Рост фишинга в Telegram составил 800%

Рост фишинга в Telegram составил 800%

Рост фишинга в Telegram составил 800%

Пользователи Telegram столкнулись с ростом фишинговых атак. Воруют частные и бизнес-аккаунты. Новая угроза — переадресация звонков на номер мошенников для авторизации под аккаунтом жертвы.

По данным американской Cofense, занимающейся борьбой с кибератаками, рост Telegram-фишинга в 2022 году составил 800%. “В первую очередь для этих целей злоумышленники использовали боты”, — цитирует экспертов “Ъ”.

К началу 2023 года в России фишинг стал одним из основных способов мошенничества в мессенджере, подтверждают в “Коде безопасности”.

“Увеличение числа атак на бизнес-каналы и на пользователей Telegram связано с тем, что сам мессенджер приобрел большую популярность, а значит, стал хорошим каналом для распространения фишинговых атак и “вкусной” целью для мошенников”, — комментирует цифры для Anti-Malware.ru главный специалист отдела комплексных систем защиты информации компании “Газинформсервис” Дмитрий Овчинников.

До этого аферисты массово атаковали социальные сети, теперь вектор атаки сместился в сторону Telegram.

По данным Group-IB, в России уже выявлено не менее 1 тыс. мошеннических группировок, работающих и координирующих действия в Telegram, в том числе 34 действующие русскоязычные группы для распространения “программ-стилеров”. Сегодня компания выпустила аналитический отчет по основным угрозам будущего года.

В среднем в чате каждой группировки состоит около 200 участников, уточнил ведущий аналитик Group-IB департамента Digital Risk Protection Евгений Егоров.

Более серьезную опасность, чем фишинг несет новый способ авторизации в мессенджере, считает владелец Telegram-бота “Глаз бога” Евгений Антипов.

В середине года Telegram перестал отправлять код для авторизации через СМС: для входа в ПК-клиенте или браузере теперь требуется активированный клиент мессенджера на мобильном устройстве, куда и отправляется код.

Злоумышленник, для которого важно попасть в Telegram-аккаунт жертвы, может взломать аккаунт, если настроит переадресацию звонков на свой номер телефона, подтвердив за жертву ее личность, считает Антипов.

Для этого достаточно использовать паспортные данные, которые можно найти в слитых базах данных.

По словам Овчинникова, схема с переадресацией звонков реальна, но трудозатратна. Скорее всего, она будет выполняться только таргетированно против владельцев определенных каналов. Обычным пользователям стоит больше беспокоиться о фишинговых атаках и не переходить по подозрительным ссылкам.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru