Исследование

Web-дефейсеры занялись финансовым мошенничеством

Киберпреступники в Бразилии, да и во всей Латинской Америке, практически всегда используют приемы социального инжиниринга для запуска атак. Время от времени они рассылают фальшивые сообщения от банков или популярных интернет-сервисов. База электронных адресов потенциальных жертв составляется на основе адресов, украденных с зараженных компьютеров, и частично — на основе адресов, хранящихся в базах e-mail-клиентов.

После компиляции электронных адресов мошенники используют различные внешние инструменты, например PHP-интерфейс взломанных веб-серверов.

В процессе своего ежедневного анализа я обнаружил интересный интерфейс для массовой рассылки. Код указывает на то, что он был создан в Бразилии:

Редактируя оригинальный PHP-код, преступник может имитировать “оригинальные заголовки” в посланных им сообщениях. Очень любопытно.

Посмотрим на оригинальный IP-адрес вышеупомянутого домена:

Как видите, в этом случае преступники посылают фальшивые сообщения от имени IG (www.ig.com.br) — очень популярного бразильского ресурса. Они подделывают имя отправителя, оригинальный IP-адрес и даже спам-рейтинг. Таким образом, высока вероятность того, что это сообщение будет доставлено жертве в обход спам-фильтров. Даже самые опытные IT-специалисты могут попасться на эту уловку и поверить, что сообщение пришло от IG.

В процессе анализа кода я обнаружил еще одну интересную вещь, связанную с интерфейсом. Сервис был взломан известным бразильским дефейсером (не буду называть здесь его имя), проявляющим достаточную активность и известным во всем мире. Только за 7 сентября он/она оставил свой «автограф» на 42 различных доменах.

Раньше дефейсеры руководствовались исключительно политическими соображениями. Теперь это уже не так. Сетевые бандиты используют web-дефейсеров как своих аутсорсеров, а конечная цель, конечно, деньги.

Web-дефейсеры занялись финансовым мошенничеством

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике