GorgonGroup становится все более изощренной в краже криптовалюты.

Новое исследование показало, что группа угроз, лежащая в основе кражи криптовалюты MasterMana, становится все более изощренной и теперь ловит жертв через поддельные порталы входа.

Было замечено, что GorgonGroup нацелена на Европейский Союз, а также на главную электроэнергетическую и водопроводную компанию Дубая DEWA с поддельными страницами входа, которые очень убедительны.

Незаконная деятельность была обнаружена исследователями в фирме Prevailion, специализирующейся на кибер-разведке, которая опубликовала  доклад о растущей угрозе со стороны GorgonGroup.

В другой недавно обнаруженной кампании исследователи наблюдали, как GorgonGroup использует хитроумную схему социальной инженерии, ориентированную на говорящих на испанском и португальском языках с «нарисованными» на коленках сайтами отелей и поддельными подтверждениями бронирования.

Исторически сложилось так, что группа использовала дешевое вредоносное ПО, полученное через темную сеть (Darknet), для организации своего мошенничества, но исследователи говорят, что GorgonGroup сейчас разрабатывает и настраивает эти инструменты.

«Я удивлен уровнем изощренности, проявленным этой группой за последний год», - сказал директор аналитического отдела Prevailion Дэнни Адамитис в интервью журналу Infosecurity. «За это время они предприняли ряд шагов, чтобы повысить свою операционную безопасность как против обнаружения на уровне сети, так и на уровне хоста.

«Одним из примеров является их использование нового              « office.dll », которое повысит уровень привилегий «актера», а затем отключит Защитника Windows. Другой пример - это «актер», вернувшийся назад и изменяющий старый пост Pastebin, чтобы усложнить отслеживание их активности. "

Наряду с новым "office.dll", группа Gorgon выпустила вариант трояна NJrat и новый троянский файл PowerPoint, а также загрузчик, который ссылается на тексты рэпера Дрейка.

Адамитис, чей любимый трек Дрейка - «План Бога», сказал, что было трудно предсказать, как будет развиваться группа угроз.

Он сказал: «К сожалению, в настоящее время у нас недостаточно данных, чтобы сделать какие-либо обоснованные выводы об их намерениях».

В настоящее время неизвестно, где работает GorgonGroup, хотя Адамитис предполагает, что группа работает за пределами Пакистана.

Адамитис сказал: «Мы наблюдали некоторую активность GorgonGroup, происходящую с пакистанских IP-адресов; однако IP-адреса могут быть подделаны. В настоящее время у нас нет достаточных доказательств, чтобы сделать какие-либо окончательные комментарии по поводу атрибуции».