Вымогательство а-ля Luna Moth: вишинг и кража данных без участия зловредов

Вымогательство а-ля Luna Moth: вишинг и кража данных без участия зловредов

Вымогательство а-ля Luna Moth: вишинг и кража данных без участия зловредов

Эксперты Palo Alto Networks выявили вымогательскую кампанию, в ходе которой злоумышленники используют адресные рассылки и вишинг. Намеченную жертву под любым предлогом просят позвонить по указанному номеру, а затем в ходе разговора убеждают предоставить удаленный доступ к компьютеру; согласие открывает возможность для кражи данных с целью получения выкупа.

Автором текущих целевых атак, по данным Palo Alto, является кибергруппа Luna Moth, она же Silent Ransom. Поддельные письма вначале рассылались на адреса небольших юридических компаний, позднее вымогатели переключились на крупный ретейл и уже выманили у жертв сотни тысяч долларов.

Примечательно, что злоумышленники стараются сократить до минимума свой цифровой след: широко используют социальную инженерию и пускают в ход лишь легитимные инструменты. Жертву обрабатывают по схеме TOAD, которую также практикуют мошенники, притворяющиеся техподдержкой; с этой целью Luna Moth создала колл-центры, зарегистрировала множество телефонных номеров у VoIP-провайдеров и открыла аккаунты на веб-сервисе Zoho Assist. 

Распространяемые поддельные сообщения кастомизируются с учетом характера выбранной цели и не содержат вредоносных вложений или ссылок. Приманкой обычно служит инвойс или платная подписка, якобы оформленная на имя получателя.

 

К фальшивке прикреплен безобидный PDF-документ, в котором указан номер телефона для связи на случай возникновения вопросов — например, для отмены подписки, по которой скоро начнут снимать деньги с карты. В ранних рассылках Luna Moth для большей правдоподобности использовала логотип компании-отправителя, которую она имитировала, сейчас авторы атак ограничиваются приветственным заголовком.

 

Номера телефонов для жертв вначале повторялись, а позднее стали уникальными; адресату также могут предоставить выбор из нескольких вариантов. При вызове собеседник в ходе разговора высылает приглашение присоединиться к сеансу удаленной поддержки через Zoho Assist — якобы для большего удобства. Если жертва согласится, мошенник перехватит управление ее клавиатурой и мышью, включит доступ к буферу обмена и размоет экран, чтобы скрыть дальнейшие действия от пользователя.

После этого в систему устанавливается инструмент удаленного управления Syncro, чтобы обеспечить стороннее присутствие, а также менеджер файлов Rclone или клиент WinSCP — для выкачивания ценных данных с компьютера и подключенных сетевых ресурсов. Процесс в этом случае может занять от нескольких часов до пары недель.

Если у жертвы нет админ-прав, автор атаки не пытается закрепиться в системе, а сразу переходит к краже данных с помощью WinSCP Portable — прямо во время телефонной беседы. В ходе инцидентов, попавших в поле зрения Palo Alto, злоумышленники не пытались продвинуться дальше по сети и довольствовались тем, что нашли у жертвы.

После кражи информации пострадавшему высылается письмо с требованием выкупа; его размер составляет от двух до 78 биткоинов, в зависимости от платежеспособности атакованной организации. Каждой жертве назначается свой криптокошелек, тем, кто проводит платеж в заданные сроки, предоставляется скидка в 25%. Неплательщикам могут угрожать потерей репутации — вымогатели обещают рассказать о случившемся крупным клиентам жертвы, называя их имена.

РЖД готовят продажу билетов через мессенджер МАКС

РЖД планируют уже в 2026 году запустить продажу билетов на пригородные поезда через чат-бот в МАКС на всей сети железных дорог России. Исключением станет только Московский транспортный узел — там действует отдельная система продаж.

Сейчас сервис проходит проверку в регионах. С марта 2026 года РЖД тестируют чат-бот на полигонах пригородных компаний в Новосибирской, Омской, Кемеровской областях, Алтайском и Красноярском краях. С 1 июля пилот расширили на Северо-Запад России.

В Западной Сибири через чат-бот уже оформили почти 380 тысяч билетов. В РЖД считают, что это подтверждает интерес пассажиров к новому способу покупки.

В холдинге отмечают, что перед запуском нужно проверить устойчивость сервиса, удобство интерфейса для разных категорий пассажиров и собрать обратную связь.

Проще говоря, РЖД хотят убедиться, что чат-бот не развалится под нагрузкой, не запутает пользователей и действительно будет удобен, а не превратится в очередной цифровой квест.

Если масштабирование пройдет по плану, пассажиры смогут покупать билеты на электрички прямо в МАКС без перехода в отдельные приложения или кассы. Для регионов это может стать заметным упрощением, особенно там, где пригородные поездки остаются ежедневной рутиной для тысяч людей.

Московский транспортный узел пока останется за скобками: из-за собственной системы продаж билеты через чат-бот в МАКС там запускать не планируют.

RSS: Новости на портале Anti-Malware.ru