кибератаки

Фалшив AI генератор на снимки и видео заразява Windows и macOS със зловредните софтуери Lumma Stealer и AMOS.  

Той е наречен EditProAI и се популяризира чрез резултати в Google Search и реклами в X, които споделят deepfake политически видеоклипове. 

Lumma Stealer е насочен към Windows, а AMOS – към macOS. И двата крадат информация за криптопортфейли и кредитни карти, идентификационни данни, пароли и история на сърфирането в браузърите. Тези данни се събират в архив и се изпращат обратно към нападателите. Те могат да използват информацията при следващи атаки или да я продадат на други киберпрестъпници. 

Според компанията за киберсигурност g0njxa заразяването протича така: 

• клик върху рекламата отвежда потребителя в сайтовете на EditProAI (editproai.pro за Windows и editproai.org за macOS). Те са направени професионално, за да изглеждат легитимни; 
• бутонът Get Now изтегля изпълним файл, който се представя за приложението EditProAI; 
• зловредният софтуер изпраща откраднатите данни към сървър, контролиран от нападателя. 

Ако вече сте изтегляли тази програма, трябва да считате всичките си запазени пароли, криптопортфейли и удостоверения за компрометирани. Незабавно ги сменете с уникални комбинации за всеки сайт, който посещавате. 

Трябва също така да активирате MFA за всички критични платформи като онлайн банкиране, имейл и финансови услуги. 

Водещите APT групи са променили съществено тактиките си. Правителствените организации остават основна цел на атаките, но се забелязват нови тенденции в използваните инструменти и подходи.

Кампаниите на всички наблюдавани APT групи стават по-сложни. Те се адаптират все по-добре към промените в защитните механизми на целите си.

Това са основните изводи в проучването APT Activity Report на ESET, покриващо периода април-септември 2024.

Останалите тенденции включват:

• увеличена употреба на легитимни инструменти и услуги за злонамерени цели;
• разширяване на географското покритие на дейността;
• засилено внимание към критичната инфраструктура – енергийни мрежи, транспортен сектор, правителствени ресурси, здравни и финансови системи и др.

Китайски APT групи възприемат нови тактики

Няколко китайски APT групи, включително FlaxTyphoon, WebWorm и Gallium, са преминали към използване на отворения софтуер SoftEtherVPN. Той е основен инструмент за поддържане на достъп до компрометираните мрежи. Този подход им позволява да заобикалят защитни стени, като същевременно трафикът им изглежда легитимен.

Групата MirrorFace, известна с атаките си срещу японски организации, за първи път е насочила вниманието си към европейска дипломатическа организация. За целта тя е използвала Световното изложение 2025 в Осака като примамка.

Интересен момент е завръщането на backdoor инструмента NL след 5-годишно отсъствие.

Иран засилва присъствието си в Африка

Групата Muddy Water, свързвана с иранското разузнаване, показва подобрение в офанзивните си способности.

Наблюдава се засилено насочване към африкански финансови институции, което съвпада с търговските интереси на Техеран в Кения, Замбия и Гана.

Израел остава основна цел, като групата проявява особен интерес към транспортния сектор.

Северна Корея: От криптовалути до шпионаж

Групата Lazarus продължава Operation Dreamjob, насочена към отбранителния сектор. Тя използва основно фалшиви предложения за работа. Нова кампания, наречена Deceptive Development, се фокусира върху freelance разработчици с цел кражба на криптовалути.

KimSuki въвежда иновативна техника за злоупотреба с MSC файлове, която впоследствие е възприета и от други групи. Забелязва се засилена употреба на облачни услуги за хостване на примамливи документи и командни сървъри.

Руски групи: Нови играчи и подобрени инструменти

Идентифицирана е нова група, GreenCube, специализирана в кражба на credentials чрез уязвимости в Roundcube webmail. Групата е активна от 2022 г. и се фокусира върху правителствени и отбранителни организации в Гърция, Полша, Сърбия и Украйна.

Gameretin остава най-активната APT група в Украйна. Тя постоянно подобрява инструментите си, включително Terosig за извличане на данни от Signal.

Sandworm продължава да атакува критична инфраструктура в Украйна, демонстрирайки задълбочено познаване на Linux системите.

 

Две нови уязвимости в софтуера Palo Alto Networks Expedition са активно експлоатирани от хакерите, предупреди CISA. Инструментът улеснява миграцията на конфигурации от други доставчици към инфраструктурата на компанията. 

И двете уязвимости са с оценка за критичност над 9. Те позволяват изпълнението на произволни отдалечени команди в Expedition и разкриване на съдържанието на неговата база данни. Това дава неоторизиран достъп до потребителски имена, пароли, конфигурации на устройства и API ключове на защитни стени PAN-OS. 

 Тази новина идва седмица след като CISA откри друга критична уязвимост, засягаща Expedition.  

 Palo Alto Networks се подготвя да пусне пачове за затваряне на тези уязвимости „възможно най-скоро“. Ако използвате софтуера Expedition, следете за пускането им и ги инсталирайте възможно най-бързо. 

Нова вишинг атака подлъгва българските потребители. В тази си кампания измамниците се обаждат от името на полицията.

Потребителят получава обаждане от автоматичен глас, който му казва, че неговата лична карта е замесена в схеми за пране на пари.

Самото съобщение е на английски език. Това предполага, че схемата не е разработена от българска група и все още не е добре прецизирана за местна употреба.

Все още не е ясно и каква е целта на измамата, но вишинг кампаниите обикновено са насочени към:

• финансови измами и разкриване на чувствителна информация като данни за банкови сметки или номера на кредитни карти;
• кражба на самоличност чрез получаване на лична информация и използването ѝ за различни измами;
• кражба на идентификационни данни за сигурност – пароли или ПИН кодове – което да позволи неоторизиран достъп до акаунти или системи;
• социално инженерство

При всички случаи е добре да останете бдителни и предпазливи, когато получавате неочаквани телефонни обаждания. Това въжи в още по-голяма степен, ако те изискват предоставянето на лична или финансова информация. Винаги проверявайте самоличността на обаждащия се по официални канали, преди да споделите чувствителни подробности. Не забравяйте, че законните организации никога няма да ви притискат да предоставите информация незабавно по телефона.

Разследването на усилията на китайското правителство да хакне телеком мрежите на САЩ е разкрило „широкомащабна и значима“ кампания за кибершпионаж. Тя е насочена към кражба на информация от правителствени служители и политически фигури, посочват от ФБР. 

Хакери, свързани с Пекин, са компрометирали мрежите на „множество“ телекоми, за да получат достъп до личните комуникации на „ограничен брой лица“. Те са се опитали да копират „определена информация, предмет на искания от правоприлагащите органи на САЩ съгласно съдебни разпореждания“. 

Предупреждението идва след няколко нашумели инцидента. През септември ФБР обяви, че е прекъснало мащабна китайска хакерска операция, известна като Flax Typhoon. Тя включваше инсталирането на зловреден софтуер на повече от 200 000 потребителски устройства – камери, видеорекордери и домашни и офис рутери.  

„Новините за продължителна хакерска кампания и кибершпионаж, насочени към изборите в САЩ от групи, свързани с Китай, не трябва да са изненада. Те са факт в продължение на десетилетия. Това, което се случва в политическата и икономическата сфера на САЩ, е изключително важно за Пекин и за останалия свят“, посочва в коментар Анди Гарт, директор по правителствените въпроси в ESET. 

По думите му като се насочва към американската администрация, Китай вероятно търси ранна представа за бъдещата политика на САЩ. Освен това Пекин се стреми да идентифицира възможности за упражняване на влияние.  

„Китайските операции по кибершпионаж и други злонамерени дейности срещу интересите на САЩ едва ли ще спрат скоро. Това е предизвикателство, с което американските власти ще трябва да се справят в обозримо бъдеще“, категоричен е Гарт. 

 

Заплахите, свързани с AI, ще се задълбочат през 2025 и ще се появят нови сложни случаи на злонамерена употреба на технологията. 

В същото време supply chain атаките ще се пренасочат от големите доставчици на софтуер към глобално възприетите библиотеки и рамки с отворен код. 

Не на последно място, ще нараснат случаите на кражба на идентификационни данни и използването на infostealer злонамерени софтуери. Това важи и за атаките срещу уязвимости на web3 услуги. 

Това са основните заключения в доклада на Google Cloud Cybersecurity Forecasts 2025. Според него киберпрестъпниците ще продължат да използват AI и LLM за разработване и мащабиране на сложни схеми за социално инженерство. Групите за кибершпионаж пък ще разчитат в по-голяма степен на deepfake като инструмент за кражба на самоличност и заобикаляне на системите за сигурност. 

През 2025 г. LLM ще навлезе по-силно в инструментариума за разработка на зловреден софтуер. Технологията ще играе по-голяма роля и в изследването на уязвимостите и писането на код от страна на хакерите. 

Авторите на доклада очакват също така LLM и deepfake технологиите да захранват повече кампании за манипулиране на информация в социалните медии и дезинформация. 

„2025 е годината, в която AI ще премине от пилотни проекти и прототипи към широкомащабно приемане“, предупреждават авторите на доклада. 

 

 

За да отговорят на очакванията на клиентите си за бързина и удобство, все повече фирми преминават към онлайн търговия. Те обаче не трябва да пренебрегват един нарастващ риск – кражбата на бизнес идентичност. Това важи с особена сила за B2B организациите. 

Наближаващият празничен сезон допълнително задълбочава този проблем. А фактът, че киберпрестъпниците стават все по-изобритателни, вдига неимоверно цената на потенциалните щети. 

Ето четири често срещани предизвикателства пред фирмите при кражба на идентичност и какво можете да направите, за да ги предотвратите. 

Кражбата на бизнес идентичност е сложен проблем 

Кражбата на бизнес идентичност често включва мащабни финансови измами, данъчни проблеми и манипулиране на веригата за доставки.  

Една от най-простите и често срещани тактики е подмяната на електронна поща. При нея престъпниците се представят за легитимен бизнес имейл. Те се стремят да измамят компаниите да прехвърлят средства или да изпратят стоки, като се представят за доверен партньор.  

Друга тактика е използването на фиктивни компании, които престъпниците създават и оставят да „остареят“, за да изглеждат легитимни. Някои от тях използват и неактивни, но реални фирми, за да придадат достоверност на схемите си.  

За да изпреварите тези тактики, можете да разчитате на модерни технологии като AI и машинно обучение. Те могат да следят за необичайно поведение и да откриват измамите, преди да са нанесли щети. 

Нарастващи разходи и финансови последици 

Кражбата на бизнес идентичност води до тежки финансови последици – от преките загуби до разходите за възстановяване на откраднатите средства. За съжаление, много предприятия успяват да възстановят само малка част от загубеното.  

С нарастващата сложност на тези престъпления възстановяването става все по-трудно и скъпо. За да се защитите, инвестирайте в надеждни решения за сигурност. 

Увреждане на репутацията и дългосрочни последици 

Последиците от кражбата на бизнес идентичност надхвърлят финансовите загуби. Когато се случи измама, тя може да разклати доверието на клиентите, партньорите и доставчиците и да подкопае доверието в бизнеса ви.  

След като дадена фирма веднъж е станала мишена, тя може да бъде изправена пред повторни атаки. Откраднатите данни често се препродават и използват повторно дори години по-късно.  

В някои случаи могат да последват правни или регулаторни санкции, което допълнително натоварва репутацията ви. Възстановяването може да отнеме години, а за някои предприятия загубеното доверие често никога не се възстановява напълно.  

Решаването на проблема с кражбата на идентичност е свързано не само с предотвратяването на непосредствени загуби. Трябва да имате постоянен фокус върху киберсигурността като критична част от вашия бизнес. 

Балансиране на сигурността и клиентския опит 

Фирмите трябва да намерят деликатен баланс между повишаването на сигурността и поддържането на безпроблемно обслужване на клиентите.  

Добавянето на допълнителни нива на сигурност, като MFA например, може да забави процеса на трансакциите. Пренебрегването на тези предпазни мерки обаче оставя бизнеса с широко отворени за атаки врати.  

Често срещана защитна мярка е ограничаването на локациите за доставка до проверени бизнес адреси, свързани с конкретни имейли. Но нападателите могат да излъжат притежател на такъв, да получат достъп и да правят поръчки от него. 

Предизвикателството тук е мерките за сигурност да се интегрират по начин, който не пречи на клиента. Можете да използвате системи за откриване на измами, които работят във фонов режим, без да пречат на покупките.  

Намерете точния експерт за предотвратяване на измами 

Борбата с измамите изисква много работа. Затова фирмите могат да се възползват от партньорства с външни експерти. Специалистите по киберсигурност предоставят експертните знания и инструменти, необходими за предпазване от нововъзникващи заплахи. В същото време компаниите могат да се съсредоточат върху основните си бизнес операции.  

Използването на външни доставчици за вземане на решения в реално време, оценка на риска и наблюдение на трансакциите помага на фирмите да останат една крачка пред измамниците.  

Хакерите атакуват машини с Windows, като маскират вирусите с разширението ZIP. По този начин те доставят зловредни товари в компресирани архиви, а решенията за сигурност не успяват да ги засекат. 

Откритието е на компанията за киберсигурност Perception Point, която засича „троянски кон“ в архивен файл по време на анализ на фишинг атака. Прикаченият файл е маскиран като RAR архив, а зловредният софтуер е използвал скриптовия език AutoIt, за да автоматизира злонамерени задачи. 

Атаката протича така: 

• подготовка, при която нападателите създават два или повече отделни ZIP архива и скриват зловредния полезен товар в един от тях; 
• отделните файлове се обединяват в един свързан архив; 
• въпреки че крайният резултат изглежда като един файл, той съдържа множество ZIP структури, всяка със собствена централна директория; 

Следващата фаза на атаката разчита на начина, по който различните софтуери обработват архивите. В зависимост от поведението на конкретното приложение хакерите могат да прецизират стратегията си.  

За да се защитите от подобна атака, използвайте решения за киберсигурност, които позволяват контролирано разархивиране на файлове. Но най-сигурно е винаги да подхождате с подозрение към имейлите с прикачени ZIP или други типове архиви. 

Зловредният софтуер за Android FakeCall вече може да пренасочва изходящите обаждания на потребителите до техните банки към телефонен номер на нападатели. По този начин те стават уязвими както за кражба на чувствителна информация, така и на пари от банковите им сметки. 

FakeCall е инструмент за вишинг с фокус върху банките. Чрез него атакуващите имитират обаждания от официални банки и искат жертвите да споделят критични данни. В допълнение към вишинга, FakeCall може да улавя аудио- и видеопотоци на живо от заразените устройства, което позволява на нападателите да крадат чувствителни данни без взаимодействие с жертвата. 

В най-новата версия, анализирана от Zimperium, зловредното приложение се зарежда като оператор за обаждания по подразбиране. За да се случи това, то иска от потребителя да одобри промяната при инсталирането му чрез APK за Android. Когато зловредният софтуер бъде зададен като обработчик на повиквания по подразбиране, той получава разрешение да прихваща и манипулира изходящи и входящи разговори.  

FakeCall успешно имитира действителния Android dialer, което прави трудно разкриването му.  

Zimperium публикува списък с индикатори за компрометиране, но те могат да се променят постоянно. Така че ви съветваме да избягвате ръчното инсталиране на приложения за Android чрез APK файлове и вместо това да ги инсталирате от Google Play. Макар че зловредният софтуер може да проникне в магазина на Google, когато бъде открит, той се премахва от Google Play Protect. 

Известната група за ransomware атаки Black Basta е разширила тактиките си за социално инженерство с чат съобщения в Microsoft Teams и злонамерени QR кодове. Чрез тях тя улеснява първоначалния достъп до таргетираните системи, за да може впоследствие да получи неоторизиран достъп до чувствителни данни на организациите. 

Според компанията за киберсигурност ReliaQuest новият тип фишинг атака протича така: 

• нападателите добавят целевите потребители към чатове с външни акаунти, използващи Entra ID. Те са маскирани като служители на отдела за поддръжка или администратори; 
• в рамките на тези чатове целевите потребители получават QR кодове. Домейните, използвани за тази фишинг дейност, са пригодени да съответстват на конкретната организация; 
• QR кодовете насочват потребителите към зловредна инфраструктура. Това полага основите за последващи техники за социално инженерство и внедряване на инструменти за дистанционно наблюдение и управление. 

За да се защитите от тази развиваща се заплаха: 

• деактивирайте комуникацията от външни потребители в рамките на Microsoft Teams или я ограничете до определени доверени домейни; 
• въведете агресивни политики за борба със спама в рамките на инструментите за сигурност на електронната поща; 
• активирайте задължителната регистрация за Microsoft Teams, особено за функцията ChatCreated; 
• инструктирайте служителите си да бъдат бдителни срещу потенциални кампании за социално инженерство; 
• осигурете постоянно обучение и програми за повишаване на осведомеността относно най-новите тактики за фишинг.