Аналитики израильской компании Check Point представили подробнейший отчет о работе набора эксплоитов Nuclear, детально изучив инфраструктуру всего сервиса, а также вредоносные кампании, использующие Nuclear в ходе своих атак. По данным специалистов, создатель Nuclear, это россиянин, проживающий в Краснодаре и зарабатывающий на своем детище порядка 100 000 долларов в месяц.
Согласно отчету, Nuclear распространяется в популярном сегодня формате MaaS (Malware-as-a-Service), то есть сдается в аренду по подписке.
Исследователи пришли к выводу, что ведущим разработчиком Nuclear выступает один человек, который живет в Краснодаре. Разумеется, он работал над набором эксплоитов не один, на разных этапах ему помогали другие разработчики, к тому же управлять таким сервисом в одиночку – сложно. Тем не менее, основным автором Nuclear назван именно неизвестный краснодарец,
Схема инфраструктуры Nuclear
Инфраструктура сервиса проста: центральное место здесь занимает главный сервер создателя Nuclear, через который он управляет всем и предоставляет доступ к своей инфраструктуре другим хакерам, оплатившим подписку.
Любой, кто заплатил хозяину Nuclear, получает в распоряжение собственный сервер, которым легко управлять благодаря удобной контрольной панели и наглядной статистике. С сервера осуществляется контроль за распространением малвари.
Еще на один уровень ниже расположилось множество серверов поменьше, они отвечают за так называемые «landing pages», то есть хостят веб-страницы, на которые перенаправляются жертвы, чтобы получить порцию малвари.
Схема атаки, использующей набор эксплоитов Nuclear
Исследователи Check Point пишут, что на момент проведения расследования им удалось обнаружить 15 арендованных серверов. Суммировав плату за аренду сервера и гонорар создателя Nuclear, аналитики подчитали, что автор набора эксплоитов зарабатывает порядка $100 000 ежемесячно.
Чтобы избежать проблем с законом, автор Nuclear ограничивает свою малварь по географическому признаку. Эксплоит кит не атакует пользователей из России, Украины, Азербайджана, Армении, Беларуси, Грузии, Казахстана, Киргизстана, Молдовы, Таджикистана и Узбекистана. Однако эти ограничения несильно стесняют Nuclear. Только за время наблюдений исследователи Check Point зафиксировали 1 846 678 атак: именно столько пользователей за это время посетили целевые страницы злоумышленников. Фактическому заражению подверглись 9,95% этих пользователей, то есть Nuclear доставил малварь на 184 568 компьютеров.
Набор эксплоитов распространяет самых разных вредоносов. Так, за время наблюдений на устройства жертв было доставлено 144 478 криптовымогателей, 54 403 банковских трояна, 193 бота для кликфрода и 172 руткита.
Лидером по числу заражений стал вымогатель Locky, на его счету более 110 000 жертв. Если учесть, что операторы шифровальщика требуют от каждого пострадавшего выкуп в размере 0,5 биткоина (порядка $230), выходит, что эти арендаторы Nuclear заработали $12 650 000. Данные были основаны на статистике компании Bitdefender, которая подсчитала, что выкуп операторам шифровальщиков выплачивает в среднем каждая вторая жертва.
Исследователи Check Point пишут, что их детальные изыскания (первая часть которых была опубликована еще в апреле 2016 года), похоже, напугали злоумышленника, и на данный момент все известные серверы Nuclear прекратили свою работу.
Управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России (УБК МВД) предупреждает о новой схеме мошенничества, основанной на перехвате платёжных данных через функцию демонстрации экрана.
Как сообщает официальный телеграм-канал УБК МВД «Вестник киберполиции России», злоумышленники ищут потенциальных жертв среди людей, которые подыскивают работу или подработку.
Чаще всего аферисты предлагают вакансию помощника для пожилого человека, в обязанности которого входит закупка продуктов и лекарств.
После этого мошенники переводят общение в мессенджер, где передают списки покупок и якобы отправляют деньги для их оплаты.
Чтобы внушить доверие, жертве направляют поддельное СМС-сообщение от банка о переводе средств. Таким образом создаётся иллюзия реальной финансовой операции и укрепляется вера в «работодателя».
Под предлогом контроля расходов аферисты просят включить демонстрацию экрана. Это позволяет им перехватывать реквизиты онлайн-банка, включая коды из СМС или push-уведомлений, используемые для двухфакторной аутентификации.
В УБК МВД напомнили: ни при каких обстоятельствах нельзя включать демонстрацию экрана при общении с незнакомыми людьми.
Популярность этой мошеннической техники резко выросла в 2024 году. По данным Банка России, на такие схемы приходилось до 20% дистанционных хищений, общий ущерб составил около 1 млрд рублей. Массово применять её начали уже в январе 2024 года.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
