-
Похожий контент
-
От KL FC Bot
Тенденция к использованию в массовых рассылках уловок, характерных для целевого фишинга продолжает нарастать. Недавно нам попался образец письма, в котором атакующие использовали целую коллекцию достаточно сложных трюков. Казалось бы, применять их все в массовой фишинговой атаке — смысла не много. И тем не менее злоумышленники не поленились. (Хотя, как выяснилось при подробном анализе, атака была обречена на провал.) Мы решили, что это отличный повод для того, чтобы описать используемые фишерами приемы.
Письмо, имитирующее рассылку корпоративных гайдлайнов
В письме прекрасно практически все. Оно адресовано конкретному человеку в конкретной организации, при этом в имени отправителя используется прием Ghost Spoofing, то есть в поле From забита имитация легитимного адреса компании, в которой работает жертва (но, разумеется, не имеющая отношения к адресу из поля Reply To).
Рассылается письмо через инфраструктуру легитимной маркетинговой компании с хорошей репутацией, что не вызывает подозрений у почтовых фильтров. Вдобавок название этой компании и домен верхнего уровня, на котором размещен ее сайт, подобраны таким образом, чтобы усыплять бдительность получателя, — сайт находится в Индонезии, и домен .id может восприниматься вообще не как часть адреса, а как сокращение от слова идентификатор. Рядом с имитацией адреса, забитой в поле From, это выглядит достаточно натурально.
Письмо, имитирующее рассылку корпоративных гайдлайнов.
View the full article
-
От KL FC Bot
Сегодня поговорим о крысах, но не о тех, что с длинными хвостами, а о компьютерных — RAT (remote access trojan). Так называют трояны, которые позволяют злоумышленнику получить удаленный доступ к устройству. Обычно «крысы» умеют самостоятельно устанавливать и удалять программы, контролировать буфер обмена и считывать данные с клавиатуры.
В мае 2024 года в нашу крысоловку попался новый представитель RAT-троянов: SambaSpy. Как это вредоносное ПО проникает на устройства жертв и чем оно там занимается — в этой публикации.
Что такое SambaSpy
SambaSpy — это многофункциональный RAT-троян, обфусцированный с помощью Zelix KlassMaster, что существенно затрудняет его обнаружение и анализ. Тем не менее мы справились с обеими задачами и выяснили, что новый RAT-троян умеет:
управлять файловой системой и процессами; загружать и выгружать файлы; управлять веб-камерой; делать скриншоты; красть пароли; загружать дополнительные плагины; удаленно управлять рабочим столом; регистрировать нажатия клавиш; управлять буфером обмена.
View the full article
-
От KL FC Bot
В России и Беларуси получила распространение схема с покупкой различными темными личностями реквизитов банковских карт через объявления в Интернете. Порой предложения продать данные их карт поступают и взрослым, но чаще всего объектами этой схемы становятся несовершеннолетние: подростков гораздо проще соблазнить обещанием легких денег, пусть даже совсем небольших. Рассказываем о том, как устроена эта схема и какие могут быть последствия участия в ней.
Продажа банковских карт подростками. Как работает эта схема
Все начинается с найденного в Сети объявления, предлагающего подросткам быстрый и простой заработок. Делать ничего особенного не нужно: достаточно открыть банковскую карточку и передать ее полные реквизиты авторам объявления за несколько тысяч рублей. Иногда подростков в эту схему вовлекают сверстники, демонстрируя «легкие деньги» от продажи реквизитов карты.
Соблазнившись, подросток втайне от родителей подает заявление в банк, открывает счет, получает карту и передает ее данные незнакомцам из Интернета. Обещанный «гонорар» ему действительно выплачивают, вот только после передачи реквизитов через карту начинают идти «левые» транзакции.
Какие именно операции проводятся с использованием карты? Тут уж как повезет. Это могут быть сравнительно невинные переводы криптовалютных трейдеров, которым постоянно нужны чужие счета для их операций. Но может произойти и кое-что более серьезное. Например, отмывание денег, полученных в результате мошеннической деятельности или торговли наркотиками, а то и переводы, связанные с финансированием терроризма.
В целом схема построена на том, что подросток не в состоянии заранее предвидеть и оценить возможные неприятности с правоохранительными органами, к которым может привести подобная активность на банковском счете, открытом на его имя.
View the full article
-
От KL FC Bot
«Лаборатория Касперского» уже почти двадцать лет применяет алгоритмы искусственного интеллекта (AI), в первую очередь машинного обучения (ML), в своих продуктах и сервисах. Глубокая экспертиза и опыт в применении этих технологий в области кибербезопасности, уникальные наборы данных, эффективные методы и развитая инфраструктура для обучения моделей лежат в основе нашего подхода к решению ML-задач. Наш центр Kaspersky AI Technology Research объединяет исследователей данных, ML-инженеров, экспертов по угрозам и инфраструктуре, чтобы решать самые амбициозные задачи на стыке сфер AI/ML и кибербезопасности. Среди этих задач — не только разработка прикладных технологий, но и проведение исследований по безопасности AI-алгоритмов, в том числе с применением таких перспективных подходов, как нейроморфное машинное обучение, повышение осведомленности о рисках AI и многое другое.
Наши технологии и продукты
В «Лаборатории Касперского» разработано множество AI/ML-технологий детектирования угроз, в первую очередь — для выявления вредоносного ПО. Это и алгоритм на базе глубокой нейросети для обнаружения зловредных исполняемых файлов на основе статических признаков, и ML-технология на базе решающих деревьев для автоматизированного создания детектирующих правил, работающих на устройствах пользователя, и нейросети для обнаружения вредоносного поведения программ при их выполнении. Есть и система выявления вредоносных ресурсов в Интернете на основе анонимной телеметрии, поступающей из установленных у клиентов решений и других источников. Подробнее о них можно почитать в техническом документе Машинное обучение для выявления вредоносного ПО. Другие модели, такие как ML-модель для детектирования мошеннических веб-страниц и DeepQuarantine для карантина писем с подозрением на спам, защищают пользователей от угроз, связанных с фишингом и спамом. Благодаря KSN, нашей облачной инфраструктуре, результаты работы AI становятся максимально быстро доступны пользователям как домашних, так и корпоративных продуктов.
Перспективы применения генеративного ИИ, в частности больших языковых моделей (LLM), привели к созданию в «Лаборатории Касперского» инфраструктуры для исследования их возможностей и быстрого создания прототипов. Эта инфраструктура, в которой развернуты LLM-инструменты наподобие ChatGPT, не только доступна сотрудникам всех подразделений для решения повседневных задач, но и становится базой для новых решений. Так, уже скоро Kaspersky Threat Intelligence Portal обзаведется новой OSINT-функциональностью на базе LLM — средствами быстрого получения сводки по отчетам об угрозах, связанных с тем или иным индикатором компрометации.
View the full article
-
От KL FC Bot
Что может побудить пользователя немедленно зайти в рабочую учетную запись электронной почты? Разумеется, сообщение о том, что кто-то посторонний получил доступ к переписке. Первый порыв ответственного сотрудника, получившего извещение системы безопасности, — узнать подробности, сменить пароль и, может быть, оповестить всех, кого эта компрометация могла затронуть. Но на самом деле, если после прочтения письма возникает желание сделать что-то немедленно, это как раз повод еще раз все перепроверить и обдумать. И вот неплохая иллюстрация этого тезиса.
Фишинговое письмо
Письмо, с которого начинается недавно встреченная нами фишинговая атака, притворяется нотификацией от Office 365 и делает это весьма неплохо.
Тут есть к чему придраться. Логотип Microsoft великоват, и в данном случае он нелогично используется без названия компании. В нотификациях такого рода обычно стоит логотип Office 365. Немного бестолково объясняется, в чем суть предупреждения. То есть, судя по второй строчке, кто-то создал правило пересылки письма, а судя по строке Details, предупреждения такого типа срабатывают, когда кто-то получает доступ к «почте вашего пользователя». Однако эти детали бросаются в глаза, если нотификации от Office 365 приходят часто, а при нормальной работе с почтой это все-таки не так.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти