кибератаки

Хакерите все по-често използват мобилните телефони на българските потребители като вектор за атаките си. За това предупреди пред Bloomberg TV Bulgaria Светлин Лазаров, ръководител на отдел „Дигитални анализи и киберразузнаване“ към дирекция „Киберпрестъпност“ в ГДБОП.

По думите му най-често тези атаки започват с фалшив SMS, който уж е от „Български пощи“ или е свързан с някаква награда. Потребителите са приканени да отворят линк, който ги води на фишинг страница, в която, за да се осъществи трансакцията, те трябва да:

• въведат данните от банковата си карта;
• статичната и динамичната си парола от двуфакторната автентикация.

И тук идва уловката: във фалшивия SMS за динамичната парола пише кода за удостоверяване на превода и за каква сума става въпрос, но сумата е в края на съобщението. Потребителят се интересува от кода и не вижда, че голяма сума пари ще бъде изтеглена от сметката му.

Затова, когато получите подобен SMS, винаги трябва да изчитате цялото съобщение и да сте сигурни за какво става дума, преди да предприемете каквито и да било действия.

Инвестиционни измами

Инвестиционните измами също са сериозен проблем, тъй като могат да бъдат свързани със загуба на сериозно количество средства, обясняват от ГДБОП пред Bloomberg TV Bulgaria.

При тях на жертвата първо се предлага демо сметка с виртуални пари във фалшива инвестиционна платформа, а след като сумата нарасне, тя трябва да инвестира собствени средства.

Ако в сметката се натрупа значителна сума пари и потребителят реши да си ги изтегли обаче, изведнъж комуникацията прекъсва и това става невъзможно.

За да не попаднете в такава ситуация, винаги проверявайте легитимността на платформата, през която смятате да инвестирате, както и отзивите за нея в интернет.

 

Руската хакерска група FIN7 разпространява зловреден софтуер за кражба на данни чрез мрежа от фалшиви сайтове за генериране на nudefake – deepfake технология за създаване на голи версии на снимки на облечени хора – с помощта на AI.  

Мрежата от генератори работи под една и съща марка – AI Nude – и се популяризира чрез black hat SEO тактики, за да могат сайтовете да се класират високо в резултатите от търсенето. 

Според компанията за следене на зловредната активност в интернет Silent Push сайтовете позволяват на потребителите да качват снимки на хора, които искат да „съблекат“. След като предполагаемият „deepnude“ бъде направен обаче, той не се показва на екрана. Вместо това потребителят е подканен да кликне върху връзка, за да изтегли създаденото изображение.  

Това го води към друг сайт, който показва връзка за защитен с парола архив, хостван в Dropbox. Архивът обаче съдържа зловредния софтуер Lumma Stealer, който краде информация, идентификационни данни и бисквитки, записани в уеб браузърите, портфейли за криптовалута и др. 

Всичките седем сайта, открити от Silent Push, са свалени вече, но винаги бъдете много внимателни, когато различни онлайн платформи ви предлагат свободен достъп до напреднали технологии. Понякога безплатното излиза най-скъпо. Особено в интернет. 

Фалшива актуализация за Google Chrome разпространява зловредния софтуер WarmCookie чрез компрометирани уебсайтове. WarmCookie се използва за получаване на достъп до системата на потребителите с Windows и по принцип се разпространява чрез фишинг кампании, свързани с предложения за работа.  

Зловредният софтуер инсталира „задна вратичка“, която позволява както разпространение на повече полезни товари, така и проучване на целевите мрежи. 

WarmCookie краде пръстови отпечатъци, прави снимки на екрана, ексфилтрират откраднати данни, чете и записва файлове и взаимодейства със C&C сървър, за да получава команди. 

За да се предпазите от WarmCookie, проверявайте обстойно надеждността на предлаганите ви актуализации. За най-сигурно използвайте само официални страници, независимо дали става дума за Chrome или за някой друг софтуер. 

Kиберпрестъпниците използват по-широк от всякога набор от злонамерени документи, за да разпространяват зловреден софтуер, и като цяло променят фокуса си при реализацията на фишинг кампании. 

Това е едно от основните заключение на доклада HP Wolf Security Threat Insights Report Q2 2024, според който хакерите дават приоритет на скриптови техники за фишинг пред подходи, основани на традиционни злонамерени файлове. Те заменят често използваните Microsoft Office документи, съдържащи злонамерени макроси, със скриптови езици като VBScript и JavaScript, комбинирайки ги с криптирани архивни файлове. 

Вместо да изпращат прикачен документ, който включва злонамерен макрос, участниците в заплахите изпращат архивен файл, който включва скрит злонамерен код на VBScript или JavaScript заедно с файла, който жертвата иска да изтегли. 

Според доклада на HP Wolf Security през второто тримесечие на 2024 г. 39,23% от атаките със зловреден софтуер са били извършени чрез архивен файл, в сравнение с 27,89% през предходния отчетен период. Компанията за киберсигурност установява, че нападателите са използвали 50 различни формата на архивни файлове за разгръщане на фишинг кампании. 

Актуализация на известния малуер White Snake се възползва от нова функция в Google Chrome, за да краде критични данни за банкови карти. 

Версия 129 на браузъра, пусната на 17 септември 2024 г., въведе няколко нови функционалности за подобряване на потребителското изживяване, в това число и възможността за съхраняване на CVC (Card Verification Code) на кредитни и дебитни карти. Именно тя е привлякла вниманието на киберпрестъпниците. 

Разработчиците на зловредния софтуер са актуализирали възможностите за извличане на тези CVC кодове от браузърите на жертвите, което ги улеснява при извършването на измами и кражби. 

Очаква се Google да отстрани тази уязвимост, но дотогава потребителите трябва да предприемат активни мерки за защита на финансовата си информация: 

• използвайте двуфакторна автентикация за всички финансови акаунти; 
• обмислете използването на виртуални кредитни карти за онлайн транзакции; 
• редовно проверявайте банковите си извлечения за подозрителна активност; 
• инсталирайте надежден антивирусен софтуер с възможности за засичане на финансови заплахи.  

  

Нова версия на зловредния софтуер за Android Necro е била инсталирана на поне 11 милиона устройства чрез Google Play. Тя се разпространява чрез SDK, използвани от легитимни приложения, и инсталира: 

• рекламен софтуер, който зарежда връзки чрез невидими прозорци WebView; 
• модули, които изтеглят и изпълняват произволни JavaScript и DEX файлове; 
• инструменти, специално разработени за улесняване на измамите с абонаменти; 
• механизми, които използват заразени устройства като проксита за насочване на злонамерен трафик. 

От Kaspersky са открили Necro в две приложения в Google Play със значителна потребителска база – Wuta Camera, инструмент за редактиране на снимки с над 10 000 000 изтегляния, и Max Browser, с над 1 милион.  

Извън Play Store той се разпространява предимно чрез модифицирани версии на популярни приложения, публикувани в неофициални уебстраници. Пример за това са модовете на WhatsApp „GBWhatsApp“ и „FMWhatsApp“, както и модификацията на Spotify – „Spotify Plus“. В доклада се споменават и модове за Minecraft и други популярни игри като Stumble Guys, Car Parking Multiplayer и Melon Sandbox. 

Както става ясно, опасности дебнат дори в официалните магазини за приложения, но за да минимизирате, риска, никога не теглете и не инсталирайте съдържание от неофициални сайтове.  

Aгенциите за киберсигурност на САЩ, Обединеното кралство, Канада, Австралия и Нова Зеландия предупредиха за нова мащабна ботнет мрежа, управлявана от компания, свързана с китайското правителство. Тя се състои от 260 000 устройства – от уебкамери до рутери – работи със зловреден софтуер Mirai и се използва за DDoS атаки, компрометиране на мрежи или за разпространение на зловреден софтуер.  

Зад нея стои китайската Integrity Technology Group. Според ФБР тя функционира от средата на 2021 г. и показва „дейност, съответстваща на тактиките, техниките и инфраструктурата“ на групата за киберзаплахи Flax Typhoon, известна още като RedJuliett и Ethereal Panda. 

Устройства, превърнати в част от мрежата, са открити в Европа, Северна и Южна Америка, Африка, Югоизточна Азия и Австралия. На Стария континент се падат 24,9% от нея. 

За да ограничите риска вашето устройство да стане част от подобна мрежа:  

• Инсталирайте редовно новопубликуваните софтуерни пачове; 
• използвайте силни пароли и двуфакторна автентикация; 
• деактивирайте неизползвани услуги и портове. 

Усъвършенствана фишинг кампания изпозлва Booking.com, за да открадне пари и лични данни от потребителите. Тя се развива в две основни стъпки:  

• компрометиране на акаунти на мениджъри на места за настаняване;
• измами на клиентите в рамките на официалното приложение на Booking.com. 

Първоначалната стъпка е регистрацията на домейн „extraknet-booking.com“, който наподобява валидния поддомейн „extranet-booking.com“, използван от мениджърите на хотели в Booking.com за административни цели. За да подсили илюзията, фишинг сайтът хоства фалшив портал, който изглежда като легитимния интерфейс на сайта. Той събира чувствителна информация от нищо неподозиращите администратори, включително данни за вход, лична и финансова информация.  

Нападателите използват различни техники – от най-традиционните фишинг имейли до усъвършенствани техники за SEO Poisoning, които класират злонамерените връзки високо в резултатите от търсенето. Често нападателите използват и платени реклами, за да увеличат видимостта на своите портали.  

След като устройствата на управителите на хотели бъдат компрометирани, хакерите използват официалните чатове на Booking.com за разпространяване на зловредни връзки към клиентите – най-критичната и доходоносна част от веригата.  

Затова, когато използвате функцията за чат на платформата, винаги имайте едно наум за изпращаните ви връзки, дори да изглежда, че те идват от легитимен подател. 

Изследователи от университета „Бен-Гурион“ в Негев, Израел, са открили нов метод за компрометиране на сигурността на офлайн системи, които нямат връзка с вътрешна мрежа или интернет и по принцип не могат да предават чувствителни данни.   

Зловредният софтуер, наречен RAMBO (Radiation of Air-gapped Memory Bus for Offense), може да манипулира компонентите на оперативната памет. Той използва електромагнитните излъчвания от шините на паметта на компютъра, за да предава чувствителна информация. 

Преносът на данни в оперативната памет генерира електромагнитни полета, излъчващи енергия с определена честота. Тя се влияе от тактовата честота, големината на данните и архитектурата, а предавателят може да модулира моделите на достъп до паметта, за да създаде електромагнитен таен канал. 

Атаката включва:  

• разгръщане на зловреден софтуер в изолираната система чрез заразено USB устройство, вътрешен човек или чрез компрометиране на веригата за доставки; 
• зловредният софтуер манипулира операциите в паметта, за да генерира радиосигнали, които кодират чувствителни данни;  
• предавани по въздуха, те се прихващат от нападателя с помощта на просто софтуерно дефинирано радиоустройство (SDR) и антена; 
• RAMBO ексфилтрира кодираните файлове със скорост 1000 бита в секунда от разстояние до 7 метра. 

През 2024 г. финансовата индустрия се е сблъскала с почти два пъти повече DDoS атаки, отколкото всяка друга. 

Според нов доклад на компанията за облачна сигурност Akamai между 1 януари и 30 юни в сектора на финансовите услуги са регистрирани близо 3000 подобни атаки на Layer 3 и 4 (волуметрични атаки на ниво IP адреси и услуга). За сравнение, следващите отрасли, към които са били насочени най-много атаки – онлайн залаганията, високите технологии и производството – са претърпели по около 1000-1500 събития. 

Една от основните причини за този сериозен ръст на DDoS атаките към финансовите компании е увеличаването на хакерската активност във връзка с геополитически конфликти с голям обществен интерес, като тези в Украйна и Ивицата Газа. Затова и не е изненада, че тази тенденция засяга в голяма степен европейските банки. 

Нападателите са допълнително улеснени, когато става дума за европейски финансови организации, тъй като директивата PSD2 изисква те да предлагат отворени API за услуги на трети страни.