Хакеры начали использовать «Яндекс Диск» для атак на компании

Хакеры начали использовать ресурсы облачного сервиса «Яндекс Диск» в качестве вспомогательного места хранения зловредных скриптов при проведении кибератак на российские компании. Ранее в подобных схемах злоумышленники использовали сервисы OneDrive и Dropbox.

Причина перестройки на отечественную платформу заключается в том, что корпоративным системам безопасности сложно идентифицировать вредоносное ПО, которое применяет «Яндекс Диск» в качестве контрольного сервера. Трафик оттуда и туда разрешён во многих российских компаниях, так как эта платформа применяется для обмена документов с филиалами или удалёнными сотрудниками в качестве альтернативы зарубежным решениям.

Эксперты отрасли пояснили СМИ, что жертва получает по электронной почте письмо с вложением текстового документа. При попытке его открытия начинается загрузка макроса с «Яндекс Диска», а также его запуск для копирования вредоносной библиотеки на ПК. Пользователь ничего не может заметить, так как он видит только открытый присланный документ.

В данном случае злоумышленники используют пункт в условиях использования «Яндекс Диск», где указано, что сервис не проверяет содержимое облачных папок пользователей, так как это нарушает их конфиденциальность. Если код выложили в хранилище, то «Яндекс» не может проверить, для чего он предназначен.

В этом случае под видом легитимного трафика передаются команды от хакеров через «Яндекс Диск». По утверждению экспертов, «передача команд производится путём записи их в файлы с определённым именем в определённой директории, уникальной для каждого заражённого хоста, а ответы на команды передаются аналогичным образом». Они рекомендуют пользователям не открывать незнакомые письма и вложения в них, так как даже эксперты по безопасности не могут сразу определить с помощью специальных инструментов, что в какой-то момент на ПК запустились макросы для распространения зловредов. Эти зловреды можно обнаружить лишь в динамике при помощи средств мониторинга, а также с использованием последних версий корпоративного антивирусного ПО с возможностью анализа и блокирования подобных инцидентов.

В начале июля владельцы и администраторы веб-сайтов по всему миру стали получать поддельные жалобы от вымышленной компании на нарушение авторских прав, которые используют сервис «Яндекс Формы» и содержат ссылки для распространения банковского трояна IcedID. В фишинговом письме содержится ссылка на архив в сервисе «Яндекс Формы». После нажатия на неё пользователю показывается уведомление, что ISO-файл с доказательствами готов к загрузке. Потом в «Яндекс Форме» происходит загрузка файла с именем Stolen_ImagesEvidence.iso по встроенной ссылке с сайта firebasestorage.googleapis.com. При запуске ISO-файла в системе появляется новый диск с папкой «документы», которая на самом деле является ярлыком для запуска вредоносного DLL-файла с помощью расширенной строки с использованием процесса rundll32.exe. В этот момент в систему внедряется загрузчик банковского трояна IcedID и других зловредов.

«Яндекс Формы никогда не распространяли вредоносное ПО IcedID. Мы также добавили дисклеймер в формы, что при переходе по внешней ссылке, пользователь попадает на сторонний ресурс и Яндекс не несёт ответственности за содержимое сайта», — пояснил представитель Яндекса для Хабра по этому инциденту.

Источник: Хабр