Блог компании Антифишинг

как поведение людей влияет на безопасность

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 5 по 11 июля 2019 года.


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Атаки и уязвимости

В конференц-платформе Zoom для Mac обнаружена уязвимость, которая позволяет любому сайту инициировать видеовызов, удалённо подсматривать за пользователем и даже выполнить произвольный код.

Злоумышленнику достаточно:

  1. создать ссылку-приглашение в своей учетной записи Zoom;
  2. встроить ее на любой сайт в виде изображения или iFrame, после чего
  3. заманить пользователя на этот сайт.

Если у жертвы установлен Zoom, при посещении такого сайта приложение принудительно запустится на компьютере и активирует web-камеру.

Проблема связана с одной из функций в Zoom, которая автоматически активирует приложение, позволяя участникам присоединиться к видеоконференции, кликнув на приглашение в браузере.

Деинсталляция Zoom не решает проблему, поскольку web-сервер автоматически переустановит приложение без участия и разрешения пользователя.

В USB-донглах Logitech, которые используются беспроводными клавиатурами, мышками и кликерами для управления презентациями, обнаружены уязвимости, которые позволяют злоумышленникам анализировать трафик клавиатуры, внедрять нажатия клавиш даже в донглах, не подключенных к беспроводной клавиатуре и перехватывать управление компьютером.

Эксплуатация уязвимости CVE-2019-13052 позволяет злоумышленнику восстановить ключ шифрования трафика между донглом Unifying и устройством Logitech. С помощью украденного ключа он может незаметно для пользователя внедрять произвольные нажатия клавиш и удаленно перехватывать ввод с клавиатуры.

Используя уязвимость CVE-2019-13053, атакующий с физическим доступом к устройству может вмешаться в зашифрованный поток данных между USB-приемником и устройством Logitech даже без наличия ключа шифрования. Атака на кликеры для презентаций не требует физического доступа, поскольку определить радио трафик можно по времени нажатия кнопки на устройстве.

Проблемы затрагивают все USB-приемники Logitech, использующие радиотехнологию Unifying для связи с беспроводными устройствами. Logitech сообщила, что не планирует выпускать исправление для этих уязвимостей.

Недоработки в сценариях обработки переводов между физическими лицами в некоторых банкоматах позволяют провести мошенничество с отменой транзакции.

Атака происходит так:

  1. Мошенник выбирает в банкомате перевод на карту другого человека, указывает номер карты и сумму.
  2. Банк отправляет запросы на авторизацию операции в банк-отправитель и банк-получатель.
  3. Получив одобрение, банк выполняет перевод средств. При этом отправляемая сумма отображается на карте получателя и блокируется, но не списывается с карты отправителя.
  4. Банкомат запрашивает у отправителя согласие на списание комиссии.
  5. В это время получатель снимает деньги с карты.
  6. Отправитель отказывается от списания комиссии, блокировка отправляемой суммы снимается.
  7. В банк-получатель направляется запрос на возврат средств, но они уже сняты со счёта.

Инциденты

Учетные данные 450 тысяч пользователей интернет-магазина Ozon оказались в открытом доступе.

Проверка части электронных адресов выявила их актуальность, однако содержащиеся в базе пароли уже не действительны. Предположительно утечка могла произойти около полугода назад, а база была сформирована из двух других баз, которые в ноябре 2018 года были замечены на одном из хакерских форумов.

Сайты, почта и мессенджеры

Шпионский троян Astaroth распространяется через фишинговые письма и использует инструменты атакуемой системы для маскировки от средств безопасности.

Обнаружить вредонос могут только продвинутые антивирусные средства, заточенные под такой класс ПО.

  1. Первоначальное проникновение происходит через письмо с вредоносным URL.
  2. Ссылка в письме вела на ZIP-архив, замаскированный под HTML-страницу.
  3. Внутри находился LNK-ярлык, при открытии которого запускается системная утилита WMIC. Она позволяет вызывать соответствующие инструменты прямо из командной строки, при этом все выполняемые сценарии абсолютно легитимны.
  4. Консольная утилита начинает работу с включенным параметром /Format, что позволяет ей скачивать и запускать JavaScript-код. Именно это и происходит на следующем этапе, когда на компьютер последовательно загружаются несколько файлов с обфусцированным содержимым.
  5. Эти компоненты запускают легитимные утилиты, которые скачивают и приводят в рабочее состояние полезную нагрузку — DLL-библиотеки в открытом и зашифрованном виде. Одна из них встраивает Astaroth в процесс Userinit, который обеспечивает авторизацию пользователя при запуске системы и даёт трояну возможность закрепиться на машине.

Мобильная безопасность

Более тысячи Android-приложений шпионят за пользователями вопреки установленным для них запретам.

В числе передаваемых данных — IMEI телефона, MAC-адреса маршрутизаторов, сведения о Wi-Fi-сетях, геолокация и многое другое.

В число приложений-шпионов входят популярные программы от Samsung и Disney, загруженные сотни миллионов раз. Все они используют программные библиотеки, разработанные компаниями Baidu и Salmonads. Эти библиотеки позволяют передавать пользовательские данные из одного приложения в другое, сохраняя их в памяти телефона.

Новая версия Android-трояна BianLian записывать экран устройства, чтобы выкрасть учетные данные пользователей систем онлайн-банкинга.

  1. В процессе установки BianLian пытается получить разрешение на использование функций для людей с ограниченными возможностями (Accessibility Services).
  2. Как только пользователь предоставит ему доступ, начинается атака, в ходе которой вредонос записывает окна финансовых приложений, используя скринкаст-модуль.
  3. В результате процесс ввода имени пользователя, пароля, а также данных платежных карт записывается и передается в руки злоумышленников.

Программа-шпиона FinSpy следит за всеми действиями пользователя на мобильном устройстве и собирает информацию из мессенджеров, использующих шифрование — Telegram, WhatsApp, Signal и Threema. Версия для iOS умеет скрывать следы джейлбрейка, а Android-вредонос содержит эксплойт для получения прав суперпользователя на устройстве.

Для установки вредоносного ПО необходим физический доступ к устройству либо возможность заражения через SMS, электронное письмо или push-уведомление, если устройство было подвергнуто джейлбрейку или используется устаревшая версия Android.

FinSpy активно применяется в целевом шпионаже, поскольку атакующий может отслеживать всю работу устройства. Злоумышленник получает доступ к контактам, электронным письмам, SMS, записям из календарей, данным GPS, фотографиям, сохраненным файлам, записям голосовых звонков и данным из мессенджеров.

Вредоносное ПО

Бэкдор GoBot2/GoBotKR атакует пользователей южнокорейских и китайских торрент-сайтов, распространяясь под видом пиратских версий фильмов, игр и сериалов.

Атакующие добавляют скомпрометированную машину в ботнет, который затем используется для DDoS-атак различного типа (SYN Flood, UDP Flood или Slowloris). Вредоносная кампания направлена преимущественно на жителей Южной Кореи (80% всех заражений бэкдором), Китая (10%) и Тайваня (5%).

Заражение GoBotKR происходит следующим образом:

  1. Пользователь скачивает торрент-файл, после чего видит набор безобидных программ и расширений, включая файлы с расширениями PMA (на деле это переименованный EXE-файл), MP4 и LNK.
  2. Бэкдор запускается после открытия LNK-файла.
  3. После установки GoBotKR в фоновом режиме начинается сбор системной информации: данные о конфигурации сети, операционной системе, процессоре и установленных антивирусных программах. Собранная информация отправляется на командный сервер, расположенный в Южной Корее.
  4. Бэкдор может выполнять различные команды, среди которых раздача торрентов через BitTorrent и uTorrent, организация DDoS-атак, изменение фона рабочего стола, копирование бэкдора в папки облачных хранилищ Dropbox, OneDrive, Google Drive или на съемный носитель, запуск прокси- или HTTP-сервера, изменение настроек брандмауэра, включение или отключение диспетчера задач.
О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Представляем новости об актуальных технологиях фишинга и других атаках на человека c 28 июня по 4 июля 2019 года.


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Социальная сеть Facebook с 2014 года использовалась для распространения троянов удаленного доступа (RAT) .

Жертвами вредоносной кампании десятки тысяч пользователей из Ливии, Европы, США и Китая. Целью кампании было распространение вредоносных программ Houdini, Remcos и SpyNote.

Киберпреступники использовали беспорядки в Ливии в качестве наживки:

  1. Создали фальшивую страницу главнокомандующего национальной армией Ливии и привлекли на неё более 11 тысяч подписчиков.
  2. Каждая публикация этого аккаунта сопровождалась ссылкой, которая якобы вела на ресурс с информацией о политике Ливии.
  3. Если пользователь переходил по этому URL, он попадал на мошенническую страницу, откуда под видом полезных документов загружалось вредоносное ПО для Windows и Android.

Атаки, уязвимости и утечки

Технология Microsoft Excel Power Query может применяться для запуска в системах пользователей вредоносного кода прямо из таблиц Excel.

Используя Power Query, атакующие могут внедрить вредоносный контент в отдельный источник данных, а затем загрузить его в электронную таблицу во время ее открытия. При этом вредоносный код не требует взаимодействия с пользователем и не обнаруживается антивирусными сканерами.

Чтобы обойти запрос разрешения на получение данных от стороннего ресурса в Office 2016, достаточно модифицировать заголовки HTTP-запросов. По содержимому поля Referer вредоносный сервер различит обращения антивирусного сканера и электронной таблицы, а затем передаст в ответ безобидный код или полезную нагрузку.

В открытом доступе обнаружена база данных с конфиденциальными сведениями о  пользователях умных устройств Orvibo. Любой желающий может получить доступ к более чем 2 млрд логов, сформированных IoT-устройствами.

В обнаруженных базах присутствуют:

  • адреса электронной почты;
  • пароли;
  • коды для сброса аккаунта;
  • точные координаты устройств;
  • IP-адреса;
  • имена и идентификаторы пользователей;
  • фамилии владельцев оборудования;
  • семейные идентификаторы;
  • название IoT-приборов;
  • данные о других подключенных устройствах;
  • календарь пользователя.

Обладая скомпрометированными данными, злоумышленники могут организовать широкий спектр атак, включая проникновение в жилище жертвы. При помощи кода для сброса аккаунта киберпреступники имеют возможность поменять не только пароль, но и электронный адрес пользователя, полностью перехватив управление устройством. Кроме того нападающие могут манипулировать видеокамерами, электронными замками, освещением и розетками.

Мобильная безопасность

В Google Play обнаружена вредоносная игра Scary Granny ZOMBYE Mod: The Horror Game 2019, которая похищает конфиденциальную информацию и показывает нежелательную рекламу.

Приложение начинает вредоносную деятельность через два дня после установки, причём только в случае, если игра установлена на старые версии Android. В этом случае активируется модуль для похищения данных.

Вредонос обеспечивает себе постоянное присутствие на устройстве, запрашивая у пользователей разрешение на выполнение после перезапуска смартфона или планшета. В результате даже после перезагрузки игра может отображать полноэкранные фишинговые уведомления, в которых сообщается о необходимости «обновить сервисы безопасности Google», авторизовавшись в учётной записи Google.

Получив учетные данные, приложение похищает электронные адреса для восстановления аккаунта, телефонные номера, проверочные коды, даты рождения, токены и файлы cookie.

Также Scary Granny отображает рекламу, скрытую от пользователя под видом других приложений (в том числе Amazon, Facebook, Facebook Lite, HaGo, Hulu, Instagram, Messenger, Pinterest, Snapchat, TikTok или Zalo).

Вредоносное ПО

Новый шифровальщик Sodin использует архитектурные особенности процессора для маскировки и распространяется по модели «Вымогатель как услуга».

  1. Вредонос распространяется через уязвимости в Oracle WebLogic и MSP-провайдерах.
  2. Попав на компьютер, он повышает свои привилегии до максимальных, эксплуатируя уязвимость CVE-2018-8453 в win32k.sys.
  3. Для шифрования файлов жертвы Sodin использует гибридную схему: cодержимое файлов шифруется симметричным потоковым алгоритмом Salsa20, а ключи для него — асимметричным алгоритмом на эллиптических кривых.
  4. Зашифрованные файлы получают новое произвольное расширение, одинаковое для каждого случая заражения. Рядом с ними сохраняется текст с требованиями, а на рабочий стол устанавливаются сгенерированные зловредом обои.

Китайские таможенники устанавливают на смартфоны туристов, въезжающих в страну, шпионскую программу, которая сканирует устройство на предмет экстремистского контента и передаёт информацию властям.

Телефоны изымаются для проверки, при этом туристов просят разблокировать устройство. Айфоны таможенники подключают к специальному устройству, сканирующему его контент. На Android-смартфоны устанавливается шпионская программа под названием BXAQ или Fēng cǎi.

Программа собирает и отправляет на свой сервер контакты, SMS, историю звонков, записи в календаре и логины для некоторых приложений. Устройство сканируется на предмет наличия одного из более чем 73 тысяс файлов, связанных с экстремистским контентом.

Многоплатформенный майнер LoudMiner работает на macOS и Windows и маскируется под различные пиратские приложения для работы со звуком. В качестве приманки могут использоваться программы Ableton Live, Nexus, Reaktor 6, Propellerhead Reason, Virtual Studio Technology и другие.

Использование таких программ в качестве наживки обусловлено тем, что пользователь может долгое время не замечать присутствие майнера: программы для работы со звуком значительно увеличивают нагрузку на процессор, поэтому жертва может не обратить внимания, что на самом деле ее система майнит криптовалюту.

Для майнинга используется виртуальная машина Tiny Core Linux, настроенная для запуска XMRig, а также способная поддерживать связь с C&C-сервером злоумышленников для получения своевременных обновлений и инструкций.

О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Представляем новости об актуальных технологиях фишинга и других атаках на человека c 21 по 27 июня 2019 года.


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Организаторы новой фишинговой кампании рассылают письма, замаскированные под уведомления от Google.

  1. В письмах от имени Ларри Пейджа сообщается, что получатель выиграл 2,5 млн долларов США за использование сервисов Google.
  2. Чтобы получить выигрыш, нужно заполнить pdf-форму, прилагаемую к письму и отправить её злоумышленникам.
  3. После отправки формы мошенники требуют данные банковской карты и другую конфиденциальную информацию «для перечисления» выигрыша.

Мошенники с помощью фишинга выманивают учётные данные пользователей платформы Steam, обещая взамен бесплатные ключи активации к играм.

  1. Пользователь получает сообщение от друга в Steam с предложением получить бесплатную игру.
  2. Сообщение содержит ссылку на фишинговый сайт, сокращённую с помощью сервиса укорачивания ссылок.
  3. После перехода по ссылке он попадает на страницу, с которой якобы можно скачать бесплатные игры, выиграв их в рулетку.
  4. После запуска игры в рулетку пользователю сообщается, что у него есть 30 минут для запроса бесплатного ключа, но для этого он должен залогиниться через Steam.
  5. После того, как пользователь вводит свои данные в форму авторизации, они попадают к киберпреступникам.

Мобильная безопасность

Android-троян Riltok охотится за платежными данными пользователей в России, Франции и других европейских странах, перехватывает информацию через веб-инжекты, скрывает уведомления от банковских приложений и блокирует антивирусные процессы.

  1. Операторы Riltok маскируют свой троян под сервисы онлайн-объявлений или поиска авиабилетов, распространяя ссылки на них через SMS.
  2. Попав на мобильное устройство, Riltok запрашивает доступ к службе специальных возможностей AccessibilityService — якобы из-за ошибки при установке.
  3. Всплывающее окно появляется раз за разом, пока жертва не даст разрешение.
  4. Riltok перехватывает контроль над SMS и уходит в скрытый режим.
  5. Доступ к AccessibilityService позволяет трояну открывать поддельные окна для кражи персональных данных. Такие формы могут выглядеть как уведомления от Google Play или банковских приложений/ Последние поколения зловреда сразу открывают в браузере фишинговую страницу.
  6. Помимо перехвата SMS Riltok способен скрывать уведомления от легитимных приложений и сворачивать антивирусные программы. Полученные платежные данные троян проверяет на отсутствие ошибок по контрольной сумме номера и длине CVC. У зловреда также есть черный список номеров, с которым он сверяется в ходе работы.

В Google Play найдены две программы, содержащие помимо полезной функциональности бэкдор MobOk, которай оформлял платные подписки на номера скачавших приложения пользователей.

  1. При первом запуске Pink Camera и Pink Camera 2 требовали предоставить доступ к уведомлениям.
  2. Получив управление, бэкдор сначала собирал информацию об устройстве, после чего отправлял ее на сервер киберпреступников.
  3. От сервера приходил ответ в виде ссылок, ведущих на страницу оформления подписки.
  4. Бэкдор MobOk подставлял номер телефона пользователя в соответствующее поле при оформлении очередной платной подписки.
  5. В процессе оформления подписки вредонос мог обойти CAPTCHA или использовать доступ к уведомлениям для подтверждения подписки с помощью кода из SMS.

Приложения Pink Camera и Pink Camera 2 установили более 10 тысяч раз. Программы все же предоставляли пользователю возможность редактировать фотографии, что совместно с присутствием приложений в официальном магазине вводили пользователей в заблуждение, придавая мошенническому ПО легитимный вид.

Обнаружена масштабная фишинговая кампанию против владельцев iPhone и iPad. Злоумышленники внедряют на сайты поддельную рекламу, которая перенаправляет посетителей на страницы, запрашивающие персональные данные.

Редиректы и кражу вводимых в формы данных осуществляет вредоносное ПО — Stegoware-3PC. Мошеннические баннеры, как правило, имитируют сообщения известных ритейлеров с призывами совершать покупки онлайн.

Для маскировки авторы Stegoware-3PC используют стеганографию: вредоносный код содержится в двух последовательно запускаемых png-файлах. Один из них отслеживает искомые действия посетителей на странице, другой совершает ряд проверок, чтобы удостовериться, что потенциальная жертва использует iOS.

В мошенническую схему невольно вовлечены как минимум пять издателей рекламного контента, три вендора специализированных платформ с приоритетом потребления и 11 других поставщиков средств публикации и оптимизации рекламы в Интернете.

Атаки и уязвимости

В macOS обнаружена уязвимость, которая обходит блокировку исполнения стороннего кода утилитой Gatekeeper.

Атака основана на том, что Gatekeeper «считает» внешние носители и сетевые файловые ресурсы безопасными и разрешает запуск без проверки подписи любых приложений с указанных ресурсов.

Эксплуатации уязвимости помогают две особенности macOS:

  • autofs и пути “/net/*” — позволяют пользователям автоматически монтировать сетевые файловые ресурсы, начинающиеся с “/net/”. Например, при листинге NFS-ресурса: ls /net/evil-resource.net/shared/.
  • zip-архивы могут содержать файлы символических ссылок, которые приводят к автомонтированию при распаковке архива на целевой системе.

Возможный сценарий атаки:

  1. Атакующий создает zip-архив с символической ссылкой на контролируемый им ресурс и отправляет жертве.
  2. Жертва распаковывает архив, что приводит к монтированию и добавлению в «доверенные» ресурса злоумышленника.
  3. На контролируемом ресурсе размещается приложение *.app, которое при стандартных настройках файлового менеджера Files отражается как локальная директория или иной безобидный объект. При этом расширение .app скрыто и полный путь к ресурсу не отображается.

Уже обнаружен вредонос OSX/Linker, который распространяется под видом Adobe Flash Player и использует для атаки неисправленную уязвимость GateKeeper.

Обнаружена и исправлена критическую уязвимость в VLC Media Player, которая позволяла выполнить произвольный код на уязвимой машине.

Проэксплуатировать ошибку можно было через специально модифицированный файл MKV, который провоцировал двойное освобождение памяти и позволял выполнить вредоносный код.

Проблема исправлена в VLC версии 3.0.7. Новая версии медиаплеера также устраняет уязвимость CVE-2019-5439 — переполнение буфера кучи, которое можно было использовать через специально модифицированный файл AVI.

В магазине игр Origin от Electronic Arts обнаружены проблемы безопасности, которые позволяют киберпреступникам перехватить учетные записи игроков и похитить их персональные данные.

Выяснилось, что один из служебных доменов Electronic Arts перенаправлял пользователей на заброшенный поддомен ea-invite-reg.azurewebsites.net внутри облачных сервисов Azure. Это позволяло злоумышленникам создать новый аккаунт в Azure и зарегистрировать ea-invite-reg.azurewebsites.net в качестве нового сервиса, чтобы затем перехватывать запросы с работающего поддомена eaplayinvite.ea.com.

Вредоносное ПО

Шифровальщик Troldesh (он же Shade) атакует российские компании, рассылая вредоносные письма от имени сотрудников крупных авиакомпаний, автодилеров и СМИ. В июне 2019 года зафиксировно более 1100 фишинговых писем, содержащих Troldesh, всего же во втором квартале 2019 года их количество превысило 6 000.

  1. Письма, содержащие Troldesh, отправляются якобы с почтовых ящиков авиакомпаний (например, «Полярные авиалинии»), автодилеров («Рольф») и от СМИ (РБК, Новосибирск-online).
  2. В тексте писем злоумышленники представляются сотрудниками этих компаний и просят открыть вложенный в письмо запароленный архив, в котором якобы содержатся подробности «заказа».
  3. Адреса отправителей всех писем подделаны и не имеют к реальным компаниям никакого отношения.
  4. В рассылке задействована довольно масштабная инфраструктура, включающая помимо серверов зараженные IoT-устройства.

Новый вариант вредоносного майнера Bird Miner атакует пользователей macOS, отдающих предпочтение пиратскому софту.

Майнер впервые был обнаружен во взломанном установочном файле программы Ableton Live 10, используемой для создания музыки. Он начинает свою работу сразу после установки. Если программа «Мониторинг системы» на macOS запущена, майнер пытается выгрузить свои процессы, чтобы избежать детектирования в системе.

Новый опасный вирус Silex атакует устройства интернета вещей (IoT) и выводит их из строя, превращая в «кирпич».

Silex добивается своей цели, выполняя ряд деструктивных действий: заполняет память гаджета случайными данными, удаляет сетевые настройки и правила брандмауэра, вводит запрет на все подключения с помощью утилиты iptables, а затем останавливает или перезагружает зараженное устройство. После этого восстановить его можно только перепрошив вручную.

Эксперту Анкиту Анубхаву (Ankit Anubhav) из NewSky Security удалось установить, что автор Silex — 14-летний подросток, использующий псевдоним Light Leafon. Он уже известен NewSky как создатель IoT-ботнета HITO.

По информации издания ZDNet, всего за несколько часов активности малварь вывела из строя более 2000 устройств.

О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Ctrl + ↓ Ранее