Блог компании Антифишинг

как поведение людей влияет на безопасность

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 4 по 10 августа 2017 года.


Андрей Жаркевич
редактор, ИТ-руководитель

Сайты, мессенджеры и почта

Обнаружена вредоносная фишинговая кампания, направленная против русскоязычных представителей бизнеса. Жертвами хакеров становятся финансовые организации, в том числе банки, и предприятия горнодобывающей промышленности:

  1. Заражение начинается с получением жертвами фишинговых писем, в теме которых значится «Правила подключения к шлюзу» или «Оплата госпошлин».
  2. Письма содержат вложенные офисные файлы Инструкция для подключения клиентов.doc, Заявление на оплату услуги.doc
  3. Вложения представляют собой RTF-файлы с эксплойтом для уязвимости CVE-2017-0199, который загружает XLS файл с вредоносным JavaScript:

  4. JavaScript содержит два PowerShell-скрипта, один из которых загружает и запускает документ, а второй продолжает заражение, загружая зашифрованный dll-файл, расшифровывая его и запуская на выполнение.
  5. В результате на компьютере устанавливается бэкдор, который может выполнять различные команды злоумышленников.

Общая схема атаки:

Центр защиты от кибератак компании Microsoft сообщает о массовой рассылке по электронной почте фишинговых ссылок на вебсайты, которые убедительно показывают посетителям всплывающие окна с ложными предупреждениями о проблемах с их компьютерами и предложением немедленно их решить, позвонив по указанному телефону технической поддержки:

Звонок в «техподдержку» в конце концов приводит к настойчивой просьбе мошенников заплатить за решение несуществующих проблем.

Специалисты Антифишинга обнаружили и помогли заблокировать сайт, который использовался в атаках против пользователей почтового сервиса Мейл.ру:

Обратите внимание на опасный побочный эффект отображения заголовка страницы в адресной строке Яндекс.Браузера: адрес мошеннического сайта теряется на фоне «доверенного» заголовка, благодаря которому невнимательные пользователи могут принять сайт за настоящий.

Сайт имитировал интерфейс почтового сервиса, в котором пользователю предлагалось увеличить объем почтового ящика, а для «подтверждения» нужно было ввести свой пароль. Ссылка на сайт распространялась через фишинговые письма.

Новая фишинговая кампания направлена на американских налогоплательщиков. В письмах мошенники благодарят жертв за своевременное обновление программы для заполнения налоговых деклараций и сообщают о необходимости пройти проверку учётных данных. Введённые данные пользователей попадают к мошенникам.

Вредоносное ПО

Вредонос israbye блокирует систему, распространяет контент антиизраильского характера и портит содержимое файлов пользователя сообщениями на ломаном английском и иврите:

Восстановить испорченные файлы невозможно.

Энергокомпания ФСК ЕЭС предупредила директоров региональных филиалов о вирусной угрозе. Сообщается, что кибератака с использованием вымогательского ПО может быть направлена на отказ в обслуживании элементов вычислительной инфраструктуры компании:

Директорам региональных филиалов предложено ограничить доступ пользователей корпоративной сети к интернету в период с 4 по 14 августа, а также предупредить сотрудников, чтобы те не открывали вложения от неизвестных отправителей и не переходили по сторонним ссылкам.

Новая версия вымогателя Cerber распространяется с помощью вредоносных почтовых вложений:

Прежде чем шифровать файлы, программа ищет криптовалютные кошельки и похищает найденные данные. Кроме данных о кошельках, Cerber ворует сохраненные в браузерах пароли

Переслав на сервер злоумышленников собранные сведения, Cerber удаляет с зараженного компьютера все файлы, связанные с кошельками, а затем приступает к обычному процессу шифрования данных.

Мошенники продолжают атаковать разработчиков популярных расширений для Google Chrome. После успешной фишинговой атаки на разработчика Copyfish жертвами фишинга стали расширения «Web Developer», которое добавляет на панель браузера кнопку с инструментами для веб-разработчиков.

Получив полный доступ к аккаунту разработчика, преступники стали внедрять рекламу в браузеры 1 миллиона пользователей расширения.

Фишеры выдают себя за представителей Google и присылают разработчикам письма, в которых сообщают, что расширение нарушает правила Chrome Web Store и должно быть обновлено. Когда жертва переходит на сайт злоумышленников, ее простят войти в аккаунт разработчика Google, а сайт полностью имитирует настоящую страницу логина.

Мобильная безопасность

Неофициальный каталог приложений для Android использовался исключительно для распространения банковского трояна.

При нажатии на кнопку загрузки любого приложения вместо него загружался пакет с вредоносным ПО:

Загруженная программа может перехватывать и отправлять SMS-сообщения, отображать на экране поддельные процессы, скачивать и устанавливать на зараженное устройство дополнительные приложения.

После установки троян не пытается имитировать какое-либо настоящее приложение, выбранное пользователем, маскируясь вместо этого под плагин Flash Player.

«Умные» устройства

Инверторы солнечных батарей SMA Solar Technology управляются через интернет и содержат уязвимости, которые позволяют совершить удаленную атаку и помешать нормальной работе, спровоцировав массовый сбой в работе солнечных батарей:


Атака, устроенная в нужный момент, может лишить целую страну 50% электроэнергии. Учитывая «топографию» современных энергосетей, подобное повлечет за собой настоящий эффект домино и может сказаться на целом континенте, вызывав глобальные отключения электроэнергии, к примеру, по всей Европе.

По подсчетам специалистов, трехчасовое отключение электроэнергии в европейских странах обойдется примерно в 4,5 млрд евро.

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 28 июля по 3 августа 2017 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Сайты, мессенджеры и почта

Кибергруппировка Carbanak атакует сети ресторанов в США с помощью вредоносных электронных писем, отправленных с почтовых адресов Outlook или Gmail, и якобы содержащих информацию о ранее обсуждаемом чеке:

Если пользователь откроет прикрепленный к письму документ Microsoft Word, его попытаются убедить отключить защищенный режим и разрешить макросы:

После этого на компьютер загрузится вредонос Bateleur — бэкдор, обладающий рядом возможностей для сокрытия своей активности, в том числе средствами обхода антивирусов и «песочниц».

Мошенники атакуют пользователей, берущих ипотеку:

  1. Сначала хакеры добывают информацию о предстоящих сделках с недвижимостью.
  2. Затем они отправляют электронное письмо покупателю, представляясь специалистом по недвижимости или компанией.
  3. Далее идет переписка, в которой мошенники утверждают, что в договор были внесены правки, и теперь нужно использовать другой счет для платежей. Этот счёт, разумеется, принадлежит злоумышленникам.

Участились случаи фишинговых атак против клиентов российского регистратора RU-CENTER:

Администратора сайта пытаются убедить разместить у себя на сервере специальный PHP-файл, который представляет собой веб-шелл и позволяет мошенникам удаленно выполнить любые команды и получить контроль над сайтом.

Один из разработчиков популярного расширения Copyfish для Chrome стал жертвой фишинга: ему прислали письмо со ссылкой, якобы от лица команды разработки Google Chrome:

  1. После перехода по вредоносной ссылке автор расширения попал на поддельную страницу входа в аккаунт Google, располагавшуюся по адресу https://login.chromeextensions.info/ServiceLogin/?https://chrome.google.com/webstore/developer/dashboard (на момент публикации дайджеста страница была недоступна).
  2. Адрес не смутил пострадавшего, он ввел на фальшивом сайте свои учетные данные, после чего в руках злоумышленников оказалось управление девелоперским аккаунтом Copyfish.

В результате компрометации Copyfish обновилось до версии v2.8.5 и получила вредоносный JavaScript, внедряющий рекламу на все сайты, которые посещали пользователи.

Мобильная безопасность

Новая версия мобильного банковского трояна Trojan-Banker.AndroidOS.Svpeng.ae получила функциональность кейлоггера и вводимые данные с помощью «специальных возможностей». Это позволяет не только красть вводимый текст из других приложений, но и предоставлять себе больше прав, в том числе противодействуя попыткам деинсталляции.

  • Svpeng делает снимки экрана каждый раз при нажатии кнопок на клавиатуре, загружая их на сервер злоумышленников.
  • Некоторые приложения, в основном приложения мобильного банка, не позволяют делать снимки экрана, когда их окно находится поверх остальных окон. В таких случаях малварь выводит фишинговое окно поверх атакуемого приложения.
  • Как и большинство мобильных банковских троянцев, для кражи данных кредитных карт Svpeng выводит окно поверх некоторых приложений Google.

Android-устройства компании BLU и других производителей имеют систему обновления FOTA (Firmware Over The Air), содержащую бэкдор, который поддерживает связь с серверами китайской компании и способен отправлять туда самую разную информацию о пользователях. Решениями с бэкдором пользуются более 400 мобильных операторов и производителей, а продукты компании установлены на 700 млн Android-устройств по всему миру.

«Умные» устройства

Исследователи в очередной раз взломали Tesla Model X. Им удалось перехватить контроль над фарами и приборными панелями авто, открыть багажник и двери, а также активировать тормоза во время движения автомобиля.

Ряд 0-day уязвимостей, обнаруженных в ПО различных моделей авто, позволил перехватить контроль над двумя критическими компонентами авто: CAN BUS и ECU (Electronic Control Unit):

В телематических блоках управления некоторых автопроизводителей обнаружены уязвимости, одна из которых позволяет удалённо взломать автомобиль.

Блок представляет собой 2G-модем, который отвечает за передачу данных от внутренних систем автомобиля и обратно и служит интерфейсом между машиной и средствами удаленного управления. В числе уязвимых автомобилей — BMW, Ford, Infiniti и Nissan.

Умные колонки Amazon Echo можно превратить в подслушивающие устройства:

В старых моделях колонок, выпущенных в 2015-2016 годах, имеется уязвимость, с помощью которых атакующий  может получить root-доступ к устройству и заставить колонку тайно перехватывать сигнал с микрофона и передавать его злоумышленнику.

Взлом колонки занимает около двух часов и требует специальных навыков и правильно отформатированной SD-карты с X-loader и U-Boot в нужной директории. Для ускорения процесса можно создать готовое устройство, которые будет подключаться к диагностическим контактам, тогда установка малвари займет несколько минут.

Чтобы склонировать подарочные карты, достаточно инструмента Burp Intruder и простейшего кардридера  MSR606 за $80.

Большинство подарочных карт оснащаются 16-значными номерами, однако первые 12 символов таких номеров — это простейшая арифметическая прогрессия, тогда как последние 4 цифры рандомизированы:

  • Любой желающий может набрать в магазине «пустых» карточек, просчитать по ним номера других карт.
  • Затем брутфорсом в онлайне вычислить карты, на которых уже есть деньги.
  • После можно склонировать карты и готовыми копиями оплачивать покупки.
О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 21 по 27 июля 2017 года.


Андрей Жаркевич
редактор, ИТ-руководитель

Сайты и почта

Новая версия банковкого трояна Ursnif распространяется через фишинговую рассылку с вложенными документами MS Office с вредоносными макросами:

Файлы внутри документа выглядят как вложенные документы MS Word, но на самом деле являются одинаковыми VBS-скриптами, которые загружают вредоносные DLL со стороннего сайта:

Примечательной особенностью являются методы самозащиты, которыми вредоносная программа обнаруживает виртуальные машины, песочницы и другие инструменты исследователей безопасности: троян следит за передвижениями курсора мыши, и если тот остается неподвижным долгое время, понимает, что ее пытаются изучать.

Банковский троянец Trickbot атакует клиентов американских банков через спам, рассылаемый с ботнета Necurs:

Вредоносные письма содержат ZIP-архив, внутри которого находится Windows Script File (WSF) с обфусцированным JavaScript-кодом, который загружает Trickbot.

Обновленный банкер использует веб-инжекты в расширенной конфигурации, позволяющей атаковать клиентов международных и американских банков.

Новая версия вредоносной программы FruitFly для macOS шпионит за пользователями. Программа делает скриншоты, записывает нажатия клавиш, получает доступ к web-камерам, собирает информацию о зараженных Мас и отправляет всю эту информацию на управляющие серверы.

Исследователи не уточняют первичный вектор заражения, но предполагается три возможных вектора:

  1. скомпрометированные веб-сайты, заражающие пользователей;
  2. фишинговые письма и
  3. специальные приложения, скрытно содержащие в себе вредоносную программу.

«Умные» устройства

Компьютеры одного из европейских нефтехимических заводов оказались заражены вымогательским ПО из-за кофемашины, подключенной к сети локального диспетчерского пункта предприятия.

На пострадавших компьютерах была установлена Windows XP. Систему несколько раз переставляли, пока не выяснили, что причина кроется в кофемашине, заражённой вымогательским ПО и подключенной ко внутренней сети диспетчерского пункта.

В автоматизированных бесконтактных автомойках PDQ LaserWash для легковых автомобилей обнаружили ряд уязвимостей, позволяющих удаленно взломать систему и совершить физическую атаку на машину и находящихся в ней людей.

В частности, хакеры могут открывать и закрывать двери отсеков, чтобы предотвратить выезд авто из помещения автомойки, ударять дверьми по машинам, повреждая их и травмируя водителя и пассажиров.

Чтобы кто угодно мог стрелять из «умного пистолета» Armatix IP1, достаточно простейшего оборудования стоимостью $20.

Чтобы распознать владельца, умный пистолет связывается со смарт-часами на его руке. Для связи используется радиочастота 900 МГц. Для взлома достаточно перехватить сигналы, которыми обмениваются смарт-часы и смарт-пистолет и воспроизвести их.

Примечательно, что частоту 900 МГц также используют радиотелефоны, поэтому они способны создать помехи, которые не дадут смарт-пистолету выстрелить.

Американское казино взломали с помощью умного аквариума, подключенного к интернету. Проникнув в аквариум, злоумышленники запустили процесс сканирования внутренней сети, обнаружили уязвимости и передали собранные данные на сервер в Финляндии, после чего атака была обнаружена и заблокирована.

Мобильная безопасность

В Google Play обнаружено шпионское ПО для Android — Lipizzan, которое распространялось под видом приложений «для создания резервных копий» и «очистки системы».

Lipizzan может осуществлять запись телефонных звонков и VoIP разговоров, делать скриншоты, использовать камеру устройства для съемки фотографий, собирать информацию об устройстве и пользователе (контакты, журнал звонков, SMS-сообщения и пр.), а также извлекать данные из ряда приложений, в том числе Gmail, Hangouts, KakaoTalk, LinkedIn, Messenger, Skype, Snapchat, StockEmail, Telegram, Threema, Viber и WhatsApp.

Мошенники организовали автоматический обзвон от имени ФНС России с требованием оплатить налоги или сообщением о задолженностях и штрафах. Когда жертва перезванивает, чтобы разобраться, с её телефонного счёта списывают деньги.

Повышение осведомленности

ВТБ Банк Москвы опубликовал серию комиксов о правилах финансовой безопасности. В доступной форме рассказывается о популярных мошеннических схемах и способах противостояния им:


О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Ctrl + ↓ Ранее