GorgonGroup становится все более изощренной в краже криптовалюты.
Новое исследование показало, что группа угроз, лежащая в основе кражи криптовалюты MasterMana, становится все более изощренной и теперь ловит жертв через поддельные порталы входа.
Было замечено, что GorgonGroup нацелена на Европейский Союз, а также на главную электроэнергетическую и водопроводную компанию Дубая DEWA с поддельными страницами входа, которые очень убедительны.
Незаконная деятельность была обнаружена исследователями в фирме Prevailion, специализирующейся на кибер-разведке, которая опубликовала доклад о растущей угрозе со стороны GorgonGroup.
В другой недавно обнаруженной кампании исследователи наблюдали, как GorgonGroup использует хитроумную схему социальной инженерии, ориентированную на говорящих на испанском и португальском языках с «нарисованными» на коленках сайтами отелей и поддельными подтверждениями бронирования.
Исторически сложилось так, что группа использовала дешевое вредоносное ПО, полученное через темную сеть (Darknet), для организации своего мошенничества, но исследователи говорят, что GorgonGroup сейчас разрабатывает и настраивает эти инструменты.
«Я удивлен уровнем изощренности, проявленным этой группой за последний год», - сказал директор аналитического отдела Prevailion Дэнни Адамитис в интервью журналу Infosecurity. «За это время они предприняли ряд шагов, чтобы повысить свою операционную безопасность как против обнаружения на уровне сети, так и на уровне хоста.
«Одним из примеров является их использование нового « office.dll », которое повысит уровень привилегий «актера», а затем отключит Защитника Windows. Другой пример - это «актер», вернувшийся назад и изменяющий старый пост Pastebin, чтобы усложнить отслеживание их активности. "
Наряду с новым "office.dll", группа Gorgon выпустила вариант трояна NJrat и новый троянский файл PowerPoint, а также загрузчик, который ссылается на тексты рэпера Дрейка.
Адамитис, чей любимый трек Дрейка - «План Бога», сказал, что было трудно предсказать, как будет развиваться группа угроз.
Он сказал: «К сожалению, в настоящее время у нас недостаточно данных, чтобы сделать какие-либо обоснованные выводы об их намерениях».
В настоящее время неизвестно, где работает GorgonGroup, хотя Адамитис предполагает, что группа работает за пределами Пакистана.
Адамитис сказал: «Мы наблюдали некоторую активность GorgonGroup, происходящую с пакистанских IP-адресов; однако IP-адреса могут быть подделаны. В настоящее время у нас нет достаточных доказательств, чтобы сделать какие-либо окончательные комментарии по поводу атрибуции».
Предупреждение: Вся информация представлена исключительно в образовательных целях.