Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Бухгалтер открыл «счёт-фактуру» с Dropbox — хакеры получили доступ к финансам всей компании (http://txgate.io:443/showthread.php?t=51297324)

WWW 05-26-2025 12:03 PM
<div id="post_message_790886">

С начала 2025 года специалисты Cisco Talos <a href="https://blog.talosintelligence.com/spam-campaign-targeting-brazil-abuses-rmm-tools/" target="_blank">фиксируют </a>новую вредоносную кампанию, ориентированную на португалоязычных пользователей из Бразилии. Атака использует пробные версии легитимного корпоративного ПО для удалённого администрирования (RMM), чтобы установить устойчивый и малозаметный контроль над устройствами жертв.<br/>
<br/>
Киберпреступники рассылают поддельные письма, имитирующие уведомления о задолженности от финансовых организаций и мобильных операторов. В содержании сообщения используется система электронных счетов-фактур NF-e, широко применяемая в Бразилии, что придаёт письму правдоподобие. В теле письма находится ссылка на файл, размещённый в Dropbox — по сути, это инсталлятор удалённого админ-инструмента.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://cdn.securitylab.ru/upload/medialibrary/e0d/89k7sdfbi1tgudxx91f27zx2kcc556mi.png"/><br/>
<br/>
В качестве основных средств удалённого доступа используются такие решения, как N-able RMM Remote Access и PDQ Connect. После установки они позволяют злоумышленникам читать и записывать файлы на заражённой системе. На некоторых этапах оператор кампании дополнительно устанавливает и другие RMM-программы — например, ScreenConnect — для расширения контроля над машиной.<br/>
<br/>
Исследование показало, что основной фокус атаки — сотрудники финансовых, кадровых и управленческих подразделений, включая руководящий состав. Пострадали как частные компании, так и государственные и образовательные учреждения. Всё указывает на деятельность брокера начального доступа (IAB), использующего бесплатные триальные версии RMM-программ для проникновения в корпоративные сети. Компания N-able уже заблокировала скомпрометированные пробные аккаунты.<br/>
<br/>
Главная опасность такого подхода в том, что используемое ПО подписано цифровыми сертификатами известных компаний и практически не вызывает подозрений у защитных механизмов. К тому же атаки обходятся злоумышленникам почти бесплатно — весь инструментарий предоставляется самими вендорами в рамках пробных периодов.<br/>
<br/>
Несмотря на прогресс в средствах киберзащиты, многие фишинговые атаки по-прежнему успешно проходят фильтры и попадают в почтовые ящики. Злоумышленники неустанно адаптируют свои методы, а использование легального ПО в качестве троянского коня делает такие атаки особенно трудными для обнаружения.<br/>
<br/>
<a href="https://www.securitylab.ru/news/559212.php" target="_blank">@ SecurityLab </a>
</div>


All times are GMT. The time now is 11:34 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.