Video: Fem ting du skal vide om klimaet (Oktober 2024)
Disse nigerianske fyrster har nye tricks i ærmerne.
Kan du huske de 419-svindel? Dette var de ofte dårligt skrevne e-mail-meddelelser, der påstås at være fra et velhavende individ, der var villig til at betale overdådigt for hjælp til at overføre hans eller hendes formue ud af landet. I virkeligheden, da ofrene overleverede deres økonomiske oplysninger for at hjælpe og fik en stor udbetaling, plyndrede svindlerne bankkontiene og forsvandt.
Det ser ud til, at svindlere har hentet angrebsteknikker og datastjælpende malware, der tidligere blev brugt af mere sofistikerede cyber-kriminalitet og cyber-spionagegrupper, sagde Palo Alto Networks forskere. Forskere fra enhed 42, virksomhedens trusselsinformationsteam, skitserede række angreb mod taiwanesiske og sydkoreanske virksomheder i rapporten "419 Evolution", der blev offentliggjort tirsdag.
I fortiden målrettede den socialtekniske svindel primært mod "velhavende, intetanende personer." Med nye værktøjer i hånden ser disse 419 svindlere ud til at have flyttet offerpuljen til også at omfatte virksomheder.
"Skuespillerne viser ikke et højt niveau af teknisk skarphed, men repræsenterer en voksende trussel mod virksomheder, der ikke tidligere har været deres primære mål, " sagde Ryan Olson, Unit 42s efterretningsdirektør.
Sofistikerede angreb fra de uinitierede
Palo Alto Networks sporer angrebene, kaldet "Silver Spaniel" af Unit 42s forskere, i de sidste tre måneder. Angrebet begyndte med en ondsindet vedhæftet fil ved e-mail, som, når det klikkes, installerede malware på offerets computer. Et eksempel er et fjernadministrationsværktøj (RAT) kaldet NetWire, som giver angribere mulighed for fjernt at overtage Windows-, Mac OS X- og Linux-maskiner. Et andet værktøj, DataScrambler, blev brugt til at pakke NetWire tilbage til at undgå detektering af antivirusprogrammer. DarkComet RAT er også blevet brugt i disse angreb, siger rapporten.
Disse værktøjer er billige og let tilgængelige på underjordiske fora og kan "implementeres af enhver med en bærbar computer og en e-mail-adresse, " siger rapporten.
419-svindlere var eksperter inden for social ingeniørarbejde, men var nybegynder, når det kom til at arbejde med malware og "udviste bemærkelsesværdig dårlig driftssikkerhed", fandt rapporten. Selvom kommando- og kontrolinfrastrukturen var designet til at bruge dynamiske DNS-domæner (fra NoIP.com) og en VPN-service (fra NVPN.net), konfigurerede nogle af angriberen DNS-domænerne til at pege på deres egne IP-adresser. Forskere var i stand til at spore forbindelserne til nigerianske mobil- og satellitudbydere, siger rapporten.
Svindlere har meget at lære
I øjeblikket udnytter angriberen ikke nogen softwaresårbarheder og er stadig afhængige af social engineering (som de er meget gode til) for at narre ofrene til at installere malware. De ser ud til at stjæle adgangskoder og andre data for at lancere opfølgende social engineering-angreb.
"Indtil videre har vi ikke observeret sekundære nyttelast installeret eller nogen lateral bevægelse mellem systemer, men vi kan ikke udelukke denne aktivitet, " skrev forskerne.
Forskere afslørede en nigerianer, der gentagne gange nævnte malware på Facebook, spurgte om specifikke NetWire-funktioner eller bad om støtte, der arbejdede med Zeus og SpyEye, for eksempel. Mens forskere endnu ikke har knyttet denne specifikke skuespiller til Silver Spaniel-angrebene, var han et eksempel på nogen "der begyndte deres kriminelle karrierer med 419-svindel og udvikler deres håndværk til at bruge malware-værktøjer, der findes på underjordiske fora, " sagde Palo Alto Networks.
Rapporten anbefalede at blokere alle eksekverbare vedhæftede filer på e-mails og inspicere.zip- og.rar-arkiver for potentielle ondsindede filer. Firewalls bør også blokere adgangen til ofte misbrugte dynamiske DNS-domæner, og brugere skal trænes til at være mistænkelige over vedhæftede filer, selv når filnavne ser legitime ud eller relateret til deres arbejde, sagde Palo Alto Networks. Rapporten omfattede Snort- og Suricata-regler til at registrere Netwire-trafik. Forskere frigav også et gratis værktøj til at dekryptere og afkode kommando og styre trafik og afsløre data stjålet af Silver Spaniel angribere.
"På dette tidspunkt forventer vi ikke, at Silver Spaniel-skuespillere begynder at udvikle nye værktøjer eller udnyttelse, men de vil sandsynligvis vedtage nye værktøjer, der er lavet af mere dygtige skuespillere, " siger rapporten.
