Архив новостей

Фишинг с фейсконтролем

Эксперты RSA обнаружили itw готовый комплект для фишинга, использующий нечто вроде списка разрешенных – ограниченного перечня email-адресов, по которому распространяются URL поддельных страниц.

По данным RSA, в минувшем году фишеры провели свыше 445 тыс. атак, на 59% больше, чем в предыдущем. Эти атаки обошлись мировой экономике в 1,5 с лишним млрд. долларов, что на 22% выше прежнего показателя. Фишерский инструментарий постоянно совершенствуется: в 2012 г. на черном рынке появились специальные плагины для проверки работоспособности краденых идентификаторов в реальном времени, а также для составления отчетов об эффективности фишинговых рассылок с помощью легальных аналитических сервисов. Новый необычный инструмент, обнаруженный экспертами, – лишнее доказательство тому, что фишеры сделали ставку на технический прогресс.

Этот тулкит позволяет атаковать мишени с высокой точностью, оперируя готовыми списками потенциальных жертв. Для каждого получателя фишингового сообщения генерируется личный идентификатор, который встраивается в URL, приведенный в теле письма, и впоследствии служит пропуском на страницу-ловушку. При попытке вызова целевой страницы этот персональный идентификатор сверяется с заданным списком. Для посетителей, включенных в список, тулкит на лету, прямо на взломанном сайте, создает фишинговую страницу, всем прочим воспроизводится сообщение «ошибка 404». Данные, введенные визитером на фишинговой странице, отсылаются на другой веб-сайт, также контролируемый злоумышленниками. Подобная схема позволяет фишерам получать только нужную информацию, а также продлить время жизни страниц-ловушек посредством ограничения доступа.

RSA зафиксировала несколько фишинговых кампаний, использующих списки разрешенных потенциальных жертв – клиентов южноафриканских, австралийских и малазийских банков. Число мишеней каждой из этих кампаний в среднем составило 3 тысячи. По свидетельству экспертов, списки получателей писем-приманок формировались на основе алфавитной выборки, каждый список, как правило, включал имена, начинающиеся на одну и ту же букву. Разнообразие мишеней – списки содержали адреса бесплатной почты, корпоративных и банковских серверов – позволило исследователям предположить, что они были собраны по спамерским базам или хакерским коллекциям.

Помимо функционала, связанного со списками разрешенных, в новом творении злоумышленников реализованы уже известные технологии. Один из его компонентов позволяет отыскивать незакрытые уязвимости в платформе WordPress, другой – устанавливать административный контроль над взломанным сайтом. По мнению экспертов, новый тулкит не преминет привлечь внимание хакеров, специализирующихся на целевых атаках. Его можно легко приспособить для проведения spear phishing рассылок, обычно предваряющих враждебное вторжение во внутреннюю сеть организации.

Фишинг с фейсконтролем

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике