В последнее время «нигерийские» мошенники вооружаются новыми инструментами и методиками, среди которых — трояны удаленного доступа (RAT) и продвинутые средства кражи данных. С их помощью киберпреступники все чаще проводят опасные и изощренные кампании, сообщают исследователи.

Согласно опубликованному во вторник отчету от Unit 42 — подразделения Palo Alto Networks, занимающегося разведкой ИБ-угроз, — в прошлом году «нигерийские» злоумышленники совершили на 45% больше атак, чем в предыдущем. В среднем в 2017-м проходило 17 600 кампаний в месяц.

При этом мошенники постепенно уходят от привычных «нигерийских писем». По словам представителей Unit 42, теперь злоумышленники осваивают трояны удаленного доступа, что позволяет им проводить более изощренные атаки и охватывать больше жертв.

По данным правоохранительных органов, потери бизнеса по всему миру от поддельных корпоративных рассылок растут с экспоненциальной скоростью. «С января 2015 года объемы известного ущерба подскочили на 1300% и теперь превышают 3 млрд долларов США», — гласит статистика от ФБР, опубликованная в отчете Unit 42.

«Современные атаки становятся все более сложными, и нам нужно быть к этому готовыми, — рассказала Threatpost Джен Миллер-Осборн (Jen Miller-Osborn), заместитель директора по анализу угроз в Palo Alto Networks. — Уже много лет мы не воспринимаем всерьез злоумышленников, рассылающих «нигерийские письма». Однако исследования показывают, что не стоит их недооценивать».

Специалисты из Palo Alto Networks проследили за 15 семействами зловредов, которые использовали «нигерийские» мошенники в последние годы, и выяснили, что в 2017-м действовало около 300 преступников, распространявших более 30 000 образцов вредоносного ПО. Из всех изученных семейств только девять служат традиционной «нигерийской» цели — краже данных.

Киберпреступники, которых Unit 42 причисляет к группировке SilverTerrier, в среднем рассылают 840 уникальных образцов фишинговых зловредов в месяц — на 17% больше, чем в прошлом году.

Одной из самых популярных является программа для кражи паролей Pony, которая появилась еще в 2012-м и с тех пор пережила не одну модификацию. Набирают обороты и еще два инструмента похищения информации — гибридный зловред для Android под названием LokiBot и регистратор нажатия клавиш Agent Tesla.

Все это ПО использовалось в кампании, обнаруженной специалистами «Лаборатории Касперского» в июне, когда «нигерийцы» атаковали ряд предприятий с целью похитить важные чертежи, сетевые диаграммы и проектные планы. Всего мошенники использовали восемь разных семейств зловредов, включая ZeuS, Pony и LokiBot.

Среди инструментов, к которым обращались «нигерийские» мошенники в прошлом году, обнаружилось и несколько троянов удаленного доступа, в том числе NetWire, NanoCore и DarkComet. Все три программы могут делать снимки экрана и похищать пароли, а также позволяют взломщикам регистрировать нажатия клавиш, следить за веб-камерами и подключаться к сетевым ресурсам.

По словам специалистов Palo Alto Networks, злоумышленники в 2017 году рассылали в среднем 146 RAT-троянов в месяц — на 49% больше, чем в предыдущий отчетный период.
Недавно группировка, именующая себя Gold Galleon, провела целый ряд атак на корпоративную электронную почту судоходных компаний с использованием средств удаленного доступа. В результате с рынка морских перевозок утекли миллионы долларов.

Растущая популярность RAT-инструментов свидетельствует о том, что «нигерийцы» обзаводятся продвинутой инфраструктурой.

«Трояны удаленного доступа отличаются более сложным алгоритмом работы. Они требуют контроля со стороны хакеров, — говорят исследователи. — Поэтому чтобы не раскрыть себя, мошенники нередко используют динамический DNS и виртуальные частные серверы».

По мнению специалистов из Palo Alto Networks, со временем атаки «нигерийских» киберпреступников будут становиться масштабнее и сложнее. «Мы заметили, что эти мошенники действуют все более организованно, — отмечают эксперты. — В последнее время они осваивают социальные сети, благодаря чему действуют более слаженно и быстрее находят новых единомышленников».

Категории: Аналитика, Хакеры