Будинки Securitywatch Нігерійські аферисти застосовують більш складні атаки

Нігерійські аферисти застосовують більш складні атаки

Відео: Маленькое королевство Бена и Холли - Вылазка ⭐Лучшие моменты (Листопад 2024)

Відео: Маленькое королевство Бена и Холли - Вылазка ⭐Лучшие моменты (Листопад 2024)
Anonim

Ці нігерійські князі мають нові трюки в рукавах.

Пам’ятаєте ті 419 афери? Це були часто погано написані повідомлення електронною поштою, що вважаються заможними людьми, готовими платити щедро за допомогу в перенесенні свого багатства за межі країни. Насправді, коли жертви передавали свої фінансові реквізити, щоб допомогти та отримати велику виплату, шахраї розграбували банківські рахунки та зникли.

Схоже, ті шахраї підхопили методи нападу та зловмисного програмного забезпечення для крадіжки даних, які раніше використовувалися більш досконалими групами в галузі кіберзлочинності та кібер-шпигунства, - заявили дослідники Palo Alto Networks. У дослідженні "419 Еволюція", опублікованому у вівторок, дослідники з підрозділу 42, групи розвідки компанії про загрозу, окреслили серію нападів на тайваньський та південнокорейський бізнес

У минулому шахрайство з соціального інжинірингу в першу чергу було націлене на "заможних, нічого не підозрілих людей". З новими інструментами в руці, здається, що ці 419 аферистів перенесли пул жертв і включили бізнес.

"Актори не демонструють високого рівня технічної проникливості, але представляють зростаючу загрозу для підприємств, які раніше не були їх головними цілями", - сказав Райан Олсон, директор з розвідки підрозділу 42.

Складні напади Непосвячених

Пало Альто Мережі відслідковував атаки, які дослідники підрозділу 42 називали "срібним спаніелем" протягом останніх трьох місяців. Атаки розпочалися зі зловмисного вкладення електронної пошти, яке при натисканні встановлювало зловмисне програмне забезпечення на комп’ютер жертви. Одним із прикладів є інструмент віддаленого адміністрування (RAT) під назвою NetWire, який дозволяє зловмисникам віддалено перебирати машини Windows, Mac OS X та Linux. Інший інструмент, DataScrambler, був використаний для перепакування NetWire для ухилення від виявлення антивірусними програмами. У цих атаках також використовувався DarkComet RAT, йдеться у повідомленні.

Ці інструменти недорогі та легко доступні на підпільних форумах, і їх можна "розгорнути будь-якою особою, яка має ноутбук та електронну адресу", - йдеться у звіті.

419 шахраїв були експертами в галузі соціального інжинірингу, але не були новачками, коли справа стосувалася зловмисного програмного забезпечення та "демонстрували надзвичайно низьку операційну безпеку". Незважаючи на те, що інфраструктура команд і управління була розроблена для використання динамічних доменів DNS (від NoIP.com) та VPN-сервісу (від NVPN.net), деякі зловмисники налаштували домени DNS для вказівки на власні IP-адреси. Дослідники змогли простежити зв'язки з нігерійськими провайдерами мобільного та супутникового Інтернету, йдеться у повідомленні.

Шахраї мають чому навчитися

Наразі зловмисники не використовують жодних уразливостей програмного забезпечення та все ще покладаються на соціальну інженерію (в чому вони дуже хороші), щоб обманути жертв на встановлення зловмисних програм. Здається, вони крадуть паролі та інші дані для запуску наступних атак на соціальну інженерію.

"Поки що ми не спостерігали жодних встановлених вторинних корисних навантажень або будь-якого бічного переміщення між системами, але не можемо виключити цю діяльність", - написали дослідники.

Дослідники виявили нігерійця, який неодноразово згадував про зловмисне програмне забезпечення у Facebook, запитуючи про конкретні функції NetWire або, наприклад, просити підтримки, працюючи з Zeus та SpyEye. Хоча дослідники ще не пов’язали цього конкретного актора з атаками срібного спаніеля, він був прикладом того, хто "розпочав свою злочинну кар'єру, здійснюючи 419 афери та розвиваючи своє ремесло з метою використання зловмисних програм, знайдених на підпільних форумах", сказав Пало Алто Мережі.

У звіті рекомендується блокувати всі виконувані вкладення в електронних листах та перевіряти архіви .zip та .rar на предмет можливих шкідливих файлів. Брандмауери також повинні блокувати доступ до часто зловживаних динамічних доменів DNS, і користувачів потрібно пройти навчання, щоб вони підозріло ставилися до вкладених файлів, навіть коли назви файлів виглядають законними або пов'язані з їх роботою, сказав Пало Алто Мережі. Звіт включав правила Snort та Suricata для виявлення трафіку Netwire. Дослідники також випустили безкоштовний інструмент для дешифрування та розшифровки команд та контролю трафіку та виявлення даних, викрадених нападниками Silver Spaniel.

"Наразі ми не очікуємо, що актори срібного спаніеля почнуть розробляти нові інструменти чи подвиги, але вони, ймовірно, приймуть нові інструменти, зроблені більш здібними акторами", - йдеться у повідомленні.

Нігерійські аферисти застосовують більш складні атаки