В DarkNet появилось новое поколение фишинг-китов

В DarkNet появилось новое поколение фишинг-китов

Специалисты компании Check Point совместно с CyberInt обнаружили фишинг-киты нового поколения, которые рекламируются в DarkNet. Ранее фишинг-киты включали одну или две страницы для сбора личной или финансовой информации. Однако обнаруженные фишинг-киты представляют новое продвинутое поколение угроз для создания более убедительных поддельных сайтов.

Создатель фишинг-китов [A]pache предлагает пользователям DarkNet с низким техническим бэкграундом создать собственную фишинговую кампанию для сбора критической информации о пользователях. Чтобы запустить ее, достаточно загрузить многофункциональный фишинг-кит и следовать инструкции по установке.

Стоимость фишинг-кита от создателя [A]pache варьируется от 100 до 300$, что значительно выше, чем средняя стоимость подобных хакерских инструментов, цена которых в среднем 20-50$. [A]pache предоставляет покупателю полный набор инструментов для атаки. Один из них — это внутренний интерфейс, с помощью которого злоумышленник может создать фейковую веб-страницу многих известных ритейл-брендов и управлять фишинг-кампанией.

На данный момент в портфеле [A]pache такие известные бренды, как Walmart, Americanas, Ponto Frio, Casas Bahia, Submarino, Shoptime and Extra. Так как целевая аудитория большинства перечисленных ритейлеров — это бразильцы, можно предположить, что цель [A]pache — лица, хорошо владеющие португальским языком. Однако в ходе исследования были обнаружены некоторые фишинг-киты, которые направлены на бренды США.

Чтобы жертва не усомнилась в том, что она совершает покупки у официального ритейлера, злоумышленник создает схожий доменный веб-адрес. Затем киберпреступник получает доступ к веб-хостингу с поддержкой PHP и MySQL, после чего авторизуется в панели администратора и может настроить собственную фишинговую кампанию.

Полный отчет доступен по ссылке: https://research.checkpoint.com/wp-content/uploads/2018/04/Tracking_Down...

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Новый вариант шифровальщика Darkside нацелен на разделы диска

Исследователи из Fortinet выявили неизвестный ранее вариант вымогательской программы Darkside, способный отыскивать информацию о разбиении дисков и действовать в системных средах с многозагрузочной конфигурацией. Такое поведение эксперты никогда не встречали у шифровальщиков.

Windows-зловред Darkside, ориентированный на корпоративные сети, появился на интернет-арене в августе 2020 года. Из громких атак с его использованием наибольшее внимание привлек недавний инцидент в крупной американской компании Colonial Pipeline, после которого операторы RaaS-сервиса Darkside свернули свои операции.

Проведенный в Fortinet анализ показал, что новый вариант Darkside создан той же криминальной группировкой, но отличен от версии, засветившейся в атаке на Colonial Pipeline. Он пока применяется точечно против небольшого числа организаций.

Обнаружив у вредоноса функцию поиска разделов диска, эксперты вначале подумали, что с ее помощью тот отыскивает и шифрует файлы резервных копий, спрятанные админом. Однако тестирование показало, что обновленный Darkside сканирует диски с иной целью.

Он определяет, является ли целевая система многозагрузочной, и при положительном результате ищет дополнительные тома и разделы с файлами, пригодными для шифрования. Таким образом, новоявленный вариант зловреда способен причинить больший ущерб в случае заражения.

Новобранец также умеет отыскивать в сети контроллеры домена Active Directory и подключаться к ним, используя для аутентификации протокол LDAP. На таких серверах обычно хранится уйма информации, полезной для авторов атаки.

Командный сервер нового Darkside находится в США и размещен у хорошо известного владельца bulletproof-хостинга, базирующегося в Нидерландах. Этот IP-адрес, по свидетельству Fortinet, и ранее неоднократно использовался в различных атаках. Управление резидентными зловредами осуществляется на порту 443 (RDP) с маршрутизацией трафика через сеть Tor.

Собранные за месяц данные телеметрии показали большое количество подключений к C2-серверу с территории США (60%).

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru