Ruske banke na udaru fišing napada

Vesti, 19.11.2018, 09:30 AM

Ruske banke na udaru fišing napada

Banke u Rusiji bile su meta fišing napada koji su imali za cilj da se isporuči alat koji koristi hakerska grupa Silence.

Lažni emailovi su navodno dolazili od Centralne banke Rusije (CBR) i sadržali zlonamerni prilog. Ono što je trebalo da privuče potencijalne žrtve da otvore prilog jesu detalji o "standardizaciji formata elektronskih komunikacija CBR-a".

Kompanija koja se bavi sajber bezbednošću Group-IB, istraživala je napad i primetila da su stil i format lažne komunikacije veoma slični zvaničnoj korespondenciji CBR-a. Ovo podržava teoriju da su napadači imali pristup legitimnim emailovima CBR-a, a veruje se i da se članovi grupe bave legitimnim poslovima u oblasti sajber bezbednosti. Ako je ta pretpostavka tačna, vrlo je verovatno da su zato upoznati sa dokumentacijom koju koriste finansijske institucije i sa tim kako funkcionišu bankarski sistemi.

Napadači su lažirali email adresu pošiljaoca, ali poruke nisu prošle DKIM (DomainKeys Identified Mail) proveru validnosti. DKIM je sigurnosni mehanizam koji je dizajniran da spreči primanje elektronske pošte sa lažnih email adresa, dodavanjem potpisa poruci koji potvrđuje njenu autentičnost.

Hakeri iz grupe Silence nisu jedini koji pokušavaju sa ovakvim napadima na ruske banke. 23. oktobra, još jedna ozloglašena grupa, MoneyTaker, pokrenula je sličnu kampanju protiv iste vrste ciljeva.

Njihova poruka je dolazila sa lažirane email adrese FinCERT-a (Financial Sector Computer Emergency Response Team) i sadržala je pet priloga koji su predstavljeni kao dokumenti CBR-a. Tri od pet fajlova bili su prazni dokumenti, ali su dva sadržala downloader za Meterpreter Stager. Hakeri su koristili samopotpisane SSL sertifikate.

Kao i u slučaju grupe Silence, i ova grupa je imala pristup dokumentima CBR-a, najverovatnije iz kompromitovanih sandučeta zaposlenih u ruskim bankama. To im je omogućilo da napravi poruke koje bi prošle čak kod onih koji su posebno obučeni za otkrivanje lažnih emailova.

Prema tvrdnjama stručnjaka Group-IB, više hakerskih grupa koristilo je Centralnu banku Rusije u fišing kampanjama, i to sa dobrim razlogom, pošto CBR diktira regulativu finansijskim institucijama u zemlji i održava konstantnu komunikaciju sa njima.

Ipak, iz Group-IB kažu da su Silence i MoneyTaker najopasnije od svih grupa koje prete finansijskim organizacijama. Repertoar MoneyTakera takođe uključuje drive-by napade i testiranje mreža u potrazi za ranjivostima.

Silence uglavnom koristi fišing, ali su oni oprezniji u izradi poruka, i obraćaju više pažnje na sadržaj i dizajn.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Napadači koriste bag u popularnom WordPress dodatku, vlasnicima sajtova se savetuje da ga odmah uklone

Napadači koriste bag u popularnom WordPress dodatku, vlasnicima sajtova se savetuje da ga odmah uklone

Istraživači kompanije Wordfence otkrili su do sada nepoznatu ranjivost u ThemeREX Addons, WordPress dodatku instaliranom na hiljadama web sajtova, k... Dalje

Bivši direktor Amazona izjavio da isključuje pametne zvučnike njegove bivše kompanije kada želi malo privatnosti

Bivši direktor Amazona izjavio da isključuje pametne zvučnike njegove bivše kompanije kada želi malo privatnosti

Bivši izvršni direktor Amazona Robert Frederik otkrio je u intervjuu koji je nedavno dao za BBC da iako koristi Alexa zvučnike kod kuće, obično ... Dalje

Trojanac AZORult inficira računare preko lažnih ProtonVPN instalacionih programa

Trojanac AZORult inficira računare preko lažnih ProtonVPN instalacionih programa

Istraživači Kapersky Laba otkrili su lažni web sajt ProtonVPN-a koji je od novembra prošle godine korišćen za širenje AZORult malvera. ProtonV... Dalje

Sud naredio Googleu da otkrije identitet korisnika koji je objavio negativnu kritiku za jednu ordinaciju

Sud naredio Googleu da otkrije identitet korisnika koji je objavio negativnu kritiku za jednu ordinaciju

Najgora noćna mora vlasnika malih firmi je da im neko ostavi negativan komentar na popularnom web sajtu. To se dogodilo Marku Kababeu, stomatologu k... Dalje

Rusija blokirala još jednog email provajdera koji nudi uslugu šifrovane komunikacije

Rusija blokirala još jednog email provajdera koji nudi uslugu šifrovane komunikacije

U petak, 14. februara, dok je svet bio zauzet proslavom Dana zaljubljenih, Rusija je bila zauzeta novim ograničenjima internet komunikacija, što se ... Dalje