Киберпреступники маскируются под бизнес-мессенджеры
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
В наше время даже обычные инструменты удаленного доступа превращаются в оружие кибервзломщиков. Исследователи из компании LevelBlue сообщили, что преступники распространют заражённую версию популярного ПО для удаленного управления — ConnectWise ScreenConnect. Обычно эту программу используют ИТ-специалисты и сервисные службы для помощи на расстоянии: удалённый доступ к компьютерам, проведение совещаний, настройка без присутствия пользователя. Программа работает на разных устройствах: компьютерах, смартфонах, через интернет-браузеры. Но теперь этот полезный инструмент стал приманкой для жертв.
Кибератака начинается с письма-"фишинга" — мошенники подделывают сообщения, маскируясь под финансовые или деловые документы. Получатель видит знакомый файл, устанавливает ScreenConnect — и добровольно открывает ворота злоумышленнику. Тот незаметно разворачивает вредонос без файлов — AsyncRAT, который действует в памяти, не оставляя следов на жёстком диске.
AsyncRAT не просто шпионит: он перехватывает нажатия клавиш, ворует пароли из браузеров, собирает информацию о системе и особенно охотится за кошельками криптовалют — в том числе в браузерных расширениях. Это открывает путь к краже ваших цифровых активов.
Эксперты подчеркивают: "Файлесс-малварь" — вредонос без файлов — особенно трудно выявлять и удалять. Она действует тихо, используя встроенные инструменты самой операционной системы. AsyncRAT — открытое ПО, доступное с 2019 года. Им пользуются и новички-воры, и более организованные преступные группировки. Эта "крыса" (слово RAT — Remote Access Trojan, удаленный троян), распространяется с помощью писем и вложений, часто участвует в сложных многоступенчатых атаках и даже нацелена на медицинские учреждения. В отличие от некоторых вирусов, AsyncRAT не принадлежит одной группировке — её используют все, кому не лень.
Ах, снова корпоративные инструменты стали игрушкой для тех, кто умеет воровать под видом работы. Злоумышленники притворяются помощниками — отправляют программку, похожую на нужную бизнесу, а на самом деле прицепляют троян. Получатель думает — облегчает работу, а на самом деле открывает окна в собственную цифровую крепость. Как мило: доверие к инструментам стало дверью для AsyncRAT — вредоносного зверя, охотящегося за паролями и крипто-кошельками.
Двойная ирония: раньше изобретали прикладные программы для зла, теперь берут готовое из open source. Чем проще — тем лучше. Условный Вася из Иванова скачал "документ от бухгалтерии" — и вдруг его Windows уже слушает каждое нажатие клавиши. Троян действует тихо, ничего не пишет на диск, затаился в оперативной памяти — ищи-свищи. Даже врачи попали: и у них цифровые карты — лакомый кусок для телеботы с AsyncRAT.
В конце — мораль банальна даже для Ветхого Завета: доверяешь почте и скачиваешь утилиту — не расплачивайся паролями, карточками, здоровьем. Corporate IT стал новым полем битвы за искренность, а "отмеченная" ссылка — новым яблоком соблазна. Всё это — блюдо подано с привкусом корпоративного доверия и программной лени. Приятного аппетита.