Video: 17. Si ei merita sa fie iubiti, nu numai cainii de rasa! (Noiembrie 2024)
Acei prinți nigerieni au trucuri noi pe mânecă.
Îți amintești de acele 419 înșelătorii? Acestea erau mesajele de e-mail adesea slab scrise, care pretindeau să fie de la o persoană bogată, dispusă să plătească în mod extraordinar pentru a-și transfera averea din țară. În realitate, când victimele au predat detaliile lor financiare pentru a ajuta și pentru a obține o rambursare mare, fraudatorii au jefuit conturile bancare și au dispărut.
Se pare că acești escroci au preluat tehnici de atac și malware pentru furtul de date folosite anterior de grupuri mai sofisticate de criminalitate cibernetică și ciberspionaj, au spus cercetătorii Palo Alto Networks. Cercetătorii de la unitatea 42, echipa de informații despre amenințări a companiei, au evidențiat seria atacurilor împotriva întreprinderilor din Taiwan și Coreea de Sud din raportul „Evoluția 419” lansat marți.
În trecut, escrocherii de inginerie socială au vizat în primul rând „persoane înstărite, nepăsătoare”. Cu instrumente noi în mână, acești 419 escroci par să fi schimbat piscina victimelor să includă întreprinderi.
"Actorii nu arată un nivel ridicat de înțelegere tehnică, dar reprezintă o amenințare din ce în ce mai mare pentru întreprinderile care nu au fost anterior obiectivele lor", a declarat Ryan Olson, directorul de informații al unității 42.
Atacuri sofisticate ale celor neinițiați
Palo Alto Networks a urmărit atacurile, supranumit „Silver Spaniel” de cercetătorii unității 42, în ultimele trei luni. Atacurile au început cu un atașament e-mail rău intenționat, care, atunci când faceți clic, a instalat malware pe computerul victimei. Un exemplu este un instrument de administrare de la distanță (RAT) numit NetWire, care permite atacatorilor să preia de la distanță aparate Windows, Mac OS X și Linux. Un alt instrument, DataScrambler, a fost folosit pentru reambalarea NetWire pentru a sustrage detectarea prin programe antivirus. Raportul a spus că DarkComet RAT a fost folosit și în aceste atacuri.
Aceste instrumente sunt ieftine și ușor disponibile pe forumurile subterane și ar putea fi „implementate de orice persoană cu laptop și adresă de e-mail”, se arată în raport.
Raportul a constatat că cei 419 escroci au fost experți în inginerie socială, dar au fost novici atunci când a fost vorba despre lucrul cu malware. Chiar dacă infrastructura de comandă și control a fost proiectată pentru a utiliza domenii DNS dinamice (de la NoIP.com) și un serviciu VPN (de la NVPN.net), unii dintre atacatori au configurat domeniile DNS pentru a indica propriile lor adrese IP. Raportul a spus că cercetătorii au reușit să urmărească conexiunile către furnizorii de internet mobil și satelit din Nigeria.
Escrocii au multe de învățat
În acest moment, atacatorii nu exploatează nicio vulnerabilitate software și se bazează în continuare pe inginerie socială (la care sunt foarte buni) pentru a păcăli victimele în instalarea programelor malware. Se pare că fură parole și alte date pentru a lansa atacuri de inginerie socială de urmărire.
„Până în prezent nu am observat nicio sarcină secundară instalată sau nicio mișcare laterală între sisteme, dar nu putem exclude această activitate”, au scris cercetătorii.
Cercetătorii au descoperit un nigerian care a menționat în repetate rânduri malware-ul pe Facebook, întrebând despre anumite funcții NetWire sau cerând asistență care lucrează cu Zeus și SpyEye, de exemplu. În timp ce cercetătorii nu au legat încă acest actor specific cu atacurile Silver Spaniel, el a fost un exemplu de cineva „care și-a început cariera criminală care operează 419 escrocherii și își dezvoltă ambarcațiunile pentru a utiliza instrumente malware găsite pe forumurile subterane”, a spus Palo Alto Networks.
Raportul a recomandat blocarea tuturor atașamentelor executabile pe e-mailuri și inspectarea arhivelor.zip și.rar pentru eventualele fișiere dăunătoare. Firewall-urile ar trebui să blocheze accesul la domeniile DNS dinamice obișnuite, iar utilizatorii trebuie să fie instruiți să fie suspect de atașamente, chiar și atunci când numele fișierelor par a fi legitime sau legate de activitatea lor, a spus Palo Alto Networks. Raportul includea regulile Snort și Suricata pentru detectarea traficului Netwire. De asemenea, cercetătorii au lansat un instrument gratuit pentru decriptarea și decodificarea comenzii și controlul traficului și dezvăluirea datelor furate de atacatorii Silver Spaniel.
"În acest moment, nu ne așteptăm ca actorii Silver Spaniel să înceapă să dezvolte noi instrumente sau exploatări, dar este probabil să adopte noi instrumente realizate de actori mai capabili", se arată în raport.