#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Lumma - это вредоносная программа для кражи информации, связанная с начальными загрузчиками .NET /C#, использующая такие методы, как удаленное внедрение процессов и командно-контрольная связь для утечки данных. В нем используются сложные методы, в том числе хеширование по протоколу SHA-256 и расшифровка ChaCha20, которые часто распространяются через Telegram и привязаны к брокерам начального доступа. Согласно последним отчетам, в период с марта по май 2025 года по всему миру было взломано более 394 000 компьютеров с Windows.
-----

Lumma - это вредоносная программа для кражи информации, которая набрала популярность за последние пару лет и с которой часто сталкивается команда обнаружения и реагирования WithSecure. В недавнем анализе заражение Lumma было связано с первоначальным загрузчиком, разработанным на .NET/C#, и было рассмотрено в выборках в период с февраля по март 2025 года. Заражение обычно происходит по вектору атаки, когда хакеры извлекают учетные данные пользователей, возможно, с помощью фишинга или использования средств для кражи информации, таких как Lumma, часто при содействии брокеров начального доступа (IAB), которые помогают получить доступ к целевым системам.

Вредоносная программа, которая также имеет версию на C++, находится в разработке с конца 2022 года и распространяется через такие каналы, как Telegram, демонстрируя различные уровни обслуживания. Разработчики программы внедрили технологию упаковки, которая делает ее "полностью необнаруживаемой" (FUD), тем самым препятствуя прямому распространению среди жертв. Последние данные указывают на значительную волну заражений: Microsoft сообщила о более чем 394 000 взломанных компьютерах с Windows по всему миру в период с марта по май 2025 года.

Анализ показал, что Lumma использует сложное поведение, указывающее на наличие сложного вредоносного ПО. Он использует структуры IMAGE_SECTION_HEADER для идентификации и извлечения разделов, специально предназначенных для .КОДОВАЯ часть двоичного файла с помощью методов хэширования с использованием SHA-256. Во время выполнения вредоносная программа создает собственные копии, подключается к различным доменам управления (C2) и известна своей специфической связью с такими платформами, как Steam, что предполагает различные оперативные тактики для утечки данных.

Вредоносная программа использует удаленное внедрение процессов и манипулирует памятью с помощью таких функций, как VirtualAlloc и WriteProcessMemory, чтобы обеспечить успешное извлечение данных и скрытую работу. Он проверяет наличие бинарной упаковки и выполняет несколько предполетных проверок, включая языковые настройки, что указывает на его конструкцию, направленную на ограничение обнаружения и повышение эффективности в целевых средах.

Lumma способна расшифровывать адреса домена C2 с помощью ChaCha20 и инициировать HTTP POST-запросы, что является стандартным поведением для похитителей информации при извлечении данных. Эти действия подчеркивают его многогранные возможности, включая потенциальный доступ к данным через браузер и поиск пользовательских файлов, что свидетельствует о значительной сложности операций по сравнению с обычными вредоносными двоичными файлами.

По мере того как ситуация с кражей информации продолжает развиваться, Lumma демонстрирует адаптивную природу вредоносных программ, использующих обновленные тактики, методы и процедуры (TTP), которые используют хакеры, что делает непрерывный мониторинг и анализ первостепенными для защиты кибербезопасности. Организациям рекомендуется усилить меры безопасности, заблокировав определенные TLD, связанные с такими вредоносными программами, использовать 2FA для защиты конфиденциальных учетных записей и проводить обучение сотрудников борьбе с фишингом для снижения рисков, связанных с такими угрозами, как Lumma.

#ParsedReport #CompletenessLow
26-07-2025

Weekly Threat Infrastructure Investigation(Week29)

https://disconinja.hatenablog.com/entry/2025/07/26/114152

Report completeness: Low

Threats:
Cobalt_strike_tool
Netsupportmanager_rat
Sliver_c2_tool
Redguard_tool
Brc4_tool

Geo:
Japan

ChatGPT TTPs:
do not use without manual check
T1071, T1105, T1219

IOCs:
IP: 15

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessLow
25-07-2025

Watch out: Instagram users targeted in novel phishing campaign

https://www.malwarebytes.com/blog/news/2025/07/watch-out-instagram-users-targeted-in-novel-phishing-campaign

Report completeness: Low

Threats:
Typosquatting_technique

Victims:
Instagram users, Meta users, Instagram business accounts, Influential instagram accounts

ChatGPT TTPs:
do not use without manual check
T1566.001, T1583.001, T1586.002

IOCs:
Email: 6
Domain: 1

Soft:
Instagram, gmail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В фишинговой кампании, нацеленной на пользователей Instagram, используются ссылки mailto:, которые используют фильтры электронной почты, избегая вредоносных URL-адресов. Злоумышленники используют методы опечатывания для создания вводящих в заблуждение адресов электронной почты с целью сбора конфиденциальной информации без необходимости обслуживания фишинговых сайтов.
-----

Недавно была выявлена фишинговая кампания, нацеленная на пользователей Instagram, отличающаяся использованием ссылок mailto: вместо более распространенного метода перенаправления пользователей на мошеннические веб-сайты. Фишинговое электронное письмо имитирует законную переписку из Instagram, в нем утверждается о попытке несанкционированного входа в учетную запись пользователя и предлагается набор опций для подтверждения личности или сообщения о подозрительных действиях. Адреса, встроенные в ссылки mailto:, по-видимому, получены с помощью методов опечатывания, при которых злоумышленники регистрируют доменные имена, похожие на авторитетные, но слегка отличающиеся по написанию.

Тактика, используемая в этой кампании, использует распространенные механизмы фильтрации электронной почты, которые обычно помечают или помещают в карантин электронные письма, содержащие вредоносные URL-адреса. Используя mailto: links, злоумышленники могут обойти эти средства защиты, поскольку электронные письма не содержат ссылок на внешние сайты и, следовательно, избегают автоматической проверки репутации. Этот метод снижает операционную нагрузку злоумышленников, поскольку им не нужно создавать и поддерживать фишинговые сайты. Вместо этого они просто отслеживают ответы жертв, проверяя действительность соответствующих адресов электронной почты и подготавливая почву для дальнейших попыток фишинга, направленных на извлечение конфиденциальной информации.

В ходе предыдущих инцидентов были выявлены аналогичные стратегии фишинга, в частности, нацеленные на аккаунты с высокой стоимостью, такие как бизнес-профили Instagram. Сообщается, что в этой конкретной кампании использовались угрозы приостановки действия аккаунта из-за фиктивных нарушений в рекламе, чтобы заставить пользователей соблюдать требования. Скомпрометированные учетные записи не только обогащают злоумышленников, предоставляя им доступ к дальнейшим вредоносным действиям, но и могут быть использованы для получения финансовой выгоды путем требования выкупа за восстановление учетной записи.

Чтобы защититься от подобных мошенничеств, пользователям рекомендуется тщательно проверять источники сообщений электронной почты, особенно тех, которые требуют срочности или вызывают тревогу. Законные компании, такие как Instagram, не будут запрашивать конфиденциальную информацию по электронной почте. Пользователям следует воздержаться от ответа на подозрительные электронные письма, поскольку это подтверждает заинтересованность и может привести к дополнительной проверке. Выполнение поиска или использование таких инструментов, как Malwarebytes Scam Guard, может помочь проверить подлинность таких сообщений. Эта фишинговая кампания подчеркивает эволюционирующую природу хакеров, подчеркивая необходимость того, чтобы пользователи сохраняли бдительность в условиях все более изощренной тактики, применяемой киберпреступниками.

#ParsedReport #CompletenessLow
25-07-2025

Critical SonicWall SMA Vulnerability CVE-2025-40599: What You Need to Know

https://socradar.io/critical-sonicwall-sma-vulnerability-cve-2025-40599/

Report completeness: Low

Actors/Campaigns:
Unc6148

Threats:
Overstep
Abyss_locker
Vsociety

Victims:
Organizations relying on sonicwall sma 100 series devices

CVEs:
CVE-2024-38475 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache http_server (<2.4.60)

CVE-2021-20038 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sma_200_firmware (10.2.0.8-37sv, 10.2.1.1-19sv, 10.2.1.2-24sv)

CVE-2025-40599 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1055, T1059, T1078, T1105, T1136, T1547.006

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Серия SMA 100 от SonicWall содержит критическую уязвимость (CVE-2025-40599, CVSS 9.1), позволяющую осуществлять RCE через ошибку загрузки аутентифицированных файлов. хакерская группа UNC6148 использует это с помощью бэкдора OVERSTEP, используя украденные учетные данные для постоянного доступа. Организациям необходимо обновить прошивку до версии 10.2.2.1-90sv или более поздней, чтобы снизить риски.
-----

Компания SonicWall выявила критическую уязвимость в своих устройствах удаленного доступа серии SMA 100, обозначенную как CVE-2025-40599, которая имеет оценку CVSS 9,1. Эта уязвимость особенно опасна для организаций, которые используют эти устройства для обеспечения безопасной связи. Проблема возникает из-за уязвимости при загрузке произвольных файлов с проверкой подлинности, присутствующей в веб-интерфейсе управления устройствами, которая особенно затрагивает такие модели, как SMA 210, 410 и 500v. Несмотря на то, что для эксплуатации требуются учетные данные администратора, успешные атаки могут привести к полному удаленному выполнению кода (RCE), что делает возможным несанкционированное выполнение вредоносного кода и потенциальную полную компрометацию устройства.

Злоумышленник с правами администратора может загружать произвольные файлы, тем самым открывая систему для дальнейшего использования. Несмотря на то, что SonicWall не подтвердил текущее активное использование этой уязвимости, растет обеспокоенность, связанная с появляющимися угрозами. Сообщается, что хакерская группа, известная как UNC6148, использует сложный вариант вредоносного ПО под названием OVERSTEP для защиты устройств SMA 100. Эта группа использует украденные учетные данные и может использовать уязвимости нулевого дня для получения доступа. В некоторых инцидентах они устанавливали сеансы VPN, используя эти учетные данные, для запуска обратных оболочек и развертывания OVERSTEP - бэкдора с возможностями руткита в пользовательском режиме, который обеспечивает постоянный и скрытый доступ к скомпрометированным устройствам.

Исследования показывают, что OVERSTEP - это эволюционировавшая форма ранее использовавшихся инструментов в кампаниях по вымогательству, которая связывает его с вредоносным ПО Abyss, связанным с VSOCIETY. Существенной проблемой, связанной с работой UNC6148, является сохранение доступа к устройствам за счет повторного использования исходных данных с одноразовым паролем (OTP) и учетных данных администратора, что указывает на то, что они способны поддерживать долгосрочный доступ даже после внедрения обновлений для системы безопасности. GTIG предполагает, что многие учетные данные могли быть скомпрометированы в ходе предыдущих атак, в ходе которых использовались более старые уязвимости, включая CVE-2021-20038 и CVE-2024-38475.

Для снижения рисков, связанных с CVE-2025-40599, организациям необходимо обновить свои устройства SMA 100 до версии встроенного ПО 10.2.2.1-90sv или более поздней, поскольку это единственная версия, которая эффективно устраняет уязвимость. Организациям следует сохранять бдительность в отношении своей системы безопасности, обеспечивая проактивное управление своими объектами атаки для защиты от потенциальных угроз.

#ParsedReport #CompletenessLow
25-07-2025

Steam games abused to deliver malware once again

https://www.malwarebytes.com/blog/news/2025/07/steam-games-abused-to-deliver-malware-once-again

Report completeness: Low

Actors/Campaigns:
Encrypthub (motivation: cyber_criminal)

Threats:
Fickle_stealer
Hijackloader
Vidar_stealer
Danabot
Redline_stealer

Victims:
Steam users, Gamers

ChatGPT TTPs:
do not use without manual check
T1005, T1059.001, T1105, T1195.002, T1204.002, T1547, T1548.002, T1555, T1566.002

IOCs:
Domain: 3
Hash: 4

Soft:
Steam

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакер EncryptHub, также известный как Larva-208, использовал Steam для распространения вредоносного ПО для кражи информации через игру Chemia, используя троянский загрузчик для развертывания Fickle Stealer, Vidar и HijackLoader, которые нацелены на конфиденциальную информацию.
-----

Киберпреступник, известный как EncryptHub, также известный как Larva-208, использовал платформу онлайн-игр Steam для распространения вредоносного ПО, похищающего информацию. Метод заключался во внедрении вредоносных файлов в файлы игры Chemia, приключенческой игры на выживание, которая в настоящее время доступна в раннем доступе в Steam. С 22 июля 2025 года EncryptHub внедрил троянский загрузчик в Chemia, который работает параллельно с законным игровым приложением. Этот загрузчик сохраняет работоспособность в зараженных системах и впоследствии распространяет различные типы вредоносных программ, в частности Fickle Stealer, HijackLoader и Vidar.

Fickle Stealer - это новая программа для кражи информации, использующая скрипты PowerShell, способные обходить функции контроля учетных записей пользователей (UAC). Эта вредоносная программа может извлекать конфиденциальные файлы, системные данные, данные браузера и информацию, связанную с криптовалютными кошельками. Vidar, еще одно вредоносное ПО в цепочке распространения, работает как платформа "Вредоносное ПО как услуга", используя общедоступные сети, включая социальные сети и игровые платформы, такие как Steam, для управления своими операциями. HijackLoader служит загрузчиком для дополнительных вредоносных программ, облегчая установку других угроз, таких как Danabot или RedLine stealer, на взломанные компьютеры.

Повсеместная деятельность злоумышленников создает значительные риски, которые могут включать финансовые потери и кражу личных данных. Этот инцидент иллюстрирует более широкую тенденцию, когда киберпреступники нацеливаются на игровые платформы с обширной базой пользователей. Сообщалось о недавних случаях подобной эксплуатации, например, о распространении вредоносного ПО через видеоигру sniper в Steam, где вредоносный контент был связан внешними ссылками, а не непосредственно с файлами игры. Кроме того, было обнаружено, что другая игра, Pirate Fi, также распространяла вредоносное ПО в Steam.

Учитывая значительную вовлеченность пользователей Steam — более 100 миллионов активных пользователей в месяц — взломанные игры представляют собой привлекательную возможность для киберпреступников получить доступ к ценным цифровым активам и личной информации. Чтобы снизить риски, игрокам рекомендуется провести комплексную проверку своих систем на наличие вредоносных программ и прислушаться к предупреждениям о потенциально вредоносных веб-сайтах, связанных с загрузкой игр.

#ParsedReport #CompletenessMedium
26-07-2025

Hunting Laundry Bear: Infrastructure Analysis Guide and Findings

https://www.validin.com/blog/laundry_bear_infrastructure_analysis/

Report completeness: Medium

Actors/Campaigns:
Void_blizzard

Threats:
Spear-phishing_technique
Evilginx_tool

Victims:
Dutch police, Ukrainian aviation organization, European ngos, Us ngos

Industry:
Logistic, Aerospace, Ngo

Geo:
Ukrainian, Russian, Ukraine, Dutch

ChatGPT TTPs:
do not use without manual check
T1078, T1102.002, T1114, T1204.002, T1557.003, T1566.001, T1566.002, T1583.001, T1598.003

IOCs:
Domain: 46
Email: 3
Url: 2
File: 2
IP: 16

Algorithms:
sha256, sha1

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Российская хакерская группа Laundry Bear, действующая с апреля 2024 года, нацелена на страны НАТО и Украину, используя украденные учетные данные, тайпсквоттинг и скрытый фишинг. Их вредоносная деятельность связана с доменами-двойниками, в частности ebsumrnit.eu, которые связаны с фишинговыми кампаниями и перенаправлениями JavaScript для выдачи себя за законные сервисы. В ходе расследования была выявлена сеть доменов, связанных со шпионской деятельностью Laundry Bear против правительственных организаций и неправительственных организаций.
-----

Компания Laundry Bear, спонсируемая российским государством APT, действует с апреля 2024 года, занимаясь шпионажем против стран НАТО и Украины. Было замечено, что группа использовала украденные учетные данные и сеансовые файлы cookie для первоначального доступа, а также методы фишинга с использованием доменов с опечатками, таких как micsrosoftonline.com. Среди известных целей - полиция Нидерландов, украинские авиационные компании и неправительственные организации, базирующиеся в Европе и США.

Анализ выявил использование домена-двойника, ebsumrnit.eu который имитирует законный домен и был идентифицирован как источник вредоносной рассылки по электронной почте. Используя расширенные возможности платформы Validin, исследователи провели поиск по шаблону DNS, чтобы выявить дополнительные домены, связанные с ebsumrnit.eu, и обнаружили другие похожие домены, связанные с почтовыми службами, в основном с использованием записей CNAME для mailgun. Примечательно, что ebsummlt.eu перенаправлялся на законный веб-сайт summit, пока Cloudflare не распознал его как фишинговый.

Последующее расследование в отношении домена micsrosoftonline.com показало, что до середины марта 2025 года у него было множество ответов хостинга, связанных с вредоносными действиями, в частности, с попытками фишинга. Результаты показали, что различные другие домены имели схожие функции с теми, которые были связаны с фишинговыми кампаниями, такими как ответы, включая переадресацию на JavaScript, направленные на подлинные службы Microsoft.

Кроме того, в июле 2025 года был зарегистрирован домен enticator-secure.com с несколькими поддоменами, имитирующими легальные сервисы входа в систему, на который постоянно, хотя и часто безуспешно, приходили активные ответы. Заметная связь с кампанией Laundry Bear была выявлена благодаря совпадению IP-адресов и повторяющимся темам в этих ответах.

Исторический анализ записей DNS показал, что домены регистрировали ответы, указывающие на тактику фишинга, включая вредоносные переадресации на сомнительные PDF-файлы. Начиная с ноября 2024 года, другие домены также выполняли аналогичные переадресации на JavaScript, что подтверждает связь с Laundry Bear.

Это тщательное исследование подчеркивает важность методов анализа угроз, позволяющих аналитикам выявлять множество дополнительных показателей, выходящих за рамки первоначальных отчетов. Инфраструктура, связанная с Laundry Bear, подчеркивает ее стратегическую направленность на угрозы кибербезопасности, направленные против правительственных и неправительственных организаций по всему миру. Выводы, полученные в результате анализа этого APT, иллюстрируют важность передовых стратегий и инструментов поиска угроз для проактивной защиты от кибербезопасности.

#ParsedReport #CompletenessMedium
23-07-2025

Hive0156 continues Remcos campaigns against Ukraine

https://www.ibm.com/think/x-force/hive0156-continues-remcos-campaigns-against-ukraine

Report completeness: Medium

Actors/Campaigns:
Uac0184

Threats:
Remcos_rat
Hijackloader
Rshell
Process_injection_technique
Uac_bypass_technique

Victims:
Ukrainian military personnel, Members of the ukrainian military, Organizations and personnel in or with association to the ukrainian military, General audience in ukraine

Industry:
Military

Geo:
Iran, Ukraine, Ukrainian, Russian

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1055.012, T1059.001, T1071.001, T1105, T1140, T1204.002, T1480.001, T1566.001, have more...

IOCs:
File: 9
IP: 6
Registry: 1

Soft:
Instagram, Chrome, Firefox

Algorithms:
rc4, sha256, zip

Functions:
sqlite3_result_text16

Win API:
EnumWindows

Languages:
powershell

Links:
https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/ibm-xti

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакер, связанный с Россией, Hive0156 атакует украинских военнослужащих, используя Remcos RAT, с помощью поддельных документов и вредоносных файлов LNK/Powershell. В их атаках используется двухэтапный подход к загрузке полезной нагрузки с серверов C2, маскирующий выполнение с помощью Hijackloader, который предоставляет Remco для задач удаленного администрирования и наблюдения, часто адаптируя конфигурации для поддержания доступа.
-----

Хакерская группа Hive0156, связанная с Россией, активно распространяет троян Remcos Remote Access (RAT) по всей Украине, в частности, нацеливаясь на военный персонал и инфраструктуру. Группа использует документы-приманки, которые перекликаются с военной тематикой, имеющей отношение к украинским операциям, с целью привлечения жертв с помощью ссылок на вредоносные файлы LNK или скрипты PowerShell, которые приводят к заражению Remcos. Эффективность этих кампаний была подчеркнута их ориентацией на украинскую военную связь, включая радиосвязь между бригадами, участвующими в активных боевых действиях.

Стратегии группы по созданию ложных сообщений продемонстрировали заметную эволюцию, выразившуюся в переходе от строго военной тематики к более широким темам, таким как административные коммуникации, о чем свидетельствуют такие термины, как "петиции" или "официальные сопроводительные письма", встречающиеся в документах-приманках. Эти документы часто содержат поврежденные данные, но используются для того, чтобы заманить ничего не подозревающих пользователей к выполнению первоначальных шагов по заражению.

Что касается методов атаки, то с начала 2024 года Hive 0156 упростил свой метод доставки, используя двухэтапный подход, который начинается с использования файлов LNK или PowerShell. На первом этапе выполняется подключение к инфраструктуре управления (C2) для получения документа-приманки и ZIP-архива вредоносных данных. Взаимодействие C2 разработано с учетом специфики региона и основано на заранее определенных строках пользовательского агента, чтобы избежать обнаружения. После загрузки документ-приманка маскирует выполнение программы Hijackloader (также известной как IDAT Loader), которая управляет доставкой Remco в качестве конечной полезной нагрузки.

Hijackloader действует как канал передачи полезной нагрузки Remcos, используя ZIP-файл, который обычно включает в себя легальный исполняемый файл (например, PortRemo.exe), а также DLL-файлы, исправленную DLL-библиотеку и зашифрованные компоненты, упакованные в PNG-файл. Цепочка выполнения инициируется исходным файлом LNK или PowerShell, что приводит к серии внутренних процессов расшифровки и загрузки, кульминацией которых является активация Remcos. Этот RAT настроен в первую очередь для связи с серверами C2 и способен выполнять различные вредоносные задачи, включая удаленное администрирование, наблюдение и кражу информации.

Несмотря на то, что активация функций остается в тени, Hive 0156, как сообщается, регулярно адаптирует свои конфигурации Remcos, что указывает на стратегическую направленность на поддержание долгосрочного доступа к своим жертвам. Их деятельность поддерживается глобальной сетью серверов класса C2, что потенциально позволяет им пользоваться выгодными условиями на российском хостинге. Продолжающиеся усилия по созданию геозон на территории Украины еще раз свидетельствуют о продуманном подходе к их вредоносной деятельности.

#ParsedReport #CompletenessLow
26-07-2025

The mgraph Illusion: Not Everything Is As It Seems

https://unit42.paloaltonetworks.com/homograph-attacks/

Report completeness: Low

Threats:
Homoglyph_technique

Victims:
Well-known multinational american financial services company, Municipality in the middle east, Organizations, Individuals

Industry:
Financial

Geo:
American, Australia, Asia, Japan, Middle east, India

ChatGPT TTPs:
do not use without manual check
T1111, T1204.001, T1565.002, T1566.001, T1566.002, T1584.001, T1585.001

IOCs:
Domain: 5
Email: 5
Url: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атаки с использованием омографа используют визуальное сходство между символами латиницы и Юникода в фишинговых электронных письмах, что позволяет злоумышленникам избегать обнаружения и выдавать себя за законных лиц. Эти вводящие в заблуждение электронные письма могут направлять пользователей на мошеннические сайты, предназначенные для кражи личной информации, в то время как достижения в области искусственного интеллекта повышают убедительность таких мошеннических действий. Эффективные стратегии смягчения последствий включают использование расширенной фильтрации электронной почты и обучение пользователей проверке личности отправителя и тщательному изучению контента.
-----

Омографические атаки - распространенный метод, используемый в фишинговых кампаниях, использующий визуальное сходство между латинскими буквами и похожими символами из различных блоков Unicode. Эта тактика позволяет злоумышленникам создавать ложные электронные письма, которые могут обходить анализ содержимого и казаться подлинными получателям. В реальных случаях злоумышленники использовали эти гомографические символы для манипулирования содержимым электронной почты, тем самым избегая обнаружения и повышая вероятность взаимодействия со стороны своих целей. Например, замена латинских символов кириллицей или греческими буквами, например, замена "H" греческой буквой "Η" или "o" кириллической буквой "о", может позволить вредоносному контенту органично вписаться в аутентичную коммуникацию.

В одном из таких случаев злоумышленники выдавали себя за известную компанию, предоставляющую финансовые услуги, используя манипуляции с омографами в отображаемом названии и теме электронного письма, чтобы ввести жертв в заблуждение. Электронное письмо содержало ссылку на, казалось бы, законный файл Google Drive, но при нажатии на него пользователи попадали на мошеннический сайт, предназначенный для сбора личной информации. Этот сайт содержал дополнительные перенаправления на другие страницы, выглядящие законными, что скрывало злой умысел и усиливало видимость подлинности с помощью нескольких шагов, создавая ложное чувство доверия.

Интеграция искусственного интеллекта в создание фишинговых электронных писем усиливает угрозу, поскольку позволяет злоумышленникам создавать персонализированные и убедительные сообщения, которые становится все труднее отличить от подлинных сообщений. Традиционные фильтры электронной почты борются с атаками с использованием омографов, поскольку они могут не отмечать измененные варианты текста, которые кажутся безобидными, и не распознавать, например, варианты распространенных слов, содержащих омографы.

Чтобы снизить эти риски, организациям рекомендуется внедрять надежные меры безопасности электронной почты, включая передовые решения для фильтрации электронной почты, которые анализируют метаданные, контент и поведенческие модели. Благодаря таким технологиям, как Cortex Advanced Email Security от Palo Alto Networks, обеспечивающим проактивную защиту, электронные письма можно тщательно проверять на наличие признаков подделки и злонамеренных намерений, классифицируя предупреждения по уровням риска, чтобы помочь аналитикам безопасности определить приоритеты реагирования. Пользователям также следует соблюдать осторожность, например, проверять адреса отправителей, тщательно проверять содержимое электронной почты на наличие необычных символов и воздерживаться от использования ссылок или вложений из неизвестных источников.