Фишинг на новом уровне

Недавно в Интернете была обнаружена совершенно новая кампания фишинга. Под прицелом оказались пользователи всемирной службы доставки UPS, потому что фальшивые письма маскировались под официальную корреспонденцию компании. Чтобы отправлять вполне реалистичные сообщения, злоумышленники использовали уязвимость XSS на сайте UPS.com.

Охват кампании оказался достаточно масштабным, потому что UPS доставляет более 21 миллиона посылок в год. Компании принадлежит 26% логистического рынка и клиентов у нее действительно много. 

Что интересно в этой фишинговой кампании — так это само письмо. Все ссылки в нем абсолютно легитимны! Фальшивым является только переход по номеру отслеживания для посылки. Как только жертва атаки переходит по этой ссылке, она оказывается на сайте UPS. Но там уже произведено внедрение вредоносного кода JavaScript, который весьма правдоподобно сообщает о том, что пользователю необходимо получить файл с сервера. Последний оказывается зараженным документом Microsoft Word, который ведет к загрузке еще одного Payload’а.

Эта атака еще раз демонстрирует, насколько тщательными могут быть мошенники, и как хорошо они способны маскировать свои атаки на пользователей. В данном случае определить аутентичность письма визуально было вообще невозможно. Переходы по ссылкам действительно вели на легитимные части сайта, а загрузка документа….кто его знает, что могли еще придумать эти транспортные компании? В таких случаях пользователя могут спасти лишь шлюзы электронной почты с функцией защиты, потому что URL-фильтр никак не помешает в посещении легитимного, но хитроумно зараженного сайта. 

Бреши в Internet Explorer по-прежнему приносят проблемы

Очередной баг в Internet Explorer был использован группой InkySquid. Эти ребята создают угрозы класса APT (advanced persistent threat) и, судя по их следам, имеют отношение к Северной Корее. Группа успешно запускает атаки  “на водопой” (watering hole attacks), которые подразумевают заражение часто посещаемых сайтов вредоносным ПО. Их тактика — использование уязвимости, связанной с повреждением памяти IE, которая, впрочем, была закрыта патчем еще год назад. 

Этот баг позволяет спрятать вредоносный код JavaScript среди множества строк легитимного кода так, что его не могут обнаружить ни автоматические, ни ручные проверки. Зашифрованный контент сохраняется в тэгах изображений SVG. И система воспринимает его просто как часть изображения, а значит — никак не реагирует на подозрительные инструкции. 

InkySquid в конечном счете стремятся распространить вредоносное ПО Bluelight, которое устанавливается как второй по счету Payload на систему жертвы. Программа создает каталог на сервисе OneDrive с файлами, которые выглядят совершенно безобидно. Их имена содержат такие слова как "background," "logo", "theme" и так далее. После этого вирус крадет важную информацию, включая имена пользователей и пароли, IP-адреса, а также технические данные. 

Вообще говоря, злоумышленники довольно часто используют в своих атаках довольно старые уязвимости. Дело в том, что на практике не так уж много машин в интернете действительно могут похвастаться наличием всех необходимых патчей и свежих обновлений. И InkySquid еще раз напоминает нам, что без системы патч-менеджмента защитить рабочую станцию будет весьма сложно.

Кража платежных данных через бэкдор

Новый бэкдор Sardonic активно развивает группа киберпреступников FIN8. И именно его следы обнаружили при отражении атаки на одну из финансовых организаций в США (банкиры пожелали остаться анонимными).

Sardonic — это мощное и функциональное вредоносное ПО, которое позволяет атакующим добавлять новые угрозы буквально “на лету”. Дополнительные компоненты просто подключаются к бэкдору, без какой-либо необходимости пересборки или обновления.

FIN8 — это группа, которая прицельно охотится за максимальным вознаграждением. Они обычно атакуют объекты гостиничного размещения, медицинские компании, ритейлеров, рестораны и представителей отрасли развлечений. Основная цель атак — кража платежных реквизитов. Группировка работает как минимум с 2016 года и атаковала более 100 в одной только Северной Америке за первый год своей работы. 

Впрочем, с обнаружением подобных угроз справляются бихевиористические алгоритмы, которые легко обнаруживают подозрительные действия и помогают предотвратить кражу финансовых данных.

ФБР предупреждает: Ransomware нападают

На прошлой неделе интересное предупреждение об опасности выпустили специалисты ФБР. Они просили службы ИБ обратить внимание на киберпреступников, которые называют себя группой OnePercent и проявляют активность как минимум с ноября 2020. Их решения явно связаны с вредоносным ПО REvil, Maze и Egregor.

В уведомлении ФБР не было упомянуто ни одной жертвы первой атаки. Но, судя по всему, Cyber Division американской спецслужбы считает группу серьезной угрозой, В прошлом OnePercent уже доказали свою гибкость, быстро перестроившись с устаревших программ сотрудничества с аффилиатами на новые практики, принятые сегодня в среде разработчиков программ-вымогателей. 

В арсенале OnePercent — целый набор инструментов. В том числе опасения вызывают банковский троян IcedID, а также решения для атак на Cobalt Strike, PowerShell и облачные ресурсы AWS S3. Все они направлены на кражу и шифрование данных. Фактически киберпреступники могут в любой момент “переобуться” и атаковать с нового фланга и с новыми сигнатурами. Поэтому для защиты требуются средства, использующие распознавание угроз по их характерным действиям.