Исследование

Web-дефейсеры занялись финансовым мошенничеством

Киберпреступники в Бразилии, да и во всей Латинской Америке, практически всегда используют приемы социального инжиниринга для запуска атак. Время от времени они рассылают фальшивые сообщения от банков или популярных интернет-сервисов. База электронных адресов потенциальных жертв составляется на основе адресов, украденных с зараженных компьютеров, и частично — на основе адресов, хранящихся в базах e-mail-клиентов.

После компиляции электронных адресов мошенники используют различные внешние инструменты, например PHP-интерфейс взломанных веб-серверов.

В процессе своего ежедневного анализа я обнаружил интересный интерфейс для массовой рассылки. Код указывает на то, что он был создан в Бразилии:

Редактируя оригинальный PHP-код, преступник может имитировать “оригинальные заголовки” в посланных им сообщениях. Очень любопытно.

Посмотрим на оригинальный IP-адрес вышеупомянутого домена:

Как видите, в этом случае преступники посылают фальшивые сообщения от имени IG (www.ig.com.br) — очень популярного бразильского ресурса. Они подделывают имя отправителя, оригинальный IP-адрес и даже спам-рейтинг. Таким образом, высока вероятность того, что это сообщение будет доставлено жертве в обход спам-фильтров. Даже самые опытные IT-специалисты могут попасться на эту уловку и поверить, что сообщение пришло от IG.

В процессе анализа кода я обнаружил еще одну интересную вещь, связанную с интерфейсом. Сервис был взломан известным бразильским дефейсером (не буду называть здесь его имя), проявляющим достаточную активность и известным во всем мире. Только за 7 сентября он/она оставил свой «автограф» на 42 различных доменах.

Раньше дефейсеры руководствовались исключительно политическими соображениями. Теперь это уже не так. Сетевые бандиты используют web-дефейсеров как своих аутсорсеров, а конечная цель, конечно, деньги.

Web-дефейсеры занялись финансовым мошенничеством

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике