Блог компании Антифишинг

как поведение людей влияет на безопасность

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 10 по 16 ноября 2017 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Главная новость

В редакторе формул, входящем в состав MS Office, обнаружены ошибки переполнения буфера, которые эксплуатируются через внедрение в документ вредоносных OLE-объектов и позволяют выполнить на машине произвольный код, в том числе скачать и запустить на компьютере пользователя любой файл с удаленного сервера:

Эксплоит работает для любых версий Microsoft Office, включая Office 365, и для всех версий Microsoft Windows, вышедших за последние 17 лет. Проблеме подвержены 32- и 64-разрядные архитектуры. Эксплойт не нарушает работы самого Microsoft Office, от пользователя требуется только открыть офисный документ.

Видео: атака в действии на примере разных версий Office и Windows

Антифишинг рекомендует пользователям:

  • Не скачивать и не открывать офисные документы от неизвестных отправителей.
  • Прочитать про защищенный режим MS Office и не отключать этот режим, если неизвестный файл все же был открыт.

Администраторам и ИТ-специалистам:

  • Отключить уязвимый компонент на уровне реестра:
reg add “HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-
0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400
  • либо
reg add “HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\
{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400

Сайты, мессенджеры и почта

Вредонос Ordinypt атакует пользователей из Германии с помощью фишинговых писем:

Письма содержат ответ на открытую вакансию и два вложенных файла — резюме в zip-архиве и фото соискательницы. На самом деле в архиве находятся два исполняемых файла EXE с двойными расширениями, замаскированные под файлы PDF:

Ordinypt переписывает случайно выбранные файлы и требует выкуп за приведение их в изначальный вид, однако как выяснилось, это не вирус-вымогатель, а вайпер, замаскированный под шифровальщик, и его главная цель — уничтожить файлы пользователей, чтобы саботировать работу ряда немецких компаний.

По данным исследования Google, фишинг является самым опасным видом атак, жертвами которого с марта 2016 по март 2017 года стали около 12,4 млн. человек:

При этом данные, похищенные в ходе фишинговых атак, успешно используются злоумышленниками почти в четверти случаев.

Кадровая информация одной из крупнейших в мире нефтегазовых компаний оказалась в открытом доступе из-за ошибки бесплатного онлайн-сервиса Translate.com. Через поисковик Google интернет-пользователи могли найти сообщения об увольнении, планы по аутсорсингу, контракты, пароли и прочие данные Statoil.

Бесплатные сервисы онлайн-перевода сохраняют загруженные данные для  обучении своих систем и не гарантируют сохранения конфиденциальности этой информации. Корпоративные пользователи, как правило, не задумываются об этом и спокойно загружают в онлайн-переводчики клиентские презентации, договоры и другие материалы, содержащие сведения ограниченного распространения.

Вредоносное ПО

Расширение Browse-Secure для Chrome рекламируется как инструмент, гарантирующий своим пользователям безопасный, зашифрованный и анонимный поиск, но на самом деле похищает данные из аккаунтов LinkedIn и Facebook и передает их на удаленный сервер:

Browse-Secure распространяется на различных сайтах по стандартной мошеннической схеме: пользователю показывают фальшивое сообщение о проблемах с безопасностью и рекомендуют срочно загрузить расширение, которое все исправит:

После установки расширение связывается с управляющим сервером, передаёт туда идентификационные данные браузера пользователя, после чего собирает сведения из его профилей в соцсетях и направляет на тот же управляющий сервер. Собранные данные могут использоваться для фишинговых атак и рассылки спама.

Вместе с безобидными скриптами, предупреждающими об использовании cookie, распространялся криптовалютный майнер.

Вредоносный код Monero-майнера Crypto-Loot был обнаружен в следующих скриптах:

После сообщения о наличии вредоносного кода майнер исчез из кода скриптов.

Обнаружена первая Android-малварь, которая на практике использует механизм Toast Overlay. Вредонос получил имя ToastAmigo и был найден в составе двух приложений в официальном каталоге Google Play. Оба вредоносных приложения назывались Smart AppLocker и позволяли задать PIN-код для запуска отдельных программ на устройстве.

После запуска приложения ToastAmigo инициировал атаку с использованием всплывающих уведомлений, отображая огромное уведомление, закрывающее весь экран и демонстрирующее фальшивый интерфейс приложения. На самом деле под этой фальшивкой скрывались запросы на получение доступа к Android Accessibility. Обманутые пользователи полагали, что нажимали на кнопки интерфейса, но на самом деле лишь выдавали новые права вредоносной программе.

Если атака удавалась, ToastAmigo устанавливал на устройство AmigoClicker — адварь, которая устанавливает прокси и загружает рекламу, принося доход своим операторам. Кроме того AmigoClicker собирает информацию об аккаунтах Google, нажимает на кнопки в системных диалогах, скликивает рекламу в Facebook и оставлять о себе положительные отзывы в Google Play.

Умные устройства

Cистему безопасности FaceID, реализованную в iPhone X, удалось обмануть с помощью самодельной маски:

Маска состояла из распечатанных двухмерных изображений глаз, сделанного вручную силиконового носа и других частей лица, а также каркаса, распечатанного на популярном 3D-принтере. Кроме того, для обмана системы щеки и область вокруг лица подверглись «специальной обработке». В общей сложности на создание маски специалисты потратили порядка $150.

Специалисты продемонстрировали удалённый взлом самолёта Boeing 757, используя типовое оборудование, которое можно пронести на борт воздушного судна. Детали взлома засекречены, но известно, что взлом потребовалось около двух дней, в течение которых самолёт находился на земле, а для проведения атаки использовалось радиочастотное оборудование.

Приложение Lovense Remote для управления умными секс-игрушками гонконгского производителя Lovense записывает звуки происходящего во время использования интимного гаджета и сохраняет полученные аудиофайлы в формате 3gp в локальной директории смартфона или планшета.

Во время установки Lovense Remote действительно запрашивает доступ к микрофону и камере устройства, однако эти права якобы нужны приложению для работы встроенного чата и для использования голосовых команд.

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 3 по 9 ноября 2017 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Сайты, мессенджеры и почта

Фальшивый WhatsApp загрузили из Google Play более миллиона раз. Внешне подделка мало отличалась от оригинальной версии мессенджера для Android и называлась Update WhatsApp Messenger.

Чтобы выдать себя за разработчиков WhatsApp Inc, злоумышленники использовали Unicode-символ невидимого пробела на конце имени разработчика приложения:

Фальшивка запрашивала только доступ к интернету и использовалась как рекламная «обертка», загружающая дополнительный APK whatsapp.apk. При этом приложение пряталось от пользователя после установки с помощью пустой иконки и отсутствия названия.

Злоумышленники используют приемы чёрной SEO-оптимизации для распространения банковского трояна Zeus Panda.

На большом количестве взломанных сайтов размещаются скрытые страницы, содержащие подобранные ключевые слова. Аналогичные ключи внедряются в существующие страницы. В результате Google присваивает этим страницам высокий рейтинг, и вредоносные сайты оказываются наверху поисковой выдачи по запросам, связанным с личными финансами и банковским обслуживанием.

Когда пользователи попадают на такие сайты из поисковика, в браузере срабатывает вредоносный JavaScript, который переадресует жертв на несколько других ресурсов. В конце их ждет зараженный документ MS Word:

Вредоносное ПО

Злоумышленники распространяют модифицированную версию Windows Movie Maker и собирают с доверчивых пользователей деньги за покупку фальшивой лицензии.

Для распространения используется сайт windows-movie-maker.org, выведенный в топ Google по поисковым запросам «Movie Maker» и «Windows Movie Maker». На руку мошенникам играет популярность приложения, поддержку которого Microsoft прекратила в начале 2017 года.

Фальшивый веб-сайт выглядит вполне убедительно:

После установки и запуска приложение выдает сообщение о триальном периоде и предлагает оплатить $29,95 за лицензию со скидкой.


Разумеется, средства просто поступают к мошенникам, поскольку оригинальный MovieMaker — бесплатное приложение.

Умные устройства

Встроенный http-сервер в некоторых моделях принтеров Brother содержит уязвимость CVE-2017-16249, которую можно использовать для DoS-атаки на устройство. Специально подготовленный запрос HTTP POST заставляет веб-сервер надолго задуматься, а пока идёт обработка запроса, ни принтер, ни веб-интерфейс не работают.

Китайские клавиатуры Mantistek GK2 Mechanical Gaming Keyboard собирают нажатия клавиш пользователя и передают их на сервер, принадлежащий Alibaba Group.

Позже выяснилось, что протоколируются не все нажатия на клавиши. Вместо этого утилита Cloud Driver из комплекта поставки клавиатур считает, сколько раз была нажата каждая клавиша.

Компания Logitech уведомила пользователей хабов Harmony Link о том, что в связи с окончанием срока одной из лицезий на технологию, использованную в устройстве, все гаджеты будут автоматически выведены из строя, поскольку продлять лицензию компания не планирует.

После массового возмущения пользователей на официальных форумах поддержки Logitech компания внесла словосочетание «групповой иск» (class action lawsuit) в фильтр бранных слов.

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 27 октября по 2 ноября 2017 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Сайты, мессенджеры и электронная почта

Обнаружена новая целевая атака, большая часть жертв — российские банки, также заражение обнаружено в финансовых организациях Армении и Малайзии.

Вектор проникновения банковские сети — электронные письма с вредоносными вложениями:

  1. Во вложении к письму находится файл формата CHM (Microsoft Compiled HTML Help — проприетарный формат справочных файлов Microsoft). По сути, это набор HTML-страниц, упакованный в сжатом виде в один файл.
  2. Когда жертва открывала вредоносное вложение, автоматически исполнялся вложенный в CHM start.htm. Этот файл содержит вредоносный Javascript, в задачах которого была загрузка и запуск обфусцированного VBS-скрипта, который в свою очередь загружал файл-дроппер основной вредоносной программы:

Также атакующие используют инфраструктуру уже зараженных финансовых учреждений, рассылая новым жертвам вредоносные сообщения с реально существующих электронных адресов, что существенно повышает шансы на заражение.

Обнаружена фишинговая кампания, в которой злоумышленники крадут у пользователей логины и пароли от Facebook или YouTube:

  1. Пользователь получает сообщение в Facebook Messenger.
  2. Сообщение содержит превью, которое выглядит как ссылка на YouTube-видео с соответствующей картинкой и адресом youtube.com.
  3. При переходе по ссылке жертва попадает на фишинговую страницу, где ей предлагают ввести данные для входа в Facebook или YouTube.
  4. Если жертва вводит данные, злоумышленники получают контроль над учётной записью:

Атака строится на том, что информацию для составления превью бот Facebook берёт не с сайта по ссылке, а из метаданных OpenGraph og:url, og:image и og:title.

Проверка на соответствие og:url и оригинального домена не производится, поэтому ссылка и превью, которые выглядят как YouTube-ролик, могут вести на другой сайт:

Видео с демонстрацией атаки:

Вредоносное ПО

Шифровальщик ONI, атакующий японский бизнес, оказался прикрытием — вайпером, с помощью которого киберпреступники скрывают следы предшествующих проникновений:

  1. Первая атака начинается с фишинговых писем, содержащих запароленный архив с заражённым документом MS Office.
  2. Используя социальную инженерию, мошенники заставляют пользователя распаковать архив и открыть документ.
  3. При этом выполняется сценарий VBScript, который загружает Ammyy Admin — программу для удалённого управления, которая не является вредоносной, но часто используется киберпреступниками:

С помощью Ammyy Admin преступники внедряются в систему, выполняют вредоносные действия.

На завершающей стадии атаки мошенники запускают ONI, который шифрует файлы и требует выкуп. Но настоящая цель — скрыть следы основной атаки.


Требование выкупа ONI, который шифрует главную загрузочную запись.

Криптовалюты

Троян CryptoShuffler крадёт криптовалюту из кошельков пользователей очень эффективным способом. Он не загружает модули из интернета, ничего никуда не отправляет и совершенно не тормозит работу системы. Вместо этого он наблюдает за буфером обмена и обнаружив там номер криптокошелька, подменяет его на собственный. В результате перевод уходит злоумышленникам вместо настоящего адресата.

За время работы мошенники уже похитили 23 биткоина — около $150 000 по текущему курсу.

На официальном сайте D-Link обнаружен Javascript-майнер криптовалюты Monero:

На видео: при каждом открытии страницы загружался отдельный домен со скрытым элементом iframe, содержащем скрипт для майнинга в браузере пользователя.

После того, как исследователи уведомили D-Link об инциденте, компания полностью отключила web-сайт и начала перенаправлять пользователей на американскую версию ресурса (us.dlink.com).

Киберпреступники используют для майнинга не только браузеры на обычных компьютерах, но и Android-смартфоны: в составе трёх приложений для Android обнаружены майнинговые скрипты.



Приложения Recitiamo Santo Rosario Free и SafetyNet Wireless App были свободно доступны в официальном каталоге Google Play. Проверки безопасности Google не сумели выявить фоновый запуск майнера с помощью WebView.

Умные устройства

Уязвимость в приложении LG SmartThinQ, при помощи которого пользователи могут управлять различными устройствами, включая плиты, кондиционеры, посудомоечные и стиральные машины, позволяет скомпрометировать инфраструктуру «умных» домов, где используются решения LG.

Атакующий может скомпрометировать процесс аутентификации между SmartThinQ и бэкэндом LG и перехватить управление аккаунтом пользователя, а вместе с ним и контроль над всеми IoT-девайсы, привязанными к этому профилю. Получив контроль, можно спровоцировать перегрев духовки, изменить температуру в помещении или следить за жертвой через камеры, встроенные в «умные» устройства.

Демонстрация атаки:

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Ctrl + ↓ Ранее