הרמאים הניגרים מאמצים התקפות מתוחכמות יותר

לנסיכים הניגרים האלה יש טריקים חדשים בשרוול.

זוכר את 419 ההונאות האלה? אלה היו הודעות הדואר האלקטרוני שנכתבו לעתים קרובות בצורה גרועה, שמתיימרות להיות מאדם עשיר שמוכן לשלם בשפע עבור עזרה בהעברת הונו מחוץ למדינה. למען האמת, כאשר הקורבנות העבירו את פרטיהם הכספיים בכדי לעזור, ולקבל תמורה גדולה, הרמאים בזזו את חשבונות הבנק ונעלמו.

נראה כי הרמאים בחרו בטכניקות התקפה וגניבת תוכנות זדוניות ששימשו בעבר קבוצות פשע-סייבר מתוחכמות וסייבר-ריגול, אמרו חוקרי פאלו אלטו. חוקרים מיחידה 42, צוות מודיעין האיומים של החברה, תיארו את סדרת הפיגועים נגד עסקים טייוואניים ודרום קוריאנים בדו"ח "419 Evolution" שפורסם ביום שלישי.

בעבר, הונאות ההנדסה החברתית התמקדו בעיקר ב"אנשים עשירים ובלתי מעורערים ". עם כלים חדשים ביד, נראה כי 419 הרמאים הללו העבירו את מאגר הקורבנות לכלול עסקים.

ראיין אולסון, מנהל הביון של היחידה 42, אמר כי "השחקנים לא מראים רמה גבוהה של יכולת טכנית, אלא מייצגים איום הולך וגובר על עסקים שלא היו בעבר היעד העיקרי שלהם.

התקפות מתוחכמות של הבלתי-ממוסדות

פאלו אלטו נטוורקס עקב אחר ההתקפות, שכונו "חוקרי הכסף" על ידי חוקרי היחידה 42 בשלושת החודשים האחרונים. ההתקפות החלו עם מצורף לדוא"ל זדוני, שכאשר לחצו עליו התקין תוכנה זדונית במחשב הקורבן. דוגמא אחת היא כלי ניהול מרחוק (RAT) בשם NetWire, המאפשר לתוקפים להשתלט מרחוק על מכונות Windows, Mac OS X ו- Linux. כלי אחר, DataScrambler, שימש לארוז מחדש של NetWire כדי להתחמק מאיתור תוכנות אנטי-וירוס. DarkComet RAT שימש גם בהתקפות אלה, נאמר בדו"ח.

הכלים הללו אינם יקרים וזמינים בפורומים תת קרקעיים ויכולים להיות "פרוסים על ידי כל אדם עם מחשב נייד וכתובת דואר אלקטרוני", נכתב בדו"ח.

419 הרמאים היו מומחים להנדסה חברתית, אך היו טירונים בכל הקשור לעבודה עם תוכנות זדוניות ו"פגינו ביטחון תפעולי גרוע להפליא ", נמצא בדו"ח. למרות שתשתית הפקודה והבקרה תוכננה להשתמש בתחומי DNS דינמיים (מ- NoIP.com) ושירות VPN (מ- NVPN.net), חלק מהתוקפים הגדירו את תחומי ה- DNS להפנות לכתובות IP משלהם. החוקרים הצליחו להתחקות אחר החיבורים לספקי האינטרנט הסלולריים והלוויין הניגרים, נכתב בדו"ח.

לרמאים יש עוד הרבה מה ללמוד

נכון לעכשיו, התוקפים לא מנצלים שום פגיעות תוכנה והם עדיין סומכים על הנדסה חברתית (בה הם טובים מאוד) כדי להערים קורבנות להתקין תוכנות זדוניות. נראה שהם גונבים סיסמאות ונתונים אחרים כדי להפעיל התקפות הנדסה חברתית עוקבות.

החוקרים כתבו החוקרים כי "עד כה לא ראינו עומסים משניים שהותקנו או תנועה רוחבית בין מערכות, אך איננו יכולים לשלול את הפעילות הזו."

חוקרים חשפו ניגרי שהזכיר שוב ושוב את התוכנה הזדונית בפייסבוק, ושאל על תכונות ספציפיות של NetWire או ביקש תמיכה בעבודה עם זאוס ו- SpyEye, למשל. בעוד שחוקרים טרם קישרו את השחקן הספציפי הזה למתקפות הכסף של ספניאל, הוא היה דוגמא למישהו "שהחל את הקריירה הפלילית שלהם בהפעלת הונאות 419 והם מפתחים את מלאכתם להשתמש בכלים זדוניים שנמצאים בפורומים המחתרתיים", אמר פאלו אלטו.

הדו"ח המליץ ​​לחסום את כל הקבצים המצורפים להפעלה בדוא"ל ולבדוק בארכיוני.zip ו-.rar אחר קבצים זדוניים פוטנציאליים. חומות אש צריכות גם לחסום את הגישה לתחומי DNS דינמיים נפוצים שעברו שימוש לרעה, ומשתמשים צריכים להיות מאומנים לחשד בקשר לקבצים מצורפים, גם כששמות הקבצים נראים לגיטימיים או קשורים לעבודתם, אמר Palo Alto Networks. הדוח כלל כללי Snort וסוריקטה לאיתור תנועה של Netwire. החוקרים פרסמו גם כלי חינמי לפענוח ופענוח פיקוד ושליטה בתנועה וחשיפת נתונים שנגנבו על ידי תוקפי סילבר ספניאל.

"נכון לעכשיו אנו לא מצפים ששחקני סילבר ספניאל יתחילו לפתח כלים או ניצולים חדשים, אך הם עשויים לאמץ כלים חדשים שנעשו על ידי שחקנים מוכשרים יותר", נכתב בדו"ח.