Tito nigerijští princové mají nové triky na rukávech.
Pamatujete si těch 419 podvodů? Jednalo se o často špatně psané e-mailové zprávy, které mají být od bohatého jednotlivce ochotného platit bohatě za pomoc při převodu jeho majetku ze země. Ve skutečnosti, když oběti předaly své finanční údaje, aby pomohly a získaly velkou výplatu, podvodníci vyplenili bankovní účty a zmizeli.
Zdá se, že tito podvodníci sebrali útokové techniky a malware na krádež dat, který dříve používali sofistikovanější skupiny pro počítačové zločiny a počítačové špionáže, uvedli vědci společnosti Palo Alto Networks. Vědci z jednotky 42, týmu zpravodajských informací o hrozbách, nastínili sérii útoků proti tchajwanským a jihokorejským podnikům ve zprávě „419 Evolution“ zveřejněné v úterý.
V minulosti se podvody v oblasti sociálního inženýrství zaměřovaly především na „bohaté, netušící jednotlivce“. S novými nástroji v ruce se zdá, že těchto 419 podvodníků změnilo fond obětí na podniky.
„Herci neukazují vysokou úroveň technického prozíravosti, ale představují rostoucí hrozbu pro podniky, které dříve nebyly jejich primárním cílem, “ řekl Ryan Olson, zpravodajský ředitel jednotky 42.
Sofistikované útoky nezasvěcenými
Palo Alto Networks sledoval útoky, přezdívané „Silver Spaniel“ výzkumníky Unit 42, za poslední tři měsíce. Útoky začaly škodlivou e-mailovou přílohou, která po kliknutí nainstalovala malware do počítače oběti. Jedním příkladem je nástroj vzdálené správy (RAT) s názvem NetWire, který útočníkům umožňuje vzdáleně převzít počítače se systémem Windows, Mac OS X a Linux. Jiný nástroj, DataScrambler, byl použit k přebalení NetWire, aby se zabránilo detekci antivirovými programy. DarkComet RAT byl také použit v těchto útocích, uvádí zpráva.
Tyto nástroje jsou levné a snadno dostupné na podzemních fórech a mohly by být „nasazeny jakoukoli osobou s notebookem a e-mailovou adresou“, uvedla zpráva.
419 podvodníků bylo odborníky na sociální inženýrství, ale byli začátečníci, pokud jde o práci s malwarem a „projevili pozoruhodně špatnou provozní bezpečnost“, uvádí zpráva. Přestože infrastruktura příkazů a řízení byla navržena pro použití dynamických domén DNS (z NoIP.com) a služby VPN (z NVPN.net), někteří útočníci nakonfigurovali domény DNS tak, aby ukazovali na jejich vlastní adresy IP. Výzkumníci dokázali sledovat připojení k nigerijským poskytovatelům mobilních a satelitních internetů, uvedla zpráva.
Podvodníci mají hodně co učit
V současné době útočníci nevyužívají žádné zranitelnosti softwaru a stále se spoléhají na sociální inženýrství (ve kterém jsou velmi dobří), aby obětovali oběti při instalaci malwaru. Zdá se, že kradou hesla a další data, aby zahájili následné útoky v oblasti sociálního inženýrství.
"Dosud jsme nezaznamenali žádné instalované sekundární užitečné zatížení ani žádný boční pohyb mezi systémy, ale tuto aktivitu nemůžeme vyloučit, " uvedli vědci.
Vědci objevili nigerijce, který malware opakovaně zmiňoval na Facebooku, a ptal se na konkrétní funkce NetWire nebo například na podporu při práci se Zeusem a SpyEye. Zatímco vědci dosud nepřipojili tohoto konkrétního herce k útokům Silver Spaniel, byl příkladem někoho, kdo „začal svou kriminální kariéru provozováním 419 podvodů a vyvíjí své řemeslo, aby používal malware nástroje nalezené na podzemních fórech, “ uvedl Palo Alto Networks.
Zpráva doporučuje blokovat všechny spustitelné přílohy e-mailů a kontrolovat archivy ZIP a RAR, zda neobsahují škodlivé soubory. Brány firewall by také měly blokovat přístup k často zneužívaným dynamickým doménám DNS a uživatelé musí být vyškoleni, aby podezírali z příloh, i když názvy souborů vypadají oprávněně nebo souvisejí s jejich prací, uvedl Palo Alto Networks. Zpráva obsahovala pravidla Snort a Suricata pro detekci provozu Netwire. Vědci také vydali bezplatný nástroj pro dešifrování a dekódování příkazů a řízení provozu a odhalení dat odcizených útočníky Silver Spaniel.
"V tuto chvíli neočekáváme, že by herci Silver Spaniel začali vyvíjet nové nástroje nebo vykořisťování, ale pravděpodobně přijmou nové nástroje od schopnějších herců, " uvedla zpráva.
