Программа-вымогатель IceFire нацелилась на системы Linux

Исследователи SentinelLabs обнаружили, что программа-вымогатель IceFire, которая ранее использовалась только для Windows, теперь заражает и Linux-системы. Для доставки шифровальщика эксплуатируется уязвимость CVE-2022-47986 в ПО для обмена файлами IBM Aspera Faspex. При запуске IceFire шифрует файлы, добавляя к ним расширение «.ifire», а затем заметает следы, удаляя себя. При этом ВПО не шифрует все подряд, а стратегически избегает определенных путей, позволяя критически важным частям системы оставаться в рабочем состоянии. Записка о выкупе содержит имя пользователя и пароль, которые необходимы для входа на портал, размещенный в сети Tor, для оплаты выкупа.


Обнаружен новый банковский троян для Android

Исследователи Cyble Research and Intelligence Labs обнаружили на киберпреступном форуме рекламу банковского трояна для Android под названием Nexus. ВПО маскируется под приложение Youtube Vanced и скрытно устанавливает соединение с C&C-сервером, передавая список установленных приложений на телефоне жертвы. После этого сервер сверяет его с целевым списком банковских приложений, если совпадение найдено, отправляет команду «enableinject», включая имя пакета конкретного банка. Троян загружает код HTML-инъекции, который по сути представляет собой фишинговую страницу. Когда жертва будет взаимодействовать с банковским приложением, злоумышленник перехватит учетные данные пользователя.


Группировка UNC2970 использует новые семейства вредоносных программ

Компания Mandiant представила подробный технический анализ вредоносной кампании UNC2970, в которой раскрыты ранее незадокументированные семейства вредоносных программ: TOUCHMOVE, SIDESHOW и TOUCHSIFT. TOUCHMOVE – загрузчик, предназначенный для расшифровки и выполнения полезной нагрузки на машине. SIDESHOW – бэкдор, который запускает произвольные команды и обменивается данными через HTTP POST-запросы с C2-сервером. TOUCHHIFT – дроппер вредоносных программ, который загружает все, начиная от кейлоггеров и утилит для создания скриншотов, заканчивая полнофункциональными бэкдорами. Исследователи заявляют, что выявленные инструменты указывают на изменение стратегии или расширение деятельности группировки.