Злоумышленники с помощью фишинга крадут бонусные мили у британцев

Злоумышленники с помощью фишинга крадут бонусные мили у британцев

Злоумышленники с помощью фишинга крадут бонусные мили у британцев

Журнал The Times опубликовал статью, которая рассказывает о киберпреступлениях так называемых «русских хакеров». Они используют уязвимости в бонусной системе банков и почти бесплатно летают бизнес-классом и снимают дорогие номера в гостиницах.

Статья Times называется «Russians buy life of luxury with stolen UK air miles» или «Русские покупают роскошную жизнь на украденные у Британии воздушные мили».  Она рассказывает о том, как хакеры создают поддельные сайты туристических агентств и отправляют фишинговые письма, в которых они представляются крупной авиакомпанией, для кражи бонусных милей у клиентов британских компаний, пишет hi-tech.mail.ru.

Бонусные мили — система лояльности банков и аэропортов, по которой клиенты получают возможность бесплатно или с большой скидкой путешествовать по миру.

Когда жертва заходит на поддельный сайт и вводит данные своего аккаунта, то тут же переводят бонусные мили себе. Хакеры нашли, как обойти ограничения и перевести бонусы себе. Далее хакеры могут перепродать эти мили в даркнете или путешествовать самим.  Плюс этого метода мошенничества в том, что клиенты редко проверяют счет бонусных баллов и могут заметить пропажу через долгое время.

Причем тут русские

Исследовательская компания Flashpoint заявила, что жертвами становятся преимущественно жители Британии. Есть жалобы от британской молодой пары, которая обнаружила, что за их баллы купили билет люди под именами Ольги и Дмитрия. Видимо это и стало причиной для обвинения русских хакеров в киберпреступлениях. Хотя по данным исследователей, среди мошенников появляется все больше англо- и испаноязычных преступников.

Как сообщает The Times, один американский банк даже запретил покупать рейсы в России через бонусные программы. По оценкам Международной ассоциации воздушного транспорта, авиакомпании из-за мошенничества теряют более миллиарда долларов в год. 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Linux-вредонос Koske маскируется под фото панд и майнит 18 криптовалют

Исследователи из AquaSec обнаружили новый вредонос под Linux с необычным поведением и ещё более необычной маскировкой. Вредонос называется Koske, и, судя по всему, он был частично разработан с использованием генеративного ИИ. Самое интересное — он прячется в… фотографиях панд.

И нет, это не шутка. Атака начинается с того, что на уязвимый сервер, где неправильно настроен JupyterLab, загружаются два JPEG-файла с изображениями панд. С виду — самые обычные картинки, но внутри них спрятан вредоносный код.

Не с помощью стеганографии, как можно было бы подумать, а с помощью так называемых полиформатных файлов (polyglot). Это такие файлы, которые одновременно являются изображением и исполняемым скриптом — в зависимости от того, кто их читает.

Откроешь в браузере — увидишь панду.
Прочитаешь как скрипт — получишь запущенный вредонос в памяти.

В одном из файлов содержится C-код, который компилируется прямо в оперативной памяти и превращается в руткит. Он использует LD_PRELOAD, чтобы подменять системные вызовы и скрывать вредоносные процессы, файлы и директории. Второй файл — shell-скрипт, который тоже запускается из памяти. Он обеспечивает незаметную работу и закрепление в системе — через cron, systemd, перезапись DNS, обнуление iptables и даже автоматический подбор работающих прокси.

 

После этого Koske скачивает с GitHub криптомайнеры и определяет, какой из них использовать, в зависимости от ресурсов машины. Он умеет майнить 18 разных криптовалют, включая Monero, Ravencoin, Zano, Nexa и другие. Если выбранный пул недоступен — переключается на резервный.

Исследователи считают, что часть вредоноса могла быть сгенерирована с помощью больших языковых моделей или автоматизированных платформ: поведение слишком адаптивное, скрипты грамотно построены, а архитектура — продвинутая.

 

Примечательно, что среди артефактов атаки нашли IP-адреса из Сербии, сербские фразы в скриптах и слова на словацком в GitHub-репозитории с майнерами. Но в AquaSec подчёркивают: это не даёт уверенной атрибуции.

Koske — уже сам по себе серьёзная угроза, но главное — он показывает, каким может стать следующий этап в развитии вредоносов: умные, автономные, скрытные и непривязанные к жёсткому коду. И всё это — под видом милых JPEG-картинок.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru