Фальшивые объявления о вакансиях как один из приемов киберкриминала
Интернет издание Chief Security Officer (April 6, 2021) обратило внимание на преступную группу, которая специализируется на заманивании потенциальных жертв фальшивыми предложениями о работе.
Эксперты фирмы eSentire (занимается компьютерной безопасностью) зафиксировали атаку хакеров на специалиста в области медицинских технологий. Он получил фишинговое электронное письмо, предлагающее работу по его специальности. Контактные данные были взяты, скорее всего, из открытых ресурсов, в частности, из профиля в LinkedIn. К письму приложен файл с названием, идентичным предлагаемой должности. Открытие файла автоматически ведет к заражению зловредом, известным под именем VenomLNK.
Расследователи предположили, что письмо отправлено известной в международных криминальных кругах группировкой Golden Chickens. Получив доступ в компьютер (смартфон), группировка может инфицировать систему любым из вредоносов, нацеленным на кражу учетных данных, банковской информации, на вымогательство, или просто для мониторинга трафика данных.
Golden Chickens обслуживает другие криминальные группы, продавая им свой продукт под названием «more_eggs». Среди клиентов - FIN6, которая заявила о себе еще в 2014 году атаками на объекты розничной физической продажи, а в последнее время – фальшивыми онлайновыми платежными системами. FIN6 атакует предприятия торговли, гостиничного и ресторанного бизнеса. В 2016 году группировка атаковала топ-менеджеров транснациональных корпораций, используя тот же инструмент «more_eggs» в оболочке фальшивых предложений о работе.
Еще один игрок на этом поле – группировка Evilnum, атаковавшая в 2018 году бэкдором «more_eggs» финансовые и биржевые компании.
«More_eggs» использует и Cobalt Group, известная также как Carbanak. Она специализируется на краже денег из банков и других финансовых организаций, славится глубокой разведкой, неторопливостью, продуманным планированием. Проникнув в систему компьютера жертвы, она, прежде чем нанести удар, может потратить долгие месяцы, изучая и анализируя трафик и приложения, оставаясь при этом незамеченной.
Эксперты указывают на группировку TerraLoader, открывшую в Microsoft Word документ, который выглядит как вполне легальное приложение по вопросам занятости. Как только приложение закачивается на компьютер пользователя, сигнал об этом поступает на контрольный сервер TerraLoader, и далее хакеры завершают атаку тем или иным способом.
Бэкдор «more_eggs», подчеркивает журнал Chief Security Officer, необходимо воспринимать серьезно. Защита от него требует полного и всеобъемлющего расследования. Вполне возможно, что он уже поселился в вашем компьютере, охватил критически важные базы данных и готовится атаковать, либо уже потихоньку скачивает чувствительную информацию.
© "АМУЛЕТ" 2003 г. Тел/Факс.(495) 614-40-60, 614-41-60,
Е-mail:sb@amulet-group.ru
|