Блог компании Антифишинг

как поведение людей влияет на безопасность

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 6 по 12 октября 2017 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Мобильная безопасность

Операционная система iOS имеет особенность, которая позволяет разработчикам приложений создавать диалоговые окна, неотличимые от  системных запросов паролей от iCloud, iTunes или GameCenter:


Мошенники могут не знать email-адрес жертвы, поскольку настоящие запросы могут выглядеть вот так:

Чтобы защититься от кражи пароля, просто нажмите кнопку «Home»:

  • если диалоговое окно закроется вместе с программой, значит вы стали жертвой фишинговой атаки;
  • если диалог останется на экране — всё в порядке, это системный запрос.

Не вводите ваши данные в диалог, вместо этого откройте настройки вручную. Помните, что даже если вы нажмете кнопку «Отмена» после ввода пароля, мошенническое приложение всё равно получит введенные данные.

Сайты, мессенджеры и почта

Злоумышленники использовали сайт Pornhub для раздачи троянца-кликера Kovter через вредоносную рекламу.

  • Атака начинается с редиректора, размещенного на advertizingms[.]com, который перенаправляет посетителя на сайт в KeyCDN — крупной сети доставки контента.
  • Здесь регистрируются тип браузера и географическое местоположение потенциальной жертвы.
  • Затем вредоносная реклама «доставляет» страницу, содержащую сильно обфусцированный вредоносный JS-файл:

Мошенники используют элементы социальной инженерии, чтобы склонить пользователей к установке фальшивых обновлений, которые объявляются при заходе на страницу с вредоносной рекламой. Если пользователь запустит фальшивый файл «обновления», то даже не заметит перемены в системе, а зловред тем временем запустит скрытый процесс браузера и начнет кликать по рекламным объявлениям, умножая доходы злоумышленников.

Пользователи компьютеров Apple могут стать жертвами фишинговой атаки, которая распространяется под видом официального уведомления от службы технической поддержки Apple по электронной почте и через сайты:

Пользователя пугают, что его компьютер содержит вирусы или критические уязвимости и предлагают запустить процедуру сканирования компьютера.

Если пользователь соглашается, на его компьютер загружается мошенническое «обновление» для Adobe Flash Player.

На момент выпуска ссылка на загрузку вредоноса уже недоступна.

WhatsApp содержит уязвимость, которая позволяет шпионить за пользователями. Для ее эксплуатации достаточно обладать минимальными техническими навыками, а принять какие-либо меры для защиты от слежки невозможно.

Проблема связана с функциями, отображающими online-статус пользователя и время, когда он в последний раз заходил в сеть. Отключить эту функцию невозможно.

Если собрать и проанализировать данные о входе в Сеть за определенный период, можно многое узнать о пользователя, в частности, когда он ложится спать, сколько спит и когда просыпается.

Сопоставив данные разных контактов, можно выявить закономерности, позволяющие определить, кто, с кем, когда и как долго общался.

В ходе фишинговой кампании FreeMilk хакеры перехватывают электронную переписку для последующего распространения вредоносного ПО в корпоративных сетях. При этом фишинговые сообщения выполнены настолько профессионально, что у жертв не возникает сомнений в подлинности писем.

  1. На основании перехваченной переписки целевого объекта жертву пытаются заставить установить вредоносное ПО из якобы доверенного источника.
  2. Для заражения используется уязвимость CVE-2017-0199 в Microsoft Office, позволяющая удаленно выполнить код и получить полный контроль над зараженной системой путем хищения учетных данных.
  3. В случае успешной атаки на целевую систему устанавливается вредонос PoohMilk, который загружает и запускает шпионское ПО Freenki.
  4. Freenki собирает на зараженном компьютере информацию об имени пользователя и компьютера, MAC-адрес и данные о запущенных процессах, а также может загружать дополнительное вредоносное ПО.
  5. Собранные сведения отправляются на управляющий сервер злоумышленников.

Пользователи Outlook, отправлявшие зашифрованные письма с помощью S/MIME, оказались жертвами программной ошибки, из-за которой к зашифрованным письмам прилагались их незашифрованные копии. В результате атакующий, перехватывающий трафик жертвы, мог с легкостью прочесть якобы защищенные шифрованием послания.

Открытый текст письма добавлялся только к отправленным письмам, которые были

  • зашифрованы при помощи S/MIME;
  • написаны в формате простого текста;
  • отправлены через Outlook в связке с SMTP, то есть послания были открыты всей цепочке серверов на пути к получателю.

Умные устройства

Умная колонка Google Home Mini может самопроизвольно включаться, записывать происходящее вокруг и отправлять запись на серверы Google.

Google Home Mini имеет сенсорную поверхность, и для того, чтобы дать команду устройству, пользователь может либо сказать «ОК Google», либо назначить специальное кодовое слово, либо нажать на устройство и удерживать нажатие в течение какого-то времени.

Некоторые устройства имеют дефект сенсорной панели, из-за которого регистрируют касания, которых на самом деле не было.

Демонстрация самопроизвольного включения колонки:

Вредоносное ПО

Из Chrome Web Store удалили расширение, которое выдавало себя за популярный блокировщик рекламы AdBlock Plus. Подделка не просто не блокировала рекламу, но открывала в браузере новые вкладки с рекламой. До удаления расширение успели установить более 37 000 человек.

Причина появления вредоноса в каталоге в том, что Google автоматизировала процесс загрузки расширений и позволяет разработчикам загружать расширения с такими же именами, как у других продуктов:

Майнинговый скрипт для добычи криптовалюты Monero от сервиса Coinhive вернулся на страницы популярного торрент-трекера The Pirate Bay. В результате, после захода на страницу трекера загрузка процессора на компьютере посетителя возрастает до 100%.

В погоне за легким заработком операторы сайтов и злоумышленники не дают возможности отключить майнер. Из-за этого многие ИБ-эксперты и компании рассматривают такие скрипты как вредоносное ПО, а компания Cloudflare уже перешла к активным действиям и стала блокировать такие ресурсы.

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 29 сентября по 5 октября 2017 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Вредоносное ПО

Новый троян похищает пользовательские данные у клиентов бразильских банков, используя легальный файл от VMWare:

  • Троян распространяется через спам-рассылки, написанные на португальском языке.
  • Вложение замаскировано под счет платежной системы Boleto — один из самых популярных методов оплаты в Бразилии:

  • Если получатель кликает по ссылке из вложенного HTML-файла, он попадает на цепочку редиректов — сначала на укороченный URL goo.gl, затем к архиву с JAR-файлом, который и устанавливает вредонос.
  • Тот, в свою очередь, готовит рабочую среду для основного ПО, самостоятельно догружает и переименовывает дополнительные файлы с удаленного сервера.
  • На следующем этапе троян запускает легальный файл от VMware, и с его помощью загружает нужную вредоносную библиотеку. Подлинность файла подтверждена цифровой подписью, и антивирус автоматически разрешает файлу загрузить все нужные библиотеки:

  • Вредоносная библиотека поражает explorer.exe или notepad.exe.
  • Основной троянский модуль завершает работу процессов taskmgr.exe (диспетчер задач), msconfig.exe (настройка Windows), regedit.exe (редактирование реестра) и добавляет себя в список автозагрузки.
  • Когда на рабочем столе открывается окно с названием одного из крупных бразильских банков, троян перехватывает логин и пароль.

Необычный сетевой червь ворует пароли пользователя и устанавливает на компьютер майнер криптовалюты Monero. Зловред использует для заражения сложный процесс с использованием уязвимостей Windows и работает без записи файлов на диск:

  1. Проникновение червя начинается с фишингового письма, содержащего вредоносный файл 1.bat.
  2. При запуске 1.bat с китайского сервера запускается дроппер info6.ps1 — сильно обфусцированный скрипт PowerShell, состоящий из трех модулей:
  • Первый похищает пароли пользователя
  • Второй содержит набор утилит для деобфускации, сканирования локальных сетей, активации эксплойтов и загрузки и запуска майнера.
  • Третий модуль представляет собой набор эксплойтов EternalBlue.

Киберпреступникам удалось похитить данные банковских карт клиентов сети ресторанов быстрого питания Sonic. Компания, ведущая свой бизнес в 45 американских штатах, не уточняет количество пострадавших, но на подпольных торговых площадках предлагалась база данных по картам посетителей Sonic, содержащая около 5 млн. записей.

Причиной утечки стало вредоносное ПО, которое злоумышленники внедрили в POS-терминалы сети.

Мобильная безопасность

iOS-приложения могут составить историю перемещений пользователя на основе метаданных из фотографий. Если приложению разрешен доступ к галерее изображений пользователя, оно может считывать все метаданные изображений из EXIF-тегов и получить информацию о точном месте, где была сделана фотография, скорости съемки, модели камеры, дате, времени и другие сведения:

  
Steps to Reproduce:
1. Ask the user for permission to access photo library
2. If approved, get a list of all the past locations using
```objective-c
PHFetchResult *photos = [PHAsset fetchAssetsWithMediaType:PHAssetMediaTypeImage options:nil];
    
for (PHAsset *asset in photos) {
    if ([asset location]) {
        // Access the full location, speed, full picture, camera model, etc. here
    }
}
```
3. Use that data to get a great understanding of what the user does

Умные устройства

Эксперт по кибербезопасности Джейсон Хьюз взломал прошивку автомобиля Tesla Model S P85 и установил на неё автопилот и софт от двухмоторных версий Tesla. Мощность двигателя при этом выросла с 416 до 570 л.с.

Взломанную версию Хьюз выставил на продажу по цене втрое выше оригинальной, объясняя это уникальностью данного автомобиля.

Демонстрация работы взломанной версии:

Хакеры могут подключиться к «умным» секс-игрушкам и управлять ими. Для связи со смартфонами секс-гаджеты используют уязвимые реализации протокола Bluetooth и пин-коды типа 0000 или 1234:

Помимо управления, злоумышленники получают доступ к личным данным владельца устройства, включая частоту и географические координаты его использования.

Сайты, мессенджеры и почта

Доверять публикациям в интернете становится всё более опасно: киберпреступники предлагают услугу «фальшивые новости как сервис». В рамках услуги команда копирайтеров и специалистов по маркетингу в соцсетях сочиняет и распространяет фальшивые новости, посвящённые какой-то конкретной теме. При этом расценки на услуги достаточно гуманные. Например, 1 000 000 просмотров видеоролика на YouTube можно купить за 1000 долларов.

Попытки фейсбука и гугла отслеживать корректность новостей пока не увенчались успехом.

Полное исследование (ПДФ).

Криптовалюты

Жители Обнинска стали жертвами мошенников, которые предлагали пластиковые монеты под видом биткоинов.

Пластиковые подделки предлагались по цене в 1000 ₽ за одну «монету». Продавец заверял покупателей, что криптовалюта постоянно дорожает и уже в ноябре можно будет заработать несколько тысяч рублей на колебании курса.

Позже выяснилось, что к продаже предлагались сувенирные пластиковые монетки, продающиеся на AliExpress за €1.

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 22 по 28 сентября 2017 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Сайты, мессенджеры и почта

Злоумышленники могут незаметно узнать, что именно вводит в адресную строку браузера пользователь: поисковые запросы, адреса сайтов в интернете и внутренних сетях. Чтобы использовать уязвимость, злоумышленникам достаточно добавить в HTML-тег object любого объекта на странице скрипт, который заставит его считать себя окном верхнего уровня, а своим адресом — адрес открытой веб-страницы, и затем передавать этот адрес кому угодно:

Когда пользователь переходит по ссылке или вводит в адресную строку URL или поисковый запрос, зараженный объект успевает передать новый адрес своим хозяевам. Заметить происходящее пользователь не может.

Видео с демонстрацией уязвимости:

Для внедрения скрипта даже не обязательно взламывать сайт: проще всего встроить его в объекты, остающиеся под контролем сторонних по отношению к сайту лиц, например в рекламные баннеры.

Специалисты Антифишинга сообщают о новых атаках, направленных на пользователей Авито:

  1. От имени администрации сайта мошенники присылают письмо с предложением участвовать в «опросе пользователей».
  2. В качестве бонуса заявляется возможность выиграть до 5 000 долларов США.
  3. При переходе по ссылке пользователю сообщают о том, что он может вывести почти пловину этой суммы.
  4. Для вывода ему нужно открыть «транзитный счет», а для этого предлагается заплатить мошенникам порядка 85 рублей.
  5. Мошенники используют ощущение срочности — добавляют таймер на страницу, с которой нужно «вывести деньги».

Эксперты предупреждают об участившихся случаях взлома банкоматов через удалённое проникновение в банковскую ИТ-инфраструктуру:

  1. Мошенники отправляют в банк мошенническое электронное письмо.
  2. Вредоносное ПО из письма похищает учётные данные администраторов и помогает проникнуть в сеть.
  3. Получив доступ к управлению банкоматами, преступники выдают себе наличные.

Пример реализованного сценария атаки с тем же первичным вектором проникновения:

Новые спам-рассылки содержат требование выкупа под угрозой DDoS-атаки:

В письме получателя предупреждают, что 30 сентября на его ресурсы будет проведена DDoS-атака; если он не уплатит выкуп в размере 0,2 биткойна (порядка 720 долларов), его сайт падет, и придется заплатить значительно больше, чтобы остановить атаку.

Мобильная безопасность

Опубликован эксплойт, который позволяет получить удаленный контроль над W-Fi-чипом iPhone 7. Эксплойт использует уязвимость в прошивке, которая затрагивает чип Wi-Fi SoC (System on Chip) американской компании Broadcom. Эксплоит не требует участия пользователя и может использоваться для атак на владельцев устройств при попытке подключения к подконтрольной злоумышленникам Wi-Fi-сети.

Рекомендуем всем пользователям iPhone 7 обновиться до IOS 11.

Новая модификация мобильного банковского троянца Svpeng записывает нажатия клавиш на устройстве, эксплуатируя функции Android для людей с ограниченными возможностями:

  1. Троянец распространяется через вредоносные веб-сайты под видом фальшивого Flash-плеера.
  2. После активации Svpeng запрашивает права доступа к функциям для людей с ограниченными возможностями.
  3. Вместе с ними он приобретает много дополнительных привилегий: например, получает доступ к интерфейсу других приложений и возможность делать скриншоты экрана каждый раз, когда на виртуальной клавиатуре набирается символ.
  4. Некоторые приложения, в частности банковские, запрещают делать скриншоты во время своего отображения на экране. В таких случаях троянец выводит поверх приложения собственное фишинговое окно, куда пользователь и вводит данные, однако получают их уже киберпреступники.

Троянец атакует приложения нескольких ведущих банков Европы.

Вредоносное ПО

Шпионское ПО FinFisher может включать камеру и микрофон, перехватывать нажатия клавиш, похищать файлы, «подслушивать» звонки через Skype и совершать другие действия на зараженной машине. FinFisher распространяется через целевой фишинг, 0-day эксплоиты, drive-by-загрузки со взломанных сайтов.

Новая версия шпиона использует для распространение интернет-провайдеров:

Компании-провайдеры могут контролировать трафик своих клиентов и используют эту возможность для осуществления подобных MitM-атак. Когда пользователь пытается скачать определенную программу, его незаметно переадресуют на вредоносную версию этого ПО, содержащую FinFisher. Для этого провайдеры используют HTTP 307 Temporary Redirect, подменяя популярные приложения — WhatsApp, Skype, Avast, WinRAR, VLC Player и многие другие:

Возможным инструментом, с помощью которого это делается, является FinFisher ISP, информация о нем была опубликована в WikiLeaks.

Новый криптолокер RedBoot для Windows не только шифрует файлы, но и перезаписывает главную загрузочную запись (MBR) и модифицирует таблицу разделов диска без возможности восстановления.

Вымогатель скомпилирован в исполняемый файл с помощью программы AutoIt. При исполнении он извлекает пять файлов, необходимых для замены MBR и выполнения шифрования: boot.asm, assembler.exe, main.exe, overwrite.exe и protect.exe. Последний, как следует из имени, предназначен для блокировки программ, которые можно использовать для анализа или принудительного завершения процессов RedBoot, — в частности, диспетчера задач и менеджера процессов.

За поиск файлов и их шифрование отвечает компонент main.exe. Он шифрует исполняемые файлы, dll, файлы данных, добавляя к итоговому имени расширение .locked. После этого система перезагружается, но вместо экрана Windows жертва видит сообщение с требованием выкупа, идентификатором и почтовым адресом, на который следует отправить этот ID.

Вымогатель nRansom требует выкуп в виде интимных фотографий жертвы:

Вредонос предлагает жертве получить код разблокировки после отправки на адрес Proton Mail не менее 10 откровенных фото. В выводимом на экран сообщении также утверждается, что эти фото будут подвергнуты проверке на достоверность, а затем проданы в Дарквебе.

nRansom лишь препятствует доступу к рабочему столу, файлы он не шифрует. Кроме того, вредонос содержит много ошибок и явно не предназначен для широкого использования. Адрес, указанный в требовании выкупа, уже заблокирован.

«Умные» устройства

Через уязвимости программного обеспечения можно получить контроль над устройствами для управления энергопотреблением. Такой метод атаки получил название CLKSCREW.

В основе CLKSCREW лежит провоцирование/создание аппаратных ошибок (differential fault attack, DFA). Атака предполагает сопоставление работы аппаратного обеспечения в нормальном режиме и на предельных мощностях. Для обхода систем безопасности требуется изменить в этих данных один байт.

Во время атаки CLKSCREW устройство считывает вредоносный контент из интернета. Программа взаимодействует с драйверами устройства и модифицирует настройки напряжения и частоты, обеспечивая необходимые для DFA стрессовые условия работы устройства.

Видео с докладом о структуре атаки:

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Ctrl + ↓ Ранее