Ερευνητές της IBM X-Force έχουν εντοπίσει phishing επιθέσεις των hackers Hive0145 που στοχεύουν όλη την Ευρώπη και διανέμουν το κακόβουλο λογισμικό Strela Stealer για την κλοπή email credentials.
Οι χώρες που βρίσκονται περισσότερο στο στόχαστρο των hackers είναι η Ισπανία, η Γερμανία και η Ουκρανία. Τα phishing emails χρησιμοποιούν κλεμμένα, αυθεντικά τιμολόγια για να εξαπατήσουν τους παραλήπτες και να αυξήσουν τις πιθανότητες επιτυχίας.
Hive0145 hackers
Η ομάδα Hive0145 είναι δραστήρια από τα τέλη του 2022 και έχει οικονομικά κίνητρα. Πιθανότατα λειτουργεί ως initial access broker (IAB), εστιάζοντας στην κλοπή credentials μέσω του κακόβουλου λογισμικού Strela Stealer, το οποίο εξάγει δεδομένα που είναι αποθηκευμένα στο Microsoft Outlook και στο Mozilla Thunderbird.
Δείτε επίσης: Ρώσοι hackers εκμεταλλεύονται ευπάθεια στο NTLM για τη διάδοση RAT Malware μέσω Phishing emails
Καταιγίδες μεγαλύτερες από τη Γη εντοπίστηκαν στον Δία
Black Basta ransomware: Όλες οι νέες τακτικές
Αποκαλύψεις για τον Μεγαλύτερο Κρατήρα του Φεγγαριού
Σύμφωνα με τους ερευνητές, οι επιθέσεις των hackers Hive0145 έχουν αυξηθεί σημαντικά από τα μέσα του 2023, και ταυτόχρονα έχουν εξελιχθεί, χρησιμοποιώντας διάφορες τεχνικές. Στοχεύουν διάφορους κλάδους, συμπεριλαμβανομένων των χρηματοοικονομικών υπηρεσιών, των εταιρειών τεχνολογίας και του ηλεκτρονικού εμπορίου.
Τον Ιούλιο του 2024, η ομάδα Hive0145 άλλαξε τακτική, αντικαθιστώντας τα απλά μηνύματα phishing με κλεμμένα, νόμιμα email που περιλάμβαναν πραγματικά τιμολόγια ως συνημμένα. Η ομάδα παραποιεί αυτά τα συνημμένα για να παραδώσει το Strela Stealer, αφήνοντας το αρχικό περιεχόμενο email αμετάβλητο. Αυτή η τακτική είναι γνωστή ως «attachment hijacking».
Οι πρόσφατες phishing επιθέσεις των Hive0145 hackers, που στοχεύουν την Ευρώπη, έχουν σχεδιαστεί για να παρακάμπτουν την ανίχνευση μέσω διαφόρων μεθόδων (π.χ. χρήση ασυνήθιστων επεκτάσεων αρχείων για κακόβουλα εκτελέσιμα και ενσωμάτωση obfuscated scripts για την αποφυγή εργαλείων ασφαλείας).
Δείτε επίσης: Το phishing εργαλείο “GoIssue” στοχεύει χρήστες του GitHub
Strela Stealer: Κλοπή email credentials
Το Strela Stealer εστιάζει στα email credentials και έχει διαμορφωθεί ώστε να εκτελείται σε συσκευές με συγκεκριμένες γλώσσες πληκτρολογίου, στοχεύοντας κυρίως Ισπανούς, Γερμανούς και ουκρανόφωνους χρήστες.
Καθώς οι καμπάνιες της Hive0145 συνεχίζονται, συνιστάται στους οργανισμούς σε όλη την Ευρώπη να παραμείνουν σε επαγρύπνηση.
Προστασία από info-stealer malware και phishing emails
Οι μέθοδοι στατικής ανίχνευσης για ασφάλεια δεν είναι αρκετές για την αποφυγή malware. Μια πιο ισχυρή προσέγγιση θα πρέπει να ενσωματώνει λογισμικό προστασίας από ιούς, εξοπλισμένο με προηγμένες δυνατότητες ανάλυσης.
Η εκπαίδευση στην ασφάλεια των πληροφοριών είναι επίσης ζωτικής σημασίας. Αυτό σημαίνει ότι πρέπει να γνωρίζετε πώς να αναγνωρίζετε και να αποφεύγετε τις επιθέσεις phishing, τις οποίες οι επιτιθέμενοι συχνά χρησιμοποιούν για να εγκαταστήσουν info-stealer.
Χρησιμοποιήστε τεχνολογίες ανίχνευσης phishing. Υπάρχουν εργαλεία και υπηρεσίες που μπορούν να εντοπίσουν και να μπλοκάρουν τις επιθέσεις phishing πριν φτάσουν στον τελικό χρήστη.
Επίσης, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τις πιο πρόσφατες απειλές.
Δείτε επίσης: Phishing επιθέσεις χρησιμοποιούν αρχεία Microsoft Visio
Μην ξεχνάτε τη χρήση firewalls και την παρακολούθηση του network traffic που θα σας βοηθήσει να εντοπίσετε άμεσα ύποπτη δραστηριότητα. Συνιστάται, ακόμα, στους χρήστες να αποφεύγουν εκτελέσιμα αρχεία που λαμβάνονται από περίεργους ιστότοπους.
Ελέγχετε τακτικά τα αρχεία καταγραφής και τις αναφορές ασφαλείας για να εντοπίσετε πιθανές επιθέσεις phishing. Η πρόληψη είναι σημαντική, αλλά η γνώση του πώς και πότε επιτέθηκε ένας χρήστης μπορεί να βοηθήσει στην αποφυγή μελλοντικών επιθέσεων.
Τέλος, η χρήση δυνατών κωδικών πρόσβασης και η ενεργοποίηση της διαδικασίας επαλήθευσης δύο παραγόντων μπορεί να προσφέρει επιπλέον επίπεδο προστασίας. Αυτό μπορεί να δυσκολέψει τους επιτιθέμενους να αποκτήσουν πρόσβαση στον λογαριασμό σας, ακόμη και αν καταφέρουν να κλέψουν τον κωδικό πρόσβασής σας.
Πηγή: www.infosecurity-magazine.com