Злоумышленники тоже сидят в соцсетях… но не чтобы поболтать.
Специалисты давно следят за действиями киберпреступников, которые злоупотребляют законными интернет-сервисами. Хакеры, в свою очередь, продолжают изобретать новые способы интеграции в популярные приложения, чтобы найти больше жертв и оставаться в тени.
Недавний анализ Recorded Future показал, что за 2021-2022 годы как минимум четверть из 400 видов вредоносных программ эксплуатировали легитимные платформы. Поддерживать защиту сетей все сложнее, так как становится непросто отличить вредоносный трафик от обычного.
Чаще всего используются облачные хранилища, мессенджеры, почта и социальные сети. Выделить можно Pastebin, Google Диск, Dropbox и Telegram. Последний особенно популярен как среди хакеров, так и среди жертв. Приложение имеет простой API и сложно блокируется.
Инфостилеры (трояны для сбора информации) чаще вредоносов используют легитимные сервисы. Например, группа APT29, эксплуатирует Trello и Notion для управления своим ПО и вывода информации. Раньше эта же группа злоупотребляла Google Диском и Dropbox.
В ходе анализа выяснилось, что хакеры воспользовались API Notion, чтобы с помощью программы GraphicalNeutrino получить удалённый доступ к заражённым устройствам. Это позволило не только загружать дополнительные вредоносные файлы, но и использовать местную базу данных для хранения украденной информации о жертвах и других выгодных сведений.
По мнению исследователей, интерес злоумышленников к таким платформам будет возрастать. Мелкие группировки берут пример с опытных киберпреступников и государственных хакеров.
Особенно тревожит тот факт, что, даже зная о злоупотреблении их сервисами, некоторые компании отказываются принимать меры. Например, Steam заявила, что для них важнее сохранить возможность свободного обмена информацией между пользователями.
Эксперты предлагают комплексный подход к защите от подобных угроз. В том числе тщательный мониторинг трафика, применение методов машинного обучения, а также сотрудничество со службами реагирования на инциденты.
Кроме того, необходимо осведомлять пользователей о потенциальных рисках и возможностях социальной инженерии.
Некоторые специалисты предлагают ввести строгие правила по аналогии с GDPR (Общий регламент по защите данных), чтобы стимулировать компании к более ответственному подходу. Однако пока неясно, насколько такие меры будут эффективны.
Никаких овечек — только отборные научные факты