Video: FBNC - IMF và Tổng thống Nigeria thảo luận về khủng hoảng kinh tế (Tháng Chín 2024)
Những hoàng tử Nigeria có thủ đoạn mới lên tay áo của họ.
Hãy nhớ những vụ lừa đảo 419? Đây là những tin nhắn email thường được viết kém với mục đích là từ một cá nhân giàu có sẵn sàng trả một cách xa hoa để được giúp chuyển sự giàu có của mình ra khỏi đất nước. Trên thực tế, khi các nạn nhân bàn giao chi tiết tài chính của họ để giúp đỡ và nhận được một khoản tiền lớn, những kẻ lừa đảo đã cướp tài khoản ngân hàng và biến mất.
Có vẻ như những kẻ lừa đảo đã chọn các kỹ thuật tấn công và phần mềm độc hại đánh cắp dữ liệu trước đây được sử dụng bởi các nhóm tội phạm mạng và gián điệp tinh vi hơn, các nhà nghiên cứu của Palo Alto Networks cho biết. Các nhà nghiên cứu từ Đơn vị 42, nhóm tình báo đe dọa của công ty, đã phác thảo một loạt các cuộc tấn công chống lại các doanh nghiệp Đài Loan và Hàn Quốc trong báo cáo "419 Evolution" được công bố hôm thứ ba.
Trong quá khứ, các vụ lừa đảo kỹ thuật xã hội chủ yếu nhắm vào "những cá nhân giàu có, không nghi ngờ". Với các công cụ mới trong tay, những kẻ lừa đảo này dường như đã chuyển nhóm nạn nhân sang các doanh nghiệp.
"Các diễn viên không thể hiện sự nhạy bén kỹ thuật cao, nhưng đại diện cho mối đe dọa ngày càng tăng đối với các doanh nghiệp mà trước đây không phải là mục tiêu chính của họ", Ryan Olson, giám đốc tình báo của Đơn vị 42 nói.
Tấn công tinh vi của người không chuyên
Palo Alto Networks đã theo dõi các cuộc tấn công, được các nhà nghiên cứu của Đơn vị 42 gọi là "Silver Spaniel", trong ba tháng qua. Các cuộc tấn công bắt đầu bằng một tệp đính kèm email độc hại, khi nhấp vào, đã cài đặt phần mềm độc hại trên máy tính của nạn nhân. Một ví dụ là một công cụ quản trị từ xa (RAT) có tên NetWire, cho phép kẻ tấn công chiếm quyền điều khiển từ xa các máy Windows, Mac OS X và Linux. Một công cụ khác, DataScrambler, được sử dụng để đóng gói lại NetWire để tránh sự phát hiện của các chương trình chống vi-rút. DarkComet RAT cũng đã được sử dụng trong các cuộc tấn công này, báo cáo cho biết.
Các công cụ này không tốn kém và có sẵn trên các diễn đàn ngầm và có thể được "triển khai bởi bất kỳ cá nhân nào có máy tính xách tay và địa chỉ email", báo cáo cho biết.
Những kẻ lừa đảo 419 là chuyên gia về kỹ thuật xã hội, nhưng là người mới khi làm việc với phần mềm độc hại và "cho thấy bảo mật hoạt động kém đáng kể", báo cáo nhận thấy. Mặc dù cơ sở hạ tầng chỉ huy và kiểm soát được thiết kế để sử dụng các miền DNS động (từ NoIP.com) và dịch vụ VPN (từ NVPN.net), một số kẻ tấn công đã định cấu hình miền DNS để trỏ đến địa chỉ IP của riêng chúng. Các nhà nghiên cứu đã có thể theo dõi các kết nối với các nhà cung cấp Internet di động và vệ tinh Nigeria, báo cáo cho biết.
Kẻ lừa đảo có nhiều thứ để học
Hiện tại, những kẻ tấn công không khai thác bất kỳ lỗ hổng phần mềm nào và vẫn đang dựa vào kỹ thuật xã hội (mà chúng rất giỏi) để lừa nạn nhân cài đặt phần mềm độc hại. Chúng dường như đang đánh cắp mật khẩu và dữ liệu khác để khởi động các cuộc tấn công kỹ thuật xã hội tiếp theo.
"Cho đến nay chúng tôi đã không quan sát thấy bất kỳ tải trọng thứ cấp nào được cài đặt hoặc bất kỳ chuyển động bên nào giữa các hệ thống, nhưng không thể loại trừ hoạt động này", các nhà nghiên cứu viết.
Các nhà nghiên cứu đã phát hiện ra một người Nigeria đã nhắc đến phần mềm độc hại nhiều lần trên Facebook, hỏi về các tính năng cụ thể của NetWire hoặc yêu cầu hỗ trợ làm việc với Zeus và SpyEye chẳng hạn. Trong khi các nhà nghiên cứu chưa liên kết diễn viên cụ thể này với các cuộc tấn công của Silver Spaniel, anh ta là một ví dụ về một người nào đó "bắt đầu sự nghiệp tội phạm của họ điều hành 419 vụ lừa đảo và đang phát triển thủ công của họ để sử dụng các công cụ phần mềm độc hại được tìm thấy trên các diễn đàn ngầm", Palo Alto Networks nói.
Báo cáo đề nghị chặn tất cả các tệp đính kèm thực thi trên email và kiểm tra lưu trữ .zip và .rar cho các tệp độc hại tiềm năng. Tường lửa cũng nên chặn quyền truy cập vào các miền DNS động thường bị lạm dụng và người dùng cần được đào tạo để nghi ngờ các tệp đính kèm, ngay cả khi tên tệp trông hợp pháp hoặc liên quan đến công việc của họ, Palo Alto Networks nói. Báo cáo bao gồm các quy tắc Snort và Suricata để phát hiện lưu lượng truy cập Netwire. Các nhà nghiên cứu cũng phát hành một công cụ miễn phí để giải mã và giải mã lệnh và kiểm soát lưu lượng và tiết lộ dữ liệu bị đánh cắp bởi những kẻ tấn công Silver Spaniel.
"Tại thời điểm này, chúng tôi không hy vọng các diễn viên của Silver Spaniel sẽ bắt đầu phát triển các công cụ hoặc khai thác mới, nhưng họ có thể sẽ áp dụng các công cụ mới được thực hiện bởi các diễn viên có khả năng hơn", báo cáo cho biết.
