Измамите с фалшиви фактури не са нова тенденция, показват проучванията, но хакерите усъвършенстват тези атаки, за да са сигурни, че те ще останат ефективен метод за проникване
Според ново проучване измамите с фалшиви фактури остават широко разпространена заплаха и през 2024 г., като изследователите предупреждават, че заплахите увеличават усилията си и усъвършенстват техниките си.
Докладът на HP Wolf Security „Прозрения за заплахите“ за първото тримесечие на 2024 г. установи, че атаките, базирани на социално инженерство по имейл, все още преминават през мерките за защита на електронната поща на предприятията, като 12% от заплахите по имейл избягват инструментите за защита на шлюзовете.
По-специално, базираните на PDF файлове имейл атаки са били основен риск за предприятията през първите месеци на годината, според HP Wolf Security, който установява, че 11% от атаките, уловени от HP Sure Click през Q1 2024, са били PDF файлове.
В доклада се допълва, че измамите с фалшиви фактури, насочени към предприятията, са предпочитани от нападателите поради броя на предприятията, които изпращат и плащат фактури чрез прикачени файлове към имейли, както и поради значителната възвръщаемост на инвестициите, които могат да бъдат грабнати, ако са успешни.
Измамите с фалшиви фактури бяха идентифицирани като нарастваща заплаха още през 2018 г., а новият доклад показва, че киберпрестъпниците не са се отказали от тази техника и продължават да усъвършенстват тактиките си.
В една от кампаниите, посочени в доклада, е установено, че хакери, разпространяващи зловредния софтуер WikiLoader, изпращат имейли с фалшиви просрочени фактури в PDF формат, като твърдят, че са от логистична фирма.
Идентифициран за пръв път през декември 2022 г., WikiLoader е сложна форма на зловреден софтуер за изтегляне, която се използва за зареждане на друг зловреден софтуер в целевата система по време на атака и може да бъде съчетана с редица други устройства за кражба на информация, чистачки или червеи .
Името му се дължи на начина му на работа, при който отправя заявки към Wikipedia, за да потвърди, че има интернет връзка, и да се увери, че не работи във виртуална машина или пясъчник, и да избегне анализирането му от изследователите по сигурността.
HP Wolf Security наблюдава, че заплахите използват редица допълнителни техники за избягване на откриването, за да се уверят, че техният полезен товар може да изпълни веригата на атаката, преди да бъде премахнат или поставен под карантина.
Обикновено WikiLoader работи, като използва прикачен файл PDF, съдържащ връзка, която, ако бъде щракната, ще изтегли ZIP файл, съдържащ JavaScript, за да започне зареждането на крайния полезен товар в системата.
В доклада се отбелязва използването на отворени уязвимости за пренасочване, за да се пренасочат жертвите от легитимни сайтове към злонамерени сайтове, на които се хоства зловредният софтуер. Освен това файлът JavaScript, използван в последните кампании, е бил замаскиран, за да се прикрият злонамерените му намерения.
Замаскираният JavaScript файл изтегля друг JavaScript файл, който изтегля и екстрахира ZIP файл, съдържащ зловредните файлове, в директорията Temp на потребителя.
Друга скрито ориентирана техника, регистрирана от HP Wolf Security, е използването на DLL sideloading с помощта на легитимни програми. В директорията се намират инсталационни файлове за Notepad++, които стартират легитимен, подписан Notepad++ изпълним файл.
Но когато Notepad++ се стартира, той зарежда серия от приставки, включително зловредния софтуер WikiLoader, скрити във файл с име „mimeTools.dll“. В доклада се обяснява, че тази техника е практичен начин за хакерите да се уверят, че техният зловреден софтуер не се улавя от системите за откриване на заплахи.
„Тази техника, DLL sideloading (T1574.002)6 , е ефективен начин да се заобиколи контролът на приложенията и да се намали рискът да бъдат засечени от инструментите за откриване и реагиране на крайни точки (EDR) и антивирусните инструменти.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.