Почти три четверти современных фишинговых сайтов используют SSL

Почти три четверти современных фишинговых сайтов используют SSL

Специалисты Anti-Phishing Working Group (APWG) проанализировали современные методы фишинга и привели интересные данные в своём новом отчёте, посвящённом этой киберугрозе.

С октября по декабрь 2019 года число зафиксированных фишинговых сайтов снизилось в сравнении с летним периодом. Всего исследователи выявили 162 155 вредоносных ресурсов.

В целом 2019 год, по мнению APWG, стал одним из самых опасных для пользователей Сети. Существенно увеличились случаи взлома корпоративной почты (BEC), в ходе которых злоумышленники пытаются получить данные сотрудников организаций, занимающих руководящие должности.

В четвёртом квартале прошлого года фишеры использовали более 325 узнаваемых брендов в месяц. При этом чаще всего целями выступали электронная почта, платёжные сервисы, сайты банков. А фишинг в соцсетях за 2019 год вырос вообще вдвое.

Помимо этого, одним из ключевых моментов отчёта APWG стал вопрос использования SSL-сертификатов в фишинговых атаках. По словам экспертов, число вредоносных сайтов, оснащённых такими сертификатами, заметно увеличилось.

В итоге на сегодняшний день приблизительно три четверти выявленных фишинговых ресурсов используют защиту SSL. Это самая большая цифра, зафиксированная за период мониторинга.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Фейковый PoC устанавливает на машину ИБ-экспертов Cobalt Strike Beacon

На GitHub обнаружены два вредоносных файла, выдаваемых за PoC-эксплойты. Авторы находки из Cyble полагают, что это задел под очередную киберкампанию, мишенью которой являются участники ИБ-сообщества.

На хакерских форумах тоже обсуждают эти PoC к уязвимостям CVE-2022-26809 и CVE-2022-24500, которые Microsoft пропатчила в прошлом месяце. Как оказалось, оба репозитория GitHub принадлежат одному и тому же разработчику.

Проведенный в Cyble анализ показал, что расшаренные PoC на самом деле представляют собой вредоносный Net-банарник, упакованный с помощью ConfuserEX — обфускатора с открытым исходным кодом для приложений .Net. Зловред не содержит заявленного кода, но поддерживает эту легенду, выводя с помощью функции Sleep() поддельные сообщения, говорящие о попытке выполнения эксплойта.

Усыпив бдительность жертвы, вредонос запускает скрытую PowerShell-команду для доставки с удаленного сервера основной полезной нагрузки — маячка Cobalt Strike.

 

Этот бэкдор можно впоследствии использовать для загрузки дополнительных файлов в рамках атаки и для ее развития путем горизонтального перемещения по сети.

Похожая вредоносная кампания была зафиксирована полтора года назад. Злоумышленники вступали в контакт с баг-хантерами, пытаясь с помощью замаскированного IE-эксплойта 0-day и бэкдора добраться до информации об актуальных уязвимостях.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru