Кражба на лични данни

Когато става дума за кибератаки, никой не е застрахован. Дори най-големите експерти по киберсигурност.

Последният пример за това дойде миналата седмица. Създателят на Have I Been Pwned Трой Хънт разкри, че е станал жертва на една от най-старите измами в онлайн света – фишинг. Чрез автоматизирана атака, маскирана като известие от доставчика на бюлетини Mailchimp, измамниците са откраднали около 16 000 записа на настоящи и предишни абонати на блога му. Те включват имейл адреси, статуси на абонамент и IP адреси, както и данни за географската ширина и дължина.

Добрата новина е, че Хънт все пак незабавно е успял да разкрие атаката. Той описва случая 34 минути след като е станал жертва.

Какво се случва?

На 25 март Хънт получава фишинг имейл от името на Mailchimp. През платформата той изпраща по електронната поща новите материали от блога си на абонираните читатели. В имейла се твърди, че Mailchimp временно прекъсва услугата му, защото  е получила оплаквания за спам.

Фишинг имейлът е бил с убедителен дизайн и е заплашвал с последствия, ако получателят му не предприеме действия. Но, както казва Хънт, „преди това съм получавал милиарди подобни фишинг имейли, които съм идентифицирал рано“. Този път обаче хакерите успяват.

Едно от нещата, които карат Хънт да се замисли, е, че когато се опитва да влезе в профила си в Mailchimp през фишинг имейла, мениджърът му за пароли не попълва автоматично данните за профила му. Това не е червен флаг за пробив, но е хубаво да се има предвид.

След като осъзнава грешката си, Хънт веднага сменя паролата си и свързва с Mailchimp, за да помогне за изтриването на API ключа на измамника. След това той проверява дали уебсайтът, към който е бил насочен при фишинг атаката, е бил изключен.

Не на последно място, Хънт добавя информацията за пробива в списъка си в сайта Have I Been Pwned (HIBP). Платформата помага на хората да разберат дали са били жертва на нарушение на сигурността на данните.

„Когато разговарям с компании, които са нарушили сигурността на данните, моето послание е кристално ясно: бъдете прозрачни и експедитивни в докладването на инцидента и дайте приоритет на комуникацията с клиентите си“, казва Хънт. „Ако направя нещо по-малко от това, ще бъде лицемерно, включително и по отношение на начина, по който след това обработвам данните от нарушението, а именно добавянето им към HIBP“.

Бъдете внимателни за всякакви опити за фишинг, използващи данните от Have I Been Pwned като примамка.

От втората половина на 2024 г. насам все по-често се наблюдават атаки, при които нападателите използват фалшиви CAPTCHA. Чрез тях те подмамват потребителите да изпълнят злонамерени PowerShell команди и заразяват системите им със зловреден софтуер.

Тези сложни тактики за социално инженерство използват доверието на потребителите и доставят Lumma Stealer, способен да извлича информация за портфейли с криптовалути и други чувствителни данни.

Атаката се развива така:

• потребителите се примамват към злонамерени уебсайтове чрез уеб реклами, SEO hijacking или пренасочване от други компрометирани страници;
• злонамерените уебсайтове показват фалшиви CAPTCHA тестове, които изглеждат легитимни, тъй като копират разпознаваеми интерфейси;
• когато потребителите щракнат върху бутона „Не съм робот“, във фонов режим се изпълнява злонамерен JavaScript код. Той тайно копира PowerShell команда в клипборда на потребителя.

След това потребителят е инструктиран да отвори прозореца за изпълнение на Windows с помощта на клавишната комбинация WIN+R и да постави съдържанието с CTRL+V. По този начин той несъзнателно изпълнява зловредния код.

Тази сложна техника позволява на нападателите да заобиколят традиционните механизми за сигурност. Те използват легитимни действия на потребителя, за да инициират процеса на заразяване.

Киберпрестъпник с име „rose87168“ твърди, че е откраднал шест милиона записа от сървърите на Oracle Cloud. Според него пробивът засяга над 140 000 наематели на облачни услуги в световен мащаб.

Откраднатите данни включват:

• Java Key Store (JKS) файлове;
• криптирани пароли за Single Sign-On (SSO);
• хеширани пароли на Lightweight Directory Access Protocol (LDAP);
• ключове на Enterprise Manager Java Platform Security (JPS).

Хакерът твърди, че се е възползвал от уязвимост в инфраструктурата за влизане в Oracle Cloud – login.( име на регион).oraclecloud.com. Този поддомейн е хоствал остарял софтуер Oracle Fusion Middleware, податлив на атака чрез известна уязвимост в Oracle Access Manager.

Откраднатите записи се рекламират във форуми в Dark Web, включително Breach Forums. Rose87168 иска плащане на откуп от засегнатите организации, за да не продава или разкрива техните данни.

Oracle отрича твърденията за пробив в своята облачна инфраструктура. В изявление, публикувано на 21 март 2025 г., компанията твърди, че не са били компрометирани никакви данни на клиенти.

Все пак, ако вашата организация използва Oracle Cloud, ви препоръчваме:

• Смяна на идентификационните данни: Променете всички SSO, LDAP и свързани с тях пароли, като приложите силни комбинации и MFA;
• Наблюдавайте системите: Внедрете инструменти за мониторинг на сигурността, за да откриете в зародиш неоторизиран достъп или необичайна дейност;
• Ангажирайте се с Oracle: Обърнете се към доставчика на облачната инфраструктура и потърсете съвети за защита на системите;
• Засилване на сигурността: Въведете строг контрол на достъпа и подобрени механизми за регистриране на потребителите.

Този пробив подчертава нарастващата сложност на кибератаките, насочени към облачни среди. Той подчертава значението на редовните актуализации на софтуера, проактивното наблюдение на заплахите и надеждните мерки за сигурност за намаляване на рисковете.

Все повече безплатни онлайн услуги за конвертиране на файлове разпространяват зловреден софтуер.

Киберпрестъпниците предлагат всякакъв вид популярно конвертиране, за да привлекат жертвите. Най-често използваното е от .doc в .pdf и обратно. Има и сайтове, които предлагат комбиниране на няколко изображения в един .pdf файл.

Най-опасното е, че тези платформи на практика работят и изпълняват задачата, възложена им от жертвата. Но на заден план тяхната система крие зловреден софтуер във файла, който потребителя изтегля. След това той краде различни видове информация. Тя може да включва лични и финансови данни, пароли и токени за сесии, които позволяват заобикаляне на MFA, както и имейл адреси.

Съществуват няколко възможни сценария:

• нападателите насърчават жертвите да изтеглят даден инструмент на устройството си, за да извършат конвертирането. Това обаче е зловреден софтуер;
• препоръчват инсталирането на разширение на браузъра, което да използвате занапред. Тези разширения често са browser hijacker или adware;
• конвертираният файл съдържа зловреден код, който изтегля и инсталира При отваряне на файла, той заразява устройството.

Наличието на активна защита от зловреден софтуер на вашето устройство и разширенията за браузър, които блокират злонамерени сайтове, могат да ви помогнат да се предпазите. Но ако подозирате, че може вече да сте станали жертва:

• незабавно се свържете с финансовите си институции. Работете с тях, за да предприемете необходимите стъпки за защита на самоличността и сметките си;
• променете всичките си пароли. Направете го през чисто, надеждно устройство.

Ето някои от зловредните платформи, които предлагат конвертиране на файлове:

• com (фишинг);
• Сonvertitoremp3.it (зловреден софтуер);
• Convertisseurs-pdf.com (зловреден софтуер);
• Ccom (фишинг);
• Convertix-api.xyz (троянски кон);
• Ccom (adware);
• Fcom (зловреден софтуер);
• Pcom (зловреден софтуер);
• com (зловреден софтуер);
• org (зловреден софтуер).

Над 300 приложения за Android, изтеглени 60 милиона пъти от Google Play, действат като adware или инструменти за кражба на креденшъли и информация за кредитни карти.

Според IAS Threat Lab те са обединени в кампания, наречена Vapor, стартирала в началото 2024 г.

Въпреки че всички тези приложения са били премахнати от магазина на Google, съществува риск Vapor да се завърне чрез нови такива. Причината – нападателите вече са демонстрирали способността си да заобикалят процеса на преглед на технологичния гигант.

Приложенията предлагат различни специализирани функционалности – проследяване на здравето, водене на бележки и дневници, оптимизатори на батерията, скенери за QR кодове и др. Те не съдържат злонамерени компоненти към момента на изпращане за проверка. Вместо това зловредната функционалност се изтегля след инсталиране чрез актуализации, доставени от C2 сървъри.

Сред най-често изтегляните зловредни приложения в кампанията са:

• AquaTracker – 1 милион изтегляния;
• ClickSave Downloader – 1 милион изтегляния;
• Scan Hawk – 1 милион изтегляния;
• Water Time Tracker – 1 милион изтегляния;
• Be More – 1 милион изтегляния;
• BeatWatch – 500 000 изтегляния;
• TranslateScan – 100 000 изтегляния;
• Handset Locator – 50 000 изтегляния.

Пълният списък на всички 331 злонамерени приложения, качени в Google Play, е достъпен ТУК.

За да се предпазите от подобни кампании:

• избягвайте инсталирането на ненужни приложения от неблагонадеждни издатели;
• проверявайте внимателно предоставените разрешения: Settings → Apps → See all apps (Настройки → Приложения → Виж всички приложения);
• ако откриете, че сте инсталирали някое от тези приложения, незабавно ги премахнете. Направете пълно сканиране на системата с Google Play Protect.

 

Microsoft е премахнала неразкрит брой хранилища в GitHub, използвани в масирана кампания за злонамерена реклама. Тя е засегнала почти един милион устройства по целия свят.

Компанията е открила кампанията в началото на декември 2024 г., след като е засякла множество устройства да изтеглят зловреден софтуер от GitHub. По-късно той е използван за разгръщане на поредица от различни други полезни товари в компрометираните системи.

Атаката протича така:

• нападателите инжектират реклами във видеоклипове на незаконни пиратски уебсайтове за стрийминг;
• видеоклиповете пренасочват потребителите към хранилища на GitHub. Те ги заразяват със злонамерен софтуер, събиращ подробна информация за системата;
• PowerShell скрипт изтегля троянеца за отдалечен достъп NetSupport, през който се инсталира infostealer Lumma.

Dropbox и Discord също се използват по сходен с GitHub начин. Кампанията е засегнала широк кръг организации и индустрии, включително потребителски и корпоративни устройства.

За да се предпазите:

• използвайте надежен антивирусен софтуер и го поддържайте актуален;
• изпoлзвайте Add Block;
• oбучавайте потребителите да избягват кликване на подозрителни реклами и поп-ъп прозорци;
• използвайте сигурни настройки на браузъра, които блокират изскачащи прозорци;
• конфигурирайте WAF (Web Application Firewall) с правила, специфични за malvertising, за да блокирате известни вектори на атаки като drive-by downloads.

Организациите с нестопанска цел (НПО) все по-често стават обект на кибератаки. През 2024 заплахите срещу тях, базирани на електронна поща, са се увеличили с 35,2%. Те са насочени към данни на дарители, финансови трансакции и вътрешни комуникации.

Според нов доклад на Abnormal Security НПО са се превърнали в основни мишени заради ограничените си ресурси за киберсигурност, средата с високо доверие и честите финансови трансфери.

Нападателите се възползват от тези уязвимости, за да прилагат business email compromise (BEC) и vendor email compromise (VEC) схеми. Те подвеждат служителите от НПО сектора да пренасочват средства или да споделят чувствителна информация.

За този скок на атаките срещу него допринася и все по-усъвършенстваните тактики за социално инженерство.

Киберпрестъпниците изготвят изключително автентично изглеждащи фишинг имейли, които заобикалят традиционните филтри за сигурност. Често те се представят за дарители, регулаторни агенции или партньорски организации. Увеличаването на цифровите инструменти за набиране на средства и онлайн сътрудничество допълнително разширява повърхността за атака.

Фишингът на идентификационни данни срещу НПО е нараснал с 50,4%. При успешна атака престъпниците могат да компрометират вътрешните комуникации, да извършват финансови измами или да продават чувствителни данни в Dark Web.

Ransomware също е много опасен за организациите с нестопанска цел. Много от тях не разполагат с финансови ресурси, за да се възстановят от значителни прекъсвания на IT системите си.

НПО трябва да предприемат проактивни мерки за защита на своите операции. Те включват:

• използване на решения за сигурност на електронната поща, базирани на AI и филтри за блокиране на известни източници на фишинг;
• защита на имейл акаунтите с MFA;
• редовни обучения за повишаване на осведомеността относно киберсигурността на служителите.

Услугата за уведомяване за нарушаване на сигурността на данните Have I Been Pwned (HIBP) добави над 284 милиона нови акаунта, откраднати чрез infostealer.

Информацията е открита в канал в Telegram, наречен ALIEN TXTBASE. От услугата са анализирали 1,5 TB логове, събрани от различни източници. Те съдържат 23 млрд. реда с 493 млн. уникални двойки уебсайтове и имейл адреси, както и 244 милиона нови компрометирани пароли.

Поради големия брой акаунти в тази колекция данните вероятно включват стари и нови креденшъли, откраднати чрез credential stuffing атаки.

Съветваме ви да проверите веднага дали някой от вашите онлайн профили не е компрометиран и да вземете необходимите мерки, ако сте част от списъка. Те включват:

• незабавна смята на паролите на всички засегнати акаунти със силни и уникални комбинации;
• активиране на 2FA;
• проверка на други ваши акаунти дали не са компрометирани;
• постоянно следене за подозрителна активност в засегнатите акаунти;
• абониране за известия от Have I Been Pwned, за да бъдете информирани за бъдещи пробиви в сигурността, които могат да засегнат вашите профили.

Китайски ботнет с над 130 000 компрометирани устройства атакува бизнес акаунти в Microsoft 365.

Password spraying кампанията е насочена към различни индустрии по цял свят и успява да заобиколи MFA. Тя използва откраднати чрез infostealer идентификационни данни.

Целта на хакерите е получаване на достъп до чувствителни данни, имейли и инструменти за съвместна работа. Те използват компрометираните акаунти и за вътрешни фишинг атаки в рамките на таргетираните организации.

За да не станете жертва на password spraying:

• въведете политики за достъп, базирани на геолокация;
• деактивирайте старите протоколи за удостоверяване като Basic Authentication;
• следете за изтичане на идентификационни данни в криминални форуми и бързо нулирайте компрометираните акаунти.

През 2024 Infostealer софтуерите са се превърнали в един от „най-значимите първоначални вектори за атака“. Според израелската компания за киберсигурност Kela те са свързани с компрометирането на най-малко 330 милиона креденшъли.

За да се случи това, нападателите са пробили защитата на поне 4,3 милиона машини. И двете цифри представляват леко увеличение спрямо 2023 г., но посоката на движение е постоянно възходяща.

Компрометираните креденшъли осигуряват достъп до редица чувствителни корпоративни услуги – облачни решения, CMS, електронна поща и т.н. Трите водещи щама на infostealer – Lumma, StealC и RedLine – са отговорни за над 75% от заразените машини.

За да не станете част от тази статистика:

• инсталирайте антивирусен софтуер и редовно го актуализирайте;
• активирайте MFA;
• бъдете внимателни с фишинг имейли – не отваряйте прикачени файлове или линкове от непознати източници и проверявайте внимателно адреса на подателя;
• актуализирайте редовно софтуерите и OS на вашите устройства, за да намалите риска от уязвимости;
• използвайте firewall и инструменти за мониторинг на трафика, за да можете да засечете подозрителна активност.