Os fóruns de hackers continuam a ver um alto nível de atividade cibercriminal e, nesta semana, a equipe da Web Dark da Socradar descobriu várias novas ameaças. As principais descobertas incluem um serviço de login de login bancário, oferecendo acesso a contas financeiras comprometidas, bem como um RCE explorador de zero, direcionando os roteadores TP-Link. Enquanto isso, um hacker afirma ter vazado 5 GB de documentos corporativos da Wizz Air, expondo registros operacionais e regulatórios.
Além disso, surgiu um novo serviço ilícito em dinheiro, supostamente facilitando saques não autorizados de plataformas como Square e Chime. Essas descobertas enfatizam as táticas em evolução dos cibercriminosos direcionados aos sistemas financeiros, corporativos e de infraestrutura.
Notícias da Web Dark Socradar: Destaques -chave das atividades de ator de ameaças detectadas desta semana
Receba um relatório gratuito da Web Dark para sua organização:
Novo serviço de log é detectado para logins bancários
A equipe da Socradar Dark Web detectou uma postagem em um fórum de hackers, onde um ator de ameaças afirma estar oferecendo um novo serviço de log para credenciais de contas bancárias. De acordo com as declarações do ator de ameaças, o serviço fornece acesso a logins de contas bancárias, acesso por e -mail e cookies de sessão, supostamente obtidos por meio de campanhas de phishing direcionadas aos usuários bancários on -line.
O post descreve vários casos de uso fraudulento para as credenciais comprometidas, incluindo recargas de cartão de crédito e outras atividades financeiras não autorizadas. O ator de ameaças afirma que os logs são adquiridos a granel por meio de técnicas de spam e são vendidos diretamente por meio de plataformas de mensagens criptografadas, com pagamentos aceitos exclusivamente em criptomoeda.
Além disso, o Post inclui uma lista de instituições financeiras para as quais o ator afirma ter registros de contas e detalhes do cartão de pagamento, incluindo Barclays, Lloyds Bank, NatWest, HSBC e Santander UK. O ator também afirma que as encomendas para bancos e saldos específicos estão disponíveis se as credenciais solicitadas não estiverem imediatamente em estoque.
A alegada exploração de RCE de 0 dias está à venda para TP-Link
A equipe da Socradar Dark Web detectou uma postagem em um fórum de hackers, onde um ator de ameaças afirma estar vendendo uma exploração de execução de código remoto (RCE) de dia zero dia (RCE), supostamente direcionando os roteadores TP-Link. De acordo com as declarações do ator de ameaças, o exploração permite acesso remoto não autorizado, mecanismos de persistência, propagação de rede e exfiltração de dados.
O ator de ameaças afirma que pode injetar RCE por meio de uma vulnerabilidade da Luci, estabelecer um backdoor criptografado da AES-256, desativar proteções de firewall, extrair credenciais do roteador e examinar redes locais quanto a mais compromissos. O script básico é oferecido por US $ 1.000, enquanto um pacote completo com suporte custa US $ 2.000. Uma demonstração de vídeo e detalhes de contato por meio de mensagens privadas e telegrama são fornecidos na postagem.
Os documentos supostos do Wizz Air estão vazados
A equipe da Socradar Dark Web detectou um post em um fórum de hackers, onde um ator de ameaças afirma ter vazado mais de 5 GB de documentos que supostamente pertencem à Wizz Air Holdings Plc. e suas subsidiárias, incluindo Wizz Air Hungria, Wizz Air Malta, Wizz Air Abu Dhabi e Wizz Air UK. De acordo com as declarações do ator de ameaças, o conjunto de dados inclui documentos corporativos, regulatórios e operacionais, como registros financeiros, certificados, informações de frota e licenças operacionais. Uma amostra dos supostos documentos foi compartilhada, embora o método de aquisição de dados não tenha sido divulgado.
O serviço D2C Cash Out é detectado
A equipe da Socradar Dark Web detectou uma postagem em um fórum de hackers, onde um ator de ameaças afirma estar oferecendo um serviço de saída de dinheiro chamado D2C. De acordo com as declarações do ator de ameaças, o serviço é especializado em explorar plataformas financeiras como Square, Chime, Moneylion e Varo para facilitar as retiradas não autorizadas. O ator de ameaças afirma ter ex -exfiltrado US $ 1.000.000 Através de transações quadradas, mantendo uma operação de alto volume com pagamentos instantâneos.
O serviço supostamente opera com os terminais POS pré-configurados, vários IDs de comerciantes e um gateway de processamento de pagamentos proprietários para disfarçar transações fraudulentas como pagamentos bancários legítimos. O ator afirma que os cartões de crédito virtuais (VCCs) são aceitos, com uma taxa de pagamento de até 88%. O contato é facilitado via telegrama e o serviço reivindica estar disponível 24/7.
Alimentado por DarkMirror
Ganhar visibilidade em ameaças da Web profunda e escura pode ser extremamente útil de uma inteligência de ameaças acionável e perspectiva de proteção de risco digital. No entanto, o monitoramento de todas as fontes simplesmente não é viável, o que pode ser demorado e desafiador. Um clique por matake pode resultar em infecção por bot de malware. Para enfrentar esses desafios, a tela DarkMirror da Socradar capacita sua equipe do SOC a acompanhar as últimas postagens de atores e grupos de ameaças filtrados pelo país ou indústria alvo.
