-
Похожий контент
-
Автор KL FC Bot
Злоумышленники все чаще используют для заражения компьютеров Windows технику ClickFix, заставляя пользователей самостоятельно запускать вредоносные скрипты. Впервые применение этой тактики было замечено весной 2024 года. За прошедшее время злоумышленники успели придумать целый ряд сценариев ее применения.
Что такое ClickFix
Техника ClickFix — это, по сути, попытка злоумышленников выполнить вредоносную команду на компьютере жертвы, полагаясь исключительно на приемы социальной инженерии. Злоумышленники под тем или иным предлогом убеждают пользователя скопировать длинную строку (в подавляющем большинстве случаев это скрипт PowerShell), вставить ее в окно запуска программы и нажать Enter, что в итоге должно привести к компрометации системы.
Чаще всего атака начинается со всплывающего окна, имитирующего нотификацию о какой-либо технической проблеме. Чтобы исправить эту проблему, пользователю необходимо выполнить несколько простых действий, которые так или иначе сводятся к копированию какого-то объекта и запуску его через окно Run. Впрочем, в Windows 11 PowerShell можно выполнить и из строки поиска приложений, настроек и документов, которая открывается при нажатии на иконку с логотипом, поэтому жертву просят скопировать что-либо именно туда.
Атака ClickFix — как своими руками заразить собственный компьютер зловредом за три простых шага. Источник
Название ClickFix эта техника получила, поскольку чаще всего в нотификации присутствует кнопка, название которой так или иначе связано с глаголом починить (Fix, How to fix, Fix it) и на которую пользователю надо кликнуть, чтобы решить якобы возникшую проблему или увидеть инструкцию по ее решению. Однако это не обязательный элемент — необходимость запуска могут аргументировать требованием проверить безопасность компьютера или, например, просьбой подтвердить, что пользователь не робот. В таком случае могут обойтись и без кнопки Fix.
Пример инструкции для подтверждения, что вы не робот. Источник
От реализации к реализации схема может немного отличаться, но чаще всего атакующие выдают жертве следующую инструкцию:
нажать кнопку для копирования решающего проблему кода; нажать сочетание клавиш [Win] + [R]; нажать сочетание [Ctrl] + [V]; нажать [Enter]. Что при этом происходит на самом деле? Первый шаг скопирует в буфер обмена какой-то невидимый пользователю скрипт. Второй — откроет окно Run («Выполнить»), которое в Windows предназначено для быстрого запуска программ, открытия файлов и папок, а также ввода команд. На третьем этапе в него из буфера обмена будет вставлен скрипт PowerShell. Наконец, на последнем этапе этот код будет запущен с текущими привилегиями пользователя.
В результате выполнения скрипта на компьютер загружается и устанавливается какой-либо зловред — конкретная вредоносная нагрузка разнится от кампании к кампании. То есть получается, что пользователь своими руками запускает вредоносный скрипт в собственной системе и заражает свой компьютер.
View the full article
-
Автор KL FC Bot
С ростом популярности инвестиций растет и масштаб связанного с этой темой онлайн-мошенничества. Несколько месяцев назад мы рассказывали о нескольких мошеннических приложениях инвестиционной направленности, обнаруженных нами в магазине Apple App Store. Мы решили копнуть глубже и поискали, где еще размещают такого рода приложения, — и эти поиски принесли куда более любопытные результаты, чем мы ожидали.
В этом посте рассказываем о наших самых интересных находках: мошеннических «газовых» приложениях в рекомендациях магазинов для Android, «нефтяных инвестициях» в App Store и Google Play, а также о серии фейковых видео, в которых «Эрдоган», «Маск» и другие известные люди рекламируют несуществующие инвестиционные платформы.
«Газовые» мошенники в магазинах приложений для Android
В первую очередь хочется обозначить масштаб проблемы. Мы обнаружили несколько сотен мошеннических приложений на разных языках — в сумме более 300, — предлагающих инвестировать в природные ресурсы, «квантовые инвестиционные алгоритмы» и прочие мудреные вещи, которые якобы позволяют разбогатеть, вложив небольшую сумму.
Такие приложение в огромных количествах размещают в магазинах, предустановленных в телефонах различных марок: например, GetApps на смартфонах Xiaomi или Palm Store на устройствах Tecno.
Сотни мошеннических приложений инвестиционной направленности в магазинах для Android — GetApps и Palm Store
Посмотреть статью полностью
-
Автор KL FC Bot
В этом сезоне у киберпреступников чрезвычайно популярна новая схема атаки на клиентов Booking.com через внутреннюю систему обмена сообщениями этого сервиса. Для этого они используют взломанные аккаунты отелей на admin.booking.com. За последние месяцы разными компаниями было выпущено несколько исследований инцидентов такого рода.
В данный момент Booking.com на территории России не работает, но тем не менее угроза может быть актуальна для русскоязычных читателей из других стран. Поэтому рассказываем подробнее, как работает данная атака, — и даем советы, как владельцам и сотрудникам отелей защититься от нее (и защитить своих клиентов).
Заражение компьютеров сотрудников отелей стилером паролей
В данном случае мы имеем дело с многоступенчатой атакой, если можно так выразиться — B2B2C. Начинается все с заражения компьютеров отелей, но непосредственная опасность угрожает не самой гостинице, а ее клиентам.
Для угона аккаунтов отелей на admin.booking.com злоумышленники используют специальные вредоносные программы, которые называются стилерами паролей. Вообще говоря, стилеры обычно собирают любые пароли, которые могут обнаружить на зараженном компьютере. Но в данном случае, судя по всему, для киберпреступников представляют интерес именно учетные записи на Booking.com.
В частности, в одном из вышеупомянутых исследований описана целевая атака на сотрудников отеля через электронную почту. Эта атака начинается с безобидного письма, в котором некто представляется недавним постояльцем и просит сотрудников гостиницы помочь ему с поиском утерянных документов.
Первое письмо злоумышленников, отправленное атакованному отелю. Источник
В следующем письме «постоялец» утверждает, что уже искал потерянный паспорт везде, где только можно, и не смог его обнаружить — так что отель остается единственным местом, где может находиться документ. Поэтому он просит сотрудника отеля уделить время его поискам и в качестве помощи присылает ссылку якобы на фотографии утерянного паспорта.
Следующее письмо злоумышленников, которое содержит ссылку на зараженный архив со стилером паролей. Источник
Посмотреть статью полностью
-
Автор KL FC Bot
Чаще всего фишинговые письма застревают в папке «Спам», потому что сегодня большинство из них легко распознаются почтовыми защитными системами. Но иногда эти системы ошибаются и в корзину попадают настоящие, не мошеннические сообщения. Сегодня расскажем, как распознать фишинговые письма и что с ними делать.
Признаки фишинговых писем
Существуют несколько общепринятых признаков, которые могут явно указывать на то, что письмо прислано мошенниками. Вот некоторые из них:
Яркий заголовок. Фишинговое письмо, вероятнее всего, будет каплей в море вашего почтового ящика. Именно поэтому мошенники обычно стараются выделиться в наименовании словами-триггерами вроде «срочно», «приз», «деньги», «розыгрыш» и всем похожим, что должно побудить вас как можно скорее открыть письмо. Призыв к действию. Разумеется, в таком письме вас будут просить сделать хотя бы что-то из этого списка: перейти по ссылке, оплатить какую-нибудь ненужную вещь, посмотреть подробности во вложении. Главная цель злоумышленников — выманить жертву из почты в небезопасное пространство и заставить тратить деньги или терять доступы к аккаунтам. «Истекающий» таймер. В письме может быть таймер: «Перейдите по ссылке, она активна в течение 24 часов». Все подобные уловки — чушь, мошенникам выгодно торопить жертву, чтобы она начала паниковать и менее бережно относиться к своим деньгам. Ошибки в тексте письма. В последний год участились случаи, когда фишинговое письмо приходит сразу на нескольких языках, причем со странными ошибками. Странный адрес отправителя. Если вы живете, например, в России и вам пришло письмо с итальянского адреса — это повод насторожиться и полностью проигнорировать его содержимое. Раньше еще одним верным признаком фишингового письма было обезличенное обращение вроде «Уважаемый пользователь», но мошенники сделали шаг вперед. Теперь все чаще письма приходят адресные, с упоминанием имени жертвы. Их тоже нужно игнорировать.
View the full article
-
Автор KL FC Bot
Попытки поставить целевой фишинг на поток мы наблюдаем уже достаточно давно. Как правило, они ограничиваются чуть лучшей стилизацией писем под конкретную компанию, имитацией корпоративного отправителя при помощи методики Ghost Spoofing и персонализацией послания (которая в лучшем случае заключается в обращении к жертве по имени). Однако в марте этого года мы начали регистрировать крайне любопытную рассылку, в которой персонализирован был не только текст в теле писем, но и вложенный документ. Да и сама схема была не совсем типичной — в ней жертву пытались заставить ввести корпоративные учетные данные от почты под предлогом изменений HR-политики.
Письмо от злоумышленников: просьба ознакомиться с новыми HR-гайдлайнами
Итак, жертва получает письмо, в котором якобы представители HR, обращаясь по имени, просят ознакомиться с изменениями HR-политики, касающимися протоколов удаленной работы, доступных рабочих льгот и стандартов безопасности. Разумеется, любому сотруднику важны изменения такого рода, курсор так и тянет к приложенному документу (в названии которого, к слову, тоже есть имя получателя). Тем более в письме такая красивая плашка, в которой сказано, что отправитель подтвержденный, сообщение пришло из листа безопасных адресатов. Но как показывает практика, именно в таких случаях к письму стоит присмотреться повнимательнее.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти