Блог компании Антифишинг

как поведение людей влияет на безопасность

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 8 по 14 декабря 2017 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Почта, сайты

Согласно исследования «Лаборатории Касперского», фишинговые сайты в массовом порядке переезжают на домены с HTTPS. Благодаря бесплатным сертификатам от Let’s Encrypt сделать это легко. Но даже EV SSL — платные сертификаты с расширенной проверкой — не спасают положение.

Злоумышленники могут создать поддельные компании, в именах которых содержатся слова, связанные с безопасностью, например, «Identity Verified». Если создать сайт такой компании и получить для него EV SSL-сертификат, в адресной строке будет отображаться зелёный замок и слова «Identity Verified»:

Мобильная и десктопная версии Safari полностью скрывают URL и отображают лишь название компании, полученное из EV SSL-сертификата, поэтому пользователям Apple практически невозможно распознать фишинговый сайт:

Вредоносное ПО

Новая версия бэкдора OceanLotus для macOS получила название HiddenLotus из-за использования инновационной техники маскировки.

Бэкдор распространяется через приложение Lê Thu Hà (HAEDC).pdf, замаскированное под файл Adobe Acrobat. Приложение эксплуатирует функцию карантина, которая запрашивающую подтверждение у пользователя при открытии любых файлов, загруженных из интернета.


При попытке открыть исполняемый файл на экране появляется всплывающее предупреждение.

HiddenLotus действительно имеет расширение .pdf, но буква «d» в расширении заменена строчной римской цифрой D (число 500).

macOS распознает бэкдор как файл с неизвестным расширением и предлагает выбрать приложение для запуска файла или найти его в Mac App Store. Из-за римской цифры в расширении .pdf система не находит программу для открытия файла и считает его приложением, несмотря на отсутствие расширения .app.

Вымогатель Spider атакует пользователей с помощью фишинговых писем, содержащих вредоносные документы MS Office на боснийском языке.

Документ содержит обфусцированный код на VBA, запускающий Powershell-скрипт, после запуска которого загружается, расшифровывается и запускается исполняемый модуль вредоноса.

Файлы Spider располагаются в папке

%APPDATA%/Spider

Исполняемый файл enc.exe шифрует файлы пользователя по алгоритму AES и добавляет к ним расширения «.spider».

Закончив работу, он выводит требование выкупа, причём жертве даётся 96 часов (четверо суток) на то, чтобы заплатить выкуп в биткоинах для получения ключа для расшифровки:

Вымогатели заботятся о своих жертвах, подробно разъясняя, как использовать Tor и как купить биткоины для оплаты выкупа. Для особо непонятливых имеется даже ссылка на видеоруководство.

После оплаты выкупа жертва сможет расшифровать свои файлы с помощью полученного от злоумышленников ключа и программы dec.exe.

Мобильная безопасность

Приложение PinMe позволяет отслеживать точное местоположение мобильного устройства, даже если на нём выключен GPS.

Множество датчиков, которыми оснащены современные телефоны, позволяют собирать данные, сверив которые с информацией из внешних источников, например с топографическими картами, прогнозом погоды и IP-адресами общедоступных сетей Wi-Fi, можно получить точное местоположение пользователя.

Получая информацию от гироскопов, акселерометров и датчиков высоты, PinMe определяет способ передвижения владельца смартфона.

Криптомайнинг

Разработчики блокировщика рекламы AdGuard обнаружили, что несколько популярных онлайновых видеоплееров майнят криптовалюту Monero. Среди уличённых в майнинге сайты Openload, Streamandgo, Rapidvideo.com, OnlineVideoConverter.com.

Прежде, чем смотреть любимый сериал в онлайне, убедитесь, что ваш компьютер параллельно не занимается майнингом: хотя бы посмотрите загрузку процессора через диспетчер задач.

Добыча цифрового золота привлекает всё больше участников. Многие даже злоупотребляют своим положением, чтобы намайнить как можно больше.

В кофейнях Starbucks в Буэнос-Айресе ноутбуки пользователей, подключившихся к бесплатному Wi-Fi использовались для добычи криптовалюты Monero без ведома владельцев.

Виновником произошедшего оказался интернет-провайдер, установивший точки доступа Wi-Fi в кофейнях. Он не только предоставлял интернет, но и внедрял майнинговый скрипт на страницы сайтов, которые просматривали посетители.

Умные устройства

Оружейные сейфы Vaultek VT20i содержат уязвимость BlueSteal, которая позволяет дистанционно открыть его с помощью подбора пароля или перехвата кода открытия.

Мобильное приложение, с помощью которого можно управлять сейфом, нужно предварительно «спарить» с сейфом. При этом код спаривания аналогичен коду, открывающему сейф, а количество попыток ввода комбинации не ограничено. Задействовав брутфорс во время «спаривания» устройств, можно вычислить PIN-код сейфа простым перебором.

Также выяснилось, что после спаривания с приложением сейф не проверяет корректность полученного PIN-кода, поэтому достаточно передать ему команду открытия с привязанного смартфона с любым PIN-кодом. Сам PIN-код передается в формате обычного текста и никак не защищен.

Видео: демонстрация взлома сейфа

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 1 по 7 декабря 2017 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Почта, сайты

С помощью нового набора уязвимостей MailSploit злоумышленники могут атаковать множество почтовых клиентов, осуществлять спуфинг, а в некоторых случаях выполнять на уязвимой машине произвольный код.

Самую большую опасность для пользователей представляет спуфинг, с помощью которого можно обойти почти все защитные механизмы, включая DMARC, DKIM, SPF и почтовые фильтры.

В основе уязвимости лежит способ интерпретации почтовыми клиентами email-адресов, закодированных с помощью RFC-1342. Большинство клиентов не проверяют содержимое строки с адресом после декодирования, и если эта строка содержит нулевой байт, клиент распознает лишь содержимое до нулевого байта. После него может следовать всё что угодно, включая вредоносный код.


Демонстрация атаки MailSploit против iOS Mail:

В ходе новой фишинговой кампании мошенники обманом заставляют пользователя ввести конфиденциальные данные своей учетной записи PayPal, якобы для подтверждения транзакции:

  1. Жертве на почту приходит поддельное электронное письмо «от PayPal», в котором сообщается, что транзакция не может быть подтверждена и процесс оплаты не будет завершен. В письме также содержится предупреждение о подозрительной активности учетной записи и необходимости подтверждения смены пароля.
  2. Жертве предлагается перейти по ссылке myaccounts-webapps-verify-updated informations.epauypal.com/myaccount/e6abe, которая ведет на поддельный Центр разрешения проблемных ситуаций (Resolution Center), и указать персональные данные учетной записи, включая имя, адрес, город, почтовый индекс, страну, номер телефона, девичью фамилию матери и дату рождения.
  3. После заполнения всех полей жертву перенаправят на еще одну страницу, предлагающую ввести информацию о кредитной карте, в том числе имя, номер, дату истечения ее срока действия и код безопасности.

Этих данных достаточно, чтобы взломать учетную запись пользователя и похитить деньги со счета пользователя в Paypal.

Семь правил защиты от фишинга

Компания Protectimus Solutions LLP сформулировала 7 основных правил защиты от фишинга, а пользователь Хабрахабр @tgilartem перевёл их на русский язык.

  1. Обязательно проверьте URL-адрес, по которому рекомендуется перейти, на наличие незначительных ошибок в написании.
  2. Используйте только безопасные https-соединения. Отсутствие всего одной буквы «s» в адресе сайта должно вас насторожить.
  3. С подозрением относитесь к любым письмам с вложениями и ссылками. Даже если они пришли со знакомого адреса, это не дает гарантии безопасности: он мог быть взломан.
  4. Получив неожиданное подозрительное сообщение, свяжитесь с отправителем альтернативным способом и уточните, он ли его послал.
  5. Если все же необходимо посетить ресурс, введите его адрес вручную или воспользуйтесь ранее сохраненными закладками .
  6. Не используйтеь для доступа к онлайн-банкингу и другим финансовым сервисам открытые Wi-Fi сети. Часто их создают злоумышленники. Даже если это не так, подключиться к незащищенному соединению не составляет сложности для хакеров.
  7. На всех аккаунтах, где это возможно, подключите двухфакторную аутентификацию. Эта мера может спасти положение, если основной пароль стал известен взломщикам.

Умные устройства

Автомобили Мерседес и других марок, оснащённых функцией дистанционного старта без ключа, можно угнать с помощью повторителя RFID сигнала стоимостью $226. Для этого достаточно находиться вблизи автомобиля в момент, когда владелец его открывает и запускает двигатель, чтобы записать сигналы открытия и запуска с помощью специального устройства.

Запись угона с камер виденаблюдения:

Вредоносное ПО

Новая версия трояна Quant обзавелась функцией атаки на криптовалютные кошельки. Для этого используются библиотеки Bitcoin-Stealer (bs.dll.c) и Z*Stealer (zs.dll.c):


Bitcoin-Stealer ищет в папке «Application Data» криптовалютные кошельки и отправляет их содержимое на сервер злоумышленника. Троян атакует только offline-кошельки, поддерживающие криптовалюты Bitcoin, Terracoin, Peercoin и Primecoin.

Z*Stealer похищает учетные данные приложений и операционной системы.

Новая версия Quant также умеет уклоняться от антивирусов путём перехода в спящий режим.

Троянец UBoatRAT использует для распространения Google Disk и BITS — интеллектуальную службу Windows — для закрепления в системе:


Целью атаки являются пользователи корпоративных сетей Южной Кореи. Если вредонос обнаруживает, что попал на компьютер к домашнему пользователю, он генерирует случайную системную ошибки Windows и завершает работу исполняемого файла.

Инструменты разработчика для Android, такие как APKTool, IntelliJ, Eclipse и Android Studio, содержат уязвимость ParseDroid, связанную с библиотекой парсинга XML, входящей в их комплект.

Во время парсинга файла XML уязвимая библиотека не отключает ссылки на внешние источники. В результате атакующий может извлечь любой файл из системы жертвы, просто использовав вредоносную версию файла AndroidManifest.xml или задействовав XML иным способом.

Демонстрация ParseDroid:

Новая техника внедрения кода Process Doppelgänging работает на всех версиях Windows и позволяет обойти большинство современных антивирусов.

Process Doppelgänging работает путем использования двух ключевых функций для маскировки загрузки модифицированного исполняемого файла. Вредоносный код, используемый в атаке, не сохраняется на диск, поэтому его не замечают антивирусы и другие средства защиты, включая продукты «Лаборатории Касперского», ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast и Panda:

В рамках исследования специалисты запускали с помощью Process Doppelgänging утилиту Mimikatz, с помощью которых похищают пароли. При этом обычный запуск Mimikatz сразу блокируется антивирусом:

Атака требует знания недокументированных подробностей создания процессов Windows, поэтому провести её сложно.для Process Doppelgänging невозможно выпустить патч, поскольку техника эксплуатирует фундаментальные функции и дизайн механизма загрузки в Windows.

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 24 по 30 ноября 2017 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Мобильная безопасность

Мошенники распространяют фальшивое приложение Сбербанк Онлайн для Android:

Распространение происходит через сеть сайтов, которые с помощью специальных методик выводятся на лидирующие позиции в поисковой выдаче:

Используя возможность устанавливать Android-приложения не только из официального магазина, они создают копии оригинальных приложений и рекламируют их как «улучшенную версию с новыми функциями».

Когда после установки приложения жертва вводит свои данные, они оказываются в руках у злоумышленников.

Исследователи проверили более 440 приложений для Android и обнаружили в них более 40 различных типов трекеров, собирающих данные.

Например, интерактивная программа передач одного из французских телеканалов Programme TV par Télé Loisirs отслеживает запуск приложений, записывает аудио и меняет настройки WiFi-сетей. Набор встроенных маркетинговых трекеров собирает информацию о пользовательском IP-адресе, файлах cookies, а в отдельных случаях узнает имя и электронный адрес. А приложение-фонарик Super-Bright LED Flashlight содержит функции отслеживания конфигурации сети, изменения настроек на телефоне и получения команд с удаленного сервера.

Криптомайнинг

Недобросовестные веб-сайты используют новую технику, которая позволяет им майнить криптовалюту на компьютерах пользователей даже после закрытия вкладки с сайтом:

  1. Когда пользователь заходит на сайт, у него открывается дополнительное окно браузера.
  2. Окно скрывается за панелью задач Windows или часами.
  3. Майнер запускает именно это фоновое окно, которое остаётся открытым после закрытия браузера. Расположение окна может варьироваться в зависимости от разрешения экрана, однако оно всегда прячется за другими элементами.

Чтобы сделать своё присутствие менее заметным, майнер искусственно ограничивает используемую мощность процессора.

Операционные системы

Обновление до новейшей версии macOS High Sierra позволяет получить root-доступ любому устройству Mac.

После обновления любой, кто имеет физический доступ к компьютеру, мог зайти в систему с правами суперпользователя. Для этого в поле логина достаточно было указать «root» с пустым паролем:

На момент выпуска дайджеста Apple уже выпустила исправление этой уязвимости. Правда, оно оказалось недостаточно протестировано и в некоторых случаях вызывает проблемы: после установки патча на High Sierra 10.13.1
функция совместного использования файлов перестаёт работать.

Вскоре после этого Apple опубликовала патч для патча — сообщение, содержащее рекомендации по восстановлению функционала.

Вредоносное ПО

Крупнейший в мире спамерский ботнет Necurs начал распространять новую версию вымогателя «Скарабей» (Scarab). Вымогатель распространяется с помощью спама, замаскированного под рассылку отсканированных документов:

Темы писем содержат строки:

  • Scanned from Lexmark;
  • Scanned from HP;
  • Scanned from Canon;
  • Scanned from Epson.

На самом деле во вложении к письмам находятся архивы 7Zip со скриптами Visual Basic внутри. Скрипты загружают запускают исполняемый файл вымогателя Scarab, который шифрует пользовательские файлы и требует выкуп:

Новый шифровальщик qkG шифрует исключительно документы Word и умеет распространяться самостоятельно, инфицируя другие документы на скомпрометированной машине:

Когда пользователь открывает зараженный документ Word, его хитростью вынуждают нажать на кнопку «Разрешить редактирование» и разрешить выполнение макроскриптов.

qkG, в отличие от обычных вымогателей, не загружает никаких компонентов, а добавляет VBA-обработчик на функцию OnClose, которая выполняется после закрытия документа:

Когда жертва закрывает зараженный документ, обработчик

  1. Изменяет настройки Office, разрешая программный доступ к VBA object model (AccessVBOM)
  2. Деактивирует Protected View, чтобы в дальнейшем выполнение макросов происходило автоматически (для этого малварь редактирует реестр: DisableAttachmentsInPV, DisableInternetFilesInPV и DisableUnsafeLocationsInPV)3. Вредоносный код qkG внедряется в normal.dot — стандартный шаблон для всех документов Word.
  3. Cодержимое всех уже существующих документов на устройстве жертвы шифруется при помощи XOR, в конец каждого документа добавляется сообщение с требованием выкупа:

qkG пока, видимо, находится в стадии разработки, поскольку все документы шифруются с одинаковым паролем, закодированным в макросе:

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Ctrl + ↓ Ранее