Видео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) (Ноябрь 2024)
У этих нигерийских принцев новые рукава.
Помните эти 419 мошенничества? Это были часто плохо написанные сообщения электронной почты, которые якобы были написаны от состоятельного человека, готового щедро заплатить за помощь в переводе своего богатства из страны. На самом деле, когда жертвы передали свои финансовые данные, чтобы помочь, и получили большую выгоду, мошенники разграбили банковские счета и исчезли.
По словам исследователей из Palo Alto Networks, эти мошенники подобрали методы атак и вредоносное ПО для кражи данных, которые ранее использовались более изощренными группами по киберпреступности и шпионажу. Исследователи из подразделения 42, группы разведки угроз, описали серию атак на тайваньские и южнокорейские предприятия в отчете «419 Evolution», опубликованном во вторник.
В прошлом мошенничество в сфере социальной инженерии в первую очередь предназначалось для "богатых, ничего не подозревающих людей". С новыми инструментами в руках эти 419 мошенников, похоже, сместили пул жертв, чтобы включить бизнес.
«Актеры не проявляют высокого уровня технической проницательности, но представляют растущую угрозу для предприятий, которые ранее не были их основными целями», - сказал Райан Олсон, директор разведки подразделения 42.
Сложные атаки непосвященных
Palo Alto Networks отслеживала атаки, названные исследователями из 42-го блока «Серебряный спаниель» за последние три месяца. Атаки начались с вредоносного вложения электронной почты, которое при нажатии устанавливало вредоносное ПО на компьютер жертвы. Одним из примеров является средство удаленного администрирования (RAT), называемое NetWire, которое позволяет злоумышленникам удаленно захватывать компьютеры с Windows, Mac OS X и Linux. Другой инструмент, DataScrambler, использовался для переупаковки NetWire, чтобы избежать обнаружения антивирусными программами. DarkComet RAT также использовался в этих атаках, говорится в сообщении.
Эти инструменты недороги и легко доступны на подпольных форумах и могут быть «развернуты любым человеком с ноутбуком и адресом электронной почты», говорится в сообщении.
419 мошенников были экспертами в области социальной инженерии, но были новичками, когда дело дошло до работы с вредоносными программами, и «продемонстрировали удивительно низкую операционную безопасность», говорится в отчете. Несмотря на то, что инфраструктура командования и управления была разработана для использования динамических доменов DNS (от NoIP.com) и службы VPN (от NVPN.net), некоторые из злоумышленников настроили домены DNS для указания своих собственных IP-адресов. Исследователи смогли проследить соединения с нигерийскими провайдерами мобильного и спутникового интернета, говорится в сообщении.
Мошенникам есть чему поучиться
На данный момент злоумышленники не используют какие-либо уязвимости в программном обеспечении и по-прежнему полагаются на социальную инженерию (в которой они очень хороши), чтобы обманом заставить жертву установить вредоносное ПО. Похоже, они крадут пароли и другие данные для запуска последующих атак социальной инженерии.
«До сих пор мы не наблюдали каких-либо вторичных полезных нагрузок или каких-либо боковых перемещений между системами, но не можем исключить эту деятельность», - пишут исследователи.
Исследователи обнаружили нигерийца, который неоднократно упоминал о вредоносном ПО в Facebook, спрашивая о конкретных функциях NetWire или, например, обращаясь за поддержкой в работе с Zeus и SpyEye. Хотя исследователи еще не связали этого конкретного актера с атаками Серебряного спаниеля, он был примером кого-то, «кто начал свою криминальную карьеру, используя 419 мошенников и развивая свое мастерство, чтобы использовать вредоносные инструменты, найденные на подпольных форумах», сообщает Palo Alto Networks.
В отчете рекомендуется блокировать все исполняемые вложения в сообщениях электронной почты и проверять архивы.zip и.rar на наличие потенциальных вредоносных файлов. Брандмауэры также должны блокировать доступ к часто используемым доменам динамического DNS, и пользователи должны быть обучены, чтобы с подозрением относиться к вложениям, даже если имена файлов выглядят законными или имеют отношение к их работе, считает Palo Alto Networks. В отчет включены правила Snort и Suricata для обнаружения трафика Netwire. Исследователи также выпустили бесплатный инструмент для расшифровки и декодирования командного и контрольного трафика и раскрытия данных, украденных злоумышленниками из Silver Spaniel.
«В настоящее время мы не ожидаем, что актеры Серебряного спаниеля начнут разрабатывать новые инструменты или эксплойты, но они, скорее всего, примут новые инструменты, созданные более способными актерами», - говорится в отчете.