Storm-2755 краде заплати чрез компрометирани акаунти

Picture of Здравко Боджов
Здравко Боджов
Факти и данни

Киберпрестъпна група, проследявана като Storm-2755, провежда целенасочени атаки срещу служители в Канада, като пренасочва техните заплати към контролирани от нападателите банкови сметки.

Атаките използват усъвършенствани техники за кражба на сесии и заобикаляне на многофакторна автентикация (MFA), което ги прави особено опасни дори за организации с базови мерки за сигурност.

Как работи атаката

Нападателите създават фалшиви страници за вход, имитиращи Microsoft 365, които се разпространяват чрез:

  • malvertising (злонамерена реклама)
  • SEO poisoning (манипулирани резултати в търсачките)

Жертвите попадат на тези страници и въвеждат своите данни, без да подозират, че комуникацията се прихваща в реално време.

AiTM атаки – ключът към успеха

Тук се използва техника, известна като „adversary-in-the-middle“ (AiTM), при която атакуващият:

  • прихваща целия процес на автентикация
  • извлича сесийни „бисквитки“ и OAuth токени
  • използва ги за достъп без повторно въвеждане на парола или MFA

Тъй като тези токени представляват вече удостоверена сесия, те позволяват на атакуващите да заобиколят традиционните MFA защити.

Какво правят след пробива

След като получат достъп до акаунта, нападателите предприемат няколко стъпки:

  • създават правила в пощата, които скриват съобщения от HR отделите
  • търсят ключови думи като „заплата“, „банка“, „директен депозит“
  • изпращат имейли до HR с искане за промяна на банковите данни

Ако социалното инженерство не успее, атакуващите директно влизат в системи като Workday и променят данните за изплащане на заплати.

По-широкият контекст – BEC измами

Този тип атаки са разновидност на т.нар. Business Email Compromise (BEC) измами. Според FBI Internet Crime Complaint Center, само за една година са регистрирани над 24 000 подобни случая, с щети над 3 милиарда долара.

Подобна кампания, проведена от Storm-2657, е била насочена към университети в САЩ и също е използвала AiTM техники.

Как да се защитим

Експертите препоръчват следните мерки:

  • използване на phishing-resistant MFA (например FIDO2 ключове)
  • блокиране на остарели протоколи за автентикация
  • незабавно анулиране на компрометирани сесии и токени
  • премахване на подозрителни правила в пощата
  • смяна на всички пароли и MFA настройки

Допълнително, организациите трябва да обучават служителите си да разпознават фишинг атаки и да проверяват внимателно адресите на страниците за вход.

#AiTM, # Microsoft 365, # payroll атаки, # torm-2755, # киберсигурност
e-security.bg

Подобни

Над 200 арестувани при международна операция срещу киберпрестъпността
19.05.2026
andrzejrembowski-police-4283383_640
Microsoft връща една от най-желаните функции в Windows 11
19.05.2026
Windows_11_blur
Europol разкри мрежа за онлайн пропаганда, свързана с ирански екстремисти
19.05.2026
iran-hackers
Алгоритмите променят музиката
19.05.2026
spotify
Руски производител на чипове започна да продава сувенири
19.05.2026
teddy-1623436_640
SUSE залага на обединена ИИ, Kubernetes и виртуализационна платформа
18.05.2026
suse

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy