Троянский крен: каких вредоносов бояться на «Госуслугах», в телемедицине и банках

В последние месяцы, несмотря на снижение общего числа атак с использованием банковских троянов, развитие этого типа вредоносных приложений не останавливается, о чем говорит появление новых семейств, рассказали «Известиям» в компании «Доктор Веб». Пока эта сфера приносит заработок мошенникам, трояны продолжат досаждать пользователям. Специалисты предупреждают и о росте опасности рекламных рассылок, распространении бесплатных программ, промо-акций — того, что предоставляется пользователям условно бесплатно. В телемедицине опасным вектором атаки является таргетированный фишинг с троянами. Госплатформы обратной связи уязвимы менее других, однако и в обращении с ними не стоит терять бдительность. Подробности — в материале «Известий».

Атак меньше не станет

В 2024 году можно ожидать усиления угроз троянов для пользователей банковских и телемедицинских сервисов, а также платформ обратной связи: «Госуслуги», «Налоги ФЛ», «Добродел» и др. При этом киберпреступники будут всё активнее нападать через рекламные решения и программы, поэтому важно оставаться бдительными и принимать меры по защите своих данных и устройств. Об этом «Известиям» рассказали в «Т1 Интеграция».

Фото: ИЗВЕСТИЯ/Анна Селина

По прогнозам главного эксперта «Лаборатории Касперского» Сергея Голованова, количество атак на пользователей в России не будет снижаться в ближайшее время.

— Если рассмотреть состояние госсервисов меньшего масштаба, например порталов подачи заявок или показаний, то они зачастую базируются на старых технологиях, содержат уязвимое ПО, в них не интегрирована система аутентификации, серверы находятся с сетевой точки зрения рядом с другими сервисами, — говорит руководитель направления информационной безопасности компании iTPROTECT Кай Михайлов. — Таким образом, если злоумышленник найдет уязвимости в портале, то он сможет развить свою атаку внутрь сети организации.

Но, скорее всего, отмечает эксперт, конкретный человек не будет основным пострадавшим, так как более логичный вектор атаки для злоумышленника — взять под контроль сеть организации, а не навредить отдельному физическому лицу.

Кай Михайлов замечает, что в условиях внешнего санкционного давления, когда официальные приложения часто удаляются из магазинов Google и Apple, пользователи вынуждены вести себя небезопасно, например, скачивать сторонние apk-файлы для установки банковских приложений или приложений для бесконтактной оплаты. Выполнять подобную установку стоит чрезвычайно внимательно, перепроверяя источник, предупреждает эксперт.

Фото: ИЗВЕСТИЯ/Анна Селина

В iTPROTECT предвидят большую проблему сторонних сборок подобных приложений, которые содержат вредоносный код, как, например, это давно происходит со сторонними сборками клиентов мессенджеров.

Директор портфеля решений из «Нота Купол» Игорь Душа видит ситуацию более спокойной. Во-первых, замечает он, в этом году НКЦКИ (Национальный координационный центр по компьютерным инцидентам) запустил сервис проверки утечки персональных данных — это хорошая новость для рынка. Во-вторых, регуляторы давно разработали требования по информационной безопасности для государственных систем. Они достаточно высокие и требуют наличия систем защиты от вредоносного ПО. И поскольку платформы обрабатывают в том числе персональные данные, все предписания для них более жесткие и усиленные, по сравнению со стандартными требованиями к государственным системам. Например, отдельные пункты касаются криптографической защиты — они технические и выражены в приказах ФСТЭК и ФСБ России. «Известия» направили запросы в Роскомнадзор и ФСТЭК.

Фото: ТАСС/Zuma

По последним данным обзора «Доктора Веб», с которым ознакомились «Известия», в 2023 году одними из самых активных угроз вновь стали троянские приложения Trojan.AutoIt, созданные с использованием скриптового языка AutoIt. Они распространяются в составе других вредоносных приложений и затрудняют их обнаружение. Также наблюдалась высокая активность рекламных троянских программ Trojan.BPlug и различных вредоносных скриптов. В почтовом трафике чаще всего встречались вредоносные скрипты, а также фишинговые документы. Кроме того, злоумышленники активно распространяли вредоносные программы, эксплуатирующие уязвимости документов Microsoft Office. 

Рок рекламы

В ГК «Солар» продолжают наблюдать рост атак троянов, которые распространяются через рекламные функции и программы, что затрудняет их отслеживание обычными пользователями. Такие атаки часто применяют методы, известные как malvertising (вредоносная реклама), где код, созданный злоумышленниками, встраивается в рекламные объявления, которые размещаются на легитимных веб-сайтах. Эти объявления могут перенаправлять пользователей на вредоносные порталы или автоматически загружать опасное ПО на их устройства.

— Трояны, распространяющиеся через рекламные функции, маскируются под полезные приложения или обновления программного обеспечения, — предупреждает Артем Избаенков, заместитель директора по продуктовому развитию ГК «Солар». — Например, злоумышленники могут использовать рекламные баннеры, предлагающие установить обновления для популярных программ, таких как Flash Player или браузерные плагины. После установки таких «обновлений» загружается троян, который может собирать личные сведения, выполнять кражу учетных данных или даже давать удаленный доступ к гаджету злоумышленникам.

Фото: ТАСС/Евгений Разумный

В ГК «Солар» предупреждают, что «рекламные» трояны часто хорошо маскируются под целевую рекламу и являются многофункциональными (вирусы могут выполнять множество вредоносных действий, включая кражу данных, шпионские действия).

— Распространение вредоносного ПО через рекламу в поисковой выдаче также остается актуальной угрозой для пользователей, — говорит главный эксперт «Лаборатории Касперского» Сергей Голованов. — Например, злоумышленники могут создавать поддельные страницы, маскирующиеся под легитимные сайты поставщиков программного обеспечения, и продвигать их с помощью платной рекламы, чтобы привлекать жертв. При создании доменов они могут использовать тайпсквоттинг (вид атак, нацеленный на пользователей интернета, допустивших опечатку при вводе веб-адреса в браузере. — Ред.) и комбосквоттинг (ее разновидность. — Ред.). Также таким образом могут распространяться стилеры (программы для кражи данных).

Директор центра компетенций по информационной безопасности «Т1 Интеграция» Виктор Гулевич отмечает, что этим летом будет продолжаться тренд со стороны злоумышленников на атаки на подрядчиков, чтобы встроить трояны и фишинговые страницы в рекламные материалы. Данный кейс особенно актуален в приложениях для финансового сектора, предупреждает ИБ-специалист.

Фото: ИЗВЕСТИЯ/Анна Селина

Руководитель дирекции кибербезопасности IBS Олег Босенко отмечает в последние месяцы стабильный рост киберугроз, при этом общий тренд сложился таким образом, что надо рассматривать не только трояны в чистом виде, а еще фишинг и дипфейки. Атаки стали носить комплексный характер. Зачастую они являются комбинированными, и для заражения трояном используется дипфейк.

Где деньги и где медицина

В iTPROTECT рассказывают, что главной опасностью сейчас является компрометация медплатформ с помощью, например, уязвимостей веб-приложения и массовой утечки информации о пациентах. Конкретно персональные данные, которые определены в законе, в этом случае являются меньшей проблемой (ФИО, данные паспорта и т.д.), а самыми чувствительными остаются сведения, связанные с активностью пользователя, его состоянием здоровья.

Далее по масштабу проблемы идут персональные утечки конкретного человека — в данном случае уже может быть задействовано троянское ПО, однако, его доставка зачастую происходит безотносительно платформ телемедицины или медицинских порталов.

Фото: ИЗВЕСТИЯ/Сергей Лантюхов 

— Очень опасным вектором атаки остается таргетированный фишинг, — отмечает Кай Михайлов. — Если злоумышленник предполагает, что жертва пользуется конкретным медицинским сервисом, то шаблон письма подделать не составляет труда. Процент успеха атаки очень велик, так как письма от медицинских сервисов являются важными для человека. Вложение зачастую содержит троян, который закрепляется на персональном компьютере жертвы. В среднем персональные компьютеры людей по-прежнему считаются очень уязвимыми, пользователи с установленным антивирусным ПО часто выключают его на время или полностью, поскольку его поведение кажется им назойливым (что действительно так для бесплатных версий антивирусов).

В то же время технический директор компании IW Group Алексей Обухов успокаивает: угрозы в отрасли телемедицины минимальны из-за современных средств авторизации пользователей.

— Есть вопрос в защите персональных данных пациентов, но и здесь с учетом средств безопасности самих информационных систем ярких угроз нет, — говорит эксперт. — За исключением человеческого фактора, если кто-нибудь не стоит рядом с монитором и потом увиденную информацию передает третьим лицам. Вообще 99% всех угроз имеет внутреннюю природу.

Олег Босенко из IBS также обращает внимание на общемировую тенденцию — медицинские учреждения (больницы, санатории и т.д.) часто становятся объектами кибератак.

— Никаких морально-этических принципов у хакеров здесь нет, — отмечает эксперт. — Поэтому и телемедицина должна рассматриваться как объект защиты от атак. И с точки зрения обмена данными, и с точки зрения защиты от дипфейков, и критичной сферы персональных сведений.

По банковскому вредоносному ПО Игорь Душа видит устойчивый тренд в использовании шифровальщиков. Злоумышленникам они обходятся дешево. Сложные атаки, например эксплуатация уязвимостей для компрометации цепочек поставок, встречаются часто, однако эксперты наблюдают тенденцию к падению их числа из-за дороговизны для мошенников.

— Одно из самых активно развивающихся направлений угроз, которое требует не столько использования технических средств, сколько методов социальной инженерии — это утечки баз данных, — замечает Душа. — Чтобы нивелировать риски, разработчики финансовых платформ продолжают увеличивать защищенность инфраструктуры, обеспечивают деперсонализацию хранящихся данных и разделяют доступ своих сотрудников к информации.