Свежая публикация экспертов «Лаборатории Касперского» посвящена последствиям успешной фишинговой атаки. В статье подробно раскрывается техническая сторона передачи украденных данных пользователя, а также в общих чертах описывается дальнейший путь приватной информации по закоулкам черного рынка. Эта сторона массовых кибератак часто остается недоисследованной: во многих отчетах о кибермошеннической деятельности она описывается одной строчкой «ваши данные попадают злоумышленникам». Как именно попадают и что с ними дальше происходит — также важно понимать.

Рассматриваемый в публикации сценарий начинается с ввода жертвой приватных данных на фишинговой странице. Собранную информацию надо как-то передать организатору атаки, который может одновременно управлять сотнями страниц. Есть три наиболее распространенных способа передачи: через электронную почту, бот в Telegram и специализированную панель управления. Почта, возможно, самый традиционный способ, предусматривающий наличие на фишинговой странице PHP-скрипта, который пересылает данные на адрес, подконтрольный злоумышленнику. Используется он, впрочем, все реже: как из-за возможности блокировки сообщений сервис-провайдером, так и из-за непредсказуемых задержек по пути.

Типичный код для отправки данных по почте показан ниже на примере фиш-кита для кражи учетных данных сервиса DHL:

А так выглядит код для отправки информации через Telegram-бот:

Передача через мессенджеры часто оказывается быстрее и удобнее, поэтому популярность данного метода растет. Для защиты от блокировок часто используются одноразовые боты, которые сложнее отследить. Но все же наиболее продвинутым методом сбора данных с фишинговых страниц является использование специализированных панелей управления. В таком случае информация аккумулируется в единой базе данных, доступ к которой осуществляется через веб-интерфейс:

Нередко на одной странице предусмотрено использование сразу двух или более методов передачи данных. Наиболее интересный вопрос — как дальше эти данные используются. Эксперты «Лаборатории Касперского» разбивают действия злоумышленников на три категории. Немедленная монетизация предполагает мгновенную попытку вывода средств жертвы в случае кражи данных банковской карты, паролей доступа к приложениям для онлайн-банкинга либо к учеткам с привязанной платежной информацией. Вторая категория атак включает в себя многоступенчатые атаки с использованием полученной информации. Это может быть использование телефонного номера для мошеннических звонков, персональных данных для атак с применением социальной инженерии. Наконец, третья категория действий атакующих предполагает сложные, таргетированные атаки. Для шантажа, атак с кражей личности и даже для создания дипфейков могут использоваться собранные биометрические данные (запись голоса, фотографии и видео лица жертвы), сканы личных документов. Собранные корпоративные аккаунты также могут применяться для попыток взлома инфраструктуры организации.

Если исследовать большой объем реальных атак, то окажется, что почти в 90% случаев фишинговые страницы нацелены на кражу учетных записей к различным онлайн-сервисам. На втором месте оказываются атаки, целью которых является кража персональных данных. И только в двух процентах случаев фишинговые атаки нацелены на кражу банковских данных. В приведенных выше трех вариантах использования данных только один предусматривает их немедленное использование в атаках. В двух других случаях данные, как правило, перепродаются на криминальном рынке. Этот процесс также можно разбить на три этапа. Оптовые архивы с миллионами записей в состоянии «как есть» продаются достаточно дешево — их стоимость может начинаться от 50 долларов США. Далее происходит процесс сортировки и валидации данных, а также попытки использовать данные от одного сервиса для взлома других учетных записей — в надежде, что жертва везде использует один и тот же пароль. Цена данных на этом этапе увеличивается и зависит от количества и качества информации. На отдельных пользователей также могут создаваться досье, с информацией из разных источников.

Собранные и верифицированные данные продают на специализированных киберкриминальных площадках — в даркнете, но часто и в мессенджере Telegram. Последний может использоваться как «витрина» — информация о выставленных на продажу лотах рекламируется там, а сделка заключается где-то еще. В статье также приводятся сильно усредненные данные по стоимости украденной информации. Дороже всего (350 долларов США) стоят учетки к банковским сервисам, на втором и третьем местах — криптовалютные сервисы (105 долларов) и госпорталы (82,5 доллара). Личные документы продаются по 15 долларов за штуку, соцсети по 3 доллара, мессенджеры по 2,5.

Отдельный, четвертый этап жизни украденных данных в статье называется «формированием крупных целей». В этом сценарии базы данных просеиваются на предмет перспективной информации о, например, высокопоставленных руководителях организаций, бухгалтерах, администраторах IT-систем. Украденная информация в таком случае сопоставляется с данными из открытых источников, и все это комбинируется для проведения сложных атак, целью которых может стать как корпоративная инфраструктура, так и, например, частное лицо с большой суммой денег на банковском счете или в криптовалюте.

Рекомендации в статье достаточно прямолинейны и, по-хорошему, должны применяться всеми пользователями вне зависимости от развития кибератак и величины банковского счета. Это использование уникальных паролей в онлайне, желательно с применением менеджера паролей, внедрение многофакторной аутентификации везде, где это в принципе возможно. Немедленной реакции требует взлом (или подозрение на него) банковских сервисов и мессенджеров. В первом случае нужно оперативно заблокировать привязанные банковские карты, во втором — предупредить контакты о возможных мошеннических действиях от вашего имени.

Что ещё произошло

Большое исследование команды Kaspersky ICS CERT посвящено безопасности автомобильных IT-систем. На конкретном примере головного устройства от автомобиля китайского производителя эксперты показали, как можно взломать его через уязвимость во встроенном модеме, а затем развить атаку и скомпрометировать мультимедийную систему на базе Android. В других новых статьях экспертов «Лаборатории Касперского» анализируются деятельность группировки Cloud Atlas и развитие операции Форумный тролль. Наконец, техническая статья раскрывает вопрос использования DCOM-объектов для горизонтального перемещения (lateral movement) по инфраструктуре атакуемой организации.

Исследователи из (что довольно неожиданно) компании-разработчика популярных онлайн-игр Riot Games обнаружили уязвимость в прошивке UEFI материнских плат таких производителей, как ASRock, ASUS, Gigabyte и MSI. Проблема заключается в некорректной работе системы защиты от модификации данных в оперативной памяти. На «бумаге» она работает, но по факту у устройств, имеющих прямой доступ к памяти (таких как видеокарта или внешние устройства, подключаемые по шине Thunderbolt), при загрузке возникает окно возможностей, во время которого с их помощью данные можно модифицировать. Интерес Riot Games здесь, впрочем, объясним: онлайн-игры зависят от сильной системы защиты от читерства, а в данном случае потенциальные читеры могут вмешиваться в ключевые системы безопасности ПК задолго до загрузки античит-системы. Поэтому пользователи таких игр, как Valorant и League of Legends, при запуске игры на уязвимом железе будут получать уведомление с требованием обновить прошивку.

Критическая уязвимость (CVE-2025-14733) обнаружена в корпоративных брандмауэрах WatchGuard Firebox. Она позволяет атакующим удаленно выполнять на устройствах произвольный код без аутентификации.

Свежие примеры эксплуатации серьезной уязвимости React2Shell в React Server Components, о которой мы подробно писали ранее. В отчете команды Google Threat Intelligence Group описываются примеры таргетированных атак, предположительно ассоциированных с группировками из Китая. А здесь разбирается реальный кейс, в котором уязвимость React2Shell эксплуатировалась группировкой, занятой атаками с последующим вымогательством.