Блог компании Антифишинг

как поведение людей влияет на безопасность

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 8 по 14 февраля 2019 года.


Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Злоумышленники используют рекламные объявления Google для продвижения вредоносных сайтов.

Маскируясь под крупные банки, они предлагают пройти опрос и получить вознаграждение:

Тем, кто прошёл опрос, предлагается открыть счёт, на который будет перечислено их вознаграждение или зафиксировать свой выигрыш путём перечисления «закрепительного платежа»:

Для «открытия счёта» или «закрепления выигрыша» требуется заплатить от 100 до 300 рублей. После того, как жертва перечислит деньги, преступники исчезают.

Для проведения атаки преступники создали массу поддельных сайтов, оформленных под Сбербанк, Тинькофф Банк, Райффайзенбанк и другие крупные кредитные организации.

Зафиксирована новая фишинговая кампания по распространению шифровальщика Shade.

  1. Жертва получает письмо-уведомление о заказе от известной компании, например, Бинбанка или сети «Магнит».
  2. Письма часто содержат отметку о проверке каким-либо антивирусом для усиления доверия.
  3. С деталями заказа предлагается ознакомиться, перейдя по ссылке (первый вариант атаки) или открыв вложение (второй вариант).
  4. Если жертва перейдёт по ссылке, будет загружен троян Shade

Для второго варианта вложенный PDF-документ имитирует интерфейс популярного у корпоративных пользователей сервиса, например, системы электронной отчетности и документооборота СБИС:

При попытке «напечатать документы» на компьютер также загружается шифровальщик.

Обнаружена необычная фишинговая кампания со ссылками длиной до 1000 символов.

Письма рассылаются под видом уведомлений от службы поддержки домена. В письме сообщается, будто е-мейл жертвы был внесен в черный список, и необходимо подтвердить его, указав свои учетные данные. В противном случае учетная запись будет удалена:

После нажатия на ссылку пользователь оказывается на поддельной странице авторизации, неотличимой от реальной страницы авторизации его сайта:

Если пользователь введёт свои данные, они будут направлены злоумышленникам.

Особенностью атаки является использование особо длинных ссылок:

Вероятно, так мошенники пытаются обойти антиспам-фильтры и другие технические средства защиты.

Новая фишинговая атака распространяет загрузчик шифровальщика в изображении Super Mario.

Атака начинается с письма на итальянском языке с вложенным xls-файлом, замаскированным под уведомление об оплате:

Открыв документ и разрешив выполнение макросов, жертва запускает скрипт, определяющий местоположение компьютера:

Если выясняется, что жертва находится в Италии, макрос загружает изображение Марио, иначе таблица просто закрывается без последствий:

Скрипт извлекает информацию из отдельных пикселей картинки в зеленом и синем канале для воссоздания обфусцированной PowerShell-команды:

Команда запускает цепочку других PowerShell-скриптов, в конечном итоге загружающих шифровальщик GandCrab.

Мошенники из фальшивой технической поддержки стали маскировать свои вредоносы под легитимные антивирусные программы.

В некоторых случаях вредоносная программа была замаскирирована под Norton Antivirus. Для большей реалистичности вредонсы содержат JavaScript и HTML коды, имитирующие настоящий процесс сканирования:

Мошенники стремятся вызвать страх, сообщая о заражении компьютера, однако внимательные владельцы ПК могут заметить, что предупреждения отображаются в браузерах, а не исходят от антивирусного решения:

Тем не менее, схема оказалась достаточно эффективной: получив доступ к web-панели управления одного из мошенников, специалисты Symantec выяснили, что количество его жертв насчитывает десятки тысяч пользователей.

Зловред Qealler распространяется в фишинговых письмах и похищает пароли для интернет-ресурсов и приложений.

  1. Жертва получает письмо со вложенным файлом Remittance.JAR (Remittance — денежный перевод).
  2. Если жертва запускает вложение, Qealler проверят наличие предыдущих версий себя и загружает с управляющего сервера похититель паролей QaZagne.
  3. QaZagne — python-скрипт, который извлекает учётные данные из браузеров, почтовых клиентов, мессенджеров, утилит для администрирования и игр.
  4. Собранные данные упаковываются в JSON-контейнер, шифруются и отправляются на сервер злоумышленников.

«Умные» устройства

Электросамокат Xiaomi содержит опасную уязвимость, которая угрожает жизни его владельца.

Самокат поставляется с мобильным приложением для удалённого управления по Bluetooth. С помощью приложения пользователь может изменить пароль, включить противоугонную систему, обновить прошивку и просмотреть статистику поездок.

Выяснилось, что пароль на доступ самокату проверяется только в приложении, а сам самокат выполняет все команды без проверки состояния аутентификации. Это даёт злоумышленнику возможность отправлять устройству неавторизованные команды на расстоянии до 100 метров:

Фактически, преступник может сделать с самокатом что угодно: заблокировать устройство, внедрить вредоносное ПО путем обновления прошивки или неожиданно для пользователя тормозить или менять скорость самоката во время поездки.

Уязвимости и вредоносное ПО

Новый вредонос для macOS представляет собой исполняемый файл для Windows и распространяется в составе дистрибутива macOS-файрволла Little Snitch.

  1. Вредоносный дистрибутив распространялся с нескольких торрент-трекеров
  2. Образ macOS-дистрибутива .dmg содержал в составе файл installer.exe, скомпилированный при помощи фреймворка Mono, который делает исполняемые файлы совместимыми с macOS.
  3. Поскольку exe-файл чужероден для платформы Apple, защитная программа Gatekeeper не проверяет его на наличие вредоносных функций.
  4. После запуска установки дистрибутива запускается скрипт, который собирает системную и пользовательскую информацию, а затем направляет её злоумышленникам.
  5. На заражённое устройство загружаются три рекламные программы, замаскированные под утилиты для macOS.
  6. После запуска они имитируют установку Adobe Flash Player и Little Snitch.

Вредоносный USB-кабель 0.MG содержит Wi-Fi-плату и умеет передавать на компьютер команды по беспроводной сети.

  1. При подключении кабеля операционная система воспринимает кабель как клавиатуру и мышь, поэтому злоумышленник может вводить команды независимо от того, заблокировано устройство или нет.
  2. Чтобы компьютер не заблокировался автоматически, кабель может имитировать активность пользователя, совершая незаметные движения мышью или эмулируя нажатия клавиш.
  3. Wi-Fi чип можно настроить для подключения к беспроводной сети компания и запуска реверс-шелла на компьютере. Тогда злоумышленник сможет исследовать компьютер, находясь вдалеке от него:

Видео: демонстрация работы кабеля.

В некоторых моделях iPhone обнаружена уязвимость, из-за которой пользователя «выкидывает» на главный экран.

Для эксплуатации уязвимости нужно:

  1. Перейти в режим ввода текста в любом приложении
  2. Включить голосовой набор
  3. Пять раз произнести «дефис» («hyphen»).

Ошибке подвержены iPhone 6s, 8, X и XS Max.

В macOS Mojave обнаружена опасная уязвимость, которая позволяет вредоносному приложению обойти запрет на доступ к защищённым системным папкам.

Новейшая версия macOS Mojave по умолчанию разрешает доступ к некоторым папкам только ограниченному числу приложений. Например, доступ к папке, содержащей историю браузера Safari (~/Library/Safari) имеется только только для Finder и собственно браузера.

Исследователю удалось написать приложение, которое «заглядывает» в ~/Library/Safari без всяких разрешений от системы или пользователя и может просмотреть историю посещений в браузере.

Технологию Intel Software Guard Extensions (SGX) можно использовать для маскировки вредоносов под видом легитимного приложения.

Для взлома SGX используется техника возвратно-ориентированного программирования (Reverse-Oriented Programming), при которой стек потока перезаписывается таким образом, чтобы приложение выполняло не свои функции, а вредоносные. Добиться этого удаётся, объединяя хранящиеся в памяти несвязанные фрагменты кода путём подмены адресов возврата из функций.

Попав во вредоносный фрагмент, процессор продолжает выполнять инструкции злоумышленников, перемещаясь во второй, третий и последующие участки. В результате программа выполняет действия, которых в ней не предусмотрено.

О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Представляем новости об актуальных технологиях фишинга и других атаках на человека c 1 по 7 февраля 2019 года.


Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Зафиксирована новая атака, в ходе которой адреса фишинговых сайтов скрываются с помощью переводчика Google.

Особенностью этой атаки является одновременный сбор учётных данных двух сервисов: в случае успеха жертва может лишиться аккаунтов и Google, и Facebook.

Атака начинается с письма с уведомлением о том, что к учётной записи Google подключено новое устройство. В письме имеется кнопка «Consult Activity», после нажатия на которую жертва попадает на фишинговую страницу:

Страница замаскирована оригинальным образом: её адрес обработан с помощью переводчика Google Translate, поэтому URL в строке браузера и сама страница выглядит вполне легитимно:

На фишинговой странице размещена форма, имитирующая форму Google для ввода логина и пароля. Страница ориентирована в первую очередь на пользователей мобильных устройств. На обычных компьютерах распознать обман чрезвычайно легко, поскольку панель инструментов «Google Переводчика» вверху страницы или отображение его домена при наведении мыши на ссылку с большой вероятностью вызовет подозрение.

Если пользователь вводит логин и пароль, они отправляются злоумышленнику:

Получив логин и пароль, сервер злоумышленника с помощью специального скрипта формирует фишинговую страницу входа в Фейсбук:

на эту страницу подставляются данные, полученные из учетной записи Google:

Если пользователь вводит свои логин и пароль от аккаунта Фейсбуке, то злоумышленник также получает эту информацию.

Мошенники заманивают пользователей YouTube на вредоносные сайты с фальшивыми опросами, притворяясь популярными ютуберами.

Мошенники создают профиль, оформление которого практически полностью копирует оригинальный профиль популярного видеоблогера:

Чтобы получить возможность отправлять жертвам сообщения, мошенники направляют им запросы на добавление в друзья:

После того, как жертва принимает дружбу от «знаменитости», мошенники направляют сообщение, в котором благодарят нового друга за комментарии и сообщают, что разыгрывают среди своих комментаторов iPhone X, и генератор случайных чисел выбрал именно жертву. Чтобы получить приз, нужно перейти по ссылке:

Жертва попадает на сайт, копирующий дизайн сайта Apple. Сайт предлагает нажать кнопку «Get It Now», чтобы получить желанный приз:

После нажатия выводится сообщение о необходимости подтвердить, что по кнопке кликнул живой человек:

После нажатия «Verify Now» открывается сайт с опросами, которые нужно пройти, указав свои личные данные:

Мошенники получают отчисления каждый раз, когда пользователь проходит опрос и сообщает персональную информацию. Никакого айфона, разумеется, жертва не получает.

Имеется другой вариант этой кампании, в которой вместо айфона жертвам предлагаются различные подарочные карты:

Киберпреступники используют штатные возможности Gmail для мошенничества с деловой перепиской.

Преступники используют тот факт, что сервис Gmail игнорирует точки в адресах электронной почты до символа «@». Это значит, что все адреса ниже для Gmail являются одинаковыми:

moyapochta@gmail.com
moya.pochta@gmail.com
m.o.y.a.p.o.c.h.t.a@gmail.com

Проблема в том, что одинаковыми эти адреса выглядят только для почты Google. При регистрации на других сайтах эти адреса будут считаться различными.

В 2018 году была зафиксирована кампания, в рамках которой мошенники регистрировали учётную запись Netflix, используя точечную запись адреса легального пользователя. Netflix отправлял на почту нового пользователя уведомление о необходимости обновить данные банковской карты, которое получал действующий пользователь. Как только легальный пользователь обновлял данные карты, его карта оказывалась привязанной к Netflix-аккаунту мошенника:

В 2019 году мошенники переориентировали свою активность с точечными адресами на более серьёзные направления:

  • Четыре американских финансовых организации одобрили 48 мошеннических заявлений на открытие кредита общей суммой 65 тыс долларов США.
  • Через электронную систему для подачи налоговых деклараций было подано 13 незаконных заявок на налоговые вычеты.
  • Около 20 эпизодов связаны с мошенничеством с социальным страхованием и пособиями по безработице.
  • В 14 случаях преступники использовали пробные аккаунты некоего коммерческого сервиса, чтобы собрать данные для BEC-атак, и 12 раз подавали заявление о смене физического почтового адреса.

Обнаружена фишинговая атака на пользователей криптовалютного кошелька MyEtherWallet.

В письмах злоумышленники сообщают о недавней утечке данных и для подтверждения личности и устранения последствий утечки просят у жертв сообщить их закрытый ключ или мнемоническую фразу.

Разработчики предупреждают, что о реальных утечках будут предупреждать своих пользователей через Twitter, а не по электронной почте и подчёркивают, что поскольку MyEtherWallet не хранит никаких пользовательских данных, утечка попросту невозможна.

Кибермошенники рассылают спам с требованием выкупа, ориентированный на пользователей сайтов для взрослых.

Фрагмент вымогательского письма:

xxx is your pass. Lets get straight to purpose. Neither anyone has paid me to check about you. You do not know me and you are most likely wondering why you are getting this e-mail?

Well, i setup a software on the X video clips (porn material) web site and you know what, you visited this site to have fun (you know what i mean). When you were watching videos, your browser began functioning as a RDP with a key logger which gave me access to your display and also web camera. after that, my software program gathered all your contacts from your Messenger, FB, as well as emailaccount. Next i made a double-screen video. 1st part displays the video you were viewing (you've got a good taste lol . . .), and 2nd part shows the recording of your web camera, yeah its you.

В письмах жертве сообщают, что один из популярных порносайтов взломан, и всех его посетителей записывали с помощью их веб-камер. Чтобы избежать публикации этих записей, нужно заплатить мошенникам 969 долларов в биткоинах.

Для убедительности в письмах содержится старый пароль жертвы, полученный из предыдущих утечек.

Мобильная безопасность

Функциональность Siri Shortcuts («Быстрые команды») можно использовать для кражи данных, запугивания пользователей и распространения вредоносного ПО.

  1. «Быстрые команды» поддерживают множество операций, включая запуск приложений, загрузку контента и блокировку экрана.
  2. Если установить приложение Shortcuts, можно получить доступ к командам, созданным другими пользователями.
  3. Мошенники могут создать набор команд, которые проговаривают вслух шантажистские сообщения и требуют выкуп или запускают скрипт, который собирает информацию о системе и добавляет эти данные в вымогательское послание, чтобы угрозы были убедительнее.
  4. Кроме того, вредоносный скрипт может открыть сайт с вымогательским посланием, на котором будет отображаться собранная с устройства информация.

Из магазина приложений Google Play Store удалены 29 вредоносных приложений, которые показывали пользователям рекламу порнографических и фишинговых сайтов.

  1. Все приложения были ориентированы на обработку фото с помощью фильтров.
  2. Чтобы затруднить анализ и обойти защитные механизмы Google, APK-файлы приложений сжимались специальными упаковщиками.
  3. Популярность приложений в магазине была накручена, поэтому некоторые из них были загружены более миллиона раз.
  4. После установки на устройство программы разными способами противодействовали своему удалению. Одна из них, например, убирала себя из списка приложений.
  5. Приложения показывали рекламу в браузере во весь экран. Пользователи не всегда могли связать факт отображения рекламы с установкой вредоносного приложения, поэтому источник вредоносных баннеров часто оставался невыясненным.

Вредоносное ПО

CookieMiner — новый вредонос для macOS, который крадёт файлы cookies из браузера и сохранённые учётные данные, а затем майнит криптовалюту.

Эти данные вредонос собирает, чтобы использовать их для хищения криптовалюты у пользователя криптобирж.

В числе данных, которые ищет CookieMiner:

  • куки-файлы популярных криптовалютных бирж и кошельков в браузерах Google Chrome и Safari.
  • Имена пользователей, пароли и информацию платежных карт, сохраненые в Chrome.
  • Данные и ключи криптовалютных кошельков.
  • SMS из iMessage, сохраненные в резервных копиях iTunes.

Кроме хищения данных CookieMiner запускает на компьютере жертвы майнинг криптовалюты Koto с помощью программ xmring2 и устанавливает EmPyre — написанный на Python скрипт, который даёт злоумышленникам удалённый доступ к системе.

Атаки, уязвимости и утечки

Приложения авиаперевозчиков, отелей и магазинов тайно шпионят за владельцами iPhone.

Для слежки в приложения встраиваются шпионские библиотеки, разработанные аналитической компанией Glassbox. Софт от Glassbox умеет без ведома устройств делать скриншоты, в том числе форм с персональными и банковскими данными:

Среди приложений со шпионским довеском софт от Air Canada, Abercrombie & Fitch и дочерней компании Hollister, Expedia, Hotels.com и Singapore Airlines:

О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Представляем новости об актуальных технологиях фишинга и других атаках на человека c 25 по 31 января 2019 года.


Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мобильная безопасность

Клиенты Сбербанка стали жертвами мошенников, которые звонили с номеров самого банка и знали многое о клиенте, включая информацию об остатках по счету и последние транзакции.

  1. При входящем звонке на мобильных телефонах жертв определялся номер телефона Сбербанка. В одном случае звонки были с номера 900, в другом — с +7 (495) 500-55-50. Оба указаны как контактные на обратной стороне карт Сбербанка.
  2. Для подтверждения «сотрудники» направляли жертве СМС с короткого номера 900, который имитировал сообщение от банка.

Эксперты подтверждают, что звонок мошенников с официального номера технически возможен:

Можно скачать специальное приложение на мобильный телефон, стоимость одного звонка с измененным номером составит несколько рублей. Есть приложения и для отправки СМС

— руководитель лаборатории практического анализа защищенности «Инфосистемы Джет» Лука Сафонов

Точное знание остатка и транзакций по счёту могут говорить о наличии у мошенников инсайда в банке.

В приложении Apple FaceTime обнаружена уязвимость, которая позволяет звонящему получить доступ к микрофону и камере адресата, даже если он не ответил на звонок.

Чтобы воспроизвести проблему на iPhone и Mac,

  1. Позвоните по FaceTime любому из своих контактов;
  2. Пока идет вызов, свайпните вверх и выберите «Добавить человека»;
  3. Введите свой телефонный номер, после чего начните групповой вызов FaceTime, добавив себя в качестве еще одного участника беседы;
  4. Микрофон жертвы включится, и можно будет слушать аудио, даже если на ваш звонок не ответили. При этом жертва ничего не заметит;
  5. Если во время совершения звонка жертва нажмет на кнопку Power, атакующему будет доступно еще и видео с фронтальной камеры устройства.

Баг работает в iOS 12.1 и 12.2, а также в macOS Mojave.

Уязвимые смарт-часы с функцией GPS-трекера позволяют отследить местоположение ребенка и потенциально причинить ему вред.

В компании Pen Test Partners повторили проведённое в 2017 году исследование безопасности гаджетов Gator и проверили, как была улучшена их безопасность.

Выяснилось, что кто угодно мог получить доступ ко всей базе данных, в том числе к местоположению детей в режиме реального времени, именам и данным родителей.

Уязвимость позволяет злоумышленникам с лёгкостью повысить привилегии. В часах отсутствует механизм проверки наличия у пользователя разрешения на доступ к панели администрирования. Для получения доступа к информации атакующему достаточно знать учётные данные пользователя часов.

Сайты, почта и мессенджеры

Новая версия шифровальщика GandCrab распространяется с помощью фишинговой рассылки под видом плана эвакуации из здания.

В письме некая Рози Л. Эштон (Rosie L. Ashton), менеджер по недвижимости, призывает получателя ознакомиться с планом эвакуации. К письму может быть приложен документ MS Word или ссылка для скачивания.

После открытия вредоносный документ предлагает включить макросы и отключить защищенный режим:

И показывает подробные инструкции, как это сделать:

В имени файла часть латинских букв заменена кириллическими аналогами, чтобы жертва видела понятное ей название, а спам-фильтры — только последовательность специальных символов.

Если жертва разрешит выполнение скриптов, внедренный в файл сценарий загрузит и запустит шифровальщик GandCrab версии 5.1. Мошенники предлагают пострадавшему перейти на сайт в сети TOR и обещают восстановить один файл бесплатно.

Злоумышленники использовали переадресацию через Google App Engine для фишинговых атак на финансовые компании и банки.

  1. Жертва получала фишинговое письмо.
  2. В письме были ссылки на загрузку PDF-документов.
  3. PDF-документы содержали редиректы на мошеннические DOC-файлы.
  4. Редиректы выполнялись через домены Google App Engine — благодаря URL в зоне google.com они должны были вызывать больше доверия у жертв:
https://appengine.google[.]com/_ah/logout?continue=https%3A%2F%2Ftransef[.]biz%2FDoc102018.doc
https://appengine.google[.]com/_ah/logout?continue=https%3A%2F%2Fswptransaction-scan2034.s3.ca-central-1.amazonaws[.]com%2FDoc102018.doc

Если пользователь разрешал подключение, на его компьютер загружался документ MS Word, содержащий вредоносные макросы. При открытии документа пользователю предлагалось разрешить редактирование и активировать макросы:

Если жертва разрешала редактирование, на компьютер загружалась очередная ступень вредоноса — скрипт для Microsoft Connection Manager Profile Installer (csmtp.exe) в виде текстового файла fr.txt, запуск которого на выполнение должен был привести к установке вредоносной программы в систему.

Опасность такой схемы состоит в том, что для установки вредоносного содержимого используется легитимная программа Windows, которая не вызывает подозрений у антивирусного ПО. На момент изучения зловреда fr.txt не содержал вредоносной нагрузки, но его авторы могут добавить её в любой момент.

Атаки, уязвимости и утечки

Северокорейские киберпреступники проникли в компьютерную сеть компании Redbanc (обслуживает банкоматы всех банков в Чили) благодаря наивному сотруднику и одному звонку в Skype.

  1. Атака стала возможна благодаря действиям сотрудника Redbanc, который откликнулся на вакансию разработчика в соцсети LinkedIn.
  2. Компания, разместившая объявление, оказалась прикрытием участников Lazarus Group.
  3. Во время собеседования по Skype преступники попросили соискателя загрузить файл ApplicationPDF.exe якобы для генерации стандартного бланка заявки.
  4. В действительности файл загружал и устанавливал вредонос PowerRatankba.

PowerRatankba отправлял преступникам информацию о компьютере сотрудника Redbanc: имя ПК, сведения об аппаратной конфигурации и ОС, настройки прокси, список запущенных процессов, расшаренные папки и пр.

На основе данной информации злоумышленники могли сделать вывод о ценности инфицированного ПК и загрузить дополнительное вредоносное ПО.

Киберпреступники ограбили Министерство иностранных дел Финляндии с помощью фишинговых писем.

  1. Взломав сервер программы развития ООН, они отправляли в МИД Финляндии фальшивые е-мейлы от имени сотрудников организации с просибой перечислить средства на проект по развитию правовой системы Кыргызстана.
  2. Поскольку у МИД Финляндии имелась договорённость по этому проекту, средства в размере 400 тысяч евро были перечислены незамедлительно.

Хакеры из США, России и Украины через фишинговую атаку получили доступ к корпоративным отчетам и смогли заработать на инсайдерской торговле более 4 млн долларов США.

  1. Кибергруппировка атаковала систему EDGAR, в которой хранятся корпоративные документы компаний, акции которых торгуются на бирже.
  2. Для проникновения в систему SEC хакеры использовали фишинговые письма, содержащие вредоносные вложения.
  3. В итоге Хакеры получили несанкционированный доступ к 157 отчетам о прибыли, которые еще не были представлены публично. Эти данные позволили злоумышленникам совершать сделки на бирже, зная, вырастут или упадут акции конкретных компаний в ближайшее время.

Вредоносное ПО

Троян Razy ворует криптовалюту через вредоносное расширение для браузера.

Программа распространяется через блоки партнерских программ, в том числе раздается с бесплатных файловых хостингов под видом легитимного ПО:

Для хищения криптовалюты троян может подменять поисковую выдачу Яндекс и Google, искать на сайтах любые адреса криптовалютных кошельков и заменять их на адреса кошельков злоумышленников, подменять изображения QR-кодов кошельков, а также модифицировать страницы криптовалютных бирж и даже страницы Wikipedia:

Троян AZORult маскируется под приложение Google Update и заменяет официальную программу вредоносной версией.

AZORult — программа для кражи информации и загрузчик для другого вредоносного ПО; предназначен для кражи как можно большего объема конфиденциальной информации: от файлов, паролей, cookie-файлов и истории посещения в браузере до банковских учетных данных и криптовалютных кошельков пользователей.

Примечательно, что исполняемый файл вредоноса имеет валидную электронную подпись компании «Singh Agile Content Design Limited» вместо Google. Сертификат ЭЦП был выдан 19 ноября минувшего года и на протяжении прошедшего периода использовался для подписи более чем сотни исполняемых файлов, причем все они были замаскированы под Google Update.

«Добрый» шифровальщик T1Happy предлагает жертве самостоятельно декомпилировать его и в следующий раз быть осторожнее.

  1. T1Happy написан на C#
  2. При запуске он пытается получить максимальные привилегии, не вызывая диалог контроля учётных записей
  3. Получив привилегии, вредонос шифрует файлы ключом AES, добавляя к ним расширение .happy.
  4. Закончив шифрование, T1Happy оставляет текстовый файл «HIT BY RANSOMWARE.txt», сообщение в котором предлагает жертве выяснить метод шифрования, декомпилировав зловред.
О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Ctrl + ↓ Ранее