Anubis – это новое вредоносное ПО, которое может нацеливаться на кошельки криптовалюты и другие конфиденциальные данные. Впервые он стал доступен для продажи на рынках даркнета в июне, и теперь Microsoft наблюдает ограниченные атаки с его использованием.
Эксперты рекомендуют не посещать незащищенные веб-сайты и не открывать странные или подозрительные вложения, ссылки или электронные письма.
Растущий интерес к криптовалютам, наблюдающийся в последние месяцы, вызывает интерес у новых пользователей, которые могут быть особенно восприимчивы к такого рода атакам.
По данным Microsoft Security Intelligence, новая форма вредоносного ПО под названием Anubis уже распространилась по миру после того, как в июне поступила в продажу на темных рынках киберпреступности. Используя разветвленный код вредоносного ПО Loki, Anubis может украсть идентификаторы криптовалютных кошельков, информацию о системе, информацию о кредитных картах и другие данные.
Важно отметить, что это вредоносное ПО отличается от семейства банковских вредоносных программ для Android, также называемого Anubis. Он присоединяется к растущему списку вредоносных программ, которые ищут уязвимые тайники криптовалюты.
«Вредоносное ПО загружается с определенных сайтов. Он крадет информацию и отправляет ее на сервер C2 (управление и контроль) с помощью команды HTTP POST», – сказал Танмай Ганачарья, директор по исследованиям безопасности в Microsoft.
HTTP Post – это, по сути, запрос данных из Интернета. Он также используется, когда загружается файл или отправляется заполненная веб-форма.
«Команда post отправляет обратно конфиденциальную информацию, которая может включать имя пользователя и пароли, например, учетные данные, сохраненные в браузерах, информацию о кредитной карте и идентификаторы кошелька с криптовалютой».
Как избежать Анубиса
Пархам Эфтехари, исполнительный директор Cybersecurity Collaborative, форума для профессионалов в области безопасности, просмотрел изображения кода, размещенные в твиттере Microsoft, и сказал, что информации о вредоносной программе Windows Anubis было опубликовано мало.
Но бот Loki (из которого был взят код Anubis) распространялся через электронную почту с вложениями с расширениями «.iso». Эти сообщения маскировались под заказы и предложения от других компаний и отправлялись на общедоступные адреса электронной почты компании, иногда с собственного сайта компании.
Когда дело доходит до того, чтобы избегать Анубиса, Эфтехари сказал, что люди не должны открывать никакие вложения или электронные письма, которых они не ожидают или которые кажутся незнакомыми.
«Им следует установить приложения для защиты от вредоносных программ в своих системах, а также часто сканировать и обновлять ее», – сказал он. «Наконец, при доступе к конфиденциальным учетным записям, таким как банковские приложения, они должны использовать безопасные или конфиденциальные браузеры, которые могут помешать вредоносному ПО записывать нажатия клавиш или делать снимки экрана».
Ганачарья сказал, что, как и многие другие угрозы, это новое вредоносное ПО пытается оставаться незамеченным, поэтому у него нет очевидных визуальных подсказок. Пользователи могут проверить наличие подозрительных файлов и запущенных процессов (например, ASteal.exe, Anubis Stealer.exe), а также подозрительного сетевого трафика.
Со своей стороны, Microsoft обновила свой Defender Advanced Threat Protection (Microsoft Defender ATP) для обнаружения вредоносного ПО Anubis и будет отслеживать его, чтобы увидеть, начнут ли кампании распространяться. Microsoft Defender ATP использует облачную защиту на базе искусственного интеллекта для защиты от новых и неизвестных угроз в режиме реального времени
По словам Ганачарья, пользователям следует опасаться посещения неизвестных или подозрительных веб-сайтов или открытия подозрительных электронных писем, вложений и URL-адресов. Кроме того, пользователи могут включить блокировку нежелательных приложений в Microsoft Edge, чтобы получить защиту от майнеров криптовалюты и другого программного обеспечения, которое может повлиять на производительность устройств.
Но для специалистов по безопасности при анализе системы есть явные признаки. Один из них – индикаторы компрометации, то есть индикаторы взлома системы. Они могут включать необычный исходящий сетевой трафик или необычную активность в учетной записи.
Вредоносное ПО и криптовалюта
Хотя вредоносное ПО или программное обеспечение, предназначенное для вредоносного использования, не новость, они все чаще используются в сообществе криптовалют.
«За последние три года мы наблюдаем рост числа вредоносных программ, нацеленных на пользовательские компьютеры, которые, помимо попыток записи / кражи паролей, специализируются на сборе данных из системы жертвы для криптовалют», – сказал Паоло Ардоино, технический директор Bitfinex.
Ардоино сказал, что технически подкованные держатели криптовалюты обычно используют аппаратный кошелек и хранят свои seed (информацию, которая генерирует и восстанавливает кошелек) в автономном режиме. Однако менее опытные пользователи из-за страха потерять часть своего кошелька могут хранить ее на своем компьютере. Затем вредоносное ПО может получить доступ к диспетчеру паролей или другому сайту онлайн-хранилища, пока пользователь обращается к нему, а также копировать и вставлять пароли.
По словам Ардоино, еще одна атака, которую может выполнить вредоносное ПО, заключается в проверке наличия на компьютере узла цепочки блоков с незащищенным файлом кошелька. Даже если у этого файла кошелька есть пароль, если вредоносная программа использует регистратор нажатий клавиш, она может захватывать все, что вводит пользователь на компьютере.
Он сказал, что есть много нюансов, но по мере приближения криптовалюты к массовому внедрению небрежная практика хранения может сделать криптовалютные кошельки более доступными, чем банки или даже кредитные карты.
Взлеты биткоина (BTC) и эфира (ETH) вызывают интерес у новых пользователей, которые могут быть особенно восприимчивы к такого рода атакам.
Пандемия создает новые уязвимости
Угроза вредоносного ПО только возросла, поскольку во время пандемии коронавируса людей заставляли работать и жить удаленно, увеличивая количество времени, которое они проводят в сети, и количество используемых ими систем.
Согласно недавнему отчету Malwarebytes, компании, специализирующейся на борьбе с вредоносными программами, во время пандемии значительно увеличилось использование таких программ, как AveMaria и NetWiredRC, которые допускают такие нарушения, как доступ к удаленному рабочему столу и кража паролей. Они обнаружили, что AveMaria выросла на 1219% с января по апрель по сравнению с 2019 годом; NetWiredRC зафиксировала увеличение количества обнаружений на 99% с января по июнь, в основном нацеленных на предприятия.
Является ли очевидная защита лучшей защитой?
Пол Уолш, генеральный директор компании по кибербезопасности MetaCert, сказал, что с учетом выявленных векторов атак традиционные модели выявления и защиты от этих атак являются ошибочными.
По словам Уолша, подавляющее большинство вредоносных программ доставляется через фишинговые электронные письма и вредоносные URL-адреса, количество которых превышает количество опасных вложений (например, Anubis) в пять раз.
«Большинство проблем безопасности, связанных с опасными URL-адресами, остаются незамеченными и, следовательно, не блокируются», – сказал он.
В мире существуют тысячи поставщиков средств обеспечения безопасности, но лишь немногие из них владеют собственными «системами анализа угроз. Эти компании лицензируют данные другим компаниям. Хотя компания Уолша Metacert имеет систему анализа угроз, у них могут быть URL-адреса, которых, например, не будет в Google.
И если люди адаптируют целевые фишинговые атаки для конкретной компании, ущерб обычно наносится довольно быстро, прежде чем база данных безопасности или фирма могут узнать о существовании специализированного веб-сайта.
По словам Уолша, продолжительность жизни или временные рамки, в течение которых фишинговая атака достигает своей цели, составляет около семи минут. Но охранным компаниям может потребоваться до двух или трех дней на выявление и проверку новых фишинговых атак, особенно если они предназначены для компании или частного лица.
Уолш говорит, что важны надежные пароли и двухфакторная аутентификация. Yubikey, по сути, аппаратная версия двухфакторной аутентификации, на один шаг впереди, но поддерживается не всеми веб-сайтами.
