Масштабная кибератака: троян в расширениях Chrome и Edge поразил 300 000 пользователей

Группа исследователей из ReasonLabs выявила активную масштабную киберкампанию, в ходе которой используется троян для установки мошеннических расширений в браузерах Google Chrome и Microsoft Edge. По оценкам специалистов, вредоносное ПО уже поразило более 300 000 пользователей.

Заражение происходит через фальшивые веб-сайты, которые маскируются под известное программное обеспечение, такое как Roblox FPS Unlocker, YouTube, VLC media player, Steam и KeePass. Злоумышленники активно используют вредоносную рекламу, чтобы перенаправлять пользователей на эти поддельные ресурсы и побуждать их скачивать зараженные файлы.

После установки вредоносного расширения происходит изменение системных настроек Windows, включая реестр. Это позволяет трояну принудительно устанавливать расширения в браузеры, которые затем невозможно отключить стандартными методами. Эти расширения перехватывают поисковые запросы и перенаправляют их на серверы, контролируемые злоумышленниками (Codeby Security Forum) (Tech News & Reviews).

Троян регистрирует задачи, которые запускают PowerShell-скрипты для загрузки дополнительных вредоносных модулей с удаленных серверов. Эти модули имеют широкий спектр функций — от кражи личных данных до исполнения команд, поступающих с серверов управления. Также троян может отключать обновления браузеров, предотвращая попытки устранения угрозы (Tech News & Reviews).

Вредоносное ПО способно перехватывать и модифицировать веб-запросы, что позволяет злоумышленникам контролировать онлайн-активность пользователя. Кроме того, троян может загружать скрипты на посещаемые страницы, что увеличивает риск компрометации данных.

Эта кампания является примером того, насколько сложными и многоэтапными могут быть современные киберугрозы. Она демонстрирует необходимость повышения осведомленности пользователей о кибербезопасности.

С момента появления генеративного искусственного интеллекта в конце 2022 года появилось множество публикаций о его влиянии на кибербезопасность. В 2023 году выплаченные суммы по программам-вымогателям превысили 1,1 миллиарда долларов. Реальность такова, что киберпреступники, вооруженные технологиями ИИ, становятся всё более активными, настойчивыми и изощренными в своих атаках.

Исследования показывают, что 45% бизнес-лидеров обеспокоены ухудшением ситуации с угрозами из-за использования искусственного интеллекта. Эта обеспокоенность подтверждается и Национальным центром кибербезопасности Великобритании (NCSC), который отмечает, что ИИ делает киберпреступность более доступной и позволяет новичкам проводить сложные атаки, которые ранее были доступны только опытным злоумышленникам.

В эпоху ИИ фишинг остаётся основным вектором атак, позволяя преступникам проникать в организации. Компаниям необходимо понимать, как ИИ используется киберпреступниками, чтобы разработать эффективные стратегии кибербезопасности.

Во-первых, ИИ повышает эффективность и точность атак. Большие языковые модели (LLM) позволяют автоматизировать и оптимизировать кибератаки, делая их более точными. Алгоритмы машинного обучения (ML) помогают быстро анализировать большие объёмы данных, выявлять уязвимости и проводить атаки с минимальным участием человека. Это способствует более успешным фишинговым кампаниям, распространению вредоносного ПО и использованию слабых мест в системах безопасности.

Хотя большинство LLM имеют встроенные меры защиты от злоупотреблений, их можно обойти, а также использовать вредоносные версии популярных моделей, такие как WormGPT и DarkBERT, для создания правдоподобных фишинговых писем. Также регионы, где фишинг был менее распространён, могут столкнуться с его ростом благодаря способности злоумышленников создавать практически безупречные переводы писем, не владея языком. Такая масштабируемость позволяет преступникам охватывать больше жертв с меньшими усилиями.

Кроме того, ИИ помогает злоумышленникам разрабатывать более сложные методы обхода систем обнаружения и адаптироваться к мерам защиты. LLM могут генерировать полиморфные вредоносные программы, которые постоянно изменяют свой код, чтобы избежать обнаружения традиционными системами безопасности. Это не только увеличивает эффективность атак, но и позволяет преступникам проводить атаки в больших масштабах с беспрецедентной скоростью.

Построить устойчивую к кибератакам организацию невозможно без вовлечения каждого сотрудника. Всем нужно понимать текущий ландшафт угроз, особенно учитывая, что выявление угроз становится всё сложнее. С таким пониманием сотрудники смогут лучше замечать подозрительные действия и избежать ошибок, таких как переход по ссылке или подтверждение запроса MFA.

Для вовлечения сотрудников обучение должно быть постоянным и интересным. Оно должно включать небольшие, интерактивные и практичные учебные модули, а также имитации фишинговых атак, чтобы сотрудники могли применить полученные знания. Если сотрудник попадается на фишинг, его следует немедленно обучить, чтобы закрепить урок. Со временем система может автоматически уменьшать обучение для тех, кто успешно избегает фишинга, и усложнять задания для них. Напротив, постоянным нарушителям нужно предоставлять дополнительные тренинги и симуляции.

Постоянное обучение важно ещё и потому, что методы атак постоянно меняются. Например, ранее редкие фишинговые письма с QR-кодами теперь стали привычным явлением. Поэтому важно, чтобы все сотрудники были снабжены необходимыми инструментами для распознавания потенциальных угроз.

В конечном счёте, компаниям нужно признать, что угрозы кибербезопасности постоянно эволюционируют, особенно с появлением ИИ. Преступники используют ИИ для создания сложных фишинговых атак, которые могут вынудить сотрудников раскрыть конфиденциальные данные. Хотя важно внедрять решения по обеспечению безопасности, этого недостаточно. Борьба с угрозами в эпоху ИИ требует многогранного подхода, который сочетает современные технологии с участием всех сотрудников и непрерывным обучением. Только так можно создать устойчивую к кибератакам культуру в организации.

Недавний трансфер румынского футболиста Флоринела Комана в катарский клуб «Аль-Гарафа» обернулся скандалом. Сумма сделки составила 5,25 миллиона евро, но из-за кибератаки ФКСБ, румынский клуб, не получил эти деньги. Вмешательство хакеров через метод BEC (Business Email Compromise) нарушило финансовые планы.

По информации источников, катарский клуб стал жертвой мошенничества. Хакеры взломали электронную почту и перенаправили платеж на неправильный счет. Как стало известно, деньги могли быть переведены в страну, находящуюся в другой части мира, вероятно, во Вьетнам.

Владелец ФКСБ, Джиджи Бекали, выразил свое недовольство и подал официальную жалобу в ФИФА. Он требует компенсацию в размере 6,25 миллиона евро, включая штраф за задержку. Бекали настаивает на немедленной выплате и не собирается ждать завершения расследования.

BEC (Business Email Compromise) — это тип мошенничества, при котором злоумышленники взламывают корпоративную электронную почту, чтобы обманом перенаправить денежные средства или украсть конфиденциальную информацию. Обычно хакеры используют фальшивые электронные письма, подделанные под сообщения от надежных источников, чтобы манипулировать финансовыми транзакциями и обмануть сотрудников компаний.

Эти атаки часто требуют тщательной подготовки и исследования со стороны мошенников, что делает их особенно опасными. Они могут включать в себя фальсификацию электронных адресов, подделку документов и использование сложных схем социальной инженерии.

1. Обучение сотрудников: Важно регулярно проводить обучение для сотрудников по вопросам кибербезопасности. Они должны быть осведомлены о признаках фальшивых сообщений и знать, как правильно проверять подлинность запросов на финансовые транзакции.

2. Многофакторная аутентификация: Использование многофакторной аутентификации для доступа к корпоративной электронной почте и финансовым системам помогает предотвратить несанкционированный доступ.

3. Верификация транзакций: Внедрение процедур двойной проверки для крупных финансовых транзакций может снизить риск. Например, перед осуществлением перевода нужно подтверждать запросы через отдельный канал связи.

4. Обновление программного обеспечения: Регулярное обновление антивирусного ПО и систем безопасности помогает защититься от потенциальных угроз.

Источник новости: SecurityLab

Подписывайтесь на наш Телеграм: