Недавно специалисты «Лаборатории Касперского» обнаружили несколько новых кросс-платформенных угроз, которые актуальны к концу 2023 года: кампания FakeSG, шифровальщик Akira и AMOS — стилер для macOS

Киберугрозы неустанно развиваются, принимая новые формы и охватывая различные платформы. Недавние исследования «Лаборатории Касперского» выявили значительные новшества в области кроссплатформенного вредоносного ПО, среди которых стилер AMOS для macOS, вымогатель Akira, атакующий Windows и Linux, и кампания FakeSG, распространяющая троянец удалённого доступа NetSupport RAT.

Стилер AMOS: Угроза для macOS

AMOS, обнаруженный в апреле 2023 года, представляет собой продвинутый стилер, направленный на пользователей macOS. Большинство случаев заражения приходится на Россию и Бразилию. Первая версия, написанная на Go, распространялась через Telegram как «Вредоносное ПО как услуга».

Современная версия написана на C и использует вредоносную рекламу в качестве вектора заражения. Злоумышленники создают фальшивые сайты, под видом популярного ПО, обманывая пользователей загрузить вредоносный DMG-файл. Зловред собирает данные из приложений, браузеров, криптовалютных кошельков и мессенджеров, отправляя их на сервер управления злоумышленников.

Вымогатель Akira: Угроза для Windows и Linux

Akira - это шифровальщик, нацеленный как на Windows, так и на Linux. Он поразил более 60 организаций по всему миру, включая розничную торговлю и образовательные учреждения. По своим характеристикам Akira схож с известным вымогателем Conti, используя аналогичные методы обфускации и сервер управления с уникальным ретро-дизайном.

Он, как и другие шифровальщики, удаляет теневые копии и шифрует данные на логических дисках, исключая определенные типы файлов и каталогов. Похищенные данные размещаются на сайте в сети Tor, который также используется для связи со злоумышленниками.

Кампания FakeSG: Распространение NetSupport RAT

FakeSG - это кампания, распространяющая троянец удалённого доступа NetSupport RAT. Злоумышленники заражают легитимные сайты, отображая фальшивые уведомления о необходимости обновления браузера. После клика по уведомлению, на устройство пользователя загружается вредоносный файл. Злоумышленники используют обфусцированный JavaScript и меняют домен, с которого загружается вредонос, чтобы оставаться незамеченными.

Индикаторы компрометации

AMOS

• 3d13fae5e5febfa2833ce89ea1446607e8282a2699aafd3c8416ed085266e06f
• 9bf7692f8da52c3707447deb345b5645050de16acf917ae3ba325ea4e5913b37

Akira

• 00141f86063092192baf046fd998a2d1
• 0885b3153e61caa56117770247be0444
• 2cda932f5a9dafb0a328d0f9788bd89c

NetSupportManagerRAT

• C60AC6A6E6E582AB0ECB1FDBD607705B

Защита и профилактика

«Лаборатория Касперского» рекомендует ряд мер для защиты от подобных угроз:

• Регулярное создание резервных копий данных.
• Использование защитного ПО, например, Kaspersky Anti-Ransomware Tool for Business.
• Применение надежной защиты конечных точек и инструментов класса EDR.
• Проведение обучения сотрудников для распознавания киберугроз, особенно фишинга и социальной инженерии.