ПО для взлома банков пряталось в облаке Google

ПО Безопасность Бизнес ИТ в банках
мобильная версия
, Текст: Роман Георгиев

Домен облачного хранилища Google как правило рассматривается как заведомо надежный, чем и пользуются злоумышленники: использование этих ресурсов помогает обходить защитные инструменты в корпоративных сетях и обманывать пользователей.


Облако под подозрением

Банковские и финансовые учреждения в США и Великобритании стали объектом фишинговой кампании, в ходе которой основные вредоносные программные элементы хранятся и раздаются через Google Cloud Storage.

Атака начинается с массовой рассылки сообщений, содержащих ссылки на сжатые файлы с расширениями .zip или .gz. Внутри архивов содержится вредоносный код.

Хостинг вредоносов на storage.googleapis.com позволяет злоумышленникам обходить защитные инструменты: огромное количество компаний используют этот домен для своих нужд, так что он рассматривается как заведомо надежный, и коммерческие защитные инструменты обычно игнорируют его.

«Это пример растущей популярности “репутационного перехвата” — атаки, при которой злоумышленники прячутся за хорошо известными, популярными хостинг-сервисами, чтобы избегать обнаружения», — говорится в анализе фирмы Menlo Labs, выявившей проблему.

haker600.jpg
Фишеры спрятали вредоносное ПО для банков в облаке Google

Злоумышленники не случайно выбирают такой способ распространения угрозы. Многие защитные продукты легко распознают вредоносные вложения в почту, однако переход по ссылкам на веб-ресурсы злоумышленников будут блокировать только в том случае, если домены уже находятся в черном списке. Домен storage.googleapis.com, естественно, не будет рассматриваться как вредоносный.

Houdiniи QRat — старые знакомые

Эксперты Menlo Labs проанализировали вредоносное содержимое рассылаемых в рамках кампании архивов. Часть этих файлов представляла собой скрипты VBS, подвергнутые тщательной обфускации (запутыванию кода). Аналитикам удалось выяснить, что эти скрипты скачивали вредоносы семейства Houdini/jRAT и QRat.

Houdini представляет собой типичного компьютерного червя, который появился в 2013 г. и с тех пор активно используется и столь же активно совершенствуется. В течение 2019 г. было отмечено три всплеска распространения вредоноса через ресурсы Pastebin.

В свою очередь, jRAT и QRat — это средства удаленного управления зараженными компьютерами.

«RAT — один из инструментов, наиболее активно используемых злоумышленниками для закрепления в инфраструктуре атакуемой организации, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — При атаках на финансовые организации злоумышленники заинтересованы в длительном сохранении присутствия и возможности доступа к ключевым узлам корпоративных сетей. Средства удаленного администрирования в этом плане для них — незаменимая вещь».