Videó: Sou negrão / Rappin Hood / clipe (November 2024)
Ezeknek a nigériai hercegeknek új trükkök vannak az ujjukon.
Emlékszel a 419 csalásra? Ezek voltak a gyakran rosszul írt e-mail üzenetek, amelyek állítólag egy gazdag személytől érkeztek, aki hajlandó fizetőképen fizetni a vagyonának az országból történő kitoltatásáért. Valójában, amikor az áldozatok átadták pénzügyi adataikat, hogy segítsenek és nagy összegű kifizetést kapjanak, a csalók kifosztották a bankszámlákat és eltűntek.
Úgy tűnik, hogy a csalók felvettek egy támadási technikát és az adatlopó rosszindulatú szoftvert, amelyet korábban a kifinomultabb számítógépes bűnözés és a számítógépes kémkedés csoportjai használtak - mondta a Palo Alto Networks kutatói. A társaság 42. egységének, a fenyegetésekkel foglalkozó hírszerző csapatának kutatói a kedden kiadott "419 Evolution" jelentésben vázolták a tajvani és dél-koreai vállalkozások elleni támadások sorozatát.
A múltban a szociális mérnöki csalások elsősorban "gazdag, gyanútlan személyekre" irányultak. Az új eszközökkel a kezükben ezek a 419 csaló úgy tűnt, hogy az áldozatok körét átvitték a vállalkozásokra.
"A szereplők nem mutatnak magas szintű műszaki ismereteket, de egyre növekvő veszélyt jelentenek azoknak a vállalkozásoknak, amelyek korábban még nem voltak elsődleges célpontjuk" - mondta Ryan Olson, a 42. egység intelligencia igazgatója.
Az indíttatók kifinomult támadása
A Palo Alto Networks az elmúlt három hónapban nyomon követte a 42. egység kutatói "ezüst spánielnek" nevezte támadásokat. A támadások egy rosszindulatú e-mail melléklettel kezdődtek, amelyre kattintva rosszindulatú programokat telepített az áldozat számítógépére. Példa erre a NetWire nevű távoli adminisztrációs eszköz (RAT), amely lehetővé teszi a támadók számára, hogy távolról átvegyék a Windows, a Mac OS X és a Linux gépeket. Egy másik eszközt, a DataScrambler-t használták a NetWire újracsomagolásához, hogy elkerüljék a víruskereső programok észlelését. A jelentés szerint a DarkComet RAT-ot is alkalmazták ezekben a támadásokban.
Ezek az eszközök olcsók és könnyen elérhetők a föld alatti fórumokon, és "bárki használhatja őket laptop és e-mail címmel", állította a jelentés.
A 419 csaló szociális szakértő volt, ám kezdők voltak, amikor rosszindulatú szoftverekkel dolgoztak, és "rendkívül gyenge működési biztonságot mutattak". Annak ellenére, hogy a parancs- és ellenőrző infrastruktúrát dinamikus DNS-tartományok (NoIP.com) és VPN-szolgáltatások (NVPN.net) használatára tervezték, néhány támadó úgy konfigurálta a DNS-tartományokat, hogy a saját IP-címükre mutassanak. A kutatók képesek voltak nyomon követni a nigériai mobil és műholdas internetszolgáltatókkal fennálló kapcsolatokat.
A csalóknak még sokat kell tanulniuk
Jelenleg a támadók nem használnak semmilyen szoftver sebezhetőséget, és továbbra is a szociális műszaki tervekre támaszkodnak (amelyekben nagyon jók), hogy becsapják az áldozatokat a rosszindulatú programok telepítésébe. Úgy tűnik, hogy jelszavakat és más adatokat lopnak, hogy nyomon kövessék a társadalmi mérnökök támadásait.
"Eddig nem figyeltünk meg semmilyen telepített másodlagos terhelést vagy a rendszerek közötti oldalirányú mozgást, de nem zárhatjuk ki ezt a tevékenységet" - írta a kutatók.
A kutatók felfedezték egy nigériai embert, aki többször megemlítette a rosszindulatú programokat a Facebookon, konkrét NetWire-funkciókról vagy például a Zeus és a SpyEye-vel való együttműködés kérdéséről. Míg a kutatók még nem kötötte össze ezt a konkrét szereplőt az ezüst spániel támadásokkal, példa volt valakire, aki "419 csalást kezdett bűnügyi karriertől, és a kézműveit a föld alatti fórumokon található malware eszközök felhasználásával fejleszti" - mondta Palo Alto Networks.
A jelentés azt javasolta, hogy blokkolják az e-mailekben található összes futtatható mellékletet, és megvizsgálják a.zip és.rar archívumok esetleges rosszindulatú fájljait. A tűzfalaknak akadályozniuk kell a gyakran visszaélő dinamikus DNS-tartományokhoz való hozzáférést is, és a felhasználókat fel kell képezni arra, hogy gyanakodjanak a mellékletekről, még akkor is, ha a fájlnevek jogszerűnek tűnnek vagy munkájukhoz kapcsolódnak - mondta a Palo Alto Networks. A jelentés Snort és Suricata szabályokat tartalmazott a Netwire forgalom észlelésére. A kutatók egy ingyenes eszközt is kiadtak, amely a parancs és a forgalom irányítását, valamint a Silver Spaniel támadók által ellopott adatok dekódolását és dekódolását szolgálta.
"Ebben az időben nem számítunk arra, hogy az ezüst spániel szereplői új eszközöket vagy hasznosító eszközöket fejlesztenek ki, de valószínűleg új eszközöket alkalmaznak, amelyek képesebb szereplők készítenek" - mondta a jelentés.
