Блог компании Антифишинг

как поведение людей влияет на безопасность

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 12 по 18 октября 2018 года.


Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайта, почта и мессенджеры

В ходе новой кампании по распространению несанкционированных майнеров мошенники не только маскируют вредонос под установщик Adobe Flash Player, но и в самом деле производят его обновление плеера до последней версии.

Благодаря фактическому обновлению Flash Player троян не вызывает никаких подозрений у жертвы, хотя вместе с обновлением плеера в системе появляется майнер Monero, который подключаетсяк пулу на xmr-eu1.nanopool.org и начинает использовать всю вычислительную мощность процессора.

Граждане Исландии стали жертвами крупной фишинговой атаки, в ходе которой злоумышленники пытались похитить платёжные данные.

Преступники отправили тысячи писем от лица исландской полиции, в тексте которых было требование явиться на допрос и угроза ареста в случае неповиновения. Чтобы узнать подробности, жертве требовалось пройти по ссылке, почти неотличимой от реального адреса полицейского управления Исландии.

  1. На мошеннической странице жертва должна была ввести номер социального страхования.
  2. Если введённый номер был валидным, пользователю требовалось ввести код аутентификации из письма.
  3. Пользователь получал ссылку на архив .rar, якобы содержащий следственные документы.
  4. На самом деле в архиве находился комплексный троян в виде .scr-файла с длинным именем, скрывающим фактическое расширение от пользователя.

  1. После устанавки вредоноса преступники могли шпионить за жертвой и производить любые действия с её компьютером.

Зафиксирована новая вредоносная кампания по распространению вредоноса Agent Tesla с многоступенчатой процедурой заражения, которая использует OLE, RTF-файлы и известные эксплойты.

  1. Жертва открывает вложенный в фишинговое письмо поддельный документ в формате .docx со встроенным объектом OLE2Link. Для проникновения на компьютер используется эксплойт CVE-2017-0199;
  2. При успешном выполнении эксплойта на компьютер жертвы загружается rtf-файл с обфусцированным содержимым.

  1. Зловредный документ RTF эксплуатирует уязвимость в редакторе формул CVE-2017-11882.
  2. При успешном выполнении эксплойта Equation Editor загружает со стороннего сервера целевой PE-файл и создает процесс scvhost.exe, который легко спутать с легитимным svchost. exe.
  3. scvhost.exe запускает еще один свой экземпляр, так как вредоносный код загружается в память с использованием техники process hollowing.

Доставляемый через эксплойт Agent Tesla умеет

  • воровать пароли из Chrome, Firefox, Internet Explorer, Yandex, Outlook, Thunderbird и Apple keychain.
  • регистрировать нажатия клавиш,
  • извлекать содержимое буфера обмена,
  • делать снимки экрана,
  • включать веб-камеру
  • загружать дополнительные вредоносные файлы.

Cобранную информацию зловред может передавать через SMTP, FTP, HTTP, но использует только HTTP POST, шифруя данные по 3DES.

Атаки, уязвимости и утечки

Персональные данные 100 миллионов пользователей фитнес-приложения FitMetrix в течение месяца находились в открытом доступе на трёх серверах, развёрнутых в Amazon Web Services.

Каждая запись содержит имя пользователя,пол, е-мейл, телефон, фото профиля, место тренировок, контакты на случай возникновения экстренных ситуаций и другие данные.

Пентагон стал жертвой утечки персональных данных 30 тысяч военных и гражданских сотрудников.

Киберпреступники воспользовались уязвимостью внешнего подрядчика ведомства и использовали его данные для проникновения в сеть Пентагона. Злоумышленникам удалось похитить только персональную и платёжную информацию сотрудников. Секретные сведения не были скомпрометированы.

В игровых приставках Sony PlayStation 4 обнаружена уязвимость, из-за которой приставку можно «завесить» с помощью внутриигрового сообщения, содержащего эмодзи и спецсимволы.

После получения сообщения, которое даже не приходилось открывать, консоль просто переставала реагировать на любые действия, а восстановить её работоспособность можно было, сбросив её к заводским настройкам.

Предположительно, причина такой реакции на «текстовую бомбу» состоит в некорректной процедуре обработки определённых символов, в процессе работы которой происходит переполнение буфера приложения или ОС.

Видео: демонстрация атаки

Мобильная безопасность

Новый Android-троян GPlayed выдаёт себя за клиент Google Play, используя похожую иконку и имя Google Play Marketplace.

При установке троян пытается получить привилегии администратора и запрашивает разрешение на доступ к настройкам.

Получив нужные права, GPlayed подключается к командному серверу и отсылает на него информацию о зараженном устройстве, а затем занимается вредоносной деятельностью:

  • крадёт SMS и список контактов;
  • совершает звонки и отправляет SMS и USSD-сообщения;
  • запускает приложения;
  • уничтожает информацию, добавляет и удаляет веб-инжекты;
  • крадёт платежные данные;
  • устанавливает пароль блокировки.

Платежные данные GPlayed пытается получить, открывая в WebView поддельную страницу Google Payments с предложением добавить метод оплаты — банковскую карту. Таким способом троян делает онлайн-проверку собранных платёжных реквизитов перед отправкой на управляющий сервер.

«Умные» устройства

В программаторах CareLink обнаружена уязвимость, с помощью которой злоумышленник может атаковать электрокардиостимулятор.

Проблема связана с возможностью удалённо установить на программатор вредоносное обновление, а затем, используя его, произвести атаку на пациента.

Чтобы исключить возможный вред для пациентов в результате кибератак производитель оборудования отключил интернет-обновления для программаторов, предлагая владельцам 34 тысяч устройств CareLink 2090 и CareLink Encore 29901 устанавливать обновления вручную через USB-интерфейс.

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 5 по 11 октября 2018 года.


Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Обнаружены две фишинговые атаки, использующие для маскировки легитимные SSL-сертификаты известных компаний.

Первая атака использует хранилище Microsoft Azure Blob для размещения фальшивой формы сбора персональных данных.

  1. Жертвы получали письма от имени юридической компании из Денвера.
  2. К письму был прикреплен PDF‑файл, содержавший кнопку для просмотра или загрузки документа:

Клик по кнопке перенаправлял жертву на поддельную веб‑страницу авторизации Office 365: HTML‑файл, хранящийся на Azure Blob:

Пользователь, видя SSL-сертификат Microsoft, мог подумать, что он относится к странице авторизации и ввести логин и пароль:

Вредоносный скрипт отправлял учетные данные злоумышленникам, а жертву перенаправлял на одну из страниц легитимного сайта Office 365.

Вторая атака использовала для размещения вредоносного содержимого IPFS-шлюз сервиса Cloudflare.

Злоумышленники заманивали жертв на вредоносные страницы с «авторизацией», размещённые на IPFS-шлюзе Cloudflare:

Поскольку в браузере демонстрировался настоящий сертификат Cloudflare, пользователи без сомнений вводили свои учётные данные:

Злоумышленники, получив нужные им сведения, перенаправляли пользователя на PDF-документ «Бизнес модели, стратегии и инновации»:

Создатели вредоносных расширений для Chrome нашли способ обойти запрет Google на установку компонентов из сторонних источников и скрыть от жертв информацию об опасном ПО.

Злоумышленники используют фишинговые страницы, похожие на сайты Google, и пугают жертв якобы существующими проблемами безопасности. Предлагаемые к загрузке расширения обещают устранить все неприятности, назойливо напоминая о себе постоянными уведомлениями.

Чтобы обойти новые правила, злоумышленники стали встраивать официальный сайт в дизайн своего ресурса и скрывать от жертвы важную информацию о расширении — описание, количество скачиваний, отзывы других пользователей:

Установка грозит пользователю целым набором рисков. В разное время эксперты находили среди такого ПО шпионские программы и трояны для кражи электронных кошельков. Некоторые опасные расширения Chrome поражали сотни тысяч пользователей, прежде чем специалисты по безопасности удаляли их с портала.

Учётную запись WhatsApp можно взломать через голосовую почту, если пользователь не изменял пароль на доступ к голосовой почте, установленный по умолчанию.

  1. Злоумышленник добавляет номер телефона потенциальной жертвы в новую установку WhatsApp на своём устройстве.
  2. WhatsApp отправляет на номер телефона жертвы одноразовый код подтверждения.
  3. Если в это время жертва спит или находится далеко от телефона, после нескольких неудачных попыток проверки кода WhatsApp предлагает пройти голосовую проверку.
  4. Если жертва не берёт трубку, сообщение приходит на голосовую почту.
  5. Используя удалённый доступ к голосовой почте жертвы, атакующий вводит пароль по умолчанию, прослушивает запись с проверочным кодом и вводит его в учётную запись WhatsApp на своём устройстве.
  6. Завладев чужой учетной записью, злоумышленник может настроить двухфакторную аутентификацию, и жертва не сможет вернуть контроль.

В мессенджере WhatsApp обнаружена уязвимость, которая срабатывает при ответе на видеозвонок и позволяет злоумышленнику получить контроль над мобильным телефоном.

Для эксплуатации уязвимости достаточно отправить мобильному приложению WhatsApp неправильно сформированный пакет RTP, который вызывает повреждение динамической памяти и позволяет перехватить контроль. Фактически, от злоумышленника требовалось лишь заставить жертву ответить на звонок.

Обновите WhatsApp на своих устройствах как можно скорее.

На момент выхода дайджеста разработчики WhatsApp уже устранили эту проблему.

Мобильная безопасность

iPhone самостоятельно забронировал президентский номер в одном из отелей Шанхая стоимостью в 1500 долларов США.

Владелица телефона обнаружила, что устройство начинает жить собственной жизнью после подключения к зарядному устройству. Наблюдая за своим телефонам, она зафиксировала
— самопроизвольный запуск туристического приложения Ctrip
— попытку оплаты за забронированный президентский номер через WeChat
— переключение режима работы с 4G на 2G
— попытку покупки билета на поезд через WeChat

Предположительно, владелица ожившего смартфона стала жертвой вредоносного зарядного кабеля с мошеннической функциональностью.

Уязвимости и вредоносное ПО

В macOS обнаружена уязвимость, которая позволяет злоумышленникам незаметно для системы и пользователя создавать вредоносные копии установленных программ.

Несмотря на то, что macOS не допускает работу программ без цифровой подписи, её проверка производится один раз, во время установки приложения. Как только проверка пройдена, преступники могут модифицировать код, и система этого не обнаружит. В результате, запуская легитимно установленную программу, пользователь также запустит и зловреда.

Для эксплуатации ошибки злоумышленнику достаточно знать базовые сценарии оболочки, AppleScript и иметь зачаточные представления о программировании в Swift.

Для распространения новой версии вредоносной программы Betabot злоумышленники рассылают поддельные письма с вложением, содержащим эксплойт.

  1. В мошеннических письмах содержится вложенный файл .doc, который на самом деле имеет формат .rtf и содержит встроенные объекты для эксплуатации уязвимости в редакторе формул Microsoft Equation Editor.
  2. Если пользователь открывает вложение, на компьютер жертвы загружается и запускается Betabot.
  3. После запуска вредонос внедряет свой код в процесс explorer.exe и обращается к управляющему серверу за дальнейшими инструкциями.

Betabot крадёт учетные данные из клиентских программ, в том числе банковских, перехватывает HTTP/HTTPS-трафик, самостоятельно распространяется через USB-носители, загружает другое вредоносное ПО и проводит DDoS-атаки. Кроме того, он эффективно противостоит обнаружению. Новая версия вредоноса содержит майнет и руткит пользовательского режима.

«Умные» устройства

В умных телевизорах Sony Bravia обнаружены три опасных уязвимости.

  1. Уязвимость CVE-2018-16593 в приложении Photo Sharing Plus связана с переполнением буфера, возникающем при обработке имен загружаемых медиафайлов. Если злоумышленник находится в той же беспроводной сети, что и телевизор, он получит возможность удаленно выполнить любой код с правами root: например, чтобы подключить устройство к IoT-ботнету или использовать его для проведения атак на другие устройства в той же сети.
  2. Уязвимость CVE-2018-16595 связана с некорректной проверкой размера данных, вводимых пользователем, и грозит сбоем приложения.
  3. Третья уязвимость CVE-2018-16594 вызвана ошибками в процедуре обработки имен файлов при их загрузке по URL. Его использование позволяет просмотреть всю файловую систему, загрузив файл со специально присвоенным именем вида «../../».
О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 28 сентября по 4 октября 2018 года.


Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Атаки на пользователей Apple

За три месяца до старта продаж зафиксирован резкий рост регистраций доменов с именами, ориентированными на продажу новых смартфонов iPhone.

Всего было обнаружено более 5 000 подобных доменов. Часть из них уже используется для фишинга, кражи информации о банковских картах и персональных данных пользователей.

Мошеннический сайт

Оригинальный сайт Apple

По данным системы Threat Intelligence от Group-IB, в сентябре 2018 года количество созданных фишинговых ресурсов, ориентированных на пользователей продуктов компании Apple, выросло в два раза по сравнению с аналогичным периодом 2017 года. Всего было создано порядка 800 фишинговых сайтов.

Мошенники копируют сайт официальных дилеров техники Apple, регистрируют похожее доменное имя и используют те же каналы продвижения и инструменты привлечения покупателей, что и легальные магазины: оплачивают кампании в социальных сетях, выкупают приоритетные позиции в поисковой выдаче, используют pop-up-сообщения о специальных акциях.

Уязвимость в iOS 12 позволяет обойти пароль и получить доступ к фото, контактам и другим конфиденциальным данным владельца устройства.

Видео: Обход пароля через звонок

Для эксплуатации уязвимости требуется физический доступ к устройству и номер телефона жертвы.

Процедура обхода пароля выглядит так:

  1. С экрана блокировки нужно вызвать Siri и попросить активировать службу VoiceOver.
  2. Позвонить на телефон с другого устройства.
  3. Когда на телефон поступит звонок, выбрать ответ сообщением и нажать кнопку «+».
  4. Если служба VoiceOver активирована, отправка сообщения на смартфоне жертвы вызовет системную ошибку, в результате злоумышленник сможет получить доступ к интерфейсу сообщений, списку последних набранных контактов и просмотреть подробную информацию о них, нажав кнопку «і».

Видео: Обход пароля отправкой сообщения

Уязвимости подвержены все устройства с iOS 12.

Ещё одна ошибка iOS 12 связана с некорректной работой приложения iMessage, в результате чего текстовые сообщения, адресованные одним пользователям, отправлялись совсем другим.

Проблема связана с новой функцией Unified Thread, объединяющей все диалоги с одним пользователем в одну беседу. Предполагалось, что она упростит жизнь пользователя, но из-за уязвимости приложение неправильно объединяет диалоги, отправляя сообщения не тем, кому они адресованы.

Ряд моделей ноутбуков Apple был ошибочно настроен на сервисный режим работы подсистемы Intel Management Engine.

Сервисный режим предназначен для тестирования и настройки аппаратной платформы на стадии производства, поэтому его активное состояние позволяет злоумышленникам делать с ноутбуком практически всё что угодно, в том числе записать на него старую версию Intel ME без необходимости физического доступа к устройству.

Ошибка с активированным сервисным режимом была исправлена в последних версиях операционной системы macOS.

Мобильная безопасность

Android-приложение QRecorder похищает данные пользователей из мобильных банковских приложений.

  1. Заявленный функционал записи звонков работает нормально, поэтому у пользователя не возникает никаких подозрений.
  2. В течение суток после установки злоумышленники отправляют вредоносные инструкции, заставляя искать на устройстве банковские приложения.
  3. При запуске одного из таких приложений QRecorder накладывает поверх его окна фишинговое, собирает учётные данные пользователя и отправляет их операторам:

Менеджеры паролей для Android могут автоматически вводить учётные данные пользователей в фишинговые приложения.

Мобильные менеджеры паролей помогают удобно хранить и вводить логины и пароли на различных сайтах.

Кибермошенники могут воспользоваться этими удобствами в своих целях: например, создавая фишинговые сайты или приложения, которые обманывают менеджеры паролей и собирают пароли пользователей.

Социальные сети и браузеры

Уязвимость в Facebook позволяла злоумышленниками получить доступ к аккаунтам 90 миллионов пользователей.

Воспользоваться уязвимостью можно было через функцию «Посмотреть как», которая позволяет просмотреть свою учётную запись от имени другого пользователя.

Из-за ошибки в реализации функции хакеры сумели получить токены доступа пользователей и с их помощью проникнуть в учётные записи.

Спамеры используют функцию уведомлений браузера для демонстрации рекламных объявлений.

Мошеннические сайты сообщают пользователям, что для получения доступа к какому-либо сервису или просмотра видео им нужно подписаться на уведомления.

Если пользователь соглашается, его будут заваливать спамом через эти уведомления, которые будут приходить прямо на рабочий стол.

«Умные устройства» и сложное вредоносное ПО

Обнаружена вредоносная кампания, в ходе которой задействован первый известный руткит для UEFI/BIOS.

Руткит встроен в малварь LoJax, которая используется для установки на атакуемые устройства вредоносных обновлений прошивки, внедряя их как модуль UEFI/BIOS.

Благодаря этому руткит остаётся на компьютере даже после удаления ОС и замены жесткого диска.

Сообщения об ошибках, выдаваемые медицинскими устройствами, могут использоваться хакерами для проведения атак, поскольку такая информация увеличивает вероятность успешного взлома.

Изучая сетевой трафик на предмет сообщений об ошибках, хакеры могут получить сведения о внутренней архитектуре устройства, например, об использованном в нём ПО web-сервера, версиях фреймворков, данные об изготовителе, используемых протоколах и т. п. В результате фаза сбора информации значительно сокращается, и организация целевой атаки на устройство становится значительно проще.

Кроме пассивного анализа трафика злоумышленники могут преднамеренно вызывать нужные ошибки, отправляя некорректные запросы веб-серверу или пытаясь соединиться с открытыми портами устройства. Провокация позволяет взломщику подробно изучить особенности работы отдельных приборов и проверить их на присутствие тех или иных брешей.

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Ctrl + ↓ Ранее