Хакерская группа Sticky Werewolf («Липкий оборотень») была ответственна за атаки на государственные организации в России и Беларуси. С этого апреля они провели более 30 атак.
Группа использовала фишинговые электронные письма для получения доступа к системам. Они создавали фишинговые ссылки с помощью сервиса IP Logger, который также позволял им собирать информацию о жертвах. Они использовали собственные доменные имена, чтобы ссылки выглядели максимально легитимно.
Фишинговые ссылки вели к вредоносным файлам, замаскированным под документы Microsoft Word или PDF. При открытии такого файла происходила установка вредоносной программы NetWire RAT. Они использовали документы, такие как экстренные предупреждения МЧС России или исковые заявления, чтобы отвлечь внимание жертв. В случае атак на белорусские организации, они использовали предписания об устранении нарушений законодательства в качестве документов.
NetWire позволял группе собирать информацию о системе, управлять файлами, процессами и службами, получать данные из буфера обмена и о нажатиях клавиш, записывать видео с экрана и микрофона, выполнять команды с помощью командной строки и получать аутентификационные данные.
Важно отметить, что один из продавцов NetWire был задержан в Хорватии в марте 2023 года, и их доменное имя и сервер были конфискованы.
Чтобы обнаружить следы Sticky Werewolf, необходимо обратить внимание на подозрительные исполняемые файлы из временных папок, появление исполняемых файлов, замаскированных под легитимные приложения, в нестандартных местах, и мониторить доступ подозрительных процессов к файлам с аутентификационными данными.
Обучайте своих сотрудников основам кибербезопасности и проводите регулярные тренировки на предмет распознавания фишинговых атак. Мы с радостью предоставим вам необходимые для этого инструменты совершенно бесплатно. Обращайтесь!
Фишинг в LinkedIn
Новая фишинговая кампания с LinkedIn Smart Links была обнаружена Cofense. Атака продолжалась с июля по август 2023 года и велась против секторов финансов, производства и энергетики.
Эксперты Cofense установили, что целью атаки было не конкретное предприятие или сектор, а получение максимального количества учетных данных. Для этой цели злоумышленники использовали бизнес-аккаунты LinkedIn и слинки (смарт-ссылки), которые применяются в LinkedIn Sales Navigator.
В этих слинках использовался параметр code с восьмизначным идентификатором. Хакеры также использовали доверенный домен LinkedIn, чтобы обойти механизмы обнаружения вредоносных писем и других систем защиты. Как только жертва открывала электронное письмо, она автоматически перенаправлялась на фишинговую страницу с помощью смарт-ссылки LinkedIn. И здесь хитрость хакеров проявлялась в полной мере!
Фишинговая страница в точности копировала официальную страницу входа в Microsoft, приводя пользователей в заблуждение. На самом деле, они попадали на страницу, где хакеры собирали их учетные данные.
Сделаем выводы: для борьбы с фишингом технические средства, безусловно, помогают. Но не стоит забывать о том, что человек является слабым звеном в кибербезопасности. Регулярно проверяйте навыки сотрудников и обучайте их распознавать и противостоять современным уловкам злоумышленников.
В ВТБ рассказали о новых уловках мошенников
Мошенники не перестают придумывать новые способы обмана. В последнее время участились случаи, когда аферисты звонят людям от лица их банка и убеждают их в необходимости обновить свои банковские данные и застраховать средства, чтобы предотвратить их кражу.
Как работает эта схема? Мошенники звонят с неизвестных номеров, выдают себя за сотрудников банка и уведомляют о подозрительных операциях на вашем счете. Затем они предлагают обновить единый лицевой счет для дополнительной защиты. Чтобы убедить вас, они даже отправляют поддельные документы, выглядящие как официальные банковские бланки с логотипом и печатью. Они могут также утверждать, что вы стали жертвой мошенничества, и предлагают вам застраховать свои деньги за счет «резервного фонда банка«. В знак компенсации за неудобства они обещают повышенную ставку по вкладу. После этого мошенники просят перевести деньги на »безопасный» счет через банкомат. Они утверждают, что после активации обновленного счета все ваши финансовые активы будут восстановлены. Но на самом деле они просто выманивают деньги на свои счета и исчезают.
Важно оставаться бдительным и осторожным, чтобы не стать жертвой таких схем обмана. Банки никогда не будут просить у вас персональные данные или деньги через телефон или электронную почту. Если вам кажется, что происходит что-то подозрительное, лучше свяжитесь со своим банком напрямую, используя проверенные контактные данные.
Вот вам еще несколько советов:
1. Не давайте свои личные данные и реквизиты банковской карты никаким незнакомцам. Помните, что ваша информация — это секрет, так что держите ее под контролем.
2. Если вам позвонят или напишут неизвестные лица и начнут требовать перевод денег, поступите так же, как с назойливыми продавцами — просто повесьте трубку или игнорируйте сообщение.
3. Помните, что загадочные приложения и файлы лучше оставить в покое. Подумайте дважды перед тем, как скачивать что-то с непроверенных источников.
4. Если вы получили подозрительное письмо или сообщение, не спешите открывать вложения или нажимать на ссылки. Это может быть хитрая ловушка, чтобы обмануть вас. Лучше просто удалите это.
5. Если вы все-таки подозреваете, что вас могли обмануть, немедленно свяжитесь с вашим банком и сообщите о произошедшем. Они примут все необходимые меры, чтобы защитить вас и ваши финансы.
Удачи вам под знаменем кибербезопасности!
Подписывайтесь на наш Телеграм-канал
https://t. me/safeinet
Там будут собираться свежие схемы мошенников, атакующих сотрудников и физ. лиц.
Ничего себе, умные челики, даже очень. Пугающе умные я бы сказал
Липкие оборотни, слинки… какой же я старый