Осторожно! iPhone-Фарминг!?

Осторожно! iPhone-Фарминг!?

Долгожданные продажи iPhone в России еще только начались, а злоумышленники уже вовсю используют шумиху, созданную вокруг этого популярного девайса, в своих незаконных интересах.

Троян, маскирующийся под видео-файл iPhone, является ключевой составляющей новой фарминговой атаки. Наносимый им вред заключается в перенаправлении пользователей, пытающихся получить доступ к своему онлайновому банку, на фальшивые веб-страницы. Главная цель – кража конфиденциальной информации о пользователе.

Прошедшая во многих странах презентация iPhone 3G от Apple используется кибер-преступниками в качестве приманки для привлечения внимания пользователей и заражения их вредоносными кодами.

Последний рассмотренный PandaLabs (лабораторией Panda Security по обнаружению и исследованию вредоносного ПО) случай касается новой фарминговой атаки с использованием трояна Banker.LKC. Жертвы этой атаки внезапно обнаруживали, что их банковские реквизиты оказались в руках кибер-преступников!!

Фарминг представляет собой усложненную версию фишинга. Он связан с манипулированием DNS (Domain Name Server) путем конфигурирования протоколов TCP/IP или хост-файла. Серверы DNS отвечают за хранение цифрового адреса или IP- адреса (например, 62.14.63.187.), ассоциирующегося с определенным именем домена или URL (например, www. mibanco.com). В результате вмешательства кибер-преступников происходит следующее: когда пользователь вводит имя нужной ему веб-страницы, сервер перенаправляет его на другой номер, то есть другой IP-адрес, принадлежащий фальшивой веб-странице, своим оформлением напоминающей страницу-оригинал.

В этом случае троян Banker.LKC занимается такими манипуляциями с DNS. Данный вредоносный код внедряется в системы под именем “VideoPhone[1]_exe”. После запуска, стремясь обмануть пользователей, он открывает окно браузера и выводит на экран веб-сайт, на котором якобы продается iPhone (см. рисунок).

Пока пользователи просматривают открывшуюся страницу, троян модифицирует хост-файлы, перенаправляя URL банков и других компаний на фальшивую веб-страницу. Таким образом, пользователи, пытающиеся получить доступ к страницам этих банков путем ввода адреса в строку поиска или при помощи интернет-поисковика, будут перенаправлены на фальшивую страницу. Она запросит конфиденциальную информацию (номер счета, пароль транзакции и т.д.), которая тут же окажется в руках кибер-преступников.

Манипуляции, производимые с хост-файлами, не оказывают побочного влияния на компьютер и поэтому не вызывают подозрений. В сущности, все мошеннические операции протекают без подозрений пользователей потому, что для того, чтобы пасть жертвой атаки нужно всего лишь попытаться ввести адрес банка. Это обстоятельство делает атаку еще более опасной.

“Кибер-преступники не скрывают своих намерений использовать собранную информацию для опустошения счетов пользователей”, объясняет Луис Корронс, технический директор PandaLabs. “В данном случае iPhone используется в качестве приманки к запуску файлов, содержащих вредоносный код”.

Как защититься от фарминга

- Когда вы открываете страницу, запрашивающую Ваши конфиденциальные данные, убедитесь в том, что URL страницы не изменился: он именно такой, каким вы его набрали, без дополнительных букв, цифр и т.д.

- Проверяйте наличие сертификата безопасности на сайтах, которые вы посещаете. Любой надежный электронный коммерческий бизнес должен иметь сертификаты безопасности своих серверов, подтвержденные авторитетной компанией безопасности. Существует несколько авторитетов в области сертификации; однако, Verisign является наиболее распространенным.

- Убедитесь в том, что ваша антивирусная защита активна и обновлена, потому что, как демонстрирует наш случай, DNS-модификация часто сопряжена с внедрением вредоносных кодов.

Solar inRights начнёт блокировать учётки, чьи пароли утекли в даркнет

ГК «Солар» выпустила Solar inRights 3.11 — новую версию системы управления доступом, которая умеет автоматически реагировать на утечки корпоративных логинов и паролей. Система интегрирована с сервисом мониторинга внешних угроз Solar AURA.

Он ищет учётные данные сотрудников в открытых источниках и даркнете, после чего Solar inRights проверяет, действуют ли они во внутренних системах компании.

Если найденная связка совпадает с актуальной корпоративной учётной записью, доступ блокируется, а служба ИБ получает уведомление.

Сценарий вполне жизненный: сотрудник использовал рабочую почту и знакомый пароль на стороннем сайте, база утекла, а злоумышленник решил проверить, не подойдёт ли эта комбинация к корпоративной системе. Если пароль повторяется, вход может выглядеть совершенно легитимно.

По данным исследования «Солара», у одной крупной российской компании в открытых и теневых источниках в среднем обнаруживается более 600 уникальных корпоративных учётных записей. При этом только около 4% записей напрямую указывают на компрометацию инфраструктуры. Остальные тоже нельзя считать безобидными: старый добрый повтор пароля способен быстро превратить внешнюю утечку во внутренний инцидент.

Yandex Cloud ранее сообщал, что в первом полугодии 2025 года использование действительных учётных записей встречалось в 54% из более чем 25 тыс. попыток атак на облачные и гибридные инфраструктуры.

Раньше между обнаружением пароля в даркнете и блокировкой учётки могло пройти немало времени — особенно если данные сверяли вручную. Теперь этот промежуток пытаются сократить до минимума.

В версии 3.11 также обновили поиск, фильтры заявок и шаблоны интеграции с Active Directory, Exchange и 1С. Но главное здесь всё же другое: пароль ещё не успели использовать, а дверь перед ним уже захлопнулась.

RSS: Новости на портале Anti-Malware.ru