Доставки не будет, расходимся. Киберпреступники нашли способ устроить логистический коллапс, не выходя из дома
NewsMakerХакеры научились идеально притворяться теми, кому бизнес привык доверять безоговорочно.
Киберпреступная группировка GrayBravo, ранее известная как TAG-150, продолжает активное развитие, демонстрируя высокий уровень технической подготовки, гибкость и способность масштабировать свою инфраструктуру. Новое исследование специалистов Recorded Future* выявило четыре независимых кластера вредоносной активности, использующих многофункциональный загрузчик CastleLoader, что подтверждает гипотезу о функционировании GrayBravo по модели вредоносного сервиса по подписке.
Один из таких кластеров, отслеживаемый как TAG-160, нацелен преимущественно на логистические компании . Злоумышленники маскируются под известных перевозчиков и действуют через фишинговые письма с поддельными документами и ссылками, созданными с применением техники ClickFix.
Жертвы получают уведомления якобы от компаний вроде England Logistics, с предложением открыть ссылку на подтверждение стоимости грузоперевозки. При переходе по ней пользователи попадают на фальшивую страницу, где им предлагается выполнить ряд действий, в результате которых на их устройство незаметно загружается и запускается вредоносное ПО . Среди загружаемых компонентов помимо CastleLoader также зафиксированы HijackLoader, Rhadamanthys и zgRAT.
Для повышения достоверности киберпреступники используют взломанные аккаунты и зарегистрированные домены, ранее принадлежавшие легальным компаниям. Они также создают поддельные профили на логистических платформах DAT Freight & Analytics и Loadlink Technologies, что позволяет им собирать контакты потенциальных жертв, формировать фишинговые сообщения на основе реальных логистических данных и даже, возможно, размещать фальшивые грузы с вредоносными ссылками.
Киберпреступная группировка GrayBravo, ранее известная как TAG-150, продолжает активное развитие, демонстрируя высокий уровень технической подготовки, гибкость и способность масштабировать свою инфраструктуру. Новое исследование специалистов Recorded Future* выявило четыре независимых кластера вредоносной активности, использующих многофункциональный загрузчик CastleLoader, что подтверждает гипотезу о функционировании GrayBravo по модели вредоносного сервиса по подписке.
Один из таких кластеров, отслеживаемый как TAG-160, нацелен преимущественно на логистические компании . Злоумышленники маскируются под известных перевозчиков и действуют через фишинговые письма с поддельными документами и ссылками, созданными с применением техники ClickFix.
Жертвы получают уведомления якобы от компаний вроде England Logistics, с предложением открыть ссылку на подтверждение стоимости грузоперевозки. При переходе по ней пользователи попадают на фальшивую страницу, где им предлагается выполнить ряд действий, в результате которых на их устройство незаметно загружается и запускается вредоносное ПО . Среди загружаемых компонентов помимо CastleLoader также зафиксированы HijackLoader, Rhadamanthys и zgRAT.
Для повышения достоверности киберпреступники используют взломанные аккаунты и зарегистрированные домены, ранее принадлежавшие легальным компаниям. Они также создают поддельные профили на логистических платформах DAT Freight & Analytics и Loadlink Technologies, что позволяет им собирать контакты потенциальных жертв, формировать фишинговые сообщения на основе реальных логистических данных и даже, возможно, размещать фальшивые грузы с вредоносными ссылками.