Новые версии финансовых зловредов атакуют российских пользователей

Лаборатория Касперского зловреды киберугрозы Россия устройства кибербезопасность Lumma Zanubis ASMCrypt
Новые версии финансовых зловредов атакуют российских пользователей
Лаборатория Касперского зловреды киберугрозы Россия устройства кибербезопасность Lumma Zanubis ASMCrypt

Эксперты «Лаборатории Касперского» проанализировали новые вредоносные инструменты.

image

Компания «Лаборатория Касперского» предупредила о появлении новых версий финансовых зловредов, один из которых, стилер Lumma, атакует в том числе российских пользователей.

  • Стилер Lumma: это обновленная версия стилера Arkei, последний впервые был обнаружен в мае 2018 года. Lumma распространяется через поддельный веб-сайт для преобразования файлов .docx в .pdf. Загруженные файлы возвращаются с двойным расширением — .pdf.exe, и при попытке их открытия на компьютер устанавливается зловред. Стилер умеет красть кэшированные файлы, конфигурационные файлы и логи криптовалютных кошельков. Он может работать как плагин для браузера, а также совместим с приложением Binance. В Lumma есть и функции, которых не было в предыдущих версиях стилера, — возможность получать списки системных процессов, усовершенствованные техники шифрования, а также использование динамических конфигурационных файлов, которые присылает командный сервер.
  • Троянец Zanubis: банковский троян, атакующий пользователей из Перу, маскируется под официальные приложения. Он известен с 2022 года. Zanubis выманивает разрешение на доступ к Accessibility Services (службе специальных возможностей). Сначала он маскировался под финансовые и криптовалютные сервисы на Android, а в апреле 2023 года появилась имитация под официальное приложение перуанского Национального управления таможенной и налоговой администрации (SUNAT). Для запутывания кода (обфускации) Zanubis использует Obfuscapk — популярный обфускатор файлов приложений для Android. Троянец подгружает реальный сайт SUNAT с помощью системного компонента WebView, отвечающего за открытие веб-страниц в приложениях. Для связи с командным сервером используются WebSocket и библиотека Socket.IO, что обеспечивает высокую адаптивность зловреда. Угроза Zanubis заключается в возможности полного контроля над устройством, включая блокировку под видом обновления Android.
  • Криптор ASMCrypt: Открытый на недавно обнаруженных подпольных форумах, это продвинутая версия загрузчика DoubleFinger. Инструменты такого типа используются, чтобы скрыть сам процесс загрузки или другое вредоносное ПО. ASMCrypt — это более продвинутая версия загрузчика DoubleFinger, используемая в качестве «фасада» для службы, которая выполняется в сети TOR. Покупатели могут настроить под себя методы заражения, цели атаки, параметры автозагрузки, а также разные возможности ВПО. Вредоносный функционал скрыт внутри изображения с разрешением .png, загруженного на хостинговый сайт.