Zoho как основной способ для кейлоггеров отправлять украденные данные

По данным Cofense Intelligence, 40% кейлоггеров отправляют собранную информацию на адрес электронной почты, связанный с zoho.com или zoho.eu домен.

Zoho-индийская компания, специализирующаяся на разработке программных продуктов, позволяющих пользователям управлять ИТ-инфраструктурой местных и региональных предприятий. Этот поставщик также предоставляет бесплатный доступ к таким инструментам совместной работы, как электронная почта, чат, текстовый процессор, электронные таблицы и т. д.

Как сообщает Cofense, операторы кейлоггеров используют адрес электронной почты Zoho для создания бесплатной учетной записи, а также для получения украденных данных, которые отправляются вредоносной программой в виде письма. Иногда хакеры крадут учетную запись Пользователя с той же целью.

Представитель Threatpost, ведущий аналитик Cofense Даррелл Ренделл отметил, что исследователям удалось обнаружить вредоносную активность на платформе Zoho, перехватив SMTP-трафик кейлоггеров.

Эксперт сказал, что исследователи смогли отследить подключение вредоносного ПО к smtp.zoho.com с тех пор как smtp.zoho.com допускалось использование STARTTLS (шифрование сетевого трафика), в них должны были применяться специфические методы перехвата и анализа трафика. Данные, отправленные на адреса Zoho, также могут быть обнаружены путем анализа содержимого памяти вредоносного ПО. Так или иначе, специалисты убедились, что письма содержат ту же информацию, что и нажатия клавиш, зашифрованные base64 скриншоты, украденные пароли, историю браузера.

Ренделл объяснил, что веб-сервисы Zoho привлекательны для киберпреступников по двум основным причинам: бесплатное использование и огромное количество пользователей. Они работают по принципу "программное обеспечение как услуга" (SaaS), и когда организация отправляет файлы в облако, оно становится очень привлекательным для злоумышленников из-за количества и разнообразия конечных пользователей. Если платформа, например, насчитывает более 30 миллионов пользователей, то взлома менее 1% аккаунтов вполне достаточно для того, чтобы злоумышленник создал необходимый C&C трафик.

Проблема в данном случае заключается в ненадежной защите, включая многофакторную аутентификацию и слабый контроль за созданием учетной записи. Собеседник Threatpost также подчеркнул, что простой скрипт поможет полностью автоматизировать процесс создания аккаунтов.

Согласно исследованию Cofense, число людей, использующих кейлоггеры, значительно возросло. Ястребиный глаз и агент Тесла являются одними из наиболее часто используемых, атаки такого рода были обнаружены этой весной и направлены на судоходные компании.

По мнению экспертов, агент Тесла и Соколиный Глаз кейлоггеры имеют дополнительные возможности для кражи информации. Рэндалл также подчеркнул, что разнообразие вредоносных функций позволяет этим семействам красть данные как в режиме реального времени, так и задним числом — из хранилищ, кошельков, кэшей, конфигурационных файлов и т. д. Итак, данные украдены, сериализованы и подготовлены, что тогда? Затем вся информация отправляется либо на панель оператора, либо на скомпрометированную учетную запись электронной почты. Подавляющее большинство кейлоггеров используют второй вариант.