В последно време се наблюдава нова вълна от кибератаки, при които руски хакерски групи използват модифицирани версии на популярни приложения за видеоконференции като WebEx и Zoom. Целта на тези атаки е разпространението на зловредния софтуер Starland RAT, който позволява на нападателите да крадат потребителски идентификационни данни и криптовалути.
Какво се случи?
Според разследване на специалисти по киберсигурност, групата UAT-11795, свързана с руски киберпрестъпници, е създала троянски версии на приложенията WebEx и Zoom. Тези модифицирани програми изглеждат идентични с оригиналните, но при инсталация инжектират Starland RAT – отдалечен достъпен троян, който дава пълен контрол на нападателите върху заразените устройства.
Starland RAT позволява събиране на чувствителна информация като пароли, криптографски ключове и други данни, които могат да бъдат използвани за кражба на криптовалути и други финансови активи. Кампанията е насочена към финансово мотивирани атаки, като се възползва от популярността на платформите за видеоконференции, които се използват масово в бизнес средите.
Защо това е важно?
Използването на легитимни и широко разпространени приложения като WebEx и Zoom за разпространение на зловреден софтуер подчертава сериозността на заплахата. Потребителите и организациите често смятат тези платформи за безопасни, което може да доведе до по-голяма уязвимост при инсталиране на софтуер от непроверени източници.
Този тип атаки показват, че киберпрестъпниците се адаптират към новите реалности на дистанционната работа и използването на онлайн комуникационни инструменти. Те използват социално инженерство и технически трикове, за да заобиколят традиционните мерки за сигурност и да проникнат в корпоративни и лични системи.
По-широк контекст
В последните години видеоконферентните платформи се превърнаха в ключов инструмент за бизнес комуникация, особено след пандемията от COVID-19. Това ги прави атрактивна цел за киберпрестъпници, които търсят нови начини за проникване в мрежите на компании и достъп до чувствителна информация.
Разпространението на троянски версии на популярни приложения е част от по-широка тенденция, при която хакерите използват компрометирани или фалшиви версии на софтуер за разпространение на зловреден код. Това изисква повишено внимание от страна на потребителите и организациите при изтегляне и инсталация на приложения, както и при прилагането на мерки за киберсигурност.
Какво може да последва?
В отговор на тези атаки е вероятно доставчиците на софтуер за видеоконференции да засилят мерките си за сигурност и да подобрят механизмите за проверка на автентичността на своите приложения. От своя страна, организациите трябва да засилят обучението на служителите си за разпознаване на фалшив софтуер и да прилагат политики за сигурност, които ограничават инсталирането на приложения от непроверени източници.
От гледна точка на потребителите, препоръчително е винаги да се изтеглят приложенията от официалните сайтове или доверени магазини за софтуер, както и да се използват антивирусни и анти-малуерни решения, които могат да откриват и блокират подобни заплахи.
В заключение, кампанията на UAT-11795 е поредното предупреждение за необходимостта от повишено внимание към киберсигурността в ерата на дигиталната комуникация и дистанционната работа.