кибератаки

Киберпрестъпници се представят за специалисти по набиране на персонал от CrowdStrike, за да разпространяват cryptominer на устройствата на жертвите.

Кампанията започва с фишинг имейл, който приканва мишената да насрочи интервю за роля на младши разработчик. Той съдържа връзка, която отвежда получателя до сайт, където може да го направи. От него потребителят трябва да изтегли „CRM приложение“ за Windows или macOS. То обаче сваля изпълним файл, написан на езика Rust, който инсталира cryptominer XMRig.

Изпълнимият файл извършва няколко проверки на средата, предназначени да избегнат откриването и да анализират заразеното устройство. Те включват сканиране на инструментите за сигурност, проверка дали централният процесор има поне две ядра и т.н.

От CrowdStrike предупреждават, че:

• не провеждат интервюта през незабавни съобщения или групов чат;
• не искат закупуване на продукти или услуги, или извършване на плащания като условие за наемане на работа;
• никога не използват софтуер, който трябва да бъде изтеглен, за провеждане на интервюта.

Хората, които се интересуват от кандидатстване за работа в компанията, трябва да използват официалната ѝ страница.

Киберпрестъпниците използват трик за изключване на вградената в iMessage на Apple защита срещу фишинг. Чрез него те подмамват потребителите да активират отново деактивираните зловредни връзки.

Тъй като смартфоните навлизат все повече в ежедневието на хората, хакерите все по-често прибягват до smishing атаки. За да предпази потребителите, Apple iMessage автоматично деактивира връзките в съобщенията, получени от непознати податели. Това важи както за имейл адреси, така и за телефонни номера. Ако потребителят отговори на съобщението или добави изпращача в списъка си с контакти обаче, връзките се активират.

В последните месеци се наблюдава рязко увеличение на smishing атаките, които се опитват да подмамят потребителите да отговорят на даден текст. Хакерите изпращат съобщения, свързани с доставки или неплатени задължения. В него те искат от потребителите да отговорят с „Y“, за да активират връзката.

Нападателите разчитат на факта, че хората са свикнали да въвеждат STOP, Yes или NO, за да потвърждават срещи или да се отказват от текстови съобщения. Дори ако потребителят не кликне върху активираната връзка веднага, това, че взаимодейства, означава, че е подходяща цел за последващи фишинг атаки.

Джейк Мур, глобален съветник по сигурността в ESET, е категоричен:

„Избягвайте да отговаряте на съобщения от непознати контакти. Винаги проверявайте легитимността на всяко съобщение, независимо дали става въпрос за iMessage или в рамките на която и да е платформа. Чак след това предприемайте каквото и да е действие, особено ако то изисква чувствителна информация“.

Подкрепяната от Китай APT група Silk Typhoon е проникнала в Комитета за чуждестранни инвестиции в САЩ (CFIUS). CFIUS е правителствена служба, която преглежда външните финансови потоци и сделките с недвижими имоти, за да определи ефекта им върху националната сигурност на страната.

Същите нападатели са пробили и Службата за контрол на чуждестранните активи (OFAC), също част от Министерството на финансите. Тя администрира програмите за търговски и икономически санкции.

Не на последно място, те са хакнали и Службата за финансови изследвания на ведомството.

Хакерите използваха откраднат BeyondTrust Remote Support SaaS API ключ, за да проникнат в мрежата на Министерството на финансите на САЩ. За кампанията беше съобщено преди няколко седмици, но досега липсваха подробости за конкретните цели.

Този случай за пореден път повдигна въпроса за важността, която имат външните доставчици за киберсигурността на всяка организация.

Киберпрестъпниците използват нова тактика, наречена transaction simulation spoofing, за да крадат криптовалути. При такава кампания успешно са откраднати 143,45 токена Ethereum на стойност приблизително 460 000 USD.

Атаката, забелязана от ScamSniffer, подчертава недостатък в механизмите за симулация на трансакции, използвани в съвременните Web3 портфейли. Парадоксалното е, че те са предназначени да предпазват потребителите от измамни и злонамерени трансакции.

Тази функция позволява на потребителите да преглеждат очаквания резултат от превод в блокчейн, преди да го верифицират и изпълнят. Атакуващите обаче примамват жертвите към злонамерен уебсайт, имитиращ легитимна платформа, която инициира това.

Измамата протича така:

• симулацията показва даден резултат;
• потребителят я одобрява и я подписва за официално изпълнение;
• нападателите използват времето между симулацията и изпълнението, за да променят договора в блокчейн;
• това променя резултата, до който ще доведе трансакцията.

По този начин злонамерения уебсайт да източи портфейла на жертвата и да изпрати криптовалутите към хранилището на нападателя.

Този нов вектор на атака представлява значителна еволюция в техниките за фишинг.

За да се защитите:

• винаги се отнасяйте с подозрение към офертите за безплатна симулация на трансакции;
• използвайте само проверени приложения.

Последен ъпдейт на 25 януари 2025 в 11:09 ч.

Bitcoin е в подем. За пръв път в историята си криптовалута №1 надхвърли 100 000 USD в началото на декември, след като нарасна с над 30% от нощта на изборите в САЩ. Но това важи с пълна сила и за измамите и зловредния софтуер, предназначени да откраднат криптовалутите ви.

Последният Threat Report на ESET разкрива, че засичането на т.нар. Cryptostealer е скочило с 56% от първото до второто полугодие на 2024 г. Атаките са насочени както срещу Windows и Android, така и срещу macOS.

Това е отражение на нарастващата роля, която криптовалутите играят в световните финанси. Децентрализираният им характер, бързината и необратимостта на трансакциите и възможността за прехвърляне по целия свят ги правят още по популярна цел за киберпрестъпниците.

Затова и рисковете на това поле се задълбочават през 2024.

Криптозаплахи, от които трябва да се пазите

Когато става въпрос за кражба на криптовалути, трябва да внимавате не само за фишинг и зловреден софтуер. Измамниците са разработили редица измами, целящи да изпразнят вашите криптопортфейли.

Според доклад на Chainalysis от август например pig butchering атаките са се превърнали в едно от най-разпространените средства за кражба на криптовалути.

ESET Threat Report дава допълнителна яснота за заплахите през 2024. Ето няколко основни заключения:

• Атаките с Password Stealing Ware (PSW) в MacOS са се увеличили със 127%. Те са насочени към кражба на идентификационни данни, свързани с портфейли за криптовалути. Това отчасти се дължи на продавания в Telegram по модела Malware-as-a-Service Atomic Stealer. Нападателите разпространяват този зловреден софтуер чрез злонамерени реклами в Google.
• PSW заплахите стоят и зад ръста на криптокрадците, насочени към Windows. Там обаче в основата стои друг зловреден инструмент – Lumma Stealer.
• Много банкови „троянски коне“ за Android вече съдържат функционалност на Cryptostealer наред с традиционните си функции. Този клас заплахи срещу криптопортфейлите е нараснал с 20% през второто полугодие на 2024 г.
• Повишена активност има и около друг Malware-as-a-Service инструмент – Vidar Infostealer. Той е предназначен за събиране на идентификационни данни, съхранявани в браузъра, и такива от криптопортфейли. Разпространява се чрез зловредни реклами във Facebook, групи в Telegram и форуми в Dark Web.
• Геймърите са таргетирани чрез Cryptostealer и Infostealer, скрити в кракнати игри. Те включват Red Line Stealer и Lumma Stealer.
• Фишинг сайтовете, свързани с криптовалути, представляват 8% от всички наблюдавани през първото полугодие на 2024 г. от ESET. Това поставя тази група в Топ 5 за периода.

Как да се защитите

Всичко това упражнява допълнителен натиск върху потребителите. Съществуват различни мерки, които можете да предприемете, за да намалите заплахата за вашите криптопортфейли.

Ето 10 важни стъпки:

1. Не поставяйте всичките си средства на едно място. Разпределете риска и обмислете използването на хардуерни портфейли, които не са свързани с интернет и следователно са по-добре изолирани от цифрови заплахи.
2. Избирайте внимателно доставчиците си на портфейли въз основа на отзиви. Не забравяйте да държите свързаните с интернет хранилища защитени с MFA.
3. Включете 2FA за всяко криптоприложение, което използвате.
4. Не използвайте публични Wi-Fi мрежи, когато сте навън. Ако се наложи да го направите, в никакъв случай не осъществявайте достъп до криптоакаунтите си.
5. Винаги поддържайте устройствата и лаптопите/компютрите си с актуални пачове и софтуер за сигурност.
6. Използвайте VPN услуга от реномиран доставчик за допълнително ниво на сигурност, за да се предпазите от фишинг, зловреден софтуер и други заплахи.
7. Изтегляйте софтуер само от надеждни източници и официални уебсайтове, като преди това проверявате потребителските отзиви и рейтингите на разработчиците.
8. Периодично премахвайте неизползваните разширения/софтуер.
9. Редовно проверявайте за евентуални необичайни действия в криптосметките си.
10. Бъдете нащрек за измами.

Критични уязвимости в прахосмукачките-роботи Ecovacs позволяват на хакерите да ги използват за шпиониране на техните собственици.

Откритието беше представено на хакерската конференция DEF CON 32 от изследователите Денис Гиес и Брейлин Людке. То подчертава сериозни пропуски в сигурността на популярните модели Deebot на Ecovacs.

Уязвимостите са свързани с Bluetooth и системата за удостоверяване на ПИН. Хакерите могат да се свържат дистанционно с прахосмукачките-роботи от разстояние около 130 метра. След като го направят, те лесно заобиколят слабите защити с ПИН и получават пълен контрол над устройствата.

Това включва активиране на вградените камери и микрофони без знанието на собственика, което превръща прахосмукачките в инструменти за наблюдение. Нападателите могат да деактивират предупредителните звуци на камерата, като манипулират звуковите файлове, съхранявани в устройствата.

Уязвимостите засягат множество модели на Ecovacs, включително, но не само:

• Серията Deebot 900;
• Deebot X1/X2;
• Deebot N8/T8 и N9/T9;
• Роботи за косене на трева Goat G1.

За да се предпазите:

• деактивирайте интернет връзката на своите устройства, когато не ги използват;
• прилагайте редовно актуализациите на фърмуера, веднага след като станат достъпни.

Производителите на свързани устройства, от своя страна, трябва да дадат приоритет на криптирането, сигурните протоколи за удостоверяване и редовните оценки на уязвимостите.

Киберпрестъпници са създали фалшив proof-of-concept (PoC) експлойт на критична уязвимост на Microsoft. Той е предназначен да подмами изследователите по сигурността да изтеглят и стартират Infostealer.

Според Trend Micro фалшивият PoC е свързан с критична уязвимост в Lightweight Directory Access Protocol (LDAP) в Windows. Пач за нея е публикуван в рамките на Patch Tuesday от декември 2024 г.

Хакерите са създали злонамерено хранилище, съдържащо фалшивия PoC, който при изпълнение води до ексфилтриране на чувствителна компютърна и мрежова информация. Той краде списъци с процеси и директории, мрежови IP адреси, инсталирани актуализации и друга информация.

PoC експлойтите се използват от общността за киберсигурност за идентифициране на уязвимости и потенциални заплахи за различни софтуери. Те дават възможност на специалистите да предприемат действия за справяне със заплахите.

За да не станете жертва на този Infostealer:

• изтегляйте код и библиотеки само от официални и надеждни хранилища;
• бъдете предпазливи към подозрително съдържание, изглеждащо неуместно за инструмента или приложението, за което се представя;
• ако е възможно, потвърдете самоличността на собственика на хранилището;
• преглеждайте историята на последните промени в него за аномалии или признаци на злонамерена дейност;
• бъдете предпазливи към хранилища с малко сътрудници, особено ако те твърдят, че е широко използвано;
• потърсете отзиви или дискусии за хранилищата, за да идентифицирате потенциални червени флагове.

Нестандартна фишинг кампания убедително се представя за услугата за онлайн плащания PayPal. Тя подмамва потребителите да влязат в акаунтите си, за да извършат плащане. На практика обаче това позволява на нападателите да превземат акаунта.

Иновативната част на атаката е свързана със злоупотреба с легитимна функция в Microsoft 365 за създаване на тестов домейн. Тя позволява на нападателите да създадат списък за разпространение на имейли. Благодарение на това фишинг съобщенията изглеждат като изпратени от PayPal и заобикалят стандартните проверки за сигурност на електронната поща.

За да сте сигурни, че бизнесът и служителите ви няма да станат жертва на подобна иновативна атака:

• провеждайте регулярни обучения по киберсигурност;
• създайте правило в рамките на скенерите за сигурност на електронната поща, което да разпознава съобщения, изпращани чрез списък за масови имейли;
• използвайте инструменти за сигурност, базирани на AI, които правят по-дълбок анализ на поведението на потребителите, отколкото статичните филтри.

Последен ъпдейт на 25 януари 2025 в 10:35 ч.

В първата част на този материал разгледахме пет киберзаплахи, които ще продължат да се развиват и през тази година. За съжаление, това далеч не е всичко.

Ето още 5 опасности в киберпространството, които ще продължат да набират скорост през следващите 12 месеца.

Уязвимости на IoT устройствата

IoT (Internet of Things) устройствата дават възможност за процъфтяване на нови заплахи. Независимо дали става въпрос за слаби пароли по подразбиране, липса на криптиране или несигурен фърмуер – те са лесни цели за хакерите.

Тяхното превземане може да доведе до кражба на данни и пробиви в мрежата. Впоследствие те могат да бъдат използвани и за DDoS атаки.

Фактът, че обемът на свързаните устройства постоянно расте, засилва заплахата. В същото време обезопасяването им е истинско предизвикателство. Те са разнообразни и често имат ограничена изчислителна мощност, което не позволява наличието на функции за сигурност.

Организациите ще се нуждаят от защита на инфраструктурата си извън традиционните IT среди.

Криптографски слабости

Криптографските слабости продължават да представляват значителна заплаха. Този вид уязвимости подкопават основите на сигурната комуникация и защитата на данните. Те обикновено се проявяват по два начина: недостатъци в алгоритмите за криптиране или в начина, по който са реализирани.

Нарастващата заплаха се усложнява от факта, че с напредването на изчислителните възможности сегашният доскоро сигурен криптографски стандарт става все по-уязвим.

Тук решението е свързано с редовно актуализиране на криптографските библиотеки и прилагането на силни протоколи за криптиране. По този начин организациите ще намалят значително рисковете от man in the middle атаки и изтичане на чувствителна информация.

Пропуски в сигурността на API

Все повече организации разчитат на API за свързване на системите. Те обаче са изложени на риск, когато имат уязвимости в дизайна или в начина на функциониране. Атакуващите могат да пробият системите чрез неоторизиран достъп, което им позволява да манипулират определени действия.

Пропуските в сигурността на API служат като отправна точка за пробиви в данните. Те могат да доведат до загуба на чувствителна информация, неразрешени трансакции, увреждане на репутацията и значителни финансови загуби.

Заплахата ескалира, тъй като API става все по-разпространени, увеличавайки броя на потенциалните повърхности за атаки. За да намалите тези рискове, от съществено значение е да защитите крайните си точки, да приложите надеждни механизми за удостоверяване и редовно да актуализирате и одитирате достъпа до API.

Уязвимости на 5G мрежата

5G мрежите се разгръщат бързо. Киберпрестъпниците също започват да осъзнават и използват техните уязвимости. Те все по-често се насочват към 5G инфраструктурата, а това отваря вратата за още по-мащабни DDoS атаки, неоторизиран достъп до данни и прекъсване на критични услуги.

Глобалното разпространение на 5G води до увеличаване на броя на свързаните устройства. Това засилва риска от атаки, особено като се има предвид зависимостта им от облачни инфраструктури.

Еволюция на ransomware

Ransomware се превърнаха в едни от най-разрушителните и скъпоструващи кибератаки, главно заради бързата си еволюция.

Една от най-забележителните кампании от този вид беше извършена срещу тръбопровода Colonial Pipeline. Тя спря цялата му дейност, което доведе до недостиг на гориво и обявяване на извънредно положение в четири щата на Източното крайбрежие на САЩ.

Тъй като тези атаки стават все по-целенасочени и агресивни, е от решаващо значение бизнесите да започнат да прилагат надеждни стратегии за защита. Те трябва да включват:

• създаване на защитени резервни копия на критичните данни;
• укрепване на цялостните планове за реагиране при инциденти;
• непрекъснато обучение на служителите да разпознават и избягват опитите за фишинг, които могат да послужат като входна точка за ransomware атака.

Сравнително нов ботнет, базиран на Mirai, става все по-усъвършенстван и вече използва Zero day експлойти за пробиви в сигурността на индустриални рутери и интелигентни домашни устройства.

Според Chainxin X Lab тази еволюция е започнала през ноември 2024.

Ботнетът е открит през февруари миналата година и в момента наброява 15 000 ежедневно активни бот възела. Те са разположени предимно в Китай, САЩ, Русия, Турция и Иран. Основната му цел е извършването на DDoS атаки, като ежедневно се насочва към стотици субекти. Неговата активност достига своя пик през октомври и ноември 2024 г.

Зловредният софтуер използва комбинация от публични и частни експлойти за повече от 20 уязвимости. По-конкретно той е насочен към:

• рутери ASUS, Huawei, Neterbit и LB-Linк;
• индустриални рутери Four-Faith;
• камери PZT;
• видеодекодери Kguard и Lilin;
• устройства за интелигентен дом Vimar;
• различни 5G/LTE устройства.

Според X Lab DDoS атаките на ботнета са кратки като времетраене, с продължителност между 10 и 30 секунди, но с висока интензивност. Техният трафик надхвърля 100 Gbps, което може да доведе до смущения дори в стабилни инфраструктури.

За да защитите своите устройства:

• винаги инсталирайте най-новите актуализации от производителя;
• деактивирайте отдалечения достъп, ако не е необходим;
• задължително променяйте идентификационните данни по подразбиране на администраторския акаунт.