Ruske banke na udaru fišing napada

Vesti, 19.11.2018, 09:30 AM

Ruske banke na udaru fišing napada

Banke u Rusiji bile su meta fišing napada koji su imali za cilj da se isporuči alat koji koristi hakerska grupa Silence.

Lažni emailovi su navodno dolazili od Centralne banke Rusije (CBR) i sadržali zlonamerni prilog. Ono što je trebalo da privuče potencijalne žrtve da otvore prilog jesu detalji o "standardizaciji formata elektronskih komunikacija CBR-a".

Kompanija koja se bavi sajber bezbednošću Group-IB, istraživala je napad i primetila da su stil i format lažne komunikacije veoma slični zvaničnoj korespondenciji CBR-a. Ovo podržava teoriju da su napadači imali pristup legitimnim emailovima CBR-a, a veruje se i da se članovi grupe bave legitimnim poslovima u oblasti sajber bezbednosti. Ako je ta pretpostavka tačna, vrlo je verovatno da su zato upoznati sa dokumentacijom koju koriste finansijske institucije i sa tim kako funkcionišu bankarski sistemi.

Napadači su lažirali email adresu pošiljaoca, ali poruke nisu prošle DKIM (DomainKeys Identified Mail) proveru validnosti. DKIM je sigurnosni mehanizam koji je dizajniran da spreči primanje elektronske pošte sa lažnih email adresa, dodavanjem potpisa poruci koji potvrđuje njenu autentičnost.

Hakeri iz grupe Silence nisu jedini koji pokušavaju sa ovakvim napadima na ruske banke. 23. oktobra, još jedna ozloglašena grupa, MoneyTaker, pokrenula je sličnu kampanju protiv iste vrste ciljeva.

Njihova poruka je dolazila sa lažirane email adrese FinCERT-a (Financial Sector Computer Emergency Response Team) i sadržala je pet priloga koji su predstavljeni kao dokumenti CBR-a. Tri od pet fajlova bili su prazni dokumenti, ali su dva sadržala downloader za Meterpreter Stager. Hakeri su koristili samopotpisane SSL sertifikate.

Kao i u slučaju grupe Silence, i ova grupa je imala pristup dokumentima CBR-a, najverovatnije iz kompromitovanih sandučeta zaposlenih u ruskim bankama. To im je omogućilo da napravi poruke koje bi prošle čak kod onih koji su posebno obučeni za otkrivanje lažnih emailova.

Prema tvrdnjama stručnjaka Group-IB, više hakerskih grupa koristilo je Centralnu banku Rusije u fišing kampanjama, i to sa dobrim razlogom, pošto CBR diktira regulativu finansijskim institucijama u zemlji i održava konstantnu komunikaciju sa njima.

Ipak, iz Group-IB kažu da su Silence i MoneyTaker najopasnije od svih grupa koje prete finansijskim organizacijama. Repertoar MoneyTakera takođe uključuje drive-by napade i testiranje mreža u potrazi za ranjivostima.

Silence uglavnom koristi fišing, ali su oni oprezniji u izradi poruka, i obraćaju više pažnje na sadržaj i dizajn.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Email nalog sa omogućenom verifikacijom u dva koraka je (ponekad) lako hakovati

Email nalog sa omogućenom verifikacijom u dva koraka je (ponekad) lako hakovati

Ako zaboravite vašu lozinku za Gmail a omogućili ste dvofaktornu autentifikaciju (2FA), Google će vam poslati SMS ili vas pozvati i dobićete kod... Dalje

CIA tvrdi da je Huawei dobio sredstva od kineskih obaveštajnih agencija

CIA tvrdi da je Huawei dobio sredstva od kineskih obaveštajnih agencija

Ranije ove godine, Centralna obavještajna agencija (CIA) je obavestila svoje kolege u Australiji, Kanadi, Novom Zelandu i Velikoj Britaniji da je kin... Dalje

Microsoft počeo da prikazuje korisnicima Windowsa 7 upozorenje o ukidanju podrške

Microsoft počeo da prikazuje korisnicima Windowsa 7 upozorenje o ukidanju podrške

Microsoft je počeo da upozorava korisnike Windowsa 7 da se približava kraj podrške koji je zakazan za januar 2020. godine. Nemački sajt DrWindow o... Dalje

Zašto je LastPass odbio da pomogne policiji u slučaju protiv osumnjičenog za prodaju narkotika

Zašto je LastPass odbio da pomogne policiji u slučaju protiv osumnjičenog za prodaju narkotika

Američka Agencija za borbu protiv narkotika (DEA), tražila je od LastPassa, proizvođača jednog od najpopularnijih menadžera lozinki, informacije ... Dalje

Evropska komisija potvrdila da su proizvodi kompanije Kaspersky Lab bezbedni

Evropska komisija potvrdila da su proizvodi kompanije Kaspersky Lab bezbedni

Evropska komisija zvanično je potvrdila da „ne poseduje bilo kakav dokaz o potencijalnim problemima povezanim sa korišćenjem proizvoda kompan... Dalje