Автор
Elly
в Конкурсы и викторины
-
Похожий контент
-
Автор KL FC Bot
Паттерны вредоносной активности — одна из главных характеристик, позволяющих атрибутировать образцы ВПО и другие инструменты конкретной группе злоумышленников, своевременно детектировать атаку и митигировать ее последствия. За последнее время ландшафт угроз, складывающийся из этих паттернов, претерпел существенные изменения. Если раньше атакующие чаще всего использовали общедоступный инструментарий, схожие вектора заражения и вообще, действовали по уже известным схемам, то на сейчас ситуация кардинальным образом изменилась. Большинство современных кластеров атакующих разрабатывают и развивают собственный инструментарий, в котором предыдущий образец ВПО может быть лишь функцией нового; поддерживают массив сетевой инфраструктуры с возможностью быстрой замены серверов; а также используют для создания ВПО генеративный ИИ, что позволяет им увеличить количество векторов заражения и смешать свои паттерны поведения со сгенерированными.
Конкретные примеры современных вредоносных кампаний
Несмотря на эти изменения, наши эксперты продолжают активно отслеживать новые вредоносные кампании и реагировать на современные угрозы. Вот несколько примеров вредоносных кампаний, обнаруженных и проанализированных нашими специалистами.
Вредоносная кампания Librarian Likho
Данная кампания отличается от предыдущих активностей той же группы прежде всего масштабом. Наши технологии зарегистрировали более тысячи вредоносных писем почти идентичной структуры, разосланных организациям из госсектора, строительной и промышленной отраслей, что прямо указывает на автоматизацию проводимых атак.
Точкой входа служит письмо с вредоносным вложением, замаскированным под офисный документ, с именем вроде «Контракт на оказание услуг по Договору № 5445-95. Исх. № 125.com». После внимательного исследования наши эксперты выяснили, что файл в действительности является исполняемым инсталлятором Smart Install Maker. При запуске он распаковывает в директорию %TEMP% два .cab-архива с набором инструментов, а для отвлечения открывает файл-приманку doc30.doc —офисный документ с типичным деловым содержимым, который должен убедить жертву, что ничего необычного не происходит.
View the full article
-
Автор KL FC Bot
Периодически у компаний возникает необходимость встроить в какой-либо продукт или сервис проверку файлов или ссылок на наличие киберугроз. Например, чтобы обезопасить работу в публичном или корпоративном облаке или защитить какую-нибудь платформу для совместной работы в целом. В нашем портфолио есть удобный инструмент, позволяющий решить эту проблему, — Kaspersky Scan Engine.
Scan Engine подходит для множества различных сценариев: проверки загрузок во внутренние системы; сканирования объектов, загружаемых из Интернета; защиты файловых и резервных хранилищ; контроля файлов и ссылок, которыми сотрудники обмениваются через корпоративные мессенджеры; и для многого другого. Движок может работать через протоколы HTTP или ICAP и имеет богатый REST-API, что позволяет ему взаимодействовать практически с любым сетевым решением. Поэтому достаточно часто к нам приходят клиенты с конкретными вопросами: «А как нам встроить Kaspersky Scan Engine в %название продукта%?»
Разумеется, для того чтобы помочь клиентам интегрировать Scan Engine, у нас есть страница на портале технической поддержки. Но мы, к сожалению, не можем опубликовать на ней инструкции для всех сторонних сервисов и приложений, с которыми Kaspersky Scan Engine может взаимодействовать, — их слишком много. Поддержка актуальности, регулярное обновление и перепроверка этих данных перед каждым обновлением отнимала бы слишком много ресурсов (особенно с учетом того, что регулярно обновляется не только Kaspersky Scan Engine, но и продукты, с которыми он интегрируется).
Однако за время существования Kaspersky Scan Engine мы неоднократно помогали клиентам настроить взаимодействие нашего движка с разными продуктами и сервисами. Было бы обидно, если бы наш опыт никак не использовался, — запросы на интеграцию редко бывают уникальными, обязательно найдется кто-то, кому были бы полезны настройки и советы. Поэтому мы решили опубликовать набор интеграционных сценариев, записанных нашими инженерами.
View the full article
-
Автор KL FC Bot
В последние годы фишинговые рассылки стали намного хитрее и убедительнее. Почтовые адреса почти неотличимы от настоящих, письма составлены очень грамотно, к пользователям обращаются по настоящему имени… Но как быть, если на почту пришло подозрительное письмо c действительно легитимного адреса электронной почты?
В последнее время злоумышленники активно используют для фишинговых атак платформу Google AppSheet: через нее можно настроить почтовую рассылку, которая отправляется c почтового адреса, связанного с Google. В результате атаки злоумышленники крадут учетные записи и конфиденциальные данные своих жертв.
В этой статье рассказываем, как работает новая схема кражи данных и как защититься от хитрых фишинговых атак.
Вас зовет на работу Apple. Или нет?
AppSheet — это сервис Google, который позволяет собирать приложения без навыков программирования. Им часто пользуются в малом бизнесе для автоматизации рутинных процессов. К сожалению, именно эта простота делает AppSheet привлекательным и для злоумышленников. Теперь для запуска фишинговой схемы достаточно заплатить всего несколько долларов и по-быстрому собрать программу из готовых команд и блоков.
Сценарий фишинговых атак через AppSheet довольно стандартен. Жертве приходит письмо от имени крупной компании — причем начинаются такие письма зачастую с поименного обращения. Скорее всего, злоумышленники обрабатывают данные из утечек и просто подставляют имена, связанные с конкретными адресами электронной почты.
Дальше злоумышленники пытаются сыграть на эмоциях получателя — либо запугивая грозными предупреждениями, требующими якобы немедленных действий («мы скоро отключим ваш аккаунт», «замечена подозрительная активность»), либо радуя заманчивыми предложениями вроде возможности получить значок верификации аккаунта или приглашение на собеседование в крупную компанию. «Письма счастья» от «кадровых отделов» при этом составлены так, чтобы у получателя возникло ощущение, будто его кандидатуру уже рассмотрели, высоко оценили и готовы принять его на работу хоть завтра.
View the full article
-
Автор KL FC Bot
Злоумышленники уже начали подготовку к главному футбольному событию этого года — чемпионату мира 2026 года. Миллионы фанатов будут искать возможность посмотреть матчи онлайн, в частности через IPTV-приложения, которые используются для трансляции телеканалов через Интернет. Поэтому неудивительно, что за прошедшие несколько месяцев исследователи кибербезопасности зафиксировали несколько случаев распространения вредоносного ПО под видом IPTV-приложений для Android.
В этом посте поговорим о том, что представляют собой IPTV-приложения, как с помощью их поддельных версий преступники распространяют вредоносное ПО, на что оно способно и, главное, как не стать жертвой.
Что такое IPTV-приложения
Аббревиатура IPTV расшифровывается как Internet Protocol Television (телевидение по протоколу Интернета). Эта технология позволяет обеспечивать доставку телевизионного контента через Интернет, а не через кабель, эфирную антенну или спутник. Соответственно, самый простой и распространенный пример IPTV — это официальные платформы телеканалов. Речь может идти как о сайтах, так и о приложениях.
Однако помимо официальных существуют также и пиратские IPTV-сервисы. Обычно они привлекают пользователей бесплатным или очень дешевым доступом к контенту, который может быть нелегко найти без дорогостоящих подписок — в первую очередь это трансляции различных спортивных мероприятий и, в частности, футбольных матчей.
Как это обычно бывает с пиратским контентом, в официальные магазины такие приложения не пускают, поэтому пользователям приходится скачивать их со сторонних площадок. Соответственно, риск использования подобных сервисов связан не с технологией IPTV как таковой, а с поддельными приложениями и модифицированными APK-файлами, которые распространяются под видом приложений известных платформ — как официальных, так и пиратских.
View the full article
-
Автор KL FC Bot
Хотя многие компании осознанно внедряют ИИ для повышения качества и эффективности, еще быстрее в них появляются ИИ-инструменты, руководством не санкционированные. ИИ встраивают в уже применяемые компанией решения сами разработчики ПО (например, Microsoft Copilot и Gemini), а также самовольно устанавливают сотрудники. В результате бизнес сталкивается с плохо контролируемым каналом утечки данных: сотрудник вставляет информацию из корпоративных систем в чат с ИИ-помощником, и данные уходят не только производителю SaaS-решения, но и разработчикам ИИ-модели, с которой это SaaS-решение работает. И риски, и способы их снижения отличаются для разных видов ИИ-систем. Мы дадим обзор этой широкой темы, сфокусировавшись на инструментах детектирования и блокировки ИИ на двух уровнях.
Виды нежелательных ИИ-систем
В зависимости от разновидности ИИ, контролировать и блокировать его использование нужно по-разному. Важно различать следующие четыре вида ИИ.
ИИ-возможности, встроенные в платформу: Microsoft Copilot, Google Gemini, Apple Intelligence; сюда же можно отнести ИИ-функции, встроенные прямо в браузер. Ключевая особенность этих ИИ — они встроены прямо в приложения первой необходимости, доступны каждому пользователю (и порой навязчиво всплывают), а главное — все производители пытаются включить их по умолчанию. Помощники, встроенные в бизнес-приложения. К этой категории относятся Slack AI, Zoom AI Companion, Notion AI, помощник Rovo в Jira и так далее. Они доступны всего на одной платформе и от нее неотделимы. Доступные отдельно чат-боты в виде сайтов и приложений: ChatGPT, Claude, Perplexity, Character AI, локальные решения наподобие LM Studio, расширения для браузера, а также агентные браузеры вроде Comet. Приложения и сервисы этой категории чаще всего применяют сами сотрудники без разрешения, это обычно «теневой ИИ». Многофункциональные агенты, запускаемые на компьютере. К этой категории относятся OpenClaw, NanoClaw, NemoClaw и тому подобные решения. Они наиболее опасны, поскольку по умолчанию обладают широкими правами доступа и работают с недоверенными данными из Интернета.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти