Атака против всех: опасные трояны проникли в Zoom, Google Meet и Skype

В популярных видеосервисах выявлены опасные трояны. Эту информацию «Известиям» подтвердили в Роскомнадзоре. Киберпреступники запустили весьма масштабную вредоносную кампанию, предупредили также исследователи американской компании Zscaler. Злоумышленники пользуются рекламой в браузерах и социальных сетях. Вредоносы способны похищать данные, открывать киберпреступникам доступ к ПК и гаджетам, посягать на платежные данные. Целью хакеров являются жители РФ и стран СНГ: программы созданы на русском языке. Подробности — в материале «Известий».

Черви троянские

Центр мониторинга и управления сетью связи общего пользования Роскомнадзора выявил активность злоумышленников, создающих фишинговые веб-сайты, имитирующие ресурсы популярных сервисов видеосвязи, для распространения вредоносного ПО. Атака нацелена на пользователей мобильных устройств с операционными системами Android и пользователей Windows, сообщили «Известиям» в ведомстве.

Эксперты предупреждают, что вредоносы проникают через поддельные сайты. Пользователям предлагается установить приложение для Android или Windows, но нажатие кнопки скачивания запускает загрузку трояна удаленного доступа (RAT).

По данным федагентства, вирусное ПО позволяет злоумышленникам:

— удаленно включать микрофон устройства и прослушивать разговоры;
— копировать файлы с гаджета пользователя;
— делать снимки экрана устройства;
— просматривать контакты;
— читать смс-сообщения.

В свою очередь, эксперты компании Zscaler предупреждают, что киберпреступники запустили масштабную вредоносную кампанию с распространением вредоносного ПО через поддельные сайты Google Meet, Zoom и Skype буквально недавно — этой зимой. Как выяснилось, хакерам удалось максимально замаскироваться под дизайн официальных сайтов видеосервисов.

Как уточняется на сайте ИБ-компании, IT-мошенники для устройств в Windows-оболочках применяют вредоносное ПО под названием DCRat и NjRAT, а для смартфонов — SpyNote. Перечисленные трояны могут красть данные, открывать злоумышленникам доступ к ПК и гаджетам.

По информации Ideco, к 2030 году объем мирового рынка видеоконференций может достичь $19,73 млрд. С увеличением использования возрастают и опасения по поводу кибербезопасности видеоконференций. По словам директора компании Ideco Дмитрия Хомутова, только за первую половину 2023 года было обнаружено около 3 млн новых фишинговых и фейковых веб-сайтов.

— В настоящее время более 97% IT-специалистов обеспокоены защитой конфиденциальности и данных видеоконференций, — говорит Дмитрий Хомутов. — При этом 92% сообщают, что знают об уязвимостях в видеоплатформах. При этом наиболее очевидная угроза безопасности для пользователей Skype, Zoom и Google Meet связана со взломом звонков хакерами. Еще одним риском видеоконференций сейчас остается возможность «Zoom-бомбардировки», когда к звонку присоединяется неавторизованное лицо и прерывает его неприемлемым контентом. Это может быть что угодно: любые несанкционированные изображения теперь считаются киберпреступлением.

Как сообщили «Известиям» в Центре мониторинга РКН, только в феврале 2024 года было заблокировано 1073 фишинговых ресурса.

Весенний звон

Атаки, отражаемые Роскомнадзором и описанные в исследовании Zscaler, не имеют целевой аудитории и направлены на неопределенный круг лиц, желающих установить на свои персональные компьютеры приложения для общения, сказали «Известиям» в МТС Линк. Ежедневно в Сети появляются ресурсы, которые копируют официальные источники, не только связанные с технологиями видеоконференцсвязи. Это могут быть предложения скачать общесистемное или прикладное программное обеспечение. Опасность любого вредоносного ПО состоит в том, что у пользователей могут украсть личные сведения, перехватить учетные данные и получить удаленный контроль над их устройством, замечает Александр Красницкий, руководитель направления информационной безопасности в МТС Линк.

— Самые очевидные риски — неавторизованный доступ к сеансам видеосвязи и перехват данных, — говорит директор по развитию бизнеса компании Vinteo Борис Попов. — При этом некоторые сервисы уязвимы для перехвата трафика — всё это приводит к утечкам информации.

Директор по маркетингу VideoMost Надежда Алябьева обращает внимание, что риски использования облачных коммуникационных сервисов от зарубежных вендоров в первую очередь состоят в том, что серверы расположены не в РФ, пользователи не могут знать и проверить, кто и в какой мере имеет доступ к передаваемым данным и личной информации. Поэтому, уточняет она, безопасными остаются сервисы от российских вендоров, чьи серверы расположены в ЦОД на территории страны, у российских телеком-провайдеров, в частных или публичных облаках или внутри инфраструктуры заказчика.

Впрочем, директор по развитию «Труконф» Дмитрий Одинцов указывает, что полностью защитить свои коммуникации в таких сервисах невозможно, причем не только в контексте уязвимостей — доступность «облаков» регулируется провайдером, все данные обрабатываются и хранятся вне контура заказчика, в ЦОДах, что может повлечь утечки и получение доступа к информации со стороны третьих лиц.

Только использование автономных ВКС-систем — самый надежный способ защитить свои данные от утечек и несанкционированного доступа, полагает Одинцов.

— Что касается подделки веб-версий популярных приложений Zoom, Skype, Google Meets, то здесь мошенники использовали хитрый сценарий, на который попадаются даже на первый взгляд понимающие специалисты, — отмечает Александр Красников, технический директор «Телфин». — Вам приходит ссылка на встречу в Zoom от компании. Например, вас приглашают на встречу-знакомство или на бесплатный мастер-класс.

Тема может быть любая — это и легкие способы инвестиций, и обучение, и культурные программы, анонсы театральных премьер. Бонусом мошенники могут предложить скидку или стартовую сумму на инвестиции для посетителей встречи.

Пользователь переходит по ссылке на Zoom, попадает на сайт, который визуально ничем не отличается от привычного кабинета этой программы. Но на самом деле в момент открытия ссылки на компьютер зрителя устанавливается программное обеспечение, которое может воровать данные банковских карт или личной информации. Также в категории риска по фишингу находятся криптовалюты, потому что украсть такие активы достаточно легко, а восстановить практически невозможно. У банков деньги через фишинговые инструменты тоже воруют, мошенникам достаточно получить доступ к вашему компьютеру.

— Для мошенников представляют ценность все данные пользователей, начиная от логинов и паролей от электронной почты, через которую в дальнейшем можно рассылать письма жертвам, похожие на легитимные, заканчивая доступом к личным кабинетам государственных сайтов или, например, транспортных, — рассказал Александр Красников. — Если вдруг вы используете мобильные приложения Zoom, Skype или Google Meets, опасность тоже имеется. В случае перехода в приложение мобильного устройства мошенники также могут установить дополнительное программное обеспечение на телефон, не только на веб-версию.

Это происходит, если в телефоне было разрешено ставить программы из непроверенных источников, а сегодня такое часто может встречаться в связи с тем, что многие приложения российским пользователям недоступны в официальных сторах.

Методы защиты

Роскомнадзор напоминает, что для защиты от фишинговых сайтов пользователи должны обращать внимание на адрес ресурса и его наполнение. Среди признаков, по которым можно определить мошеннические ресурсы: неправильно написанные или подозрительные URL-адреса, отсутствие SSL-сертификата на сайте, грамматические, орфографические и дизайнерские ошибки, ссылка на скачивание не с официального ресурса. К слову, по коротким ссылкам вида bit.ly или goo.gl, даже если они приходят от друзей, тоже лучше не переходить, предупреждают в регуляторе.

— Если вы скачали вредоносное ПО, не страшно, страшно, если вы уже запустили его, в таком случае первичная мера — в срочном порядке отключить устройство от Сети, — говорит специалист отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies (PT Expert Security Center) Ксения Наумова. — В случае если вы еще не запустили файл, отправьте его на ресурс для анализа файлов и ссылок. Стоит скопировать и погуглить домен из URL-адреса в кавычках в любом поисковике.

Директор по информационной безопасности (CISO) BitRiver Руслан Салимов напоминает, что риски в случае перехода по неизвестным ссылкам и установке приложений из неофициальных магазинов приложений могут привести к тяжелым последствиям: утечке паролей и данных для авторизации на различных интернет-ресурсах, утечке конфиденциальных данных компании, попаданию под контроль устройства и участие в DOS-атаках по всему миру.