаторівневого завантажувача з PyXie RAT використовує “Cobalt Mode” – тестовий режим з повноваженнями адміністратора, під час якого підключається до сервера команд і управління, а також завантажує кінцеве корисну навантаження. На цьому етапі завантаження використовується перевага Cobalt Strike – законного інструменту тестування на проникнення – для встановлення зловмисного програмного забезпечення.
Це тактика, яку часто розгортають кіберкримінальні банди, часто сприяє ускладненню атак.Цей конкретний завантажувач також має схожість з іншим завантажувачем, який використовувався для завантаження трояна “Shifu”, однак, це може бути просто випадок, коли злочинці беруть код з відкритим кодом – або вкрадуть – і повторно призначають його для власних цілей.
“Перевага використання широко використовуваного інструменту, такого як” Cobalt Strike “, полягає в тому, що це ускладнює ідентифікацію вірусу, оскільки його використовують багато різних суб’єктів загрози – так само, як і офіційні тестувальники. З останніх банківських троянів, які є дуже схожими, не зрозуміло, чи їх писали одні і ті ж злочинці, чи хтось повторно використовував якийсь їхній код “, – сказав Лемос.
Після успішного встановлення трояна в цільовій системі зловмисники можуть пересуватися по системі та давати будь-які команди. Крім того, що вони використовуються для крадіжок імен користувачів, паролів та будь-якої іншої інформації, що надходить до системи, дослідники відзначають, що є випадки, коли PyXie використовується для доставки програм-вимагачів в компрометовані мережі.
“Це повнофункціональний RAT, який може використовуватись для широкого кола цілей, і у кіберзлочинців будуть різні мотиви залежно від цільового середовища. Факт, що троян застосовувався спільно з програмами-вимагачами в декількох середовищах, свідчить про те, що злочинці фінансово мотивовані, принаймні в цих випадках “, – сказав Лемос.
До речі, у рамках своїх активних зусиль щодо захисту мільярдів користувачів Інтернету компанія Google виявила та попередила понад 12 тисяч своїх користувачів, які зазнали кібератак від “державних хакерів” у третьому кварталі цього року.
Якщо Вас турбує “одвічне” питання геймерів та ентузіастів: побудувати комп’ютер із власноруч вибраних комплектуючих або купити готовий укомплектований системний блок? CyberCalm розібрав це питання.
Стало відомо, що Фінляндія першою в Європі почала привласнювати так звані ярлики кібербезпеки мережевим “розумним” пристроям.
Також 14 січня 2020 року Microsoft завершить підтримку операційної системи Windows 7 і пакету офісних програм Office 2010. Тому якщо Windows 10 виявилася занадто важкою системою для Вашого комп’ютера, як варіант – можете перейти на ОС Linux. У чому її переваги, читайте у статті.
Зверніть увагу, в наступному році iPhone чекають ще більш значущі зміни, ніж ті, що відбувалися з ними раніше. Apple планує зменшити діагональ дисплея одного з iPhone 2020 модельного року.
Здається, вже всі знають, що таке QR-код, але мало хто знає, як він з’явився, де застосовується і які особливості має. Усі подробиці про QR-код читайте у статті.
