В сети выложили файл размером 6.6 гигабайт, который содержит данные 16 миллионов покупателей гипермаркета электроники DNS. По факту база включает в себя как сведения покупателей, зарегистрированных на сайте, так и тех, кто совершал покупку без регистрации. Последним присваивается идентификатор формата: «Пришелец-…..». Ключевые сведения: ФИО, номер телефона и адрес электронной почты.
Стоит отметить, что в последнее время сеть DNS подвергалась значительному количеству фишинговых атак. В даркнете активно распространяются скрипты для скама от имени гипермаркета. Даже сейчас мы фиксируем как минимум 5 действующих фишинговых ресурсов, нацеленных на клиентов сети:
dndshop.ru
dsndshop.ru
ddnshop.ru
ddnshops.ru
sdnsshops.ru
Стоит отметить, что в последнее время сеть DNS подвергалась значительному количеству фишинговых атак. В даркнете активно распространяются скрипты для скама от имени гипермаркета. Даже сейчас мы фиксируем как минимум 5 действующих фишинговых ресурсов, нацеленных на клиентов сети:
dndshop.ru
dsndshop.ru
ddnshop.ru
ddnshops.ru
sdnsshops.ru
🤡11👍8🤬3
За последние 5 дней мы зафиксировали массовое появление объявлений с предложениями «эвакуации из России». Стоимость подобных услуг колеблется в диапазоне от 5 до 120 тысяч рублей. Злоумышленники предлагают варианты на любой кошелек, равно как и схемы покидания России, начиная от пешего перехода в сопредельную безвизовую страну и заканчивая пакетом документов для получения убежища в странах дальнего зарубежья.
Классическим примером фейкового сайта, предлагающего услуги эвакуации, является ресурс https://pegasus-transfer.ru. Дизайн сайта скопирован с ресурса https://na-granicy.ru. На сайте вам предложат обратиться за помощью к менеджеру в Telegram, который пообещает пересечение границы с Грузией даже тем, у кого на руках повестка. Только вот сперва придется оплатить бронь места в автобусе, а потом – переслать скан паспорта.
Вот и вся магия. Вы перечисляете 5000 рублей на карту и ждете, когда вам пришлют геолокацию автобуса. А мошенники гуляют на ваши деньги со сканом вашего паспорта.
Классическим примером фейкового сайта, предлагающего услуги эвакуации, является ресурс https://pegasus-transfer.ru. Дизайн сайта скопирован с ресурса https://na-granicy.ru. На сайте вам предложат обратиться за помощью к менеджеру в Telegram, который пообещает пересечение границы с Грузией даже тем, у кого на руках повестка. Только вот сперва придется оплатить бронь места в автобусе, а потом – переслать скан паспорта.
Вот и вся магия. Вы перечисляете 5000 рублей на карту и ждете, когда вам пришлют геолокацию автобуса. А мошенники гуляют на ваши деньги со сканом вашего паспорта.
😁13👍7🤮2
Похоже, что мошенники решили трактовать фразу «Голосовать рублем» дословно. Как иначе объяснить появление фейкового сайта конкурса «Мисс Россия» https://miss-russian.ru/? Для того, чтобы отдать голос за понравившуюся девушку, надо просто ввести данные банковской карты…
Контент фейкового сайта украден с оригинального ресурса: http://www.missrussia.ru/, а вот полноценно скопировать шаблон мошенники не потянули, поэтому фейковый сайт выглядит попроще.
Интересно, а исход голосования зависит от того, сколько денег спишут с карты в пользу одной из кандидаток?
Контент фейкового сайта украден с оригинального ресурса: http://www.missrussia.ru/, а вот полноценно скопировать шаблон мошенники не потянули, поэтому фейковый сайт выглядит попроще.
Интересно, а исход голосования зависит от того, сколько денег спишут с карты в пользу одной из кандидаток?
😁15🍾5👍1🤡1
Квинтэссенция фишингового многостаночника: домен blablacar, в заголовке и футере – NordVPN – контент – Telegram Premium.
Как и в случае с проверкой на призыв «приятным» бонусом будет еще и деанон пользователя Telegram и администратора канала. Впрочем, возможно, это и является главной целью сайта. Фишинговая форма логина осталась в наследство от схемы с NordVPN, так что возможно кто-то просто внедрил в готовый шаблон дополнительную форму сбора персональных данных.
Как и в случае с проверкой на призыв «приятным» бонусом будет еще и деанон пользователя Telegram и администратора канала. Впрочем, возможно, это и является главной целью сайта. Фишинговая форма логина осталась в наследство от схемы с NordVPN, так что возможно кто-то просто внедрил в готовый шаблон дополнительную форму сбора персональных данных.
👍12👏1😁1
Сейчас в ходу такие услуги, о которых еще недавно никто бы и не подумал. Так, в Telegram активно распространяются предложения за деньги проверить, есть ли человек в списках на мобилизацию, или и вовсе удалить его из мифической базы на госуслугах. Попробуем разобраться, как работают такие объявления, и кто стоит за ними, в нашей новой статье: https://telegra.ph/Vestochki-povestochki-10-04
Telegraph
Весточки-повесточки
Первый пример нам любезно подкинул канал "Проверка на повестку и службу". Количество подписчиков у него не достигает даже 900, а единственная цель заключается в том, чтобы отправлять желающих провериться к "менеджеру". Менеджер Алексей отвечает довольно быстро…
👍30😁12❤5👎2🤩2🔥1🤬1
Водил меня Серёга на выставку Ван Гога…
Что-то неделя не слишком богата на события. Придется пройтись по старым темам. Вот, например, дейтинг-скам. Мы неоднократно рассказывали о фейковых сайтах театров и кинотеатров. Но ведь есть еще и выставки! Так что, если ваша подруга из Tinder-а надела лабутены и зовет вас на выставку Ван Гога, чью картину «Подсолнухи» сегодня облили томатным супом, не доверяйте ей, обманет, не моргнув глазом.
Сайт https://vistavka-monreo.ru – отличается от прочих вариантов скама лишь контекстом. Зато тут есть выставки на любой вкус, хоть Ван Гог, хоть проектирование будущего. Ну а если вы не верите в то, что это фейк, обратите внимание на еще один домен владельца этого сайта: https://3ds-merchew.ru. Он предназначен для формирования фейковых платежных форм для возврата денег, чтобы обмануть незадачливого Ромео еще раз.
Что-то неделя не слишком богата на события. Придется пройтись по старым темам. Вот, например, дейтинг-скам. Мы неоднократно рассказывали о фейковых сайтах театров и кинотеатров. Но ведь есть еще и выставки! Так что, если ваша подруга из Tinder-а надела лабутены и зовет вас на выставку Ван Гога, чью картину «Подсолнухи» сегодня облили томатным супом, не доверяйте ей, обманет, не моргнув глазом.
Сайт https://vistavka-monreo.ru – отличается от прочих вариантов скама лишь контекстом. Зато тут есть выставки на любой вкус, хоть Ван Гог, хоть проектирование будущего. Ну а если вы не верите в то, что это фейк, обратите внимание на еще один домен владельца этого сайта: https://3ds-merchew.ru. Он предназначен для формирования фейковых платежных форм для возврата денег, чтобы обмануть незадачливого Ромео еще раз.
😁8👍5🌚1🏆1
Мошенники любят ссылаться на несуществующие нормативные документы. Еще бы, ведь с их помощью можно водить за нос доверчивых людей куда эффективнее. Разве поспоришь, например, с Указом Президента, тем более если речь в нем идет о социальных выплатах?
Перед вами яркий представитель такого явления. Сайт http://www.kremlln.ru, выдающий себя за официальный ресурс Президента, создан с одной лишь целью: для публикации фейкового указа. Создатели сайта не поленились даже сделать PDF с соответствующим текстом. В целом фейковая страница выглядит вполне достоверно, что неудивительно, ведь она полностью скопирована с официального сайта Кремля. Но, как всегда, дьявол кроется в деталях.
Номер фейкового указа – 146-РП, а такой номер может быть только у Распоряжения Президента, но никак не у указа. В общем, за копирование 5, а за делопроизводство – 2!
Перед вами яркий представитель такого явления. Сайт http://www.kremlln.ru, выдающий себя за официальный ресурс Президента, создан с одной лишь целью: для публикации фейкового указа. Создатели сайта не поленились даже сделать PDF с соответствующим текстом. В целом фейковая страница выглядит вполне достоверно, что неудивительно, ведь она полностью скопирована с официального сайта Кремля. Но, как всегда, дьявол кроется в деталях.
Номер фейкового указа – 146-РП, а такой номер может быть только у Распоряжения Президента, но никак не у указа. В общем, за копирование 5, а за делопроизводство – 2!
😁33👍7🤡4🤬3
На популярном даркнет-форуме появилось сообщение о взломе Битрикс24. Согласно размещенным злоумышленниками сведениям, в их руки попало примерно 20 гигабайт информации, включая базы данных и скрипты. Стоит отметить, что за взломом стоят те же люди, что до этого выкладывали базы пользователей Портала Госуслуг.
Выставленная на продажу база содержит 4 миллиона строк и охватывает период с 2014 по 2022 годы. Размещенный семпл содержит ссылки на ресурсы, использующие данную CRM, адреса электронной почты и хэши паролей. Стоимость выставленных на продажу сведений публично не оглашается.
Даже если в итоге окажется, что база неактуальна, мы бы настоятельно рекомендовали всем пользователям Битрикс24 поменять пароли.
Выставленная на продажу база содержит 4 миллиона строк и охватывает период с 2014 по 2022 годы. Размещенный семпл содержит ссылки на ресурсы, использующие данную CRM, адреса электронной почты и хэши паролей. Стоимость выставленных на продажу сведений публично не оглашается.
Даже если в итоге окажется, что база неактуальна, мы бы настоятельно рекомендовали всем пользователям Битрикс24 поменять пароли.
👍13👎1
В дополнение к предыдущему посту. Те же самые хакеры выложили в открытый доступ SQL-дамп Битрикс Вакансии размером 1.8 гигабайта и содержащий 1 миллион строк.
База содержит ФИО, желаемую должность, статус обработки резюме, сведения о ресурсе, через который пришел соискатель и прочую служебную информацию.
База содержит ФИО, желаемую должность, статус обработки резюме, сведения о ресурсе, через который пришел соискатель и прочую служебную информацию.
🤔5👍2👎1
Отличный пример сайта, созданного для атаки на конкретного пользователя, а если быть точнее, для взлома конкретного почтового ящика.
В данном случае используется негативная мотивация: «Кто-то заходил в ваш ящик, скорее введите пароль и завершите злонамеренное подключение!». Для того, чтобы еще сильнее запугать жертву применяется любопытный ход – якобы украинский IP-адрес, еще бы, ведь украинские хакеры у всех на слуху. Хотя если мы посмотрим whois, то увидим, что адрес не имеет к Украине никакого отношения.
Спасем неизвестного владельца почты и поскорее отправим домен на блокировку.
UPD: Ресурс заблокирован.
В данном случае используется негативная мотивация: «Кто-то заходил в ваш ящик, скорее введите пароль и завершите злонамеренное подключение!». Для того, чтобы еще сильнее запугать жертву применяется любопытный ход – якобы украинский IP-адрес, еще бы, ведь украинские хакеры у всех на слуху. Хотя если мы посмотрим whois, то увидим, что адрес не имеет к Украине никакого отношения.
Спасем неизвестного владельца почты и поскорее отправим домен на блокировку.
UPD: Ресурс заблокирован.
👍28😁20❤3🔥3
Маскировать вирусы под антивирусы – история некогда весьма популярная, однако сейчас встречающаяся все реже. Поэтому обнаружив сайт security-kaspersky.ru, настойчиво предлагающий скачать файл с названием file.iso, мы не могли пройти мимо. Все-таки фишинг под сайт антивирусной компании, да еще и с вредоносным содержимым – это интересно.
Скачиваемый образ не детектится антивирусами. Чист он и по данным Virustotal.
Внутри он содержит 4 файла:
Документ Word «Приказ.doc» со статусом невидимого файла.
Ярлык с таким же именем, что и документ Word.
PowerShell скрипт
Популярный SSH-клиент PuTTY.
Ярлык представляет собой следующую строку:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -exec bypass -w h -file z.ps1
То есть по факту запускается powershell-скрипт из образа.
Сам скрипт предельно прост:
$a=[char]1055+[char]1088+[char]1080+[char]1082+[char]1072+[char]1079+[char]46+[char]100+[char]111+[char]99+[char]120
Start-Process $a
Start-Process putty.exe
Если расшифровать первую строку, оказывается, что там написано: «Приказ.doc». То есть скрипт сперва открывает документ, а потом запускает PuTTY. Возникает логичное предположение, что либо файл DOC, либо PuTTY на самом деле являются вредоносными файлами. Но нет, их анализ показывает, что никакого вредоносного пейлоада они в себе не несут.
Документ из архива содержит всего одну строку: You are hacked. GG.
Вывод: похоже, что наши надежды найти закамуфлированный под антивирус троян не оправдались и мы имеем дело с банальной шуткой какого-нибудь script-kiddie, не поленившегося создать под это дело целый фейковый сайт. Впрочем, сама схема вполне работоспособна, если бы в PowerShell скрипте были бы другие строки, с его помощью можно было бы натворить дел.
Скачиваемый образ не детектится антивирусами. Чист он и по данным Virustotal.
Внутри он содержит 4 файла:
Документ Word «Приказ.doc» со статусом невидимого файла.
Ярлык с таким же именем, что и документ Word.
PowerShell скрипт
Популярный SSH-клиент PuTTY.
Ярлык представляет собой следующую строку:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -exec bypass -w h -file z.ps1
То есть по факту запускается powershell-скрипт из образа.
Сам скрипт предельно прост:
$a=[char]1055+[char]1088+[char]1080+[char]1082+[char]1072+[char]1079+[char]46+[char]100+[char]111+[char]99+[char]120
Start-Process $a
Start-Process putty.exe
Если расшифровать первую строку, оказывается, что там написано: «Приказ.doc». То есть скрипт сперва открывает документ, а потом запускает PuTTY. Возникает логичное предположение, что либо файл DOC, либо PuTTY на самом деле являются вредоносными файлами. Но нет, их анализ показывает, что никакого вредоносного пейлоада они в себе не несут.
Документ из архива содержит всего одну строку: You are hacked. GG.
Вывод: похоже, что наши надежды найти закамуфлированный под антивирус троян не оправдались и мы имеем дело с банальной шуткой какого-нибудь script-kiddie, не поленившегося создать под это дело целый фейковый сайт. Впрочем, сама схема вполне работоспособна, если бы в PowerShell скрипте были бы другие строки, с его помощью можно было бы натворить дел.
👍32😁10👏4
Сегодня мы увидели информацию о том, что наши коллеги из мира ИБ обнаружили новый фишинговый сайт, который предлагал россиянам приобрести «отсрочку от призыва». В сообщении говорилось о том, что вредоносный сайт уже заблокирован, но мошенники могут запустить новую версию с другим адресом. На опубликованном скриншоте адрес сайта был замазан, но это неважно, ведь мы уже полтора месяца отслеживаем и блокируем подобные ресурсы, так что описываемый сайт был лишь одним из многих.
Мы не стесняемся публиковать ссылки на фишинг, поэтому вот вам живые примеры:
https://aqzmk.hazylyx.cfd/
https://rkuvx.huganag.cfd/
https://niw2v.hazylyx.cfd/
https://civoh.huganag.cfd/
https://dwij7.hazylyx.cfd/
Заметьте, что домены располагаются в зоне .CFD, а это весьма любопытная зона. Изначально доменная зона была предназначена для торговли CFD - контрактами на разницу цен. CFD считается рискованным финансовым инструментам. В США они даже запрещены законом. CFD стали подвергаться серьёзной критике с 2012 года, то есть вскоре после того, как было подано заявление на регистрацию доменной зоны. В итоге в этой зоне не было зарегистрировано ни одного домена.
Все изменилось в 2021 году, когда компания ShortDot сообщила о приобретении данной зоны. У новых владельцев зона получила новую расшифровку - Clothing & Fashion Design, однако представители индустрии моды новую зону не оценили. Зато оценили её злоумышленники, ведь регистрировать домены в этой зоне можно предельно легко и автоматизированно. Как итог мы имеем волну фишинга в данном домене, причем доменные имена регистрируются скриптами на основе произвольной генерации.
Все это предельно похоже на историю с активно используемо злоумышленниками доменной зоной Центральноафриканской Республики: .CF. Даже домен, черт побери, отличается всего на одну букву!
Мы назвали эту схему «Калоша». Только вот мы отлично понимаем, как не сесть в калошу. Находить такие сайты, пусть даже на доменах третьего уровня, для нас не представляет особого труда, как, впрочем, и отправлять их на блокировку. Сама мошенническая схема не является революционной, а лишь использует актуальную информационную обертку.
К слову сказать, люди, создающие подобные сайты, предлагающие купить отсрочку от мобилизации, отнюдь не являются новичками в криминальном бизнесе. Анализ их ресурсов позволяет выявить массу популярных мошеннических схем, к которым они успели приложить руку:
1. Схема с «коробочками» от имени VK: https://zxae0.pufufos.cfd/
2. Столото: https://h04if.qynevog.cfd/abdjc5b6jybi.php
3. Компенсационные центры: https://1yjl9.hywyhah.cfd/
4. И многое другое…
Мы не стесняемся публиковать ссылки на фишинг, поэтому вот вам живые примеры:
https://aqzmk.hazylyx.cfd/
https://rkuvx.huganag.cfd/
https://niw2v.hazylyx.cfd/
https://civoh.huganag.cfd/
https://dwij7.hazylyx.cfd/
Заметьте, что домены располагаются в зоне .CFD, а это весьма любопытная зона. Изначально доменная зона была предназначена для торговли CFD - контрактами на разницу цен. CFD считается рискованным финансовым инструментам. В США они даже запрещены законом. CFD стали подвергаться серьёзной критике с 2012 года, то есть вскоре после того, как было подано заявление на регистрацию доменной зоны. В итоге в этой зоне не было зарегистрировано ни одного домена.
Все изменилось в 2021 году, когда компания ShortDot сообщила о приобретении данной зоны. У новых владельцев зона получила новую расшифровку - Clothing & Fashion Design, однако представители индустрии моды новую зону не оценили. Зато оценили её злоумышленники, ведь регистрировать домены в этой зоне можно предельно легко и автоматизированно. Как итог мы имеем волну фишинга в данном домене, причем доменные имена регистрируются скриптами на основе произвольной генерации.
Все это предельно похоже на историю с активно используемо злоумышленниками доменной зоной Центральноафриканской Республики: .CF. Даже домен, черт побери, отличается всего на одну букву!
Мы назвали эту схему «Калоша». Только вот мы отлично понимаем, как не сесть в калошу. Находить такие сайты, пусть даже на доменах третьего уровня, для нас не представляет особого труда, как, впрочем, и отправлять их на блокировку. Сама мошенническая схема не является революционной, а лишь использует актуальную информационную обертку.
К слову сказать, люди, создающие подобные сайты, предлагающие купить отсрочку от мобилизации, отнюдь не являются новичками в криминальном бизнесе. Анализ их ресурсов позволяет выявить массу популярных мошеннических схем, к которым они успели приложить руку:
1. Схема с «коробочками» от имени VK: https://zxae0.pufufos.cfd/
2. Столото: https://h04if.qynevog.cfd/abdjc5b6jybi.php
3. Компенсационные центры: https://1yjl9.hywyhah.cfd/
4. И многое другое…
👍13❤9👏3