Kako su nigerijski prevaranti sa naivnih korisnika interneta prešli na kompanije

Vesti, 23.07.2014, 09:22 AM

Nigerijski prevaranti poznati po smešnim emailovima punim gramatičkim greškama u kojima obećavaju bogatstvo u zamenu za malu novčanu nadoknadu izgleda da menjaju taktiku.

Kriminalci koji su na internetu postali poznati po takozvanim “419 prevarama” koje ciljaju na obične korisnike interneta, godinama koriste prepoznatljive metode da izvuku od žrtava informacije kao što su one o kreditnim karticama.

Međutim, poslednjih godina, Nigerijci su se izveštili u napadima na kompanije u kojima koriste iste alate koje koriste mnogo sofisticiranije kriminalne grupe, kao i oni koji se bave sajber špijunažom, upozorili su istraživači kompanije Paloalto Networks. Nigerijski prevaranti sada napadaju kompanije koristeći alate za daljinsko upravljanje (RAT, Remote administration tool), koji se mogu nabaviti na forumima sajber podzemlja.

Među alatima koje koriste Nigerijci je i NetWire, koji pruža napadačima potpunu kontrolu nad zaraženim sistemom. Ovaj alat često koriste kriminalci iz istočne Evrope, a Paloalto Networks je otkrio NetWire na korporativnim mrežama svojih klijenata.

Zato što koriste komercijalan softver, antivirusni softver i sistemi za sprečavanje upada većine kompanija će uhvatiti malver, kažu istraživači. Ipak, oni očekuju da će se i Nigerijci izveštiti vremenom, te da ih stoga treba držati na oku.

“To će biti trend, ali ne očekujem da se to dogodi sutra”, kaže Rik Hauard iz Paloalto Networksa. “Mnogi od nas nisu očekivali da ova vrsta hakera dostigne ovaj nivo napada.”

Prevaranti distribuiraju malver putem emailova kao atačment sa nazivima For Iran May Order.exe, Samples Photos Oct Order.exe i New Samples Required.exe. Malver se ne oslanja na softverske ranjivosti već na društveni inženjering i korisnike koje treba prevariti da instaliraju maliciozni program.

Saobraćaj između malvera i servera za komandu i kontrolu se šalje preko VPN servisa NVPN.net, a ciljevi kriminalaca su izgleda ograničeni na krađu podataka koji mogu biti iskorišćeni za dalje kompromitovanje žrtve. Taktike, tehnike i procedure napadača ukazuju da je njihov nivo sofisticiranosti veoma nizak u poređenju sa iskusnim kriminalcima i hakerima koji deluju pod pokroviteljstvom država.

Paloalto Networks nije prvi koji je uočio evoluciju 419 prevara. U novembru prošle godine i istraživači iz kompanije Trend Micro primetili su da slični napadači koriste malver Ice IX, derivat bankarskog trojanca Zeus, za krađu kredencijala korisnika online usluga banaka.

Paloalto Networks je uspeo da identifikuje nigerijskog prevaranta Ojie Viktora, koji je prešao put od 419 prevaranta do kriminalca koji koristi malver. Viktor je privukao pažnju istraživača kada je na svom Facebook profilu 6. maja tražio pomoć u korišćenju najnovijeg izdanja RAT NetWire.

Viktor nije povezan sa napadima na klijente kompanije Paloalto Networks, ali njegova kriminalna karijera od običnog nigerijskog prevaranta do kriminalca koji koristi komercijalne hakerske alate kupljene na formumima sajber podzemlja, ukazuje na trend koji treba pratiti.