Фишинговая кампания с бэкдорами Merlin и Loki выявлена в России

Фишинговая кампания с бэкдорами Merlin и Loki выявлена в России

Фишинговая кампания с бэкдорами Merlin и Loki выявлена в России

Специалисты Kaspersky выявили нацеленную на российские организации кампанию — Mythic Likho, в рамках которой применяются модифицированная версия бэкдора Merlin и обновлённый вариант вредоносной программы Loki.

Обе программы используют фреймворк с открытым исходным кодом Mythic. Атакам подверглись более десяти российских организаций из различных отраслей, включая телекоммуникации и промышленность.

Точные цели злоумышленников неизвестны, но исследователи полагают, что атакующих интересуют конфиденциальные данные.

Для доставки вредоносов применяется фишинг. Тексты сообщений варьируются: например, одно из писем было направлено в кадровую службу машиностроительного предприятия.

В нём отправители просили предоставить характеристику на бывшего сотрудника, якобы претендующего на ответственную должность в другой компании. Такие письма, вероятно, содержат ссылки на архивы с поддельными резюме, при открытии которых происходит загрузка бэкдора Merlin.

Merlin — это инструмент для постэксплуатации с открытым исходным кодом, написанный на Go. Он совместим с Windows, Linux и macOS, а также поддерживает работу по протоколам HTTP/1.1, HTTP/2 и HTTP/3.

После активации бэкдор соединяется с сервером управления и передаёт сведения о заражённой системе, включая IP-адрес, версию операционной системы, имя пользователя, имя хоста и архитектуру процессора.

Один из обнаруженных экземпляров Merlin загружал в систему новую версию Loki. Этот бэкдор, как и его предыдущая версия, собирает данные о системе, передавая злоумышленникам идентификатор агента, IP-адрес, версию ОС, название устройства и путь к исполняемому файлу. В новой версии добавлена также передача имени пользователя.

Обе программы разработаны для работы с фреймворком Mythic. Первоначально этот инструмент создавался для тестирования защиты корпоративных систем и проведения киберучений, но может использоваться и в преступных целях.

Mythic позволяет создавать кастомизированные агенты для различных платформ, что даёт атакующим гибкость в выборе методов.

На данный момент не хватает данных, позволяющих связать эти атаки с какой-либо известной группировкой. В связи с этим кампания получила название Mythic Likho.

«Применение фреймворка Mythic и разработка кастомных агентов делает атаки гибкими: несмотря на общий метод распространения через фишинговые письма, их содержание и последовательность заражения могут отличаться. Это повышает вероятность успешного проникновения. Важно уделять повышенное внимание защите информационных систем и использовать надёжные средства кибербезопасности», — отмечает Артём Ушков, исследователь угроз в «Лаборатории Касперского».

Ищете бензин — отдаете аккаунт: мошенники запустили фейковые карты АЗС

Киберпреступники решили заработать на очередях за топливом. Специалисты «Эфшесть/F6» обнаружили более 60 фишинговых сайтов, которые маскируются под карты АЗС, игровые сервисы, маркетплейсы и видеохостинги. Схема у всех одна. Пользователю обещают показать, где есть бензин, выдать электронный талон на заправку или подарить бонусы в игре.

Для этого просят указать номер телефона, а затем ввести код из СМС. После этого мошенники получают доступ к аккаунту в мессенджере. Фейковые карты АЗС выглядят вполне убедительно.

 

На сайте предлагают выбрать вид топлива и регион, затем якобы находят несколько заправок. Но сам список не показывают. Вместо него появляется форма «подтверждения номера». В другом варианте преступники копируют оформление настоящего сервиса и требуют авторизацию ради несуществующего электронного талона.

 

Получив код, злоумышленники могут читать переписку, скачивать фото, видео и документы, просматривать контакты и рассылать сообщения от имени жертвы. Иногда владелец даже не сразу замечает взлом: доступ к аккаунту у него сохраняется, пока мошенники тихо хозяйничают внутри.

Та же сеть атакует и детей. Под видом Brawl Stars пользователям предлагают бесплатные ящики и игровую валюту после входа через мессенджер.

 

Более половины найденных сайтов прикрываются брендами маркетплейсов, еще 19% — социальными платформами. Остальные маскируются под карты АЗС, игры, видеосервисы и доски объявлений.

Чаще всего фишинговые страницы размещают в доменных зонах .site, .click, .shop, .lol и .xyz. «Эфшесть/F6» уже направила их на блокировку, но новые адреса продолжают появляться.

RSS: Новости на портале Anti-Malware.ru