В интернете нашли 140 мошеннических сайтов, обещающих прямой эфир из Пекина

В интернете нашли 140 мошеннических сайтов, обещающих прямой эфир из Пекина

В интернете нашли 140 мошеннических сайтов, обещающих прямой эфир из Пекина

Исследователи из Group-IB обнаружили в интернете 140 сайтов, использующих тему зимних Олимпийских игр для перенаправления пользователей на мошеннические ресурсы. В качестве приманки злоумышленники обещают доступ к прямой трансляции из Пекина. Большая часть опасных находок уже заблокирована.

На самом деле в данной киберкампании, по оценке экспертов, задействовано вдвое больше сайтов, в том числе входящие в хорошо известную сеть Kinohoot. Владеющий ею мошенник начал регистрировать домены в 2019 году и во время летних Олимпийских игр в Токио уже предлагал доверчивым пользователям прямой эфир, используя 120 специально созданных ресурсов.

В рамках данной схемы аферисты обычно размещают анонсы прямых трансляций (со встроенной ссылкой) на взломанных сайтах университетов, благотворительных фондов, интернет-магазинов. При отработке редиректа посетитель попадает на лендинг-страницу с видеоплеером.

 

Здесь выясняется, что доступ к прямому эфиру требует регистрации, с вводом номера телефона и некоего кода, который можно получить, нажав прикрученную кнопку. По словам Group-IB, эта ссылка может привести на другой мошеннический сайт или фишинговую страницу — выбор зависит от страны проживания и устройства визитера.

Ему могут, к примеру, предложить поучаствовать в розыгрыше призов — фейковой лотерее, где претенденту на приз предлагают открывать одинаковые коробочки, а потом взимают некие комиссионные (разумеется, переводом с банковской карты, чтобы реквизиты остались в руках фишеров). При другом сценарии жертву просят отправить СМС на указанный номер, и вместо доступа к трансляции она получает подписку на платные услуги.

Чтобы не стать жертвой мошенников, эксперты рекомендуют следить за спортивными состязаниями только на официальных ресурсах. Так же следует относиться к различным акциям и розыгрышам — лучше вначале навести справки непосредственно у заявленного организатора. А вводить личные и финансовые данные на сомнительных сайтах и вовсе не стоит.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Golden dMSA: доступ к защищенным ресурсам AD через взлом контроллера домена

Специалисты Semperis обнаружили серьезный изъян проекта Managed Service Accounts (dMSA), который существенно упрощает взлом паролей к управляемым аккаунтам и позволяет получить постоянный доступ во всем их ресурсам в доменах Active Directory.

Функциональность dMSA была введена в Windows Server 2025 для зашиты от атак на протокол Kerberos. Разработанный экспертами способ внедрения бэкдора в обход аутентификации несложен в исполнении, однако для успешной атаки придется заполучить корневой ключ службы KDS.

Из-за этого создатели Golden dMSA оценили степень угрозы как умеренную: заветный ключ доступен только из-под учетной записи с высочайшими привилегиями — администратора корневого домена, админа предприятия либо SYSTEM.

С помощью этого мастер-ключа можно получить текущий пароль dMSA или gMSA (групповой управляемый аккаунт пользователя AD) без повторного обращения к контроллеру домена. Как оказалось, для регулярно и автоматически заменяемых паролей предусмотрено лишь 1024 комбинации, и они поддаются брутфорсу.

 

Таким образом, компрометация одного контроллера домена в рамках Golden dMSA может обернуться масштабным взломом управляемых аккаунтов AD-службы. Автор атаки также получает возможность горизонтально перемещаться между доменами целевой организации.

Примечательно, что представленный Semperis метод позволяет обойти Windows-защиту Credential Guard — механизм, предотвращающий кражу учеток, NTLM-хешей и тикетов Kerberos (идентификаторов TGT).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru