Злоумышленники используют Steam, Twitter, YouTube для координации кибератак

Яков Шпунт 22 Октября 2024 - 15:58

...

Злоумышленники используют Steam, Twitter, YouTube для координации кибератак

Как выяснили специалисты Solar 4RAYS ГК «Солар», злоумышленники прячут информацию о серверах управления вредоносными программами на ресурсах с массовым посещением.

В результате зловред обращается не напрямую к подозрительному IP-адресу, а к легальному ресурсу, что затрудняет его детектирование.

Такая техника получила название Dead Drop Resolver. Она предполагает, что злоумышленники размещают на легитимных онлайн-площадках контент с данными об управляющих (C&C) серверах.

Эта информация может храниться как в открытом, так и зашифрованном виде. Зловред после заражения целевой инфраструктуры обращается к этому ресурсу и извлекает из него адрес управляющего сервера (С2).

Пока, как отметили в Solar 4RAYS, через Steam преимущественно распространяют стилеры. Они крадут разнообразную информацию: учетные данные, историю браузера, данные об установленном на устройстве ПО, переписку в мессенджерах и почте, реквизиты криптокошельков и многое другое.

Последствия от запуска подобных вредоносов в инфраструктуре могут быть критичными для компании. Поэтому службам безопасности компаний стоит внимательнее относиться к случаям запросов к Steam из корпоративной сети.

Однако схема может использоваться для любых вредоносных приложений разных классов. Среди сайтов, которые используют злоумышленники, также замечены платформа для публикации кода Pastebin, соцсеть X (бывший Twitter, заблокирована в РФ), YouTube, Telegram и другие.

«Dead Drop Resolver позволяет злоумышленникам создать более устойчивую C2-инфраструктуру, так как они могут в любой момент обновить информацию о доступном командном сервере. А обращение к легальному ресурсу из корпоративной сети не вызывает особых подозрений. Также во вредоносном файле, который заражает компьютер жертвы, отсутствует явное указание на командный сервер или конфигурацию ВПО. Сейчас Steam особенно активно используется для распространения следующих стилеров: MetaStealer, Vidar, Lumma и ACR. Вероятно, со временем такой способ распространения подхватят и другие разработчики ВПО, если только площадки не найдут способ быстро обнаруживать и блокировать вредоносные профили», — пояснил аналитик центра исследования киберугроз Solar 4RAYS ГК «Солар» Владимир Степанов.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 18 Июля 2025 - 11:04

Мошенничество Домашние пользователи Корпорации

Мошенники крадут товары, выдавая себя за ПСК и Ozon

Злоумышленники под видом известных компаний совершили серию крупных краж, оформив закупки с помощью поддельных документов и используя подмену номеров телефонов. Аферисты выдавали себя за представителей легитимных организаций, предъявляли доверенности и добивались отгрузки товара. Используемые ими документы были высокого качества и не вызывали подозрений даже у опытных сотрудников.

Как сообщила «Фонтанка», мошенники оформили несколько крупных заказов от имени Петербургской сбытовой компании (ПСК). В частности, под видом сотрудников ПСК были приобретены 130 комплектов автомобильных шин и 20 тонн сливочного масла.

В обоих случаях за товаром приезжал якобы представитель ПСК и предъявлял доверенности на получение груза. Однако позже выяснилось, что ни почта, ни телефон, ни фамилия человека, забиравшего продукцию, не имели отношения к компании.

Номер телефона, с которого связывались аферисты, в приложении Getcontact отображался как принадлежащий ПСК. Поддельные документы были выполнены на высоком уровне: в случае с «покупкой» масла мошенники даже приложили протокол разногласий к договору, где указали неустойки за нарушение условий хранения продукции.

Между тем ещё в апреле на официальном сайте ПСК появилось предупреждение: «Информируем о новой мошеннической схеме. В адрес юридических лиц поступают письма об организации закупок от имени Петербургской сбытовой компании. Письма направляются с подложного почтового адреса: zakaz.pesc-opt.ru с указанием номеров телефонов, не принадлежащих Петербургской сбытовой компании».

ПСК — не единственная пострадавшая организация. Подобные случаи неоднократно фиксировались в отношении Ozon: от его имени злоумышленники вывозили компьютеры, промышленные пылесосы и стройматериалы в разных регионах страны. При этом также использовались поддельные документы и подменённые номера телефонов.

«Мы знаем о ситуации, при которой некие сторонние лица, представляясь компанией Ozon, обращаются к поставщикам с просьбой предоставить самые разные товары, в том числе с постоплатой, — сообщили изданию в пресс-службе маркетплейса. — Часто мошенники используют схожие по написанию домены и формируют письма-запросы на бланках с логотипом Ozon».

По данным «Фонтанки», на момент публикации ни одной из пострадавших компаний не удалось вернуть ни деньги, ни украденный товар.