data-stealing-storm-report-2024-RU.pdf
12.4 MB
Команда Kaspersky Digital Footprint Intelligence выпустила отчет со статистикой по вредоносному ПО для кражи информации (инфостилерами) и рекомендациями по методу защиты.
Обновление Nomorephish 1.16.4
Новые функции:
• Добавлен Punycode-конвертер, который преобразовывает IDN-домены (Internationalized Domain Name) из Unicode в ACE (ASCII Compatible Encoding). Например, xn--h1alffa9f.xn--p1ai будет отображаться на веб-странице как "Россия.рф".
• Добавлена форма обратной связи. Ссылка на неё находится в подвале веб-страницы.
Улучшения:
• Улучшена защита сайта: добавлена CSRF-защита и HTTPS-заголовки безопасности.
• Веб-страницы 403, 404 и 500 оформлены в корпоративном стиле.
• Различные оптимизации кода.
• Другие незначительные улучшения.
Новые функции:
• Добавлен Punycode-конвертер, который преобразовывает IDN-домены (Internationalized Domain Name) из Unicode в ACE (ASCII Compatible Encoding). Например, xn--h1alffa9f.xn--p1ai будет отображаться на веб-странице как "Россия.рф".
• Добавлена форма обратной связи. Ссылка на неё находится в подвале веб-страницы.
Улучшения:
• Улучшена защита сайта: добавлена CSRF-защита и HTTPS-заголовки безопасности.
• Веб-страницы 403, 404 и 500 оформлены в корпоративном стиле.
• Различные оптимизации кода.
• Другие незначительные улучшения.
GitHub Actions уязвимы перед тайпсквоттингом — Хакер
https://xakep.ru/2024/09/09/typosquatting-in-github-actions/
https://xakep.ru/2024/09/09/typosquatting-in-github-actions/
XAKEP
GitHub Actions уязвимы перед тайпсквоттингом
Аналитики компании Orca предупредили, что преступники могут использовать CI/CD платформу GitHub Actions для тайпсквоттинга, вынуждая ничего не подозревающих пользователей посещать вредоносные сайты или загружать вредоносные программы и пакеты.
Forwarded from SecAtor
Исследователи из Лаборатории Касперского обнаружили сложную кампанию под общим названием Tusk, инициируемую русскоязычными киберпреступниками, попутно отследив множество ее подкампаний.
Каждая из них имитирует определенный легитимный проект: злоумышленники вносят незначительные изменения в названия и брендинг, а также используют многочисленные аккаунты в социальных сетях, дабы вызвать доверие у жертв.
В ходе анализа исследователи обнаружили, что первичные загрузчики всех активных подкампаний размещаются на Dropbox.
Через них образцы вредоносного ПО, включая стилеры Danabot, StealC и клипперы, попадают на устройство жертвы.
Помимо этого, злоумышленники используют техники фишинга, чтобы обманом получить у пользователей конфиденциальную информацию, например учетные данные.
Позже их реализуют в даркнете или используют для получения неправомерного доступа к игровым аккаунтам и криптокошелькам жертв, осуществляя кражу средств.
На момент проведения исследования ЛК удалось идентифицировать три активных и шестнадцать уже неактивных подкампаний. Причем неактивные подкампании, - это либо уже отработанные, либо еще не реализованные.
Все они в общей массе были названы в соответствии с обнаруженным в сообщениях логов загрузчиков упоминанием слова мамонт, которым злоумышленники обычно именуют свою жертву.
В рамках первой кампании TidyMe злоумышленники имитировали peerme.io - платформу для создания децентрализованных автономных организаций (DAO) в блокчейне MultiversX и управления ими.
На вредоносном сайте вместо кнопки Create your Team now присутствует кнопка Download.
При нажатии определяется подходящая версия вредоносного ПО для Windows или macOS, жертве направляется соответствующий файл.
Первичный загрузчик - TidyMe.exe, приложение на основе Electron, а полезная нагрузка - updateload.exe и bytes.exe (образец использует модульный загрузчик HijackLoader), финальная - вариант вредоносного ПО семейства стилеров StealC.
Вторая подкампания RuneOnlineWorld полагается на поддельный сайт MMO-игры, где расположена ссылка на первичный загрузчик.
Логика подбора версии ПО, соответствующей устройству жертвы, также идентична используемой в TidyMe. Название образца - RuneOnlineWorld.exe (приложение на основе Electron, его логика и структура почти идентичны загрузчику первой кампании).
В кампании RuneOnlineWorld две полезные нагрузки уже не собраны в один файл. Updateload.exe использует HijackLoader и внедряет код в легитимные программы. Финальный этап атаки реализует несколько стилеров семейств Danabot и StealC.
В рамках третьей кампании Voico злоумышленники имитировали переводчик на базе ИИ под названием YOUS.
Как и в двух предыдущих, на вредоносном веб-сайте расположена ссылка на первичный загрузчик, замаскированный под приложение, механизм заражения аналогичный, а образец вредоносного ПО носит название Voico.exe.
Оба выполняемых файла в этой кампании (updateload.exe и bytes.exe) по поведению очень напоминают файл updateload.exe из второй подкампании, но с одним различием: скачанное вредоносное ПО StealC связывается с другим С2.
Детальный разбор каждой из кампаний, цепочек заражений с индикаторами компрометации - в отчете.
Каждая из них имитирует определенный легитимный проект: злоумышленники вносят незначительные изменения в названия и брендинг, а также используют многочисленные аккаунты в социальных сетях, дабы вызвать доверие у жертв.
В ходе анализа исследователи обнаружили, что первичные загрузчики всех активных подкампаний размещаются на Dropbox.
Через них образцы вредоносного ПО, включая стилеры Danabot, StealC и клипперы, попадают на устройство жертвы.
Помимо этого, злоумышленники используют техники фишинга, чтобы обманом получить у пользователей конфиденциальную информацию, например учетные данные.
Позже их реализуют в даркнете или используют для получения неправомерного доступа к игровым аккаунтам и криптокошелькам жертв, осуществляя кражу средств.
На момент проведения исследования ЛК удалось идентифицировать три активных и шестнадцать уже неактивных подкампаний. Причем неактивные подкампании, - это либо уже отработанные, либо еще не реализованные.
Все они в общей массе были названы в соответствии с обнаруженным в сообщениях логов загрузчиков упоминанием слова мамонт, которым злоумышленники обычно именуют свою жертву.
В рамках первой кампании TidyMe злоумышленники имитировали peerme.io - платформу для создания децентрализованных автономных организаций (DAO) в блокчейне MultiversX и управления ими.
На вредоносном сайте вместо кнопки Create your Team now присутствует кнопка Download.
При нажатии определяется подходящая версия вредоносного ПО для Windows или macOS, жертве направляется соответствующий файл.
Первичный загрузчик - TidyMe.exe, приложение на основе Electron, а полезная нагрузка - updateload.exe и bytes.exe (образец использует модульный загрузчик HijackLoader), финальная - вариант вредоносного ПО семейства стилеров StealC.
Вторая подкампания RuneOnlineWorld полагается на поддельный сайт MMO-игры, где расположена ссылка на первичный загрузчик.
Логика подбора версии ПО, соответствующей устройству жертвы, также идентична используемой в TidyMe. Название образца - RuneOnlineWorld.exe (приложение на основе Electron, его логика и структура почти идентичны загрузчику первой кампании).
В кампании RuneOnlineWorld две полезные нагрузки уже не собраны в один файл. Updateload.exe использует HijackLoader и внедряет код в легитимные программы. Финальный этап атаки реализует несколько стилеров семейств Danabot и StealC.
В рамках третьей кампании Voico злоумышленники имитировали переводчик на базе ИИ под названием YOUS.
Как и в двух предыдущих, на вредоносном веб-сайте расположена ссылка на первичный загрузчик, замаскированный под приложение, механизм заражения аналогичный, а образец вредоносного ПО носит название Voico.exe.
Оба выполняемых файла в этой кампании (updateload.exe и bytes.exe) по поведению очень напоминают файл updateload.exe из второй подкампании, но с одним различием: скачанное вредоносное ПО StealC связывается с другим С2.
Детальный разбор каждой из кампаний, цепочек заражений с индикаторами компрометации - в отчете.
Securelist
Новая кампания злоумышленников Tusk использует стилеры и клипперы для кражи денег и данных
Эксперты «Лаборатории Касперского» обнаружили активную кампанию Tusk, использующую стилеры Danabot и StealC и клипперы для кражи данных с устройств и из криптокошельков.
«Лаборатория Касперского» предупреждает о массовых почтовых атаках на отели в России
https://www.kaspersky.ru/about/press-releases/fishingovaya-kampaniya-s-progrevom-laboratoriya-kasperskogo-preduprezhdaet-o-massovyh-pochtovyh-atakah-na-oteli-v-rossii
https://www.kaspersky.ru/about/press-releases/fishingovaya-kampaniya-s-progrevom-laboratoriya-kasperskogo-preduprezhdaet-o-massovyh-pochtovyh-atakah-na-oteli-v-rossii
/
«Лаборатория Касперского» предупреждает о массовых почтовых атаках на отели в России
Мошенники пытаются украсть аккаунты гостиниц на популярных сервисах онлайн-бронирования
$20 и просроченный домен могут подорвать доверие к данным WhoIs
https://www.anti-malware.ru/news/2024-09-12-114534/44126
https://www.anti-malware.ru/news/2024-09-12-114534/44126
Anti-Malware
$20 и просроченный домен могут подорвать доверие к данным WhoIs
Перерегистрация домена, в котором ранее работал авторитативный сервер WhoIs для TLD-зоны .mobi, позволила ИБ-экспертам создать фейк, открыв возможность для отслеживания имейл-обмена, подделки
Интересный фишинг: атакующие используют заголовки HTTP для кражи данных
https://www.anti-malware.ru/news/2024-09-16-111332/44153
https://www.anti-malware.ru/news/2024-09-16-111332/44153
Anti-Malware
Интересный фишинг: атакующие используют заголовки HTTP для кражи данных
Киберпреступники запустили новые фишинговые кампании, в которых используются записи «refresh» в HTTP-заголовках для доставки поддельных страниц с формами входа. Задача — вытащить учётные данные
Forwarded from FrontSecOps (Михаил Парфенов)
Frontend-фишинг с использованием JS Notification / Push API
Эти API предоставляют js-коду📱 возможность показывать нативные уведомления браузера на устройстве пользователя. Push API (в отличии от Notification API) может показывать уведомления даже при закрытой вкладке браузера ⚠️ , а на мобильных устройствах даже при закрытом браузере, поэтому рассмотрим именно его.
Исходные данные
Наше frontend-приложение уже запрашивало разрешение на показ уведомлений либо запросит, и пользователи согласятся (доверяют нашей компании).
В случае с мобильными устройствами пользователи добавили наше web-приложений на экран "Домой", что дает web-приложению права PWA (progressive web app), в том числе права на отправку push-уведомлений.
Предположим, что в ваш проект попал вредоносный js-код (с новыми версиями зависимостей, в результате компрометации сервера, сгенерирован "плохой" нейросетью и т.д.), а именно в код Service Worker (требование для вызова Push API, для Notification API в любое место в js-коде).
Злоумышленник получает возможность подключиться к своему серверу push-уведомлений и показывать пользователю нативные уведомления с любой картинкой/текстом/возможностью при клике редиректить пользователя на любой сайт⚠️ . Это открывает безграничные возможности для фишинга 🤒
⚠️ С вашего счета произведен перевод денег..
⚠️ Заказ № 123456 оформлен, сумма 14 793 руб., дата доставки..
⚠️ Обнаружен вирус на устройстве, выберите действие..
⚠️ Ваш почтовый ящик заблокирован..
⚠️ Кто-кто входит в ваш аккаунт..
Далее - кража учетных данных🪪 , загрузка вредоносного вложения с эксплойтом 💣 и т.п.
На Desktop и Android в push-уведомлении можно показать любую картинку (логотип банка, мессенджера, популярного приложения). В iOS всегда будет отображаться иконка нашего сайта.
Если неквалифицированные пользователи / люди в возрасте доверяют баннерам "про обновление антивируса" на сайтах с кулинарными рецептами, то нативным уведомлениям на мобильном устройстве могут поверить даже опытные пользователи.
Злоумышленники "хотят" наш frontend больше💰 , чем мы думаем… А уязвимости браузеров 📱 🌐 делают frontend-приложения идеальной точкой проникновения на устройства пользователей.
Как защититься?
🔹Контролировать использование WebAPI в frontend-приложении: Service Worker API, Push API, Notification API
🔹Контролировать целостность js-кода, включая код Service Worker
🔹Проводить инвентаризацию js-кода, включая динамически загружаемый, в runtime браузера при выполнении основных E2E-сценариев
🔹Контроль при каждом релизе и периодически в продакшене + реагирование
@FrontSecOps
Эти API предоставляют js-коду
Исходные данные
Наше frontend-приложение уже запрашивало разрешение на показ уведомлений либо запросит, и пользователи согласятся (доверяют нашей компании).
В случае с мобильными устройствами пользователи добавили наше web-приложений на экран "Домой", что дает web-приложению права PWA (progressive web app), в том числе права на отправку push-уведомлений.
Предположим, что в ваш проект попал вредоносный js-код (с новыми версиями зависимостей, в результате компрометации сервера, сгенерирован "плохой" нейросетью и т.д.), а именно в код Service Worker (требование для вызова Push API, для Notification API в любое место в js-коде).
Злоумышленник получает возможность подключиться к своему серверу push-уведомлений и показывать пользователю нативные уведомления с любой картинкой/текстом/возможностью при клике редиректить пользователя на любой сайт
Далее - кража учетных данных
На Desktop и Android в push-уведомлении можно показать любую картинку (логотип банка, мессенджера, популярного приложения). В iOS всегда будет отображаться иконка нашего сайта.
Если неквалифицированные пользователи / люди в возрасте доверяют баннерам "про обновление антивируса" на сайтах с кулинарными рецептами, то нативным уведомлениям на мобильном устройстве могут поверить даже опытные пользователи.
Злоумышленники "хотят" наш frontend больше
Как защититься?
🔹Контролировать использование WebAPI в frontend-приложении: Service Worker API, Push API, Notification API
🔹Контролировать целостность js-кода, включая код Service Worker
🔹Проводить инвентаризацию js-кода, включая динамически загружаемый, в runtime браузера при выполнении основных E2E-сценариев
🔹Контроль при каждом релизе и периодически в продакшене + реагирование
@FrontSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from AlexRedSec
Свежее исследование "Different Seas, Different Phishes" о нашем любимом: фишинговых симуляциях и попытках найти закономерности в поведении сотрудников🎣
В данной работе был проведен анализ 96 кампаний фишинговых симуляций, охвативших 36 организаций из различных секторов экономики, что довольно масштабно по сравнению с предыдущими аналогичными исследованиями.
Ниже описал главное и/или интересное.
Эффективность различных параметров фишинга:
🎯 Сценарии целевого фишинга (ожидаемо) повышали кликабельность на 22% по сравнению со сценариями массового фишинга.
🤑 Сценарии типа "Не упусти выгоду" демонстрировали на 18% более высокую вовлеченность, чем сценарии компрометации аккаунта, что подчеркивает эффективность страха упущенной выгоды (FOMO, привет!) по сравнению со страхом угрозы безопасности.
🧐 Повышение сложности шаблона давало лишь 6% роста кликабельности, что указывает на главенствующую роль психологического фактора и фактора контекста.
Межотраслевые и внутриорганизационные различия:
⛏ Организации сектора промышленности и производства показали на 41% меньше уровень кликабельности, чем сфера услуг, что связано с автоматизированными процессами и меньшей зависимостью от почтовых коммуникаций.
👨💻 Отделы маркетинга и продаж продемонстрировали более чем в два раза большую подверженность фишинговым симуляциям по сравнению с финансовым департаментом. Это различие может объясняться несколькими факторами: сотрудники финансовых департаментов, возможно, более осторожны с электронной почтой из-за характера их работы с конфиденциальной финансовой информацией, в то время как сотрудники отделов продаж и маркетинга могут быть более склонны к активному взаимодействию с внешними контактами и новыми возможностями.
👨💻 Менеджеры среднего звена на 15% чаще взаимодействовали с фишинговыми письмами, чем топ-менеджеры, что опровергает стереотип о большей уязвимости высшего руководства.
Рекомендации ИБ-специалистам:
➡️ При построении системы защиты необходимо учитывать коммуникационные паттерны и рабочие процессы свойственные конкретной индустрии.
➡️ При проведении тренингов также необходимо учитывать специфику работы различных департаментов, в т.ч. нюансы коммуникаций с "внешним миром".
➡️ Использование фишинговых симуляций с прогрессивно увеличивающейся персонализацией позволяет точнее оценивать реальную уязвимость организации, чем статичные тесты на базе шаблонных сценариев.
Также, авторы исследования подсветили, что в публичных отчетах вендоров решенийsecurity awareness human risk management сообщается о более высоких показателей кликов, что может свидетельствовать о предвзятой оценке, направленной на увеличение продаж их продуктов😏
#awareness #phishing #training #risk #hrm #simulation
В данной работе был проведен анализ 96 кампаний фишинговых симуляций, охвативших 36 организаций из различных секторов экономики, что довольно масштабно по сравнению с предыдущими аналогичными исследованиями.
Ниже описал главное и/или интересное.
Эффективность различных параметров фишинга:
Межотраслевые и внутриорганизационные различия:
Рекомендации ИБ-специалистам:
Также, авторы исследования подсветили, что в публичных отчетах вендоров решений
#awareness #phishing #training #risk #hrm #simulation
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Злоумышленники используют фишинговые домены с поддельными страницами входа для кражи учетных данных разработчиков npm-пакетов
Socket
npm Phishing Email Targets Developers with Typosquatted Doma...
A phishing attack targeted developers using a typosquatted npm domain (npnjs.com) to steal credentials via fake login pages - watch out for similar sc...
Верховный суд РФ вступился за заказчиков услуг в интернете | Российское агентство правовой и судебной информации - РАПСИ
http://rapsinews.ru/judicial_analyst/20250731/311057799.html
http://rapsinews.ru/judicial_analyst/20250731/311057799.html
РАПСИ
Верховный суд РФ вступился за заказчиков услуг в интернете
Верховный суд РФ запретил перекладывать на пользователей интернета проверку подлинности сайтов и распознавание "зеркал": бизнесмены, как профессиональные участники рынка, сами должны следить за предложением в сети «Интернет» услуг от их имени.
Год назад ICANN полностью перевела доступ к данным регистрации доменных имён в зонах gTLD с устаревшего протокола WHOIS на современный и безопасный RDAP (Registration Data Access Protocol).
🔹 Что изменилось?
— WHOIS больше не будет поддерживаться как основной источник данных.
— Все запросы о регистрации теперь должны направляться через RDAP — протокол, разработанный IETF с учётом требований безопасности, международной совместимости и гибкого контроля доступа.
— RDAP поддерживает различные методы аутентификации, HTTPS, структурированный JSON-формат и возможность дифференцированного доступа: данные можно разделять по уровням — публичные (для всех) и непубличные (для спецслужб, судов, кибербезопасников).
👨💻 Что делать разработчикам и SOC-командам?
— Новые gTLD могут не поддерживать RDRS в периходный период, поэтому лучше реализовать поддержку обоих протоколов.
— Интегрировать ICANN Lookup API или использовать публичные RDAP-адреса регистраторов.
— Настроить процессы запроса непубличных данных через RDRS — особенно если вы работаете в сфере кибербезопасности, защиты брендов или расследования инцидентов.
💡 Полезные ссылки
— Новость о переходе
— ICANN Lookup
— Документация по RDAP: RFC 7480-7483, 8521, 8056.
VK Telegram
#RDAP #WHOIS #ICANN
🔹 Что изменилось?
— WHOIS больше не будет поддерживаться как основной источник данных.
— Все запросы о регистрации теперь должны направляться через RDAP — протокол, разработанный IETF с учётом требований безопасности, международной совместимости и гибкого контроля доступа.
— RDAP поддерживает различные методы аутентификации, HTTPS, структурированный JSON-формат и возможность дифференцированного доступа: данные можно разделять по уровням — публичные (для всех) и непубличные (для спецслужб, судов, кибербезопасников).
👨💻 Что делать разработчикам и SOC-командам?
— Новые gTLD могут не поддерживать RDRS в периходный период, поэтому лучше реализовать поддержку обоих протоколов.
— Интегрировать ICANN Lookup API или использовать публичные RDAP-адреса регистраторов.
— Настроить процессы запроса непубличных данных через RDRS — особенно если вы работаете в сфере кибербезопасности, защиты брендов или расследования инцидентов.
💡 Полезные ссылки
— Новость о переходе
— ICANN Lookup
— Документация по RDAP: RFC 7480-7483, 8521, 8056.
VK Telegram
#RDAP #WHOIS #ICANN