40 заметок с тегом

фишинг

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 15 по 21 сентября 2017 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Сайты, мессенджеры и почта

Обнаружена фишинговая кампания, которая использует недокументированную особенность MS Office для сбора подробных сведений о конфигурации атакуемых систем. Злоумышленникам достаточно обманом заставить пользователя открыть модифицированный документ Word, который не содержит VBA-макросов, встроенных Flash-объектов или файлов Portable Executable:

  1. В письме вложен файл MS Word в формате OLE2 (Object Linking and Embedding).
  2. В файле содержатся ссылки на ресурсы с использованием поля INCLUDE PICTURE со вставками Unicode в инструкциях вместо ожидаемого формата ASCII.
  3. Из Unicode-элементов злоумышленники составляли код, отправляющий HTTP GET-запрос на вредоносные замаскированные ссылки, которые содержались в коде того же документа MS Word.

Ссылки вели на детектирующие PHP-скрипты на сторонних ресурсах. В результате атакующие получали сведения об IP-адресе и версиях программ, установленных на компьютере жертвы.

Жертвы новой спам-кампании вынуждены оплачивать выкуп дважды, поскольку вредоносное вложение загружает сразу два вымогателя — Locky и FakeGlobe.

Письма содержат ссылку и вредоносное вложение, замаскированное под счет или квитанцию. Скрипт во вложении аналогичен тому, что находится в архиве, загружаемом по ссылке, но один из них загружает Locky, а второй — FakeGlobe. Файлы жертв шифруются несколько раз, поэтому пользователям придется платить выкуп дважды или смириться с потерей информации.

Мобильная безопасность

Киберпреступники вымогают деньги у владельцев Mac с помощью функции Find My iPhone.

Злоумышленники авторизуются в принадлежащей жертве учетной записи iCloud, удаленно блокируют ее компьютер, используя функцию Find My iPhone, и требуют выкуп за восстановление доступа:

Apple позволяет заблокировать компьютер через Find My iPhone без двухфакторной аутентификации в случае потери или кражи единственного доверенного устройства.

Вероятно, злоумышленникам удалось получить учетные данные пользователей, утекшие в результате прошлых взломов различных сервисов. Поскольку серверы Apple скомпрометированы не были, проблема касается только тех, кто использует одни и те же логины и пароли во всех сервисах.

Банкоматы и «умные» устройства

Новая разновидность вредоносного ПО — aIR-Jumper — может передавать данные и получать команды с помощью инфракрасных сигналов, излучаемых камерами видеонаблюдения.

  1. Программа устанавливается либо на компьютер, к которому непосредственно подключается камера видеонаблюдения, либо на компьютер, находящийся с камерой в одной сети.
  2. Вредонос похищает с зараженной системы данные, конвертирует их в двоичный код, а затем с помощью API видеокамеры заставляет ее инфракрасный светодиодный индикатор мигать соответствующим образом, передавая похищенную информацию злоумышленнику.
  3. Для получения данных атакующий должен находиться неподалеку от индикатора, чтобы иметь возможность записать мигание.
  4. С помощью специального ПО периодичность мерцаний и пауз снова переводится в двоичный код.

Видео с демонстрацией атаки:

Зловред RouteX использует роутеры Netgear WNR2000 для создания ботнета. Для проникновения в роутер используется уязвимость CVE-2016-10176 в веб-сервере устройства.

Главной целью RouteX являются компании из списка Fortune 500.

Мошенницы деньги через сервис «Сбербанк Онлайн», используя чеки, найденные в мусорных урнах возле банкоматов:

  1. В чеках содержались номера телефонов, идентификаторы пользователей и пароли.
  2. Полученные данные отправлялись сообщнику, работавшему в одном из столичных салонов связи.
  3. Сообщник предоставлял паспортные данные клиентов из базы сотовых операторов.
  4. На номер жертвы подключалась услуга «добровольная блокировка»
  5. С помощью фальшивой доверенности оформляли новые SIM-карты взамен якобы утерянных.
  6. Далее мошенницы взламывали личный кабинет клиента в сервисе «Сбербанк Онлайн» и переводили его средства на свои банковские карты.

В период с мая по сентябрь 2016 года было похищено около 660 тыс. рублей с 11 счетов.

Вредоносные программы

С 15 августа по 12 сентября этого года в составе популярной у ИТ-специалистов программы CCleaner версии 5.33 распространялась вредоносная программа:

Программа собирала и передавала на удаленный сервер управления данные о зараженной машине: информацию о системе, запущенных процессах, MAC-адресах сетевых устройств и уникальные ID комплектующих. Дистрибутив при этом был подписан корректным цифровым сертификатом:

Злоумышленники тщательно выбирали объекты для следующей волны атаки на уже зараженные машины. Вот домены жертв, которые интересовали мошенников:

Из более чем 700 тысяч зараженных компьютеров, которые обращались на сервера злоумышленников, около 20 машин получили дополнительное вредоносное ПО.

После эксперимента The Pirate Bay с майнингом криптовалюты в браузере пользователя жертвами майнеров стали разработчики и 140 000 пользователей SafeBrowse, популярного расширения для Chrome.

В коде аддона появился вредоносный JavaScript, который заставлял браузеры пользователей майнить криптовалюту Monero. В результате нагрузка на CPU значительно возрастала, вплоть до полной неработоспособности «зараженного» компьютера.

Разработчики аддона не смогли сказать, каким образом вредоносный код попал в расширение.

Троянская программа AdService, предназначенная для сбора информации о пользователях Facebook и Twitter, активно распространяется в составе AdWare-комплектов и загружается при запуске Chrome путем подмены библиотеки, используемой этим браузером.

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

дайджестфишинг

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 8 по 14 сентября 2017 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Сайты, мессенджеры и почта

Злоумышленники использовали взломанные учетные записи LinkedIn с хорошей репутацией для отправки фишинговых ссылок через личные сообщения и электронную почту:

В числе прочего, злоумышленники также использовали скомпрометированные премиум-аккаунты, позволяющие общаться с другими пользователями LinkedIn (даже если они не были добавлены в список контактов) по электронной почте при помощи функции InMail.

Сценарий мошенничества:

  1. владелец учетной записи хочет поделиться документом;
  2. потенциальная жертва должна пройти по указанной ссылке, которая на самом деле ведет на поддельную страницу авторизации Gmail и других сервисов электронной почты, где запрашиваются учетные данные:

После ввода логина и пароля пользователя переадресуют на расположенный в «Документах Google» документ от американской банковской компании Wells Fargo. Благодаря этому пользователь не сразу догадывается, что стал жертвой мошенников.

Поддельный сайт adoḅe[.]com использовался для распространения Beta Bot — троянца, который отключает защитное ПО и предоставляет злоумышленнику возможность взаимодействовать с зараженным компьютером и отправлять команды для перехвата форм для ввода данных.

Злоумышленникам удалось зарегистрировать домен от имени Adobe Systems Incorporated. Вместо обычной буквы «b» в имени домена фигурирует Unicode-символ «ḅ». Злоумышленники могли отправлять ссылку на вредоносный сайт в письме или SMS-сообщении, где URL-адрес обычно подчеркивается, и значок под символом Unicode был бы совсем незаметным.

Мобильная безопасность

Восемь уязвимостей в Bluetooth, объединенных под общим названием BlueBorne, угрожают миллиардам устройств, в числе которых смартфоны под управлением Android и iOS, миллионы принтеров, приставки Smart TV и IoT-устройства.

В случае успешной атаки злоумышленник может захватить устройство, запустить вредоносный код или провести MitM-атаку, чтобы получить доступ к данным без ведома пользователя.

Демонстрация атаки на Android:

Демонстрация атаки на Windows:

Для устранения уязвимостей:

  • на Windows достаточно установить последние обновления безопасности;
  • на Android рекомендуется отключить Bluetooth до выхода исправлений, и использовать приложение «BlueBorne Vulnerability Scanner» из Google Play Store, чтобы проверить, уязвимо ли устройство для атаки BlueBorne.

Серьезная уязвимость в операционной системе Android позволяет взламывать смартфоны с использованием всплывающих уведомлений:

Использование окон типа Toast позволяет успешно перекрывать интерфейс приложений, не запрашивая при этом разрешения SYSTEM_ALERT_WINDOW:

  1. Приложение перекрывает своим интерфейсом окно другого приложения.
  2. Второе приложение запрашивает права доступа к ACCESSIBILITY_SERVICE или правам администратора на устройстве.
  3. Первое приложение просит пользователя сделать безобидное действие, например нажать ОК для продолжения.
  4. Пользователь нажимает на кнопку, тем самым давая второму приложению дополнительные привилегии на устройстве.

Опасность угрожает пользователям всех версий операционной системы за исключением новейшей Oreo 8.0.

Новая разновидность ботнета WireX использует Android-устройства для атак типа UDP-flood. Бот создает 50 одновременно работающих потоков, каждый из которых может отправлять 10 миллионов UDP-пакетов размером 512 байт:

Для распространения зловред использует Google Play, в котором публикуются сотни мобильных приложений, содержащих вирус. Приложения распространяются на сотни тысяч Android-смартфонов, заражая их и превращая в боты.

Вредонос Xafecopy распространяется под видом полезного приложения и использует WAP-биллинг для кражи денег со счетов пользователей.

Многие сайты имеют специальные текстовые версии, доступ к которым можно получить даже со старых телефонов. Доступ к некоторым разделам таких сайтов можно сделать платным и получать деньги с пользователей, которые заходят на эти страницы. Этим воспользовались авторы Xafecopy для кражи денег со счетов пользователей. Примечательно, что сделать это гораздо проще, чем отправить платную SMS, поскольку для открытия WAP-сайта приложению не требуется запрашивать никаких дополнительных разрешений.

Вредоносное ПО

Устранена уязвимость в Microsoft Office, которая использовалась в целевых атаках для распространения вредоносного ПО FinSpy. Эксплуатация происходила через отправку по почте специального документа с именем «Проект.doc».

Кросс-платформенная атака Bashware использует новую подсистему Windows 10, WSL — Windows Subsystem for Linux, чтобы скрыть вредоносное ПО от антивирусных программ, установленных на компьютере пользователя.

Техника Bashware позволяет автоматизировать все шаги, необходимые для запуска WSL. Развернув Linux-среду, злоумышленник получает возможность через команды взаимодействовать с Windows, скрытно совершая вредоносные действия, в том числе исполнить любое вредоносное Windows-приложение:

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

дайджестфишинг

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 1 по 7 сентября 2017 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Сайты, мессенджеры и почта

Новая мошенническая рассылка от имени платежной системы Mastercard использует фишинговую страницу на домене gob.mx, который принадлежит правительству Мексики:

  1. Письмо злоумышленников начинается с неперсонализированного приветствия.
  2. Получателю сообщают о блокировке учетной записи в платежной системе.
  3. Чтобы восстановить доступ «к сервисам Mastercard», необходимо перейти по ссылке.
  4. На сайте пользователю предлагают ввести персональные и платежные данные, включая номер, срок действия и CVV-код банковской карты:

Новые версии банкера TrickBot похищают данные из Outlook и браузеров и пытаются похитить данные кошельков криптовалюты:

TrickBot, как правило, распространяется через почтовый спам. Мошенники маскируют свои письма под сообщения от одного из крупнейших британских банков, Lloyds Bank.

Во вложении содержится офисный документ с макросом, который просит пользователя разрешить активное содержимое и скачивает вредоносную программу:

Новейшие образцы TrickBot содержат в файле конфигурации раздел, отвечающий за фишинговый оверлей для страницы входа на сайт Coinbase.com — один из крупнейших криптовалютных веб-кошельков в мире.

Один из сайтов правительства США содержал вредоносный JavaScript-загрузчик, приводящий к установке на компьютер жертвы программы-вымогателя Cerber:

Для заражения использовался следующий механизм:

  1. Жертвам отправляли ​​ссылку на страницу, на которой размещается ZIP-файл.
  2. При нажатии на нее извлекался обфусцированный скрипт JavaScript, содержавший команду PowerShell, запускавшую загрузку .gif файла.
  3. На самом деле вместо картинки на компьютер загружался исполняемый файл Cerber.

Cerber, как и другие вымогатели-шифровальщики, требует выкуп в Bitcoin в обмен на ключ, позволяющий расшифровать данные пользователей.

Новый вариант атаки с поддельным шрифтом для Chrome распространяет бэкдор для удалённого доступа.

  1. Посетителю сайта сообщают о необходимости установить пакет шрифтов HoeflerText. Вредоносный код, вставленный в скомпрометированные веб-сайты, делает содержимое нечитаемым, что вполне укладывается в просьбу установить шрифт.
  2. Если пользователь соглашается на установку «пакета шрифтов», загружается вредоносный файл Font_Chrome.exe.

Мобильная безопасность

Смартфоны с голосовыми ассистентами Siri или Google Now уязвимы для атаки DolphinAttack:

Фразы типа «Привет, Сири» или «ОК, Гугл» преобразуются в ультразвуковой диапазон, а затем воспроизводятся с помощью обычного смартфона, оборудованного усилителем и ультразвуковым преобразователем. Жертва ничего не слышит, но микрофон смартфона успешно воспринимает и выполняет команды:

Общая стоимость комплекта для атаки — меньше $3.

Из-за уязвимости в API Instagram данные 6 миллионов пользователей были похищены и выставлены на продажу по цене $10 за одну учетную запись. У некоторых жертв утечки число подписчиков в Instagram достигает миллиона.

Руководство Instagram признало ошибку и оперативно опубликовало исправления.

Чтобы обойти сканер лица в смартфоне Samsung Galaxy Note 8, достаточно показать фотографию владельца устройства из социальной сети:

Вредоносное ПО

Новый вид мошенничества по очень простому сценарию направлен против владельцев криптовалютных кошельков. Приложение Bitcoin Doubler обещает удвоить баланс криптовалюты на счете пользователя, если он предоставит закрытый ключ своего биткоин-кошелька:

Большинство антивирусов не считают Bitcoin Doubler вредоносной программой: она не загружает на систему жертвы вредоносный код и не осуществляет никаких попыток закрепиться или навредить системе, а только запрашивает у пользователя закрытый ключ его криптовалютного кошелька.

Новый бэкдор Gazer используется в атаках на правительственные и дипломатические учреждения Европы и бывших союзных республик. Вредоносная программа была разработана АРТ-группой Turla, предназначена для хищения данных и распространяется с помощью целевого фишинга:

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

дайджестфишинг
Ctrl + ↓ Ранее