Архив новостей

«Лавина», сошедшая со «скалы»

По оценке [PDF 673Кб] Антифишинговой рабочей группы (APWG), за четверть фишинговых атак, реализованных в первом полугодии, ответственна криминальная группировка Avalanche («Лавина»), заявившая о себе в конце прошлого года.

Агрессивность этих фишеров неуклонно возрастает. В качестве мишеней они избрали системы интернет-банкинга более 30 финансовых организаций, онлайн-сервисы и веб-сайты трудоустройства. Упомянутая группа оперирует вредоносными программами, контролирует ряд DNS-серверов и использует разветвленную сеть прокси-серверов на базе ПК конечных пользователей, IP-адреса которых постоянно меняются в соответствии с технологией динамической перерегистрации (fast-flux). Каждая атака направлена против одной-двух мишеней, причем злоумышленники нередко прибегают к повторным атакам. По свидетельству экспертов, по стилю организации и методам работы Avalanche сильно напоминает одиозную группировку Rock Phish.

Как правило, Avalanche единовременно обращается к услугам не более трех регистраторов или реселлеров и проверяет, заметят ли они, что имена доменов практически одинаковы (например, 11fjfhi.com, 11fjfhj.com, 11fjfh1.com и 11fjfhl.com). Если реакции не последовало, зарегистрированные домены используются для проведения атак; в противном случае фишеры ищут другие возможности.

Поскольку на каждом домене можно разместить до 30 уникальных страниц-ловушек, число доменов, использованных Avalanche в первом полугодии, было невелико — всего 8% от общего количества уличенных в фишинге. Пока участники группировки, в основном, размещают свои веб-страницы с вредоносным содержимым на специально зарегистрированных площадях. По оценке APWG, 43% доменов, созданных в отчетный период для проведения фишинговых атак, принадлежали Avalanche.

Однако многие регистраторы ведут оперативный обмен информацией и обращают особое внимание на ресурсы, зарегистрированные с нарушением стандартной процедуры — например, с помощью поддельной кредитки. В результате время жизни фишинговой страницы Avalanche невелико и в среднем составляет 18 часов 45 минут.

В начале своих гастролей в Сети злоумышленники активно регистрировались в зоне .org. Однако с начала года ее оператор приступил к реализации программы противодействия фишингу, и к середине мая Avalanche покинула пределы этой доменной зоны. Она обходит стороной регистраторов .info и .biz, проводящих жесткую антифишинговую политику, и предпочитает использовать более уязвимые зоны .eu и .be.

«Лавина», сошедшая со «скалы»

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике