Кейлоггеры используют Zoho для вывода краденых данных
ИТ-Безопасность
Анализ клавиатурных шпионов, проведенный в Cofense Intelligence, показал, что 40% из них отсылают собранную информацию на адрес email, привязанный к домену zoho.com или zoho.eu.

Индийская компания Zoho специализируется на разработке ПО для управления IT-инфраструктурой предприятий малого и среднего бизнеса. Вендор также предоставляет бесплатный доступ к инструментам для совместной работы, таким как электронная почта, чат, текстовый процессор, электронные таблицы и т. п.

По свидетельству Cofense, операторы кейлоггеров создают на почтовом сервисе Zoho бесплатную учетную запись для приема краденых данных, которые зловред отправляет письмом. Иногда с этой целью используется угнанный аккаунт.

Беседуя с представителем Threatpost, ведущий аналитик Cofense Даррел Рендел (Darrell Rendell) отметил, что исследователям удалось подтвердить вредоносную активность на платформе Zoho, организовав перехват SMTP-трафика кейлоггеров.

«Мы получили возможность отслеживать подключение зловредов к smtp.zoho.com, — рассказывает эксперт. — Поскольку smtp.zoho.com допускает использование STARTTLS (шифрования сетевого трафика), нам пришлось применить специальную методику перехвата и расшифровки трафика. Данные, отсылаемые в сообщениях на адреса Zoho, можно также узнать парсингом содержимого памяти зловреда. Так или иначе, но мы удостоверились, что письма содержат такую информацию, как записи о нажатии клавиш, зашифрованные по base64 скриншоты, украденные пароли, история браузера».

Веб-сервисы Zoho привлекательны для киберкриминала по двум причинам: ими можно пользоваться бесплатно, а аудитория широка. «Они работают по модели «ПО как услуга» (SaaS), и когда организация переносит свои операции в облако, она становится привлекательной мишенью для злоумышленников — из-за количества и разнообразия конечных пользователей, — поясняет Рендел. — Если платформа, к примеру, насчитывает более 30 млн пользователей, то злоумышленнику достаточно взломать менее 1% аккаунтов, чтобы создать необходимый C&C-трафик».

Проблему в данном случае усугубляет отсутствие надежной защиты вроде многофакторной аутентификации и слабый надзор за регистрацией учетных записей. «Полностью автоматизировать процесс создания аккаунтов можно с помощью простейшего скрипта», — сетует собеседник Threatpost.

Неделю назад, 25 сентября, регистратор TierraNet на короткое время заблокировал домены Zoho из-за жалоб на фишинг на почтовом сервисе компании. «Регистратор принял крутые меры, а СМИ подлили масла в огонь, однако Zoho — далеко не единственная жертва злоупотреблений, — пишет Рендел в отчете на сайте Cofense. — Многие трояны и кейлоггеры используют популярные платформы, чтобы облегчить кражу учетных данных. Зловред Geodoоперировал крадеными идентификаторами на сотнях платформ — SaaS, специализированных сервисах, частных почтовых серверах. Жертвами злоупотреблений зачастую становятся Gmail, Outlook.com, Yandex, Yahoo».

Проведенное в Cofense исследование также показало рост использования кейлоггеров, в особенности Hawkeye и Agent Tesla, который весной засветился в целевых атаках на судоходные компании.

«Этот тренд, по всей видимости, связан с бурным развитием модели «вредоносное ПО как услуга«, — полагает Рендел. — Не обладающему технической подготовкой новичку гораздо проще купить готовый к употреблению кейлоггер, чем связываться с разработкой и настройкой. А при наличии сервиса «фишинг как услуга» можно получить схему доставки зловреда под ключ, и все сведется к выполнению одной команды».

Кейлоггеры Agent Tesla и Hawkeye, по словам эксперта, обрели дополнительные возможности для кражи информации. «Разнообразие зловредных функций позволяет этим семействам воровать данные как в реальном времени, так и задним числом — из хранилищ, кошельков, кэшей, файлов конфигурации, — подчеркнул Рендел. — Куда же отправляются данные после того как их украли, сериализовали и подготовили, спросите вы? — На панель оператора или, скорее, на скомпрометированный email-аккаунт. Подавляющее большинство кейлоггеров предпочитают пользоваться электронной почтой».

Представители Zoho на запрос Threatpost о комментарии пока не ответили.