Aktualności

Badacze z zespołu McAfee Advanced Threat Research zaobserwowali serię ataków północnokoreańskiej grupy Hidden Cobra, która wzięła na celownik tureckie instytucje finansowe. W atakach wykorzystano złośliwe oprogramowanie Bankshot rozprowadzane z domeny falcancoin.io mającej sugerować powiązanie z platformą do udzielania pożyczek kryptowalutowych FalconCoin. Do pierwszych infekcji doszło na początku marca. Ataków dokonano za pośrednictwem wiadomości e-mail typu spear phishing z załączonym dokumentem programu Microsoft Word o nazwie Agreement.docx. Dokument zawierał wbudowanego exploita wykorzystującego niedawno ujawnioną lukę w Adobe Flashu (CVE-2018-4878). Jego otwarcie skutkowało pobraniem i uruchomieniem złośliwego oprogramowania Bankshot, podszywającego się pod bibliotekę DLL. Mimo znacznie szerszych możliwości, obejmujących zdalne wykonanie dowolnego kodu i usuwanie wybranych plików, przestępcy użyli Bankshota prawdopodobnie tylko do zebrania informacji, które według badaczy miały im posłużyć do dalszych ataków.

Ryzyko duże: Ataki z użyciem plików Microsoft Office cieszą się zainteresowaniem różnych grup przestępczych, należy więc oczekiwać upowszechnienia opisanego exploita. Kampania ma duże szanse powodzenia w przypadku ofiar, które korzystają z przestarzałych wersji Adobe Flasha.

Jak wynika z raportu opublikowanego przez Kaspersky Lab, w 2017 r. udział phishingu finansowego zwiększył się z 47,5% do 53,8% wszystkich wykrytych przypadków. Co czwarta próba załadowania podrobionej strony była związana z phishingiem bankowym. Udział phishingu związanego z systemami płatności oraz sklepami internetowymi stanowił odpowiednio 16% i 11%. Warto odnotować, że w porównaniu z 2016 r. niemal dwukrotnie (do 55,6%) zwiększył się udział phishingu finansowego, którego cel stanowili użytkownicy systemu macOS. Z kolei liczba użytkowników atakowanych przy użyciu bankowych koni trojańskich zmniejszyła się o 30% do 762 tys. odnotowanych przypadków. 19% z nich stanowili pracownicy korporacji. Złośliwe oprogramowanie bankowe najczęściej atakowało mieszkańców Niemiec, Rosji, Chin, Indii, Wietnamu, Brazylii oraz Stanów Zjednoczonych. Najbardziej rozpowszechnioną rodziną tego typu oprogramowania okazał się Zbot (32,9% zaatakowanych użytkowników). Na kolejnych miejscach uplasowały się Gozi, SpyEye, Neurevt, Trickster, Emoter i Dridex. Zmniejszyła się także liczba użytkowników, którzy zetknęli się ze szkodliwym oprogramowaniem bankowym dla Androida – w porównaniu z 2016 r. niemal o 15%, do nieco ponad 259 tys. odnotowanych przypadków. Za ataki na zdecydowaną większość użytkowników odpowiadały zaledwie trzy rodziny złośliwych aplikacji: Asacub, Svpeng i FakeToken. Najwięcej zaatakowanych osób zamieszkiwało Rosję, Australię oraz Turkmenistan.

Ryzyko duże: Zarówno phishing, jak i złośliwe oprogramowanie bankowe stanowią realne zagrożenie dla bezpieczeństwa finansowego użytkowników.

Działania długoterminowe: Rozwój mechanizmów detekcji zagrożeń. Szkolenia podnoszące świadomość klientów.

Źródło: https://securelist.com/financial-cyberthreats-in-2017/84107/

Od połowy stycznia eksperci obserwują napływ fałszywych e-maili, których nadawcy podszywają się pod znane marki, np. najnowsza kampania tego typu zachęca do otwarcia pliku ZIP, zawierającego rzekomo faks faktury od firmy Nixon Hire. Wszystkie wiadomości pochodzą z wiarygodnych list mailingowych obsługiwanych przez amerykańską firmę Mailchimp, którą uznaje się za jednego z liderów w branży e-mail marketingu. Nie udało się dotąd ustalić, czy przestępcy do rozsyłania spamu wykorzystują nieznaną lukę w systemie Mailchimp, czy logują się do niego, używając skradzionych poświadczeń. Rozpakowanie dołączonego do wiadomości archiwum i uruchomienie znajdującego się w nim pliku skutkuje pobraniem na komputer ofiary złośliwego oprogramowania. Atakujący eksperymentowali z różnymi gatunkami złośliwego oprogramowania, ostatnio jednak rozpowszechniają w ten sposób bankowego konia trojańskiego o nazwie Gootkit, który potrafi wykradać poufne dane użytkowników. Większość podrobionych wiadomości jest kierowana do małych i średnich przedsiębiorców, którzy okazali się atrakcyjniejszym celem od zwykłych konsumentów.

Ryzyko średnie: Z uwagi na wysoką reputację Mailchimpa jako nadawcy podobne kampanie phishingowe stanowią spore zagrożenie dla filtrów antyspamowych.

Działania krótkoterminowe: Weryfikacja prawidłowego rozpoznawania omawianego zagrożenia przez używane mechanizmy bezpieczeństwa. Edukacja pracowników i klientów.

Źródło: https://myonlinesecurity.co.uk/mailchimp-abuse-continues-spoofing-nixon-hire-with-fake-fax-invoice-to-deliver-gootkit-banking-trojan/