Блог компании Антифишинг

как поведение людей влияет на безопасность

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 15 по 21 ноября 2019 года.


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Уязвимости

В мессенджере WhatsApp обнаружена уязвимость, позволяющая удаленно скомпрометировать устройство и похитить с него информацию.

Для эксплуатации уязвимости нужен номер телефона жертвы. Зная его, можно отправить по WhatsApp специально сформированнный файл в формате MP4, после открытия которого на устройство незаметно установится бэкдор или шпионского ПО.

Причина ошибки — в некорректной реализации обработки потока метаданных MP4-файла, в результате чего специально сформированный файл может привести к переполнению буфера и вызвать сбой в работе приложения или удаленное выполнение кода.

Ошибка содержится в следующих версиях WhatsApp:

  • Android-версии до 2.19.274;
  • iOS-версии младше 2.19.100;
  • Enterprise Client до 2.25.3;
  • для Windows Phone младше и включая 2.18.368;
  • Business for Android до 2.19.104;
  • Business for iOS до 2.19.100.

В системе контроля учётных записей Windows UAC обнаружена опасная уязвимость, эксплуатация которой позволяет злоумышленнику получить административные права, а затем устанавливать и удалять программы, просматривать и модифицировать данные.

Чтобы воспользоваться уязвимостью, нужно

  1. Получить доступ к компьютеру в качестве пользователя с обычными правами
  2. Загрузить подписанный Microsoft исполняемый файл.
  3. Запустить его от имени администратора, чтобы вызвать диалоговое окно UAC с запросом разрешения на действие.

4. В окне UAC нужно нажать кнопку «Показать детали», а затем ссылку «Показать информацию о сертификате»

5. Если среди свойств сертификата присутствует OID SpcSpAgencyInfo, имеющий значение 1.3.6.1.4.1.311.2.1.10, ссылка на издателя сертификата на закладке «Общие» будет показана как гиперссылка, при щелчке на которую будет запущен браузер с правами NT AUTHORITY\SYSTEM.

6. Выбрав в открывшемся окне браузера выбрать «Файл-Сохранить как», в окне сохранения можно перейти в системный каталог и запустить cmd.exe с правами администратора.

Демонстрация эксплуатации уязвимости:

В процессорах Qualcomm обнаружены уязвимости, эксплуатация которых позволяет похищать конфиденциальные данные, хранящиеся в защищенной области устройств.

Выявленные ошибки позволяют

  • Запустить доверенное приложение в Normal World.
  • Загрузить пропатченное доверенное приложение в Secure World (QSEE).
  • Обойти «цепочку доверия» Qualcomm.
  • Адаптировать доверенное приложение для запуска на устройстве другого производителя.

Проблемы содержатся в Qualcomm Secure Execution Environment (QSEE) — безопасной среде исполнения (Trusted Execution Environment, TEE), основанной на технологии ARM TrustZone. QSEE — изолированная область в процессоре, предназначенная для аппаратной защиты персональной информации, закрытых ключей шифрования, паролей и данных платежных карт.

Разработана атака на GPS, которая заставляет ретрансляторы морских кораблей показывать ложные координаты, которые образуют кольцеобразные узоры.

Инцидент, обнаруживший существование атаки произошёл в 2018 году.
Согласно международному законодательству коммерческие суда должны иметь автоматическую идентификационную систему (АИС), которая раз в несколько секунд транслирует название, курс, местоположение и скорость судна, а также отображает все эти данные для других судов поблизости. Данные о местоположении АИС получает от спутников GPS.

Капитан одного из кораблей, следовавших вблизи Шанхая, увидел на экране АИС судно, следующее по одному с ним курсу. Затем судно исчезло, а через несколько минут появилось снова, но уже в доке. Затем судно исчезло и появилось в проливе, а потом снова оказалось в доке и так несколько раз. Капитан взглянул в бинокль и обнаружил, что всё это время судно находилось в доке.

«Возможность подделать координаты сразу нескольких кораблей таким образом, чтобы они образовали круги, — это экстраординарная технология. Сродни магии»

Тодд Хамфрис, глава радионавигационной лаборатории
Техасского университета

Видео: реконструкция атаки

Инциденты

Учётные записи пользователей стримингового сервиса Disney+ продаются на хакерских форумах по цене от 3 до 11 долларов США. Представители компании Disney настаивают, что инциденты не связаны с утечкой.

Некоторые из жертв признались, что использовали для доступа к Disney+ свои старые пароли, в других случаях эксперты предполагают, что злоумышленники использовали шпионские программы для хищения учётных данных.
Ещё одна причина сложившейся ситуации состоит в том, что Disney+ не поддерживает двухфакторную аутентификацию.

На данный момент всем клиентам Disney+, которые использовали слабый пароль, рекомендуется заменить его на более стойкий и проверить компьютер на предмет наличия шпионского ПО.

Мобильная безопасность

В ПО, предустановленном на Android-смартфоны Asus, Samsung, Sony и Xiaomi, обнаружено 146 уязвимостей.

  • 28,1% из них позволяют модифицировать системные настройки;
  • 23,3% допускают несанкционированную установку приложений;
  • 20,5% позволяют выполнять команды;
  • 17,8% позволяют изменить настройки беспроводной связи.

Среди уязвимых устройств Asus ZenFone, Samsung A3, A5, A7, A8+, J3, J4, J5, J6, J7, S7, S7 Edge, Sony Xperia Touch, Xiaomi Redmi 5, Redmi 6 Pro и Mi Note 6.

Рекламный вредонос Ads Blocker распространяется под видом блокировщика рекламы через неавторизованные Android-репозитории.

В процессе установки приложение запрашивает права на открытие VPN-соединения, показ сообщений поверх других окон и создание виджета на рабочем столе. Получив необходимые привилегии, приложение демонстрирует пользователю служебное сообщение, удаляет свою иконку и переходит в фоновый режим.

Ads Blocker умеет открывать свои окна во весь экран, запускать браузер с нужным сайтом, отправлять пользователю уведомления. Кроме того, приложение размещает на одном из рабочих столов прозрачный виджет, загружающий баннеры. После установки вредоноса рекламные сообщения выводятся каждые две минуты.

Программа удаляет своё название и иконку из списка установленных приложений, отображаясь в нём как пустая строка. Единственный индикатор её работы — значок VPN-соединения в панели состояния.

Вредоносное ПО

Банковский троян Mispadu использует для распространения спам и поддельную рекламу McDonald’s. В Бразилии Mispadu использует дополнительный канал, распространяясь как вредоносное расширение для Google Chrome, и кроме хищения данных банковских карт и онлайн-банкинга атакует пользователей платежной системы Boleto.

Мошенники размещали в Facebook коммерческие публикации, в которых предлагали пользователям скидочные купоны в McDonald’s. Щёлкнув по рекламе, жертва загружала файл ZIP, замаскированный под скидочный купон и содержащий установщик MSI. Запустив архив, пользователь устанавливал банковский троян Mispadu.

Вымогатель Cyborg распространяется с помощью писем, содержащих фальшивое обновление для Windows.

Письмо содержит вложение — файл с расширением .jpg размером около 28 Кб. В действительности это исполняемый файл, который при запуске загружает вредоносную нагрузку — вымогателя Cyborg.

Вредоносная нагрузка находится в файле bitcoingenerator.exe, размещенном на Github.

После запуска вымогатель шифрует файлы, добавляя к ним расширение «777».

Завершив шифрование, Cyborg выводит на экран требование выкупа, который составляет 500 долларов США в биткоинах.

О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.





Представляем новости об актуальных технологиях фишинга и других атаках на человека c 8 по 14 ноября 2019 года.


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Злоумышленники распространяют вредоносное ПО для удалённого доступа под видом клиента для онлайн-конференций WebEx.

Атака начинается с письма, содержащего приглашение на WebEx-конференцию. В качестве отправителя указан официальный сайт системы, а внешний вид сообщения соответствует легитимным образцам. В тексте размещена ссылка, по которой жертва якобы может присоединиться к беседе.

Киберпреступники используют механизм открытого редиректа, который позволяет отправить посетителя на сторонний ресурс через легитимный сайт. В результате ссылка из фальшивого приглашения включает в себя официальный домен Cisco, но открывает страницу злоумышленников.

Жертве предлагают скачать файл webex.exe, якобы необходимый для начала конференции.

Вместо утилиты на компьютер попадает троян WarZone, который умеет:

  • загружать, удалять и запускать файлы;
  • перехватывать ввод с клавиатуры;
  • активировать службы удаленного доступа к машине;
  • дистанционно управлять видеокамерой;
  • похищать сохраненные пароли из Firefox и Chrome.

Авторы мошеннической Youtube-кампании маскируют шпионского ПО под программы для добычи криптовалют, торговли и управления финансами и обещают пользователям доступ к чужим биткоин-кошелькам.

  1. Первое видео на канале демонстрирует, как пользователь вставляет некие символы в исходный код страницы на сайте по управлению криптовалютами. После этого количество денег в кошельке на экране начинает расти.
  2. На втором месте по количеству просмотров — руководство по работе с программой, якобы позволяющей вытаскивать криптовалюту из любых BTC- и ETH-кошельков. Мошенники уверяют, что пользователям достаточно ввести желаемую сумму и адрес отправителя. После оплаты транзакционной комиссии деньги придут на указанный кошелек.

Под всеми опубликованными видео указаны одинаковые ссылки на несколько файлообменных сервисов, содержащих ZIP-архив с тремя папками и файлом setup.exe, которые представляют собой троян-инфостилер Predator.

Инциденты

На чёрном рынке появилась в продаже информация о пяти тысячах вкладчиках ВТБ. Её можно приобрести по цене от 6 до 10 рублей за одну строку данных.

Продавец сообщил, что 3000 строк из 5000  — информация «из первых рук», поэтому она обойдётся по 10 рублей за строку. Сведения об оставшихся 2000 клиентах получены из другого источника, поэтому предлагаются по льготной цене в 6 рублей за строчку.

В «пробном» фрагменте базы данных содержались персональные сведения о 21 вкладчике ВТБ, включая ФИО, домашний адрес, индекс, номер телефона, информацию о сумме вклада, а также адресе электронной почты.

Проверка 10 записей через мобильное приложение банка показала, что номера телефонов действительно привязаны к счетам ВТБ, а доступные персональные данные совпадают с указанными в дампе. Четыре вкладчика из пробного фрагмента подтвердили свои ФИО и наличие депозита в финансовой организации на данный момент, а один из клиентов сказал, что сумма вклада действительно совпадает с указанной в похищенных данных.

Мексиканская нефтяная компания Pemex подверглась атаке вируса-вымогателя. Инцидент затронул компьютерные системы компании и приостановил административную работу.

Записка с требованием выкупа указывала на сайт вымогателя DoppelPaymer. Злоумышленники потребовали от Pemex в течение 48 часов заплатить выкуп в размере 565 биткоинов, что составляет около 5 млн долларов США* .

По словам представителей Pemex кибератака была своевременно «нейтрализована» и затронула менее 5% компьютеров. Вредонос никак не нарушил процессы нефтедобычи, однако сотрудникам пришлось отключиться от сети и использовать резервные копии критических данных.

Мобильная безопасность

Приложение Facebook для iOS включает камеру устройства, когда пользователь пролистывает ленту новостей.

О проблеме стало известно благодаря тому, что захватываемое камерой изображение видно через тонкую полоску с левой стороны экрана, когда пользователь открывает фото в приложении и смахивает вниз.

Шпионское поведение Facebook удалось воспроизвести на пяти iPhone под управлением iOS 13.2.2. На устройствах с iOS 12 зафиксировать проблему не удалось, поскольку полоски в левой части экрана не видно. Однако это не означает, что приложение не включает камеру.

Популярные антивирусы для Android запрашивают дополнительные разрешения, чтобы шпионить за пользователями.

В числе приложений со шпионской функциональностью

  • Security Master — антивирус, VPN, AppLock, бустер (500 млн загрузок);
  • Antivirus Free 2019 — сканирование и удаление вирусов, очистка памяти (10 млн загрузок);
  • Virus Cleaner 2019 — антивирус, очистка памяти и бустер (50 млн загрузок);
  • Virus Cleaner, Antivirus, Cleaner (MAX Security) — 50 млн загрузок;
  • Super Phone Cleaner: Virus Cleaner, Phone Cleaner — 50 млн загрузок;
  • Clean Master — антивирус, Applock и очистка памяти (1 млрд загрузок).

Уязвимости

В новейших процессорах Intel Cascad Lake обнаружена уязвимость CVE-2019-11135, эксплуатация которой позволяет прочитать данные из памяти процессора.

Проблема связана со спекулятивным выполнением, позволяющим процессору работать быстрее, и представляет собой новую версию уже известной уязвимости ZombieLoad. Новая уязвимость связана с использованием технологии Intel Transactional Synchronization Extensions (TSX) и асинхронного прерывания. Злоумышленник может запустить вредоносный код для создания конфликта между операциями чтения внутри ЦП и вызвать утечку данных, обрабатываемых процессором.

Атака работает даже против машин с аппаратными исправлениями для уязвимости Meltdown, если процессор имеет аппаратную поддержки Intel TSX. Эта технология доступна по умолчанию во всех процессорах Intel, выпущенных после 2013 года.

В стандарте мобильной связи пятого поколения 5G обнаружены уязвимости, эксплуатация которых позволяет отслеживать местоположение, передавать ложные аварийные оповещения и блокировать подключения к сети.

В рамках исследования была создана вредоносная базовая станцию, а затем с помощью инструмента 5GReasoner проведены несколько атак на подключенный к 5G смартфон. Выяснилось, что

  • DoS-атака на телефон приводит к полному отключению соединения от сотовой сети.
  • местоположение устройства можно отслеживать в режиме реального времени;
  • имеется возможность использовать пейджинговый канал телефона для трансляции поддельных оповещений о чрезвычайных ситуациях;
  • стандарт сотовой связи можно понизить до менее безопасного, что обеспечивает правоохранительным органам и злоумышленникам возможность отслеживать пользователей.

В TPM-процессорах обнаружены уязвимости TPM-FAIL, эксплуатация которых позволяет злоумышленнику похищать хранящиеся в процессорах криптографические ключи.

  • Уязвимость CVE-2019-11090 выявлена в Intel Platform Trust (PTT) — программном TPM-решении от Intel fTPM, которое применяется в серверах, ПК и ноутбуках.
  • Уязвимость CVE-2019-16863 содержится в чипе ST33 TPM производства STMicroelectronics, который используется в сетевом оборудовании, облачных серверах и является одним из немногих процессоров, получивших классификацию CommonCriteria (CC) EAL 4+, поскольку поставляется со встроенной защитой против атак по сторонним каналам.

Для проведения атак используется тот факт, что атакующий может определить разницу во времени при выполнении TPM повторяющихся операций, и «просмотреть» обрабатываемые внутри защищенного процессора данные. Таким образом можно извлечь из TPM 256-битные закрытые ключи, алгоритмов цифровой подписи на базе эллиптических кривых, таких как ECDSA и ECSchnorr.

Для восстановления ключ ECDSA из Intel fTPM локальному злоумышленнику требуется от 4-20 минут в зависимости от уровня доступа. Атаку можно также провести удалённо. При этом для восстановления ключа аутентификации VPN-сервера требуется 5 часов.
Такая атака включает в себя создание 45 тыс. handshake-соединений с удаленным VPN-сервером и запись ответов. Проанализировав время отклика, злоумышленник может восстановить закрытый ключ, используемый VPN-сервером для подписи и проверки процессов авторизации, и получить доступ к защищенной сети VPN.

В системном интерфейсе радиомодуля нескольких моделей Android-смартфонов обнаружены уязвимости CVE-2019-16400 и CVE-2019-16401, эксплуатация которых позволяет шпионить за пользователями, скрытно управлять их устройствами и проводить на них DoS-атаки.

Компонент для взаимодействия с радиомодулем обеспечивает обмен данными с сотовыми вышками для звонков и выхода в интернет. Для корректной работы ему требуются неограниченный уровень привилегий, который обеспечивает полный доступ к другим аппаратным элементам смартфона и приложениям.

Структура ATFuzzer

Перехватить контроль над радиомодулем удалось с помощью потенциально опасных AT-команд, выявленных с помощью оригинальной утилиты ATFuzzer. В результате были выявлены четыре команды, которые используются при Bluetooth-подключении и тринадцать — при соединении по USB. Таким образом, для проведения атаки необходимо установить USB или Bluetooth-подключение к целевому смартфону.

Угроза актуальна для владельцев как минимум 10 моделей телефонов, среди которых Google Pixel 2, Huawei Nexus 6P и Samsung Galaxy S8+.

О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Представляем новости об актуальных технологиях фишинга и других атаках на человека c 1 по 7 ноября 2019 года.


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Умные устройства

Мошенники используют смарт-телевизоры для хищения денег с банковских карт пользователей Amazon.

Злоумышленникам каким-то образом удается добавлять в учетные записи Amazon Android-устройства, не отображающиеся в списке привязанных устройств и авторизованные делать online-покупки через скомпрометированную учетную запись без ведома жертвы и сотрудников техподдержки. Через это фантомное устройство киберпреступники делают online-покупки с помощью банковской карты жертвы, даже если она сменила пароль и включила двухфакторную аутентификацию.

Новая техника атак Light Commands позволяет с помощью лазера подавать команды умным устройствам Alexa, Siri и Google Assistant, направляя лазер на их микроэлектромеханические микрофоны (MEMS).

Атака Light Commands использует тот факт, что микрофоны MEMS во многих современных устройствах настолько чувствительны, что могут реагировать на источники света так же, как реагируют на звуковые волны. В результате злоумышленник может подавать системе с голосовым управлением произвольные беззвучные аудиокоманды, направляя свет непосредственно в отверстие микрофона. Умные помощники, как правило, не требуют, чтобы пользователи проходили аутентификацию, поэтому атаку можно провести без пароля или PIN-кода.

В ходе экспериментов удалось провести атаки Light Commands с расстояния до 110 метров, в том числе, расположившись в другом здании, напротив комнаты с целевым устройством, или в другом конце очень длинного коридора.

Для проведения атак использовались

  • лазерная указка стоимостью 18 долларов США — три штуки,
  • коммутатор лазерных светодиодов Wavelength Electronics LD5CHA — 339 долларов США,
  • аудиоусилитель — 27,99 доллара США.

Обзор атаки Light Commands:

Открытие ворот гаража через помощника Google Home

Спросить у Google Home, который час с расстояния 110 м

Передача команды «OK, Google, открой ворота гаража» из здания напротив

Компрометация деловой переписки (BEC)

Медиакомпания Nikkei стала жертвой атаки с компрометацией деловой переписки (BEC), потери от которой составили 29 млн долларов США.

Ошибку совершил сотрудник американского филиала компании, который выполнил перевод денег на основании мошеннического письма от имени «руководителя компании» Nikkei America.

Ещё одна BEC-атака принесла злоумышленникам 742 тысячи долларов США, которые перечислила им администрации американского города Окала, получив фальшивый счёт от имени компании, выполняющей работы по строительству терминала аэропорта.

Обман обнаружился лишь когда подрядчик стал выяснять причины, по которым к нему не поступила оплата по договору.

Инциденты

Испанская радиосеть Cadena SER и IT-фирма Everis стали жертвами целевой атаки с использованием вымогательского ПО.

Как сообщает испанская ежедневная газета ABC, атака началась утром 4 ноября. В результате системы компаний оказались заражены вымогательским ПО, которое зашифровало все файлы и потребовало выкуп. В случае с Everis за ключ для расшифровки злоумышленники потребовали выкуп в размере 750 тыс. евро.

Какой именно вредонос поразил радиосеть Cadena SER, пока не сообщается.

На форуме в Даркнете выставлены на продажу данные 3,5 тысяч владельцев кредитных карт Альфа-банка и данные около 3 тысяч клиентов «АльфаСтрахования».

Продавец предлагает бесплатный «пробник», включающий 13 договоров клиентов Альфа-банка и десять договоров клиентов «АльфаСтрахования». Данные содержат ФИО, номера мобильных телефонов, паспортные данные, адреса регистрации, суммы кредитного лимита или оформленной страховки, предметы страхования, а также даты заключения договоров.

В похищенных договорах не указаны номера карт и CVV-коды, поэтому злоумышленники не смогут похитить деньги, однако утекших данных вполне достаточно для того, чтобы мошенники попытались обмануть жертв с помощью социальной инженерии.

Бывший сотрудник Trend Micro продал персональные данные клиентов группе киберпреступников, которые использовали их для проведения мошеннических кампаний.

Приблизительно утечкой затронуты данные 70 тысяч пользователей — менее 1% от общего количества клиентов компании, 12 миллионов. Среди украденных данных были: имена, адреса электронной почты, идентификаторы при обращении в поддержку и телефонные номера. Отдельные клиенты сообщили Trend Micro о поступающих звонках от людей, представляющихся сотрудниками компании.

Мобильная безопасность

В популярной клавиатуре для Android ai.type обнаружен вредоносный код, из-за которого пользователи могли лишиться примерно 18 млн долларов США.

Для получения дохода троян рекламировал и продвигал другие приложения в Google Play, а также незаметно загружал любые сайты, в том числе с рекламой и другим сомнительным содержимым.

К настоящему моменту обнаружено и заблокировано более 14 млн подозрительных запросов на осуществление транзакций, исходивших с 110 000 уникальных устройств, на которые была загружена клавиатура ai.type. Если бы эти запросы не блокировались, без ведома жертв происходила бы покупка цифровых услуг премиум-класса, что в общей сложности обошлось бы пользователям в 18 млн долларов США.

Вредоносное ПО

Вредонос Messagetap размещается на Linux-серверах SMSC (Short Message Service Center), отвечающих за работу службы коротких сообщений в сетях операторов связи и помогает «прослушивать» SMS-сообщения, применяя к ним набор определенных фильтров.

Messagetap умеет «откладывать» SMS-сообщения для последующей кражи, если тело сообщения содержит определенные ключевые слова. Также вредонос интересуется сообщениями, отправленными на определенные номера или с этих номеров, а также конкретными устройствами, опираясь на их IMSI. В момент обнаружения Messagetap отслеживал тысячи телефонных номеров и IMSI одновременно.

О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.





Ctrl + ↓ Ранее