10 сентября хакеры взломали аккаунт создателя Ethereum Виталика Бутерина в соцсети X (бывший Twitter) и разместили от его имени пост с фишинговой ссылкой, сообщили «Ведомости». В нём предлагалось пройти по ссылке, чтобы получить бесплатно памятный NFT в честь запуска в Ethereum новой функции по увеличению транзакций. Позже отец Виталика Дмитрий Бутерин предупредил о взломе.

Источник изображения: Kanchanara/unsplash.com

«Не обращайте внимания на этот пост, видимо Виталика взломали. Он работает над восстановлением доступа», — написал старший Бутерин в своём аккаунте в соцсети X. Но, по всей видимости, до появления этого предупреждения немало пользователей приняли этот пост за чистую монету и открыли доступ к своим криптокошелькам, поскольку ущерб от действий хакеров оценивается в немалую сумму.

Согласно подсчётам блокчейн-аналитика ZachXBT, суммарный ущерб на момент взлома составил $691 000. В числе украденных NFT оказались два CryptoPunk (коллекция токенов на блокчейне Ethereum) стоимостью 153,62 Ethereum (около $250 000 на 10 сентября) и 58,18 Ethereum (около $95 000). ZachXBT предупредил о случившемся инциденте своих фолловеров, число которых превышает 438 200 человек.

Основатель криптобиржи Binance Чанпэн Чжао (Changpeng Zhao) посоветовал «руководствоваться здравым смыслом при чтении контента в социальных сетях, даже у лидеров общественного мнения», поскольку «безопасность аккаунта Twitter не предназначена для финансовых платформ». «Ему нужно немного больше функций: 2FA [две степени защиты], логин должен отличаться от дескриптора или адреса электронной почты», — отметил он, добавив, что его аккаунт в Twitter несколько раз блокировали из-за попыток хакеров взломать его. «Это было ещё до “эпохи Илона”», — уточнил Чжао, имея в виду владельца X Илона Маска (Elon Musk).

В 2023 году количество фишинговых ресурсов в Telegram увеличилось в 5 раз. Согласно данным компании Angara Security, в первом полугодии количество таких ресурсов достигло 5 тысяч. Этот тревожный рост, начавшийся в начале 2023 года, ставит под угрозу миллионы пользователей мессенджера.

Источник изображения: LoboStudioHamburg / Pixabay

Аналогичную статистику приводит «Лаборатория Касперского». По её данным, во втором квартале 2023 года попытки перехода российских пользователей Telegram на фишинговые ресурсы увеличились на 39 %. Сооснователь проекта StopPhish Юрий Другач также акцентирует внимание на росте мошенничества. По его словам, за летние месяцы 2023 года количество мошеннических сайтов, связанных с Telegram, выросло на 10 % по сравнению с весной текущего года.

При этом мошенники практикуют разнообразные схемы: от предложений проголосовать на конкурсе до обещаний бесплатного премиум-аккаунта Telegram. Злоумышленники также создают каналы с названием «Избранное», надеясь, что пользователи ошибутся и отправят туда конфиденциальную информацию.

В эпоху цифровизации безопасность стоит на первом месте. Рост фишинговых атак в Telegram — яркий пример того, как важно быть настороже. Многие компании используют этот мессенджер для корпоративных коммуникаций, что делает его особенно привлекательным для киберпреступников.

Включение двухфакторной аутентификации, проверка валидности ботов и каналов, а также осознанное отношение к переходам по ссылкам являются ключевыми моментами для обеспечения безопасности. Не стоит забывать о простых правилах интернет-гигиены: не вводить личные данные на подозрительных ресурсах и всегда проверять отправителя сообщений.

В июле российские компании начали в массовом порядке получать электронные письма с вложениями, заражёнными вирусом White Snake — он предназначен для кражи учётных данных пользователей, конфиденциальной информации, а также получения доступа к микрофонам и веб-камерам на компьютерах, пишет «Коммерсантъ».

Источник изображения: Robinraj Premchand / pixabay.com

Фишинговые письма на адреса российских компаний рассылаются от имени Роскомнадзора и содержат два файла вложений. В одном из файлов — уведомление, в котором утверждается, что на основе «выборочного мониторинга активности» якобы было установлено, что сотрудники компании посещают экстремистские ресурсы и сайты, распространяющие информацию от имени иноагентов. Соответствующие материалы, говорится в уведомлении, приложены во втором файле — их следует изучить и дать по ним пояснение, чтобы избежать административного и уголовного преследования. На самом деле во втором файле содержится ссылка на вредоносное ПО.

Отличительной особенностью кампании является использование «коммерческого» вируса — он продаётся на теневых форумах за $1,9 тыс. единоразово или по подписке за $140 в месяц. Организаторы атаки всячески пытаются заставить потенциальных жертв запустить вредонос, угрожая многомиллионными штрафами и делая пометку «проверено антивирусом» в конце письма, добавили в «Лаборатории Касперского».

Вирус White Snake целенаправленно собирает регистрационные данные через популярные браузеры, такие как Chrome и Firefox, программы вроде Outlook, Discord, Telegram и криптокошельки, рассказали в Positive Technologies. При этом атака на одного сотрудника и кража у него учётных данных позволяет получать доступ к устройствам других. Учитывая, что в большинстве компаний до сих пор не используют двухфакторной авторизации, злоумышленники могут получить постоянную точку присутствия на предприятии, а ущерб может составить от «нескольких миллионов до сотен миллионов рублей», уверены эксперты.

Агентство по борьбе с киберпреступностью (F.A.C.C.T.) зафиксировало массовую фишинговую рассылку 11 июля текущего года. По информации от экспертов, группа киберпреступников XDSpy, вернувшаяся на арену России в марте этого года, организовала рассылку от имени МЧС, пишет «Коммерсант».

Источник изображения: Pixabay/methodshop

Письма, якобы от МЧС, предлагали получателям загрузить вложение, представленное как список сотрудников организации, обвиняемых в «симпатии к группам, подрывающим стабильность в России». Отправители угрожали применением юридических мер в случае нереагирования на сообщение. Однако при открытии файла, маскирующегося под документ формата PDF с перечнем имен, активировалась вредоносная программа, ставшая средством для сбора данных и документов с пользовательских компьютеров.

XDSpy, неоднократно замеченная в подобных вирусных атаках, ранее осуществляла аналогичные действия против российских учреждений. В марте группа применяла такие же методы против МИД России, а в октябре 2022 года рассылка фальшивых повесток была направлена от имени Минобороны.

По данным белорусского Центра Реагирования на Инциденты Информационной Безопасности (CERT), группировка XDSpy, угрожающая организациям России и Беларуси, была обнаружена в феврале 2020 года. Однако, на основании предположений экспертов, деятельность данной группы могла начаться ещё в далеком 2011 году, а её участники, вероятнее всего, находятся в районе нахождения целей.

Пока что не установлено, кто стоит за этими кибератаками и чьим интересам служит данная группа. Согласно данным F.A.C.C.T., основная доля жертв группы XDSpy приходится на Россию. Преступники нацеливаются на государственные и военные учреждения, финансовые институты, а также на энергетический сектор, исследовательские центры и добывающие компании.

В первом полугодии в России стремительно выросло число фишинговых ресурсов, замаскированных под популярные маркетплейсы. Как сообщает «Коммерсант», хотя в выявлении и блокировке таких сайтов задействованы как государственные ведомства, так и легальные торговые площадки, проблема не теряет остроты — процесс создания мошеннических площадок автоматизирован и поставлен на поток.

Источник изображения: iAmMrRob/pixabay.com

По данным Координационного центра доменов.ru/.рф (КЦ), с января по июнь число мошеннических сайтов, мимикрирующих под российские маркетплейсы, выросло в 11 раз год к году. Если за первое полугодие 2022 года в доменных зонах .ru и .рф заблокировали 5 тыс. фишинговых сайтов, то в первом полугодии 2023 года — уже более 18 тыс., больше, чем за весь прошлый год (15,3 тыс. ресурсов).

При этом для маркетплейсов и площадок вроде «Юлы» и «Авито» статистика ещё печальнее. Так, в первом полугодии заблокировано 329 мошеннических доменов, так или иначе, связанных с торговлей на «Авито», 94 — с «Юлой» и 89 — с Ozon. Для 2023 года речь идёт о 2,9 тыс., 1,7 тыс. и 1,5 тыс. соответственно. Основной схемой мошенничество является поддельная продажа — пользователь вводит данные карты на сайте мошенников, после чего последние похищают деньги. Ссылки на такие ресурсы распространяются в первую очередь через мессенджеры. Маркетплейсы стали первоочередной целью потому, что они имеют большие обороты и огромную аудиторию «подготовленных» пользователей, при этом легко клюющих на удочку злоумышленников.

Некоторые эксперты уточняют, что мошенники часто применяют фишинговые ресурсы, использующие малоизвестные зарубежные доменные зоны. В России для блокировки подобных сайтов с лета 2022 года используется система Минцифры «Антифишинг», за рубежом регистрировать их дешевле и быстрее. По данным Минцифры, мониторинг подозрительных ресурсов ведётся постоянно, у торговых компаний уточняют, являются ли обнаруженные сайты фишинговыми, на блокировку таких ресурсов уходит до нескольких часов. Сами маркетплейсы и ресурсы вроде «Авито» принимают собственные меры по мониторингу Сети в поисках фишинговых ресурсов, сотрудничая с Центробанком и другими партнёрами.

При этом как заявляют эксперты, схемы постоянно масштабируются в связи автоматизацией создания сайтов — с помощью фишинговых панелей в автоматизированном режиме генерируются десятки сайтов, аренда такой панели стоит €150, её покупка — €350.

Одна из проблем в том, что часто фишинговая ссылка создаётся под конкретную жертву, поэтому бороться с таким мошенничеством довольно трудно. По мнению экспертов, всё изменится, когда фишинг перестанет приносить значимую прибыль — затраты на создание и эксплуатацию сети ресурсов будут выше прибыли. В качестве эффективной меры называется, например, блокировка самих инструментов для создания фишинговых сайтов.

Поставщики решений для кибербезопасности фиксируют значительный рост в начале года числа фишинговых сайтов, маскирующихся под порталы официальных брендов. Как правило, они преобладают в поисковой выдаче над официальными ресурсами, поскольку мошенники используют инструменты поисковой оптимизации для увеличения рейтинга сайта. Такие атаки помимо финансовых потерь могут привести к взлому официального сайта организации.

Источник изображения: Arget/unsplash.com

Как сообщает «Коммерсантъ» со ссылкой на исследование Positive Technologies, представленное на ПМЭФ-2023, в первом квартале 2023 года число инцидентов, связанных с кибербезопасностью, увеличилось в годовом выражении на 10 % и на 7 % по сравнению с предыдущим кварталом. «Наиболее частыми последствиями успешных кибератак на организации стали утечки конфиденциальной информации — 51 % инцидентов, причём во втором неполном квартале их число уже превысило первый квартал на 4 %», — расскзал директор экспертного центра безопасности Positive Technologies Алексей Новиков.

Также был отмечен значительный рост (16 % год к году) вредоносной рекламы в поисковых системах, то есть таргетированной выдачи фишинговых сайтов под видом официальных брендов. Для опережения выдачи мошеннического ресурса над законным злоумышленники применяли метод поисковой оптимизации (Search Engine Optimization, SEO), пояснили в Positive Technologies.

«Злоумышленники внедряют во вредоносные сайты ключевые слова и используют популярные темы, поисковые системы считывают это и выдают вредоносный сайт раньше, чем оригинальную страницу», — сообщили исследователи, добавив, что этот тренд будет актуальным на протяжении всего 2023 года на всех популярных поисковых сервисах.

SEO-спам — использование неэтичных методов для увеличения рейтинга сайта в поисковой выдаче — применяется мошенниками сейчас постоянно, подтвердила руководитель направления мониторинга и аналитики Innostage Ксения Рысаева, отметив, что фишинговые сайты могут также содержать вредоносные программы для заражения компьютеров посетителей. «Инструмент распространения вредоносных ресурсов через оптимизацию поисковой выдачи эксплуатирует психологию пользователей, которые интуитивно выбирают первые строки в результатах поиска», — добавил технический руководитель направления анализа защищённости центра инноваций Future Crew компании МТС Red Алексей Кузнецов.

По словам руководителя отдела продвижения продуктов компании «Код безопасности» Павла Коростелева, от подобных атак скорее всего могут пострадать сайты небольших онлайн-бизнесов, которые используются в качестве визитки, а не инструмента заработка.

Директор АНО «Институт развития предпринимательства и экономики» Наталья Назарова выделила три ключевых негативных последствия такого вида мошенничества: во-первых, потеря части доходов, во-вторых, значительные репутационные издержки, и в-третьих, есть риск взлома IT-системы бизнеса, если клиент передал личные данные, со всеми вытекающими последствиями.

Получатели писем от веб-служб Microsoft должны уделить особое внимание оценке их реального происхождения. В антивирусных продуктах «Лаборатории Касперского» появилось оповещение, свидетельствующее о том, что киберпреступники стали всё чаще атаковать пользователей с целью кражи данных для авторизации в учётной записи Microsoft.

Источник изображения: Bermix Studio/unsplash.com

Известно, что одним из первых забил тревогу специалист по кибербезопасности Трой Хант (Troy Hunt), выложивший в Twitter информацию о новой фишинговой кампании. По его словам, злоумышленниками используется старый проверенный временем метод рассылки писем от имени легитимной компании.

В частности, эксперт получил сообщение о том, что у его пароля для Office 365 скоро закончится срок действия. В письме предлагалось перейти по ссылке для того, чтобы подтвердить намерение пользоваться старым паролем. Выяснилось, что ссылка на деле ведёт на фишинговый ресурс, требующий войти для авторизации в учётную запись Microsoft. Другими словами, сайт крадёт данные учётной записи.

Источник изображения: Troy Hunt

По данным «Лаборатории Касперского», в данном случае используется техника открытого перенаправления, когда в ссылку на настоящий сайт встроен URL на вредоносный ресурс. После попытки пользователя перейти по предложенной ссылке, злоумышленники перенаправляют его на фальшивую страницу Microsoft, где и пытаются получить его пароль.

Специалисты по информационной безопасности призывают интернет-пользователей быть бдительными, соблюдать критичность мышления и меры цифровой гигиены. При получении подозрительного письма, якобы отправленного Microsoft, не стоит переходить по каким-либо ссылкам из послания. Если для аккаунта действительно настроен срок действия пароля, его можно изменить на настоящем сайте account.microsoft.com.

В этом месяце хакеры провели массовую рассылку фишинговых писем российским компаниям. Вредоносные сообщения отправлялись под видом документов от госорганов о призыве и мобилизации. Об этом пишет «Коммерсантъ» со ссылкой на данные сервиса Bi.Zone.

Источник изображения: Pete Linforth / pixabay.com

В сообщении сказано, что злоумышленники использовали технику спуфинга или подделки адреса отправителя. Получатели получали сообщения с темами «Призыв на мобилизацию», «Всеобщая мобилизация 2023», «Сверка документов Военкомат», «Призывники 2023 список». Электронное письмо также содержало архив или ссылку для его скачивания. В самом же архиве находился вредоносный файл, осуществляющий установку трояна DCRat, который позволяет получить полный контроль над скомпрометированной системой.

«С помощью DCRat злоумышленники делают скриншоты, записывают последовательность нажатия клавиш, получают содержимое буфера обмена и т.д. В итоге у преступников могут оказаться логины и пароли от корпоративный аккаунтов, финансовая информация, персональные данные, а также другие конфиденциальные сведения», — говорится в сообщении Bi.Zone.

По данным компании Positive Technologies, работающей в сфере информационной безопасности, количество хакерских атак на российские компании с помощью вирусов шифровальщиков, которые шифрую данные на скомпрометированных устройствах и требуют выкуп за восстановление работоспособности, с начала года выросло на 77 % в годовом выражении. Эту тенденцию также подтвердили в компании F.A.C.C.T. (бывшая Group-IB), добавив, что количество таких атак в период с января по май этого года выросло на 50-60 %.

По данным Роскомнадзора, в первом квартале 2023 года было удалено и заблокировано 7,2 тыс. фишинговых сайтов, тогда как за аналогичный период прошлого года их количество не превышало 2 тыс. единиц. Отмечается, что такие ресурсы в зоне .ru встречаются всё реже, поскольку хакеры активнее используют малоизвестные доменные зоны, такие как .ml, .tk и др.

Источник изображения: freepik

В сообщении сказано, что наибольшее количество доменов со ссылками по незаконной финансовой деятельности и поддельным документам приходилось на доменные зоны .com (52 %), .ru (13), а также .xyz и .site (по 8 %). Мошенники также использовали домены в зонах .top, .io, .net, .pro и .ws. Минцифры занимается блокировкой фишинговых сайтов с помощью системы «Антифишинг», которая начала функционировать в июне прошлого года. В ведомстве отметили, что в зоне .ru «фишинга становится меньше».

Работающие в сфере информационной безопасности компании подтверждают эту тенденцию. По данным «Лаборатории Касперского», с начала 2023 года наибольшее количество попыток перехода на фишинговые страницы российских пользователей пришлось на доменные зоны .com (48 %), .ru (12 %) и .ws (6 %).

Специалисты F.A.C.C.T. (бывшая Group IB) отметили изменение зон регистрации используемых для фишинга доменов. По их данным, в зоне .ru количество фишинговых ресурсов год к году сократилось с 5,2 % до 4,8 %. При этом в зоне .com за аналогичный период количество регистраций фишинговых страниц снизилось на 14 % и составило 24 %. Такая тенденция может быть связана с деятельностью по обнаружению и блокировке фишинговых страниц, а также с переездом таких ресурсов в зоны бесплатных доменов. В зоне .tk количество фишинговых сайтов за первый квартал выросло в 20 раз, а в остальных зонах — в 4 раза.

Технический директор направления анализа и защищённости центра инноваций Future Crew МТС RED Алексей Кузнецов напомнил, что количество фишинговых сайтов в российском сегменте исчисляется тысячами, а в сегменте .com — десятками тысяч. «Фишинг продолжает набирать популярность, активно эксплуатируя актуальную повестку, а спрос на доменные имена в экзотических доменных зонах (.ml, .tk, .cf, .ga) растёт», — отметил господин Кузнецов.

Cisco Systems прогнозирует, что программное обеспечение с искусственным интеллектом, такое как ChatGPT от OpenAI, в перспективе способно значительно усложнить пресечение фишинговых атак, что потребует от компаний внедрения новых средств защиты.

Источник изображения: Freepik

Около 80 % незаконного доступа к компьютерным системам уже осуществляется посредством фишинга, когда хакеры рассылают электронные письма или текстовые сообщения людям, надеясь обманом заставить их открыть вредоносную ссылку. По словам главы подразделения безопасности и совместной работы Cisco, Джиту Патела (Jeetu Patel), инструменты ИИ могут быстро подстроить эти послания, привлекая больше аудитории к хакерским схемам.

До сих пор фишинговые электронные письма было относительно легко обнаружить, потому что они не были персонализированы для отдельных получателей, а также имели орфографические ошибки. С новым поколением атак будет труднее рассчитывать на то, что люди смогут обнаружить уловку, что увеличит угрозу попыток вымогательства и шантажа.

По словам Джиту Патела, решение заключается в оперативном анализе содержимого интернет-трафика и выявлении закономерностей, указывающих на неблагоприятный исход от сообщения. Эксперт заявляет, что компания, занимающая лидирующие позиции на рынке сетевого оборудования, может использовать своё положение для анализа потоков данных. «Безопасность — это игра с данными. Чем больше у вас данных, тем легче обнаружение аномалий», —добавил он.

Специалисты из «Лаборатории Касперского» выявили новую фишинговую схему с использованием легитимных серверов SharePoint. Цель злоумышленников заключается в краже учётных данных от почтовых аккаунтов, таких как Yahoo!, AOL, Outlook и Office 365. Атаки такого типа проводятся против сотрудников компаний по всему миру, в том числе в России. В общей сложности за прошедшую зиму было выявлено более 1600 подобных фишинговых писем.

Источник изображения: methodshop / Pixabay

В ходе атаки злоумышленники рассылают уведомления от имени легитимного сервиса, за счёт чего удаётся обходить спам-фильтры. Такой подход позволяет не вызывать подозрений, особенно если в компании SharePoint используется на постоянной основе. Таким образом хакеры не просто прячут фишинговую ссылку на сервере SharePoint, но и распространяют её с помощью родного механизма для рассылки уведомлений. Поскольку сервис Microsoft позволяет делиться файлами, расположенными на корпоративном SharePoint с внешними участниками рабочего процесса, злоумышленникам лишь нужно получить доступ к чьему-то серверу SharePoint посредством аналогичной или другой фишинговой схемы.

Когда получатель переходит по фишинговой ссылке, он попадает на реальный сервер SharePoint, где действительно расположен заявленный файл. Однако внутри этот файл выглядит как ещё одно извещение и содержит иконку файла PDF. Получатель воспринимает это как следующий шаг для скачивания данных и кликает на вредоносную ссылку.

«Эта фишинговая схема опасна тем, что уведомления приходят от имени легитимного сервиса настоящей компании. Тем не менее в данном случае есть красные флаги. Во-первых, неизвестно, кто поделился файлом — файлы от незнакомых людей лучше не открывать. К тому же неизвестно, что это за файл — легитимные адресанты, как правило, объясняют, что они прислали и зачем. Ссылка на скачивание файла ведёт на сторонний сайт, не имеющий отношения ни к организации жертвы, ни к SharePoint. Файл якобы лежит на сервере SharePoint, а сайт имитирует OneDrive — это два разных сервиса Microsoft», — пояснил Роман Деденок, эксперт «Лаборатории Касперского» по анализу спама.

За прошедший 2022 год количество фишинговых сайтов в доменных зонах .RU и .РФ увеличилось в три раза. В числе причин эксперты называют неразбериху с SSL-сертификатами, возникшую после ухода западных удостоверяющих центров. Сократить число подобных ресурсов могла бы идентификация их владельцев через «Госуслуги», в Минцифры уже рассматривают такую возможность.

Источник изображения: Bermix Studio/unsplash.com

Статистику «Известиям» предоставил Координационный центр доменов .RU/.РФ. По данным организации, одной из ключевых причин роста числа фишинговых сайтов стали проблемы с SSL-сертификатами, подтверждающими подлинность ресурса и обеспечивающими шифрование соединения. Они возникли после ухода из России зарубежных удостоверяющих центров, занимающихся выдачей упомянутых сертификатов. В настоящее время в стране развёрнуты собственные удостоверяющие центры, поэтому проблема не так остра, как раньше.

Рост количества фишинговых ресурсов подтверждает и Роскомнадзор. По данным ведомства, в январе-феврале были удалены или заблокированы 523 мошеннических ресурсов, а в аналогичном периоде прошлого года — 313. Создатели таких площадок активно используют тему санкций, предлагая сайты с якобы услугами подсанкционных банков и клоны маркетплейсов. На таких фишинговых ресурсах выманиваются личные и платёжные данные. Массовому распространению подобных площадок способствует невысокий порог «вхождения в преступный мир». Если ранее для создания фишинговых сайтов требовалась некоторая квалификация, то теперь их можно быстро создавать с помощью веб-конструкторов, не обладая познаниями в программировании. Кроме того, в глобальной сети имеется немало инструментов для злоумышленников.

Как заявляют специалисты Координационного центра, пресечь деятельность киберпреступников могло бы обязательное подтверждение паспортных данных лица, регистрирующего права на доменное имя через портал государственных услуг. Сейчас тоже необходимо указывать паспортные данные, но на момент регистрации они не проверяются, благодаря чему домены регистрируются массово. В Минцифры сообщили, что регистрация через «Госуслуги» прорабатывается, и предложения о внесении соответствующих изменений в закон «Об информации» обсуждаются заинтересованными ведомствами.

Любой пользователь Рунета может пожаловаться на фишинговый ресурс с помощью системы «ИС Антифишинг» Минцифры России, а уже пострадавшие от действий злоумышленников могут обратиться в Центр правовой помощи гражданам в цифровой среде, где помощь оказывают бесплатно.

Программные продукты «Лаборатории Касперского» в январе этого года заблокировали 151 тыс. попыток перехода на фишинговые ресурсы, имитирующие Telegram, что в десятки раз превышает аналогичный показатель годом ранее. Соответствующее сообщение опубликовано на официальном сайте компании.

Источник изображений: pixabay.com

«Это в 37 раз больше, чем за аналогичный период прошлого года, и составляет почти половину от общего числа таких попыток за весь 2022 год по России. Всплеск количества подобных фишинговых атак начался в ноябре прошлого года», — говорится в сообщении «Лаборатории Касперского».

Согласно имеющимся данным, основная цель создателей фишинговых ресурсов заключается в выманивании учётных данных: телефонного номера и кода подтверждения. После получения доступа к Telegram-аккаунтам жертв злоумышленники могут использовать их для разных целей, в том числе для кражи данных, шантажа и рассылки мошеннических сообщений.

Отмечается, что злоумышленники активно используют тактики социальной инженерии. Одна из наиболее распространённых схем связана с предложением принять участие в голосовании, например, за лучший детский рисунок. В некоторых случаях злоумышленники предлагают жертвам бесплатно протестировать премиум-подписку Telegram. В любом из случаев жертв побуждают перейти по ссылке, после чего они попадают на ресурс, где нужно ввести свои данные. После этого злоумышленники получают доступ к Telegram-аккаунту атакуемого.

Сотрудники нескольких российских компаний, в том числе из IT-сектора, получили вредоносные письма в июне 2022 года. Теперь же стало известно, что за атакой с использованием вредоносных писем стояли китайские хакеры из группировки Tonto Team, которая также известна под названиями HeartBeat, Karma Panda, CactusPete и др. Об этом пишет издание Forbes со ссылкой на данные компании Group-IB, работающей в сфере информационной безопасности.

Источник изображения: Pixabay

По данным Group-IB, используемая компанией система Managed XDR выдала оповещение о блокировке вредоносных электронных сообщений 20 июня. На тот момент было установлено получение таких писем двумя сотрудниками компаний, но в получателях также значились десятки представителей ведущих IT- и ИБ-компаний. При этом о каких именно компаниях идёт речь, сказано не было. В сообщении говорится, что целью хакеров стали сотрудники «телеком-операторов, разработчиков программного обеспечения, вендоры, один известный поисковик».

Для рассылки вредоносных писем злоумышленники использовали фальшивую почту, которую зарегистрировали в бесплатном сервисе Global Message eXchange. Специалисты Group-IB провели собственное расследование этого инцидента, в ходе которого сумели получить доказательства причастности к атаке хакеров из Tonto Team.

В компании пояснили, что хакеры использовали фишинговые письма для рассылки документов Microsoft Office, созданных с помощью компоновщика вредоносных RTF-эксплойтов Royal Road Weaponizer. Отмечается, что этот инструмент уже давно используют китайские прогосударственные хакеры. Помимо этого, специалисты обнаружили бэкдор Bisonal.DoubleT, созданный членами группировки Tonto Team.

Агентство по кибербезопасности и защите инфраструктуры США (CISA) совместно с Агентством национальной безопасности США распространило сообщение (PDF) о массированной фишинговой атаке, которая реализовывалась при помощи законных программ удалённого доступа и включала мошеннические действия с банковскими счетами жертв.

Источник изображения: Tumisu / pixabay.com

Жертвами атаки стали сотрудники Министерства внутренней безопасности, Министерства финансов и Министерства юстиции США. Злоумышленники рассылали работникам ведомств фишинговые письма, в которых пытались заставить своих жертв переходить по адресам вредоносных сайтов «первой стадии», которые выдавались за ресурсы известных компаний, в том числе Microsoft и Amazon. С некоторыми госслужащими связывались по телефону, пытаясь обманом заставить их открывать эти сайты.

На втором этапе жертвы устанавливали программы удалённого доступа, при помощи которых злоумышленники реализовывали мошеннические схемы. На компьютерах жертв киберпреступники получали доступ к их банковским счетам или банковским выпискам, которые впоследствии подделывались. Балансы по выпискам расходились с реальностью, и жертв атаки инструктировали о том, как «возместить» некую избыточную сумму.

Эксперты CISA подчеркнули, что массированная фишинговая атака производилась злоумышленниками, преследующими исключительно корыстные цели. Однако использованные при этом технические средства предполагали удалённое управление компьютерами, входящими в инфраструктуру государственных ведомств, что означает потенциальную угрозу национальной безопасности страны.