Оффлайн
- Регистрация
- 23.09.18
- Сообщения
- 12.347
- Реакции
- 176
- Репутация
- 0
Хакеры научились взламывать ПК с помощью обычной почты и плюшевых медведей
01.04.2020, Ср, 08:09, Мск , Текст: Роман Георгиев
Известная киберпреступная FIN7 рассылает традиционной почтой подарочные карты, плюшевые игрушки и вредоносные флешки, используемые для заражения компьютеров жертв бэкдорами.
Бойтесь подарков, бэкдоры таящих
Киберпреступная группировка FIN7 начала распространять заражённые вредоносами флешки в виде посылок традиционной почтой. В посылках могут содержаться вполне реальные подарочные сертификаты, плюшевые мишки и прочие «приманки», создающие иллюзию легитимности.
Например, одна из жертв получила письмо якобы от торговой сети Best Buy с подарочной картой на сумму $50 - вознаграждение лояльному покупателю. К письму и карте прилагался USB-накопитель, на котором якобы содержался список продуктов, которые можно было купить с использованием подарочного сертификата.
В действительности флешка содержала вредоносную прошивку: компьютеры, к которым она подключалась, видели её как дополнительную USB-клавиатуру, с которой сразу же вводился ряд запрограммированных команд - в частности, на запуск PowerShell и скачивание дополнительных вредоносных программ с внешних серверов. IP-адреса этих ресурсов указывают, что они располагаются на территории России.
Замах на копейку, удар на рубль
Рассылаемые флешки по существу даже не являются накопителями. «USB-устройства сегодня можно использовать далеко не только для хранения данных: существует несколько программно-аппаратных платформ, таких как Arduino, которые позволяют создать USB-эмулятор устройства ввода - клавиатуры, мыши и т.п., - и предустановить произвольное количество команд, и придать им вид обычного Flash-накопителя, - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - В принципе, такой подход нельзя назвать особенно новым: «потерявшаяся флешка» - давнишний и весьма популярный у пентестеров приём проверки защищённости клиентской организации. И до сих пор неплохо работающий, несмотря на то, что не подбирать непонятные накопители - это азбучная истина безопасности».
Группировка FIN7 распространяет заражённые вредоносами флешки в виде посылок с подарочными сертификатами и плюшевыми мишками
Стоит отметить, что FIN7 даже не стали самостоятельно ничего изготавливать. Эксперты компании Trustwave исследовали один из рассылаемых вредоносных «накопителей» и обнаружили, что его основу составляет готовое устройство, продающееся на онлайн-рынках - BadUSB Leonardo USB на базе микроконтроллера Arduino ATMEGA32U4. Оно стоит от $5 до $14 и по умолчанию запрограммировано имитировать USB-клавиатуру. Персональные компьютеры по умолчанию добавляют клавиатуры в список доверенных устройств, так что мнимая клавиатура может сразу начать вводить любые команды.
Первое, что делает мнимая клавиатура, это выводит фейковое сообщение об ошибке с кнопкой «OK», что, видимо, маскирует «согласие» пользователя на дальнейшее развитие атаки - в том числе, скачивание вредоносов, в частности, троянца-бэкдора Griffon, типичного для FIN7.
Вредоносная флешка и фальшивый подарочный сертификат
Кроме того группировка регулярно использует модули Metasploit, Cobalt Strike, скрипты PowerShell, троянец Carbanak, дроппер Boostwrite и модуль удалённого доступа RdfSniffer.
Доставка их на целевые компьютеры с помощью флешек, пересланных официальной почтой - вполне рабочий метод социальной инженерии: правильно оформленная материальная посылка подспудно вызывает больше доверия, чем даже самое продуманное фишинговое сообщение. Хотя по сути они представляют собой одно и то же.
ФБР выпустило специальное предупреждение об участившихся атаках подобного рода. Вредоносные флешки доставляются через федеральную почтовую службу USPS, в качестве целей злоумышленники, как правило, выбирают сотрудников отделов кадров, информационных технологий и управленцев.
You must be registered for see links
You must be registered for see links
You must be registered for see links
You must be registered for see links
You must be registered for see links
01.04.2020, Ср, 08:09, Мск , Текст: Роман Георгиев
Известная киберпреступная FIN7 рассылает традиционной почтой подарочные карты, плюшевые игрушки и вредоносные флешки, используемые для заражения компьютеров жертв бэкдорами.
Бойтесь подарков, бэкдоры таящих
Киберпреступная группировка FIN7 начала распространять заражённые вредоносами флешки в виде посылок традиционной почтой. В посылках могут содержаться вполне реальные подарочные сертификаты, плюшевые мишки и прочие «приманки», создающие иллюзию легитимности.
Например, одна из жертв получила письмо якобы от торговой сети Best Buy с подарочной картой на сумму $50 - вознаграждение лояльному покупателю. К письму и карте прилагался USB-накопитель, на котором якобы содержался список продуктов, которые можно было купить с использованием подарочного сертификата.
В действительности флешка содержала вредоносную прошивку: компьютеры, к которым она подключалась, видели её как дополнительную USB-клавиатуру, с которой сразу же вводился ряд запрограммированных команд - в частности, на запуск PowerShell и скачивание дополнительных вредоносных программ с внешних серверов. IP-адреса этих ресурсов указывают, что они располагаются на территории России.
Замах на копейку, удар на рубль
Рассылаемые флешки по существу даже не являются накопителями. «USB-устройства сегодня можно использовать далеко не только для хранения данных: существует несколько программно-аппаратных платформ, таких как Arduino, которые позволяют создать USB-эмулятор устройства ввода - клавиатуры, мыши и т.п., - и предустановить произвольное количество команд, и придать им вид обычного Flash-накопителя, - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - В принципе, такой подход нельзя назвать особенно новым: «потерявшаяся флешка» - давнишний и весьма популярный у пентестеров приём проверки защищённости клиентской организации. И до сих пор неплохо работающий, несмотря на то, что не подбирать непонятные накопители - это азбучная истина безопасности».
Группировка FIN7 распространяет заражённые вредоносами флешки в виде посылок с подарочными сертификатами и плюшевыми мишками
Стоит отметить, что FIN7 даже не стали самостоятельно ничего изготавливать. Эксперты компании Trustwave исследовали один из рассылаемых вредоносных «накопителей» и обнаружили, что его основу составляет готовое устройство, продающееся на онлайн-рынках - BadUSB Leonardo USB на базе микроконтроллера Arduino ATMEGA32U4. Оно стоит от $5 до $14 и по умолчанию запрограммировано имитировать USB-клавиатуру. Персональные компьютеры по умолчанию добавляют клавиатуры в список доверенных устройств, так что мнимая клавиатура может сразу начать вводить любые команды.
Первое, что делает мнимая клавиатура, это выводит фейковое сообщение об ошибке с кнопкой «OK», что, видимо, маскирует «согласие» пользователя на дальнейшее развитие атаки - в том числе, скачивание вредоносов, в частности, троянца-бэкдора Griffon, типичного для FIN7.
Вредоносная флешка и фальшивый подарочный сертификат
Кроме того группировка регулярно использует модули Metasploit, Cobalt Strike, скрипты PowerShell, троянец Carbanak, дроппер Boostwrite и модуль удалённого доступа RdfSniffer.
Доставка их на целевые компьютеры с помощью флешек, пересланных официальной почтой - вполне рабочий метод социальной инженерии: правильно оформленная материальная посылка подспудно вызывает больше доверия, чем даже самое продуманное фишинговое сообщение. Хотя по сути они представляют собой одно и то же.
ФБР выпустило специальное предупреждение об участившихся атаках подобного рода. Вредоносные флешки доставляются через федеральную почтовую службу USPS, в качестве целей злоумышленники, как правило, выбирают сотрудников отделов кадров, информационных технологий и управленцев.
-
You must be registered for see links
-
You must be registered for see links
-
You must be registered for see links