Блог компании Антифишинг

как поведение людей влияет на безопасность

Представляем новости об актуальных технологиях фишинга и других атаках на человека cо 9 по 15 ноября 2018 года.


Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мобильная безопасность

Среди пользователей WhatsApp распространялась фальшивая новость о видео, которое может взломать смартфон.

Кроме того, в сообщении говорилось об обновлении до WhatsApp Gold, которое не нужно устанавливать, потому что это вирус. Оповещение предлагалось распространить среди всех контактов, чтобы уберечь их от неминуемой опасности.

Как выяснили эксперты, видео «martinelli» с вредоносными функциями — выдумка автора сообщения, а вот премиальный сервис WhatsApp Gold представляет собой настоящую угрозу, поскольку не имеет отношения к мессенджеру.

В операционной системе Android обнаружена уязвимость, которая позволяет отслеживать местоположение пользователей.

Ошибка связана с утечкой информации через механизм межпроцессного взаимодействия (IPC) Intent. Если доступ к этому механизму не ограничен, вредоносные приложения могут «слушать» обмен и перехватить информацию, доступа к которой у них быть не должно.

Используя уязвимость, злоумышленник может отслеживать передвижение владельца смартфона в зоне действия Wi-Fi сигнала от интернет-маршрутизатора.

  1. Android время от времени транслирует сведения о Wi-Fi подключении с помощью Intent.
  2. В составе сведений содержится мощность принимаемого сигнала.
  3. Чем ближе устройство к маршрутизатору, тем выше мощность сигнала.
  4. Слушая сообщения, вредоносное приложение может определить местоположение пользователя относительно марутизатора.

Уязвимость затрагивает все версии Android.

Неизвестная группировка атакует учётные записи Apple ID, вызывая массовые блокировки по всему миру.

Блокировка Apple ID происходит без объяснения причин, но доступ к учётной записи можно восстановить, ответив на секретный вопрос и указав подтвержденный номер телефона.

При блокировке отображается уведомление о необходимости обновления настроек Apple ID. Как правило, требуется обновить учетные данные, хранящиеся на устройстве, однако многие пользователи сообщают, что их учетные записи были заморожены.

Обычно блокировка случается после многократного ввода неверного пароля.

Вредоносное ПО

Криптовалютный майнер для Linux использует руткит для скрытия присутствия в системе.

Когда вредонос начинает работу, загрузка процессора возрастает до 100%. Без руткита найти источник потребления ресурсов легко:

Руткит перехватывает функции readdir и readdir64, перезаписывая библиотеку libc вредоносной версией. Фальшивая версия readdir прячет процесса майнера kworkerds, поэтому обнаружить его намного сложнее.

Вредонос Coinminer распространяется под видом файла MSI, чтобы обойти фильтры безопасности.

Coinminer содержит каталог с различными файлами для «отвода глаз», а также скрипт, блокирующий любые процессы защиты от вредоносных программ.
Кроме того, вредонос обладает встроенным механизмом самоуничтожения, который стирает каждый файл в установочном каталоге и удаляет все следы присутствия в системе.

Атаки, уязвимости и утечки

Посторонние могли получить доступ к бортовым журналам дронов DJI, фото и видео, картам полётов, а также подключиться к камере и микрофону устройства.

Для авторизации пользователей используется файл cookie. Чтобы похитить его, атакующему нужно:

  1. Разместить на форуме DJI сообщение со ссылкой на вредоносный JavaScript и убедить пользователя кликнуть по ней.
  2. Получить в свое распоряжение файл cookie и токен учётной записи.
  3. Используя уязвимость в настройках форума, экспортировать Secure Cookie на другой домен, а с помощью токена получить доступ в облако с архивами фото и видео и другой информацией.

Демонстрация атаки:

В игровой платформе Steamworks от Valve обнаружена уязвимость, которая позволяла загрузить ключи активации любых игр, выпущенных через Steam.

Из-за ошибки в Steam web API, которая используется для выдачи ключей активации легальным пользователям, можно было получить файл со всеми ключами для любой игры, указав «0» в качестве числа ключей, которые требуется вернуть в наборе.

Обнаружены новые разновидности атак на процессоры Intel, AMD и ARM. Две из них относятся к семейству Meltdown, пять — к Spectre.

  1. Атака Meltdown-PK работает только для процессоров Intel и позволяет обойти ограничения, установленные с помощью ключей защиты памяти (PKU, Protection Keys for Userspace).
  2. Атака Meltdown-BR действует на Intel и AMD. Её работа основана на  инструкциях проверки границ, которые могут допустить утечку после спекулятивного выполнения.
  3. Атаки Spectre-PHT-CA-OP, Spectre-PHT-CA-IP и Spectre-PHT-SA-OP используют таблицу с историей шаблонов переходов и работают на процессорах Intel, AMD и ARM. Spectre-PHT-CA-OP позволяет получить доступ к произвольным областям памяти.
  4. Spectre-BTB-SA-IP, Spectre-BTB-SA-OP — новые вариации атак на буфер предсказания ветвления. Для атак уязвимы процессоры AMD, ARM и Intel. атаки позволяют атакующему получить доступ к памяти приложений одного уровня.
О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Представляем новости об актуальных технологиях фишинга и других атаках на человека cо 2 по 8 ноября 2018 года.


Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Мошенники использовали имя Илона Маска и взломанные учётные записи Twitter для обмана пользователей.

  1. В любой взломанной учётной записи Twitter имя менялось на Илон Маск.
  2. От его имени размещался пост о крупнейшей в истории раздаче 10 000 биткоинов.
  3. Пост продвигался с помощью рекламной системы Twitter
  4. Чтобы получить свою долю в раздаче, пользователю предлагалось отправить «Илону Маску» от 0,1 до 3 биткоинов, чтобы он мог в ответ направить значительно больше.

Всего за один день мошенники получили 392 перевода общей суммой в 28 биткоинов или 180 000 долларов США по текущему курсу.

Мобильная безопасность

Мошенники используют SMS-фишинг для хищения денег через бескарточные банкоматы.


Преимущества бескарточных банкоматов по версии MasterCard

  1. Клиенты получали SMS о блокировке их учётных записей в онлайн-банке.
  2. В сообщении содержалась ссылка на сайт, где можно было разблокировать учётную запись.
  3. Сайт мошенников выглядел идентично оригинальному сайту банка и предлагал посетителю ввести свои логин, пароль, одноразовый код и ПИН для входа в онлайн-банк.
  4. Используя похищенные данные, мошенники добавляли свои мобильные номера к учётным записям пользователей и опустошали их счета через бескарточные банкоматы.

Атаки, уязвимости и утечки

Из-за уязвимости в программе Xnore, предназначенной для слежки родителей за детьми, каждый желающий мог просмотреть сообщения, информацию о телефонных звонках и другую конфиденциальную информацию десятков тысяч детей.

Xnore имеет версии для Android, iOS и BlackBerry и позволяет контролировать смс и сообщения объекта наблюдения в мессенджерах, просматривать GPS-координаты, электронную почту, фотогалерею, историю просмотра в браузере и сведения о вызовах.

Доступ к информации об аккаунтах пользователей выдавала функция просмотра местоположения на сайте программы. Для просмотра координат рядом с картой имеется выпадающий список, из которого нужно выбрать идентификатор ребёнка. И несмотря на то, что для авторизованного пользователя в этом списке отображаются только «его» идентификаторы, код страницы загружает весь список доступных идентификаторов, имеющийся в базе.

В итоге если просмотреть исходный код страницы, можно получить полный список идентификаторов и спокойно просматривать все данные по «чужим» детям.

Утечка персональных данных клиентов онлайн-магазина электронных компонентов Kitronik привела к компрометации реквизитов банковских карт покупателей.

Злоумышленники внедрили на страницы сайта вредоносный скрипт, который записывал сеанс работы с клавиатурой во время оформления заказа и отправлял собранные сведения на командный сервер мошенников. В результате в руки киберпреступников попали имя и е-мейл покупателя, номер, срок действия банковской карты и код CVV, а также почтовый адрес клиента.

Специалисты интернет-магазина удалили вредоносный скрипт и сообщили контролирующим органам Великобритании об инциденте, однако утечка попадает под действие GDPR, за нарушение которого ритейлеру грозит штраф до 20 млн евро.

И немного технических новостей

В ближайшее время эти уязвимости и методы атак могут привести к новым атакам на пользователей:

Новые методы атак по сторонним каналам на графические процессоры (GPU) позволяют отслеживать интернет-активность пользователей, похищать пароли и компрометировать облачные приложения.

Все методы основаны на анализе использования веб-браузерами графических процессоров на компьютерах, ноутбуках и смартфонах.

Первая атака состоит в отслеживании активности пользователей в сети с помощью приложения, использующего OpenGL для анализа поведения браузера. Это позволило получить точные отпечатки сайтов и выяснить, чем занимался пользователь.

Вторая атака позволила извлечь пароли пользователей. Каждый раз, когда жертва вводит символ, текстовое поле пароля загружается графическим процессором для обработки. Исследуя временной интервал, удалось определить число символов в пароле и период между нажатиями клавиш.

В процессорах Intel обнаружена новая уязвимость CVE-2018-5407, получившая название PortSmash. Ошибка связана с HyperThreading — интеловской реализацией технологии одновременной многопоточности (SMT — Simultaneous Multithreading) .

Суть проблемы PortSmash заключается в том, что на всех процессорах с поддержкой SMT вредоносный процесс может извлекать небольшие порции данных из соседнего легитимного процесса. Таким образом, атакующий может реконструировать зашифрованные данные или получить другую информацию.

На GitHub опубликован proof-of-concept для PortSmash для процессоров Intel Skylake и Kaby Lake. Эксплойт похищает приватный ключ OpenSSL с сервера TLS, но может быть модифицирован для других задач. Для успешной эксплуатации проблемы код должен работать на том же физическом ядре, что и целевой процесс

В чипах Bluetooth Low Energy (BLE) производства Texas Instruments обнаружены две критические уязвимости, используя которые злоумышленники могут удаленно и без аутентификации перехватывать контроль над точками доступа, проникать во внутренние сети предприятий, перемещаться по сетевым сегментам, создавая между ними мосты, а также устанавливать вредоносное ПО.

Первая уязвимость CVE-2018-16986 позволяет провести атаку, основанную на переполнении памяти.

  1. На устройство отправляют множество стандартных BLE-сообщений — «рекламных пакетов» (advertising packets), которые сохраняются в памяти микросхемы. В них содержится код, однако чип и его защитные механизмы не распознают его.
  2. Злоумышленники посылают еще один пакет, в заголовке которого активирован особый бит, вынуждающий чип выделить под пакет гораздо больше места, чем требуется. Это приводит к переполнению памяти и перезаписи указателей, ссылающихся на определенные фрагменты кода.
  3. Далее злоумышленники могут заставить чип выполнить код, присланный ранее в стандартных рекламных пакетах, а затем установить на микросхеме бэкдор или перепрограммировать ее для перехвата контроля над устройством.

Вторая уязвимость CVE-2018-7080, в функции обновления прошивки по воздуху по сути является бэкдором для удаленной установки новой прошивки. Обычно она используется при разработке но может быть активирована в некоторых устройствах, выпущенных в продажу. В точках доступа производства Aruba Networks обнаружился жестко закодированный пароль для OAD, причем один на всю серию. Завладев этим паролем, злоумышленник сможет установить вредоносную прошивку на множество устройств.

В прошивках SSD-накопителей Crucial и Samsung обнаружены несколько уязвимостей, которые позволяют обойти аппаратное шифрование и получить доступ к данным без пароля.

  1. Большая часть SSD с аппаратным шифрованием поставляется с мастер-паролем, который позволяет расшифровать данные, если пользователь забудет свой пароль. Этот пароль указан в документации и свободно доступен каждому желающему. Чтобы защититься от этой уязвимости, нужно сменить мастер-пароль или установить настройку Master Password Capability на максимум, чтобы деактивировать мастер-пароль.
  2. Пароль шифрования, устанавливаемый пользователем, и ключ шифрования не связаны между собой криптографически, поэтому неважно, какой пароль установит пользователь, шифрование/дешифрование данных будет производиться с помощью ключа DEK (Disk Encryption Key), который хранится в чипе.
О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Представляем новости об актуальных технологиях фишинга и других атаках на человека c 26 октября по 1 ноября 2018 года.


Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Поисковая система Microsoft Bing показывала вредоносную рекламу, предлагая загрузить и установить фальшивую версию Google Chrome.

Перейдя по ссылке в рекламе, пользователь попадал на сайт googleonline2018[.]com, который выглядел в точности как официальный сайт Google.com.

Google Chrome блокировал фальшивый сайт, но Bing и Edge считали его легитимным.

Новая методика «TLS Session Resumption» позволяет отслеживать пользователей.

Методика основана на использовании механизма запоминания сессии пользователя, имеющемся в стандарте TLS.

  1. Владельцы серверов могут установить срок, в течение которого сервер помнит сессию пользователя.
  2. Если пользователь посетил сервер, который загружает рекламу через HTTPS с сервера TLS, активируется механизм TLS Session Resumption, сохраняющий его сессию.
  3. Если затем пользователь перейдёт на другой сайт с рекламой от этой компании, соединение останется открытым, что позволит отследить его переходы по ресурсам.

Вредоносное ПО

Вредоносное ПО SearchAwesome для macOS распространяется через торренты под видом взломанных приложений.

  1. Загруженный установщик представляет собой обычный файл образа диска.
  2. Если пользователь решает начать установку, малварь устанавливает скрытые компоненты, после чего просит подтвердить изменения в настройках доверенных сертификатов и разрешить компоненту spi изменять сетевую конфигурацию:

На заражённую машину устанавливается mitmproxy — инструмент для перехвата и модификации трафика.

Имея разрешения на изменения доверенных сертификатов, SearchAwesome вмешивается как в зашифрованный, так и в открытый трафик, внедряя рекламный JavaScript в каждую страницу, которую посещает жертва.

Атаки, уязвимости и утечки

В Microsoft Office 2016 и выше обнаружена уязвимость, связанная со встраиванием в документ онлайн-видеороликов.

Используя её, злоумышленник может встроить в документ зловредный JavaScript-код.

Для проведения атаки нужно:

  1. Встроить видео в документ Word.
  2. Открыть .docx как .zip-архив.
  3. Отредактировать XML-файл с именем document.xml, заменив в нём ссылку на видео модифицированной вредоносной нагрузкой, открывающей менеджер загрузки Internet Explorer со встроенным файлом для выполнения кода.

Модификация параметра embeddedHTML позволяет перенаправить плавающий фрейм видео на зловредный html- или javascript-код.

Описанный метод могут взять на вооружение фишеры, которые будут прикладывать вредоносные документы к электронным письмам. Особую опасность таким атакам добавляет отсутствие предупреждений защитных систем при открытии файлов со встроенным видео.

Десктопная версия мессенджера Telegram хранит все чаты пользователя, включая секретные, в незашифрованной локальной базе данных sqlite.

Чтобы прочитать содержимое базы, потребуются некоторые нетривиальные манипуляции, но тем не менее, данные там хранятся в открытом виде.

Аналогичная ситуация имеет место с медиафайлами. Выяснилось, что достаточно изменить расширение файла, чтобы просмотреть картинки.

Последнее обновление iOS 12.1 содержит уязвимость, которая позволяет обойти блокировку экрана и просмотреть детальную информацию о контактах без привлечения голосовых ассистентов или функций VoiceOver.

Чтобы добраться до контактов, злоумышленнику нужно:

  1. Позвонить на iPhone жертвы с другого iPhone.
  2. Ответить на звонок и включить видеочат FaceTime.
  3. В меню в правом нижнем углу выбрать опцию «Добавить человека».
  4. Нажать на иконку «+» и получить доступ к полному списку контактов.

Вредонос Emotet научился подменять доверенные сертификаты почтовых серверов.

Администраторам почтовых серверов рекомендуется использовать антиспуфинговый механизм аутентификации DMARC, использующий доменные ключи (DKIM) для подтверждения подлинности рассылаемых писем.

Чтобы обойти DMARC, злоумышленники воспользовались техникой перехвата доменов (domain hijacking), перенаправляя запросы на проверку подлинности почты на сервера злоумышленников.

Имеющиеся там ключи подтверждают легитимность отправителя, позволяя обходить ограничения на уровне белых списков.

Ноутбуки Lenovo ThinkPad можно полностью вывести из строя через изменения в настройках UEFI BIOS.

Проблема связана с опцией «BIOS support for Thunderbolt» или «Thunderbolt BIOS Assist», активация которой в некоторых случаях вызывает состояние циклической перезагрузки, в процессе которой будет отображаться только черный экран, свидетельствующий о повреждении прошивки UEFI.

Для восстановления работоспособности может потребоваться замена материнской платы.

В одной из больниц Иллинойса вышли из строя около 40 смартфонов, планшетов и часов производства Apple.

После установки МРТ-сканера произошла утечка 120 литров гелия, использовавшегося для его охлаждения. После этого устройства сотрудников и пациентов вышли из строя.

Оказалось, что молекулы гелия имеют настолько небольшой размер, что могут повредить чипы микроэлектромеханических систем (МЭМС), которые с недавнего времени используются в гироскопах и акселерометрах техники Apple вместо кварацевых осцилляторов.

Также выяснилось, что руководство пользователя iPhone предупреждает о таких случаях.

О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Ctrl + ↓ Ранее