Вымогательство а-ля Luna Moth: вишинг и кража данных без участия зловредов

Вымогательство а-ля Luna Moth: вишинг и кража данных без участия зловредов

Вымогательство а-ля Luna Moth: вишинг и кража данных без участия зловредов

Эксперты Palo Alto Networks выявили вымогательскую кампанию, в ходе которой злоумышленники используют адресные рассылки и вишинг. Намеченную жертву под любым предлогом просят позвонить по указанному номеру, а затем в ходе разговора убеждают предоставить удаленный доступ к компьютеру; согласие открывает возможность для кражи данных с целью получения выкупа.

Автором текущих целевых атак, по данным Palo Alto, является кибергруппа Luna Moth, она же Silent Ransom. Поддельные письма вначале рассылались на адреса небольших юридических компаний, позднее вымогатели переключились на крупный ретейл и уже выманили у жертв сотни тысяч долларов.

Примечательно, что злоумышленники стараются сократить до минимума свой цифровой след: широко используют социальную инженерию и пускают в ход лишь легитимные инструменты. Жертву обрабатывают по схеме TOAD, которую также практикуют мошенники, притворяющиеся техподдержкой; с этой целью Luna Moth создала колл-центры, зарегистрировала множество телефонных номеров у VoIP-провайдеров и открыла аккаунты на веб-сервисе Zoho Assist. 

Распространяемые поддельные сообщения кастомизируются с учетом характера выбранной цели и не содержат вредоносных вложений или ссылок. Приманкой обычно служит инвойс или платная подписка, якобы оформленная на имя получателя.

 

К фальшивке прикреплен безобидный PDF-документ, в котором указан номер телефона для связи на случай возникновения вопросов — например, для отмены подписки, по которой скоро начнут снимать деньги с карты. В ранних рассылках Luna Moth для большей правдоподобности использовала логотип компании-отправителя, которую она имитировала, сейчас авторы атак ограничиваются приветственным заголовком.

 

Номера телефонов для жертв вначале повторялись, а позднее стали уникальными; адресату также могут предоставить выбор из нескольких вариантов. При вызове собеседник в ходе разговора высылает приглашение присоединиться к сеансу удаленной поддержки через Zoho Assist — якобы для большего удобства. Если жертва согласится, мошенник перехватит управление ее клавиатурой и мышью, включит доступ к буферу обмена и размоет экран, чтобы скрыть дальнейшие действия от пользователя.

После этого в систему устанавливается инструмент удаленного управления Syncro, чтобы обеспечить стороннее присутствие, а также менеджер файлов Rclone или клиент WinSCP — для выкачивания ценных данных с компьютера и подключенных сетевых ресурсов. Процесс в этом случае может занять от нескольких часов до пары недель.

Если у жертвы нет админ-прав, автор атаки не пытается закрепиться в системе, а сразу переходит к краже данных с помощью WinSCP Portable — прямо во время телефонной беседы. В ходе инцидентов, попавших в поле зрения Palo Alto, злоумышленники не пытались продвинуться дальше по сети и довольствовались тем, что нашли у жертвы.

После кражи информации пострадавшему высылается письмо с требованием выкупа; его размер составляет от двух до 78 биткоинов, в зависимости от платежеспособности атакованной организации. Каждой жертве назначается свой криптокошелек, тем, кто проводит платеж в заданные сроки, предоставляется скидка в 25%. Неплательщикам могут угрожать потерей репутации — вымогатели обещают рассказать о случившемся крупным клиентам жертвы, называя их имена.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

WireTap: атака на Intel SGX позволяет украсть ключ за 45 минут

Группа исследователей из Технологического института Джорджии и Университета Пердью продемонстрировала атаку под названием WireTap, которая позволяет обойти защиту Intel SGX (Software Guard Extensions).

Главная особенность вектора атаки (PDF) в том, что для неё достаточно физического доступа к серверу и простого оборудования стоимостью менее $1000 — его можно собрать из подержанных деталей.

Учёные создали пассивный DIMM-интерпозер, который подключается к шине памяти DDR4. С его помощью они смогли замедлить и анализировать трафик, затем очистили кэш и получили контроль над защищённым SGX-«анклавом». Дальше дело техники: всего за 45 минут они извлекли ключ аттестации машины.

С помощью украденного ключа можно:

  • подделывать аттестацию и ломать приватность сетей вроде Phala и Secret, где хранятся зашифрованные смарт-контракты;
  • взламывать систему Crust, имитируя доказательства хранения данных и подрывая доверие к узлам сети.

По сути, это позволяет нарушить и конфиденциальность, и целостность таких сервисов.

Intel признала существование атаки, но отметила, что она требует физического доступа и использования спецустройства. А это, по словам Intel, выходит за рамки их стандартной модели угроз.

Исследователи считают, что снизить риски можно с помощью более сложного шифрования памяти, увеличения энтропии, защиты подписи в аттестации и повышения скорости шины.

Напомним, несколькими днями ранее мы рассказывали про другой вектор атаки — Battering RAM. Он работает довольно изящно — через дешёвое «железо» стоимостью всего около $50.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru