Архив

Фишеры арендовали

В начале второй недели января эксперты по сетевой безопасности зафиксировали две последовательные атаки фишеров на клиентов систем интернет-банкинга Barclays и Halifax (отделения Bank of Scotland). Как удалось установить, созданные злоумышленниками для хищения банковских реквизитов веб-страницы были размещены на серверах «штормового» ботнета.

Первая фишинговая рассылка была произведена от имени службы технической поддержки Barclays Bank. Поддельные уведомления в типовой форме сообщали получателям о проведении штатной проверки клиентских аккаунтов и предлагали подтвердить персональные данные, пройдя по указанной в письме ссылке. Благодаря оперативности компании-регистратора фишерского домена, извещенной специалистами по информационной безопасности, данный сайт был быстро заблокирован.

На следующий день Fortinet и Marshal зафиксировали новую фишинговую рассылку — на сей раз от имени службы безопасности банка Halifax. Получатели этих фальшивых уведомлений извещались о попытке манипуляции их аккаунтом; далее следовала все та же просьба подтвердить персональные данные, кликнув по релевантной ссылке. Выяснилось, что вызываемая по этой ссылке поддельная страница регистрации в системе интернет-банкинга Halifax также была размещена на серверах «штормового» ботнета.

Исследователи Trend Micro обнаружили созданные фишерами для проведения данной атаки веб-сайты, отслеживая деятельность одиозной RBN. Несколько фишерских доменов удалось заблокировать, но IP-адрес подделанного ими сайта регистрации Halifax быстро менялся с помощью технологии «fast-flux DNS», используемой в сетях «штормового» ботнета. Тем не менее, браузеры Internet Explorer 7.0 и Firefox версии 2.0 определяли данную веб-страницу как фишинговую.

Специалисты по информационной безопасности полагают, что часть «штормового» ботнета была сдана в аренду фишерам, и предупреждают о возможности фишинговых атак, направленных на клиентов других банков.

Согласно экспертным оценкам, размеры «штормового» ботнета за последние 2-3 недели более чем удвоились; в настоящее время он насчитывает около 45000 боевых единиц. Причиной тому послужила хорошо подготовленная спам-кампания, развернутая операторами ботнета в минувший праздничный сезон, а также отсутствие релевантной политики и оперативности со стороны регистратора использованных для вредоносного хостинга доменов.

Источник: DARKREADING

Источник: NetWorkWorld

Фишеры арендовали

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике