В десятке наиболее активных вредоносных программ в России по итогам марта оказался распространяющийся через Skype компьютерный червь Pykspa, в последний раз широко заметный в 2015 году. Новый всплеск его активности, как и рост других угроз в приложениях для видеозвонков, связан с массовым переходом на удаленную работу. При этом общее количество фишинговых атак, хотя хакеры обновили их направленность, пока серьезно не выросло.
Фото: Олег Харсеев, Коммерсантъ
По итогам марта в десятку самых активных вредоносных программ в России вошел компьютерный червь Pykspa, распространяющийся с помощью рассылки сообщений в Skype и извлекающий личную информацию пользователей, говорится в отчете Check Point, с которым ознакомился “Ъ”. Его активность подтверждают и в других компаниях.
Pykspa также может получить доступ к контактам пользователя в Skype, масштабируя свою активность, отметил руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев.
Вредонос взаимодействует с элементами окна приложения Skype, так чтобы все контакты жертвы получили сообщение-приманку с веб-ссылкой, клик на которую запустит скачивание его на новый компьютер, уточняет старший специалист группы исследования угроз экспертного центра безопасности Positive Technologies Алексей Вишняков.
Рост активности этого вредоноса можно объяснить тем, что в режиме самоизоляции люди стали чаще пользоваться программами для связи, полагает глава представительства Check Point Software Technologies в России и СНГ Василий Дягилев. Нынешняя распространенность Pykspa связана с переходом компаний на удаленную работу, добавляет руководитель центра расследования киберинцидентов JSOC CERT «Ростелеком-Солар» Игорь Залевский, отмечая, что первые массовые упоминания Pykspa были еще в 2015 году, однако о нем долго не было слышно. По его словам, червь пока не был замечен в корпоративных сетях и сейчас атаки «скорее имеют массовый ненаправленный характер и ориентированы на домашних пользователей».
По данным Mediascope, еще в декабре 2019 года (более свежих данных нет) Skype в России пользовались 6,9 млн человек в месяц, мессенджер был на четвертом месте по популярности после Telegram, Viber и WhatsApp.
Но с тех пор рынок видео-конференц-связи показал резкий рост спроса, писал “Ъ” 20 марта. Например, количество новых пользователей Zoom в мире по состоянию на март 2020 года превысило прирост за весь 2019 год, следует из отчета IDC, а число видеозвонков в Microsoft Teams в марте увеличилось на 1000%, сообщали в компании.
Так, для Zoom новая реальность стала «одновременно и звездным часом, и проверкой», и эту проверку сервис не проходит, считает Андрей Арсентьев: неоднократно происходили утечки адресов и телефонов пользователей из-за некорректного алгоритма сервиса. Кроме того, в последнее время Zoom привлек массу интернет-троллей, которые пытаются сорвать видеоконференции, отмечает он. В Positive Technologies также наблюдают рост числа фейковых доменов Zoom, с которых пользователи инфицируются популярным вредоносным софтом.
Нацеленность киберпреступников на сервисы видеосвязи находит отражение и в участившихся фишинговых атаках на пользователей корпоративного решения для видеосвязи Cisco Webex, замечает Андрей Арсентьев. По его словам, злоумышленники под видом специалистов техподдержки Cisco рассылают пользователям сообщение с просьбой загрузить важное обновление якобы с целью устранить опасную уязвимость. В России пользователи Cisco Webex с такими атаками пока не сталкивались, но на Западе они действительно есть, уточняет эксперт по информационной безопасности Cisco Алексей Лукацкий. По его словам, пользователю приходит ссылка, при переходе на которую на компьютер попадает вредонос либо открывается фишинговый сайт Cisco.
Доля атак, использующих тематику коронавирусной инфекции, растет, однако существенного прироста в общем количестве фишинговых атак нет, отмечает Алексей Вишняков, злоумышленники просто «сменили одни приманки на другие, более актуальные». При этом, по его словам, ряд операторов вымогательского ПО даже заявили о прекращении своей деятельности на время пандемии и уверяют о готовности восстановить зашифрованные данные в результате ошибочных атак на медицинские организации.