Задержаны сим-своперы, укравшие миллионы у американских селебрити

Задержаны сим-своперы, укравшие миллионы у американских селебрити

Задержаны сим-своперы, укравшие миллионы у американских селебрити

Полиция Англии и Шотландии произвела восемь арестов по результатам расследования серии атак, проведенных посредством подмены сим-карт (sim swapping). Эти инциденты получили широкую огласку, так как злоумышленники избрали мишенями хорошо известных представителей шоу-бизнеса и выдающихся спортсменов США.

В расследовании деятельности криминальной группы, промышляющей сим-свопингом, приняли участие правоохранительные органы Великобритании, США, Бельгии, Мальты и Канады. По оценке Европола, за год эта банда провела тысячи атак с целью получения доступа к чужому телефону и совокупно украла у своих жертв более $100 млн в криптовалюте.

Молодым людям, задержанным в Великобритании, инкриминируется мошенничество, отмывание денег и совершение преступлений, предусмотренных Законом о неправомерном использовании компьютерных технологий (Computer Misuse Act). Им также грозит экстрадиция в США, где открыто аналогичное уголовное дело.

Ранее в Бельгии и на Мальте были задержаны еще два предполагаемых сообщника; их судьба пока не известна.

Расследование деятельности данной группировки было запущено около года назад. Как оказалось, мошенники обманом вынуждали операторов сотовой связи оформлять замену сим-карты для целевых телефонных номеров. В итоге авторы атаки получали доступ к аккаунту жертвы, его контактам, профилям в соцсетях, звонкам и смс-сообщениям. Такой угон позволял выполнять различные действия от имени законного пользователя, включая денежные переводы и операции с криптовалютой.

Сим-свопинг — хорошо известный вид мошенничества, однако преступников в этом случае редко удается поймать за руку и призвать к ответу. Так, в начале 2019 года в Калифорнии завершился беспрецедентный процесс по делу о краже $5 миллионов с помощью сим-свопинга; ответчик был наказан лишением свободы на 10 лет.

В настоящее время в США рассматривается дело Стивена Дефьоре (Stephen Daniel Defiore), которого обвиняют в пособничестве сим-своперам. По версии следствия, этот сотрудник телефонной компании использовал свое служебное положение для перевыпуска сим-карт в рамках мошеннической схемы и получал за это комиссионные. По совокупности (преступный сговор и мошенничество) ему грозит до пяти лет тюрьмы и штраф до 250 тыс. долларов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru