Представляем новости об актуальных технологиях фишинга и других атаках на человека c 24 по 30 июля 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мобильная безопасность

Приложение Instagram использует камеру смартфона даже тогда, когда пользователь просто просматривает ленту приложения.

Casually browsing Instagram when suddenly the new iOS 14 camera/microphone indicator comes on. Then control panel ratted out the app behind it. This is going to change things. #iOS14 pic.twitter.com/EnTIRsqq3R

— KevDoy (@KevDoy) July 17, 2020

Обнаружить это странное поведение удалось пользователям iOS 14, которая предупреждает пользователей о том, что какое-либо приложение получает доступ к камере устройства.

Представители Instagram заявляют, что причина шпионского поведения состоит в ошибке программного обеспечения, и на самом деле доступа к камере или микрофону смартфона приложение не имеет.

Сайты

В рамках очередной фишинговой кампании злоумышленники похищают учётные данные пользователей Office365 с помощью сообщений-приманок, замаскированных под автоматические уведомления SharePoint.

Текст фишингового сообщения краткий и расплывчатый, однако в нём упоминается название целевой компании, чтобы вызвать доверия и заставить жертву думать, что письмо было отправлено от имени сотрудников организации.

Если пользователь переходит по ссылке в письме, он попадает на поддельную страницу SharePoint, где от него требуют нажать на кнопку для загрузки «важных документов», упомянутых в фишинговых письмах.

На самом деле кнопка загружает PDF-файл, перенаправляющий жертву на другой сайт или на специальную форму, где необходимо ввести свои учетные данные. Собранные данные злоумышленники используют для проведения других атак.

Обнаружена сеть мошеннических сайтов, которые предлагали посетителям зарабатывать до 20 тыс рублей в час с помощью майнинга криптовалюты.

Схема № 1:

1. Посетителю сайта, на который заманивают вредоносной рекламой в соцсетях, предлагают предоставить свой компьютер для майнинга криптовалюты. Мошенники обещают, что за это время он может заработать до 20 тыс. рублей
2. Во время «майнинга» на сайте крутится счётчик денег.
3. Чтобы вывести «заработок», нужно заплатить 400 рублей за «верификацию» пользователя.
4. Для оплаты используются платёжные системы с сомнительной репутацией, поэтому есть вероятность того, что преступники получают не только 400 рублей, но и данные банковских карт своих жертв.

Схема № 2:

Похожа на первую за исключением того, что вместо предоставления в аренду собственного компьютера жертве предлагается взять в аренду сервер для майнинга. При этом час «аренды сервера» стоит 400 рублей.

Умные устройства

Злоумышленники могут беспрепятственно создавать вредоносные навыки для умной колонки Amazon Alexa и размещать их в официальном магазине приложений Alexa Skills.

Исследователям удалось создать и добавить в магазин 253 вредоносных навыка, причём они смогли разместить их в детском разделе, где правила должны соблюдаться более строго. Размещённые навыки предоставляли запрещенную информацию в ответ на вопросы пользователей или собирали личную информацию, спрашивая пользователей об их именах и других личных данных.

Среди вредоносных навыков были:

• инструкция по созданию глушителя для огнестрельного оружия,
• рекомендации по использованию психотропных веществ в разделе с фактами для детей,
• навык, собирающий конфиденциальные медицинские данные пользователя.

Уязвимости и атаки

Новая уязвимость в Zoom позволяла за несколько минут подобрать пароль, защищающий видеовстречу.

So a few months ago I realised Zoom doesn't rate limit password attempts for meetings, and has only 1 million passwords. Meaning you could join private meetings within minutes. https://t.co/NDUEmzUprX

— Tom Anthony (@TomAnthonySEO) July 29, 2020

Выяснилось, что веб-клиент Zoom не ограничивает количество попыток ввода пароля. При этом пароль, защищающий видеовстречи, по умолчанию состоит из шести цифр, то есть имеется всего один миллион возможных комбинаций, которые можно перебрать достаточно быстро: на перебор 91 тысячи вариантов уходит около 25 минут.

В  загрузчике GRUB2, который используется в большей части Linux-дистрибутивов, обнаружена опасная уязвимость, с помощью которой злоумышленник может скомпрометировать процесс загрузки ОС даже при включённом режиме Secure Boot.

Уязвимость CVE-2020-10713 получила название BootHole. Её причина состоит в некорректной реализации функции, которая выполняет синтаксический анализ конфигурационного файла grub.cfg. Это обычный текстовый файл, причём в отличие от других компонентов загрузчика для него не предусмотрено механизмов защиты целостности.

Таким образом, злоумышленник может модифицировать файл конфигурации загрузчика, получить контроль над процессом загрузки и выполнить произвольный код до загрузки ОС, что позволяет скрыть вредоносный код от защитных программ и сохранить присутствие на компьютере даже после переустановки операционной системы.

В приложении для свиданий OkCupid обнаружены несколько опасных уязвимостей, эксплуатация которых позволяет раскрыть конфиденциальную информацию пользователей, перехватить контроль над учетными записями для выполнения различных действий без разрешения их владельцев и украсть токены аутентификации, идентификаторы и адреса электронной почты.

Видео: демонстрация атаки

В процессорах SEP, обеспечивающих защиту конфиденциальной информации на устройствах Apple, обнаружена аппаратная уязвимость, которая позволяет обойти автоматическую блокировку после десяти неверных попыток ввода пароля.

Процессор SEP — Secure Enclave Processor — используется для того, чтобы изолировать iOS и основной процессор устройств от конфиденциальной информации — Face ID, Touch ID, паролей. SEP-процессор загружает отдельную операционную систему SEPOS, для хранения которой используется отдельная область памяти SEPROM.

Используя эту уязвимость, злоумышленники могут напрямую взаимодействовать с SEP-памятью и использовать этот доступ для обхода защиты изоляции памяти, хищения данных, даунгрейда прошивки.

По мнению экспертов ликвидировать уязвимость программным путём невозможно.

Инциденты

В результате кибератаки вымогателя WastedLocker компания Garmin была вынуждена остановить работу своих навигационных сервисов, среди которых не только устройства гражданского назначения, но и авиационное навигационное оборудование.

Инцидент вызвал множество проблем у клиентов компании, так как большинство из них регулярно используют сервис Garmin Connect для синхронизации данных о пробежках и поездках на велосипеде с серверами компании.

Из-за остановки работы сервиса flyGarmin пилоты в США лишились возможности загрузить авиационные БД в навигационные системы своих самолетов. Приложение Garmin Pilot, которое используется для составления расписаний и планирования полетов, также не работает.

Вредоносное ПО

Новая версия вредоноса Emotet похищает списки контактов, содержимое и вложения из писем своих жертв, чтобы рассылаемый спам выглядел как можно аутентичнее.

Can confirm Emotet's email stealer module was updated to steal email attachments, as well as email content and contact lists. The additional code was added around June 13th. pic.twitter.com/9xe3lM6qca

— MalwareTech (@MalwareTechBlog) July 28, 2020

Пример фишингового сообщения с похищенными вложениями

Такая тактика позволяет операторам Emotet эффективно использовать перехваченные электронные письма и «включаться» в разговоры пользователей. В результате вредоносная ссылка или вложение будут выглядеть как новые сообщения в уже идущей дискуссии.

breaking #emotet news from @CofenseLabs

in addition to stolen body text, emails are now including original attachment content to add even more legitimacy.

significant data breach implications, again demonstrating that emotet infections are serious https://t.co/bWbHxGWZK4

— Cryptolaemus (@Cryptolaemus1) July 28, 2020

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 17 по 23 июля 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошенники

Злоумышленники похищают учётные данные, используя для размещения файлов-приманок и фишинговых страниц общедоступные облачные сервисы.

1. Злоумышленники загружают в Google Drive вредоносный PDF-документ, который содержит ссылку на фишинговую страницу. В документе указано, что контент доступен только через SharePoint, поэтому нужно перейти по ссылке.

Мошенническая страница входа

2. Фишинговая страница размещалась по адресу storage.googleapis[.]com/asharepoint-unwearied-439052791/index.html и предлагала войти в систему с помощью Office 365 или корпоративной электронной почты.

3. Когда жертва выбирала один из вариантов входа, появлялось всплывающее окно входа в Outlook.

После ввода учетных данных пользователь действительно получал PDF-отчет от авторитетной международной компании.

На фишинговой странице злоумышленники использовали сервис Google Cloud Functions, который позволяет запускать код в облаке загружать из него ресурсы без раскрытия собственных вредоносных доменов злоумышленников.

Уязвимости и атаки

Атака PDF Shadow позволяет преступникам подменить содержимое подписанных электронной подписью PDF-документов так, что программы для просмотра будут по-прежнему подтверждать подлинность подписи.

Схема атаки:

1. Атакующий отправляет жертве документ с несколькими слоями контента.
2. Жертва подписывает документ с помощью цифровой подписи, поскольку верхний слой контента, который она видит, вполне безобиден.
3. Получив подписанный документ, злоумышленник переставляет слои местами, так что при открытии все будут видеть нужное злоумышленнику содержимое. При этом изменение видимости слоёв никак не повлияет на цифровую подпись.

Варианты реализации атаки PDF Shadow:

• Спрятать (Hide)  — злоумышленник прячет вредоносный слой с помощью функции PDF Incremental Update, которая позволяет спрятать слой без замены.
• Заменить (Replace) — оригинальное содержимое документа заменяется модицицированным с помощью функции Interactive Forms.
• Спрятать и заменить (Hide and Replace) — преступник использует второй PDF-документ, находящийся в первом.

Из 28 приложений для просмотра PDF 15 уязвимы для атаки PDF Shadow. В их числе:

• Adobe Acrobat Pro,
• Adobe Acrobat Reader,
• Perfect PDF,
• Foxit Reader,
• PDFelement.

Легитимный инструмент для устранения неполадок Windows Store позволяет злоумышленникам удалить произвольные файлы.

Инструмент Wsreset.exe предназначен для устранения проблем в работе Windows Store и работает следующим образом:

• При создании файлов временного кэша и cookie-файлов Windows Store сохраняет их в двух папках \INetCache и \INetCookies.
• Если в работе Windows Store возникают проблемы, инструмент удаляет файлы в этих папках, «сбрасывая» кэш и cookie-файлы.
• Если создать ссылку, перенаправляющую \InetCookies на произвольную папку, она будет удалена при запуске wsreset.

Антивирус отключается после удаления папки с настройками

Возможная схема атаки:

1. Злоумышленник удаляет папку \INetCookies, чтобы её не очистила утилита wsreset.
2. Затем он создает вместо папки ссылку на нужный ему каталог.
3. Если в качестве целевого каталога указать, например, папку, в которая хранятся сигнатуры вредоносных программ и настройки антивируса, wsreset удалит их, поскольку выполняется с высоким уровнем привилегий.
4. В результате антивирус будет деактивирован и после перезагрузки системы не запустится.

На киберпреступном форуме предлагаются к продаже две уязвимости нулевого дня в Internet Explorer 11 и MS Excel.

A 0day exploit for IE11(fully silent) exploit with sandbox escape (Only windows 10 supported) + Excel 2007-2019/365 0Day exploit. require "enable editing", not fully silent has been put up for sale by the actor "WWW" at the price of 15BTC.#0day #IE11 #infosec #CyberSecurity pic.twitter.com/eG49XiNwBU

— Shadow Intelligence (@shad0wintel) July 20, 2020

Уязвимость в браузере Microsoft позволяет незаметно обойти песочницу и работает только на новых версиях Windows 10 Home, Pro, Pro Education и Pro for Workstations (1809, 1903, 1909 и 2004). Если пользователь заходит на вредоносный сайт через Internet Explorer, на его компьютер загружается и выполняется с привилегиями текущего модуль DLL, который может содержать любой набор функций. При этом браузер продолжает работать без каких-либо видимых неполадок.

Уязвимость нулевого дня в Excel 2007-2019 базируется на эксплоqте для Internet Explorer 11, но в при её использовании могут выдаваться сообщения об ошибках. Проэксплуатировать уязвимость можно только на Windows 10. В результате также будет загружена и запущена с привилегиями текущего пользователя произвольная DLL.

За программный код, документацию и программу-билдер эксплойтов для Excel и Internet Explorer, которая создаёт Excel- и HTML-файлы, неизвестные преступники хотят получить 15 биткоинов (около 9,8 млн руб.).

Инциденты

Неизвестные хакеры уничтожают незащищённые базы данных Elasticserch и MongoDB, заменяя их содержимое на случайный набор символов со словом «meow» («мяу») в конце.

Одной из жертв «мяукающих» атак стала база данных Elasticsearch, VPN-провайдера из Гонконга UFO VPN. Компания утверждала, что не хранит логи пользовательских сессий, однако база данных с этими сведениями всё-таки была обнаружена в открытом доступе. Провайдер скрыл базу, но через несколько дней она вновь появилась Базу данных убрали из Сети 15 июля, однако она вновь стала доступной через пять дней по другому IP-адресу. Во второй раз владелец базы данных не получил никаких предупреждений и почти все записи были уничтожены.

Всего на сегодня по данным Shodan злоумышленники уже испортили более 1000 баз данных. Пострадали 1337 установок ElasticSearch и более 370 установок MongoDB.

Компания Telecom Argentina стала жертвой шифровальщика REvil (Sodinokibi). Злоумышленники требуют выкуп в размере 7,5 млн долларов США.

Страница с требованием выкупа

Источником заражения стало вредоносное вложение из письма, полученного одним из сотрудников. Когда он открыл его, атакующие получили права администратора домена, после чего шифровальщик быстро распространился на 18 000 рабочих станций. Из-за последствий атаки до сих пор не работают несколько официальных сайтов Telecom Argentina.

Сразу после обнаружения атаки компания разослала сотрудникам предупреждение о происходящем и попросила ограничить взаимодействие с корпоративной сетью, не подключаться к внутренней сети VPN и не открывать электронные письма с архивами во вложениях.

Арестованы киберпреступники, похищавшие деньги граждан через фальшивые интернет-магазины.

Как сообщает пресс-служба МВД РФ, злоумышленники создавали клоны интернет- магазинов известных брендов. Все вводимые пользователями на поддельных сайтах банковские и персональные данные отправлялись преступникам, которые с их помощью похищали денежные средства с банковских счетов.

Всего преступникам удалось собрать сведения о банковских картах более двух тысяч человек и похитить около 4 млн рублей.

Вредоносное ПО

Ботнет Prometei использует протокол Microsoft Windows SMB для распространения в корпоративных сетях майнера криптовалюты. Ботнет использует модульную систему и разнообразные методы для компрометации систем, сокрытия своего присутствия и добычи криптовалюты Monero (XMR).

Криптокалькулятор Monero, который показывает потенциал заработка ботнета

Атака начинается с компрометации протокола Windows Server Message Block (SMB) через Ethernal Blue и другие известные уязвимости. С помощью инструмента Mimikatz и брутфорс-атак злоумышленники собирают в корпоративной сети учётные данные и отправляют их на управляющий сервер для повторного использования модулями, предназначенными для проверки действительности паролей в других системах, использующих протоколы SMB и RDP.

На текущий момент ботнет состоит менее чем из ста инфицированных устройств и приносит своим операторам около 1250 долларов США в месяц.

Злоумышленники используют новый вредоносный фреймворк MATA для кибератак на операционные системы Windows, Linux и macOS по всему миру.

Структура фреймворка MATA для Windows.

Первые атаки с использованием MATA были направлены на устройства под управлением Windows и осуществлялись в несколько этапов:

1. Операторы устанавливают на компьютеры жертв загрузчик, разворачивающий «командный центр» (оркестратор), который скачивал необходимые модули.
2. Модули могли загружаться с удаленного HTTP- или HTTPS-сервера, из зашифрованного файла на жестком диске или же могли быть переданы через инфраструктуру MataNet по соединению, использующему TLS 1.2.
3. Плагины MATA могут запускать cmd.exe /c или powershell.exe с дополнительными параметрами и получать ответы на эти команды, отключать и создавать процессы, проверять наличие TCP-соединения с указанными адресами, управлять файлами, устанавливать соединение с удаленными серверами и пр.

Впоследствии был обнаружен аналогичный набор инструментов для Linux и macOS. Он содержал легитимную утилита Socat и скрипты для эксплуатации уязвимости CVE-2019-3396 в Atlassian Confluence Server.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 10 по 16 июля 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошенники

Мошенники используют сервис Сбербанка по дистанционному резервированию расчётных счетов, чтобы отправлять потенциальным жертвам в нужный момент СМС-сообщения с официального номера банка 900 для подтверждения подлинности звонка.

Схема атаки

1. Злоумышленник связывается с клиентом Сбербанка, представляется сотрудником службы безопасности и сообщает о несанкционированной операции и неудачных попытках входа в интернет-банк.
2. Чтобы «обезопасить» средства, мошенник предлагает жертве открыть резервный счет в банке, но для этого просит жертву пройти «верификацию» — назвать номер банковской карты и срок её действия.
3. Если жертва отказывается сообщать данные банковской карты, мошенник предлагает жертве удостовериться, что он действительно является сотрудником банка. Для это он предлагает направить жертве СМС с номера 900 для открытия «резервного счета».
4. Жертва в этот же момент действительно получает сообщение с короткого номера Сбербанка с предложением услуги «Дистанционное резервирование счета» и код для подтверждения номера. 1. Мошенник обращает внимание жертвы на то, что данный код ему сообщать не нужно, таким образом ещё больше вводит жертву в заблуждение и втирается к ней в доверие.
5. После этого жертва уже без сомнений выполняет все указания мошенника, который под видом перевода денег на «резервный счёт» опустошает счёт карты гражданина.

Мобильная безопасность

Вредоносное Android-приложение Welcome Chat распространяется через сайт, на котором пользователям предлагают попробовать новый защищенный чат, якобы доступный в Google Play.

Welcome Chat ориентирован на арабских пользователей. При установке вредонос запрашивает разрешения на отправку и просмотр SMS, доступ к файлам, контактам, записи аудио и сведениям о местоположении. Эти права позволяют приложению получать команды от управляющего сервера и передавать операторам собранную информацию.

Главная функциональность приложения — шпионаж за разговорами жертвы с другими пользователями Welcome Chat. Кроме того приложение умеет:

• отправлять и получать текстовые сообщения;
• похищать журнал истории звонков;
• похищать список контактов жертвы;
• похищать фотографии пользователя;
• записывать телефонные звонки;
• отправлять операторам данные GPS устройства вместе с системной информацией.

Большая часть кода, который отвечает за шпионские функции в приложении, была позаимствована из открытых источников.

В браузере Mozilla Firefox для Android обнаружена проблема, из-за которой камера смартфона продолжает работать даже после того, как пользователь переключает браузер в фоновый режим или блокирует экран телефона.

Ошибка проявляется, когда пользователи стримят потоковое видео через Firefox. Многие используют такой способ проведения трансляций, чтобы не устанавливать новое приложение и не предоставлять ему доступ к данным своего смартфона. Однако из-за проблемы камера смартфона остаётся включенной даже после завершения трансляции и блокировки смартфона.

Уязвимости и атаки

Червеобразная уязвимость SigRed в Windows Server 2003-2019 (CVE-2020-1350) позволяет неавторизованному удалённому злоумышленнику получить привилегии администратора домена на сервере и захватить полный контроль над IT-инфраструктурой организации. По шкале CVSS опасность уязвимости оценена в 10 из 10 баллов.

Источник уязвимости SigRed — некорректная реализация обработки DNS-запросов в DNS-сервере Windows. Специально сформированный вредоносный запрос вызывает переполнение буфера в службе сервера имён Windows и позволяет выполнить произвольный код с правами учётной записи Local System Account. В результате атакующий получает возможность манипулировать сетевым трафиком, отключать службы Windows, собирать учётные данные пользователей.

SigRed может запустить цепную реакцию, позволяющую атаке распространяться от уязвимой машины к уязвимой машине без какого-либо вмешательства человека. Таким образом, одна скомпрометированная машина распространить вредоносный код по сети организации в считанные минуты с момента заражения.

Разработана методика получения персональных данных участников видеоконференций по скриншотам с онлайн-мероприятий.

Используя инструменты для распознавания лиц, исследователи отсканировали около 16 тысяч размещённых в открытом доступе скриншотов видеоконференций, содержащих лица более 142 тысяч участников.

С помощью специальных алгоритмов удалось идентифицировать одних и тех же людей на  разных мероприятиях, причём в 80% случае получилось выявить не только пол и возраст, но и личность участника онлайн-встречи. Для анализа использовались не только лица людей, но и фон.

Инциденты

Мобильный телефон спикера парламента Каталонии Рожера Торрена (Roger Torrent) подвергся кибератаке с использованием шпионских программ. Для взлома применялось ПО, которое правительства разных стран использует для отслеживания преступников и диссидентов.

Операторы шпионского ПО воспользовались уязвимостью в мессенджере WhatsApp, которая позволяла получить потенциальный доступ ко всем данным на мобильном телефоне жертвы, включая электронную почту, текстовые сообщения и фотографии.

По мнению жертвы, «предполагаемая кибератака на его телефон» является делом рук «испанского государства». Вместе с его телефоном были взломаны устройства двух других сторонников независимости Каталонии.

Неизвестные хакеры взломали Twitter-аккаунты ведущих политиков, бизнесменов и знаменитостей и опубликовали от их имени твиты о бесплатной раздаче криптовалюты, обещая удвоить все биткоины, которые будут отправлены на указанный адрес. В числе пострадавших от взлома — Билл Гейтс, Илон Маск, Джефф Безос, Джо Байден, Барак Обама, Уоррен Баффет, Канье Уэст, Ким Кардашян, компании Apple и Uber, крупнейшие криптовалютные биржи CoinDesk, Binance и Gemini.

Для большинства этих учетных записей была включена двухфакторная аутентификация, однако это не помешало взлому. Настоящие владельцы аккаунтов и сотрудники социальной сети пытались удалять мошеннические сообщения, однако они тут же появлялись снова. Некоторые из таких твитов содержали ссылку на уже удалённый сайт:

Как ни удивительно, нашлись люди, поверившие, что Билл Гейтс и другие известные компании и личности вдруг начали раздавать биткоины. По состоянию на 16 июля мошенники «заработали» примерно 13 BTC, то есть около 120 000 долларов.

По заявлению Twitter, взлом стал результатом успешной атаки на сотрудников компании с использованием социальной инженерии:

We detected what we believe to be a coordinated social engineering attack by people who successfully targeted some of our employees with access to internal systems and tools.

— Twitter Support (@TwitterSupport) July 16, 2020

В результате преступники получили доступ к внутренним системам и инструментам Twitter, которыми они и воспользовались, захватив контроль над множеством популярных аккаунтов.

Задержаны организаторы преступной группы, специализирующейся на перевыпуске SIM-карт и хищении денег у клиентов российских банков.

Преступники действовали следующим образом:

1. С помощью специальных сервисов «пробива» в Telegram-каналах или на подпольных хакерских форумах находили информацию о VIP-клиентах банков: персональные данные «клиента» и информацию о состоянии его банковского счета.
2. Используя подпольный сервис, получали поддельную доверенность, по которой их сообщница перевыпускала SIM-карту в салонах сотовой связи Москвы и Подмосковья. В качестве удостоверения личности использовались поддельные водительские удостоверения.
3. После активации SIM-карты-клона сотовая связь у жертвы пропадала, а новый новый владелец в этот момент отправлял в банк запросы на получение кодов доступа в мобильный интернет-банкинг.
4. В некоторых случаев сообщница мошенников просто отправляла им полученные коды в виде СМС или даже диктовала по телефону.
5. Деньги выводились со счета жертвы на счета третьих лиц и через цепочку транзакций обналичивались в других городах.

Видео задержания преступников:

Вредоносное ПО

Сразу четыре вредоноса — Guildma, Javali, Melcoz и Grandoreiro — активно атакуют пользователей в Европе, Северной и Латинской Америке с использованием фишинга. Это семейство является частью группы Tetrade и использует множество новых методов обхода обнаружения и сбора данных.

Банковский троян Guildma распространяется через фишинговые письма, замаскированные под деловые сообщения или уведомления, и умеет скрывать вредоносный код в системе жертвы, используя специальное расширение. Конфигурационную информацию о текущих адресах командных серверов Guildma получает через страницы на Facebook и YouTube. Такой трафик трудно классифицировать как вредоносный, поскольку ни одну из этих соцсетей не блокируют защитные решения. Это позволяет злоумышленникам с легкостью менять серверы управления, затрудняя обнаружение.

Банковский троянец Javali атакует владельцев криптовалюты и клиентов банков в Мексике. Как и Guildma малварь Javali распространяется через фишинговые письма и использует YouTube для получения информации о командных серверах.

Вредонос Melcoz атакует пользователей в Мексике, Испании и Чили. Помимо кражи финансовой информации, это семейство также предлагает другим злоумышленникам платный удалённый доступ к компьютерам пострадавших пользователей.

Grandoreiro, самый распространённый из группы Tetrade, распространяется через скомпрометированные сайты и целевой фишинг. При этом он работает по модели malware-as-a-service (вредоносное ПО как услуга), предлагая всем желающим приобрести доступ к необходимым инструментам Grandoreiro для запуска собственной атаки.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.