-
Похожий контент
-
Автор KL FC Bot
Первый шаг на пути к успеху для киберпреступников при проведении почтовой атаки — добиться того, чтобы их письма попались на глаза потенциальным жертвам. Недавно мы уже рассказывали, как мошенники используют для этого уведомления от вполне легитимного сервиса для отправки больших файлов GetShared. Сегодня мы рассмотрим еще один вариант доставки вредоносных сообщений: в этой схеме злоумышленники научились добавлять свои сообщения в настоящие письма с благодарностью за оформление бизнес-подписки на Microsoft 365.
Вполне легитимное письмо от Microsoft с сюрпризом
Атака начинается с настоящего письма от Microsoft, в котором получателя благодарят за покупку подписки Microsoft 365 Apps for Business. Это письмо действительно отправляется с настоящего адреса компании microsoft-noreply@microsoft.com. Почтовый адрес с более надежной репутацией, чем этот, сложно себе представить, поэтому письмо без проблем проходит проверки любых почтовых сервисов.
Еще раз — само письмо абсолютно настоящее. Его содержание соответствует стандартному уведомлению о совершении покупки. В случае с письмом со скриншота ниже Microsoft благодарит получателя за оформление 55 подписок на бизнес-приложения Microsoft 365 на общую сумму $587,95.
Пример бизнес-уведомления от Microsoft, в котором злоумышленники вставили свое сообщение в разделе данных для выставления счета (Billing information)
View the full article
-
Автор KL FC Bot
Пользователь хотел защитить свои пароли, но собственными руками запустил злоумышленников в организацию. К такому неожиданному выводу привело недавнее расследование атаки шифровальщика-вымогателя. Инцидент начался с того, что один из сотрудников скачал популярный менеджер паролей KeePass. Важное «но»: он зашел на сайт-фальшивку. Исходный код KeePass открыт, поэтому злоумышленники без проблем скопировали его, внесли изменения и добавили вредоносные функции. Затем они повторно скомпилировали программу и распространили ее через поддельные сайты, которые продвигали через легитимные системы онлайн-рекламы.
Компрометация менеджера паролей — серьезная угроза и для обычных пользователей, и для организаций. Как заметить ее и как защититься?
Что делал фальшивый KeePass
Вредоносная кампания длилась как минимум 8 месяцев начиная с середины 2024 года. Злоумышленники создавали поддельные сайты, имитирующие официальный сайт KeePass, и использовали вредоносные рекламные объявления (malvertising), чтобы перенаправлять пользователей, ищущих KeePass, на домены с многообещающими именами вроде keeppaswrd, keebass и KeePass-download.
Если жертва скачивала KeePass с фальшивого сайта, то менеджер паролей исправно выполнял основную функцию, но также сохранял все пароли из открытой базы данных в незашифрованный текстовый файл, а еще устанавливал в системе «маячок» Cobalt Strike — инструмента, используемого как для оценки защищенности организаций, так и для реальных кибератак.
С помощью Cobalt Strike атакующие смогли не только украсть экспортированные пароли, но и использовать их для захвата дополнительных систем и в конечном счете зашифровать серверы ESXi в организации.
Поискав следы этой атаки в Интернете, исследователи обнаружили пять разных троянизированных модификаций KeePass. Некоторые из них были устроены более просто — сразу выгружали украденные пароли на сервер атакующих.
View the full article
-
Автор Acteon_927
Приходят фальшивые извещения от Mozila Firefox 136.0.4 (64-bit) о заработке, не имеющее ко мне никакого отношения.
Сообщение от модератора kmscom Тема перемещена из разлела Помощь в борьбе с шифровальщиками-вымогателями
-
Автор KL FC Bot
Многие современные компании поддерживают политику BYOD (Bring Your Own Device) — то есть разрешают сотрудникам использовать собственные устройства для служебных нужд. Особенно эта практика распространена в организациях, приветствующих удаленный формат работы. У BYOD есть масса очевидных преимуществ, однако внедрение подобной политики создает новые риски для кибербезопасности компании.
Для предотвращения угроз ИБ-отделы часто выдвигают требование наличия защитного решения в качестве обязательного условия для использования собственного устройства для работы. В то же время некоторые сотрудники — особенно продвинутые и уверенные в себе технические специалисты — могут считать, что антивирус вряд ли может быть полезен и, скорее всего, будет усложнять им жизнь.
Это не самое разумное мнение, но переубедить таких людей может быть не так уж просто. Главная проблема состоит в том, что уверенные в своей правоте сотрудники могут найти способ обмануть систему. Сегодня в рамках рубрики «Предупрежден — значит вооружен» мы расскажем об одном из них: о новом исследовательском проекте под названием Defendnot, который позволяет отключать Microsoft Defender на устройствах с Windows, регистрируя фальшивый антивирус.
Как эксперимент с no-defender показал, что Microsoft Defender можно отключить с помощью поддельного антивируса
Чтобы разобраться в том, как работает Defendnot, нам придется перенестись на год назад. Тогда исследователь с Twitter-ником es3n1n, который является автором этого инструмента, опубликовал первую версию проекта на GitHub. Он назывался no-defender, и его задачей также являлось отключение встроенного антивируса Windows Defender.
Для выполнения этой задачи es3n1n эксплуатировал специальный программный интерфейс Windows под названием WSC API (Windows Security Center — Центр безопасности Windows). Через него антивирусное ПО сообщает системе о том, что оно установлено и берет на себя защиту устройства в режиме реального времени. Получив такое сообщение, Windows автоматически отключает Microsoft Defender, чтобы избежать конфликтов при одновременной работе нескольких защитных решений на одном устройстве.
На основе кода существующего защитного решения исследователь смог создать свой поддельный «антивирус», который регистрировался в системе и проходил все проверки Windows. После этого Microsoft Defender отключался, а устройство оставалось незащищенным, поскольку no-defender на практике не имел никаких защитных функций.
Проект no-defender достаточно быстро набрал популярность на GitHub и успел получить 2 тысячи звезд от благодарных пользователей. Однако компания-разработчик антивируса, чей код использовал исследователь, отправила на него жалобу о нарушении Закона об авторском праве в цифровую эпоху (DMCA). Поэтому es3n1n удалил код проекта из GitHub, оставив только страничку с описанием.
View the full article
-
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти