кибератаки

Киберпрестъпниците са увеличили използването на домейни-двойници на реално съществуващи такива. По този начин те улеснят различни целеви измами, базирани на социално инженерство, и финансови измами чрез имейл.

Според нов доклад на BlueVoyant този подход е насочен към редица критични сектори – финанси, правни услуги, застраховане и строителство. Атаките са особено трудни за откриване и позволяват на нападателите да разширят видовете организации и лица, към които се насочват.

Домейните-двойници са проектирани така, че да копират автентични домейни, като използват фини промени, за да изглеждат легитимни за жертвите. Обичайните подходи включват използването на визуално сходни символи, като например замяна на „о“ с „0“ или „I“ с „1“, и включване на термини, тясно свързани с марката на клиента. Те могат да бъдат почти точно копие на оригинала.

Най-често наблюдаваните тактики, използващи подобни домейни, включват:

• Измами с фактури: Нападателите се представят за легитимни продавачи или доставчици на услуги. Те предоставят фалшиви фактури, които имат за цел да пренасочат плащанията към сметката на измамника.
• Мним изпълнителен директор: Атакуващите се представят за лица от висшите нива на организацията. Отправят спешни искания за поверителна информация и неразрешени преводи на средства.
• Превземане на акаунт: Нападателят влиза в ролята на представител на дадена компания и иска от клиенти или партньори да проверят чувствителна информация. Целта е превземане на потребителски акаунти или кражба на идентификационни данни.
• Измами с набиране на персонал: Извършва се от името на агенции за набиране на персонал с цел и обявяване на фалшиви свободни работни места. От кандидатите се изисква да споделят лична информация, например номера на лична карта или банкови данни.

За да се защитят, организациите трябва да:

• въведат строг мониторинг на комуникациите си;
• обучат персонала си и партньорите си как да разпознават подобни фишинг тактики.

Хакерите използват директорията mu-plugins (Must-Use Plugins) на WordPress, за да стартират зловреден код на всяка страница, като избягват откриването му.

Техниката е забелязана за първи път от Sucuri през февруари 2025 г. Оттогава насам тя става все по-популярна. Към днешна дата хакерите я използват за стартирането на три различни вида зловреден код:

• redirect.php: Пренасочва посетителите (с изключение на ботове и влезли в системата администратори) към злонамерен уебсайт – updatesnow.net. Той показва фалшив призив за актуализация на браузъра, за да ги подмами да изтеглят зловреден софтуер;
• index.php: Webshell, който действа като задна врата, като извлича и изпълнява PHP код от хранилище на GitHub;
• custom-js-loader.php: Зарежда JavaScript, който заменя всички изображения в сайта и превзема всички изходящи връзки, като вместо тях отваря съмнителни изскачащи прозорци.

Случаят с Webshell е особено опасен. Той позволява на нападателите да изпълняват отдалечено команди на сървъра, да крадат данни и да извършват атаки надолу по веригата към членовете/посетителите.

Другите два полезни товара също могат да бъдат вредни. Те накърняват репутацията на сайта и SEO резултатите му заради съмнителни пренасочвания и опит за инсталиране на зловреден софтуер.

Mu-plugin е специален вид плъгин за WordPress, които се изпълняват автоматично при всяко зареждане на страницата, без да е необходимо да бъде активиран в административното табло. Той имат легитимни случаи на употреба, като например налагане на функционалност за целия сайт за персонализирани правила за сигурност, настройки на производителността и динамично модифициране на код.

Този тип плъгини обаче могат да се използват за широк спектър от злонамерени дейности – кражба на идентификационни данни, инжектиране на злонамерен код или промяна на HTML изхода.

Препоръчваме на администраторите на WordPress сайтове да:

• прилагат актуализации на сигурността на своите плъгини и теми;
• деактивират или деинсталират тези, които не са необходими;
• да защитават привилегированите акаунти със силни пълномощия и MFA.

Когато става дума за кибератаки, никой не е застрахован. Дори най-големите експерти по киберсигурност.

Последният пример за това дойде миналата седмица. Създателят на Have I Been Pwned Трой Хънт разкри, че е станал жертва на една от най-старите измами в онлайн света – фишинг. Чрез автоматизирана атака, маскирана като известие от доставчика на бюлетини Mailchimp, измамниците са откраднали около 16 000 записа на настоящи и предишни абонати на блога му. Те включват имейл адреси, статуси на абонамент и IP адреси, както и данни за географската ширина и дължина.

Добрата новина е, че Хънт все пак незабавно е успял да разкрие атаката. Той описва случая 34 минути след като е станал жертва.

Какво се случва?

На 25 март Хънт получава фишинг имейл от името на Mailchimp. През платформата той изпраща по електронната поща новите материали от блога си на абонираните читатели. В имейла се твърди, че Mailchimp временно прекъсва услугата му, защото  е получила оплаквания за спам.

Фишинг имейлът е бил с убедителен дизайн и е заплашвал с последствия, ако получателят му не предприеме действия. Но, както казва Хънт, „преди това съм получавал милиарди подобни фишинг имейли, които съм идентифицирал рано“. Този път обаче хакерите успяват.

Едно от нещата, които карат Хънт да се замисли, е, че когато се опитва да влезе в профила си в Mailchimp през фишинг имейла, мениджърът му за пароли не попълва автоматично данните за профила му. Това не е червен флаг за пробив, но е хубаво да се има предвид.

След като осъзнава грешката си, Хънт веднага сменя паролата си и свързва с Mailchimp, за да помогне за изтриването на API ключа на измамника. След това той проверява дали уебсайтът, към който е бил насочен при фишинг атаката, е бил изключен.

Не на последно място, Хънт добавя информацията за пробива в списъка си в сайта Have I Been Pwned (HIBP). Платформата помага на хората да разберат дали са били жертва на нарушение на сигурността на данните.

„Когато разговарям с компании, които са нарушили сигурността на данните, моето послание е кристално ясно: бъдете прозрачни и експедитивни в докладването на инцидента и дайте приоритет на комуникацията с клиентите си“, казва Хънт. „Ако направя нещо по-малко от това, ще бъде лицемерно, включително и по отношение на начина, по който след това обработвам данните от нарушението, а именно добавянето им към HIBP“.

Бъдете внимателни за всякакви опити за фишинг, използващи данните от Have I Been Pwned като примамка.

Хакерите все по-често насочват фишинг кампаниите си към надеждни онлайн услуги за споделяне на документи. По този начин те заобиколят защитените платформи за електронна поща и успяват да откраднат потребителските креденшъли.

През 2024 този тип услуги са били обект на 8,8% от всички фишинг кампании, сочи проучване на Cofense Intelligence. 79% от анализираните случаи са включвали опити за кражба на креденшъли.

Сред най-често атакуваните са:

• Dropbox (25,5%) – най-използваната, тъй като фишинг файловете остават онлайн по-дълго заради големия трафик;
• Adobe (17%) – използват се главно за изпращане на злонамерени PDF файлове;
• SharePoint (17%) – нападателите се представят за колеги или бизнес партньори;
• DocuSign (16%) – често се използва при фишинг кампании, свързан с човешките ресурси, и в 6% от фишинг атаките с QR код;
• Google Docs (11%) – разпространение на зловреден софтуер чрез вградени връзки;
• Canva (9%) – фишинг чрез споделяне на PDF и мултимедия;
• Zoho (4%) – значителен скок на злоупотребите през декември 2024 до началото на 2025.

Някои от тези услуги автоматично изпращат известия на потребителите, когато даден документ е споделен, което допълнително легитимира опита за фишинг.

За да се предпазят, организациите и физическите лица трябва да въведат допълнителни нива на сигурност. Те включват:

• обучение на потребителите;
• инструменти за поведенчески анализ;
• MFA.

Мониторингът на подозрителни дейности при споделяне на документи също може да помогне за откриване на опити за фишинг, преди те да доведат до нарушаване на сигурността на данните.

От втората половина на 2024 г. насам все по-често се наблюдават атаки, при които нападателите използват фалшиви CAPTCHA. Чрез тях те подмамват потребителите да изпълнят злонамерени PowerShell команди и заразяват системите им със зловреден софтуер.

Тези сложни тактики за социално инженерство използват доверието на потребителите и доставят Lumma Stealer, способен да извлича информация за портфейли с криптовалути и други чувствителни данни.

Атаката се развива така:

• потребителите се примамват към злонамерени уебсайтове чрез уеб реклами, SEO hijacking или пренасочване от други компрометирани страници;
• злонамерените уебсайтове показват фалшиви CAPTCHA тестове, които изглеждат легитимни, тъй като копират разпознаваеми интерфейси;
• когато потребителите щракнат върху бутона „Не съм робот“, във фонов режим се изпълнява злонамерен JavaScript код. Той тайно копира PowerShell команда в клипборда на потребителя.

След това потребителят е инструктиран да отвори прозореца за изпълнение на Windows с помощта на клавишната комбинация WIN+R и да постави съдържанието с CTRL+V. По този начин той несъзнателно изпълнява зловредния код.

Тази сложна техника позволява на нападателите да заобиколят традиционните механизми за сигурност. Те използват легитимни действия на потребителя, за да инициират процеса на заразяване.

Киберпрестъпник с име „rose87168“ твърди, че е откраднал шест милиона записа от сървърите на Oracle Cloud. Според него пробивът засяга над 140 000 наематели на облачни услуги в световен мащаб.

Откраднатите данни включват:

• Java Key Store (JKS) файлове;
• криптирани пароли за Single Sign-On (SSO);
• хеширани пароли на Lightweight Directory Access Protocol (LDAP);
• ключове на Enterprise Manager Java Platform Security (JPS).

Хакерът твърди, че се е възползвал от уязвимост в инфраструктурата за влизане в Oracle Cloud – login.( име на регион).oraclecloud.com. Този поддомейн е хоствал остарял софтуер Oracle Fusion Middleware, податлив на атака чрез известна уязвимост в Oracle Access Manager.

Откраднатите записи се рекламират във форуми в Dark Web, включително Breach Forums. Rose87168 иска плащане на откуп от засегнатите организации, за да не продава или разкрива техните данни.

Oracle отрича твърденията за пробив в своята облачна инфраструктура. В изявление, публикувано на 21 март 2025 г., компанията твърди, че не са били компрометирани никакви данни на клиенти.

Все пак, ако вашата организация използва Oracle Cloud, ви препоръчваме:

• Смяна на идентификационните данни: Променете всички SSO, LDAP и свързани с тях пароли, като приложите силни комбинации и MFA;
• Наблюдавайте системите: Внедрете инструменти за мониторинг на сигурността, за да откриете в зародиш неоторизиран достъп или необичайна дейност;
• Ангажирайте се с Oracle: Обърнете се към доставчика на облачната инфраструктура и потърсете съвети за защита на системите;
• Засилване на сигурността: Въведете строг контрол на достъпа и подобрени механизми за регистриране на потребителите.

Този пробив подчертава нарастващата сложност на кибератаките, насочени към облачни среди. Той подчертава значението на редовните актуализации на софтуера, проактивното наблюдение на заплахите и надеждните мерки за сигурност за намаляване на рисковете.

Mрежите за киберпрестъпления стават все по-свързани с национални държави и засилват атаките си с помощта на изкуствен интелект.

Това твърди Европол в новия си доклад „2025 EU Serious and Organised Crime Threat Assessment“ – EU-SOCTA. В него се описват подробно заплахите срещу държавите и организациите в ЕС, идващи от организираната престъпност, включително в киберпространството.

Правоприлагащата агенция изтъква няколко тенденции, които поставят сериозни предизвикателства пред индустрията за киберсигурност.

„Хибридни зловредни актьори“ и престъпници формират сенчести съюзи

Една от тези тенденции е появата на т.нар. от Европол „хибридни зловредни актьори“. Те използват мрежи за киберпрестъпления за постигане на политически цели срещу други държави. Според доклада това излага ЕС на риск от дестабилизация.

В същото време технологичен напредък – особено в областта на AI – променя начина, по който се организират, изпълняват и прикриват престъпленията.

„Някои държави предоставят убежище на престъпниците в замяна на техните услуги, като им позволяват да действат свободно, без да се страхуват от съдебно преследване“, се казва в EU-SOCTA. „Това също така позволява на тези държави да отричат прякото си участие. Те възлагат определени престъпления като кибератаки, кампании за дезинформация или дори пране на пари на престъпни мрежи“.

Освен това аутсорсингът на атаки към престъпни мрежи със съществуваща инфраструктура е по-рентабилен подход за „хибридни зловредни актьори“. Престъпните мрежи, от своя страна, получават достъп до „най-съвременни инструменти“. Те могат да се използват извън подкрепяните от национални държави атаки, което се превръща в сериозна заплаха за организациите.

Злоупотреба с GenAI, LLM и Deepfake

Друга тенденция, която Европол изтъква, е засилването на престъпната дейност чрез нововъзникващи технологии, по-специално AI. Агенцията подчертава, че генеративният изкуствен интелект (GenAI) е понижил бариерата за навлизане в киберпрестъпността. Той позволява на хакерите да създават по-ефективни фишинг имейли и да автоматизират мащабни атаки.

„Системите, управлявани от изкуствен интелект – LLM, GenAI и др., стават все по-усъвършенствани и удобни за ползване. Престъпните мрежи все повече използват техните възможности в широк спектър от престъпления“, се посочва в доклада.

Киберпрестъпниците използват AI и за създаване на изключително убедителни deepfake за различни атаки и измами. С помощта на изключително реалистични синтетични медии, те са в състояние да заблуждават жертвите, да се представят за висшестоящи лица и да дискредитират или изнудват целите.

„Добавянето на гласови клонинги и видеофайлове, задвижвани от AI, засилва заплахата. Te дават възможност за нови форми на измама, изнудване и кражба на самоличност“, предупреждават от Европол.

Malware кампания, наречена DollyWay, е компрометирала над 20 000 WordPress страници в глобален мащаб.

Тя функционира от 2016, но постоянно се развива, като използва все по-усъвършенствани стратегии за избягване на откриването, повторно заразяване и монетизиране.

Според GoDaddy в последната си версия кампанията действа като мащабна система за пренасочване към зловредни сайтове. В миналото тя е разпространявала вредни полезни товари като ransomware и банкови троянски коне.

Към февруари 2025 DollyWay е генерирала 10 милиона измамни импресии месечно. Тя е пренасочвала посетителите на WordPress сайтове към фалшиви платформи за запознанства, хазарт, крипто и лотарии. Това се случва въз основа на различни аспекти като местоположение на потребителя, тип устройство и т.н.

DollyWay е много устойчива заплаха, която автоматично заразява отново сайта при всяко зареждане на страница, което прави премахването ѝ особено трудно. Тя постига това, като разпространява своя PHP код във всички активни плъгини. Също така добавя копие на плъгина WPCode, който съдържа фрагменти от зловреден софтуер.

Подробности за кампанията и как да разберете, че сайтът ви е заразен, можете да намерите ТУК.

Все повече безплатни онлайн услуги за конвертиране на файлове разпространяват зловреден софтуер.

Киберпрестъпниците предлагат всякакъв вид популярно конвертиране, за да привлекат жертвите. Най-често използваното е от .doc в .pdf и обратно. Има и сайтове, които предлагат комбиниране на няколко изображения в един .pdf файл.

Най-опасното е, че тези платформи на практика работят и изпълняват задачата, възложена им от жертвата. Но на заден план тяхната система крие зловреден софтуер във файла, който потребителя изтегля. След това той краде различни видове информация. Тя може да включва лични и финансови данни, пароли и токени за сесии, които позволяват заобикаляне на MFA, както и имейл адреси.

Съществуват няколко възможни сценария:

• нападателите насърчават жертвите да изтеглят даден инструмент на устройството си, за да извършат конвертирането. Това обаче е зловреден софтуер;
• препоръчват инсталирането на разширение на браузъра, което да използвате занапред. Тези разширения често са browser hijacker или adware;
• конвертираният файл съдържа зловреден код, който изтегля и инсталира При отваряне на файла, той заразява устройството.

Наличието на активна защита от зловреден софтуер на вашето устройство и разширенията за браузър, които блокират злонамерени сайтове, могат да ви помогнат да се предпазите. Но ако подозирате, че може вече да сте станали жертва:

• незабавно се свържете с финансовите си институции. Работете с тях, за да предприемете необходимите стъпки за защита на самоличността и сметките си;
• променете всичките си пароли. Направете го през чисто, надеждно устройство.

Ето някои от зловредните платформи, които предлагат конвертиране на файлове:

• com (фишинг);
• Сonvertitoremp3.it (зловреден софтуер);
• Convertisseurs-pdf.com (зловреден софтуер);
• Ccom (фишинг);
• Convertix-api.xyz (троянски кон);
• Ccom (adware);
• Fcom (зловреден софтуер);
• Pcom (зловреден софтуер);
• com (зловреден софтуер);
• org (зловреден софтуер).

През изминалата година е регистриран рязък ръст на фишинг атаките, базирани на браузър.

Според нов доклад на Menlo Security увеличението на годишна база – между 2023 и 2024 – е 140%. Основните причини за тази тенденция са възходът на фишинг техниките, базирани на AI, и използването на корпоративните браузъри.

Киберпрестъпниците все повече се фокусират върху тях като основен вектор на атака. Те заобиколят традиционните мерки за сигурност чрез сложни техники, социално инженерство и Zero day уязвимости. Ръстът на фишинг атаките от типа Zero day е 130%.

В доклада се подчертава и рязкото увеличаване на фишинг кампаниите за кражба на креденшъли. Те често се маскират като надеждни корпоративни приложения или наложени брандове, за да подмамят жертвите да предоставят чувствителна информация.

Нападателите се възползват и от големия обществен интерес към GenAI. Те имитират популярни платформи, залагайки на любопитството на потребителите и доверието им в авангардните технологии.

Злоупотребите с услуги на Cloudflare за фишинг са скочили значително – със 104%. Използването на фишинга-като-услуга (PhaaS) също нараства.

За да се предпазят, организациите и потребителите трябва да предприемат проактивни мерки за сигурност:

• решенията за сигурно сърфиране в облака могат да изолират дейността на потребителите от корпоративните мрежи. По този начин се предотвратява компрометирането на системите от злонамерено съдържание;
• инструментите за откриване на заплахи с помощта на AI могат да помогнат за идентифицирането и неутрализирането на сложни фишинг кампании, преди да причинят щети;
• организациите трябва да възприемат системи за мобилна сигурност в реално време, базирани на AI. Така те ще могат да откриват и блокират фишинга, преди потребителите да бъдат компрометирани.

Разчитането на остарели защити вече не е достатъчно – сигурността трябва да се развива толкова бързо, колкото и заплахите.