Киберугроза 2025: Тактики нигерийских хакеров и их эволюция

Киберугроза 2025: Тактики нигерийских хакеров и их эволюция

7 февраля 2025 года интеллектуальная платформа DarkArmor представила результаты исследования, основанные на скриншотах, полученных от вредоносного ПО, раскрывающем операции нигерийского киберпреступника. Выводы подчеркивают важность понимания методологии, используемой киберпреступниками, для разработки более эффективных стратегий обнаружения и контрмер.

Этапы вредоносной кампании

Начальная фаза вредоносной кампании включает:

  • Выявление потенциальных целей с использованием методов сбора адресов электронной почты;
  • Проверку общедоступных баз данных для извлечения контактов с веб-сайтов, форумов и платформ социальных сетей, таких как LinkedIn и Facebook (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta);
  • Извлечение адресов электронной почты из темной паутины, полученных в результате утечек данных.

Распространенной тактикой является Google dorking — использование расширенных поисковых запросов для обнаружения адресов электронной почты на платформах социальных сетей. Например, один запрос находит малазийские компании по адресам электронной почты на YouTube, в то время как другой нацелен на китайские компании в сфере зернообработки на Facebook.

Стратегии распространения вредоносного ПО

После составления обширного списка рассылки злоумышленник запускает кампанию по эффективному распространению вредоносного ПО. Использование установленного домена, потенциально скомпрометированного и перепрофилированного для рассылки спама, свидетельствует о сложной тактике, применяемой в этих кампаниях.

Эффективность фишинговых попыток зависит от качества сообщений электронной почты, при этом исследователи безопасности обеспокоены тем, что киберпреступники могут использовать инструменты искусственного интеллекта, такие как ChatGPT, для создания все более убедительных мошеннических сообщений.

Тактика и последствия

Расследование действий киберпреступников показало, что они проводили несколько кампаний одновременно. В результате хотя бы одна жертва была скомпрометирована, что подтверждается логами вредоносной программы. Вредоносный исполняемый файл был идентифицирован как Redline malware stealer, позже подтвержденный как XLogger.

После запуска вредоносного ПО развертывается скрипт PowerShell, который расшифровывает полезную нагрузку и внедряет ее в службу Windows, что позволяет захватывать конфиденциальные учетные данные с зараженного компьютера и передавать собранные данные в Telegram-канал злоумышленника.

Выводы

Постоянная эволюция тактики нигерийских хакеров указывает на растущую изощренность их киберпреступной деятельности. Несмотря на сложные стратегии, основной процесс остается простым и эффективным, что подчеркивает продолжение уязвимостей, с которыми сталкиваются пользователи, часто игнорируя угрозы безопасности.

Этот случай служит ярким напоминанием о необходимости повышения осведомленности и применения надежных методов безопасности для снижения рисков, исходящих от таких целенаправленных вредоносных кампаний.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: