Video: Facebookin huijaus arvonnat (Lokakuu 2024)
Niillä Nigerian prinsseillä on uusia temppuja hihoissaan.
Muistatko ne 419 huijausta? Nämä olivat usein huonosti kirjoitettuja sähköpostiviestejä, joiden väitettiin tulevan varakkaalta yksilöltä, joka oli valmis maksamaan yleisesti avun varansa siirtämisessä maasta. Todellisuudessa, kun uhrit luovuttivat taloudelliset yksityiskohdat auttaakseen ja saadakseen suuren voiton, petokset ryöstiivät pankkitilit ja katosivat.
Vaikuttaa siltä, että huijarit ovat poimineet hyökkäystekniikoita ja tietojen varastamista haittaohjelmia, joita aiemmin ovat käyttäneet kehittyneemmät tietoverkkorikollisuus ja verkkovakoiluryhmät, Palo Alto Networksin tutkijat kertoivat. Yrityksen uhkakyselyryhmän yksikön 42 tutkijat hahmottelivat tiistaina julkaistussa raportissa "419 Evolution" Taiwanin ja Etelä-Korean yrityksiä vastaan tehtyjä hyökkäyksiä.
Aikaisemmin sosiaalisen insinöörin huijaukset kohdistuivat pääasiassa "varakkaisiin, epäuskoisiin yksilöihin". Uusien työkalujen ollessa kyseessä, nämä 419 huijaajaa näyttävät siirtäneen uhrien joukon yrityksiin.
"Näyttelijät eivät osoita korkeaa teknistä taitoa, mutta edustavat kasvavaa uhkaa yrityksille, jotka eivät ole aiemmin olleet heidän pääkohteensa", kertoi yksikön 42 tiedustelupäällikkö Ryan Olson.
Hienostuneet aloitteettomat hyökkäykset
Palo Alto Networks seurasi hyökkäyksiä, jotka yksikön 42 tutkijat ovat nimittäneet "hopeaspanieliksi" viimeisen kolmen kuukauden aikana. Hyökkäykset alkoivat haitallisella sähköpostin liitteellä, joka napsautettaessa asensi haittaohjelman uhrin tietokoneeseen. Yksi esimerkki on etähallintatyökalu (RAT), nimeltään NetWire, jonka avulla hyökkääjät voivat etäkäyttää Windows-, Mac OS X- ja Linux-koneita. Toista työkalua, DataScrambleria, käytettiin NetWire-pakkaamiseen uudelleen virustentorjuntaohjelmien havaitsemisen välttämiseksi. DarkComet RAT on käytetty myös näihin hyökkäyksiin, raportti sanoi.
Nämä työkalut ovat edullisia ja helposti saatavissa maanalaisilla foorumeilla, ja "kuka tahansa voi käyttää niitä kannettavan tietokoneen ja sähköpostiosoitteen avulla", raportti sanoi.
419 huijaajaa olivat sosiaalialan asiantuntijoita, mutta olivat aloittelijoita haittaohjelmien kanssa työskentelemisessä ja "osoittivat huomattavasti heikkoa toiminnan turvallisuutta", raportti löytyi. Vaikka komento- ja hallintainfrastruktuuri oli suunniteltu käyttämään dynaamisia DNS-verkkotunnuksia (NoIP.com) ja VPN-palvelua (NVPN.net), jotkut hyökkääjät määrittivät DNS-verkkotunnukset osoittamaan omia IP-osoitteitaan. Tutkijat pystyivät jäljittämään yhteydet Nigerian matkaviestin- ja satelliitti-Internet-palveluntarjoajiin, raportti sanoi.
Huijareilla on paljon opittavaa
Tällä hetkellä hyökkääjät eivät käytä mitään ohjelmistoheikkouksia ja luottavat edelleen sosiaaliseen tekniikkaan (jossa he ovat erittäin hyviä) huijatakseen uhrit haittaohjelmien asentamiseen. Ne näyttävät varastavan salasanoja ja muita tietoja käynnistääkseen seurannan yhteiskunnallisiin hyökkäyksiin.
"Toistaiseksi emme ole havainneet mitään asennettuja sekundaarisia hyötykuormia tai järjestelmien välistä sivuttaisliikettä, mutta emme voi sulkea tätä toimintaa", tutkijat kirjoittivat.
Tutkijat paljastivat nigerialaisen, joka mainitsi haittaohjelman toistuvasti Facebookissa, kysyen tietyistä NetWire-ominaisuuksista tai pyytäen tukea esimerkiksi Zeuksen ja SpyEyen kanssa työskentelemiseen. Vaikka tutkijat eivät ole vielä liittäneet tätä nimenomaista toimijaa hopeaspaniel-hyökkäyksiin, hän oli esimerkki henkilöstä, joka "aloitti rikollisen uransa toteuttamalla 419 huijausta ja kehittelee aluksiaan käyttämään maanalaisilta foorumeilta löytyviä haittaohjelmia", Palo Alto Networks kertoi.
Raportissa suositellaan kaikkien sähköpostien suoritettavien liitteiden estämistä ja.zip- ja.rar-arkistojen tarkistamista mahdollisten haitallisten tiedostojen varalta. Palomuurien tulisi myös estää pääsy yleisesti väärinkäytettyihin dynaamisiin DNS-verkkotunnuksiin, ja käyttäjiä on koulutettava olemaan epäilyttäviä liitteistä, jopa kun tiedostotunnukset näyttävät laillisilta tai liittyvät heidän työhönsä, Palo Alto Networks sanoi. Raportti sisälsi Snort- ja Suricata -säännöt Netwire-liikenteen havaitsemiseksi. Tutkijat julkaisivat myös ilmaisen työkalun salauksen purkamiseen ja purkamiseen komennon ja liikenteen ohjaamiseksi sekä paljastamaan hopea Spanielin hyökkääjien varastamat tiedot.
"Tällä hetkellä emme odota hopeaspanielinäyttelijöiden aloittavan uusien työkalujen tai hyväksikäyttöjen kehittämistä, mutta todennäköisesti he ottavat käyttöön uusia työkaluja, jotka ovat kykenevämpien toimijoiden tekemiä", raportti sanoi.
