Zak Doffman raksta par drošību, uzraudzību un privātumu.
Microsoft Windows lietotāji tiek brīdināti par “ļoti sarežģītu un bīstamu draudiem” saistībā ar jauniem e-pastiem, kas “slepeni instalē” ļaunprogrammatūras datoros. Uzbrukumu skaits divu nedēļu laikā ir vairāk nekā divkāršojies un tagad “notiek patiesi globālā mērogā”.
Šo brīdinājumu izteica DeepWatch pārstāvis Frankie Sclafani, atsaucoties uz jauno Fortinet ziņojumu. Drošības uzņēmums ir atklājis jaunu e-pasta uzbrukumu, „izmantojot rūpīgi izstrādātus e-pastus, lai piegādātu ļaunprātīgas URL adreses, kas saistītas ar pārliecinošām pikšķerēšanas lapām”.
E-pasta vēstules, kas nonāk jūsu iesūtņu kastē, ietver „nelielu, neskaidru skriptu, kas novirza upurus uz viltus vietni, kas personalizēta ar mērķa e-pasta domēnu”. Tas nozīmē, ka tā nozags jūsu organizācijas logotipu un stilu, lai maldinātu jūs un liktu lejupielādēt ziņojumu. Ja to izdarīsiet, jūs riskējat ar vienu no vairākiem RAT, „tostarp PureHVNC, DCRat un Babylon RAT”.
Šī ziņa var būt balss pastas tēmai veltīta vilinājuma ar tematu “Neatbildēts zvans – <datums>” un pielikumu. Vai arī tā var būt “pirkuma pasūtījums ar pielikumu”.
Mērķis ir tas pats. „Piegādāt upurus uz pikšķerēšanas lapu, kas jau ir personalizēta ar viņu e-pastu, atzīmēt tos izsekošanai un izmantot fragmentu balstītu parametru nodošanu, lai identifikators neparādītos tīkla žurnālos.”
Lejupielādētais Zip fails ir piepildīts ar nevajadzīgu informāciju, lai slēptu uzbrukumu, bet „beigās tas izsauc ShellExecute, lai palaistu PowerShell ar ‘-ExecutionPolicy bypass’ un dekodētu komandu, izmantojot loga stilu 0. Šī slēptā izpildes plūsma ļauj ļaunprogrammatūrai ielādēt un palaist nākamo posmu, neparādot nekādu redzamu konsoli vai brīdinājumu.”
J Stephen Kowski no e-pasta drošības speciālistu kompānijas SlashNext man pastāstīja, ka „ļaunprātīgie faili nav paredzēti tikai paroles zādzībai, bet arī spēcīgu attālās piekļuves rīku instalēšanai, kas uzbrucējiem nodrošina ilgtermiņa kontroli”. Vienkārši sakot, „tas nav vienreizējs datu zādzības gadījums — tā ir pilnīga sistēmas pārkāpšana, kas var klusi izplatīties uzņēmuma tīklos”.
Fortinet norāda, ka kampaņā tiek izmantots UpCrypter “kā centrālais ielādētājs, lai sagatavotu un izvietotu vairākus attālās piekļuves rīkus”, un brīdina, ka “šī kombinācija no aktīvi uzturēta ielādētāja, daudzslāņu neskaidrības un dažādiem RAT piegādes veidiem ir pielāgojama draudu piegādes ekosistēma, kas spēj apiet aizsardzības sistēmas un saglabāt pastāv
Šāda draudu kampaņa ir izstrādājama ātrāk nekā jebkad agrāk, jo īpaši, izmantojot jaunus AI rīkus. “Uzbrucēji tagad var viegli izveidot pikšķerēšanas e-pastus un viltus tīmekļa vietnes, izmantojot gatavus rīkus, kas atrodami internetā. Šie rīki ļauj viņiem izveidot pilnīgu sistēmu, lai izplatītu ļaunprogrammatūras, nevis tikai veiktu vienkār.
Un atšķirībā no dažām citām kampaņām, šī kampaņa nav specifiska attiecībā uz nozarēm un valstīm, uz kurām tā ir vērsta. „Mūsu telemetrijas dati liecina, ka šī kampaņa nav ierobežota ar vienu reģionu. Tā darbojas patiesi globālā mērogā. Tikai divu nedēļu laikā atklāto gadījumu skaits ir vairāk nekā divkāršojies, atspoguļojot strauju un agresīvu izaugsmes tendenci.”
Līdz šim skartās nozares ietver „ražošanu, tehnoloģijas, veselības aprūpi, būvniecību un mazumtirdzniecību/viesmīlību. Neatkarīgi no tā, kur atrodaties un ar ko nodarbojaties, jūs varat būt pakļauts riskam.
Neatveriet ziņojumus un nelejupielādējiet pielikumus, ja neesat pārliecināts par to izcelsmi. Neizsekojiet saites. Un pieņemiet, ka visas tīmekļa vietnes un pieteikšanās lapas, ko redzat, ir viltotas, ja vien neesat pārliecināts, ka esat piekļuvis tām parastaj
