кибератаки

Хакерите вече използват и физически писма, за да извършват кибератаки. Последният пример идва от Швейцария, където потребители са получили поща, съдържаща зловредни QR кодове. При активирането им на устройството на жертвата се изтегля зловреден софтуер. 

Според Швейцарския национален център за киберсигурност писмата се изпращат от името на местната метеорологична служба – MeteoSwiss. Те приканват получателя да инсталира ново „приложение за лошо време“.  

Но сканирането на QR кода инсталира банков троянски кон, известен като Coper или Octo2. Той се предлага по модела „зловреден софтуер като услуга” и има няколко усъвършенствани функции: 

• възможности за превземане на устройства и дистанционното им управление; 

• усъвършенствани техники за замаскиране и избягване на откриването; 

• кражба на входни данни за финансови приложения. 

В Швейцария името на фалшивото приложение е AlertSwiss, но киберпрестъпниците могат да го променят спрямо конкретната държава. 

Използването на QR кодове в обикновена поща предлага на престъпниците няколко предимства. Потребителите рядко очакват, че устройството им ще бъде заразено чрез нещо толкова аналогово като физическо писмо. В същото време QR кодовете обикновено се четат от мобилни устройства. А те все още се пренебрегват, когато става въпрос за инсталиране на софтуер за сигурност. 

Препоръчваме ви да поддържате устройствата си актуализирани. Когато сканирате QR код, трябва да го правите с приложение, което ви показва пълния URL адрес и ви пита, преди да го отвори. Деактивирайте тези, които нямат подобни функции. 

Нова фишинг кампания примамва жертвите с фалшива история за покушение срещу Доналд Тръмп.  

Хакерите използват факта, че имаше реални нападения срещу новоизбрания президент на САЩ. В случая обаче става дума за фалшива новина, която се приписва на New York Times (NYT). Тя описва Тръмп в критично състояние, след като е бил прострелян от ирански агенти. 

За да придадат истинност на историята, киберизмамниците посочват, че информацията е била „класифицирана“. 

След като жертвата кликне, за да види пълния текст на историята, от нея се иска да въведе парола за служебен акаунт. Фишинг формулярът се променя спрямо компанията, в която работи потребителя. При откриването на кампанията от страна на ESET, например, той е използвал нейното лого и цветове. 

От компанията за киберсигурност посочват, че техните продукти откриват и блокират имейлите, скриптовете и URL адресите, включени в тази кампания. Те са уведомила и други доставчици на системи за сигурност. 

Съветваме ви винаги да внимавате с имейли и съобщения, които искат лична информация. Освен това, преди да кликнете върху връзки или да изтеглите прикачен файл, винаги проверявайте задълбочено адреса на подателя.  

Китайска група използва хиляди фалшиви онлайн магазини за кражба на данни от банкови карти в САЩ и Европа.

Кампанията на SilkSpecter започва през октомври 2024 г. и предлага големи отстъпки за предстоящия Black Friday и празничния сезон. Според компанията за киберсигурност EclecticIQ към момента групата оперира с 4695 измамни домейна. Те се представят за добре познати брандове като North Face, Lidl, Bath & Body Works, L.L. Bean, Wayfair, Makita, IKEA и Gardena.

Сайтовете на SilkSpecter са добре проектирани и обикновено носят името на представяната марка, за да изглеждат автентични. Те обаче използват домейни като „.shop“, „.store“, „.vip“ и „.top“, които не са характерни за големите брандове и надеждните онлайн магазини.

В зависимост от географското местоположение на жертвата сайтовете използват Google Translate, за да коригират автоматично езика. Те интегрират Stripe, легитимен и надежден процесор за плащания, което допринася за привидната им надеждност. На практика обаче крадат критична информация за разплащателни карти.

Когато потребител иска да направи покупка, той се пренасочва към страница за плащане. Тя го подканва да въведе номера на кредитната/дебитната карта, датата на валидност и CVV кода. На последната стъпка се изисква и телефонен номер.

Препоръчваме ви да посещавате само официалните уебсайтове на брандовете и да избягват да кликате върху реклами, връзки от публикации в социалните медии или промотирани резултати в търсачката на Google. Активирайте всички налични мерки за защита на финансовите си сметки, включително MFA и следете редовно извлеченията си.

Хакери използват администраторския портал на Microsoft 365 за изпращане на имейли за сексуално изнудване (sextortion).  

Инструментите за сигурност на имейл платформите са станали добри в откриването на този тип измами. През изминалата седмица обаче потребители на LinkedIn и X съобщават, че получават sextortion имейли чрез Центъра за съобщения на Microsoft. Това им позволява да заобиколят филтрите за спам и да попаднат във входящата поща. 

Имейлите са изпратени от „[email protected]“. Това може да изглежда като фишинг адрес, но всъщност е легитимният имейл за изпращане на известия от Microsoft 365. Обикновено те включват съвети за услуги, нови функции и предстоящи промени. 

Ако получите подобно съобщение, никога не отговаряйте и не следвайте указанията в него. В никакъв случай не кликвайте върху прикачените връзки. 

Фалшив AI генератор на снимки и видео заразява Windows и macOS със зловредните софтуери Lumma Stealer и AMOS.  

Той е наречен EditProAI и се популяризира чрез резултати в Google Search и реклами в X, които споделят deepfake политически видеоклипове. 

Lumma Stealer е насочен към Windows, а AMOS – към macOS. И двата крадат информация за криптопортфейли и кредитни карти, идентификационни данни, пароли и история на сърфирането в браузърите. Тези данни се събират в архив и се изпращат обратно към нападателите. Те могат да използват информацията при следващи атаки или да я продадат на други киберпрестъпници. 

Според компанията за киберсигурност g0njxa заразяването протича така: 

• клик върху рекламата отвежда потребителя в сайтовете на EditProAI (editproai.pro за Windows и editproai.org за macOS). Те са направени професионално, за да изглеждат легитимни; 
• бутонът Get Now изтегля изпълним файл, който се представя за приложението EditProAI; 
• зловредният софтуер изпраща откраднатите данни към сървър, контролиран от нападателя. 

Ако вече сте изтегляли тази програма, трябва да считате всичките си запазени пароли, криптопортфейли и удостоверения за компрометирани. Незабавно ги сменете с уникални комбинации за всеки сайт, който посещавате. 

Трябва също така да активирате MFA за всички критични платформи като онлайн банкиране, имейл и финансови услуги. 

Водещите APT групи са променили съществено тактиките си. Правителствените организации остават основна цел на атаките, но се забелязват нови тенденции в използваните инструменти и подходи.

Кампаниите на всички наблюдавани APT групи стават по-сложни. Те се адаптират все по-добре към промените в защитните механизми на целите си.

Това са основните изводи в проучването APT Activity Report на ESET, покриващо периода април-септември 2024.

Останалите тенденции включват:

• увеличена употреба на легитимни инструменти и услуги за злонамерени цели;
• разширяване на географското покритие на дейността;
• засилено внимание към критичната инфраструктура – енергийни мрежи, транспортен сектор, правителствени ресурси, здравни и финансови системи и др.

Китайски APT групи възприемат нови тактики

Няколко китайски APT групи, включително FlaxTyphoon, WebWorm и Gallium, са преминали към използване на отворения софтуер SoftEtherVPN. Той е основен инструмент за поддържане на достъп до компрометираните мрежи. Този подход им позволява да заобикалят защитни стени, като същевременно трафикът им изглежда легитимен.

Групата MirrorFace, известна с атаките си срещу японски организации, за първи път е насочила вниманието си към европейска дипломатическа организация. За целта тя е използвала Световното изложение 2025 в Осака като примамка.

Интересен момент е завръщането на backdoor инструмента NL след 5-годишно отсъствие.

Иран засилва присъствието си в Африка

Групата Muddy Water, свързвана с иранското разузнаване, показва подобрение в офанзивните си способности.

Наблюдава се засилено насочване към африкански финансови институции, което съвпада с търговските интереси на Техеран в Кения, Замбия и Гана.

Израел остава основна цел, като групата проявява особен интерес към транспортния сектор.

Северна Корея: От криптовалути до шпионаж

Групата Lazarus продължава Operation Dreamjob, насочена към отбранителния сектор. Тя използва основно фалшиви предложения за работа. Нова кампания, наречена Deceptive Development, се фокусира върху freelance разработчици с цел кражба на криптовалути.

KimSuki въвежда иновативна техника за злоупотреба с MSC файлове, която впоследствие е възприета и от други групи. Забелязва се засилена употреба на облачни услуги за хостване на примамливи документи и командни сървъри.

Руски групи: Нови играчи и подобрени инструменти

Идентифицирана е нова група, GreenCube, специализирана в кражба на credentials чрез уязвимости в Roundcube webmail. Групата е активна от 2022 г. и се фокусира върху правителствени и отбранителни организации в Гърция, Полша, Сърбия и Украйна.

Gameretin остава най-активната APT група в Украйна. Тя постоянно подобрява инструментите си, включително Terosig за извличане на данни от Signal.

Sandworm продължава да атакува критична инфраструктура в Украйна, демонстрирайки задълбочено познаване на Linux системите.

 

Две нови уязвимости в софтуера Palo Alto Networks Expedition са активно експлоатирани от хакерите, предупреди CISA. Инструментът улеснява миграцията на конфигурации от други доставчици към инфраструктурата на компанията. 

И двете уязвимости са с оценка за критичност над 9. Те позволяват изпълнението на произволни отдалечени команди в Expedition и разкриване на съдържанието на неговата база данни. Това дава неоторизиран достъп до потребителски имена, пароли, конфигурации на устройства и API ключове на защитни стени PAN-OS. 

 Тази новина идва седмица след като CISA откри друга критична уязвимост, засягаща Expedition.  

 Palo Alto Networks се подготвя да пусне пачове за затваряне на тези уязвимости „възможно най-скоро“. Ако използвате софтуера Expedition, следете за пускането им и ги инсталирайте възможно най-бързо. 

Нова вишинг атака подлъгва българските потребители. В тази си кампания измамниците се обаждат от името на полицията.

Потребителят получава обаждане от автоматичен глас, който му казва, че неговата лична карта е замесена в схеми за пране на пари.

Самото съобщение е на английски език. Това предполага, че схемата не е разработена от българска група и все още не е добре прецизирана за местна употреба.

Все още не е ясно и каква е целта на измамата, но вишинг кампаниите обикновено са насочени към:

• финансови измами и разкриване на чувствителна информация като данни за банкови сметки или номера на кредитни карти;
• кражба на самоличност чрез получаване на лична информация и използването ѝ за различни измами;
• кражба на идентификационни данни за сигурност – пароли или ПИН кодове – което да позволи неоторизиран достъп до акаунти или системи;
• социално инженерство

При всички случаи е добре да останете бдителни и предпазливи, когато получавате неочаквани телефонни обаждания. Това въжи в още по-голяма степен, ако те изискват предоставянето на лична или финансова информация. Винаги проверявайте самоличността на обаждащия се по официални канали, преди да споделите чувствителни подробности. Не забравяйте, че законните организации никога няма да ви притискат да предоставите информация незабавно по телефона.

Разследването на усилията на китайското правителство да хакне телеком мрежите на САЩ е разкрило „широкомащабна и значима“ кампания за кибершпионаж. Тя е насочена към кражба на информация от правителствени служители и политически фигури, посочват от ФБР. 

Хакери, свързани с Пекин, са компрометирали мрежите на „множество“ телекоми, за да получат достъп до личните комуникации на „ограничен брой лица“. Те са се опитали да копират „определена информация, предмет на искания от правоприлагащите органи на САЩ съгласно съдебни разпореждания“. 

Предупреждението идва след няколко нашумели инцидента. През септември ФБР обяви, че е прекъснало мащабна китайска хакерска операция, известна като Flax Typhoon. Тя включваше инсталирането на зловреден софтуер на повече от 200 000 потребителски устройства – камери, видеорекордери и домашни и офис рутери.  

„Новините за продължителна хакерска кампания и кибершпионаж, насочени към изборите в САЩ от групи, свързани с Китай, не трябва да са изненада. Те са факт в продължение на десетилетия. Това, което се случва в политическата и икономическата сфера на САЩ, е изключително важно за Пекин и за останалия свят“, посочва в коментар Анди Гарт, директор по правителствените въпроси в ESET. 

По думите му като се насочва към американската администрация, Китай вероятно търси ранна представа за бъдещата политика на САЩ. Освен това Пекин се стреми да идентифицира възможности за упражняване на влияние.  

„Китайските операции по кибершпионаж и други злонамерени дейности срещу интересите на САЩ едва ли ще спрат скоро. Това е предизвикателство, с което американските власти ще трябва да се справят в обозримо бъдеще“, категоричен е Гарт. 

 

Заплахите, свързани с AI, ще се задълбочат през 2025 и ще се появят нови сложни случаи на злонамерена употреба на технологията. 

В същото време supply chain атаките ще се пренасочат от големите доставчици на софтуер към глобално възприетите библиотеки и рамки с отворен код. 

Не на последно място, ще нараснат случаите на кражба на идентификационни данни и използването на infostealer злонамерени софтуери. Това важи и за атаките срещу уязвимости на web3 услуги. 

Това са основните заключения в доклада на Google Cloud Cybersecurity Forecasts 2025. Според него киберпрестъпниците ще продължат да използват AI и LLM за разработване и мащабиране на сложни схеми за социално инженерство. Групите за кибершпионаж пък ще разчитат в по-голяма степен на deepfake като инструмент за кражба на самоличност и заобикаляне на системите за сигурност. 

През 2025 г. LLM ще навлезе по-силно в инструментариума за разработка на зловреден софтуер. Технологията ще играе по-голяма роля и в изследването на уязвимостите и писането на код от страна на хакерите. 

Авторите на доклада очакват също така LLM и deepfake технологиите да захранват повече кампании за манипулиране на информация в социалните медии и дезинформация. 

„2025 е годината, в която AI ще премине от пилотни проекти и прототипи към широкомащабно приемане“, предупреждават авторите на доклада.