Блог компании Антифишинг

как поведение людей влияет на безопасность

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 9 по 15 февраля 2018 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Почта, сайты и мессенджеры

Windows-клиент популярного мессенджера Telergam содержал уязвимость в обработке специальных символов, которая эксплуатировалась злоумышленниками.

Специальный непечатный Unicode-символ right-to-left override (RLO) ‘U+202E’ служит для изменения порядка следующих за ним в строке знаков на обратный.

Обычно RLO используется при  наборе текста на арабском языке. RLO-атака использует этот символ для введения жертвы в заблуждение: уязвимое к этой атаке ПО отображает имя и расширение файла частично или полностью в перевернутом виде.

Эксплуатация уязвимости Telegram выглядела следующим образом:

  • Злоумышленник перед отправкой переименовывает файл evil.js в photo_high_reU+202Egnp.js, где U+202E — RLO символ, который должен заставить Telegram перевернуть оставшиеся после него символы gnp.js.
  • Атакующий отправляет жертве файл, но вместо JS-файла получатель видит «PNG-картинку»:

  • При открытии файла появится стандартное уведомление безопасности Windows, если соответствующая опция не была отключена в системных настройках.

  • После подтверждения от пользователя, вредоносный файл будет запущен и сможет загрузить вредоносную часть, например, загрузчик, написанный на .NET и использующий Telegram API в качестве командного протокола.

На момент выпуска дайджеста уязвимость в Telegram для Windows устранена.

Злоумышленник перехватил контроль над ключевыми доменами интернет-сервиса Newtek, который предоставляет комплексные бизнес-услуги сотням тысяч организаций.

При попытке зайти в свою CMS, размещавшуюся на сайте webcontrolcenter[.]com, абоненты Newtek попадали в веб-чат, похожий на сервис службы поддержки. Не сумевшие попасть в свой аккаунт пользователи общались с мошенником, который изображал «представителя» Newtek.

Вредоносное ПО

Спамеры используют для заражения компьютеров документы MS Word без макросов:

Внедрение вредоносного ПО производится с помощью сложной системы взаимодействия файлов docx, rtf, hta, VBScript и PowerShell:

  1. Жертва получает письмо с файлом DOCX.
  2. Файл DOCX содержит встроенный OLE-объект, который загружает и открывает файл RTF, замаскированный под DOC.
  3. В файле DOC используется уязвимость редактора формул (CVE-2017-11882).
  4. Эксплойт CVE-2017-11882 запускает командную строку MSHTA.
  5. Командная строка MSHTA загружает и запускает HTA-файл.
  6. HTA-файл содержит VBScript, который распаковывает скрипт PowerShell.
  7. Сценарий PowerShell загружает и устанавливает вредонос, похищающий пароли.
  8. Вредоносная программа извлекает пароли из браузеров, почтовых и FTP-клиентов, а затем загружает их на удаленный сервер.

Мошенники заставляют Android-пользователей решить CAPTCHA при входе на сайт, а сами в это время майнят Monero на их устройствах.

Для привлечения пользователей на такие сайты используется вредоносная реклама и редиректы:

После ввода CAPTCHA пользователь попадает на главную страницу Google. CAPTCHA является отвлекающим маневром, чтобы чем-то занять пользователя, пока его устройство в фоновом режиме майнит Monero через скрипт Coinhive.

Около 5000 государственных сайтов разных стран майнили Monero на компьютерах посетителей из-за скомпрометированного скрипта для чтения текстов вслух.

BrowseAloud — решение, разработанное TextHelp.com для пользователей с ограниченными возможностями. 11 февраля 2018 года неизвестные злоумышленники скомпрометировали скрипт BrowseAloud, добавив в код браузерный майнер Coinhive:

Компьютеры зимних Олимпийских игр атаковал вайпер Olympic Destroyer.

Зловред похищает данные из браузеров и учётные данные Windows,
пытается распространиться на остальные компьютеры сети, а затем удаляет теневые копии и каталог архивации операционной системы, очищает журнал событий, останавливает все службы и выключает компьютер.

Вектор проникновения, используемый Olympic Destroyer, пока неизвестен.

Уязвимости ПО

Любое приложение macOS может шпионить за пользователем, используя для этого легитимную функцию снятия скриншотов или захвата происходящего на экране:

В сочетании с оптическим распознаванием символов злоумышленник может читать информацию на мониторе, включая пароли и ключи из парольных менеджеров, электронные письма и сообщения, которые просматривает пользователь, узнать, какими веб-сервисами и приложениями пользуется жертва, и так далее.

Для чтения экрана не требуется специального разрешения пользователя, вредоносное приложение может работать в фоновом режиме или находиться в песочнице и при этом иметь доступ к каждому пикселю.

Уязвимость в Skype позволяет злоумышленникам получить привилегии SYSTEM путём внедрения вредоносной DLL в механизм обновления.

Skype Updater не проверяет DLL при загрузке, поэтому можно загрузить вредоносный файл во временную папку, а затем присвоить ему имя реально существующей DLL.

На момент выпуска дайджеста уязвимость все еще присутствует в Skype. Специалисты Microsoft сообщили, что для её устранения необходима серьёзная переработка кода, поэтому это произойдёт только с выпуском новой версии Skype.

Используя ошибки в протоколе обмена зашифрованными сообщениями Bitmessage, злоумышленники похищали ключи доступа к биткоин-кошелькам.

Ошибка содержалась в PyBitmessage, официальном мессенджере сервиса. После получения вредоносного сообщения клиент запускал скрипт для хищения ключей к криптовалютным кошелькам, а также удалённый шелл, предоставлявший злоумышленникам полный доступ к компьютеру.

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Представляем новости об актуальных технологиях фишинга и других атаках на человека cо 2 по 8 февраля 2018 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Почта, сайты и мессенджеры

Мошенники встраивают JavaScript-библиотеку Яндекс.Метрики во вредоносные расширения Google Chrome, чтобы следить за пользователями.

Эксплуатируется функция «session replay», с помощью которой можно записать и воспроизвести все действия пользователя на сайте.

Операторы сайтов с фальшивой техподдержкой стали запугивать своих жертв c помощью Download-бомб:

С помощью скрипта на странице они заставляют браузер снова и снова сохранять файлы на диске, в результате чего через несколько секунд браузер зависает.

Нагрузка на процессор в момент атаки составляет 100%, пользователь блокируется на вредоносном сайте. Затем ресурс запугивают жертву, сообщая, что у него вирус или другая проблема. Для «решения» жертве предлагают немедленно позвонить по номеру, указанному на экране.

Обнаружен фишинговый клон популярного сайта Reddit:

Имя клона отличается от оригинала одной буквой — reddit.co вместо reddit.com. Сайт-подделка собирает пароли жертв и имеет SSL-сертификат для большей убедительности.

Читатели Антифишинг-дайджеста сообщают об атаке, направленной на инвесторов крипто-проекта Refereum:

В письме сообщается об открытии дополнительной продажи токенов и указывается адрес, куда следует отправлять деньги.

Домен, от имени которого были отправлены мошеннические письма, всего на одну букву отличается от настоящего: Referevm.com вместо Refereum.com

Несмотря на высокий уровень исполнения атаки, назвать ее успешной нельзя: на момент выхода дайджеста по мошенническому адресу зафиксированы всего две входящие транзакции, на общую сумму, эквивалентную 252 долларам США.

Читатели дайджеста и сотрудники Антифишинга сообщают об атаках, направленных на владельцев кошельков Blockchain Wallet:

В письме с поддельного домена сообщается о якобы несанкционированной попытке входа в кошелек и предлагается проверить кошелек, перейдя по фишинговой ссылке.

В другом письме сообщается о якобы несанкционированной попытке активировать двухфакторную аутентификацию. Для «восстановления» кошелька также предлагается перейти по фишинговой ссылке:

Мошенники рассылают письма от имени Роскомнадзора с требованием удалить якобы противоправную информацию.

Письма направляются с адресов общедоступных почтовых сервисов на «бланках» Управления за подписью несуществующих сотрудников (например, А.П. Стреглов). Сам Роскомнадзор уточняет, что все официальные электронные адреса оканчиваются на @rkn.gov.ru.

Из-за неправильной конфигурации DNS-сервера регистратора доменных имён Namecheap злоумышленники могли создавать поддомены для сайтов, принадлежащих другим клиентам.

Мошеннические поддомены легальных сайтов использовались для фишинга и распространения вредоносного ПО.

Мошенничество с картами

С помощью поддельных терминалов оплаты мошенники делают копии банковских карт и сохраняют пин-коды клиентов в ресторанах и кафе.

Обманная схема требует участия официантов или кассиров:

  1. Вместо настоящего терминала они предлагают клиентам фальшивый.
  2. Вместо приёма оплаты такой терминал сохраняет во внутренней памяти данные (содержимое магнитной полосы) карт и пин-коды к ним, а затем печатает чек об отсутствии связи с банком.
  3. Собранные данные затем передаются преступникам, которые опустошают счета карт.

Чтобы обезопасить себя, не отдавайте карту в руки официанта, или используйте бесконтактные платежи — Apple Pay, Android Pay или Samsung Pay, а в подозрительных заведениях — платите наличными.

Вредоносное ПО

Обнаружено более 140 образцов вредоносного ПО, нацеленного на использование уязвимостей Spectre и Meltdown:

Большая часть этих зловредов — опытные образцы, основанные на публично доступных фрагментах кода с демонстрацией уязвимости. Тем не менее, при отсутствии работоспособных патчей для защиты от этих атак в скором времени могут появиться реально работающие вредоносы.

Криптомайнер для macOS OSX.CreativeUpdate распространяется через портал MacUpdate под видом обновлений для Firefox и пакетов Deeper и OnyX.

До момента установки вредоносные «обновления» не отличаются от официальных: имеют расширение .dmg и требуют от пользователя тех же действий.

Вредоносное ПО распространилось по компьютерам пользователей по вине портала MacUpdate. На нем были размещены ссылки на мошеннические сайты с именами, похожими на оригинальные. Например, Firefox загружался с download-installer.cdn-mozilla.net вместо mozilla.net.

Вымогатель Shurl0ckr не обнаруживают встроенные антивирусы Google Drive, Microsoft OneDrive других облачных сервисов.

  1. Shurl0ckr работает по модели «вымогатель-как-сервис» и распространяется через фишинговые рассылки документов MS Office.
  2. Документы загружают вредоносные компоненты с Google Drive или OneDrive.
  3. После запуска вымогатель шифрует файлы пользователя и требует выкуп в биткоинах.

Контролируемый доступ к папкам (CFA) в Windows 10 можно обойти с помощью модифицированных документов MS Office.

Выяснилось, что Microsoft внесла в белый список для папок, защищённых CFA, все приложения Office. В результате документы Office с внедрёнными скриптами могут испортить документы в папке под защитой CFA, защитить эти документы паролем или просто удалить их.

Атаки на изолированные устройства

С помощью техник MAGNETO и ODINI можно похитить данные с физически изолированных устройств, находящихся в «клетке Фарадея».

Клетка или щит Фарадея — замкнутое пространство для предотвращения прохождения электромагнитных полей. Клетка изготавливается из токопроводящего сплошного материала или токопроводящей сетки, обычно заземлённой. Названа по имени изобретателя, английского ученого Майкла Фарадея.

Для использования методов на изолированные компьютеры требуется установить ПО для регулирования нагрузки на ядра процессора, чтобы контролировать излучаемые компьютером магнитные поля.

Регулируя нагрузку на процессор, можно управлять его энергопотреблением, контролируя сгенерированное магнитное поле. Увеличение нагрузки создаст более мощное магнитное поле. Увеличивая и уменьшая ее, можно сгенерировать магнитное поле с нужной частотой и модулировать данные:

Демонстрация атаки MAGNETO:

Демонстрация атаки ODINI:

ODINI позволяет передавать сигнал на расстояние 100-150 см со скоростью 40 бит/с, также требуется специальный датчик для приёма информации.

MAGNETO использует магнитометр обычного Android-смартфона, поэтому эту атаку проще осуществить и сложнее обнаружить.

Криптомайнинг и «умные» устройства

Новый майнинговый ботнет состоит из устройств под управлением Android и распространяется через открытые отладочные порты ADB.

Пополнение ботнета производит вредонос ADB.miner, который сканирует порт 5555 и если он открыт, проникает на устройство и запускает майнинг криптовалюты Monero.

Проблема в аппаратных криптокошельках Ledger может привести к потере всех средств, хранящихся в кошельке.

Из-за недостатков реализации атакующий может осуществить атаку «человек посередине» (man-in-the-middle), когда пользователь генерирует Bitcoin-адрес для перевода криптовалюты на свой кошелек Ledger. В этом процессе задействован компьютер пользователя, который в теории может быть заражен малварью, а значит, злоумышленник может вмешаться в происходящее и подменить код, перенаправив все средства на собственный адрес.

На европейских станциях очистки воды обнаружены майнеры криптовалюты Monero. Заражённые майнером компьютеры работали под управлением Windows XP и использовали ПО Cimplicity SCADA, разработанное GE Digital.

Слабая защита «умных» домашних устройств позволяет злоумышленникам использовать их для майнинга криптовалюты.

Несмотря на небольшую вычислительную мощность отдельного устройства типа умной колонки Google Home или Amazon Echo, их количество постоянно увеличивается, создавая огромный потенциал для использования.

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 26 января по 1 февраля 2018 года.


Андрей Жаркевич
редактор, ИТ-руководитель

Почта, сайты и мессенджеры

Мошеннические ресурсы размещают свои фишинговые страницы в служебных папках «безопасных» сайтов, использующих защищенное HTTPS-соединение:

Страницы с вредоносным содержимым обнаружены в подкаталогах /.well-known/acme-challenge/ и /.well-known/pki-validation/, предназначенных для хранения идентификационных ключей ACME — системы автоматической генерации и установки SSL-сертификатов. Эти каталоги автоматически создаются на сайте в момент выдачи SSL-сертификата и не отображаются при помощи UNIX-команды ls:

Фишинговые страницы, размещенные на таких ресурсах, представляют серьезную опасность, поскольку прикрываются надежным SSL-сертификатом.

Операторы прокси-сервисов в сети Tor крадут деньги, которые жертвы вымогателей перечисляют за расшифровку своих файлов:

Например, операторы сервиса Onion(.)top в процессе передачи данных подменяют адреса Bitcoin-кошельков вымогателей LockeR, Sigma и GlobeImposter на свои. В результате на сайте вымогателя LockeR появилось предупреждение о том, что не следует использовать для перечисления выкупа Onion(.)top:

Выявлена сеть из 28 фальшивых рекламных агентств, которые установили отношения с крупнейшими рекламными платформами и заработали хорошую репутацию.

Для каждой несуществующей организации мошенники придумали фальшивых руководителей и разработчиков, создали им фальшивые личности в социальных сетях, включая профили в LinkedIn и Twitter:

  1. Когда фальшивые организации уже работали в полную силу, злоумышленники начали покупать с их помощью места для размещения вредоносной рекламы на обычных популярных сайтах.
  2. После клика на такой рекламе жертву перенаправляли на промежуточный домен, который изучал и сортировал входящий трафик, а затем отсылали на следующий домен, также принадлежавший мошенникам.
  3. Цепочка дальнейших переадресаций могла вести на сайт фальшивого антивируса, несуществующей технической поддержки или страницу с фальшивыми обновлениями Flash Player.

Криптовалюты

Неизвестный похитил около 4 миллионов долларов США в криптовалюте IOTA с помощью фишингового сайта:

  1. Зарегистрировав домен iotaseed.io, он разместил там онлайн-генератор ключей для IOTA.
  2. С помощью рекламы сайт поднимался в поисковой выдаче Google.
  3. Для повышения уровня доверия пользователя сайт был привязан к репозиторию GitHub, но фактически, на сайте работала модифицированная версия программы, которая отправляла генерируемые ключи к мошеннику:

Накопив достаточное количество ключей, хакер получил доступ к кошелькам пользователей и перевел средства себе.

JavaScript-бэкдор в коде сайта незаметно загружался под видом изображения.

Вредоносное ПО

Шифровальщик GandCrab требует выкуп в криптовалюте DASH и распространяется через эксплойт-пак RIG.

RIG обеспечивает скрытую установку вредоносного ПО сразу через несколько уязвимостей.

После установки GandCrab обращается к удаленным командным серверам в доменной зоне .BIT, которая использует альтернативную систему доменных имён, основанную на технологии блокчейн. Сервера в этой зоне не зависят ни от какого государства и не могут быть заблокированы правоохранительными органами. Имена серверов в основном совпадают с наименованиями известных веб-ресурсов и ИТ-компаний:

  • bleepingcomputer.bit — по названию популярного ИБ-портала;
  • nomoreransom.bit — сайт «Лаборатории Касперского», посвященный борьбе с шифровальщиками.

Связавшись с командными сервером, GandCrab шифрует файлы Excel, Word, Thunderbird, MySQL и другие и оставляет сообщение с предложением расшифровать файлы за выкуп в 1,54 DASH — около 1200 долларов США:

Заплатить выкуп и бесплатно расшифровать один файл можно на сайте вымогателей:

Вредонос WannaMine использует набор уязвимостей EternalBlue, но вместо шифрования данных занимается майнингом криптовалюты Monero.

WannaMine использует для внедрения на компьютер жертвы несколько способов, включая фишинг и вредоносные веб-сайты. Попав на систему пользователя, зловред использует Powershell и WMI для получения учётных данных пользователя, после чего запускает майнер и пытается распространиться на все доступные компьютеры.

Scarabey, новая версия шифровальщика Scarab, распространяется через фишинговые письма и убеждает пользователя заплатить выкуп, угрожая удалять 24 файла каждые 24 часа.

Зашифровав все файлы, Scarabey выводит вымогательское сообщение, которое переведено на английский с помощью Google Translate и содержит много ошибок.

Несмотря на угрозы, код вредоноса не содержит функций удаления файлов. Преступники запугивают своих жертв, чтобы они быстрее заплатили выкуп.

Умные устройства

«Тревожные кнопки», которые должны помогать пользователям защищать себя, легко обнаружить и вывести из строя.

«Тревожная кнопка» — простое IoT-устройство, которое нужно носить с собой и в случае опасности, незаметно нажать на него. После этого устройство соединяется через Bluetooth со смартфоном и передаёт доверенному лицу сигнал об опасности с местоположением пользователя кнопки.

Использование Bluetooth приводит к тому, что кнопку можно не только обнаружить, но и отключить с помощью DoS-атаки по этому протоколу.

ЦБ РФ предупреждает, что мошенники всё чаще используют фальшивые банкоматы с модифицированным ПО для сбора данных карт и PIN-кодов.

Особенно остро проблема может проявиться во время чемпионата мира по футболу, когда в городах проведения соревнований будет массовый наплыв туристов:

Вернуть средства, похищенные с помощью фальшивого банкомата, практически невозможно, поскольку если банкомат ничей, то и претензии предъявлять некому.

— исполнительный директор HEADS Consulting Никита Куликов

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Ctrl + ↓ Ранее