Vídeo: Dabiri, Ekhator React To Attacks On Nigerian Businesses In Ghana Despite Dialogue (Setembre 2024)
Aquests prínceps nigerianos tenen noves mànigues.
Recordeu aquelles estafes 419? Aquests eren els missatges de correu electrònic sovint mal escrits que pretenien ser d’una persona rica disposada a pagar enormement per ajudar a transferir la seva riquesa fora del país. En realitat, quan les víctimes van lliurar les seves dades financeres amb l'objectiu d'ajudar i obtenir una gran recompensa, els defraudadors van saquejar els comptes bancaris i van desaparèixer.
Sembla que els estafadors han recollit tècniques d’atac i de robatori de programari maliciós utilitzats anteriorment per grups més sofisticats de ciberdelinqüència i ciber-espionatge, van dir investigadors de Palo Alto Networks. Els investigadors de la unitat 42, l’equip d’intel·ligència d’amenaça de l’empresa, van exposar la sèrie d’atacs contra negocis taiwanesos i sud-coreans en l’informe “Evolution 419” publicat dimarts.
En el passat, les estafes d’enginyeria social tenien com a objectiu principalment “individus rics i desconcertats”. Amb noves eines a la mà, sembla que aquests 419 estafadors han canviat la piscina de les víctimes per incloure negocis.
"Els actors no mostren un alt nivell de coneixement tècnic, però representen una amenaça creixent per a les empreses que no han estat els objectius principals", va dir Ryan Olson, director d'intel·ligència de la Unitat 42.
Atacs sofisticats dels no iniciats
Palo Alto Networks va fer el seguiment dels atacs, anomenats "Silver Spaniel" pels investigadors de la Unitat 42 durant els últims tres mesos. Els atacs van començar amb un fitxer adjunt de correu electrònic maliciós que, quan es va fer clic, va instal·lar programari maliciós a l’ordinador de la víctima. Un exemple és una eina d'administració remota (RAT) anomenada NetWire, que permet que els atacants es facin càrrec remots de les màquines Windows, Mac OS X i Linux. Una altra eina, DataScrambler, es va utilitzar per reembalar NetWire per evadir la detecció mitjançant programes antivirus. L'informe va dir que DarkComet RAT també s'ha utilitzat.
Aquestes eines són econòmiques i es poden trobar fàcilment en fòrums subterranis i podrien ser "desplegades per qualsevol persona amb un ordinador portàtil i una adreça de correu electrònic", va dir l'informe.
L'informe constatava que els 419 estafadors eren experts en enginyeria social, però eren principiants a l'hora de treballar amb programari maliciós i "mostraven una seguretat operativa notablement deficient". Tot i que la infraestructura de comandaments i control va ser dissenyada per utilitzar dominis DNS dinàmics (de NoIP.com) i un servei VPN (de NVPN.net), alguns dels atacants van configurar els dominis DNS per assenyalar les seves pròpies adreces IP. L'informe va dir que els investigadors van poder rastrejar les connexions amb proveïdors d'Internet mòbils i satèl·lits nigerians.
Els estafadors tenen molt a aprendre
De moment, els atacants no exploten cap vulnerabilitat de programari i encara confien en l'enginyeria social (a la qual són molt bons) per enganyar les víctimes a la instal·lació de programari maliciós. Sembla que roben contrasenyes i altres dades per llançar atacs d'enginyeria social de seguiment.
"Fins ara no hem observat cap càrrega útil secundària instal·lada ni cap moviment lateral entre sistemes, però no es pot descartar aquesta activitat", van escriure els investigadors.
Els investigadors van descobrir un nigerià que va mencionar el malware en diverses ocasions a Facebook, preguntant sobre funcions específiques de NetWire o demanant suport per treballar amb Zeus i SpyEye, per exemple. Si bé els investigadors encara no han relacionat aquest actor específic amb els atacs de Silver Spaniel, va ser un exemple d'algú "que va començar les seves carreres criminals que operaven 419 estafes i que evoluciona el seu ofici per utilitzar eines de malware que es troben en fòrums subterranis", va dir Palo Alto Networks.
L’informe recomana bloquejar tots els fitxers adjunts executables als correus electrònics i inspeccionar arxius.zip i.rar per a fitxers potencials maliciosos. Els tallafocs també han de bloquejar l’accés a dominis dinàmics DNS que s’utilitzen habitualment i els usuaris han d’estar formats per sospitar d’adjunts, fins i tot quan els noms de fitxers semblin legítims o estiguin relacionats amb la seva feina, va dir Palo Alto Networks. L’informe incloïa normes de Snort i Suricata per detectar el trànsit de Netwire. Els investigadors també van llançar una eina gratuïta per desxifrar i descodificar el comandament i controlar el trànsit i revelar les dades robades pels atacants de Silver Spaniel.
"En aquest moment no esperem que els actors Silver Spaniel comencin a desenvolupar noves eines o explotacions, però és probable que adoptiran noves eines fetes per actors més capaços", afirma l'informe.
