Ctrl + ↑ Позднее

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 25 по 31 августа 2017 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Сайты, мессенджеры и почта

Новая атака на пользователей Office 365 начинается с фишингового письма, в котором пользователям сообщают о приостановке действия аккаунта и предлагают войти в службу электронной почты для активации.

Особенностью атаки является качественная имитация настоящих писем от службы поддержки Microsoft Office 365:

  1. Ссылка в письме перенаправляет жертву на поддельную страницу входа в Office 365.
  2. Введенные жертвой данные сохраняются злоумышленниками и используются для настройки правил пересылки электронной почты на аккаунте жертвы.
    1.Все полученные электронные письма перенаправляются на почтовый ящик злоумышленников.
  3. Информация, полученная из электронной почты, помогает злоумышленникам перенять особенности общения пользователя, как внутри организации, так и за ее пределами, и использовать их для формирования и отправки фишинговых писем целевым объектам.

Анонимный мессенджер Sarahah передаёт список контактов со смартфона пользователя на удалённый сервер сразу после установки приложения:

На данный момент Sarah не имеет никаких связанных с контактами функций: фактически, приложение просто похищает данные пользователей.

Мошенники заманивали любопытных фанатов «Игры престолов» на сайты с вредоносным ПО с помощью писем, в которых использовались спойлеры и видеоклипы 7 сезона сериала:

Письма с темой «Хочешь увидеть „Игру престолов“ заранее?» («Wanna see the Game of Thrones in advance?») содержали общие сведения о предстоящих эпизодах,а также прикрепленный документ Microsoft Word под названием «game of thrones preview.docx»:

После открытия документа выполнялся вредоносный скрипт PowerShell, приводящий к установке программы для скрытого удаленного доступа (RAT) «9002»:

Мобильная безопасность

Трояны Trojan-Clicker.AndroidOS.Ubsod, Xafekopy, Autosus и Podec похищают пользовательские средства при помощи WAP-подписок, умеют обходить CAPTCHA и прокликивают рекламу, принося дополнительный доход своим операторам:

  1. Вредоносы отключают Wi-Fi и включают мобильную передачу данных, поскольку WAP-подписки возможны только при мобильном подключении к интернету.
  2. Затем малварь открывает ссылку, которая перенаправляет жертву на страницу WAP-биллинга.
  3. При помощи файлов JavaScript трояны загружают веб-страницы и нажимают на кнопки.
  4. После этого они удаляют входящие SMS-сообщения, содержащие информацию о подписках.

Некоторые из вредоносов способны отсылать Premium SMS или получать права администратора устройства, чтобы пользователю было сложнее избавиться от заражения.

Вредоносное ПО

Обнаружен вымогатель Bit Paymer, который распространяется путём подбора паролей к службе удалённого рабочего стола (RDP). Скомпрометировав одну систему, атакующие вручную проникают в сеть пострадавшей организации и последовательно устанавливают Bit Paymer на все доступные устройства.

Вредонос шифрует файлы, используя комбинацию алгоритмов RC4 и RSA-1024 и изменяет расширения файлов на .locked. В настоящее время нет возможности расшифровать данные.

Новый троян-вымогатель Defray атакует организации из сферы здравоохранения и образования, рассылая по электронной почте вложения в формате Microsoft Word от имени директора по информационным технологиям одной из британских больниц или от имени расположенной в Великобритании международной сети аквариумов с офисами в США, Австралии и Китае.

Вымогатель представляет собой исполняемый OLE-объект. Если пользователь дважды кликал по нему, вредонос скачивался на компьютер и шифровал файлы определённых расширений.

В папках с зашифрованными файлами вирус создавал текстовые документы с именами FILES.txt или HELP.txt, в которых содержалось требование выкупа в 5 тысяч долларов.

Киберпреступники размещали вредоносную программу Zminer в хранилище Amazon S3, чтобы убедить жертву в надёжности источника.

Исполняемый файл Zminer извлекается из набора эксплойтов, который загружает из Amazon S3 утилиты Claymore CryptoNote CPU Miner и Manager.exe. Первая нацелена на добычу криптовалюты Monero, вторая контролирует процесс майнинга и выдает инструкции для планировщика заданий Windows.

После запуска Zminer отключает «Защитника Windows» путем добавления ключей в системный реестр и на полную использует всю мощность скомпрометированной машины для добычи криптовалюты.

«Умные» устройства

Кардиостимуляторы Abbott подлежит отзыву из-за проблем с безопасностью. Уязвимости содержат модели Accent, Anthem, Accent MRI, Accent ST, Assurity и Allure. Для устранения уязвимости почти полмиллиона пациентов должны будут обратиться к врачам для обновления ПО.

Кардиостимуляторы и другие медицинские устройства скоро могут стать мишенью для вымогателей и шантажистов, которые смогут атаковать не только пациентов, но и производителей.

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 18 по 24 августа 2017 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Сайты, мессенджеры и почта

Исследователи обнаружили новую мультиплатформенную вредоносную программу, которая распространяется через сообщения в Фейсбуке:

Ссылка ведет на Гугл-документ, в котором используется фотография из профиля жертвы. Фото выглядит как обложка видео, которое можно воспроизвести:

При клике на «воспроизведение» жертву отправят на один из вредоносных сайтов. Адрес для переадресации будет определен в зависимости от нескольких факторов, в том числе версий браузера, операционной системы, языка, геопозиции и, возможно, других факторов.

Например, при переходе из Firefox, переадресация приводит на фальшивый Flash Player, а жертве предлагают скачать неизвестный исполняемый файл:

При работе из Chrome переадресация происходит на поддельный YouTube, который предлагает установить вредоносное браузерное расширение:

При работе через macOS переадресация также приводит на фальшивый Flash Player, но его вид соответствует операционной системе:

Троян Win32/PSW.Fareit распространяется по электронной почте и крадёт пароли из браузеров и почтовых приложений.

  1. Потенциальная жертва получает письмо от авиакомпании Delta Air Lines, в котором сообщается, что билет в Вашингтон успешно оплачен и его можно скачать по ссылке.
  2. После перехода по ссылке на компьютер пользователя загружается документ Microsoft Office, содержащий вредоносный макрос.
  3. Если жертва игнорирует сообщение безопасности и включает макрос, стартует процесс заражения трояном PSW.Fareit.
  4. Троян отправляет украденные пароли на удаленный сервер атакующих, а затем удаляется из системы, стирая все следы активности. Далее эти пароли могут быть использованы для взлома веб-сервисов пользователя.

Новый вид вымогательского ПО SyncCrypt распространяется по почте в виде WSF-файла и использует стеганографию для скрытия вредоносных компонентов внутри файлов изображений. Это позволяет вирусу скрываться от большинства антивирусов:

После запуска файла, встроенный JScript обращается к внешним URL и загружает на систему жертвы несколько «изображений» со скрытыми внутри ZIP-архивами с компонентами вредоносного ПО:

JScript извлекает из архива файлы: sync.exe, readme.html, и readme.png:

После запуска вымогатель шифрует файлы и требует выкуп в размере $430.

Если пользователь напрямую обратиться по URL-адресам, ему покажут обыкновенное изображение: обложку альбома «& They Have Escaped the Weight of Darkness» исландского певца Олафура Арнальдса:

Некоторые мошенники не утруждают себя созданием вредоносного ПО или шифрованием файлов. Они просто рассылают письма, в которых пытаются убедить жертву, что в их распоряжении имеется некий компромат (к примеру, откровенные фото), и требуют выкуп в размере $320 в биткоинах:

Мобильная безопасность

Небольшой прибор за $500 позволяет взломать iPhone 7 и iPhone 7 Plus путём перебора паролей и обхода экрана блокировки. Прибор собран из двух стеклянных панелей и содержит три USB-порта, к которым можно подключить три смартфона одновременно. В устройстве также имеются разъемы microUSB и Apple Lightning для зарядки:

Гаджет эксплуатирует уязвимость в процессе обновления iOS, которая позволяет вводить пароль бесконечно много раз.

Видео: демонстрация работы устройства

300 приложений из Google Play содержали кликфрод-вредонос GhostClicker. Благодаря функциям отложенного старта и распределению вредоносной активности между различными компонентами, вредоносной программе удавалось оставаться незамеченной и проходить все проверки.

Операторы GhostClicker зарабатывают деньги на скликивании рекламных объявлений на платформе Google AdMob и на показе всплывающие окон и рекламы поверх других приложений, пытаясь вынудить жертву посетить какую-то страницу.

Вредоносная программа скрывается в самых разных приложениях: это могут быть игры, утилиты для настройки и «чистки» устройства, сканеры QR-кодов, мультимедийные плееры и так далее. К примеру, одним из зараженных приложений была игра Aladdin’s Adventure’s World, суммарное количество загрузок которой составляло 1—5 млн:

«Умные» устройства

Компоненты современного смартфона или другого мобильного устройства можно заменить вредоносным. При этом пользователь гаджета не заметит подмены и не почувствует разницы. Такие атаки получили название chip-in-the-middle.

Атаки chip-in-the-middle может практиковать кто угодно, начиная от недобросовестной ремонтной мастерской, которая не просто заменяет поврежденные компоненты на новые, но и «зарабатывает» кражей данных клиентов, и заканчивая спецслужбами и третьими сторонами, участвующими в цепочках поставок, которые могут производить и внедрять подобные вредоносные компоненты массово.

Shattered Trust: When Replacement Smartphone Components Attack

Исследователи выделяют два типа подобных атак:

  1. Внедрение команд в поток данных, которыми устройство обменивается с вредоносным компонентом. Для этой задачи лучше всего подходит вредоносный тачскрин, который позволяет злоумышленнику выдать себя за пользователя и подделывать касания с целью извлечения данных.
  2. Атака на переполнение буфера, использующая уязвимость в драйвере тач-контроллера устройства. Баг позволяет атакующему повысить привилегии и атаковать саму ОС, минуя этап, на котором нужно подделывать прикосновения к экрану. Для реализации атаки требуется определенный набор драйверов, ее можно использовать далеко не всегда.

Необходимые для таких атак запчасти могут стоить злоумышленникам менее 10 долларов.

Видео: компрометация телефона с помощью вредоносных запчастей

Современные и «домашние» роботы уязвимы для взлома и злоумышленники могут легко их перепрограммировать, используя ошибки в прошивках.

Например, устройства компании Universal Robots, подвержены таким простейшим проблемам, как переполнения буфера в стеке. Кроме того, для доступа к системе, контролирующей движения робота, не требуется аутентификация и используются статические ключи, что резко повышает риск атак типа man-in-the-middle.

На видео: специалисты отключают ограничения безопасности для руки-манипулятора Universal Robots

Атака CovertBand позволяет отслеживать передвижения владельцев смартфонов, планшетов, компьютеров и ноутбуков с помощью встроенных в устройства динамиков и микрофонов:

Принцип работы CovertBand:

  1. В обычные звуковые дорожки наподобие песен или фильмов внедряется высокочастотного аудиосигнала.
  2. При воспроизведении такой песни высокочастотный сигнал работает как ультразвуковой локатор: отражается от окружающих объектов и возвращается обратно. При этом с помощью микрофона устройства фиксируется время возвращения.
  3. Полученные данные отправляются атакующему, который затем обрабатывает их и получает двухмерное изображение передвижений жертвы и окружающих ее объектов.

Видео: демонстрация атаки CovertBand

CovertBand позволяет отслеживать перемещение идущего человека с погрешностью 18 см, а движения стоящего человека с точностью до 8 см на расстоянии до 6 м, если он находится в поле зрения, и до 3 метров, если человек находится, например, за стеной. Жертвы атаки при этом не замечают ничего необычного.

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 11 по 17 августа 2017 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Сайты, мессенджеры и почта

Злоумышленники рассылают фишинговые письма с презентацией Power Point, которая использует функции слайд-шоу для доставки вредоносного контента:

После открытия презентации на компьютер загружается XML-файл logo.doc, содержащий JavaScript-сценарий для запуска PowerShell команды и последующей установки программы для удалённого доступа RATMAN.EXE:

В рамках новой спамерской кампании операторы программы TrickBot маскируют свои письма под сообщения от одного из крупнейших британских банков, Lloyds Bank, и рассылают спам со скоростью более около 150 000 сообщений в час.

  1. Письма содержат вложенный файл IncomingBACs.xlsm, после запуска которого пользователя просят разрешить работу макросов.
  2. Получив разрешение, вирус загружает и устанавливает на компьютер вредоносную программу.
  3. Заразив систему, TrickBot ждет, когда пользователь посетит сайт банка, и переадресует жертву на фальшивый сайт, который с первого взгляда сложно отличить от настоящего сайта Lloyds.
  4. Используя HTML и JavaScript, атакующие показывают жертве верный URL, а ресурс имеет действительный TLS-сертификат:

Мошенники пытаются перехватить учётные записи пользователей сервиса ROBOKASSA с помощью фишинговых писем, в которых идёт речь о фальшивых выплатах, получить которые можно, перейдя по ссылке:

Эксплуатируется механизм активации аккаунта через электронную почту:

  1. Злоумышленники регистрируют новая учетную запись с адресом почты жертвы.
  2. В имени «нового пользователя» указан текст с вредоносной ссылкой.
  3. Робокасса автоматически отправляет письмо активации жертве.

После перехода по ссылке жертва попадает на сайт мошенников. Робокасса признает, но пока не решает проблему.

Вредоносное ПО

Две новых версии вымогателя Locky атакуют пользователей с помощью спам-писем, содержащих вложенные файлы MS Office или ZIP-архив с вредоносными скриптами:

Вариации вредоносных вложений:

  • ZIP-архив с вложенным .JS
  • ZIP-архив с вложенным .VBS
  • RAR-архив с вложенным .JS
  • PDF-файл со встроенным .DOCM

Расшифровщики для файлов, зашифрованных новыми вариантами вируса, пока не разработаны.

Для борьбы с вымогательскими программами разработчики антивирусов используют специальные сигнальные файлы. Их состояние отслеживается антивирусным ПО, и при модификации такого файла шифровальщиком антивирус блокирует работу вируса.

Новая версия вымогателя Cerber научилась обходить сигнальные файлы, используемые в антивирусных решениях. Обнаружив такой файл, вирус переходит к следующей папке.

Эту особенность новой версии можно использовать для создания вакцин: если создать сигнальные файлы в важных папках, вирус не станет заражать их, чтобы избежать раннего обнаружения и остановки работы.

Скомпрометированы еще шесть расширений для Google Chrome:

  • Chrometana 1.3
  • Infinity New Tab 12.3
  • Web Paint 2.1
  • Social Fixer 1.1
  • Touch VPN
  • Betternet VPN

Схема взлома стандартна: с помощью фишинга злоумышленники перехватывают контроль над учётной записью разработчика расширения и заменяют приложение на вредоносную версию, которая подменяет легитимную рекламу на объявления взломщиков:

Вредоносная программа Mughthesec заражает устройства под управлением macOS, распространяясь под видом файла Player.dmg через вредоносную рекламу и всплывающие окна на сайтах:

  • Файл не детектируется антивирусами.
  • Имеет встроенный механизм, предотвращающий обнаружение антивирусным ПО.
  • Подписан действительным сертификатом разработчика Apple, поэтому не вызывает подозрений у GateKeeper:

Installer.app устанавливает легитимную версию Adobe Flash Player для Mac, а также нежелательное приложение Advanced Mac Cleaner и рекламные расширения для Safari.

Мобильная безопасность

Мошенники снова пытаются похитить деньги клиентов Сбербанка с помощью Вайбера:

  1. Пользователю приходит сообщение от имени Сбербанка с номера 9OO (вместо нулей в номере стоят буквы «О»).
  2. В сообщении говорится о «зарезервированном переводе» на определенную сумму и указан телефон для связи в случае, если клиент не подтверждает его.
  3. Позвонив по указанному номеру, жертва попадает на «специалиста», который пытается получить секретную информацию по карте, чтобы затем перевести деньги на свой счёт.

Для спама среди телефонных абонентов мошенники используют автоматизированную систему, которая набирает номер телефона и почти сразу прерывает звонок. Когда абонент перезванивает по этому номеру, ему прокручивается рекламный ролик.

Первыми данную схему стали применять японцы. При этом в некоторых случаях с телефона перезвонившего абонента списывались деньги. По данным опроса, проведенного сотрудниками Telecom Daily среди 3 тыс. россиян, с новым видом спама столкнулись 65% абонентов. Чаще всего таким способом рекламируются различные услуги.

«Умные» устройства

Экспериментальная вредоносная программа, размещённая в цепочку ДНК, способна атаковать ДНК-секвенсор через переполнение буфера:

Хотя от реальных «атак через ДНК» нас пока отделяют годы, уже сейчас возможно создать работающий proof-of-concept эксплоит и опробовать его в работе.

Cофт для такого оборудования, как ДНК-секвенсоры, пишут без оглядки на вопросы безопасности, но скоро специалистам придется думать не только о подключении к сети, USB-накопителях и человеческом факторе, но и о данных, хранящихся в изучаемых образцах ДНК.

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Ctrl + ↓ Ранее