Логотип Start X — ссылка ведёт на главную страницу
Бесплатный пилот
+7 499 677 19 07
Кейсы
О компании
Контакты
Блог
Логотип Start X — ссылка ведёт на главную страницу
Бесплатный пилот
+7 499 677 19 07
Блог
Контакты
О компании
Новости
Ссылка открывающая меню сайта
Продукты
Кейсы
AFT
AFT
Все продукты
Все продукты
EASM
EASM
CTF
CTF
EDU
EDU
REQ
REQ
AWR
AWR
Обзор новостей информационной безопасности с 14 по 20 февраля 2025 года

Дайджест Start X № 409

20 февраля 2025
7 минут
эксперт в информационной безопасности в Start X
Андрей Жаркевич
эксперт в информационной безопасности в Start X
Андрей Жаркевич
Обучение навыкам безопасного поведения

Киберкампании

Вредонос FrigidStealer атакует пользователей macOS под видом обновлений браузеров
Схема кампании
  1. Злоумышленники используют множество взломанных сайтов, в код которых внедрили JavaScript, предлагающий посетителям срочно обновить браузер.
  2. Посетителей на эти сайты собирают через сервис распространения легального трафика Keitaro TDS.
  3. Если жертва соглашается обновить браузер, на компьютер загружается вредонос. Пользователи Windows получают установщик MSI, который загружает стилер Lumma или DeerStealer, пользователи macOS — DMG-файл, устанавливающий FrigidStealer, а пользователи Android — APK-файл, содержащий банковский троян Marcher.
  4. Пользователи macOS должны запустить загрузку вручную, щелкнув правой кнопкой мыши на файле и выбрав опцию «Открыть», после чего им будет предложено ввести пароль, чтобы обойти защиту Gatekeeper.
5. После запуска вредонос извлекает сохраненные файлы cookie, учетные данные и пароли, хранящиеся в Safari или Chrome, ищет данные криптокошельков, считывает и извлекает Apple Notes, содержащие пароли, финансовую информацию и другие конфиденциальные данные, а также собирает документы, таблицы и текстовые файлы из домашней директории пользователя.

6. Похищенные данные собираются в скрытой папке в домашней директории пользователя, сжимаются и передаются на управляющий сервер злоумышленников, расположенный по адресу askforupdate[.]org.
Специалисты предупреждают о росте мошенничества с использованием телефонных номеров школьников. На форумах в даркнете вырос спрос на базы данных с такими номерами. Злоумышленники используют эти сведения для запугивания, шантажа и массовых звонков.
Особенности кампании
  1. Преступники покупают базы данных, создают фальшивые аккаунты в социальных сетях и мессенджерах, выдавая себя за учителей или администраторов.
  2. Чтобы повысить доверие, они используют фотографии и информацию с официальных сайтов образовательных учреждений.
  3. Получив доступ к контактам детей, мошенники звонят им с угрозами, обвиняют в выдуманных нарушениях или сообщают о якобы существующих задолженностях их родителей.
  4. В некоторых случаях персональные данные учащихся оказываются в открытом доступе по вине самих образовательных учреждений, например, при публикации списков победителей олимпиад и конкурсов с указанием ФИО.
  5. Зная имя, школу и класс, мошенники могут с помощью специальных программ найти и другие сведения, например, номер телефона.
  6. Чаще всего их интересуют ученики престижных школ, так как предполагается, что их родители имеют высокий доход.
В Рунете фиксируются первые аферы, связанные с темой цифрового рубля. Уже появились схемы с продажей физических носителей, якобы содержащих цифровые рубли, разнообразные виды и формы квазиинвестирования, фишинг и другие форматы обмана.
Как действуют преступники
  1. Создают сайты, которые предлагают бесплатный доступ к инвестиционным программам.
  2. Сайты требуют регистрацию с указанием ФИО, е-мейла и обязательно действующего номера телефона.
  3. Если посетитель регистрируется и соглашается стать новым пользователем цифрового рубля, злоумышленники перезванивают ему и предлагают вложить личные средства, чтобы затем заработать в разы больше.
  4. «Вложенные» деньги поступают к мошенникам, а вместе с ними — личные и платёжные данные.

Мошенники оттачивают и другие схемы, связанные с новой формой валюты. Например, они обзванивают людей и сообщают о том, что готовится обмен всех наличных и безналичных денег на цифровые рубли, поэтому лучше предварительно перевести накопления на «безопасный цифровой счет».
Microsoft предупреждают о новой фишинговой схеме группировки Storm-2372
Особенности кампании
  1. Хакеры нацелены на учетные записи Microsoft 365 и используют в атаках коды для авторизации устройств, которые не имеют клавиатуры или поддержки браузера (например, умные телевизоры и некоторые IoT-девайсы).
  2. Цели кампании — правительственные организации, НКО, а также компании, работающие в сфере ИТ-услуг, технологий, обороны, телекоммуникаций, здравоохранения, энергетики и нефтегазовой отрасли в странах Европы, Северной Америки, Африки и Ближнего Востока.
3. Атака начинается с того, что хакеры устанавливают связь с целью в WhatsApp, Signal или Microsoft Teams, выдавая себя за некоего важного для жертвы человека.

4. После установления контакта злоумышленники отправляют пользователю фальшивое приглашение на онлайн-встречу по электронной почте или в личном сообщении.

5. Такое приглашение на встречу в Microsoft Teams содержит код для авторизации устройства, сгенерированный атакующими.

6. Таким образом хакеры могут перехватить аутентифицированную сессию и получают доступ к принадлежащим жертве сервисам Microsoft (электронная почта, облачные хранилища). Причем злоумышленникам не придется вводить пароль до тех пор, пока украденные токены остаются действительными.

Телеграм-канал Start X

Подписаться
Наши разборы мошеннических схем поймет даже бабушка
Преступники разработали новую схему, которая позволяет им получать коды аутентификации для восстановления паролей на Госуслугах и других важных онлайн-сервисах
Особенности кампании
  1. Жертвам звонят якобы представители управляющей компании и сообщают о замене домофонной системы в подъезде.
  2. Чтобы создать видимость правдоподобности, они спрашивают, сколько ключей нужно заменить, как удобнее это сделать, и предлагают сделать запасные ключи за дополнительную плату.
  3. Затем мошенники говорят, что теперь у каждой квартиры будет свой уникальный код вместо общего, так как это соответствует требованиям безопасности.
  4. Жертве отправляют этот код и просят его продиктовать.
  5. На самом деле это код для восстановления доступа к госуслугам и другим важным аккаунтам.
  6. Далее схема может развиваться по-разному. Например, один из потерпевших по указанию преступников установил приложение «для защиты аккаунтов» и лишился более миллиона рублей.

Что еще почитать

Дайджест Start X № 408
Актуальные киберкампании и инциденты информационной безопасности с 7 по 13 февраля 2025 года
Дайджест Start X № 407
Актуальные киберкампании и инциденты информационной безопасности с 31 января по 6 февраля 2025 года
Дайджест Start X № 406
Актуальные киберкампании и инциденты информационной безопасности с 24 по 30 января 2025 года
Мужчина в кресле с ноутбуком

Подпишитесь на дайджест Start X

Еженедельная подборка материалов и аналитики про цифровые атаки на людей, технологии защиты, безопасность инфраструктуры и приложений
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.