Вымогательство а-ля Luna Moth: вишинг и кража данных без участия зловредов

Вымогательство а-ля Luna Moth: вишинг и кража данных без участия зловредов

Вымогательство а-ля Luna Moth: вишинг и кража данных без участия зловредов

Эксперты Palo Alto Networks выявили вымогательскую кампанию, в ходе которой злоумышленники используют адресные рассылки и вишинг. Намеченную жертву под любым предлогом просят позвонить по указанному номеру, а затем в ходе разговора убеждают предоставить удаленный доступ к компьютеру; согласие открывает возможность для кражи данных с целью получения выкупа.

Автором текущих целевых атак, по данным Palo Alto, является кибергруппа Luna Moth, она же Silent Ransom. Поддельные письма вначале рассылались на адреса небольших юридических компаний, позднее вымогатели переключились на крупный ретейл и уже выманили у жертв сотни тысяч долларов.

Примечательно, что злоумышленники стараются сократить до минимума свой цифровой след: широко используют социальную инженерию и пускают в ход лишь легитимные инструменты. Жертву обрабатывают по схеме TOAD, которую также практикуют мошенники, притворяющиеся техподдержкой; с этой целью Luna Moth создала колл-центры, зарегистрировала множество телефонных номеров у VoIP-провайдеров и открыла аккаунты на веб-сервисе Zoho Assist. 

Распространяемые поддельные сообщения кастомизируются с учетом характера выбранной цели и не содержат вредоносных вложений или ссылок. Приманкой обычно служит инвойс или платная подписка, якобы оформленная на имя получателя.

 

К фальшивке прикреплен безобидный PDF-документ, в котором указан номер телефона для связи на случай возникновения вопросов — например, для отмены подписки, по которой скоро начнут снимать деньги с карты. В ранних рассылках Luna Moth для большей правдоподобности использовала логотип компании-отправителя, которую она имитировала, сейчас авторы атак ограничиваются приветственным заголовком.

 

Номера телефонов для жертв вначале повторялись, а позднее стали уникальными; адресату также могут предоставить выбор из нескольких вариантов. При вызове собеседник в ходе разговора высылает приглашение присоединиться к сеансу удаленной поддержки через Zoho Assist — якобы для большего удобства. Если жертва согласится, мошенник перехватит управление ее клавиатурой и мышью, включит доступ к буферу обмена и размоет экран, чтобы скрыть дальнейшие действия от пользователя.

После этого в систему устанавливается инструмент удаленного управления Syncro, чтобы обеспечить стороннее присутствие, а также менеджер файлов Rclone или клиент WinSCP — для выкачивания ценных данных с компьютера и подключенных сетевых ресурсов. Процесс в этом случае может занять от нескольких часов до пары недель.

Если у жертвы нет админ-прав, автор атаки не пытается закрепиться в системе, а сразу переходит к краже данных с помощью WinSCP Portable — прямо во время телефонной беседы. В ходе инцидентов, попавших в поле зрения Palo Alto, злоумышленники не пытались продвинуться дальше по сети и довольствовались тем, что нашли у жертвы.

После кражи информации пострадавшему высылается письмо с требованием выкупа; его размер составляет от двух до 78 биткоинов, в зависимости от платежеспособности атакованной организации. Каждой жертве назначается свой криптокошелек, тем, кто проводит платеж в заданные сроки, предоставляется скидка в 25%. Неплательщикам могут угрожать потерей репутации — вымогатели обещают рассказать о случившемся крупным клиентам жертвы, называя их имена.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

WhatsApp, Skype и еще 8 коммуникационных сервисов включены в реестр ОРИ

Роскомнадзор (РКН) внес в реестр организаторов распространения информации (ОРИ) 10 коммуникационных сервисов, среди которых WhatsApp (принадлежит корпорации Meta, признанной экстремистской организацией и запрещенной в России), Skype, Wire, Element, KakaoTalk, DUST, Keybase, Trillian, Status и Crypviser.

При этом WhatsApp получил соответствующий статус принудительно. Роскомнадзор воспользовался своим правом вносить различные сервисы и платформы, которые формально удовлетворяют требованиям к организаторам распространения информации.

Сам термин ОРИ появился в июне 2018 года в рамках так называемых «законов Яровой». Сервисы, которые входят в реестр ОРИ, обязаны хранить данные пользователей (переписки, аудио- и видеосообщения) и предоставлять их по запросу спецслужб и правоохранительных органов. Несоблюдение данных требований влечет крупные штрафы (до 6 млн рублей) и блокировку.

«Да, WhatsApp принудительно внесли в реестр ОРИ. Сервисы, которые де-факто являются организаторами распространения информации, в соответствии с российским законодательством признаются таковыми де-юре и включаются в реестр ОРИ на территории РФ», — так ответили в пресс-службе регулятора в ответ на запрос «Интерфакса».

Партнер практики интеллектуальной собственности Comply Максим Али в комментарии для русского издания Forbes обратил внимание на риски для пользователей WhatsApp и Skype.

Их владельцы последовательно придерживаются санкционного режима, и шансов, что они будут подключаться к Системе оперативно-разыскных мероприятий и выполнять технические требования ФСБ, почти нет. Вопрос, будут ли они заблокированы, остается открытым.

Претензии к WhatsApp выдвигались и раньше.

«В адрес администрации WhatsApp не раз направлялись требования, в частности пресекать распространение призывов к участию в экстремистских акциях, но никаких реакций не последовало. Чаты, в которых распространяется эта информация, продолжают множиться», — заявил депутат Госдумы Антон Немкин, комментируя в пресс-центре Парламентской Газеты замедление сервиса в ряде северокавказских регионов летом.

Блокировка Viber 13 декабря была вызвана в том числе несоблюдением требований к ОРИ. Как подчеркнул Герман Клименко в комментарии для РБК, данные действия стали предупредительным выстрелом для всех мессенджеров, включая WhatsApp и Telegram.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru