Скрытое вредоносное ПО показывает, почему не стоит открывать неизвестные электронные письма

8 июля, 2022 Дядя Влад

Недавно был обнаружен новый тип вредоносного ПО, которому удалось обойти 56 отдельных антивирусных продуктов, прежде чем его наконец поймали.

Вредоносная программа при запуске может нанести серьезный ущерб вашему устройству — и кажется, что она настолько хорошо сделана, что может быть продуктом национальных акторов. Открытие вложения электронной почты — это все, что нужно, чтобы предоставить ему достаточно доступа, чтобы нанести ущерб.

Руки на ноутбуке. — EThamPhoto / Getty Images

Unit 42, команда по анализу угроз из Пало-Альто, только что опубликовала отчет о вредоносном ПО, которому удалось избежать обнаружения 56 антивирусными продуктами. По словам команды, способ создания, упаковки и развертывания вредоносного ПО очень похож на различные методы, используемые группой угроз APT29, также известной под именами Iron Ritual и Cozy Bear. Эта группа была приписана Службе внешней разведки России (СВР), что указывает на то, что рассматриваемое вредоносное ПО может быть делом национального государства.

Согласно Unit 42, вредоносное ПО было впервые обнаружено в мае 2022 года и было обнаружено, что оно скрыто в файле довольно странного типа — ISO, который представляет собой файл образа диска, используемый для хранения всего содержимого оптического диска. Файл поставляется с вредоносной полезной нагрузкой, которая, по мнению Unit 42, была создана с помощью инструмента под названием Brute Ratel (BRC4). BRC4 гордится тем, что его трудно обнаружить, ссылаясь на тот факт, что авторы инструмента перепроектировали антивирусное программное обеспечение, чтобы сделать инструмент еще более незаметным. Brute Ratel особенно популярен среди APT29, что придает дополнительный вес утверждению о том, что это вредоносное ПО может быть связано с базирующейся в России группой Cozy Bear.

Файл ISO выдает себя за биографию (резюме) человека по имени Рошан Бандара. По прибытии в почтовый ящик получателя он ничего не делает, но при нажатии монтируется как диск Windows и отображает файл под названием «Roshan-Bandara_CV_Dialog». В этот момент легко обмануться — файл выглядит как обычный файл Microsoft Word, но если вы щелкнете по нему, он запустит cmd.exe и продолжит установку BRC4.

Когда это будет сделано, с вашим компьютером может произойти что угодно — все зависит от намерений злоумышленника.

Unit 42 отмечает, что обнаружение этой вредоносной программы вызывает беспокойство по ряду причин. Во-первых, существует высокая вероятность того, что он связан с APT29. Помимо перечисленных выше причин, файл ISO был создан в тот же день, когда была опубликована новая версия BRC4. Это говорит о том, что поддерживаемые государством участники кибератак могут планировать свои атаки, чтобы развернуть их в наиболее подходящее время. APT29 также использовал вредоносные ISO-образы в прошлом, так что, похоже, все идет своим чередом.

Почти необнаруживаемость сама по себе вызывает беспокойство. Чтобы вредоносное ПО было настолько скрытным, требуется много работы, и это говорит о том, что такие атаки могут представлять реальную угрозу, если их использует неправильная команда людей.

Как вы можете оставаться в безопасности?

Цифровой защитный замок. — zf L / Getty Images

На фоне частых сообщений о массовом росте кибератак в последние годы можно надеяться, что многие пользователи теперь лучше осознают опасность чрезмерного доверия случайным людям и их файлам. Однако иногда эти атаки исходят из неожиданных источников и в различных формах. Огромные распределенные атаки типа «отказ в обслуживании» (DDoS) происходят постоянно, но это больше проблема для корпоративных пользователей. Иногда программное обеспечение, которое мы знаем и которому доверяем , может быть использовано в качестве приманки , чтобы заставить нас доверять загрузке. Как оставаться в безопасности, когда опасность, кажется, таится за каждым углом?

Прежде всего, важно понимать, что многие из этих крупномасштабных кибератак нацелены на организации — маловероятно, что жертвами станут отдельные лица. Однако в данном конкретном случае, когда вредоносное ПО скрыто в ISO-файле, который выдает себя за резюме, вполне вероятно, что его могут открыть люди из различных отделов кадров, в том числе из небольших организаций. В крупных компаниях часто есть более надежные ИТ-отделы, которые не позволят открыть неожиданный файл ISO, но вы никогда не знаете, когда что-то может ускользнуть.

Имея в виду вышеизложенное, никогда не будет плохой идеей следовать очень простому правилу, о котором многие из нас до сих пор иногда забывают — никогда не открывать вложения от неизвестных получателей. Это может быть сложно для отдела кадров, который активно собирает резюме, но вы, как личность, можете внедрить это правило в свою повседневную жизнь и ничего не упустить. Также неплохо было бы выбрать один из лучших доступных вариантов антивирусного программного обеспечения . Тем не менее, наибольшей безопасности можно добиться, просто внимательно просматривая и не посещая веб-сайты, которые могут показаться не слишком законными, а также осторожно относясь к своей электронной почте.