Автор
KL FC Bot
в Новости и события из мира информационной безопасности
-
Похожий контент
-
Автор KL FC Bot
В конце 2024 года наши эксперты обнаружили новый стилер Arcane — он умеет собирать множество различных данных с зараженного устройства. Злоумышленники пошли дальше и выпустили загрузчик ArcanaLoader, который якобы скачивает читы, кряки и прочие «полезности» для геймеров, а на деле заражает устройство стилером Arcane. Кажется, что с креативом у них все очень плохо, но это касается только названий. Схема распространения трояна и сама идея довольно-таки оригинальны.
Надеемся, вы уже знаете, что не нужно скачивать все подряд из ссылок под видео на YouTube? Еще нет? Тогда читайте эту историю.
Как распространяют стилер Arcane
Вредоносная кампания, в которой мы обнаружили стилер Arcane, была активна еще до его появления на свет. Проще говоря: сначала злоумышленники распространяли другие вредоносы, а потом заменили их на Arcane.
Как выглядела схема. Ссылки на запароленный архив с вредоносным содержимым располагались под YouTube-роликами с рекламой читов для игр. В архиве всегда был вовсе не подозрительный BATCH-файл start.bat. Функциональность его сводилась к запуску PowerShell для скачивания еще одного запароленного архива, внутри которого лежали два исполняемых файла: майнер и стилер VGS. Вот им-то на смену и пришел Arcane. Новый стилер сначала продвигали точно так же: ролик, первый вредоносный архив, затем второй — и троян на устройстве жертвы.
Спустя несколько месяцев злоумышленники усовершенствовали схему и к видео на YouTube стали прикладывать ссылку на ArcanaLoader — загрузчик с графическим интерфейсом, нужный якобы для скачивания и запуска читов, кряков и прочего подобного ПО. На самом деле ArcanaLoader заражал устройство стилером Arcane.
Внутри клиента — куча вариантов читов для Minecraft
View the full article
-
Автор KL FC Bot
Частенько на кассе супермаркета кассир предлагает купить товары по акции: «Шоколадку будете? Очень хорошая, с большой скидкой сейчас». Если вам повезет, вы получите вкусный бонус по хорошей цене; но гораздо вероятнее, что вам пытаются продать не самый ходовой товар — либо с истекающим сроком годности, либо с еще какими-то скрытыми недостатками.
А теперь представьте, что от шоколадки вы отказались, но вам все равно ее незаметно подбросили в пакет или — еще хуже — в карман, где она растаяла, испортила вещи, продукты и принесла кучу проблем. Похожая ситуация произошла с пользователями, купившими поддельные смартфоны известных марок на маркетплейсах. Нет, в подарок им подсунули не шоколадку, а вшитый в прошивку новенького — из коробки — смартфона троян Triada, который доставляет куда больше неприятностей, чем растаявшая плитка: кража криптовалют, аккаунтов в Telegram, WhatsApp и соцсетях, перехват SMS-сообщений и многое другое.
Что за Triada
Так мы в «Лаборатории Касперского» назвали троян, который впервые обнаружили и подробно описали в 2016 году. Этот мобильный зловред внедрялся практически во все запущенные на устройстве процессы, существуя при этом только в оперативной памяти.
Появление Triada означало новый этап в эволюции мобильных угроз, направленных на Android. До Triada трояны были довольно-таки безобидными, специализировались в основном на показе рекламы и скачивании себе подобных, но новая угроза показала, что отныне все будет иначе.
Со временем уязвимости в Android, которые эксплуатировали в том числе и ранние версии Triada, были устранены, а в прошивки добавили ограничения на работу суперпользователей — например, запрет на редактирование системных разделов даже с root-правами в новых версиях Android. Остановило ли это киберпреступников? Конечно, нет. В марте 2025-го мы обнаружили «адаптированную к трудностям» версию Triada, которая умудряется извлечь пользу из новых ограничений: злоумышленники заражают прошивки смартфонов еще до их продажи, и предустановленные в системных разделах зловреды оказывается практически невозможно удалить.
View the full article
-
Автор KL FC Bot
Свадьба — это, пожалуй, одно из главных событий в жизни каждого человека. Во многих странах принято приглашать на торжество сотни людей — в том числе и малознакомых. Особенностями традиций пользуются и кибернегодяи — они используют приглашения на свадьбу в качестве приманки для дальнейшей атаки на пользователей смартфонов на Android.
Рассказываем, что на этот раз придумали злоумышленники и как от этого защититься.
Как связаны свадьбы и APK-файлы
Возможно, вы уже слышали про нашу глобальную сеть обмена сведениями об угрозах Kaspersky Security Network (KSN). В ней в 2024 году мы заметили несколько подозрительных и однозначно вредоносных образцов APK-файлов, распространявшихся в Малайзии и Брунее. Вместе с этим в соцсетях были обнаружены многочисленные треды пользователей Android из тех же стран: они жаловались на взломы личных аккаунтов в WhatsApp и рассылку через мессенджеры подозрительных APK-файлов.
Связав две эти истории воедино, мы поняли: злоумышленники отправляют пользователям Android в Брунее и Малайзии приглашения на свадьбы в виде… APK-файла, который необходимо самостоятельно установить на свой смартфон. В переписке злоумышленник начинает с извинений за то, что приглашает на такое важное событие через WhatsApp, а не лично, и любезно предлагает найти время и место торжества в приложенном файле. Как вы уже догадались, к сообщению приложен тот самый вредоносный APK-файл, обнаруженный нами в KSN.
Примеры приглашений на свадьбу, которые рассылают злоумышленники на индонезийском языке
В этой схеме используются две версии одного и того же стилера (одна появилась в марте 2024-го, а другая, с дополнительной функциональностью, — в августе), который мы назвали Tria — по имени пользователя, предположительно, отвечающего за поддержку или даже за всю организацию этой кампании.
View the full article
-
Автор KL FC Bot
Многие пользователи macOS уверены, что вредоносного ПО для этой операционной системы не бывает, поэтому о безопасности можно никак специально не заботиться. На самом деле это совсем не так, и тому постоянно появляются все новые подтверждения.
Есть ли вирусы для macOS?
Есть, и много. Вот несколько примеров «маковых» зловредов, о которых мы ранее писали в блогах Kaspersky Daily и Securelist:
Ворующий криптокошельки троян, мимикрирующий под пиратские версии популярных приложений для macOS. Вредоносная нагрузка этого трояна содержится в «активаторе», до запуска которого взломанные приложения просто не работают. Источник
Еще один троян для macOS, ворующий криптовалюту, маскировался под PDF-документ, озаглавленный «Криптоактивы и их риски для финансовой стабильности». Троян, использовавший зараженные «Маки» для организации сети нелегальных прокси-серверов, пропускающих через себя вредоносный трафик. Стилер Atomic, распространявшийся под видом обновлений для браузера Safari. Список можно было бы продолжить предыдущими публикациями, но гораздо интереснее познакомиться с одним из свежих вирусов, охотящихся на пользователей macOS. Встречайте героя этого поста — стилер Banshee.
View the full article
-
Автор KL FC Bot
За последние несколько лет приложения практически всех российских банков исчезли из магазина App Store. Нет, сами приложения в порядке: получают обновления, новые фичи, ими по-прежнему можно пользоваться. Проблемы только с установкой: теперь поставить приложения отечественных банков на смартфон зачастую можно только с помощью специалистов этих самых банков.
Свято место пусто не бывает, и в App Store завелись мошеннические приложения онлайн-банкинга. Только в ноябре 2024 года наши эксперты обнаружили несколько поддельных приложений, которые якобы позволяют клиентам в России вновь пользоваться услугами онлайн-банкинга. На момент публикации эти приложения уже были удалены из App Store, но мошенники легко могут выпустить новые аналогичные аппы. Как работают приложения-подделки и как их распознать — читайте в этом материале.
App Store — не панацея от вредоносных приложений
Официальный магазин приложений Apple принято считать практически неуязвимым. В отличие от Google Play, в него якобы не могут просочиться ни фальшивые приложения, ни вредоносное ПО. Это заблуждение: на самом деле в App Store пользователей подстерегают точно такие же опасности, как и в других магазинах. Да, возможно, в магазине Apple этих опасностей меньше, но они все еще есть. Так, в конце 2023 года мы посвятили большой пост теме фейковых инвестиционных приложений в App Store — прочитать его можно по ссылке, да и раньше не раз писали про поддельные приложения в App Store.
Как мошенники просачиваются в официальный и, казалось бы, защищенный магазин? Известны как минимум два способа:
Скамеры создают приложения-подделки с платными функциями. Иконка, название, интерфейс и даже тексты могут быть практически такими же, как в оригинальном приложении. Единственное исключение — наличие какой-либо платной функции. Например, в случае с банковскими приложениями мошенники предлагают заплатить за доступ к личному кабинету — от 299 до 999 рублей в зависимости от периода подписки. После того как жертва заплатит, в приложении откроется легитимная страница для входа в личный кабинет веб-версии банка, доступ к которой на самом деле совершенно бесплатный. Мошенники подменяют контент в приложении после прохождения модерации Apple. Абсолютно каждое приложение в App Store, равно как и в других популярных магазинах приложений, должно пройти внутреннюю модерацию. Скамеры научились обходить эту проверку, предположительно, так: на этапе модерации в приложении отображается безобидный легитимный контент, а после одобрения приложения происходит подмена. Такой трюк возможен благодаря тому, что подобные приложения подгружают контент из Интернета как обычные HTML-страницы, и ничего не мешает скамерам отредактировать эти страницы уже после прохождения модерации. Архитектура iOS выстроена таким образом, что все приложения в ней изолированы от системы и пользовательских данных. По этой причине антивирус в традиционном его виде попросту нельзя создать — доступа к другим приложениям и их контенту он не получит. Зато можно заблокировать переход по фишинговым страницам вместе с Kaspersky для iOS — наше решение не даст вам открыть опасную страницу, фишинговый контент из поддельного приложения не загрузится, вместо него вы увидите соответствующее предупреждение защитного приложения.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти