Солар: Хакеры активно используют Steam, Twitter, YouTube для координации кибератак

Хакеры стали активно использовать крупнейшую игровую онлайн-площадку Steam для организации кибератак, выяснили эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар». Злоумышленники создают аккаунты и прячут в их описании информацию о серверах управления вредоносным ПО. Тогда вирус из зараженной инфраструктуры обращается не напрямую к подозрительному IP-адресу, а к легальному ресурсу. Это значительно усложняет выявление вредоносной активности и своевременную блокировку атаки. Поэтому ИБ-отделам компаний стоит внимательно относиться даже к такой, казалось бы, легальной активности из корпоративной сети.

Такая хакерская техника называется Dead Drop Resolver. Она предполагает, что злоумышленники размещают на легитимных онлайн-площадках контент с данными о C&C-сервере (С2, с него осуществляется управление вредоносным ПО). Эта информация может публиковаться как в зашифрованном виде, так и открытым текстом. Вредоносное ПО после заражения целевой инфраструктуры обращается к этому ресурсу и извлекает из него адрес управляющего сервера (С2). Пока через Steam преимущественно распространяют вирусы-стилеры, однако схема может использоваться для любого ВПО. Среди сайтов, которые используют хакеры, также Pastebin (платформа для публикации текста или кода), X (бывший Twitter, запрещена в РФ), YouTube, мессенджер Telegram и другие. В целом, атакующие постоянно придумывают новые способы маскировки своей вредоносной деятельности — и в рамках SOC Forum, который пройдет в Москве в начале ноября, команда Solar 4RAYS расскажет о самых необычных техниках и тактиках, с которыми встречается во время расследований.

«Dead Drop Resolver позволяет злоумышленникам создать более устойчивую C2-инфраструктуру, так как они могут в любой момент обновить информацию о доступном командном сервере. А обращение к легальному ресурсу из корпоративной сети не вызывает особых подозрений. Также во вредоносном файле, который заражает компьютер жертвы, отсутствует явное указание на командный сервер или конфигурацию ВПО. Сейчас Steam особенно активно используется для распространения следующих стилеров: MetaStealer, Vidar, Lumma и ACR. Вероятно, со временем такой способ распространения подхватят и другие разработчики ВПО, если только площадки не найдут способ быстро обнаруживать и блокировать вредоносные профили», — пояснил аналитик центра исследования киберугроз Solar 4RAYS ГК «Солар» Владимир Степанов.

Указанные стилеры крадут разнообразную информацию: учетные данные и данные браузера, установленный на устройстве софт, список запущенных на устройстве процессов, переписки в мессенджерах и почте, криптокошельки и другое. Последствия от запуска подобного вредоносного ПО в инфраструктуре могут быть критичными для компании. Поэтому службам безопасности компаний стоит внимательнее относиться к случаям запросов к Steam из корпоративной сети. Скорее всего, это свидетельство деятельности ВПО.