Обзор новостей информационной безопасности с 7 по 13 марта 2025 года

Дайджест Start X № 412

13 марта 2025
7 минут
эксперт в информационной безопасности в Start X
Андрей Жаркевич
эксперт в информационной безопасности в Start X
Андрей Жаркевич

Киберкампании

Как действуют преступники
  1. Они звонят потенциальным жертвам, представляясь сотрудниками Госуслуг, и сообщают о якобы ошибочно наложенном ограничении.
  2. Чтобы исправить ошибку в заявлении, они предлагают перейти по короткой ссылке, которую присылают в мессенджере
  3. После того, как человек переходит по ссылке, он попадает на фишинговый сайт, имитирующий «Госуслуги». Введённые данные для входа попадают к мошенникам.
  4. Получив доступ к аккаунту на госпортале, злоумышленники могут авторизоваться в приложении банка с помощью «Госуслуг», а затем получить доступ к счетам.
Особенности кампании
  1. Злоумышленники создали несколько фальшивых сайтов, имитирующих карьерные страницы известных служб доставки.
  2. Потенциальным жертвам предлагается удалённая работа с зарплатой от 70 тысяч рублей.
  3. Сайты выглядят убедительно, на них подробно описаны обязанности, среди которых контроль работы курьеров, подготовка отчётов и урегулирование спорных ситуаций. Эти задачи якобы необходимо выполнять через специальное мобильное приложение.
  4. При подаче заявки кандидатам предлагают заполнить анкету, указав личные данные, включая ФИО, номер телефона, город проживания, дату рождения, СНИЛС и номер банковской карты. Для повышения доверия мошенники предупреждают, что ложная информация автоматически ведёт к отказу в трудоустройстве.
  5. После заполнения анкеты кандидатам обещают связаться через мессенджер и отправить ссылку на приложение, необходимое для работы.
  6. В действительности же пользователям предлагают скачать банковский троянец Mamont под видом легитимного приложения.
  7. При установке опасная программа просит пользователя назначить её приложением для работы с СМС по умолчанию, а затем требует отправить фотографии паспорта.
  8. Получив доступ к СМС и уведомлениям, Mamont может похищать средства со счетов жертв, используя системы мобильного банкинга.


«В январе-феврале 2025 года число пользователей из России, столкнувшихся с этим троянцем, выросло в 20 раз по сравнению с аналогичным периодом прошлого года», — отметил Леонид Безвершенко, эксперт Kaspersky GReAT.
Особенности кампании
  1. Преступники находят своих жертв в игровых чатах на платформах Minecraft и Roblox. Они представляются доброжелательными игроками и предлагают ребенку купить или бесплатно получить игровую валюту, редкие предметы или дополнительные функции.
  2. В последнее время мошенники стали применять и другие схемы, действуя агрессивнее и целенаправленно вовлекая детей в обман.
  3. Одной из распространенных тактик является запугивание. Мошенники звонят ребенку через мессенджер, представляясь службой доставки или другим официальным источником, и просят назвать код из сообщения.
  4. Если ребенок идет на контакт, преступники продолжают диалог, представляясь разными людьми, создавая ощущение серьезной проблемы, требующей немедленного решения.
  5. Самый тревожный сценарий — убеждение ребенка, что его родителям грозит уголовное преследование за пособничество террористам, и что единственный способ их спасти — выполнить все инструкции злоумышленников.
  6. В ходе разговора мошенники просят не сообщать ничего родителям, создавая у ребенка чувство страха и ответственности.
  7. Цель преступников — заставить ребенка войти в личный кабинет онлайн-банка родителей и перевести деньги.
  8. В большинстве случаев атака завершается ночью, когда взрослые спят. Если смартфон родителей защищен отпечатком пальца, мошенники инструктируют ребенка, чтобы он приложил палец спящего родителя к экрану.
  9. Если для входа в онлайн-банк используются пароли, злоумышленники заранее просят ребенка запомнить их или подсмотреть, а затем ночью взять телефон, самостоятельно войти в личный кабинет и выполнить перевод.
  10. Иногда ребенка заставляют сфотографировать экран, отправить коды подтверждения или удалить СМС с уведомлениями банка.


По итогам февраля 2025 года было зафиксировано около 600 подобных инцидентов, что в пять раз больше, чем в декабре 2024 года. Средний ущерб составил 80 тысяч рублей, а возраст детей, ставших жертвами мошенников, в основном варьируется от 10 до 14 лет.

Инциденты

5 февраля служба безопасности обнаружила подозрительную активность в Системе распределения информации о заказах" и немедленно ограничила доступ к устройствам в сети.

Расследование показало, что инцидент раскрыл данные 17 891 компании. Компания объявила, что уведомит пострадавших клиентов.

Скомпрометированная информация содержит номер договора, имя клиента (название договора), имя контактного лица клиента, номер телефона, адрес электронной почты, почтовый адрес, информацию, связанную с использованием услуг.
Группа использует фишинговые письма для первоначального проникновения в системы жертв. После этого злоумышленники разворачивают удалённые трояны, такие как AsyncRAT, NjRAT, Quasar RAT и Remcos RAT.

Последние атаки отличаются тремя ключевыми особенностями:
  1. Хакеры используют модифицированную версию эксплойта для уязвимости CVE-2024−43 451, связанной с раскрытием хэша NTLMv2 в Windows. Microsoft устранила эту проблему в ноябре 2024 года, но Blind Eagle включили её в свой арсенал всего через шесть дней после выпуска исправления.
  2. Злоумышленники использовали новый сервис упаковки вредоносных файлов HeartCrypt, который помогает обходить защитные механизмы.
  3. Для распространения вредоносного ПО использовали платформы Bitbucket и GitHub, расширяя спектр используемых легитимных файловых сервисов, кроме Google Drive и Dropbox.

Телеграм-канал Start X

Подписаться
Наши разборы мошеннических схем поймет даже бабушка
Лу работал в компании с 2007 года, однако после реорганизации в 2018 году его обязанности и зарплата были значительно урезаны. В ответ на это он разработал вредоносное программное обеспечение и установил «аварийный выключатель» в корпоративных системах. Вредоносный код включал бесконечные циклы, которые перегружали ресурсы производственного сервера, вызывая сбои в работе и блокируя возможность входа пользователей в систему.

Помимо этого, Лу удалил профили коллег и внедрил механизм блокировки, который срабатывал при отключении его учётной записи в Active Directory Windows. Этот «аварийный выключатель» был зашифрован под названием «IsDLEnabledinAD». После его увольнения код автоматически заблокировал доступ к системам тысячам сотрудников.
«На X была произведена (и продолжается) масштабная кибератака. Нас атакуют каждый день, но эта атака совершена с использованием большого количества ресурсов. Здесь замешана либо большая, скоординированная группа, либо страна. Отслеживаем», — сообщил Маск.

О проблемах в работе X сообщили более 40 000 пользователей со всего мира.
В эфире Fox News Маск заявил, что целью атаки было выведение из строя систем компании, добавив, что IP-адреса адреса атакующих «происходят из украинского региона».

Об атаке группировка сообщила в своем Telegram-канале, подкрепив свои слова скриншотами и ссылками на check-host.net.
Мужчина в кресле с ноутбуком

Подпишитесь на дайджест Start X

Еженедельная подборка материалов и аналитики про цифровые атаки на людей, технологии защиты, безопасность инфраструктуры и приложений
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.