кибератаки

Когато става дума за кибератаки, никой не е застрахован. Дори най-големите експерти по киберсигурност.

Последният пример за това дойде миналата седмица. Създателят на Have I Been Pwned Трой Хънт разкри, че е станал жертва на една от най-старите измами в онлайн света – фишинг. Чрез автоматизирана атака, маскирана като известие от доставчика на бюлетини Mailchimp, измамниците са откраднали около 16 000 записа на настоящи и предишни абонати на блога му. Те включват имейл адреси, статуси на абонамент и IP адреси, както и данни за географската ширина и дължина.

Добрата новина е, че Хънт все пак незабавно е успял да разкрие атаката. Той описва случая 34 минути след като е станал жертва.

Какво се случва?

На 25 март Хънт получава фишинг имейл от името на Mailchimp. През платформата той изпраща по електронната поща новите материали от блога си на абонираните читатели. В имейла се твърди, че Mailchimp временно прекъсва услугата му, защото  е получила оплаквания за спам.

Фишинг имейлът е бил с убедителен дизайн и е заплашвал с последствия, ако получателят му не предприеме действия. Но, както казва Хънт, „преди това съм получавал милиарди подобни фишинг имейли, които съм идентифицирал рано“. Този път обаче хакерите успяват.

Едно от нещата, които карат Хънт да се замисли, е, че когато се опитва да влезе в профила си в Mailchimp през фишинг имейла, мениджърът му за пароли не попълва автоматично данните за профила му. Това не е червен флаг за пробив, но е хубаво да се има предвид.

След като осъзнава грешката си, Хънт веднага сменя паролата си и свързва с Mailchimp, за да помогне за изтриването на API ключа на измамника. След това той проверява дали уебсайтът, към който е бил насочен при фишинг атаката, е бил изключен.

Не на последно място, Хънт добавя информацията за пробива в списъка си в сайта Have I Been Pwned (HIBP). Платформата помага на хората да разберат дали са били жертва на нарушение на сигурността на данните.

„Когато разговарям с компании, които са нарушили сигурността на данните, моето послание е кристално ясно: бъдете прозрачни и експедитивни в докладването на инцидента и дайте приоритет на комуникацията с клиентите си“, казва Хънт. „Ако направя нещо по-малко от това, ще бъде лицемерно, включително и по отношение на начина, по който след това обработвам данните от нарушението, а именно добавянето им към HIBP“.

Бъдете внимателни за всякакви опити за фишинг, използващи данните от Have I Been Pwned като примамка.

Хакерите все по-често насочват фишинг кампаниите си към надеждни онлайн услуги за споделяне на документи. По този начин те заобиколят защитените платформи за електронна поща и успяват да откраднат потребителските креденшъли.

През 2024 този тип услуги са били обект на 8,8% от всички фишинг кампании, сочи проучване на Cofense Intelligence. 79% от анализираните случаи са включвали опити за кражба на креденшъли.

Сред най-често атакуваните са:

• Dropbox (25,5%) – най-използваната, тъй като фишинг файловете остават онлайн по-дълго заради големия трафик;
• Adobe (17%) – използват се главно за изпращане на злонамерени PDF файлове;
• SharePoint (17%) – нападателите се представят за колеги или бизнес партньори;
• DocuSign (16%) – често се използва при фишинг кампании, свързан с човешките ресурси, и в 6% от фишинг атаките с QR код;
• Google Docs (11%) – разпространение на зловреден софтуер чрез вградени връзки;
• Canva (9%) – фишинг чрез споделяне на PDF и мултимедия;
• Zoho (4%) – значителен скок на злоупотребите през декември 2024 до началото на 2025.

Някои от тези услуги автоматично изпращат известия на потребителите, когато даден документ е споделен, което допълнително легитимира опита за фишинг.

За да се предпазят, организациите и физическите лица трябва да въведат допълнителни нива на сигурност. Те включват:

• обучение на потребителите;
• инструменти за поведенчески анализ;
• MFA.

Мониторингът на подозрителни дейности при споделяне на документи също може да помогне за откриване на опити за фишинг, преди те да доведат до нарушаване на сигурността на данните.

От втората половина на 2024 г. насам все по-често се наблюдават атаки, при които нападателите използват фалшиви CAPTCHA. Чрез тях те подмамват потребителите да изпълнят злонамерени PowerShell команди и заразяват системите им със зловреден софтуер.

Тези сложни тактики за социално инженерство използват доверието на потребителите и доставят Lumma Stealer, способен да извлича информация за портфейли с криптовалути и други чувствителни данни.

Атаката се развива така:

• потребителите се примамват към злонамерени уебсайтове чрез уеб реклами, SEO hijacking или пренасочване от други компрометирани страници;
• злонамерените уебсайтове показват фалшиви CAPTCHA тестове, които изглеждат легитимни, тъй като копират разпознаваеми интерфейси;
• когато потребителите щракнат върху бутона „Не съм робот“, във фонов режим се изпълнява злонамерен JavaScript код. Той тайно копира PowerShell команда в клипборда на потребителя.

След това потребителят е инструктиран да отвори прозореца за изпълнение на Windows с помощта на клавишната комбинация WIN+R и да постави съдържанието с CTRL+V. По този начин той несъзнателно изпълнява зловредния код.

Тази сложна техника позволява на нападателите да заобиколят традиционните механизми за сигурност. Те използват легитимни действия на потребителя, за да инициират процеса на заразяване.

Киберпрестъпник с име „rose87168“ твърди, че е откраднал шест милиона записа от сървърите на Oracle Cloud. Според него пробивът засяга над 140 000 наематели на облачни услуги в световен мащаб.

Откраднатите данни включват:

• Java Key Store (JKS) файлове;
• криптирани пароли за Single Sign-On (SSO);
• хеширани пароли на Lightweight Directory Access Protocol (LDAP);
• ключове на Enterprise Manager Java Platform Security (JPS).

Хакерът твърди, че се е възползвал от уязвимост в инфраструктурата за влизане в Oracle Cloud – login.( име на регион).oraclecloud.com. Този поддомейн е хоствал остарял софтуер Oracle Fusion Middleware, податлив на атака чрез известна уязвимост в Oracle Access Manager.

Откраднатите записи се рекламират във форуми в Dark Web, включително Breach Forums. Rose87168 иска плащане на откуп от засегнатите организации, за да не продава или разкрива техните данни.

Oracle отрича твърденията за пробив в своята облачна инфраструктура. В изявление, публикувано на 21 март 2025 г., компанията твърди, че не са били компрометирани никакви данни на клиенти.

Все пак, ако вашата организация използва Oracle Cloud, ви препоръчваме:

• Смяна на идентификационните данни: Променете всички SSO, LDAP и свързани с тях пароли, като приложите силни комбинации и MFA;
• Наблюдавайте системите: Внедрете инструменти за мониторинг на сигурността, за да откриете в зародиш неоторизиран достъп или необичайна дейност;
• Ангажирайте се с Oracle: Обърнете се към доставчика на облачната инфраструктура и потърсете съвети за защита на системите;
• Засилване на сигурността: Въведете строг контрол на достъпа и подобрени механизми за регистриране на потребителите.

Този пробив подчертава нарастващата сложност на кибератаките, насочени към облачни среди. Той подчертава значението на редовните актуализации на софтуера, проактивното наблюдение на заплахите и надеждните мерки за сигурност за намаляване на рисковете.

Mрежите за киберпрестъпления стават все по-свързани с национални държави и засилват атаките си с помощта на изкуствен интелект.

Това твърди Европол в новия си доклад „2025 EU Serious and Organised Crime Threat Assessment“ – EU-SOCTA. В него се описват подробно заплахите срещу държавите и организациите в ЕС, идващи от организираната престъпност, включително в киберпространството.

Правоприлагащата агенция изтъква няколко тенденции, които поставят сериозни предизвикателства пред индустрията за киберсигурност.

„Хибридни зловредни актьори“ и престъпници формират сенчести съюзи

Една от тези тенденции е появата на т.нар. от Европол „хибридни зловредни актьори“. Те използват мрежи за киберпрестъпления за постигане на политически цели срещу други държави. Според доклада това излага ЕС на риск от дестабилизация.

В същото време технологичен напредък – особено в областта на AI – променя начина, по който се организират, изпълняват и прикриват престъпленията.

„Някои държави предоставят убежище на престъпниците в замяна на техните услуги, като им позволяват да действат свободно, без да се страхуват от съдебно преследване“, се казва в EU-SOCTA. „Това също така позволява на тези държави да отричат прякото си участие. Те възлагат определени престъпления като кибератаки, кампании за дезинформация или дори пране на пари на престъпни мрежи“.

Освен това аутсорсингът на атаки към престъпни мрежи със съществуваща инфраструктура е по-рентабилен подход за „хибридни зловредни актьори“. Престъпните мрежи, от своя страна, получават достъп до „най-съвременни инструменти“. Те могат да се използват извън подкрепяните от национални държави атаки, което се превръща в сериозна заплаха за организациите.

Злоупотреба с GenAI, LLM и Deepfake

Друга тенденция, която Европол изтъква, е засилването на престъпната дейност чрез нововъзникващи технологии, по-специално AI. Агенцията подчертава, че генеративният изкуствен интелект (GenAI) е понижил бариерата за навлизане в киберпрестъпността. Той позволява на хакерите да създават по-ефективни фишинг имейли и да автоматизират мащабни атаки.

„Системите, управлявани от изкуствен интелект – LLM, GenAI и др., стават все по-усъвършенствани и удобни за ползване. Престъпните мрежи все повече използват техните възможности в широк спектър от престъпления“, се посочва в доклада.

Киберпрестъпниците използват AI и за създаване на изключително убедителни deepfake за различни атаки и измами. С помощта на изключително реалистични синтетични медии, те са в състояние да заблуждават жертвите, да се представят за висшестоящи лица и да дискредитират или изнудват целите.

„Добавянето на гласови клонинги и видеофайлове, задвижвани от AI, засилва заплахата. Te дават възможност за нови форми на измама, изнудване и кражба на самоличност“, предупреждават от Европол.

Malware кампания, наречена DollyWay, е компрометирала над 20 000 WordPress страници в глобален мащаб.

Тя функционира от 2016, но постоянно се развива, като използва все по-усъвършенствани стратегии за избягване на откриването, повторно заразяване и монетизиране.

Според GoDaddy в последната си версия кампанията действа като мащабна система за пренасочване към зловредни сайтове. В миналото тя е разпространявала вредни полезни товари като ransomware и банкови троянски коне.

Към февруари 2025 DollyWay е генерирала 10 милиона измамни импресии месечно. Тя е пренасочвала посетителите на WordPress сайтове към фалшиви платформи за запознанства, хазарт, крипто и лотарии. Това се случва въз основа на различни аспекти като местоположение на потребителя, тип устройство и т.н.

DollyWay е много устойчива заплаха, която автоматично заразява отново сайта при всяко зареждане на страница, което прави премахването ѝ особено трудно. Тя постига това, като разпространява своя PHP код във всички активни плъгини. Също така добавя копие на плъгина WPCode, който съдържа фрагменти от зловреден софтуер.

Подробности за кампанията и как да разберете, че сайтът ви е заразен, можете да намерите ТУК.

Все повече безплатни онлайн услуги за конвертиране на файлове разпространяват зловреден софтуер.

Киберпрестъпниците предлагат всякакъв вид популярно конвертиране, за да привлекат жертвите. Най-често използваното е от .doc в .pdf и обратно. Има и сайтове, които предлагат комбиниране на няколко изображения в един .pdf файл.

Най-опасното е, че тези платформи на практика работят и изпълняват задачата, възложена им от жертвата. Но на заден план тяхната система крие зловреден софтуер във файла, който потребителя изтегля. След това той краде различни видове информация. Тя може да включва лични и финансови данни, пароли и токени за сесии, които позволяват заобикаляне на MFA, както и имейл адреси.

Съществуват няколко възможни сценария:

• нападателите насърчават жертвите да изтеглят даден инструмент на устройството си, за да извършат конвертирането. Това обаче е зловреден софтуер;
• препоръчват инсталирането на разширение на браузъра, което да използвате занапред. Тези разширения често са browser hijacker или adware;
• конвертираният файл съдържа зловреден код, който изтегля и инсталира При отваряне на файла, той заразява устройството.

Наличието на активна защита от зловреден софтуер на вашето устройство и разширенията за браузър, които блокират злонамерени сайтове, могат да ви помогнат да се предпазите. Но ако подозирате, че може вече да сте станали жертва:

• незабавно се свържете с финансовите си институции. Работете с тях, за да предприемете необходимите стъпки за защита на самоличността и сметките си;
• променете всичките си пароли. Направете го през чисто, надеждно устройство.

Ето някои от зловредните платформи, които предлагат конвертиране на файлове:

• com (фишинг);
• Сonvertitoremp3.it (зловреден софтуер);
• Convertisseurs-pdf.com (зловреден софтуер);
• Ccom (фишинг);
• Convertix-api.xyz (троянски кон);
• Ccom (adware);
• Fcom (зловреден софтуер);
• Pcom (зловреден софтуер);
• com (зловреден софтуер);
• org (зловреден софтуер).

През изминалата година е регистриран рязък ръст на фишинг атаките, базирани на браузър.

Според нов доклад на Menlo Security увеличението на годишна база – между 2023 и 2024 – е 140%. Основните причини за тази тенденция са възходът на фишинг техниките, базирани на AI, и използването на корпоративните браузъри.

Киберпрестъпниците все повече се фокусират върху тях като основен вектор на атака. Те заобиколят традиционните мерки за сигурност чрез сложни техники, социално инженерство и Zero day уязвимости. Ръстът на фишинг атаките от типа Zero day е 130%.

В доклада се подчертава и рязкото увеличаване на фишинг кампаниите за кражба на креденшъли. Те често се маскират като надеждни корпоративни приложения или наложени брандове, за да подмамят жертвите да предоставят чувствителна информация.

Нападателите се възползват и от големия обществен интерес към GenAI. Те имитират популярни платформи, залагайки на любопитството на потребителите и доверието им в авангардните технологии.

Злоупотребите с услуги на Cloudflare за фишинг са скочили значително – със 104%. Използването на фишинга-като-услуга (PhaaS) също нараства.

За да се предпазят, организациите и потребителите трябва да предприемат проактивни мерки за сигурност:

• решенията за сигурно сърфиране в облака могат да изолират дейността на потребителите от корпоративните мрежи. По този начин се предотвратява компрометирането на системите от злонамерено съдържание;
• инструментите за откриване на заплахи с помощта на AI могат да помогнат за идентифицирането и неутрализирането на сложни фишинг кампании, преди да причинят щети;
• организациите трябва да възприемат системи за мобилна сигурност в реално време, базирани на AI. Така те ще могат да откриват и блокират фишинга, преди потребителите да бъдат компрометирани.

Разчитането на остарели защити вече не е достатъчно – сигурността трябва да се развива толкова бързо, колкото и заплахите.

Над 300 приложения за Android, изтеглени 60 милиона пъти от Google Play, действат като adware или инструменти за кражба на креденшъли и информация за кредитни карти.

Според IAS Threat Lab те са обединени в кампания, наречена Vapor, стартирала в началото 2024 г.

Въпреки че всички тези приложения са били премахнати от магазина на Google, съществува риск Vapor да се завърне чрез нови такива. Причината – нападателите вече са демонстрирали способността си да заобикалят процеса на преглед на технологичния гигант.

Приложенията предлагат различни специализирани функционалности – проследяване на здравето, водене на бележки и дневници, оптимизатори на батерията, скенери за QR кодове и др. Те не съдържат злонамерени компоненти към момента на изпращане за проверка. Вместо това зловредната функционалност се изтегля след инсталиране чрез актуализации, доставени от C2 сървъри.

Сред най-често изтегляните зловредни приложения в кампанията са:

• AquaTracker – 1 милион изтегляния;
• ClickSave Downloader – 1 милион изтегляния;
• Scan Hawk – 1 милион изтегляния;
• Water Time Tracker – 1 милион изтегляния;
• Be More – 1 милион изтегляния;
• BeatWatch – 500 000 изтегляния;
• TranslateScan – 100 000 изтегляния;
• Handset Locator – 50 000 изтегляния.

Пълният списък на всички 331 злонамерени приложения, качени в Google Play, е достъпен ТУК.

За да се предпазите от подобни кампании:

• избягвайте инсталирането на ненужни приложения от неблагонадеждни издатели;
• проверявайте внимателно предоставените разрешения: Settings → Apps → See all apps (Настройки → Приложения → Виж всички приложения);
• ако откриете, че сте инсталирали някое от тези приложения, незабавно ги премахнете. Направете пълно сканиране на системата с Google Play Protect.

 

Потребителите на една от най-използваните електронни пощи у нас – ABV.bg – са обект на нова фишинг атака.

Нападателите подлъгват жертвите си с имейл, който гласи:

„Dear …@abv.bg,

Заявка за затваряне на имейл, открихме необичайна дейност във вашия акаунт и от вас се изисква да потвърдите информацията за сигурността на вашия акаунт.

За да избегнете ограничаване или блокиране на вашия акаунт днес, просто щракнете върху адреса по-долу, за да започнете упражнението си за проверка

Login/ABV/mail/unlock/validation/excercise/w“.

За да не загубите профила си, не забравяйте, че ABV.bg никога не изпраща подобни имейли. Платформата не иска от потребителите да потвърждават профилите си през външни линкове.

Организациите, от своя страна, трябва да знаят, че тази платформа не е подходяща за бизнес нужди.