Интересный способ доставки зловредов или как «хакеры» взламывают «мошенников»

в 11:00, , рубрики: вирусы, документы вконтакте, информационная безопасность, фишинг

Недавно читал статью о поиске информации в документах, загруженных в документы Вконтакте. Начал руками вводить ключевые слова «паспорт», «скан» и обнаружил целую кучу архивов с вирусами (скрин), предназначенных для тех, кто ищет документы по определенным запросам (результаты проверки virustotal). Решил проверить ситуацию по другим ресурсам и обнаружил системность данной ситуации. Собственно, об этом и решился написать небольшую статью.image

Не секрет, что для реализации фишинг атак и атак с использованием социальной инженерии необходимо владеть как можно большим объемом информации об объекте или выбранной жертве. Чаще всего такую информацию берут из социальных сетей и публично доступных источников (как и в примере выше). Кроме того, одним из лучших источников данных для создания фейковой личности есть все те же социальные сети. Кто ищет чужие паспортные данные и для чего? Ответов тут может быть множество, но я бы ответил так: «Тот, кто задумал что-то нелегальное» или «когда нужна фейковая личность».

Чужие паспортные данные можно использовать для регистрации доменов или, к примеру, прохождения первого уровня верификации в онлайн платежных системах, где просят загрузить фотографию паспорта в качестве первого уровня подтверждения личности. А значит, что такие «злодеи», которых я бы назвал «мошенниками», интересны другой аудитории «злодеев», которых я бы назвал «хакерами». Вот и додумался какой-то «хакер» загружать трояны типа Radmin для того, чтобы взламывать «мошенников», которым интересны чужие данные. На документах вконтакте он не ограничился.

Так же не секрет, что люди нередко пересылают важную информацию через файлообменники, т.к. это быстро и удобно. Через файлообменник можно быстро сбросить другу или знакомому скан паспорта или даже пароли от FTP или сайтов. О дальнейшей судьбе загруженных файлов люди не переживают, ведь думают, что ссылка есть только у них. А вот и нет! Давным-давно существуют и даже продаются специальные парсеры (Пруф 1), (Пруф 2), которые перебирают диапазоны таких ссылок на популярных файлообменниках и скачивают всё, что содержит ключевые фразы, к примеру «паспорт», «пароль» и иногда даже «скан кредитки».

«Хакеры», которые явно охотятся за такими «мошенниками», тоже «просекли фишку» и загружают на эти же файлообменники свои вирусы, предназначенные специально для мошенников, усложнив схему паролем на архив (для защиты от онлайн антивирусных сканеров), который содержится в самом имени файла к примеру «Мои пароли (пароль 123).rar» и так далее. Таким нехитрым способом стало понятно, что можно ловить мошенников на их же крючок, эдакий обратный фишинг. Ту же технологию распространения файлов используют люди работающие с Adware партнерскими программами которые платят за установку дополнительного ПО. Создаются сотни файлов с разными seo оптимизированнымми названиями популярного софта и загружаются везде где только можно как результат много скачиваний, много установок, профит. Для защиты от онлайн антивирусных сканеров используются так же экзотические способы архивации.

Ресурсы уведомлены о подобной проблеме.

Автор: combonik

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js