Tieto nigérijské kniežatá majú na rukávoch nové triky.
Pamätáte si tých 419 podvodov? Boli to často slabo napísané e-mailové správy, ktoré sa domnievajú, že pochádzajú od bohatého jednotlivca, ktorý je ochotný platiť bohato za pomoc pri prevode svojho majetku z krajiny. V skutočnosti, keď obete odovzdali svoje finančné údaje s cieľom pomôcť a získať veľkú odmenu, podvodníci vyplienili bankové účty a zmizli.
Zdá sa, že títo podvodníci si vybrali útočné techniky a malware na krádež údajov, ktorý predtým používali sofistikovanejšie skupiny na boj proti počítačovej kriminalite a počítačovej špionáži, uviedli vedci Palo Alto Networks. Vedci z oddelenia 42, tímu spoločnosti zaoberajúceho sa hrozbami, načrtli sériu útokov proti taiwanským a juhokórejským podnikom v správe „419 Evolution“ zverejnenej v utorok.
V minulosti sa podvody v oblasti sociálneho inžinierstva zameriavali predovšetkým na „bohatých, nič netušiacich jednotlivcov“. Zdá sa, že vďaka novým nástrojom týchto 419 podvodníkov presunulo skupinu obetí na podniky.
„Herci neukazujú vysokú úroveň technického fenoménu, ale predstavujú rastúcu hrozbu pre podniky, ktoré predtým neboli ich primárnymi cieľmi, “ uviedol Ryan Olson, spravodajský riaditeľ jednotky 42.
Sofistikované útoky od nezasvätených
Palo Alto Networks za posledné tri mesiace sledoval útoky, ktoré vedci z jednotky 42 nazvali „Silver Spaniel“. Útoky začali škodlivou e-mailovou prílohou, ktorá po kliknutí nainštalovala malware do počítača obete. Jedným z príkladov je nástroj vzdialenej správy (RAT) s názvom NetWire, ktorý útočníkom umožňuje vzdialene prevziať počítače so systémom Windows, Mac OS X a Linux. Ďalší nástroj, DataScrambler, sa použil na prebalenie NetWire, aby sa zabránilo detekcii antivírusovými programami. V týchto útokoch sa použili aj DarkComet RAT.
Tieto nástroje sú lacné a ľahko dostupné na podzemných fórach a mohli by byť „nasadené ktorýmkoľvek jednotlivcom s notebookom a e-mailovou adresou“, uvádza sa v správe.
419 podvodníkov bolo odborníkmi v oblasti sociálneho inžinierstva, ale boli nováčikmi, keď prišli na prácu s malvérom a „preukázali pozoruhodne zlú prevádzkovú bezpečnosť“, uvádza sa v správe. Aj keď infraštruktúra príkazov a ovládacích prvkov bola navrhnutá na používanie dynamických domén DNS (z lokality NoIP.com) a služby VPN (z domény NVPN.net), niektorí z útočníkov nakonfigurovali domény DNS tak, aby ukazovali na svoje vlastné adresy IP. Vedci dokázali sledovať spojenie s nigérijskými poskytovateľmi mobilných a satelitných internetových služieb.
Podvodníci sa majú čo učiť
Útočníci v súčasnosti nevyužívajú žiadne zraniteľné miesta v softvéri a stále spoliehajú na sociálne inžinierstvo (v ktorom sú veľmi dobrí), aby prinútili obete k inštalácii škodlivého softvéru. Zdá sa, že kradnú heslá a ďalšie údaje na spustenie následných útokov na sociálne inžinierstvo.
„Zatiaľ sme nepozorovali žiadne nainštalované sekundárne užitočné zaťaženie ani žiadny bočný pohyb medzi systémami, ale túto činnosť nemôžeme vylúčiť, “ píšu vedci.
Vedci objavili nigérijského pôvodu, ktorý sa opakovane zmienil o škodlivom softvéri na Facebooku, pričom sa pýtal napríklad na konkrétne vlastnosti systému NetWire alebo požiadal o podporu napríklad pri práci so spoločnosťami Zeus a SpyEye. Kým vedci zatiaľ neprepojili tohto konkrétneho herca s útokmi Silver Spaniel, bol príkladom niekoho, kto „začal svoju kriminálnu kariéru prevádzkovať 419 podvodov a vyvíjal svoje remeslo, aby používal nástroje škodlivého softvéru, ktoré sa nachádzajú na podzemných fórach, “ uviedol Palo Alto Networks.
Správa odporúča blokovať všetky spustiteľné prílohy e-mailov a kontrolovať archívy.zip a.rar, či neobsahujú potenciálne škodlivé súbory. Firewall by mal tiež blokovať prístup k bežne zneužívaným dynamickým doménam DNS a používatelia musia byť vyškolení, aby podozrievali na prílohy, aj keď názvy súborov vyzerajú legitímne alebo súvisia s ich prácou, uviedol Palo Alto Networks. Správa obsahovala pravidlá Snort a Suricata na zisťovanie prenosu Netwire. Vedci tiež vydali bezplatný nástroj na dešifrovanie a dekódovanie príkazového a kontrolného prenosu a odhalenie údajov odcudzených útočníkmi Silver Spaniel.
„V súčasnosti neočakávame, že herci Silver Spaniel začnú vyvíjať nové nástroje alebo zneužívajú, ale pravdepodobne prijmú nové nástroje, ktoré vytvoria zdatnejší herci, “ uvádza sa v správe.