Новые версии финансовых зловредов атакуют российских пользователей

Компания «Лаборатория Касперского» предупредила о появлении новых версий финансовых зловредов, один из которых, стилер Lumma, атакует в том числе российских пользователей.

• Стилер Lumma: это обновленная версия стилера Arkei, последний впервые был обнаружен в мае 2018 года. Lumma распространяется через поддельный веб-сайт для преобразования файлов .docx в .pdf. Загруженные файлы возвращаются с двойным расширением — .pdf.exe, и при попытке их открытия на компьютер устанавливается зловред. Стилер умеет красть кэшированные файлы, конфигурационные файлы и логи криптовалютных кошельков. Он может работать как плагин для браузера, а также совместим с приложением Binance. В Lumma есть и функции, которых не было в предыдущих версиях стилера, — возможность получать списки системных процессов, усовершенствованные техники шифрования, а также использование динамических конфигурационных файлов, которые присылает командный сервер.
• Троянец Zanubis: банковский троян, атакующий пользователей из Перу, маскируется под официальные приложения. Он известен с 2022 года. Zanubis выманивает разрешение на доступ к Accessibility Services (службе специальных возможностей). Сначала он маскировался под финансовые и криптовалютные сервисы на Android, а в апреле 2023 года появилась имитация под официальное приложение перуанского Национального управления таможенной и налоговой администрации (SUNAT). Для запутывания кода (обфускации) Zanubis использует Obfuscapk — популярный обфускатор файлов приложений для Android. Троянец подгружает реальный сайт SUNAT с помощью системного компонента WebView, отвечающего за открытие веб-страниц в приложениях. Для связи с командным сервером используются WebSocket и библиотека Socket.IO, что обеспечивает высокую адаптивность зловреда. Угроза Zanubis заключается в возможности полного контроля над устройством, включая блокировку под видом обновления Android.
• Криптор ASMCrypt: Открытый на недавно обнаруженных подпольных форумах, это продвинутая версия загрузчика DoubleFinger. Инструменты такого типа используются, чтобы скрыть сам процесс загрузки или другое вредоносное ПО. ASMCrypt — это более продвинутая версия загрузчика DoubleFinger, используемая в качестве «фасада» для службы, которая выполняется в сети TOR. Покупатели могут настроить под себя методы заражения, цели атаки, параметры автозагрузки, а также разные возможности ВПО. Вредоносный функционал скрыт внутри изображения с разрешением .png, загруженного на хостинговый сайт.