Видео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) (Ноември 2024)
Тези нигерийски принцове имат нови трикове в ръкавите си.
Спомняте ли си онези 419 измами? Това бяха често пишените имейл съобщения, които често са бедни, за да се предполага, че са от богат индивид, готов да плати обилно за помощ за пренасяне на богатството си извън страната. В действителност, когато жертвите предадоха финансовите си данни, за да помогнат и да получат голямо изплащане, измамниците разграбиха банковите сметки и изчезнаха.
Изглежда, че измамниците са използвали техники за атака и злоупотреба с данни за кражба на данни, използвани по-рано от по-сложни групи за киберпрестъпления и кибер-шпионаж, заявиха изследователите на Palo Alto Networks. Изследователи от Unit 42, екипът на разузнавателния екип на компанията, очертаха поредицата от атаки срещу тайвански и южнокорейски бизнес в доклада "419 Evolution", публикуван във вторник.
В миналото социалните инженери са били насочени главно към "заможни, нищо неподозиращи хора". С нови инструменти в ръка изглежда, че тези 419 измамници са изместили пула за жертви, за да включват бизнеса.
„Актьорите не показват високо ниво на техническа хъс, но представляват нарастваща заплаха за бизнеса, който преди това не е бил тяхната основна цел“, казва Райън Олсън, разузнавателен директор на отдел 42.
Сложни нападения от Непосветените
През последните три месеца Palo Alto Networks проследи атаките, наречени „Silver Spaniel” от изследователи на Unit 42. Атаките започнаха със злонамерен прикачен имейл, който при щракване инсталираше злонамерен софтуер на компютъра на жертвата. Един пример е инструмент за отдалечено администриране (RAT), наречен NetWire, който позволява на нападателите отдалечено да превземат Windows, Mac OS X и Linux машини. Друг инструмент, DataScrambler, беше използван за преопаковане на NetWire за избягване на откриването от антивирусни програми. DarkComet RAT също е бил използван при тези атаки, се казва в доклада.
Тези инструменти са евтини и лесно достъпни на подземните форуми и могат да бъдат „внедрени от всеки човек с лаптоп и имейл адрес“, се казва в доклада.
419 измамници бяха експерти в областта на социалния инженеринг, но бяха новаци, когато ставаше дума за работа със злонамерен софтуер и „показаха забележително слаба оперативна сигурност“, посочва докладът. Въпреки че инфраструктурата за командване и контрол е проектирана да използва динамични DNS домейни (от NoIP.com) и VPN услуга (от NVPN.net), някои от нападателите конфигурират DNS домейните, за да сочат собствените си IP адреси. Изследователите са успели да проследят връзките с нигерийските мобилни и сателитни интернет доставчици, се казва в доклада.
Измамниците имат какво да научат
В момента нападателите не използват никакви софтуерни уязвимости и все още разчитат на социалния инженеринг (в който са много добри), за да подмамят жертвите при инсталирането на зловреден софтуер. Изглежда, че крадат пароли и други данни, за да стартират последващи атаки на социалния инженеринг.
"Досега не сме наблюдавали инсталирани вторични полезни натоварвания или някакво странично движение между системите, но не можем да изключим тази дейност", пишат изследователите.
Изследователите разкриха нигериец, който споменаваше злонамерения софтуер многократно във Facebook, питайки за конкретни функции на NetWire или искайки поддръжка, работеща например със Zeus и SpyEye. Докато изследователите все още не са свързвали този специфичен актьор с атаките на Silver Spaniel, той е пример за някой, „който започна престъпната си кариера, оперирайки 419 измами и развива своя занаят, за да използва инструменти за зловреден софтуер, намерени на подземни форуми“, казва Пало Алто Мрежи.
Докладът препоръча да се блокират всички изпълними прикачени файлове в имейлите и да се проверят архивите.zip и.rar за потенциални злонамерени файлове. Защитните стени също трябва да блокират достъпа до често злоупотребявани динамични DNS домейни и потребителите трябва да бъдат обучени да проявяват подозрение към прикачени файлове, дори когато имената на файлове изглеждат законни или свързани с тяхната работа, каза Palo Alto Networks. Докладът включва правила Snort и Suricata за откриване на трафик на Netwire. Изследователите също така пуснаха безплатен инструмент за дешифриране и декодиране на команда и контрол на трафика и разкриване на данни, откраднати от нападателите на Silver Spaniel.
"Към момента не очакваме актьорите от сребърния спаниел да започнат да разработват нови инструменти или подвизи, но е вероятно те да приемат нови инструменти, направени от по-способни участници", се казва в доклада.