В офисном стиле: в РФ распространяется майнер под видом продуктов Microsoft

В России распространяется майнер под видом Microsoft Office. Предварительно, с «вредоносом» столкнулись уже почти 5 тыс. пользователей, рассказали «Известиям» в «Лаборатории Касперского». Атака нацелена на кражу данных либо на скрытую добычу криптовалюты (под видом скачивания Windows). Но эксперты не исключают, что в дальнейшем злоумышленники потенциально могут продавать доступ хакерам к скомпрометированным устройствам.

Как хакеры проникали в компьютеры для похищения данных

Злоумышленники распространяют майнер и троянец ClipBanker под видом офисных приложений Microsoft Office на платформе SourceForge (платформа для размещения программных проектов). В России с этой вредоносной кампанией столкнулись уже более 4,6 тыс. пользователей, рассказали «Известиям» в «Лаборатории Касперского».

— Пользователи, которые искали в интернете на неофициальных ресурсах приложения Microsoft для ПК, могли увидеть страницу, размещенную на одном из доменов сайта SourceForge, где предлагалось скачать такие программы бесплатно. Если человек переходил по ссылке, на странице программы он видел большой перечень популярных офисных приложений Microsoft, доступных для загрузки по кнопке, — объяснил эксперт по кибербезопасности в «Лаборатории Касперского» Олег Купреев.

Однако на самом деле за ней была спрятана гиперссылка, ведущая на скачивание вредоносного архива, отметил он. Внутри содержалось два файла — архив, защищенный паролем, и текстовый документ с паролем. Если человек распаковывал вложенный, защищенный паролем архив, то в результате на компьютер проникали две вредоносные программы.

Первая — это майнер, позволявший злоумышленникам использовать мощности зараженного ПК для добычи криптовалюты. Вторая — ClipBanker — троянец, который подменял адреса криптокошельков для кражи валюты, пояснили там. Приложений Microsoft при этом среди скаченных файлов не оказывалось.

Специалисты по кибербезопасности «Лаборатории Касперского» отмечают: несмотря на то что атака нацелена на кражу данных и майнинг криптовалюты, в дальнейшем злоумышленники могут продавать доступ к скомпрометированным устройствам или использовать его в других целях.

Как пользователи могут себя обезопасить

Подобные «вредоносы», скрывающиеся под приложениями Microsoft, — это тревожный сигнал для всех пользователей, которые ищут бесплатное ПО в интернете. Важно понимать, что использование нелицензионных программ — это не только нарушение закона, но и серьезный риск для личной безопасности и сохранности данных, заявил руководитель службы информационной безопасности «МойОфис» Дмитрий Соколов.

— Загружая бесплатные версии приложений с сомнительных сайтов, вы становитесь легкой мишенью для злоумышленников. Учитывая ситуацию, когда продажи Microsoft в России приостановлены, мы настоятельно рекомендуем рассмотреть и использовать отечественные аналоги офисных программ, — сказал эксперт.

Одна из главных угроз использования нелицензионных «офисов» заключается в том, что такие программы могут быть использованы для кражи личных данных, в частности информации о банковских счетах и платежных картах, через перехват данных из буфера обмена, подчеркнула инженер-аналитик компании «Газинформсервис» Екатерина Едемская.

По ее словам, если устройство заражено, злоумышленники могут использовать ресурсы компьютера для добычи криптовалюты, что приведет к значительному замедлению работы системы и перегреву устройств. Кроме того, если вредоносное ПО не будет вовремя обнаружено, оно может расползтись по Сети, заразив другие устройства и создав еще больше проблем для пользователя и его окружения.

Руководитель отдела исследования угроз экспертного центра безопасности Positive Technologies (PT Expert Security Center) Аскер Джамирзе добавил, что распространение вредоносного ПО под видом инсталляторов приложений (программа для установки программного обеспечения) — не новая тактика.

— Такие схемы активно используются в РФ и за ее пределами уже много лет. Потенциально атаки могут нести угрозу не только для физических лиц, но и для компаний, так как люди могут скачивать зараженные приложения и на корпоративные системы, — подчеркнул эксперт.

Троянец ClipBanker не менее опасен, и его отличительная особенность — отслеживание в режиме реального времени действий пользователей на финансовых и платежных платформах, биткоин-кошельках и банковских сервисах, рассказал руководитель департамента специальных сервисов Infosecurity (ГК Softline) Константин Мельников.

Кроме того, ClipBanker способен долгое время оставаться незамеченным в том числе базовыми средствами защиты. Даже известные антивирусные решения не всегда оперативно его обнаруживают, несмотря на присутствие в системе.

Чтобы обезопасить себя, пользователи должны быть особенно внимательны при скачивании программного обеспечения и устанавливать только приложения из официальных источников, рекомендует Екатерина Едемская. Также важно регулярно обновлять антивирусные базы и операционную систему, чтобы закрыть возможные уязвимости.

Кроме того, по словам директора по продукту Staffcop «(СКБ Контур») Даниила Бориславского, офисный пакет Microsoft и другой коммерческий софт нужно перестать скачивать на торрент-ресурсах, потому что это почти 100%-ный шанс заражения ПК вредоносным ПО.