Блог компании Positive Technologies | С помощью MaxPatrol SIEM специалисты Positive Technologies выявили ВПО, затронувшее более 250 тысяч пользователей

🔥 Специалисты Positive Technologies с помощью MaxPatrol SIEM выявили вредоносное программное обеспечение, жертвами которого стали более 250 000 пользователей по всему миру!

В большинстве случаев атака затронула некорпоративных пользователей, скачивающих пиратский софт с непроверенных ресурсов и торрент-трекеров, однако среди жертв оказались и компании из разных сфер экономики. Все они были уведомлены о выявленной угрозе.

🧐 Началось все в августе 2023 года, когда наши специалисты зафиксировали аномальную активность в одной из российских компаний. Эксперты обнаружили, что пользователь исследуемой компании стал жертвой неизвестного ранее вредоноса.

В ходе детального расследования эксперты Positive Technologies выявили пострадавших в 164 странах. Подавляющее большинство (более 200 тысяч) находятся в России, Украине, Белоруссии, Узбекистане.

👾 Коротко расскажем о том, как работает вредонос

• После установки он собирает информацию о компьютере жертвы, устанавливает программу RMS (для удаленного управления) и майнер XMRig, архивирует содержимое пользовательской папки Telegram (tdata).

• Получив доступ к папке Telegram, злоумышленник вступает в телеграм-сессию пользователя и мониторит переписку, извлекая данные из аккаунта, при этом оставаясь незаметным.

• Даже если пользователь настроил двухфакторную аутентификацию, хакер может ее успешно обойти, подобрав пароль методом перебора (brute force).

❗️Пользователям Телеграма рекомендуется после обнаружения признаков взлома завершить текущую сессию и зайти в мессенджер повторно.

👨‍💻 Для защиты от подобных атак следует использовать лицензированное ПО, избегать скачивания программ из недоверенных источников, а также иметь активное антивирусное программное обеспечение.

🖥 Организациям мы рекомендуем использовать продукты класса SIEM для отслеживания подозрительной активности в информационных системах.

Уже завтра в 15:00 мы представим MaxPatrol SIEM 8.0 — новую версию своего продукта с продвинутым набором функций для выявления неизвестных атак и аномалий.