Книжный вирус

ИБ-специалисты обнаружили новое вредоносное ПО в бесплатных онлайн-библиотеках. Книжные сайты с общей аудиторией около 9 млн посетителей в месяц кроме книг распространяли и майнеры криптовалюты. Подобный скрипт был распознан также на сайтах интернет-магазинов и онлайн-площадках для хобби. При этом если подобный майнер превращает корпоративное устройство в часть ботнета, то компания де-факто становится соучастником кибератак на третьих лиц, предупреждают эксперты.

Выйти из полноэкранного режима

Развернуть на весь экран

Специалисты центра кибербезопасности F6 нашли новый способ, которым хакеры заражают устройства вирусами-майнерами, рассказали “Ъ” в компании. Жертва скачала на рабочий компьютер архив с электронной книгой с сайта «Флибуста», который кроме книги содержал в себе код для обхода защиты и майнер криптовалюты.

Вредоносный код внес исключения в настройках антивируса и запустил ряд процессов на компьютере жертвы. При этом код устроен таким образом, что майнер запускается только на персональный компьютер.

Если жертва активирует такой файл на смартфоне, то у пользователя, как отмечается в отчете компании F6, только будут украдены данные логина и пароля от учетной записи на инфицированном сайте. “Ъ” направил запрос во «Флибусту».

Далее специалисты обнаружили и другие ресурсы, которые также содержали вредоносный программный код. Кроме бесплатных онлайн-библиотек («Флибуста», «Мир книг», «Литмир» и др.) скрипт был распознан на сайтах интернет-магазинов и онлайн-площадках для хобби. «За безобидной обложкой романа или учебника может скрываться вредоносное ПО, включая майнеры, которые незаметно расходуют ресурсы устройства, замедляют его работу и ставят под удар конфиденциальные данные»,— отмечает руководитель отдела по выявлению киберинцидентов Центра кибербезопасности компании F6 Марина Романова.

Электронные книги — удобная маскировка, отмечает ведущий инженер ИТ-компании CorpSoft24 Михаил Сергеев. Внутри PDF-файла или ZIP-архива легко можно спрятать вредоносный код.

Если хотя бы 1% из 9 млн пользователей обозначенных компанией F6 ресурсов скачают зараженные файлы, то это уже 90 тыс. зараженных устройств под контролем злоумышленников, говорит господин Сергеев. По его мнению, такого количества достаточно «для организации неплохой бот-фермы для майнинга».

Пользователи онлайн-библиотек являются достаточно уязвимой категорией, соглашается гендиректор компании «Вэбмониторэкс» Анастасия Афонина. По ее словам, не все даже официальные библиотеки проверяют загружаемые файлы на наличие вредоносных скриптов, а ждать подобного от бесплатных ресурсов не приходится.

«Мы подозрительно относимся к фильму или какому-либо софту, скачиваемому из интернета. Но от безобидной электронной книги скорее не ждем ничего плохого, ведь это "всего лишь текст". Под видом обычного текстового документа может скрываться как майнер, так и любое другое вредоносное ПО»,— предупреждает она. Среди других возможных угроз госпожа Романова называет стилеры, с помощью которых может быть украдена конфиденциальная информация или данные от рабочих аккаунтов.

Также компания, сотрудник которой допустил попадание майнера в корпоративную инфраструктуру, может попасть под подозрение силовых ведомств, потому что зараженное устройство сотрудника участвует в ботнете, отмечает руководитель продукта Solar webProxy Анастасия Хвещеник.

По ее словам, если майнер превращает корпоративное устройство в часть ботнета, компания де-факто становится соучастником кибератак на третьих лиц.

«Злоумышленники уже научились внедрять вредоносное ПО не только в текстовые документы, но даже в видео- и аудиофайлы»,— добавляет ведущий аналитик отдела мониторинга ИБ «Спикател» Алексей Козлов. По его словам, даже если сотрудник скачивает зараженный файл на личное устройство, но подключается к корпоративной сети, это создает риск проникновения скрипта в инфраструктуру компании, что в свою очередь может привести к утечке данных, блокировке систем и компрометации учетных записей.

После выхода заметки представители сайта «Флибуста» в ответ на запрос “Ъ” ответили, что направят данные отчета F6 своим разработчикам и «попробуют купить платный антивирус и поискать в коде». «Если не найдем, попробуем противодействие, есть штуки позволяющие запрещать сторонние скрипты»,— заявили представители сайта. Также там добавили, что «это не дело и описаний в интернете нету», и заверили, что будут «мониторить каждый день».

В текст внесены изменения: добавлен последний абзац с изложением позиции сайта «Флибуста».

Филипп Крупанин