Video: Krimspecial: Kreativa bedrägerier med nya metoder (September 2024)
De nigerianska prinserna har nya knep i ärmarna.
Kommer du ihåg de 419-bedrägerierna? Det var de ofta dåligt skrivna e-postmeddelandena som påstås vara från en rik person som var villig att betala påkostade för hjälp med att överföra hans eller hennes rikedom ut ur landet. I själva verket, när offren överlämnade sina ekonomiska detaljer för att hjälpa och få en stor utbetalning, plundrade bedragarna bankkontona och försvann.
Det verkar som att bedragare har plockat upp attacktekniker och datastjällande skadlig programvara som tidigare använts av mer sofistikerade cyberbrotts- och cyber-spionagegrupper, sa forskare från Palo Alto Networks. Forskare från enhet 42, företagets hotintelligenskapsgrupp, beskrev serien av attacker mot taiwanesiska och sydkoreanska företag i rapporten "419 Evolution" som släpptes på tisdag.
Tidigare riktade socialtekniska bedrägerier främst "rika, intet ont." Med nya verktyg i handen verkar dessa 419 bedragare ha flyttat offerpoolen till att omfatta företag.
"Skådespelarna visar inte en hög nivå av teknisk skicklighet, men utgör ett växande hot mot företag som inte tidigare varit deras primära mål, " sa Ryan Olson, Unit 42: s underrättelsedirektör.
Sofistikerade attacker av de oinitierade
Palo Alto Networks spårade attackerna, kallad "Silver Spaniel" av Unit 42: s forskare, under de senaste tre månaderna. Attackerna började med en skadlig e-postbilaga, som vid klick installerade skadlig programvara på offrets dator. Ett exempel är ett fjärradministrationsverktyg (RAT) som kallas NetWire, som gör det möjligt för angripare att fjärr ta över Windows, Mac OS X och Linux-maskiner. Ett annat verktyg, DataScrambler, användes för att paketera NetWire igen för att undvika upptäckt av antivirusprogram. DarkComet RAT har också använts i dessa attacker, säger rapporten.
Dessa verktyg är billiga och lätt tillgängliga på underjordiska forum och kan "distribueras av alla med en bärbar dator och en e-postadress", säger rapporten.
419-svindlarna var experter på social teknik, men var nybörjare när det gällde att arbeta med skadlig programvara och "visade anmärkningsvärt dålig operativ säkerhet", fann rapporten. Trots att kommandon och kontrollinfrastrukturen var utformad för att använda dynamiska DNS-domäner (från NoIP.com) och en VPN-tjänst (från NVPN.net) konfigurerade några av angriparna DNS-domänerna för att peka på sina egna IP-adresser. Forskare kunde spåra anslutningarna till nigerianska mobil- och satellitleverantörer, säger rapporten.
Scammers har mycket att lära sig
För tillfället utnyttjar inte angriparna några programvarosårbarheter och förlitar sig fortfarande på socialteknik (vilket de är mycket bra på) för att lura offren att installera skadlig programvara. De verkar stjäla lösenord och annan information för att starta uppföljningar av socialteknik.
"Hittills har vi inte observerat några sekundära nyttolaster installerade eller någon lateral rörelse mellan system, men vi kan inte utesluta denna aktivitet, " skrev forskarna.
Forskare avslöjade en nigerian som nämnde skadlig programvara upprepade gånger på Facebook, frågade om specifika NetWire-funktioner eller bad om stöd för att till exempel arbeta med Zeus och SpyEye. Medan forskare ännu inte har kopplat denna specifika skådespelare till Silver Spaniel-attackerna, var han ett exempel på någon "som började sina kriminella karriärer med 419-bedrägerier och utvecklar sina hantverk för att använda skadliga verktyg som finns på underjordiska forum", säger Palo Alto Networks.
Rapporten rekommenderade att alla körbara bilagor blockeras på e-postmeddelanden och inspekteras.zip- och.rar-arkiv för potentiella skadliga filer. Brandväggar bör också blockera åtkomst till vanligt misshandlade dynamiska DNS-domäner, och användare måste utbildas för att vara misstänksamma för bilagor, även om filnamnen ser ut som legitima eller relaterade till deras arbete, sade Palo Alto Networks. Rapporten inkluderade Snort- och Suricata-regler för att upptäcka Netwire-trafik. Forskare släppte också ett gratisverktyg för att dekryptera och avkoda kommando och kontrollera trafik och avslöja data som stulits av Silver Spaniel angripare.
"För närvarande förväntar vi oss inte att Silver Spaniel-skådespelare börjar utveckla nya verktyg eller exploater, men de kommer sannolikt att anta nya verktyg som gjorts av mer kapabla aktörer, " säger rapporten.
