Более 1300 фишинговых наборов продаются на одном из хакерских форумов

Более 1300 фишинговых наборов продаются на одном из хакерских форумов

Более 1300 фишинговых наборов продаются на одном из хакерских форумов

Участник одного из хакерских форумов пытается заработать более $30 000 на продаже наборов для фишинга. В коллекции киберпреступника находятся более 1300 готовых для фишинга инструментов.

Продавая каждый фишинговый набор за $25, злоумышленник рассчитывает выручить минимум $32 500. А если продавцу удастся найти нескольких покупателей, сумма может существенно вырасти.

Согласно размещённому на хакерском форуме объявлению, каждый набор для фишинга (PHP, HTML, CSS, JavaScript) уникален. Размер общего сжатого архива — 3,3 Гб.

В списке организаций, под которые продаваемые наборы могут замаскировать атакующего, есть очень популярные бренды: PayPal, Dropbox, Amazon, OneDrive, Office 365, Outlook, Gmail, Spotify, Netflix, Банк Америки, Apple, Facebook, LinkedIn.

 

Сам продающий фишинговые наборы «хакер» принимает не особо активное участие в жизни форума для киберпреступников. Тем не менее за три года он успел заработать хорошую репутацию и положительные отзывы сообщества.

Цена в $25 может свидетельствовать о низком качестве наборов, однако наверняка это можно выяснить только после скачивания и изучения.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Группировка Dark Caracal заменила троян Bandook бэкдором Poco

Киберпреступная группировка Dark Caracal, действующая с 2012 года, адаптировала свои методы и обновила используемый софт. К такому выводу пришли специалисты Positive Technologies в ходе исследования программы Poco RAT.

Ранее этот бэкдор не был связан с конкретной группой, однако дополнительный анализ атак позволил экспертам установить его связь с Dark Caracal.

В течение 2024 года внутренние системы мониторинга PT Expert Security Center фиксировали кампанию, в которой применялся Poco RAT — бэкдор, обеспечивающий удаленный доступ к устройству жертвы.

Атаки были нацелены преимущественно на испаноязычных пользователей, что подтверждается языком фишинговых писем и содержанием вредоносных вложений. Образцы кода загружались в публичные песочницы из таких стран, как Венесуэла, Чили, Доминиканская Республика и Колумбия.

Злоумышленники рассылали письма, в которых указывалось на необходимость оплаты квитанции, а во вложении находился документ-приманка. Его название имитировало финансовые документы, создавая иллюзию легитимности. Такие файлы часто не определялись антивирусами и имели размытое визуальное оформление, что побуждало получателей открыть вложение.

При этом автоматически скачивался .rev-архив, содержащий дроппер — исполняемый файл с тем же названием, что и документ-приманка. Этот прием повышал уровень доверия жертвы. Основной задачей дроппера было развертывание и запуск Poco RAT без создания заметных следов на диске устройства.

Группировка Dark Caracal, как известно, осуществляет атаки на государственные и военные структуры, активистов, журналистов и коммерческие организации. Ранее основным инструментом для таких операций служил троян удаленного доступа Bandook, который использовался исключительно этой группировкой.

Примечательно, что появление образцов Poco RAT совпало с прекращением распространения Bandook. Оба инструмента обладают схожим функционалом и используют аналогичную сетевую инфраструктуру, что может свидетельствовать о переходе группировки на новый набор инструментов.

«Исходя из выявленных данных, можно предположить, что текущая кампания является продолжением деятельности Dark Caracal и представляет собой попытку адаптации к современным механизмам киберзащиты. За восемь месяцев, начиная с июня 2024 года, было зафиксировано 483 образца Poco RAT, что значительно превышает число обнаруженных образцов Bandook (355 с февраля 2023 года по сентябрь 2024 года). Этот сдвиг может указывать на изменение тактики группировки и увеличение масштабов атак с использованием нового инструмента», — отметил Денис Казаков, специалист группы киберразведки TI-департамента PT Expert Security Center.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru