Търсене
Close this search box.

Измамите с фалшиви фактури не са нова тенденция, показват проучванията, но хакерите усъвършенстват тези атаки, за да са сигурни, че те ще останат ефективен метод за проникване

Според ново проучване измамите с фалшиви фактури остават широко разпространена заплаха и през 2024 г., като изследователите предупреждават, че  заплахите увеличават усилията си и усъвършенстват техниките си.

Докладът на HP Wolf Security „Прозрения за заплахите“ за първото тримесечие на 2024 г. установи, че атаките, базирани на социално инженерство по имейл, все още преминават през мерките за защита на електронната поща на предприятията, като 12% от заплахите по имейл избягват инструментите за защита на шлюзовете.

По-специално, базираните на PDF файлове имейл атаки са били основен риск за предприятията през първите месеци на годината, според HP Wolf Security, който установява, че 11% от атаките, уловени от HP Sure Click през Q1 2024, са били PDF файлове.

В доклада се допълва, че измамите с фалшиви фактури, насочени към предприятията, са предпочитани от нападателите поради броя на предприятията, които изпращат и плащат фактури чрез прикачени файлове към имейли, както и поради значителната възвръщаемост на инвестициите, които могат да бъдат грабнати, ако са успешни.

Измамите с фалшиви фактури бяха идентифицирани като нарастваща заплаха още през 2018 г., а новият доклад показва, че киберпрестъпниците не са се отказали от тази техника и продължават да усъвършенстват тактиките си.

Заплахите използват измами с фалшиви фактури, за да доставят зловреден софтуер

В една от кампаниите, посочени в доклада, е установено, че хакери, разпространяващи зловредния софтуер WikiLoader, изпращат имейли с фалшиви просрочени фактури в PDF формат, като твърдят, че са от логистична фирма.

Идентифициран за пръв път през декември 2022 г., WikiLoader е сложна форма на зловреден софтуер за изтегляне, която се използва за зареждане на друг зловреден софтуер в целевата система по време на атака и може да бъде съчетана с редица други устройства за кражба на информация, чистачки или червеи .

Името му се дължи на начина му на работа, при който отправя заявки към Wikipedia, за да потвърди, че има интернет връзка, и да се увери, че не работи във виртуална машина или пясъчник, и да избегне анализирането му от изследователите по сигурността.

Ако не е счупено, не го поправяйте, но го направете по-невидимо

HP Wolf Security наблюдава, че  заплахите използват редица допълнителни техники за избягване на откриването, за да се уверят, че техният полезен товар може да изпълни веригата на атаката, преди да бъде премахнат или поставен под карантина.

Обикновено WikiLoader работи, като използва прикачен файл PDF, съдържащ връзка, която, ако бъде щракната, ще изтегли ZIP файл, съдържащ JavaScript, за да започне зареждането на крайния полезен товар в системата.

В доклада се отбелязва използването на отворени уязвимости за пренасочване, за да се пренасочат жертвите от легитимни сайтове към злонамерени сайтове, на които се хоства зловредният софтуер. Освен това файлът JavaScript, използван в последните кампании, е бил замаскиран, за да се прикрият злонамерените му намерения.

Замаскираният JavaScript файл изтегля друг JavaScript файл, който изтегля и екстрахира ZIP файл, съдържащ зловредните файлове, в директорията Temp на потребителя.

Друга скрито ориентирана техника, регистрирана от HP Wolf Security, е използването на DLL sideloading с помощта на легитимни програми. В директорията се намират инсталационни файлове за Notepad++, които стартират легитимен, подписан Notepad++ изпълним файл.

Но когато Notepad++ се стартира, той зарежда серия от приставки, включително зловредния софтуер WikiLoader, скрити във файл с име „mimeTools.dll“. В доклада се обяснява, че тази техника е практичен начин за хакерите да се уверят, че техният зловреден софтуер не се улавя от системите за откриване на заплахи.

„Тази техника, DLL sideloading (T1574.002)6 , е ефективен начин да се заобиколи контролът на приложенията и да се намали рискът да бъдат засечени от инструментите за откриване и реагиране на крайни точки (EDR) и антивирусните инструменти.“

 

Източник: itpro.co.uk

Подобни публикации

11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
Бъдете социални
Още по темата
07/10/2024

Google Pay със случайни име...

Тази седмица потребителите бяха разтревожени от...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
03/10/2024

Криптопортфейли, насочени ч...

Потребителите на популярни портфейли за криптовалута...
Последно добавени
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!