Представляем новости об актуальных технологиях фишинга и других атаках на человека c 9 по 15 июня 2017 года.

Андрей Жаркевич
редактор, руководитель службы ИТ

Специалисты «Антифишинга» сообщают о новом мошенничестве в социальных сетях. Через взломанный аккаунт мошенники рассылают сообщения с просьбой помочь прочесть якобы «переадресованные» СМС:

Такой контекст позволяет мошенникам выведать у жертвы содержимое любых СМС, которые придут на ее номер.

Это могут быть одноразовые коды для восстановления паролей от интернет-банка, почты, аккаунтов в социальных сетях или других сервисах.

Смартфоны и мобильная безопасность

Многие популярные программы из магазина приложений Apple являются подделками и зарабатывают сотни тысяч долларов для своих разработчиков с помощью встроенных в приложения покупок и подписок стоимостью по 100 долларов в неделю:

Рекомендуем проверить и при необходимости отменить все лишние подписки в вашем Apple ID

Чтобы подписаться, достаточно приложить палец к сенсору Touch ID в неподходящий момент.

Семьдесят пять Android-приложений содержали код вредоносной программы AdDown, которая отображала рекламу, собирала персональные данные пользователей и в некоторых случаях скрыто устанавливала дополнительные приложения. За два года приложения установили миллионы пользователей:

Присутствие вредоносного кода в таком большом количестве приложений объясняется тем, что вредоносное ПО распространялось под видом комплекта средств разработки.

Сайты, мессенджеры и почта

Фишинговая атака с применением бесфайлового зловреда FIN7 направлена на рестораны США.

1. Жертва получает целевое фишинговое письмо под видом заказа на обслуживание, к которому приложен RTF-документ.
2. При открытии файла жертва видит документ Word с крупной пиктограммой конверта, на котором написано «Активируйте содержимое двойным кликом».
3. Заражение происходит, когда жертва дважды кликает на пиктограмму, а затем подтверждает появившийся диалог с предупреждением о том, что содержимое «собирается запустить скрытую программу» и «может нанести вред вашему компьютеру»:

При двойном клике запускается обфусцированный JavaScript-код, который ожидает минуту, создает и запускает PowerShell-скрипт, который в свою очередь инициирует загрузку и сборку шелл-кода прямо в памяти из текста ответов на специально составленные DNS-запросы. Все вместе это занимает несколько минут, но показывает высокий уровень технической квалификации разработчиков вредоносной программы и позволяет успешно обойти многие антивирусы.

Университет Южного Орегона перевёл мошенникам 1,9 млн. долларов после получения фальшивого письма «от подрядчика» с уведомлением об изменении банковских реквизитов. Письмо содержало адрес отправителя с близким по написанию доменом: вместо abcbuilders.com — abc-builders.com, зарегистрированный злоумышленниками. Бухгалтерия оплатила счёт, и лишь намного позже выяснилось, что университет стал жертвой обмана.

«Умные» устройства

Автомобили Mazda с информационно-развлекательной системой Mazda MZD Connect можно взломать с помощью USB-флешки. Владельцы Mazda используют эту уязвимость с 2014 года для кастомизации информационно-развлекательной системы, установки новых настроек и приложений.

Любой желающий может скачать набор скриптов, загрузить их на USB-флешку, подключить её к машине и выполнить вредоносный код.

MZD Connect сделана на базе UNIX, поэтому можно создать скрипты для более серьезных атак. К примеру, исследователь считает, что его инструмент идеален для повторного включения SSH, который был отключен в одном из недавних обновлений MZD Connect.

Атаки полностью автоматизированы, не нужно никакого взаимодействия с пользователем, достаточно просто вставить флешку в USB-порт машины.
— Джей Турла (Jay Turla), специалист по безопасности

Цветные лазерные принтеры внедряют в распечатки неразличимые взглядом «водяные знаки» — паттерн из крошечных желтых точек, которые являются уникальной «подписью» принтера и помогают установить, где, когда и на каком устройстве был распечатан документ.

Вредоносные программы

Вредоносные программы MacSpy и MacRansom для Mac распространяются в даркнете по популярной на черном рынке схеме «вредоносное ПО как услуга»:

Файлы вирусов не имеют цифровой подписи, поэтому их легко обнаружит антивирусное ПО, а пользователи macOS увидят стандартное предупреждение во время установки.

Обнаружено вредоносное программное обеспечение, использующее в качестве «транспорта» для передачи данных функцию Serial-over-LAN (SOL) процессоров Intel. Технология SOL работает таким образом, что трафик поступает в обход сетевого стека локального компьютера, поэтому его «не видят» и не блокируют файерволы и антивирусное ПО. Это позволяет беспрепятственно извлекать данные с зараженных хостов.

Вредоносные программы Industroyer и CrashOverRide атакуют критические промышленные системы и могут вызывать сбои в работе энергосетей. Скорее всего, именно эти вредоносы были использованы в атаках на компьютерную сеть компании «Укрэнерго» в декабре 2016 года.

CrashOverRide может управлять переключателями трансформаторных подстанций и рубильниками, позволяя атакующим отключить подачу электроэнергии или повредить оборудование.

Исследователи не смогли установить первичный вектор заражения. Однако в прошлых подобных атаках для доставки вредоносных программ активно применялась социальная инженерия:

Мошенники замедляли работу компьютеров с помощью вируса и предлагали жертвам купить «антивирус» для удаления.

Злоумышленники приобрели рекламу на различных сайтах для вымышленной сети отелей Best Western, разместив сначала легитимную рекламу, а затем заменив ее вредоносной. Фальшивая реклама перенаправляла пользователей на сайт с вирусом.

Вирус отображал уведомления о заражении вредоносной программой, для удаления которой предлагалось приобрести «антивирусный продукт Antivirus Soft» за $49,95:

После оплаты и установки «антивируса» компьютер начинал работать как обычно.

Троян CertLock блокирует установку и нормальную работу антивирусных программ на компьютере жертвы.

1. CertLock распространяется в составе пакетов нежелательного ПО, такого как майнеры криптовалют.
2. После установки на компьютере вредонос блокирует сертификаты антивирусов, создавая в реестре Windows ключ с указанием отпечатка сертификата:

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\F83099622B4A9F72CB5081F742164AD1B8D048C9

В результате при каждом запуске программ, подписанных сертификатом, появится сообщение об ошибке: