Дайджест Jet CSIRT [11.03.2021]

Вредоносное программное обеспечение BADHATCH вновь атакует пользователей

 

Первые атаки с использованием BADHATCH были обнаружены еще в 2019 году, однако теперь группировка FIN8 применила в одной из своих атак обновленную версию вредоноса. У ВПО появились новые возможности, такие как: захват экрана, прокси-туннелирование, кража учетных данных потенциальных жертв. Сами атаки от FIN8 были нацелены против компаний в страховой и розничной сферах, а также технологической и химической промышленности в США, Канаде, Южной Африке, Пуэрто-Рико, Панаме и Италии.


Обнаружен новый Linux-бэкдор

 

Новый вредонос получил название RedXOR, поскольку использует для шифрования сетевых данный алгоритм шифрования XOR. Бэкдор способен собирать системную информацию (MAC-адрес, имя пользователя, версию дистрибутива и ядра), производить операции с файлами, выполнять команды с системными привилегиями, запускать произвольные шелл-команды и даже удалённо обновляться. В основном использование нового ВПО было замечено в атаках от китайских группировок.


Злоумышленники используют блокировщиков рекламы для добычи криптовалюты

 

Специалисты компании Лаборатории Касперского провели исследование, в ходе которого установили, что злоумышленники используют имена известных блокировщиков рекламы для маскировки вредоносного ПО, направленного на добычу криптовалюты. Среди поддельных имен встречаются имена таких ПО, как AdShield и Netshield. После попадания на устройство жертвы вредонос изменяет настройки DNS, перенаправляя запросы на NS-сервер злоумышленников, что позволяет отслеживать и блокировать обращения к сайтам ИБ-компаний.