Исследователи из западной компания по кибербезопасности SonicWall обнаружили новое вредоносное ПО, нацеленное на учетные записи Gmail. Эксперт «Газинформсервиса» говорит, что почтовый бот может быть адаптирован для атак на корпоративные сети.
Вредоносное ПО под названием MalAgent.AutoITBot распространяется в виде файла под именем «File.exe» и использует тактики для компрометации пользовательских данных, включая перехват данных из буфера обмена, запись нажатий клавиш и потенциальное управление устройствами ввода.
После запуска вредонос пытается открыть страницу входа в Gmail с использованием популярных браузеров: Microsoft Edge, Google Chrome и Mozilla Firefox.
Вирус способен записывать нажатия клавиш, читать содержимое буфера обмена и даже управлять вводом с клавиатуры и мыши. Эти возможности позволяют вредоносному ПО собирать конфиденциальную информацию, такую как имена пользователей, пароли и другие важные данные.
Руководитель Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности «Газинформсервис» Дмитрий Овчинников говорит, что подобный почтовый бот может быть с легкостью адаптирован для атак на корпоративные сети, ведь его функционал намного шире атак на учетную запись в google.
«Не стоит забывать, что многие пользователи работают со своих устройств или пользуются сервисами google с рабочих станций, что приводит к тому, что подобная атака может быть проведена на корпоративных пользователей. В результате киберпреступники способны похищать корпоративные учетные записи и проникать внутрь периметра сети. Эффективнее с подобными атаками справляются средства защиты информации, оснащенные анализаторами поведения пользователя – UEBA. К классу таких программ относиться Ankey ASAP, который использует ИИ внутри своих модулей и данные о паттернах поведения, чтобы диагностировать аномальное поведение рабочих станций, серверов и учетных записей пользователей. Благодаря машинному обучению, основанному на больших объемах датасетов, а также экспертизе команды разработки, Ankey ASAP может выявлять атаки нулевого дня, что позволяет успешно бороться с нетиповыми вторжениями в корпоративную сеть».
