ПО для взлома банков пряталось в облаке Google

Облако подподозрением Банковские и финансовые учреждения в США и Великобританиистали объектом фишинговой кампании, в ходе которой основные вредоносныепрограммные элементы хранятся и раздаются через Google Cloud Storage. Атака начинается с массовой рассылки сообщений, содержащихссылки на сжатые файлы с расширениями .zip или .gz. Внутри архивов содержитсявредоносный код. Хостинг вредоносов на storage.googleapis.com позволяетзлоумышленникам обходить защитные инструменты: огромное количество компанийиспользуют этот домен для своих нужд, так что он рассматривается как заведомонадежный, и коммерческие защитные инструменты обычно игнорируют его. «Это пример растущей популярности “репутационного перехвата”— атаки, при которой злоумышленники прячутся за хорошо известными, популярнымихостинг-сервисами, чтобы избегать обнаружения», — говорится в анализе фирмыMenlo Labs, выявившей проблему. Фишеры спрятали вредоносное ПО для банков в облаке Google Злоумышленники не случайно выбирают такой способраспространения угрозы. Многие защитные продукты легко распознают вредоносныевложения в почту, однако переход по ссылкам на веб-ресурсы злоумышленниковбудут блокировать только в том случае, если домены уже находятся в черномсписке. Домен storage.googleapis.com, естественно, не будет рассматриваться каквредоносный. Houdiniи QRat — старые знакомые Эксперты Menlo Labs проанализировали вредоносное содержимоерассылаемых в рамках кампании архивов. Часть этих файлов представляла собойскрипты VBS, подвергнутые тщательной обфускации (запутыванию кода). Аналитикам удалосьвыяснить, что эти скрипты скачивали вредоносы семейства Houdini/jRAT и QRat. Houdini представляет собой типичного компьютерного червя,который появился в 2013 г. и с тех пор активно используется и столь же активносовершенствуется. В течение 2019 г. было отмечено три всплеска распространениявредоноса через ресурсы Pastebin. В свою очередь, jRAT и QRat — это средства удаленногоуправления зараженными компьютерами. «RAT — один из инструментов, наиболее активно используемыхзлоумышленниками для закрепления в инфраструктуре атакуемой организации, —отмечает Михаил Зайцев, эксперт поинформационной безопасности компании SEC Consult Services. — При атаках нафинансовые организации злоумышленники заинтересованы в длительном сохраненииприсутствия и возможности доступа к ключевым узлам корпоративных сетей.Средства удаленного администрирования в этом плане для них — незаменимая вещь». Короткая ссылка на материал: http://cnews.ru/link/n464141 Ссылка на источник