นักต้มตุ๋นชาวไนจีเรียใช้การโจมตีที่ซับซ้อนมากขึ้น

เจ้าชายไนจีเรียเหล่านั้นมีลูกเล่นใหม่ ๆ

จำการหลอกลวง 419 รายการนั้นได้ไหม ข้อความอีเมลที่เขียนไม่ดีเหล่านี้มักอ้างว่ามาจากบุคคลผู้ร่ำรวยที่เต็มใจจ่ายอย่างฟุ่มเฟือยเพื่อขอความช่วยเหลือในการถ่ายโอนทรัพย์สมบัติของเขาหรือเธอออกนอกประเทศ ในความเป็นจริงเมื่อผู้ที่ตกเป็นเหยื่อส่งมอบรายละเอียดทางการเงินของพวกเขาเพื่อช่วยและได้รับผลตอบแทนจำนวนมากผู้โจมตีจะปล้นบัญชีธนาคารและหายไป

ดูเหมือนว่านักต้มตุ๋นเหล่านี้ได้รวบรวมเทคนิคการโจมตีและมัลแวร์ขโมยข้อมูลซึ่งก่อนหน้านี้ใช้โดยกลุ่มอาชญากรรมไซเบอร์และหน่วยสืบราชการลับทางไซเบอร์ที่ซับซ้อนกว่าเดิม นักวิจัยจากบทที่ 42 ทีมข่าวกรองภัยคุกคามของ บริษัท ได้ระบุชุดการโจมตีธุรกิจของไต้หวันและเกาหลีใต้ในรายงาน "419 Evolution" ที่เผยแพร่เมื่อวันอังคาร

ในอดีตการหลอกลวงทางวิศวกรรมสังคมมุ่งไปที่ "บุคคลที่ร่ำรวยและไม่ไว้วางใจ" เป็นหลัก ด้วยเครื่องมือใหม่ในมือ scammers 419 เหล่านี้ดูเหมือนจะเปลี่ยนกลุ่มผู้เสียหายให้รวมธุรกิจ

“ นักแสดงไม่แสดงความเฉียบแหลมทางเทคนิคในระดับสูง แต่เป็นตัวแทนของภัยคุกคามที่เพิ่มขึ้นต่อธุรกิจที่ไม่เคยเป็นเป้าหมายหลักมาก่อน” Ryan Olson ผู้อำนวยการหน่วยข่าวกรองของหน่วยที่ 42 กล่าว

การโจมตีที่ซับซ้อนโดยมือใหม่

Palo Alto Networks ติดตามการโจมตีขนานนาม "Silver Spaniel" โดยนักวิจัยของ Unit 42 ในช่วงสามเดือนที่ผ่านมา การโจมตีเริ่มต้นด้วยไฟล์แนบอีเมลที่เป็นอันตรายซึ่งเมื่อคลิกแล้วจะติดตั้งมัลแวร์ในคอมพิวเตอร์ของเหยื่อ ตัวอย่างหนึ่งคือเครื่องมือการดูแลระบบระยะไกล (RAT) ที่เรียกว่า NetWire ซึ่งช่วยให้ผู้โจมตีสามารถควบคุมเครื่อง Windows, Mac OS X และ Linux ได้จากระยะไกล อีกเครื่องมือหนึ่งคือ DataScrambler ใช้ในการทำแพ็กเกจ NetWire ใหม่เพื่อหลบเลี่ยงการตรวจจับโดยโปรแกรมป้องกันไวรัส DarkComet RAT ยังถูกใช้ในการโจมตีเหล่านี้รายงานกล่าว

เครื่องมือเหล่านี้มีราคาไม่แพงและพร้อมใช้งานในฟอรัมใต้ดินและสามารถ "ติดตั้งโดยบุคคลใดก็ตามที่มีแลปท็อปและที่อยู่อีเมล" รายงานกล่าว

นักต้มตุ๋น 419 คนเป็นผู้เชี่ยวชาญด้านวิศวกรรมสังคม แต่เป็นมือใหม่เมื่อมาทำงานกับมัลแวร์และ "แสดงความปลอดภัยในการปฏิบัติงานที่ไม่ดีอย่างน่าทึ่ง" รายงานพบ แม้ว่าโครงสร้างพื้นฐานคำสั่งและการควบคุมได้รับการออกแบบให้ใช้โดเมน DNS แบบไดนามิก (จาก NoIP.com) และบริการ VPN (จาก NVPN.net) ผู้โจมตีบางคนกำหนดค่าโดเมน DNS ให้ชี้ไปยังที่อยู่ IP ของตนเอง นักวิจัยสามารถติดตามการเชื่อมต่อกับผู้ให้บริการมือถือและอินเทอร์เน็ตผ่านดาวเทียมของไนจีเรียได้รายงานดังกล่าว

นักต้มตุ๋นมีอะไรให้เรียนรู้มากมาย

ในขณะนี้ผู้โจมตีไม่ได้โจมตีช่องโหว่ของซอฟต์แวร์ใด ๆ และยังคงต้องพึ่งพาวิศวกรรมทางสังคม (ซึ่งพวกเขาเก่งมาก) เพื่อหลอกลวงผู้ที่ตกเป็นเหยื่อในการติดตั้งมัลแวร์ ดูเหมือนว่าพวกเขากำลังขโมยรหัสผ่านและข้อมูลอื่น ๆ เพื่อเริ่มการโจมตีทางวิศวกรรมติดตามผลทางสังคม

"จนถึงตอนนี้เรายังไม่ได้สังเกต payloads รองที่ติดตั้งหรือการเคลื่อนไหวด้านข้างใด ๆ ระหว่างระบบ แต่ไม่สามารถแยกแยะกิจกรรมนี้ได้" นักวิจัยเขียน

นักวิจัยค้นพบชาวไนจีเรียที่พูดถึงมัลแวร์ซ้ำ ๆ บน Facebook ถามเกี่ยวกับคุณสมบัติเฉพาะของ NetWire หรือขอความช่วยเหลือในการทำงานร่วมกับ Zeus และ SpyEye ในขณะที่นักวิจัยยังไม่ได้เชื่อมโยงนักแสดงคนนี้กับการโจมตีของซิลเวอร์สแปเนียลเขาเป็นตัวอย่างของใครบางคน "ที่เริ่มอาชีพอาชญากรที่ปฏิบัติการหลอกลวง 419 ครั้งและกำลังพัฒนางานฝีมือเพื่อใช้เครื่องมือมัลแวร์ที่พบในฟอรัมใต้ดิน"

รายงานแนะนำให้บล็อกไฟล์แนบที่สามารถเรียกใช้งานได้ทั้งหมดในอีเมลและตรวจสอบไฟล์. zip และ. rar สำหรับไฟล์ที่อาจเป็นอันตราย ไฟร์วอลล์ควรปิดกั้นการเข้าถึงโดเมน Dynamic DNS ที่ถูกละเมิดโดยทั่วไปและผู้ใช้จะต้องได้รับการฝึกอบรมให้สงสัยสิ่งที่แนบมาด้วยแม้ว่าชื่อไฟล์จะดูถูกต้องตามกฎหมายหรือเกี่ยวข้องกับการทำงานของพวกเขาก็ตาม รายงานรวมกฎ Snort และ Suricata เพื่อตรวจจับปริมาณการใช้อินเทอร์เน็ต นักวิจัยยังได้ปล่อยเครื่องมือฟรีเพื่อถอดรหัสและถอดรหัสคำสั่งและควบคุมปริมาณการใช้งานและเปิดเผยข้อมูลที่ถูกขโมยโดยผู้โจมตี Silver Spaniel

“ ในเวลานี้เราไม่ได้คาดหวังว่านักแสดง Silver Spaniel จะเริ่มพัฒนาเครื่องมือหรือการหาประโยชน์ใหม่ แต่พวกเขาก็มีแนวโน้มที่จะนำเครื่องมือใหม่ที่ทำโดยนักแสดงที่มีความสามารถมากขึ้นมาใช้” รายงานกล่าว