Microsoft алармира, че е засечен инструмент за отдалечен достъп (RAT), наречен RevengeRAT, който вероятно е бил използван за разпространяване на фишинг имейли сред компании от секторите: авиация, пътнически и товарни превози.
Фалшивите съобщения приканват служители да отворят изображение, представящо се като PDF файл, което всъщност изтегля злонамерен VB (visual basic) файл.
In the past few months, Microsoft has been tracking a dynamic campaign targeting the aerospace and travel sectors with spear-phishing emails that distribute an actively developed loader, which then delivers RevengeRAT or AsyncRAT. pic.twitter.com/aeMfUUoVvf
— Microsoft Security Intelligence (@MsftSecIntel) May 11, 2021
Попаднал в системата ви, RAT може да открадне пароли, записи от уеб камери, данни от браузъра и всичко, копирано в клипборда.
Фишинг кампания, която има за цел да открадне вашите пароли, банкови данни и друга чувствителна информация, се разпространява бързо сред Android устройства.
Фалшиви текстови съобщения, които изглеждат като изпратени от куриерска фирма (DHL, Amazon), ви приканват да кликнете върху линк, за да проследите доставката на пратка. Ако го направите, вместо да си инсталирате приложение за проследяване, се заразявате със зловредния софтуер FluBot. Освен че краде информация от вашето устройство, малуерът получава достъп до контактите ви и може да им изпрати съобщения, с които да зарази и тях.
Препоръка:
Ако получите подобно съобщение, не кликайте върху линка и не инсталирайте предложените приложения. Вместо това маркирайте съобщението като спам и блокирайте подателя.
Ако вече сте инсталирали подозрително приложение, не влизайте в никакви други ваши онлайн акаунти, за да ограничите достъпа до допълнителна информация, и преинсталирайте устройството си.
Фирмите за киберсигурност обикновено настройват устройства без прикачени монитор, клавиатура и мишка (headless devices) или виртуални машини, за откриване на уебсайтове, които се използват за фишинг.
Фишинг сайтовете пък са измислили JavaScript, който проверява от какво устройство ги разглеждат. Ако се усъмнят, че са обект на проверка, показват празна страница и така избягват да бъдат засечени.
Скриптът проверява ширината, височината и цветовете на екрана на посетителя и дали браузърът използва софтуер за визуализация. Така се ориентира, дали става дума за реален потребител или устройство, откриващо фишинг.
Най-голямата в света компания за регистрация на интернет домейни, GoDaddy, е тествала по „интересен“ начин уменията на служителите си да разпознават фишинг:
В средата на декември 2020 г. персоналът е получил по имейл уведомление за еднократен празничен бонус в размер на 650 USD.
Уловката тук е, че съобщението е изпратено след като служителите вече са били уведомени от компанията, че няма да получат годишни бонуси.
Необходимо е организациите да провеждат адекватни и регулярни вътрешни обучения на служителите си, за да може те да разпознават фишинг атаки, както и други киберзаплахи
В момента милиарди хора работят отдалечено, много от тях правят това за първи път в живота си. Внезапната промяна завари много компании и отдалечени работници неподготвени да се справят с най-новите кибератаки.
Зад Microsoft (19% от всички опити за фишинг в световен мащаб) са: DHL (9%), Google (9%), PayPal (6%), Netflix (6%), Facebook (5%), Apple (5%), WhatsApp (5%), Amazon (4%) и Instagram (4%).
Анализът на Check Point също така е установил, че 44% от всички фишинг атаки са извършени през имейл, следват уеб-атаките (43%) и тези през мобилен телефон (12%). Повече за фишингът, като най-популярен метод за кибератаки, може да прочетете тук.
За да разпространят злонамерения софтуер, хакерите създават спам кампании, маскирани под формата на имейли за фактури, покани, информация за плащане, информация за доставка, гласови съобщения и др. В тези имейли обикновено са включени прикачени файлове на Word и Excel или връзки към тях, които при отваряне и активиране на макросите ще инсталират опасен/зловреден софтуер на компютъра на жертвата.
По подразбиране, макросите са забранени в MS Office, и поради тази причина от жертвата се изисква да кликне върху бутоните „Активиране на редактирането“ (Enable Editing) или „Активиране на съдържанието“ (Enable Content), за да разреши изпълнението им. Това, разбира се, не трябва да правите!
НЕ активирайте макросите на прикачените файлове!
За да прилъжат потребителите да щракнат върху тези бутони обаче хакерите използват различни тактики.
Една от тях е прикачване на Word и Excel файлове с видимо „счупени“ текстове и/или изображения. Хакерите визуализират предупреждения, че има проблем с показването на документа и приканват потребителите да кликнат на бутоните за Активиране на съдържанието или Активиране на редактирането, за да видят „правилната“ визуализация на съдържанието.
Комбинациите от текст и изображения в тези злонамерени прикачени файлове се наричат „документни шаблони“. По-долу са представени различни шаблони на документи, които са били използвани в кампании за изпращане на нежелана поща (SPAM) за някои от по-широко разпространените инфекции със зловреден софтуер.
Трябва да се отбележи, че тези т.нар. „темплейти“ могат да се използват и със зловреден софтуер, различен от тези, описани по-долу. Освен това, тук ще видите само примери за по-често срещаните темплейти, а в реалния живот може да с сблъскате с много други, подобни на тях.
BazarLoader
BazarLoader е злонамерен софтуер, таргетиращ различни по вид и размер компании, разработен от групата, която стои зад създаването на троянския кон TrickBot. Когато бъде инсталиран, хакерите използват BazarLoader / BazarBackdoor за отдалечен достъп до вашия компютър, който след това се експлоатира за компрометирането и на останалата част от фирмената мрежа.
След инфектирането на мрежата с BazarLoader, най-често се стига до заразяване с криптовируса Ryuk, който криптира начин цялата информация и искаа откуп за декрептирането й.
Фишинг имейлите, които разпространяват BazarBackdoor, обикновено съдържат връзки към предполагаеми документи, хоствани в Google Docs и Google Sheets. При зареждането им, се вижда предупреждение за „проблем с визуализацията“ и подканване за изтегляне на документа. След клик обаче всъщност не изтегляте какъвто и да било документ, а изпълним файл, който инсталира Bazar Loaded, както е показано по-долу.
Разширението на файла (.exe) не е сред официалните файлови разширения за Word документи .
Dridex
Dridex е усъвършенстван троянски кон, разполагащ с най-различни непрекъснато актуализирани модули. Забелязан е като инструмент, таргетиращ банкови институции, за първи път през 2014 г.
След заразяване с Dridex, той ще изтегли различни модули, които могат да се използват за кражба на пароли, осигуряване на отдалечен достъп до компютър или извършване на други злонамерени дейности.
За разлика от други кампании за разпространение на злонамерен софтуер, групировката Dridex обикновено използва по-стилизирани шаблони за документи, които показват малко или замъглено съдържание и ви подканват да щракнете върху „Активиране на съдържанието“, за да го видите по-добре.
Например в шаблона по-долу се посочва, че документът е трудно четим, защото е създаден на по-стара версия на Microsoft Office Word.
Dridex: шаблон „примерен остарял Word файлов формат“.
Dridex използва и по-стилизирани шаблони за документи, представящи се за информация за доставка от DHL и UPS.
Dridex: шаблон „Фалшива информация за доставка от DHL.
Разбира се няма как да се пропусне „класиката“ в жанра, а именно – фактури за плащане. Първоначално те са трудно четими, докато не щракнете върху „Активиране на редактирането“, за да го видите “правилно”.
Dridex: шаблон „фалшива фактура от Intui
Както можете да видите от примерите по-горе, от Dridex обичат да използват изображения на вградени документи с фирмени лога и бланки, за да подмамят потребителите да активират макросите.
Emotet
Emotet е най-широко разпространеният зловреден софтуер чрез фишинг имейли, съдържащ злонамерени Word или Excel документи. Веднъж инсталиран, Emotet ще открадне имейла на жертвата и ще използва заразения компютър, за да изпрати спам към други получателите от цял свят.
Потребителите, заразени с Emotet, в крайна сметка ще бъдат след това отново заразени с троянски коне като TrickBot и QakBot. И двата вида троянски коне се използват за кражба на пароли, бисквитки, файлове и водят до компрометиране на цялата мрежа на организацията.
След инфектиране на мрежата с TrickBot, най-вероятно ще се използват криптовирусите Ryuk или Conti за криптиране на информацията. Засегнатите машини с инсталиран QakBot могат да бъдат инфектирани от криптовируса ProLock.
За разлика от Dridex, Emotet не използват изображения на действителни документи в техните темплейти. Вместо това те включват широка гама от шаблони, които показват предупредително поле, че документът не може да се визуализира правилно, и че потребителите трябва да кликнат върху „Активиране на съдържанието“, за да го прочетат.
Например шаблонът „Red Dawn“, показан по-долу, гласи, че „Този документ е защитен“ и след това ви подканва да разрешите съдържанието (Enable content), за да го прочетете.
Emotet: шаблон „Този документ е защитен.
Следващият шаблон гласи, че не може да бъде отворен правилно, тъй като е създаден на „iOS устройство“.
Emotet: шаблон „Създаден на iOS устройство.
Според този шаблон, документът е създаден на „Windows 10 Mobile“, което е странно съобщение, при положение че Windows 10 Mobile е спрян от известно време.
Emotet: Шаблон „Създаден на Windows 10 mobile
Това може би е един от най-легитимно изглеждащите шаблони, твъдейки че документът е в „Защитен изглед“ и потребителят трябва да кликне върху „Активиране на редактирането“, за да го визуализира правилно.
Emotet: шаблон „Защитен изглед“.
Следващият шаблон е малко по-интересен, тъй като казва на потребителите да приемат лицензионното споразумение на Microsoft, преди да могат да видят документа.
Emotet: Шаблон „Приемане на лицензионното споразумение“
Друг интересен шаблон се представя като съветник за активиране на Microsoft Office, който подканва потребителите да активират редактирането, за да завършат активирането на Office.
Emotet: шаблон „активиране на MS Office.”
Emotet също така е известен с това, че използва темплейт, който се представя за съветник за преобразуване на Microsoft Office.
Емотет: шаблон „Съветник за трансформиране на Microsoft Office.”
Както можете да се убедите от екранните снимки по-горе, вместо стилизирани шаблони на документи, Emotet използва общи предупреждения, за да се опита да убеди потребителите да активират макросите в прикачения файл.
QakBot
QakBot или QBot е също троянски кон, насочен основно към банковия сектор. Той се разпространява чрез фишинг кампaнии, съдържащи зловредни Microsoft Word документи като прикачени файлове.
QakBot също съдържа различни модули и има способността да краде банкова информация, да инсталира друг зловреден софтуер или да осигури отдалечен достъп до заразената машина.
Както други троянски коне, описани в тази статия, QakBot също си партнира с криптовируса ProLock, който е финалната фаза на атаката (криптиране на информацията).
В сравнение с Emotet, SPAM кампаниите на QakBot използват по-стилизирани темплейти. Най-често използваният шаблон се представя, че е от DocuSign, както е показано по-долу.
QakBot: шаблон “DocuSign.”
Другите шаблони имитират Microsoft Defender или екран за актуализация и активиране на Word, като този по-долу.
QakBot: шаблон „Грешка при актуализация и активиране на Word. “
Блокиране на изпълними прикачени файлове
За да избегнете появата на гореописаните екранни снимки на вашият десктоп, никога не отваряйте прикачени файлове с разширение .vbs, .js, .exe, .ps1, .jar, .bat, .com или .scr. , тъй като тези разширения могат да изпълняват програми/команди на вашият компютър.
Повечето имейл услуги като Office и Gmail блокират изпълнимите прикачени файлове, но злонамерените лица са намерили изход и от тази ситуация. Все по-често се наблюдава към SPAM имейлите да се добавя прикачен файл с парола, като самата парола е упомената в съобщението. По този начин съдържанието не се сканира/блокира и достига своята крайна цел.
Примерен прикачен файл с .jar разширение.
За съжаление, Microsoft реши да скрие разширенията на файловете по подразбиране, което позволява на злонамерените лица да подлъжат потребителите да отворят опасни (изпълними) файлове.
Фишинг имейлите са едни от най-често използваните вектори за атака, целящи компрометирането на вътрешната инфраструктура. Причините за това са доста и въобще не са необясними: човешкият фактор е най-подценяваният, а също и най-лесно експлоатираният вектор в една инфраструктура. Докато на ниво сървъри и системи могат да се приложат различни и разнообразни мерки за сигурност, от гледна точка на човешкият ресурс доказано най-добрият подход са регулярните обучения на персонала.
В повечето случаи обаче те липсват или ако ги има се силно подценени и са по-скоро фиктивни. Именно поради тази причина злонамерените лица използват SPAM съобщения и все повече се стремят да заблудят крайният потребител, като например добавянето на reCaptcha на техния фишинг сайт. След като компрометират машината и си осигурят достъп до вътрешната система, атакуването на важните и критични системи става много по-лесна и постижима задача. Примерите са не един или два.
Някои общо валидни препоръки, с които може да намалите шанса да бъдете фишнати са:
Имплементиране на решение, което да сканира входящата поща за зловредни прикачени файлове и за нежелана поща (SPAM).
Добавяне на двуфакторна автентикация – По този начин дори някой от потребителите да си въведе потребителското име и паролата във фишинг страницата, те няма да свършат кой знае каква работа на злонамерените лица ако не е наличен вторият фактор за завършване на удостоверяването.
НЕ отварайте и НЕ кликайте върху писма и линкове от непознати податели !
Интернет е широк и измамници дебнат навсякъде. Ежедневно се сблъскваме с все по-креативни и непознати до този момент методи за измама. Еднo от най-популярните средства за кибератака е фишингът. Ако се питате защо – потребителите често го подценяват и това дава огромни възможности на киберпрестъпниците.
Основната им цел – чрез тази атака искат да заблудят потребителя и да откраднат идентификационни данни, данни за банкови сметки и карти или друга лична информация.
Възможностите са много – от репликиране на името на компания (както примера по-долу) до подмяна на банковата сметка, към която изпращате определена сума, следвайки напълно познат и достоверен за вас процес.
Първата измама касае по-скоро търговците. Те са таргетирани с имейл предложение за промотиране на обявите им с цел показването им на по-предно място в сайта. Оферта, която се предлага напълно легитимно и от самия сайт.
Измамното съобщени предлага промотиране и заглавна позиция на цена от 1.40 лв. – доста под обявените в сайта от 4.80 лв. до 20.99 лв.
Киберпрестъниците залагат на факта, че привлечени от цената потребителите ще се подлъжат ще кликнат върху линка в писмото. След това обаче ще бъдат пренасочени към сайт, в който да въведат данните за кредитната или дебитната си карта, за да заплатят за услугата.
Дотук всичко изглежда нормално. Интересното започва след потвърждението на танзакцията. Ако имате двуфакторна автентикация на картата си, ще видите, че заявката за плащане вместо за 1.40 лв. е за доста по-високата сума от 279 EUR.
Атакуващите разчитат на рутинните ни действия, а миг невнимание от наша страна може да ни струва доста скъпо в случая. Потвърдите ли транзакцията с кода, който сте получили, парите ви отиват в чужда сметка, а не към OLX.bg. Съответно – обявата ви няма да бъде промотирана и вие ще сте поредната жертва на онлайн измама (каквато ще бъдете и в случай, че нямате двуфакторна автентикация за плащане с картата си – тогава сумата ще бъде удържана директно).
И между другото – методът е изключително добре таргетиран, срещу потребители на OLX, които имат повече от една добавена обява в сайта
Прекалено съобразителен клиент
Вторият сценарий, на който се натъкнахме през последните седмици, е насочен отново към търговци в платформата, които са оставили имената и телефона си за контакт в случай на интерес към обявата ви.
Някои от тях получават съобщение чрез Viber във връзка с интерес за покупка. Някой желае да закупи предлаганата от вас стока, но иска тя да му бъде изпратена по пощата. Този метод на изпращане не дава възможност за наложен платеж, затова получавате друго предложение от страна на запитващия – той ще организира плащането и куриер ще дойде лично до вас, за да вземе пратката. Изпраща ви линк, в който твърди че е започнал да извършва паричния превод, но за да го завърши са необходими и данните за вашата карта.
Тук е момента, в който атакуващите се възползват отново от рутината и невниманието ни. За да се осъществи паричен превод към дадена сметка е необходим индивидуален IBAN номер на тази сметка. Въвеждането на уникалните номера на дебитна или кредитна карта се извършва когато потребител извършва плащане с нея, а не когато получава превод.
Ако не обърнете внимание на това, че адресът, който ви е изпратен не е на официалния сайт на куриерската фирма и в бързината въведете данните си, то те стават собственост и на атакуващите. След минути получавате съобщение за потвърждение на транзакция, направена от вашата лична сметка.
Тази транзакция не е направена от вас, а от киберпрестъпниците, които са откраднали вашите данни и целта им е да изтеглят пари от сметка ви, като ги изпратят на себе си. Вие сте измамен!
Какво знаем за този метод?
Собственикът на сметката, към която се изпращат парите не е куриерска фирма
Домейнът на атакуващите е регистриран преди 3 дни в Русия
Методът е таргетиран към потребители на OLX, който имат активни обяви, добавени в сайта
Как да се предпазите?
Подобни атаки не са нещо уникално – и не са ограничени само до OLX. Киберпрестъпниците не се свенят да използват имена на легтимни компании, за да прилъжат жертвите си.
Препоръката ни към вас е да не се осланяте на шанса, а да вземете следните превантивни мерки:
Бъдете внимателни и наблюдателни от чие име получавате имейл, дали съдържащият се линк води към официалния сайт и дали това е истинското име на домейна.
Не се доверявайте на никого в интернет и проверявайте легитимността на каналите, по които изпращате или получавате парични преводи.
Активирайте двуфакторна автентикация и SMS уведомления за всяка транзакция, направена от и към вашата сметка; бъдете внимателни каква е сумата на трансфера, който потвърждавате и дали вие сте го извършили.
Сигнализирайте на банката си, за да може тя да реагира навреме и евентуално да откаже прехвърляне на потенциално откраднатите пари.
Не бързайте и винаги преглеждайте внимателно всички детайли, щом осъществявате или получавате паричен превод чрез интернет.
Преди да се съгласите да актуализирате обява в сайт, помислете дали в последните месеци сте добавяли такава.
За да изглеждат още по-достоверни, съвременните фишинг сайтове използват Captcha – инструменти за засичане и спиране на ботове. Поне с такива са оборудвани зловредни копия на сайтове в една от поредните кампании, насочени към потребители на Microsoft Office.
Сигурни сме, че сте ги виждали – Captcha и подобните инструменти могат да бъдат под формата на чекбокс, да искат от вас да откриете всички светофари или автомобили в поредица размазани изображения или да сметнете проста математическа задача. Целта им: да предотвратят автоматизираното попълване на форми – както за коментари, така и за изпращане на съобщения и др. посредством различни скриптове.
Как работи измамата
Хакерите са заложили именно на тази реална проверка за сигурност, за да изглежда достъпа до създадените от тях фалшиви страници по-реалистичен. Освен това, добавянето на Captcha прави сайтовете им по-трудно откриваеми за автоматизирани решения за сигурност, които проверяват за фишинг.
В откритата напоследък кампания, за която съобщава Menlo Security, се използва не една, а цели три вида Captcha инструменти. Първоначално жертвите получават фалшив имейл, който изисква да ресетнат паролата си за Microsoft Office. След като кликнат върху връзката, трябва да преминат три отделни Captcha проверки, преди да бъдат помолени да въведат информацията за акаунта си в Microsoft Office. И след като го направят – данните им са откраднати.
Как да се предпазите
Бъдете подозрителни към всеки получен имейл за възстановяване на парола, който не сте поискали. Задръжте курсора на мишката върху съдържащия се линк (без да кликате) и проверете дали води към официален уебсайт – ако това не е така, игнорирайте съобщението и го изтрийте.
Не споделяйте данните си за достъп до акаунти, социални медии и други чувствителни приложения извън официални страници за вход.
Използвайте двуфакторна автентикация. Дори хакерите по някакъв начин да откраднат вашата парола, те ще се нуждаят от физически достъп до смартфона ви, за да ви хакнат.
На 11 август 2020 г. много испанци са получили имейли, които твърдят, че са изпратени от Agencia Tributaria (официалната данъчна агенция на Испания – еквивалент на НАП).
В тях се иска от получателя да изтегли .zip архив, който уж съдържа дигитална данъчна разписка. Всъщност линкът пренасочва към домейн, който е регистриран в същия ден, 11 август, в Бразилия! Атаката е разкрита от ESET.
Целта на подобни фалшиви съобщения е да ви примамят да отворите прикачения файл, архив или линк и така, без да разберете, да дадете на атакуващия достъп до вашия компютър. Подобни атаки от името на НАП имаше и в България още през 2016 г. – повече прочетете тук, тук и тук.
Не кликайте върху линкове, освен ако не сте абсолютно сигурни в произхода на съобщението. Бъдете особено внимателни, когато подателят е държавна агенция или банка – точно тези органи, за добро или лошо, все още разчитат най-вече на официалната кореспонденция на хартия и рядко биха изпратили важна информация по имейл.
„Важно съобщение. оправете проблеми с получаването на писма. Входящи съобщения до вас не са били доставени!“
Такова е част от предупредителен имейл, получен на 19 август 2020 г. от всички членове на екипа, отговарящ за киберсигурността на Sophos.
За специалистите веднага става ясно, че съобщението не е генерирано автоматично от собствената им имейл система. Все пак те споделят, че подобен phishing би могъл да заблуди дори информирания потребител в края на натоварен ден.
Проведеното разследване е показало, че инструкциите за „оправяне“ на проблема с входящата поща, отвеждат потребителя до фалшива страница. Тя имитира уеб-приложението на Outlook. Целта й – кражба на акаунта (потребителско име и парола) на потребителя.
Съветите на специалистите за избягване на подобен спам:
Винаги проверявайте линковете, преди да кликнете върху тях
Обръщайте внимание на URL адреса на страницата, преди да въведете данните си за достъп
Като правило, избягвайте достъпа чрез линкове, които сте получили в имейл
Използвайте двуфакторна автентикация
Никога не изключвайте и не променяйте настройките си за сигурност, само защото имейл съобщение ви приканва да го направите
Веднага променете паролите си ако се съмнявате, че може да сте жертва на phishing
