Хакеры пытаются украсть PoC-коды у ИБ-экспертов с помощью соцсетей

Хакеры пытаются украсть PoC-коды у ИБ-экспертов с помощью соцсетей

Хакеры пытаются украсть PoC-коды у ИБ-экспертов с помощью соцсетей

Специалистов по поиску и анализу уязвимостей преследуют злоумышленники, которых, по всей видимости, интересуют результаты таких исследований. Авторы необычной кампании создали множество фейковых профилей в соцсетях, а также тематический блог, чтобы вступить в контакт с экспертами, завоевать их доверие и установить бэкдор на целевые компьютеры.

Аналитики из Google произвели разбор текущих атак и пришли к выводу, что их инициатором, скорее всего, является северокорейская группа хакеров, спонсируемых государством. Доступ к компьютерам ИБ-исследователей им нужен, очевидно, для кражи информации, которую можно использовать в целевых атаках, — такой как еще не опубликованные уязвимости и пробные эксплойты (proof-of-concept, PoC).

Расследование выявило ряд поддельных профилей в Twitter, LinkedIn, Telegram и Keybase, с помощью которых злоумышленники пытаются завязать знакомство с представителями ИБ-сообщества. Они имитируют бурную переписку между выдуманными персонажами, выкладывают видео, хвастаясь мнимыми успехами, а также публикуют ссылки на свой блог.

Заинтересовав намеченную жертву, фальшивый «коллега по цеху» напрямую обращается к ней, предлагая поработать вместе, и прикрепляет к сообщению файл для проекта Visual Studio — код некоего эксплойта, якобы для проверки. Как оказалось, этому эксплойту отведена совсем иная роль: после его отработки на машину исследователя устанавливается кастомный бэкдор, который подключается к C2-серверу и ожидает команд.

В некоторых случаях злоумышленники высылают вредоносный файл по email или пытаются провести атаку через браузер, предлагая собеседнику почитать публикации в блоге. По свидетельству аналитиков, этот сайт, специально созданный в зоне .IO, содержит в основном перепечатки чужих отчетов об уязвимостях, иногда подаваемых как вклад «гостя» — приглашенного эксперта.

При заходе в этот блог по указанной ссылке в системе исследователя регистрируется вредоносная служба, и запускается выполняемый в памяти бэкдор. Его сходство по коду с одним из инструментов, используемых APT-группой Lazarus, подтверждает предположение о северокорейских корнях авторов нападения на ИБ-экспертов.

Примечательно, что от эксплойта в данном случае не спасает ни полностью пропатченная Windows 10, ни новейшая версия Chrome. По всей видимости, злоумышленники используют связку каких-то уязвимостей нулевого дня в ОС и браузере Google. Установлено, что взлому подвергаются только 64-битные версии Windows 10, Windows Server 2019 и Windows Server 2016.

Зафиксирован также случай установки бэкдора на Android с браузером Chrome.

Поскольку схема заражения все еще не ясна, специалисты Google призывают ИБ-сообщество активнее делиться деталями наблюдаемых атак, а также информацией о новых уязвимостях в Chrome, за которую можно получить вознаграждение.

Потенциальным жертвам эксплойта рекомендуется проверить историю браузера на наличие адреса blog[.]br0vvnn[.]io и сверить свои контакты в соцсетях со списком фальшивых профилей, приведенным в блоге Google. Используемые компьютеры и виртуальные машины лучше разделить по назначению: одни использовать только для исследований, другие — для обычной навигации в интернете, общения с коллегами или загрузки присланных файлов.

Мошенники спрятали фишинг под кнопкой «отписаться от рассылки»

Мошенники нашли ещё один способ сыграть на человеческом раздражении: теперь они рассылают фейковые рекламные письма, где под привычной кнопкой «отписаться» прячется фишинговая ссылка. На почту приходит письмо, похожее на обычную рекламную рассылку. Внизу стандартная фраза: не хотите получать такие сообщения, нажмите «отписаться» или перейдите по ссылке.

Об этом ТАСС сообщил сенатор Артём Шейкин. Пользователь, уже уставший от спама, кликает и попадает не на нормальную страницу отказа от рассылки, а на сайт с формой подтверждения отписки.

Вместо одной кнопки или максимум адреса электронной почты человеку предлагают ввести персональные данные: имя, фамилию, телефон, адрес почты и другую информацию.

По словам Шейкина, так злоумышленники получают не просто активный адрес электронной почты, а более ценный набор сведений о человеке. Потом эти данные можно использовать для новых фишинговых писем, звонков и точечных атак.

Особенно опасна схема для корпоративной почты. Если такие письма массово прилетают сотрудникам компании, мошенники могут собирать рабочие адреса, должности, телефоны и другую информацию для будущих атак. В общем, отписка может внезапно стать первым шагом ко взлому компании.

Главная уловка в том, что человек действует не из страха, а из раздражения. Ему хочется быстро убрать ненужную рассылку, поэтому он не смотрит внимательно ни на адрес сайта, ни на странные формулировки, ни на объём запрашиваемых данных.

Настоящая отписка не должна требовать паспорт, телефон или лишние персональные сведения. Если письмо выглядит сомнительно, лучше не жать на ссылки, а удалить его, отправить в спам или проверить отправителя через официальный сайт компании.

RSS: Новости на портале Anti-Malware.ru