Video: 8 Nuovi Tipi Di Truffa Che Devi Conoscere Ed Evitare (Settembre 2024)
Quei principi nigeriani hanno nuovi assi nella manica.
Ricordi quelle 419 truffe? Questi erano i messaggi e-mail spesso scritti male che pretendevano di essere da un individuo benestante disposto a pagare generosamente per aiutare a trasferire la sua ricchezza fuori dal paese. In realtà, quando le vittime hanno consegnato i loro dettagli finanziari al fine di aiutare e ottenere un grande profitto, i truffatori hanno saccheggiato i conti bancari e sono scomparsi.
Sembra che quei truffatori abbiano raccolto tecniche di attacco e malware per il furto di dati precedentemente utilizzati da gruppi più sofisticati di criminalità informatica e cyber-spionaggio, hanno detto i ricercatori di Palo Alto Networks. I ricercatori dell'Unità 42, il team di intelligence sulle minacce della compagnia, hanno delineato la serie di attacchi contro le imprese di Taiwan e della Corea del Sud nel rapporto "419 Evolution" pubblicato martedì.
In passato, le truffe del social engineering erano principalmente rivolte a "individui ricchi e ignari". Con i nuovi strumenti in mano, questi 419 truffatori sembrano aver spostato il pool di vittime per includere le imprese.
"Gli attori non mostrano un alto livello di acume tecnico, ma rappresentano una minaccia crescente per le imprese che non erano in precedenza i loro obiettivi primari", ha dichiarato Ryan Olson, direttore dell'intelligence dell'Unità 42.
Attacchi sofisticati da parte dei non iniziati
Palo Alto Networks ha monitorato gli attacchi, soprannominati "Silver Spaniel" dai ricercatori dell'Unità 42, negli ultimi tre mesi. Gli attacchi sono iniziati con un allegato e-mail dannoso, che quando si faceva clic, installava malware sul computer della vittima. Un esempio è uno strumento di amministrazione remota (RAT) chiamato NetWire, che consente agli aggressori di assumere in remoto macchine Windows, Mac OS X e Linux. Un altro strumento, DataScrambler, è stato utilizzato per riconfezionare NetWire per eludere il rilevamento da parte di programmi antivirus. DarkComet RAT è stato utilizzato anche in questi attacchi, afferma il rapporto.
Questi strumenti sono economici e prontamente disponibili sui forum sotterranei e potrebbero essere "distribuiti da chiunque abbia un laptop e un indirizzo e-mail", afferma il rapporto.
I 419 truffatori erano esperti di ingegneria sociale, ma erano principianti quando si trattava di lavorare con malware e "mostravano una sicurezza operativa notevolmente scarsa", ha rilevato il rapporto. Anche se l'infrastruttura di comando e controllo è stata progettata per utilizzare domini DNS dinamici (da NoIP.com) e un servizio VPN (da NVPN.net), alcuni utenti malintenzionati hanno configurato i domini DNS in modo che puntino ai propri indirizzi IP. I ricercatori sono stati in grado di tracciare le connessioni con i provider di servizi Internet mobili e satellitari nigeriani, afferma il rapporto.
I truffatori hanno molto da imparare
Al momento, gli aggressori non stanno sfruttando alcuna vulnerabilità del software e si affidano ancora al social engineering (di cui sono molto bravi) per indurre le vittime a installare malware. Sembrano rubare password e altri dati per lanciare attacchi di social engineering di follow-up.
"Finora non abbiamo osservato alcun payload secondario installato o alcun movimento laterale tra i sistemi, ma non possiamo escludere questa attività", hanno scritto i ricercatori.
I ricercatori hanno scoperto un nigeriano che ha citato ripetutamente il malware su Facebook, chiedendo ad esempio funzionalità NetWire specifiche o chiedendo supporto lavorando con Zeus e SpyEye, per esempio. Mentre i ricercatori non hanno ancora collegato questo attore specifico agli attacchi di Silver Spaniel, è stato un esempio di qualcuno "che ha iniziato le loro carriere criminali gestendo 419 truffe e stanno evolvendo il loro mestiere per utilizzare gli strumenti malware trovati nei forum sotterranei", ha detto Palo Alto Networks.
Il rapporto raccomandava di bloccare tutti gli allegati eseguibili nelle e-mail e di ispezionare gli archivi.zip e.rar per potenziali file dannosi. I firewall dovrebbero anche bloccare l'accesso a domini DNS dinamici abusati e gli utenti devono essere addestrati a diffidare degli allegati, anche quando i nomi dei file sembrano legittimi o correlati al loro lavoro, ha affermato Palo Alto Networks. Il rapporto includeva le regole di Snort e Suricata per rilevare il traffico di Netwire. I ricercatori hanno anche rilasciato uno strumento gratuito per decrittografare e decodificare il comando e controllare il traffico e rivelare i dati rubati dagli aggressori di Silver Spaniel.
"Al momento non ci aspettiamo che gli attori Silver Spaniel inizino a sviluppare nuovi strumenti o exploit, ma è probabile che adottino nuovi strumenti realizzati da attori più capaci", afferma il rapporto.
