Дайджест Jet CSIRT [21.01.2022]

21.01.2022

Проведено исследование высокоуровнего вредоносного ПО MoonBounce

Специалисты SecureList Kaspersky предполагают, что за высокоуровневой атакой MoonBounce стоит китайская группировка APT41. Целью имплантата является управление развертыванием вредоносных программ пользовательского режима раздела ESP (системный раздел EFI) компонентов UEFI, которые запускают дальнейшие полезные нагрузки, загружаемые из Интернета. Бесфайловую атаку сложнее обнаружить из-за невозможности полного сканирования защитными средствами аппаратных компонентов. Благодаря размещению на флэш-памяти SPI материнской платы, имплантат способен сохраняться в системе при форматировании или замене жесткого диска.


Раскрыты детали кибератак, связанные с криптовалютой

Целью хакеров становятся пользователи, желающие инвестировать в криптовалюту на ранних этапах. Для привлечения внимания использовалась реклама в социальных сетях, а также методы социальной инженерии для давления на целевого пользователя. Чтобы повысить вовлеченность и доверие жертвы, злоумышленники создали полнофункциональный веб-сайт, требующий регистрации, подтверждения учетной записи по электронной почте и заполнения профиля пользователя. Для покупки поддельных токенов жертва расплачивалась собственной криптовалютой, что упрощало хакерам выводить средства. По данным Chainalysis мошенники, работающие в сфере блокчейна, за прошлый год получили порядка 14 миллиардов долларов.


Проведено исследование атаки группировки Magecart

Под угрозой атаки Magecart оказываются используемые в интернет транзакциях или собирающие пользовательские данные веб-сайты, написанные на Java Script. Исследователи обнаружили скимминг-скрипты на тысячах веб-сайтах всех видов: от служб бронирования авиабилетов до розничных, косметических, медицинских и швейных компаний. На данный момент злоумышленники скрывают вредоносный код в метаданных файлов изображений или подлинных файлах CSS. Один из вредоносных скриптов позволяет собрать данные, предоставляемые пользователем при оформлении заказа, с 57 различных платежных платформ. Полученная информация использовалась злоумышленниками для мошенничества и продажи в даркнете.