Задержаны фигуранты дела о телефонном мошенничестве с рекордным ущербом

Задержаны фигуранты дела о телефонном мошенничестве с рекордным ущербом

Задержаны фигуранты дела о телефонном мошенничестве с рекордным ущербом

Самарская полиция задержала фигурантов резонансного дела о хищении 421 млн рублей у местной жительницы в результате телефонного мошенничества.

Злоумышленники действовали по распространённому сценарию: они представились сотрудниками правоохранительных и контролирующих органов и сообщили жертве, что её деньги якобы переводятся на финансирование ВСУ.

Затем мошенники потребовали обналичить все средства со счетов и передать их курьерам.

Потерпевшая выполнила требования преступников. В течение нескольких дней она сняла в банке 421 млн рублей и передала их незнакомцам, представившимся курьерами. Однако в ходе одной из операций сотрудник банка заподозрил, что женщина действует под диктовку мошенников, и сообщил в полицию. По факту происшествия возбуждено уголовное дело по ч.4 статьи 159 УК РФ (мошенничество в особо крупном размере).

Оперативники проанализировали телефонные разговоры потерпевшей и изучили записи видеокамер, что позволило составить ориентировку на подозреваемых. В результате следственных действий полицейские задержали ранее судимого за вымогательство 22-летнего жителя Саратова. Он арендовал в Самаре дом для размещения сообщников и временного хранения похищенных денег.

«В ходе командировки в соседний регион оперативниками в жилище подозреваемого проведён обыск. Обнаружен телефон, использовавшийся при хищении, а также денежные средства в размере 600 тысяч рублей и 300 долларов США», — сообщила  официальный представитель МВД Ирина Волк в телеграм-канале.

Следственные действия также прошли в одной из квартир в городе Солнечногорске Московской области, где проживает второй задержанный — 40-летний мужчина. Полицейские изъяли 1,8 млн рублей, телефон и автомобиль, предположительно приобретённый на похищенные деньги. В доме ещё одного подозреваемого в Саратове были найдены 860 тысяч рублей.

По предварительным данным, часть украденных средств была использована для погашения ипотечного кредита на 600 тысяч рублей. Мужчина скрывается от следствия и объявлен в розыск. У четвёртого фигуранта, ранее судимого за кражу жителя Саратова, изъято 255 тысяч рублей.

По имеющейся информации, фигуранты нашли криминальную подработку через мессенджер. Анонимный работодатель поручил им забирать у людей деньги и переводить их на указанные счета, оставляя себе определённый процент.

Все задержанные заключены под стражу. Ведутся мероприятия по установлению дополнительных эпизодов преступной деятельности и розыску возможных соучастников.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru