Доброго времени суток, эта статья создана мною лично на основе накопленных знаний из различных ресурсов (В основном - Zero Secuirity: A). Тема будет дополняться, как только буду находить другие оригинальные способы распространения. Сразу хочу сказать, что майнер (или иная программа) должен быть одним файлом и не палиться антивирусами. Надеюсь эта статья будет полезна. Просьба не сливать тему.
1. Электронная почта.
Один из самых распространенных векторов распространения майнера, но в тоже время и один из самых эффективных.
Итак, приступим к написанию письма, которое в следствии будет отправлено нами на огромное кол-во электронных почт. Базы электронных почт и спамер по ним можно найти в гугле.
1.1. Поле отправителя (From)
Структурно адрес в поле From выглядит как: Имя отправителя <имя почтового ящика@доменное имя сервера>. Чтобы ввести получателя в заблуждение, мошенник может изменить любой элемент адреса, в том числе делая его похожим на официальный адрес клиента или партнера.
Выделяют несколько групп электронных адресов:
1. Электронные адреса, похожие на легитимные общие адреса, принадлежащие компаниям. В них в качестве имени отправителя обычно используется непосредственно название компании клиента или партнера. В качестве имени почтового ящика часто используются слова info, service, noreply, mail, support, которые характерны для адресов электронной почты, использующихся для рассылки различных официальных уведомлений. В качестве доменного имени сервера указываются реальные или очень правдоподобные домены компаний.
2. Адреса, похожие на электронные адреса сотрудников компаний. В качестве имени отправителя в таком адресе может стоять имя и фамилия, а также название компании или должность (Courier, Manager и т.д.). В имени почтового ящика обычно указываются те же имя и фамилия, что и в имени отправителя, так как разные данные могут насторожить получателя мошеннического письма. В качестве доменного имени может использоваться как настоящий домен компании, так и другие домены, не связанные с компаниями служб доставки.
Распространенные ошибки:
Адреса, не похожие на легитимные адреса компании. В таких адресах в качестве имени отправителя также используется название компании клиента или партнера, а вот доменное имя обычно принадлежит различным сервисам бесплатной почты или совсем другим компаниям. В качестве адреса электронной почты могут быть использованы адреса реальных пользователей (взломанные электронные адреса, адреса, собранные из различных открытых источников) или сгенерированные автоматически адреса. Последние обычно представляют собой произвольную последовательность букв, слов и цифр. Адреса, в которых указывается только адрес отправителя без указания его имени. При изучении адреса отправителя не стоит забывать, что для того чтобы в поле отправителя стоял реальный домен компании, мошенникам совсем не обязательно взламывать серверы компании, достаточно подставить в адрес поля From нужное доменное имя сервера.
1.2. Поле Subject
Тема письма должна привлекать внимание получателя и побуждать его открыть письмо, но в то же время быть правдоподобной. Поэтому мошенники выбирают в качестве темы общие фразы, характерные для официальных писем связанных с фирмой служб или госслужб. Отправляя посылку или документы, клиенты в большей или меньшей степени беспокоятся за успешную доставку и, конечно, стараются не только активно отслеживать ее передвижение, но и читать все информационные письма от служб доставки. Наиболее популярными темами являются:
1. Темы, связанные с оказанием услуг, коммерческим предложением, резюме и т.д.
2. Темы, связанные с уведомлениями о сообщениях и аккаунтах (создание и подтверждение аккаунта, получение новых сообщений и т.д.)
1.3. Оформление письма
Особое внимание нужно уделить оформлению электронного письма. Главная цель - заставить получателя поверить в правдивость письма. Ведь если оно покажется подозрительным, то потенциальная жертва, скорее всего, просто удалит его, несмотря на привлекающую внимание тему и кажущийся настоящим адрес отправителя. Рассмотрим основные приемы, которые мошенники используют для придания письмам легитимного вида.
1.3.1. Графическое оформление
Крупные компании, успешно работающие на мировом рынке, непременно имеют свой собственный фирменный стиль, который включает словесный товарный знак, графический товарный знак, фирменный шрифт, слоган, цветовую гамму оформления официального сайта, рассылок и рекламных роликов и другие компоненты. Некоторые из перечисленных элементов используются мошенниками в оформлении писем с целью привлечь внимание получателя и придать письму подлинный вид. В частности, чаще других мошенники используют логотип, поскольку этот элемент является уникальным для любой компании, по нему узнают и выделяют компанию среди других организаций.
Ошибки:
1. Логотип отличается от официального логотипа компании.
2. Размеры фальшивого логотипа отличны от оригинала.
3. логотип расположен не с той стороны и фон изображения использовали не однотонный, а с изменением яркости. Необходимо стараться соблюсти его размеры и оформление. Стоит отметить, что изготовить логотип для поддельного уведомления несложно: в интернете, как правило, можно найти оригинальное изображение в разных графических форматах, в том числе и форматах для векторной графики. Кроме логотипа, нужно использовать цветовую гамму, выбранную компанией для оформления официальных ресурсов и рассылок. Например, для компании МТС это сочетания белого и красного цветов.
1.3.2. Текстовое оформление
В тексте большинства официальных писем можно встретить ряд стандартных фраз, особенно если речь идет о типовом уведомлении, сгенерированном и отправленном автоматически. Также в таких письмах часто присутствуют контакты и ссылки на официальные ресурсы компании-отправителя. Поэтому чтобы сделать текст фальшивого письма похожим на настоящее уведомление мошенники используют:
1. Типовые фразы, характерные для официальных рассылок.
2. Ссылки на официальные страницы компании. Не все ссылки, указанные в письме, должны быть фишинговыми – могут использоваться настоящие ссылки, ведущие на официальные ресурсы, для придания своему письму легитимного вида и обхода средств фильтрации спама.
3. Контакты для обратной связи. Указываются данные (имя, фамилия, должность, адрес офиса) конкретного сотрудника - отправителя письма или общие контакты компании. Отметим, что такими контактами могут быть и настоящие, и вымышленные адреса и телефоны.
1.3.3. Содержание письма
Важно не только убедить получателя в правдивости письма, но и заставить предполагаемую жертву добровольно выполнить нужные действия, например предоставить персональную информацию или установить вредоносный файл. Для этого злоумышленники используют приемы психологического воздействия на получателя. В этом случае главным инструментом в руках мошенника является текст письма, его содержание.
В уведомлениях, присланных якобы от клиентов или партнеров, часто используются следующие приемы:
1.3.3.1 Уведомление о различных ошибках и причинах их возникновения. Обычно такие фразы связаны с работой фирм-подрядчиков, связанных с целевой организацией. Поэтому уведомление об ошибке не вызывает у получателя никаких подозрений, особенно если в письме содержится объяснения причин недоставки и какие-либо подробности.
1.3.3.2 Просьбы выполнить что-либо с упоминанием возможных санкций в случае неисполнения. Например, «Срочно оплатите штраф в течение 5 дней, иначе вам будет начислена пеня». Такие фразы используются, чтобы заставить получателя незамедлительно выполнить то, что написано в письме. В этом случае можно рассчитывать, что пользователь, боясь оказаться вынужденным платить пени, не станет долго раздумывать и под влиянием эмоций сам передаст персональные данные или запустит файл, который откроет доступ к удаленному компьютеру цели.
1.3.3.3. Фразы с указанием, что находится во вложении или по ссылке (счет, подробная информация, документы). Если пользователь не знает или не уверен в том, что находится по ссылке или во вложении, он вряд ли будет действовать так, как нужно вам. Поэтому пентестеры выдают поддельные страницы за страницы официальных сайтов, а полезную нагрузку в архиве – за документы, содержащие различную информацию об услуге/предложении и т.п. Кроме того, если в тексте уведомления говорится, что во вложении, например, находится транспортная накладная, то и сам вредоносный архив будет иметь созвучное название, например, «транспортная накладная.zip». Это относится и к фишинговым ссылкам – злоумышленники привязывают их к соответствующим фразам в тексте, например, «информация о доставке». Этот простой прием используется спамерами для того, чтобы у получателя не возникло сомнений в том, что во вложении или по ссылке находится именно то, о чем говорится в тексте уведомления.
1.3.3.4. Фразы про необходимость выполнить какие-либо действия (перейти по ссылке, открыть вложение, распечатать файл и т.д.). Представим, что вам все же удалось убедить получателя в правдивости письма. Далее необходимо сообщить потенциальной жертве, что следует сделать для решения описанной в письме проблемы, так как именно выполнение указанных в теле письма действий и является конечной целью мошенника. Тут важно не просто сообщить получателю, что от него требуется сделать, а сообщить так, чтобы он правильно понял написанное в письме. Чтобы избежать недопонимания со стороны получателя, в тексте письма часто встречаются указания конкретных действий, которые пользователь должен выполнить.
2. Съемные накопители.
Наверное, самый затратный вектор распространения троянов, ибо для него нам понадобится съемный накопитель.
Самый распространенный вариант - флешка. Их можно покупать, либо заказывать на халяву (на этом форуме есть темы с гайдами).
Итак, прикупив себе флешечек и залив на них трояны с яркими и завлекающими названиями, мы идем с утреца пораньше и раскидываем их перед офисом.
Как только народ будет идти на работу, эти флешки так и будут говорить "Вставь нас в свой компьютер!".
Вот и все.
3. Web.
Самый обширный вектор атак. Я приведу лишь самые распространенные примеры.
3.1. Файлообменники.
Один из самых эффективных векторов распространения.
Тут все проще простого:
1. Переименовываем свой троян на что-то типо: "CsGoCheats".
2. Заливаем на ФО (если зальете на ФО, который платит за скачивания - заработаете еще плюсом копеечку).
3. Спамим в группы ВК и форумы (соответствующей тематики, само собой) сообщениями и комментариями на подобии: "Чит на Cs:Go 2017 [Whall hack, Aim bot, Trigger] Бесплатно!: (и ваша ссылка)"
PROFIT!
3.2. Сайты знакомств.
Самый геморойный, медленный, но и довольно распространенный способ.
1. Знакомимся с наивной девушкой.
2. Скидываем ей .exe файл с майнером под предлогом ваших фотографий, или фотографий котиков, в общем сами можете придумать.
PROFIT!
