51 заметка с тегом

дайджест

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 12 по 18 января 2018 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Почта, сайты и мессенджеры

Вредоносная программа Zyklon распространяется с помощью фишинговых писем и использует сразу три уязвимости в MS Office:

Письма содержат zip-архив с вредоносным офисным документом. При открытии документ запускает Powershell-скрипт с помощью:

  • протокола DDE, или
  • уязвимости MS Office RCE (CVE-2017-11882), или
  • уязвимости .NET Framework RCE (CVE-2017-8759).

Скрипт загружает сам вредоносный код с командного сервера, причём обращается к серверу по IP-адресу в десятичной нотации.

Десятичная нотация — способ записи IP-адресов без точек. Например, IP-адрес сайта antiphish.ru — 80.93.177.78. В десятичной нотации этот адрес будет записан как 1348317518. Если написать в строке браузера http://1348317518, произойдёт переход на наш сайт.

Zyklon превращает заражённый компьютер в часть ботнета, который используется для DDoS-атак, хищения данных, распространения спама и подобных задач.

Из Chrome Web Store удалены еще четыре вредоносных расширения, которые загрузили более 500 000 раз:

Расширения позволяли своим операторам выполнять произвольный JavaScript в браузерах жертв. К счастью для пострадавших, злоумышленники использовали эту возможность лишь для кликфрода и различных SEO-манипуляций.

Фишинговая кампания против пользователей сервиса Netflix использует поддельные и взломанные сайты для хищения данных кредитных карт, логинов и паролей:

Пользователь получает письмо с сообщением о заморозке аккаунта и предложением обновить платёжные данные. Перейдя по ссылке, он попадает на поддельный сайт, где от него требуют ввести адрес почты и пароль:

После этого ему предлагается ввести данные кредитной карты и подтвердить личность:

Закончив сбор данных, мошенники перенаправляют пользователя на настоящий сайт Netflix.

Мобильная безопасность

Сообщение с вредоносной ссылкой может привести к зависанию и перезагрузке iPhone, iPad и Mac:

После получения такой ссылки устройство перестаёт реагировать на любые действия пользователя и зависает. Операционная система, чтобы выйти из этого состояния, перезагрузится, но после повторного получения сообщения устройство снова отключится:

Страница по ссылке содержит html-код, модифицированный в стиле текста Zalgo:

Предположительно, ошибка связана с функцией предварительного просмотра ссылок в «Сообщениях».

Вероятно, разработчики эксплойта вдохновились аналогичной техникой атаки на почтовые сервисы Гугла — см. Антифишинг-дайджест №50 с 5 по 11 января 2018 года.

В Google Play появились поддельные версии мессенджера Telegram с вредоносной фунциональностью:

От настоящей версии поддельную копию отличает измененное имя — Teligram. Кроме того, мошенники немного поменяли логотип:

Установив подделку, пользователи получают адварь, которая принудительно показывает рекламу в чатах.

Уязвимости, эксплойты и вредоносное ПО

Уязвимость в Intel Active Management Technology позволяет злоумышленнику активировать удаленный контроль над компьютером. Для активации потребуется физический доступ к компьютеру хотя бы на 30 секунд:

Уязвимость позволяет злоумышленнику обойти процедуру ввода учетных данных, включая пароли BIOS, Bitlocker и кодов TPM, а затем получить удаленный доступ.

Для эксплуатации уязвимости атакующему нужно включить или перезагрузить целевой компьютер и нажать CTRL+P во время загрузки. После этого он сможет войти в Intel Management Engine BIOS Extension (MEBx), используя пароль по умолчанию (admin), изменить пароль, включить удаленный доступ и отключить пользователям доступ к AMT.

Чтобы защититься от уязвимости, смените пароль на вход в AMT или совсем отключите эту функцию, если она не используется в инфраструктуре организации

Новый macOS-зловред OSX/MaMi переписывает адреса DNS-серверов и подменяет корневой сертификат компьютера:

Подмена DNS позволяет злоумышленникам перенаправлять пользователя на поддельные веб-страницы, оставляя в адресной строке браузера корректный URL. В результате мошенники могут воровать пользовательские данные, показывать нежелательную рекламу, вести MitM-атаки.

Для полного устранения OSX/MaMi придется переустановить операционную систему.

Шпионская программа Skygofree позволяет злоумышленникам удалённо контролировать Android-устройства, записывать звук, похищать переписку в мессенджерах и делать многое другое.

Заражение вредоносом происходит при посещении фишинговых сайтов. Кроме Android-устройств Skygofree может заражать компьютеры под управлением Windows и Linux.

Вредонос SmokeLoader распространяется в фишинговых письмах под видом патча для Meltdown и Spectre.

В письме жертву заманивают на сайт, на котором предлагают скачать zip-архив с «патчами». После запуска исполняемого файла на компьютер устанавливается SmokeLoader, который загружает дополнительные компоненты для хищения данных и других вредоносных действий.

Для создания большего доверия к сайту мошенники используют SSL-сертификат.

Криптовалюты

Неизвестные мошенники начали рассылать письма от имени блокчейн-платформы TON с предложением купить токены Gram в рамках приватной продажи:


Минимальная транзакция, по словам мошенников, составляет 50 000 GRAM или $5000.

На сайте электронной регистратуры Сахалина обнаружен майнер криптовалюты Monero.

Администратор сайта или неизвестный злоумышленник внедрил на сайт регистратуры JavaScript, который использовал компьютеры посетителей сайта для майнинга криптовалюты. Скрипт работал, только пока у пользователя была открыта вкладка с сайтом. Никакого влияния на пользовательское устройство после отключения от портала скрипт не оказывал.

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

дайджестфишинг

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 5 по 11 января 2018 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Почта, сайты и мессенджеры

Google исправила уязвимость, которая позволяла злоумышленнику заблокировать любой адрес электронной почты Gmail, отправив на него специально созданное письмо.

Блокировку вызывало письмо, содержащее текст Zalgo — текст, который «испорчен» путём добавления к каждому его символу множества модификаторов Unicode типа ударений, умляутов и различных диакритических символов:

Текст, вызвавший блокировку, содержал более 1 миллиона таких метасимволов. Продолжительность блокировки почтового ящика составляла около 4 дней. На сегодняшний день ошибка исправлена.

Обнаружен новый способ кражи учётных данных Windows с помощью функции subDoc, которая позволяет загружать в документ MS Word другой документ, в том числе расположенный на удалённом сервере:

Ссылка на внедрённый документ выглядит точно как обычная гиперссылка, но загрузка этого документа начинается автоматически, щелчок пользователя на ссылке не требуется. Если сделать ссылку белой, пользователь даже не увидит её, и документ не вызовет никаких подозрений:

Для осуществления атаки злоумышленники могут организовать фишинговую рассылку файла MS Word, загружающего поддокумент с вредоносного SMB-сервера, перехватить SMB-запросы, выделить NTLM-хеш и расшифровать его с помощью одного из доступных инструментов:

С полученными учётными данными атакующие могут получить доступ к компьютеру или компьютерной сети жертвы под видом оригинального пользователя.

Новая фишинговая атака на организации, участвующие в подготовке зимней Олимпиады в Пхенчхане, использует стеганографию для скрытия вредоносного года в изображениях, хранящихся на сервере.

Поставщики инфраструктуры для зимней Олимпиады получили письма на корейском языке якобы от Южно-Корейского национального центра противодействия терроризму. В письмах содержался документ MS Word с вредоносным макросом:

При открытии документа запускался PowerShell-скрипт, который устанавливал SSL-соединение с сервером злоумышленников для получения команд и установки дополнительного вредоносного ПО.

Операционные системы

Уязвимость в macOS 10.13.2 позволяет получить доступ к настройкам App Store любого пользователя без логина и пароля:

Если чужой Mac остался без присмотра, и его пользователь залогинен как администратор, нужно

  • открыть окно настроек App Store;
  • кликнуть на иконку замка;
  • система попросит ввести логин и пароль;
  • ввести в полях любые значения и нажать на Unlock.

После этого будет получен доступ к настройкам App Store, которые злоумышленник может изменить по своему усмотрению.

Криптомайнинг

Опубликованный в исследовательских целях майнер CoffeeMiner позволяет перехватить трафик устройств в сетях Wi-Fi и внедрить майнер криптовалюты в код сайтов, которые открывает пользователь:

Для перехвата трафика используется ARP-спуфинг — рассылка пакетов ARP, содержащих MAC-адрес устройства злоумышленника в качестве адреса шлюза по умолчанию. Получив такие пакеты, устройства-жертвы начинают обращаться в интернет не через настоящую точку доступа, а через компьютер злоумышленника, который может легко перехватить и модифицировать трафик в своих целях.

Видео: демонстрация внедрения CoffeeMiner в реальной сети Wi-Fi

Вредоносное ПО

Новая версия вымогателя HC7 шифрует файлы своих жертв, заменяя расширения на .PLANETARY и принимает выкуп в криптовалюте Ethereum:

Операторы малвари распространяют ее вручную, проникая в чужие сети через удаленный рабочий стол. Сумма выкупа варьируется от 700 долларов за один компьютер до 5000 за компьютерный парк организации.

Мобильная безопасность

Adware-приложения семейства LightsOut маскировались под полезные программы типа фонариков или программ для записи звонков и заставляли пользователей просматривать рекламу и кликать по объявлениям.

В некоторых приложениях реклама блокировала экран во время звонка, и чтобы поднять трубку, жертве приходилось кликнуть на баннер. Другие приложения продолжали показывать рекламу даже после приобретения платной версии, в которой рекламы вообще не должно было быть.

Вредоносы прятали свои иконки от пользователя и показывали рекламу при различных системных событиях, например, при подключении к Wi-Fi, к зарядному устройству, при блокировке экрана, завершении звонка и так далее.

Видео: демонстрация работы рекламного вредоноса LightsOut

Ошибки в коде приложения позволяют посторонним присоединяться к закрытым чатам WhatsApp.

Приглашать новых участников в закрытый чат может только администратор, но WhatsApp не проверяет подлинность такого приглашения. В результате сервер может просто добавить нового участника в группу без взаимодействия с администратором, новый участник автоматически получит секретные ключи и полный доступ к любым будущим сообщениям. Прочитать сообщения, отправленные до его присоединения к чату, он не может.

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

дайджестфишинг

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 29 декабря 2017 года по 4 января 2018 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Главная новость

В процессорах Intel обнаружены две критические уязвимости, используя которые, можно прочитать содержимое памяти системного ядра и получить доступ из виртуальной машины к памяти другой виртуальной машины, запущенной на этом же хосте.

Для уязвимостей, получивших название Meltdown и Spectre, сделали сайты с описанием проблем и ответами на частые вопросы:

Сайт про уязвимость Meltdown
Сайт про уязвимость Spectre

Уязвимость Meltdown

Уязвимость Meltdown состоит в том, что обычный пользовательский процесс, используя специальные техники, может обратиться к памяти ядра операционной системы и прочитать её содержимое, включая хранящиеся в ней ключи шифрования, пароли и другую важную информацию. Другими словами, сайт с вредоносным сценарием JavaScript может с лёгкостью похитить все секретные данные, а ни пользователь, ни антивирус не заметят ничего неправильного.

В современных операционных системах программы работают в «пользовательском» режиме. Когда программе требуется выполнить операцию системного уровня, например, записать что-то в файл или установить сетевое соединение, она обращается к системным функциям и передаёт управление операционной системы, ядро которой выполняется в защищённом режиме, изолировано от программ пользовательского уровня.

Переключение контекста из пользовательского режима в режим ядра — затратная по времени операция, поэтому для повышения производительности ядро присутствует в виртуальном адресном пространстве всех процессов незаметным для програм образом. Исполняя системный вызов, процессор переключается в режим ядра, выполняет запрошенную функцию и возвращается в пользовательский режим. При этом код и данные ядра остаются в скрытых областях памяти пользовательского процесса. Получить к ним доступ в обычных условиях процесс не смог бы, если бы не спекулятивное исполнение команд — ещё один способ ускорения работы, который используют современные процессоры.

Чтобы сохранить постоянную загрузку конвейера исполнительного модуля командами, ядра процессора пытаются предсказать, какие инструкции будут выполняться следующими, читают их и исполняют. При этом процессоры Intel не проверяют безопасность кода, который выполняется в «опережающем» порядке. В результате код пользовательского режима может прочитать данные ядра.

Демонстрация атаки Meltdown: дамп памяти

Демонстрация атаки Meltdown: чтение вводимого пароля

Атаке Meltdown могут быть подвержены не только процессоры Intel, но и другие, использующие аналигичный механизм для предварительного исполнения команд.

Для устранения уязвимости:

  • установите обновления своей операционной системы (подробности для ОС Microsoft);
  • обновите свои браузеры;
  • проверьте и обновите прошивки своих устройств.

После установки этого обновления скорость компьютеров замедлится из-за изменений в механизме переключения контекстов процессов между пользовательским режимом и режимом ядра. В зависимости от задач замедление может составить от 5 до 30%.

Уязвимость Spectre

Эксплуатация уязвимости Spectre состоит в том, чтобы загрузить конвейер процессора временными инструкциями, которые при нормальном выполнении программы не были бы выполнены. Тщательно выбирая такие инструкции для спекулятивного выполнения, можно получить доступ к адресному пространству других процессов. В результате вредоносный JavaScript-сценарий получает доступ к памяти за пределами «песочницы» браузера и может, например, прочитать пароли, сохранённые для других сайтов.

Реализовать эксплойт для уязвимости Spectre сложнее, чем для Meltdown, поскольку он требует предварительной подготовки, длительность которой зависит от объёма памяти атакуемой машины. Для хоста с памятью 64Гб время подготовки может составлять от 10 до 30 минут.

К атаке Spectre уязвимы практически все современные процессоры, включая Intel, AMD, ARM, Qualcomm и Samsung.

Выпустить патч для этой уязвимости производителям пока не удалось.

Криптомайнинг

Расширение Archive Poster для Chrome скрытно майнит криптовалюту:

В начале декабря в составе расширения обнаружили майнинговый скрипт Coinhive:

Предполагается, что разработчики расширения могли стать жертвами фишинговой атаки.

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

дайджестфишинг
Ctrl + ↓ Ранее