За прошедший месяц тысячи сайтов, находящиеся под управлением WordPress и Joomla! были скомпрометированы и перенаправляют пользователей с целью заражения вымогателем CryptXXX.
Все указывает на то, что распространение CryptXXX при помощи скомпрометированных сайтов началось 9 июня, а 3 июля наблюдались пики активности. Согласно Sucuri, по крайней мере, 2000 сайтов содержали вредоносный код, а реальная оценка будет в пять раз выше, так как данные поступали от сканера SiteCheck, который ограничен.
При перенаправлении пользователей используются домены realstatistics[.]info и realstatistics[.]pro. Затем набор эксплоитов Neutrino, который на данный момент занимает лидирующие позиции среди наборов эксплоитов, пытается использовать Flash или PDF-уязвимости на компьютере жертвы. Если это удается, то используя эти уязвимости, на компьютер жертвы загружается вымогатель CryptXXX.
Исследователи Forcepoint отметили, что вышеупомянутые домены, использующиеся для перенаправления пользователей, были замечены и ранее при распространении наборов эксплоитов Neutrino и RIG. Исследователи связывают эти домены с появившейся два года назад Blackhat-TDS – вредоносной системой распределения трафика.
Однако исследователям не удалось пока определить масштабы заражения и то, как именно были скопрометированны сайты. По данным 60% пострадавших сайтов используют устаревшие версии Joomla! и WordPress, но также не исключено, что при заражении использовались уязвимости в плагинах и расширениях.
«Когда CMS устарела, это говорит о многом в отношении владельца сайта. Если владелец не может поддерживать в актуальном состоянии ядро своего сайта, то можно с уверенностью заявить, что модули и расширения так же устарели. А из наших предыдущих исследований можно сделать вывод, что основные атаки направлены именно на наличие уязвимостей в сторонних плагинах и расширениях.», утверждают исследователи.
Имея в своем распоряжении тысячи скомпрометированных веб-сайтов, в том числе некоторые, связанные с безопасностью, например, PCI Policy Portal, злоумышленники могут атаковать десятки тысяч пользователей одновременно. Пару недель назад SentinelOne установили, что менее чем за три недели CryptXXX принес сумму в $50,000только на один Bitcoin-кошелек.
Очевидно, что злоумышленники нацелены на использование новейших, ныне топовых угроз. Это стало понятно после того, как они быстро перешли на набор эксплоитов Neutrino в прошлом месяце, сразу после того, как в прошлом занимающий топовые позиции Angler исчез с рынка. CryptXXX тоже быстро стал лидирующим вымогателем и получил многочисленные обновления за последние пару месяцев.
Наиболее последнее изменение в функционале вымогателя было обнаружено SANS Internet Storm Center – видоизменилась записка с требованиями и начал использоваться новый сайт для оплаты.
Кроме того, Лоуренс Абрамс из BleepingComputer установил, что CryptXXX больше не использует специальное расширение, добавляя его к зашифрованным файлам, а жертвы перенаправляются на специальный сайт для оплаты, называющийся Microsoft Decryptor. В отличие от предыдущего платежного сайта, новый не предоставляет пользователям возможности связаться с администрацией в случае, если возникли какие-либо вопросы по оплате.
Управление по организации борьбы с противоправным использованием инфокоммуникационных технологий МВД России (УБК МВД) предупредило о массовых фишинговых атаках, связанных с оплатой проезда по платным дорогам.
Как сообщил официальный телеграм-канал профильного главка МВД «Вестник киберполиции России», фишинг под видом оплаты платных дорог стал одним из наиболее распространённых сценариев атак. В частности, в зоне риска оказался Московский скоростной диаметр (МСД).
«Злоумышленники создают сайты, визуально почти неотличимые от официальных, которые индексируются в поисковых системах. После ввода реквизитов банковской карты и суммы платежа деньги списываются, однако проезд так и остаётся неоплаченным. Полученные данные карт впоследствии используются мошенниками в личных целях», — говорится в сообщении УБК МВД.
За последний месяц было заблокировано более 10 фишинговых ресурсов, внешне практически не отличимых от настоящих (например, с адресами вроде msd-avtodor-tr, msdmoss). Максимальный зафиксированный ущерб для одного пользователя составил 22 тысячи рублей.
УБК МВД рекомендует не игнорировать предупреждения браузеров и защитных систем о фишинговых сайтах. Безопасную оплату проезда следует осуществлять через портал Госуслуг, приложение «Парковки России» или официальные банковские приложения.
Фишинг остаётся одной из основных киберугроз последних лет — как для частных пользователей, так и для бизнеса. Особенно опасными становятся фишинговые атаки с применением генеративного искусственного интеллекта: по своей эффективности они всё больше приближаются к целевым атакам.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.