Хакеры заражают устройства жертв бэкдорами через поддельные IP-сканеры

В интернете стало появляться много сайтов-подделок, которые имитируют IP-сканеры - программы, использующиеся для определения всех подключенных к сети устройств. В результате пользователи становятся жертвами слежки и несанкционированного доступа к системе.

При этом попасться на такую уловку довольно легко, поскольку сайты с доменными именами, которые по написанию похожи на официальные, хакеры продвигают через рекламную сеть Google Ads в поисковой системе. Как итог, человек может по ошибке быть втянут в мошенническую кампанию, в результате чего на его устройства внедрится бэкдор MadMxShel. Об этом рассказали специалисты Zscaler ThreatLabz.

Они объяснили, что жертва сначала открывает фиктивный сайт, содержащий JavaScript-код. Затем, если она нажмет на кнопку загрузки, на ее девайсе появится вредоносный файл "Advamced-ip-scanner.exe", который использует метод сторонней загрузки DLL для заражения. Он запускает шелл-код при помощи техники "Process Hollowing", после чего распаковываются два дополнительных файла - "OneDrive.exe" и "Secur32.dll". Первый предназначен для выполнения шелл-кода бэкдора.

"Бэкдор позволяет злоумышленнику собирать системную информацию, делать команды через cmd.exe, а также выполнять основные операции по манипулированию файлами, такие как чтение, запись и удаление файлов", - объяснили эксперты.

При этом с ноября 2023 года по марта 2024-го злоумышленники зарегистрировали 45 доменом, маскировавшихся под популярные программы для управления IT и сканирования портов. Речь, в частности, идет о мошеннических сервисах ManageEngine и Advanced IP Scanner.

"IP-сканеры это в принципе специализированный тип сервисов, которыми едва ли будет пользоваться простой человек. Такие инструменты чаще в работе используют системные администраторы или специалисты по информационной безопасности. С одной стороны, таких "специальных" пользователей гораздо сложнее обмануть и поймать на фальшивку, однако с другой - если это все же удастся, то злоумышленники могут получить доступ к информации на девайсе ИТ- или ИБ-специалиста компании, а это большая проблема", - объяснил руководитель направления сервисов защиты облачного провайдера "НУБЕС" Александр Быков.

По словам ведущего инженера CorpSoft24 Михаила Сергеева, для того, чтобы компьютер скачал zip-архив и запустил исполняемый exe-файл в нем и операционной системе должны быть старые серьезные уязвимости.

"Плагин для браузера в теории может запустить такой файл, поэтому не используйте плагины из недостоверных источников", - сказал он.

Однако человек все равно рискует потерять конфиденциальность данных, поскольку бэкдор необходим для сбора системной и пользовательской информации и выполнения команд. Существуют и трояны вида NJRat, за счет которых хакеры могут удаленно управлять зараженными девайсами. В результате устройство жертвы может быть использовано в кибератаках, добавил ведущий аналитик информационной безопасности Innostage Камиль Садыков.

Для защиты от возможных проблем эксперт порекомендовал с осторожностью относиться к загрузке программного обеспечения: проверять источник, сами скаченные файлы на наличие зловредов и избегать ввода данных на подозрительных сайтах. Кроме того, важны регулярное обновление антивирусной программы и установка обновления безопасности - это позволит уменьшить вероятность эксплуатации уязвимостей.

"Регулярные резервные копии данных могут минимизировать потерю информации в случае атаки, а ключевой мерой безопасности является осторожность самого пользователя", - подчеркнул собеседник.