Угроза актуальна для российских предприятий, в том числе из сегмента малого бизнеса.
«Лаборатория Касперского» обнаружила вредоносную кампанию, направленную на российские организации. Злоумышленники распространяют стилер под видом пиратского активатора для популярного ПО, в котором можно вести бухгалтерский учёт и управлять предприятием. Они утверждают, что с помощью активатора можно обходить проверку лицензии и пользоваться программами бесплатно. Зловред позволяет получить доступ к корпоративным устройствам и красть конфиденциальные данные. Кампания началась в январе 2024 года, и угроза остаётся актуальной до сих пор.
Злоумышленники публикуют объявления на профильных форумах о ведении бизнеса и бухгалтерском учёте, в которых предлагают скачать обновлённую версию активатора HPDxLIB для пиратского софта. В сообщениях содержится инструкция, как обойти проверку лицензии. При выполнении этих шагов начинается загрузка стилера RedLine, который тщательно спрятан внутри вредоносного активатора. Примечательно, что для заражения злоумышленники не используют никакие уязвимости в ПО — нужно лишь убедить жертву воспользоваться активатором и выполнить инструкцию.
RedLine распространяется по модели «вредоносное ПО как услуга» (Malware-as-a-Service): злоумышленники могут купить его единоразово или пользоваться по подписке. Стилер позволяет красть конфиденциальную информацию, например, логины и пароли, данные из браузеров и мессенджеров, сведения о заражённой системе и пользователях. RedLine распространён среди злоумышленников: по данным «Лаборатории Касперского», в 2023 году более половины устройств (55%) в мире, атакованных стилерами, были заражены именно им.
После того, как вредоносное ПО начали детектировать защитные решения, некоторые форумы, через которые злоумышленники распространяли активатор, стали предупреждать пользователей о возможном наличии стилера RedLine в HPDxLIB. Однако меры безопасности могут не подействовать: в инструкциях злоумышленников есть просьба отключить защиту и добавить в исключения вредоносные файлы — иначе активатор якобы не будет работать.
«Злоумышленники часто распространяют зловреды с помощью пиратского ПО. Однако в этом случае атаки нацелены не на частных пользователей, а на бизнес, что достаточно нестандартно. Данные, украденные стилерами, обычно продают в даркнете другим злоумышленникам, которые хотят получить доступ к организации. Проникнув в сетевую инфраструктуру компании, они могут, например, зашифровать данные и потребовать выкуп, размер которого будет несопоставим с покупкой лицензии для программы. Поэтому мы настоятельно рекомендуем компаниям отказаться от использования нелицензионного ПО, чтобы оставаться в безопасности», — комментирует Александр Кряжев, эксперт по кибербезопасности в «Лаборатории Касперского».
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.