Крайни потребители

Нова хакерска кампания подлъгва потребителите чрез фалшиви заявки на софруера за отдалечена поддръжка AnyDesk.

Тя използва тактика за социално инженерство, за да получи неоторизиран достъп до устройствата на жертвите. Това може да доведе до кражба на данни и други злонамерени действия.

Нападателите изпращат заявки за свързване чрез AnyDesk под претекст, че провеждат „одит, за да проверят нивото на сигурност“.

За да бъде успешна тази атака, трябва да бъдат изпълнени две важни условия:

• нападателят трябва да притежава идентификационния номер за AnyDesk на жертвата;
• софтуерът AnyDesk трябва да е стартиран на целевия компютър.

Според екипа за реагиране при компютърни инциденти на Украйна – CERT-UA нападателите са се сдобили с AnyDesk ID от предишни пробиви.

За да се защитите от подобни атаки:

• разрешавайте достъпа на софтуера за отдалечен достъп само за срока на неговото използване по предназначение;
• проверявайте и съгласувайте всяка работа с него чрез официални комуникационни канали.

Януарската актуализация на сигурността на Microsoft съдържа пачове за рекордните 159 уязвимости, включително осем грешки от типа Zero day. Tри от тях вече се използват активно от хакерите.

Актуализацията е най-мащабната в историята на компанията. Тя се отличава и с това, че включва три грешки, които са открити от платформа за изкуствен интелект (AI).

Компанията оценява 10 от уязвимостите като критични, а останалите – като важни за отстраняване. Пачовете обхващат широк спектър от технологии, включително операционната система Windows, Microsoft Office, .NET, Azure, Kerberos и Windows Hyper-V. Те включват:

• повече от 20 уязвимости с отдалечено изпълнение на код (RCE);
• почти същия брой с повишаване на привилегии;
• набор от такива, свързани с DoS;
• проблеми със заобикалянето на мерките за сигурност, подправяне и разкриване на информация.

От Microsoft са категорични, че три от тях трябва да се коригират незабавно. Tе са свързани с проблеми с повишаване на привилегиите в компонент на NT ядрото на Windows Hyper-V. Атакуващите могат да се възползват от тях сравнително лесно, за да получат привилегии на системно ниво в засегнатите инфраструктури.

Трите бъга имат умерена оценка за сериозност от 7,8 от 10 по скалата CVSS. Но фактът, че нападателите вече ги използват, означава, че организациите не могат да си позволят да забавят отстраняването им.

Ние ви съветваме възможно най-бързо да инсталирате всички новопубликувани пачове на Microsoft.

Светът е под обсада и това не е новина. Спонсорирани от държавата киберпрестъпници и нарастваща армия от новаци, въоръжени с мощни инструменти от Dark Web, използват всяко слабо звено в нашата киберсигурност. А това обикновено са потребителите.

Многофакторната автентикация (MFA), която някога се славеше като непробиваема защита, се разпада под тежестта на остарялата си технология. Фишинг атаките, ransomware и сложните експлойти я заобикалят с изумителна лекота.

Бурята се разраства, а с навлизането на още по-напреднали технологии и тактики най-лошото тепърва предстои.

Наследените системи за MFA: Политика на отворени врати за фишинг и ransomware

Вълната от фишинг и ransomware атаки обхваща всички индустрии, оставяйки след себе си разрушения. Загуби за безброй милиарди долари са причинени от киберпрестъпници, които се възползват от слабостите на наследените решения за MFA.

Тези системи, изградени върху лесно преодолими принципи като еднократни пароли и SMS удостоверяване, невинаги могат да се противопоставят на иновативните подходи.

Фишинг атаките са станали тревожно ефективни. Те заобикалят MFA с помощта на сложни тактики за социално инженерство, които се възползват от човешката доверчивост.

Ransomware групите също се възползват от слабостите на старите MFA модели, за да получат неоторизиран достъп до мрежите. Това им позволява да държат критични системи като заложници и да искат астрономически откупи.

Тази технология се превърна от бариера във въртяща се врата за киберпрестъпниците, като с всеки изминал ден предизвиква все по-големи бедствия.

Генеративният изкуствен интелект: Любимото оръжие на киберпрестъпниците

Генеративният изкуствен интелект е нож с две остриета, а в неправилните ръце той е оръжие с несравнима сила. Киберпрестъпниците вече използват технологията, за да създават фишинг атаки. Те на практика не се различават от легитимните съобщения.

Няма ги типографските и граматическите грешки. Няма ги вече и спешността, твърде добрите, за да бъдат истински, оферти и други червени флагове. Новите кампании подмамват дори най-добре обучените потребители да предоставят по невнимание достъп до мрежата на киберпрестъпниците.

AI инструментите анализират моделите на корпоративна комуникация и ги възпроизвеждат със забележителна точност. AI чатботовете могат да участват във взаимодействия в реално време за продължителен период от време. Deepfake се превръщат в най-доброто оръжие на киберпрестъпниците, което лесно заблуждава дори най-предпазливите потребители.

С помощта на AI фишингът вече не е грубо изкуство, а точна наука. В комбинация със слабостите на старите MFA системи тези инструменти позволяват мащабни кампании с голям успех. Те предефинират пейзажа на киберпрестъпността и риска пред организациите.

Сривът на бдителността на потребителите

Стратегиите за киберсигурност са толкова силни, колкото са силни хората, които трябва да ги използват. Днешното MFA остава изцяло зависимо от потребителите и това е сърцевината на неговата уязвимост.

Ново проучване на Gallup установява, че ангажираността на служителите е достигнала 10-годишно дъно. Едва 31% от тях покриват критериите. А няма как тези, които не са ангажирани с организацията си, да са добри пазители на достъпа до нейната мрежа.

Единственото решение е бизнесите да спрат да разчитат единствено на поведението на потребителите и да намерят начин да защитят инфраструктурите си. А това не е възможно при сегашните MFA решения.

Преминаването към устойчиво на фишинг, следващо поколение MFA, което не разчита на старанието на потребителя, е задължително за всяка организация. Съществуват много иновативни стартиращи компании с разнообразни решения, които намаляват този сериозен риск. Отговорът е прост – ако престъпниците преодоляват вашите ключалки, вземете по-добри ключалки.

Хакерска група е предоставила безплатно в Dark Web конфигурационни файлове, IP адреси и VPN идентификационни данни за над 15 000 устройства FortiGate.

Belsen Group се появи за първи път в социалните медии и форумите за киберпрестъпления този месец. За да се популяризира, тя е създала уебсайт в Tor. Именно там групата е публикувала критичната информация, за да бъде използвана от други киберпрестъпници.

Данните от FortiGate представляват архив с обем 1,6 GB, който съдържа папки, подредени по държави. Всяка от тях съдържа допълнителни подпапки за IP адресите на FortiGate в конкретната държава.

Ако използвате подобно устройство:

• незабавно променете всички пароли и конфигурации;
• инсталирайте версия 7.2.2 на FortiOS или по-нова;
• проверете за наличието на неоторизирани акаунти и ги премахнете незабавно;
• редовно преглеждайте логовете на устройствата за подозрителна активност и мрежовия трафик за необичайни модели;
• сегментирайте мрежата си, за да ограничите разпространението на потенциални атаки.
• ако е необходимо, потърсете помощ от специалисти по киберсигурност за по-детайлен анализ.

Киберпрестъпници се представят за специалисти по набиране на персонал от CrowdStrike, за да разпространяват cryptominer на устройствата на жертвите.

Кампанията започва с фишинг имейл, който приканва мишената да насрочи интервю за роля на младши разработчик. Той съдържа връзка, която отвежда получателя до сайт, където може да го направи. От него потребителят трябва да изтегли „CRM приложение“ за Windows или macOS. То обаче сваля изпълним файл, написан на езика Rust, който инсталира cryptominer XMRig.

Изпълнимият файл извършва няколко проверки на средата, предназначени да избегнат откриването и да анализират заразеното устройство. Те включват сканиране на инструментите за сигурност, проверка дали централният процесор има поне две ядра и т.н.

От CrowdStrike предупреждават, че:

• не провеждат интервюта през незабавни съобщения или групов чат;
• не искат закупуване на продукти или услуги, или извършване на плащания като условие за наемане на работа;
• никога не използват софтуер, който трябва да бъде изтеглен, за провеждане на интервюта.

Хората, които се интересуват от кандидатстване за работа в компанията, трябва да използват официалната ѝ страница.

Киберпрестъпниците използват трик за изключване на вградената в iMessage на Apple защита срещу фишинг. Чрез него те подмамват потребителите да активират отново деактивираните зловредни връзки.

Тъй като смартфоните навлизат все повече в ежедневието на хората, хакерите все по-често прибягват до smishing атаки. За да предпази потребителите, Apple iMessage автоматично деактивира връзките в съобщенията, получени от непознати податели. Това важи както за имейл адреси, така и за телефонни номера. Ако потребителят отговори на съобщението или добави изпращача в списъка си с контакти обаче, връзките се активират.

В последните месеци се наблюдава рязко увеличение на smishing атаките, които се опитват да подмамят потребителите да отговорят на даден текст. Хакерите изпращат съобщения, свързани с доставки или неплатени задължения. В него те искат от потребителите да отговорят с „Y“, за да активират връзката.

Нападателите разчитат на факта, че хората са свикнали да въвеждат STOP, Yes или NO, за да потвърждават срещи или да се отказват от текстови съобщения. Дори ако потребителят не кликне върху активираната връзка веднага, това, че взаимодейства, означава, че е подходяща цел за последващи фишинг атаки.

Джейк Мур, глобален съветник по сигурността в ESET, е категоричен:

„Избягвайте да отговаряте на съобщения от непознати контакти. Винаги проверявайте легитимността на всяко съобщение, независимо дали става въпрос за iMessage или в рамките на която и да е платформа. Чак след това предприемайте каквото и да е действие, особено ако то изисква чувствителна информация“.

Киберпрестъпниците използват нова тактика, наречена transaction simulation spoofing, за да крадат криптовалути. При такава кампания успешно са откраднати 143,45 токена Ethereum на стойност приблизително 460 000 USD.

Атаката, забелязана от ScamSniffer, подчертава недостатък в механизмите за симулация на трансакции, използвани в съвременните Web3 портфейли. Парадоксалното е, че те са предназначени да предпазват потребителите от измамни и злонамерени трансакции.

Тази функция позволява на потребителите да преглеждат очаквания резултат от превод в блокчейн, преди да го верифицират и изпълнят. Атакуващите обаче примамват жертвите към злонамерен уебсайт, имитиращ легитимна платформа, която инициира това.

Измамата протича така:

• симулацията показва даден резултат;
• потребителят я одобрява и я подписва за официално изпълнение;
• нападателите използват времето между симулацията и изпълнението, за да променят договора в блокчейн;
• това променя резултата, до който ще доведе трансакцията.

По този начин злонамерения уебсайт да източи портфейла на жертвата и да изпрати криптовалутите към хранилището на нападателя.

Този нов вектор на атака представлява значителна еволюция в техниките за фишинг.

За да се защитите:

• винаги се отнасяйте с подозрение към офертите за безплатна симулация на трансакции;
• използвайте само проверени приложения.

Последен ъпдейт на 25 януари 2025 в 11:09 ч.

Bitcoin е в подем. За пръв път в историята си криптовалута №1 надхвърли 100 000 USD в началото на декември, след като нарасна с над 30% от нощта на изборите в САЩ. Но това важи с пълна сила и за измамите и зловредния софтуер, предназначени да откраднат криптовалутите ви.

Последният Threat Report на ESET разкрива, че засичането на т.нар. Cryptostealer е скочило с 56% от първото до второто полугодие на 2024 г. Атаките са насочени както срещу Windows и Android, така и срещу macOS.

Това е отражение на нарастващата роля, която криптовалутите играят в световните финанси. Децентрализираният им характер, бързината и необратимостта на трансакциите и възможността за прехвърляне по целия свят ги правят още по популярна цел за киберпрестъпниците.

Затова и рисковете на това поле се задълбочават през 2024.

Криптозаплахи, от които трябва да се пазите

Когато става въпрос за кражба на криптовалути, трябва да внимавате не само за фишинг и зловреден софтуер. Измамниците са разработили редица измами, целящи да изпразнят вашите криптопортфейли.

Според доклад на Chainalysis от август например pig butchering атаките са се превърнали в едно от най-разпространените средства за кражба на криптовалути.

ESET Threat Report дава допълнителна яснота за заплахите през 2024. Ето няколко основни заключения:

• Атаките с Password Stealing Ware (PSW) в MacOS са се увеличили със 127%. Те са насочени към кражба на идентификационни данни, свързани с портфейли за криптовалути. Това отчасти се дължи на продавания в Telegram по модела Malware-as-a-Service Atomic Stealer. Нападателите разпространяват този зловреден софтуер чрез злонамерени реклами в Google.
• PSW заплахите стоят и зад ръста на криптокрадците, насочени към Windows. Там обаче в основата стои друг зловреден инструмент – Lumma Stealer.
• Много банкови „троянски коне“ за Android вече съдържат функционалност на Cryptostealer наред с традиционните си функции. Този клас заплахи срещу криптопортфейлите е нараснал с 20% през второто полугодие на 2024 г.
• Повишена активност има и около друг Malware-as-a-Service инструмент – Vidar Infostealer. Той е предназначен за събиране на идентификационни данни, съхранявани в браузъра, и такива от криптопортфейли. Разпространява се чрез зловредни реклами във Facebook, групи в Telegram и форуми в Dark Web.
• Геймърите са таргетирани чрез Cryptostealer и Infostealer, скрити в кракнати игри. Те включват Red Line Stealer и Lumma Stealer.
• Фишинг сайтовете, свързани с криптовалути, представляват 8% от всички наблюдавани през първото полугодие на 2024 г. от ESET. Това поставя тази група в Топ 5 за периода.

Как да се защитите

Всичко това упражнява допълнителен натиск върху потребителите. Съществуват различни мерки, които можете да предприемете, за да намалите заплахата за вашите криптопортфейли.

Ето 10 важни стъпки:

1. Не поставяйте всичките си средства на едно място. Разпределете риска и обмислете използването на хардуерни портфейли, които не са свързани с интернет и следователно са по-добре изолирани от цифрови заплахи.
2. Избирайте внимателно доставчиците си на портфейли въз основа на отзиви. Не забравяйте да държите свързаните с интернет хранилища защитени с MFA.
3. Включете 2FA за всяко криптоприложение, което използвате.
4. Не използвайте публични Wi-Fi мрежи, когато сте навън. Ако се наложи да го направите, в никакъв случай не осъществявайте достъп до криптоакаунтите си.
5. Винаги поддържайте устройствата и лаптопите/компютрите си с актуални пачове и софтуер за сигурност.
6. Използвайте VPN услуга от реномиран доставчик за допълнително ниво на сигурност, за да се предпазите от фишинг, зловреден софтуер и други заплахи.
7. Изтегляйте софтуер само от надеждни източници и официални уебсайтове, като преди това проверявате потребителските отзиви и рейтингите на разработчиците.
8. Периодично премахвайте неизползваните разширения/софтуер.
9. Редовно проверявайте за евентуални необичайни действия в криптосметките си.
10. Бъдете нащрек за измами.

Киберпрестъпници са създали фалшив proof-of-concept (PoC) експлойт на критична уязвимост на Microsoft. Той е предназначен да подмами изследователите по сигурността да изтеглят и стартират Infostealer.

Според Trend Micro фалшивият PoC е свързан с критична уязвимост в Lightweight Directory Access Protocol (LDAP) в Windows. Пач за нея е публикуван в рамките на Patch Tuesday от декември 2024 г.

Хакерите са създали злонамерено хранилище, съдържащо фалшивия PoC, който при изпълнение води до ексфилтриране на чувствителна компютърна и мрежова информация. Той краде списъци с процеси и директории, мрежови IP адреси, инсталирани актуализации и друга информация.

PoC експлойтите се използват от общността за киберсигурност за идентифициране на уязвимости и потенциални заплахи за различни софтуери. Те дават възможност на специалистите да предприемат действия за справяне със заплахите.

За да не станете жертва на този Infostealer:

• изтегляйте код и библиотеки само от официални и надеждни хранилища;
• бъдете предпазливи към подозрително съдържание, изглеждащо неуместно за инструмента или приложението, за което се представя;
• ако е възможно, потвърдете самоличността на собственика на хранилището;
• преглеждайте историята на последните промени в него за аномалии или признаци на злонамерена дейност;
• бъдете предпазливи към хранилища с малко сътрудници, особено ако те твърдят, че е широко използвано;
• потърсете отзиви или дискусии за хранилищата, за да идентифицирате потенциални червени флагове.

Нестандартна фишинг кампания убедително се представя за услугата за онлайн плащания PayPal. Тя подмамва потребителите да влязат в акаунтите си, за да извършат плащане. На практика обаче това позволява на нападателите да превземат акаунта.

Иновативната част на атаката е свързана със злоупотреба с легитимна функция в Microsoft 365 за създаване на тестов домейн. Тя позволява на нападателите да създадат списък за разпространение на имейли. Благодарение на това фишинг съобщенията изглеждат като изпратени от PayPal и заобикалят стандартните проверки за сигурност на електронната поща.

За да сте сигурни, че бизнесът и служителите ви няма да станат жертва на подобна иновативна атака:

• провеждайте регулярни обучения по киберсигурност;
• създайте правило в рамките на скенерите за сигурност на електронната поща, което да разпознава съобщения, изпращани чрез списък за масови имейли;
• използвайте инструменти за сигурност, базирани на AI, които правят по-дълбок анализ на поведението на потребителите, отколкото статичните филтри.