Video: Opgelicht via datingsite | Oplichters op het internet (November 2024)
Die Nigeriaanse prinsen hebben nieuwe trucs in petto.
Weet je nog die 419 oplichting? Dit waren de vaak slecht geschreven e-mailberichten die beweerden afkomstig te zijn van een rijke persoon die rijkelijk wilde betalen voor hulp bij het overbrengen van zijn of haar rijkdom naar het buitenland. In werkelijkheid, toen de slachtoffers hun financiële gegevens overhandigden om te helpen en een grote uitbetaling te krijgen, plunderden de fraudeurs de bankrekeningen en verdwenen.
Het lijkt erop dat die oplichters aanvalstechnieken en datastelende malware hebben opgepikt die eerder werden gebruikt door meer geavanceerde groepen cybercriminaliteit en cyberspionage, zeiden onderzoekers van Palo Alto Networks. Onderzoekers van Unit 42, het bedreigingsinformatieteam van het bedrijf, schetsten de reeks aanvallen op Taiwanese en Zuid-Koreaanse bedrijven in het dinsdag vrijgegeven rapport "419 Evolution".
In het verleden waren social scams vooral gericht op 'rijke, nietsvermoedende individuen'. Met nieuwe tools in de hand, lijken deze 419 oplichters de slachtofferpool te hebben verplaatst naar bedrijven.
"De acteurs tonen geen hoog niveau van technisch inzicht, maar vormen een groeiende bedreiging voor bedrijven die voorheen niet hun primaire doelwit waren", zegt Ryan Olson, directeur inlichtingen van Unit 42.
Verfijnde aanvallen van niet-ingewijden
Palo Alto Networks volgde de aanvallen, door de onderzoekers van Unit 42 "Silver Spaniel" genoemd, in de afgelopen drie maanden. De aanvallen begonnen met een kwaadaardige e-mailbijlage, die, wanneer erop werd geklikt, malware op de computer van het slachtoffer installeerde. Een voorbeeld is een RAT (Remote Administration Tool), NetWire genaamd, waarmee aanvallers Windows-, Mac OS X- en Linux-machines op afstand kunnen overnemen. Een ander hulpmiddel, DataScrambler, werd gebruikt om NetWire opnieuw in te pakken om detectie door antivirusprogramma's te omzeilen. DarkComet RAT is ook gebruikt in deze aanvallen, aldus het rapport.
Deze tools zijn goedkoop en direct beschikbaar op ondergrondse fora, en kunnen "door iedereen met een laptop en een e-mailadres worden ingezet", aldus het rapport.
De 419 oplichters waren experts in sociale engineering, maar waren nieuwelingen als het ging om het werken met malware en "toonden opmerkelijk slechte operationele veiligheid, " het rapport gevonden. Hoewel de opdracht- en besturingsinfrastructuur is ontworpen om dynamische DNS-domeinen (van NoIP.com) en een VPN-service (van NVPN.net) te gebruiken, hebben sommige aanvallers de DNS-domeinen geconfigureerd om naar hun eigen IP-adressen te wijzen. Onderzoekers konden de verbindingen met Nigeriaanse mobiele en satelliet-internetproviders traceren, aldus het rapport.
Oplichters moeten nog veel leren
Op dit moment misbruiken de aanvallers geen softwarekwetsbaarheden en vertrouwen ze nog steeds op social engineering (waar ze heel goed in zijn) om slachtoffers te misleiden om malware te installeren. Ze lijken wachtwoorden en andere gegevens te stelen om social engineering-aanvallen uit te voeren.
"Tot nu toe hebben we geen geïnstalleerde secundaire nuttige ladingen of enige zijwaartse beweging tussen systemen waargenomen, maar kunnen deze activiteit niet uitsluiten, " schreven de onderzoekers.
Onderzoekers hebben een Nigeriaan ontdekt die de malware herhaaldelijk op Facebook heeft genoemd, die vroeg naar specifieke NetWire-functies of om ondersteuning vroeg bij het werken met Zeus en SpyEye, bijvoorbeeld. Hoewel onderzoekers deze specifieke acteur nog niet hebben gekoppeld aan de Silver Spaniel-aanvallen, was hij een voorbeeld van iemand "die zijn criminele carrière begon met het uitvoeren van 419 oplichting en zijn ambacht ontwikkelt om malwaretools te gebruiken die zijn gevonden op ondergrondse forums, " zei Palo Alto Networks.
In het rapport werd aanbevolen alle uitvoerbare bijlagen in e-mails te blokkeren en.zip- en.rar-archieven te inspecteren op mogelijk schadelijke bestanden. Firewalls moeten ook de toegang tot vaak misbruikte dynamische DNS-domeinen blokkeren en gebruikers moeten worden getraind om verdacht te zijn van bijlagen, zelfs wanneer de bestandsnamen er legitiem of gerelateerd aan hun werk uitzien, zei Palo Alto Networks. Het rapport bevat Snort- en Suricata-regels om Netwire-verkeer te detecteren. Onderzoekers brachten ook een gratis tool uit om commando- en controleverkeer te decoderen en decoderen en gegevens te onthullen die zijn gestolen door Silver Spaniel-aanvallers.
"Op dit moment verwachten we niet dat Silver Spaniel-acteurs nieuwe tools of exploits beginnen te ontwikkelen, maar ze zullen waarschijnlijk nieuwe tools gebruiken die zijn gemaakt door actievere actoren", aldus het rapport.
