16 ноября, 23:12

Антифишинг-дайджест №42 c 10 по 16 ноября 2017 года

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 10 по 16 ноября 2017 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Главная новость

В редакторе формул, входящем в состав MS Office, обнаружены ошибки переполнения буфера, которые эксплуатируются через внедрение в документ вредоносных OLE-объектов и позволяют выполнить на машине произвольный код, в том числе скачать и запустить на компьютере пользователя любой файл с удаленного сервера:

Эксплоит работает для любых версий Microsoft Office, включая Office 365, и для всех версий Microsoft Windows, вышедших за последние 17 лет. Проблеме подвержены 32- и 64-разрядные архитектуры. Эксплойт не нарушает работы самого Microsoft Office, от пользователя требуется только открыть офисный документ.

Видео: атака в действии на примере разных версий Office и Windows

Антифишинг рекомендует пользователям:

  • Не скачивать и не открывать офисные документы от неизвестных отправителей.
  • Прочитать про защищенный режим MS Office и не отключать этот режим, если неизвестный файл все же был открыт.

Администраторам и ИТ-специалистам:

  • Отключить уязвимый компонент на уровне реестра:
reg add “HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-
0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400
  • либо
reg add “HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\
{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400

Сайты, мессенджеры и почта

Вредонос Ordinypt атакует пользователей из Германии с помощью фишинговых писем:

Письма содержат ответ на открытую вакансию и два вложенных файла — резюме в zip-архиве и фото соискательницы. На самом деле в архиве находятся два исполняемых файла EXE с двойными расширениями, замаскированные под файлы PDF:

Ordinypt переписывает случайно выбранные файлы и требует выкуп за приведение их в изначальный вид, однако как выяснилось, это не вирус-вымогатель, а вайпер, замаскированный под шифровальщик, и его главная цель — уничтожить файлы пользователей, чтобы саботировать работу ряда немецких компаний.

По данным исследования Google, фишинг является самым опасным видом атак, жертвами которого с марта 2016 по март 2017 года стали около 12,4 млн. человек:

При этом данные, похищенные в ходе фишинговых атак, успешно используются злоумышленниками почти в четверти случаев.

Кадровая информация одной из крупнейших в мире нефтегазовых компаний оказалась в открытом доступе из-за ошибки бесплатного онлайн-сервиса Translate.com. Через поисковик Google интернет-пользователи могли найти сообщения об увольнении, планы по аутсорсингу, контракты, пароли и прочие данные Statoil.

Бесплатные сервисы онлайн-перевода сохраняют загруженные данные для  обучении своих систем и не гарантируют сохранения конфиденциальности этой информации. Корпоративные пользователи, как правило, не задумываются об этом и спокойно загружают в онлайн-переводчики клиентские презентации, договоры и другие материалы, содержащие сведения ограниченного распространения.

Вредоносное ПО

Расширение Browse-Secure для Chrome рекламируется как инструмент, гарантирующий своим пользователям безопасный, зашифрованный и анонимный поиск, но на самом деле похищает данные из аккаунтов LinkedIn и Facebook и передает их на удаленный сервер:

Browse-Secure распространяется на различных сайтах по стандартной мошеннической схеме: пользователю показывают фальшивое сообщение о проблемах с безопасностью и рекомендуют срочно загрузить расширение, которое все исправит:

После установки расширение связывается с управляющим сервером, передаёт туда идентификационные данные браузера пользователя, после чего собирает сведения из его профилей в соцсетях и направляет на тот же управляющий сервер. Собранные данные могут использоваться для фишинговых атак и рассылки спама.

Вместе с безобидными скриптами, предупреждающими об использовании cookie, распространялся криптовалютный майнер.

Вредоносный код Monero-майнера Crypto-Loot был обнаружен в следующих скриптах:

После сообщения о наличии вредоносного кода майнер исчез из кода скриптов.

Обнаружена первая Android-малварь, которая на практике использует механизм Toast Overlay. Вредонос получил имя ToastAmigo и был найден в составе двух приложений в официальном каталоге Google Play. Оба вредоносных приложения назывались Smart AppLocker и позволяли задать PIN-код для запуска отдельных программ на устройстве.

После запуска приложения ToastAmigo инициировал атаку с использованием всплывающих уведомлений, отображая огромное уведомление, закрывающее весь экран и демонстрирующее фальшивый интерфейс приложения. На самом деле под этой фальшивкой скрывались запросы на получение доступа к Android Accessibility. Обманутые пользователи полагали, что нажимали на кнопки интерфейса, но на самом деле лишь выдавали новые права вредоносной программе.

Если атака удавалась, ToastAmigo устанавливал на устройство AmigoClicker — адварь, которая устанавливает прокси и загружает рекламу, принося доход своим операторам. Кроме того AmigoClicker собирает информацию об аккаунтах Google, нажимает на кнопки в системных диалогах, скликивает рекламу в Facebook и оставлять о себе положительные отзывы в Google Play.

Умные устройства

Cистему безопасности FaceID, реализованную в iPhone X, удалось обмануть с помощью самодельной маски:

Маска состояла из распечатанных двухмерных изображений глаз, сделанного вручную силиконового носа и других частей лица, а также каркаса, распечатанного на популярном 3D-принтере. Кроме того, для обмана системы щеки и область вокруг лица подверглись «специальной обработке». В общей сложности на создание маски специалисты потратили порядка $150.

Специалисты продемонстрировали удалённый взлом самолёта Boeing 757, используя типовое оборудование, которое можно пронести на борт воздушного судна. Детали взлома засекречены, но известно, что взлом потребовалось около двух дней, в течение которых самолёт находился на земле, а для проведения атаки использовалось радиочастотное оборудование.

Приложение Lovense Remote для управления умными секс-игрушками гонконгского производителя Lovense записывает звуки происходящего во время использования интимного гаджета и сохраняет полученные аудиофайлы в формате 3gp в локальной директории смартфона или планшета.

Во время установки Lovense Remote действительно запрашивает доступ к микрофону и камере устройства, однако эти права якобы нужны приложению для работы встроенного чата и для использования голосовых команд.

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Поделиться
Запинить