Эксперты по ИБ центра исследования киберугроз Solar 4RAYS ГК «Солар» (ранее «РТК-Солар», дочерняя компания «Ростелекома») сообщили, что хакеры активно используют Steam, X (Twitter), Pastebin, Telegram и YouTube для координации кибератак. Например, злоумышленники создают на этих площадках аккаунты и прячут в их описании информацию о серверах управления вредоносным ПО.
В этом случае зловреды на ПК клиентов обращаются не напрямую к подозрительному IP-адресу, а к легальному ресурсу, что усложняет выявление вредоносной активности, выяснили эксперты ГК «Солар». С помощью такой тактики хакеры распространяют и управляют зловредами, крадут учётные данные, токены из браузера, получают доступ к списку запущенных процессов на ПК, переписке в мессенджерах и электронной почте почте.
В ГК «Солар» пояснили, что такая хакерская техника называется Dead Drop Resolver. Она предполагает, что злоумышленники размещают на легитимных онлайн-площадках контент с данными о C&C-сервере (С2, с него осуществляется управление вредоносным ПО). Эта информация может публиковаться как в зашифрованном виде, так и открытым текстом.
Вредоносное ПО после заражения целевой инфраструктуры обращается на серверы с легальным ресурсом и извлекает из него адрес управляющего сервера (С2).
Эксперты рассказали, что через Steam преимущественно распространяют вирусы-стилеры, но эта схема может использоваться для любых вирусных активностей.
Среди других платформ, которые используют хакеры, особой популярностью у злоумышленников пользуются Pastebin, X, YouTube, Telegram. Хакеры постоянно придумывают новые способы маскировки вредоносной деятельности для избежания блокировки своих зашифрованных данных на легальных ресурсах.
«Dead Drop Resolver позволяет злоумышленникам создать более устойчивую C2-инфраструктуру, так как они могут в любой момент обновить информацию о доступном командном сервере. А обращение к легальному ресурсу из корпоративной сети не вызывает особых подозрений. Также во вредоносном файле, который заражает компьютер жертвы, отсутствует явное указание на командный сервер или конфигурацию ВПО. Сейчас Steam особенно активно используется для распространения следующих стилеров: MetaStealer, Vidar, Lumma и ACR. Вероятно, со временем такой способ распространения подхватят и другие разработчики вредоностного ПО, если только площадки не найдут способ быстро обнаруживать и блокировать вредоносные профили», — пояснил аналитик центра исследования киберугроз Solar 4RAYS ГК «Солар» Владимир Степанов.
Специалисты по ИБ напомнили, что названные выше стилеры крадут разнообразную информацию пользователей. Последствия от запуска подобного вредоносного ПО на ПК сотрудников в IT-инфраструктуре компании могут быть критичными, отмечают в ГК «Солар». Поэтому службам ИБ компаний стоит внимательнее относиться к случаям запросов к Steam из корпоративной сети, рекомендуют эксперты. Скорее всего, это свидетельство деятельности вредоносного ПО, пояснили в ГК «Солар».
