Второй RedLine: Positive Technologies предупреждает российские компании о набирающем популярность вредоносном ПО BlueFox

• 9 декабря, 2022
• 16:30

В ходе постоянного отслеживания угроз ИБ специалистами экспертного центра безопасности Positive Technologies (PT Expert Security Center) было обнаружено вредоносное ПО , которое похищает логины и пароли пользователей для различных сервисов и устройств. Согласно первым результатам анализа, программа напоминала RedLine — самый популярный инфостилер в киберпреступных каналах и чатах в Telegram за последние три года. Однако дальнейшее исследование показало, что пойманное вредоносное ПО — BlueFox, новый Инфостилер – это троян, предназначенный для сбора информации из системы жертвы. Чаще всего трояны этого типа собирают имена пользователей и пароли, после чего отправляют их злоумышленникам. У инфостилеров есть подвид – кейлоггеры, которые регистрируют нажатия клавиш пользователя. Они тоже предназначены для сбора конфиденциальной информации пользователя.

» data-html=»true» data-original-title=»инфостилер»>инфостилер, появившийся в конце 2021 года и уже описанный на зарубежном онлайн-ресурсе . В ближайшие 2 года эксперты компании ожидают широкого распространения BlueFox
и, как следствие, массовых вредоносных кампаний с его использованием. Украденные с помощью BlueFox учетные данные могут перепродаваться в дарквебе и использоваться киберпреступниками для спреинга паролей и взлома компаний.

В Positive Technologies — ведущий разработчик решений для кибербезопасности

» data-html=»true» data-original-title=»Positive Technologies»>Positive Technologies отмечают значительное сходство RedLine и BlueFox. Это подтверждают следующие пункты:

• они относятся к одному классу вредоносного ПО — инфостилерам. Их задача — собирать из зараженных систем информацию (как правило, имена пользователей и пароли) и отправлять ее злоумышленникам;

• написаны на одном языке программирования (C#);

• распространяются по схеме Malware-as-a-Service (MaaS) — вредоносное ПО как услуга — аренда программного и аппаратного обеспечения для проведения кибератак. Владельцы MaaS-серверов предоставляют платный доступ к ботнету, распространяющему вредоносное ПО. Клиенты могут контролировать атаку через личный кабинет, а также обращаться за помощью в техническую поддержку.

» data-html=»true» data-original-title=»MaaS»>MaaS (Malware as a Service, «вредоносное ПО как услуга»);

продаются на теневых форумах довольно дешево по меркам киберпреступного рынка: RedLine — 150 $, BlueFox — 350 $;

имеют схожий функционал: сбор паролей, кошельков, данных Клиентская компьютерная программа, которая может получать и отображать информацию с серверов в Интернете.

» data-html=»true» data-original-title=»Браузер»>браузера, скриншотов экрана, файлов по маске пути, — а также скачивание и запуск других семплов.

Это дает специалистам PT Expert Security Center основания предполагать, что BlueFox будет применяться злоумышленниками наряду с RedLine и может в течение 1–2 лет приобрести неменьшую популярность. Так, например, только в апреле 2022 года было зафиксировано 10 тыс. атак с использованием RedLine более чем в 150 странах мира, а по степени распространения с помощью ботнетов C2 RedLine уступает лишь Cobalt Strike представляет собой фреймворк для проведения тестов на проникновение, позволяющий доставить на компьютер жертвы полезную нагрузку и управлять ею. Злоумышленники могут использовать Cobalt Strike для развертывания атак с расширенными постоянными угрозами (APT) против вашей организации.

» data-html=»true» data-original-title=»Cobalt Strike»>Cobalt Strike.

«Исторически мы видим, как ботнеты и загрузчики распространяют инфостилеры: в дарквебе злоумышленники приобретают эти программы у вирусописателей или их посредников для массовых атак на пользователей. Затем они рассылают их по всевозможным каналам: по почте, через мессенджеры или размещая загрузчики на сайтах. В дальнейшем похищенные с помощью инфостилера учетные записи злоумышленники продают также на теневых форумах. Их могут использовать и другие киберпреступники, в том числе APT-группировки, чтобы попытаться проникнуть в интересующие их компании. Это избавляет высококвалифицированных преступников от необходимости проводить целенаправленные фишинговые атаки или искать в инфраструктурах жертв незакрытые уязвимости, — говорит Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies. — Мы проследили еще одну интересную аналогию между RedLine
и BlueFox: в год своего создания RedLine
не был особенно популярным, зато в следующем году спрос на него увеличился трехкратно. Частота применения BlueFox в атаках увеличивается такими же темпами спустя год после того, как он появился на киберпреступных площадках».

Исследованный образец BlueFox шифрует трафик. Это усложняет его обнаружение в инфраструктуре, подчеркивают специалисты PT Expert Security Center. По их словам, защититься от BlueFox компаниям помогут продукты класса XDR — это платформа мониторинга безопасности на основе SaaS , которая собирает и анализирует соответствующие данные о рабочей нагрузке конечных точек, серверов, сетей и облачных вычислений для выявления сложных угроз.