Rose debug info
---------------

Блог компании Антифишинг

как поведение людей влияет на безопасность

ДайджестыСтатьиСписок постов

Антифишинг-дайджест № 226 с 11 по 17 июня 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Для распространения бэкдора SolarMarker (Jupyter) используются множество вредоносных PDF-файлов и техника отравления SEO.

Схема кампании:

1. Мошенники создают PDF-файлы, содержащие на первых 10 страницах популярные бизнес-термины и ключевые слова, такие как «шаблон», «счет-фактура», «квитанция», «анкета» и «резюме».

2. Файлы размещаются на различных хостингах, где индексируются поисковыми роботами.

3. Большое количество ключевых слов в документах выводит их на первые позиции в поиске.

4. Когда пользователь открывает найденный документ, ему предлагается выбрать формат .doc или .pdf.

5. Через цепочку редиректов жертва перенаправляется на Google Drive, где ему предлагают загрузить соответствующий файл.

6. Открыв загруженный «документ», жертва установит себе на компьютер вредоносное ПО для кражи паролей и учётных данных.

Владельцы аппаратных криптовалютных кошельков Ledger получают по почте посылки с фальшивыми устройствами Ledger Nano X якобы для замены старых устройств «в целях безопасности».

В сопроводительном письме от имени производителя указано, что устройство отправлено пользователю для замены текущего кошелька, который стал небезопасен из-за утечки информации о клиентах и её публикации на хакерском форуме RaidForum.

Фальшивое и оригинальное устройство.

Один из получивших фальшивку пользователей заподозрил подвох, разобрал присланный Ledger Nano X и опубликовал фотографии странного устройства на Reddit. Эксперты считают, что это просто флешка, прикрепленная к Ledger с целью доставки какого-то вредоносного ПО.

Руководство по использованию фальшивки.

В руководстве к фальшивке устройству жертве предлагали подключить его к компьютеру, открыть появившийся диск и запустить приложение, которое шло в комплекте. Затем человек должен был ввести фразу восстановления Ledger, чтобы импортировать кошелек на новое устройство.

Поэтому после ввода фразы восстановления она отправлялась злоумышленникам, которые с её помощью могли воровать чужие средства.

Атаки и уязвимости

В приложении для растровой графики и 3D-моделирования Microsoft Paint 3D обнаружена опасная уязвимость CVE-2021-31946, эксплуатация которой позволяет выполнить произвольный код.

Чтобы сделать это преступнику необходимо обманом заставить пользователя открыть специально созданный файл в формате STL, отправленный по электронной почте. Вредоносный файл также моно разместить на сайте и спровоцировать пользователя на его загрузку и открытие.

В Instagram обнаружена уязвимость, позволявшая позволяющую любому пользователю просматривать посты и сторис закрытых аккаунтов, причём для просмотра контента не нужно было быть подписчиком закрытого профиля.

Набор данных для POST-запроса.

Для эксплуатации уязвимости требовалось знать Media ID, связанный с фотографией, видео или альбомом, однако выяснить это можно было с помощью простого перебора идентификаторов с помощью POST-запросов.

Результат выполнения POST-запроса.

Результатом выполнения этих запросов становились соответствующие Media ID данные: лайки, комментарии, «сохраненное», display_url и image.uri, которые можно было извлечь даже без подписки на атакуемого пользователя.

Инциденты

Компания Alibaba Group Holding стала жертвой утечки данных 1,1 млрд пользовательских записей. Злоумышленником оказался консультант, помогавший продавцам в online-центре Taobao от Alibaba.

Преступник в течение восьми месяцев собирал данные с помощью разработанного им поискового робота, который смог добраться до скрытых от посторонних глаз данных сервиса Taobao.

Украденные данные включали идентификаторы пользователей, номера мобильных телефонов и комментарии клиентов.

Американская компания Sol Oriens, связанная с производством ядерного оружия, стала жертвой шифровальщика REvil. Во время атаки хакеры похитили важные данные, а затем выставили их на аукционе в DarkNet.

Объявление о продаже похищенных данных.

Похищенные данные включают счета-фактуры по контрактам NNSA, описания проектов исследований и разработок, управляемых оборонными и энергетическими подрядчиками за 2021 год, а также ведомости заработной платы с именами и номерами социального страхования сотрудников Sol Oriens.

Представители Sol Oriens заявляют, что «нет никаких свидетельств того, что преступники получили доступ к секретной информацией клиентов или важной информации, связанной с безопасностью», однако не сообщают, был ли выплачен выкуп злоумышленникам.

Американское подразделение концерна Volkswagen AG (Volkswagen Group of America, Inc., VWGoA) заявило об утечке данных, которую допустил один из сторонних вендоров, сотрудничающих с автопроизводителем. Утечка затронула более 3,3 млн клиентов, 97% из которых — владельцы автомобилей Audi.

Причиной утечки стала незащищённая система, доступ к которой в течение двух лет имели посторонние лица.

Утечка содержит следующие данные: имя и фамилия, личный или служебный почтовый адрес, email-адрес, номер телефона. В некоторых случаях к ним добавляется также информация о приобретенном, арендованном или интересующем клиента автомобиле, в том числе VIN, марка, модель, год выпуска, цвет и комплектация.

Киберпреступная группировка взломала сети Electronic Arts путем обмана одного из его сотрудников через корпоративный мессенджер Slack.

Схема атаки

  1. Кампания началась с покупки украденных cookie-файлов в интернете за 10 долларов США. Их использовали для получения доступа к служебному каналу Slack для сотрудников EA. Cookie-файлы сохраняют данные для авторизации пользователей в систему и потенциально позволяют хакерам авторизоваться в службах от чужого имени. Именно это и проделали хакеры с помощью украденного cookie-файла.
  2. Оказавшись в чате, хакеры отправили сообщение сотрудникам службы IT-поддержки и объяснили, что потеряли телефон на вечеринке вчера вечером.
  3. Далее хакеры запросили токен мультифакторной аутентификации у IT-службы EA, с помощью которого вошли в корпоративную сеть EA.
  4. Попав в сеть EA, хакеры получили доступ к сервису EA для компиляции игр. Они вошли в систему и создали виртуальную машину, дающую им больше информации о сети, а затем получили доступ к еще одной службе и загрузили исходный код игры FIFA 21.

Используя ошибку в системе обработки платежей, киберпреступники похитили у интернет-магазина Wildberries более 380 млн рублей.

Схема действий преступников:

  1. Мошенники регистрировались на площадке в качестве продавцов и выставляли на продажу несуществующий товар.
  2. Затем уже в роли покупателей пытались оплатить его по некорректным реквизитам.
  3. Банк блокировал операцию по некорректным реквизитам, но из-за ошибки в системе интернет-магазин считал покупку успешной и отправлял деньги продавцам в лице мошенников.
 69   5 дн   дайджест   фишинг

Антифишинг-дайджест № 225 с 4 по 10 июня 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Авторы очередной киберкампании используют атаку на Colonial Pipeline, чтобы побудить получателей установить вредоносное обновление.

Схема кампании:

1. Жертва получает письмо, в котором говорится, что атака на Colonial Pipeline привела к разрушительным последствиям, чтобы избежать их, нужно перейти по ссылке и установить обновление системы, которое позволит обнаруживать и предотвращать новейшие разновидности программ-вымогателей. В письме указан крайний срок для применения обновления, чтобы побудить к немедленному действию.

2. Если жертва переходит по ссылке, она попадает на имитацию сайтов легитимных компаний на свежезарегистрированных доменах (ms-sysupdate [.] Com и selectedpatch [.] Com).

3. Нажав кнопку «Download», жертва загрузит за компьютер файл Ransomware_Update.exe, который представляет собой инструмент Cobalt Strike, используемый хакерами для различных целей.

Новый вариант Agent Tesla доставляется на компьютеры пользователей с помощью фишинговых электронных писем.

Схема кампании:

1. Фишинговые письма замаскированы под деловую переписку и содержат вложение в виде файла формата Microsoft Excel.

2. В документе есть вредоносный макрос, который при запуске скачивает и устанавливает в систему жертвы Agent Tesla.

3. Цепочка заражения состоит из множества ступеней: загрузки файлов PowerShell, запуск скрипта VBS и создания запланированного задания (позволяет маскировать мониторинг активности пользователя). Проанализированный специалистами образец пингует оператора каждые 20 минут.

4. Вредоносная программа обчищает Bitcoin-кошельки жертв и модифицирует адрес, по которому атакованный пользователь пытается перевести криптовалюту, а также похищает учётные данные Windows и записывает нажатия клавиш.

Инциденты

JBS, крупнейшая в мире мясоперерабатывающая компания, выплатила операторам программы-вымогателя часть выкупа, чтобы вернуть доступ к пострадавшим в ходе кибератаки системам.

Как следует из официального заявления компании, злоумышленникам была перечислена сумма в биткоинах, эквивалентная 11 млн долларов США. Это половина от первоначальной суммы выкупа.

После консультации с внутренними ИТ-специалистами и сторонними экспертами в области кибербезопасности компания пришла к выводу, что первым делом необходимо минимизировать последствия кибератаки.

В открытом доступе обнаружена база данных, собранная неизвестным вредоносным ПО на более чем 3 млн Windows-компьютерах.

База объемом в 1,2 ТБ содержала 6,6 млн файлов, 26 млн учетных данных и 2 млрд cookie-файлов для авторизации, причем на момент обнаружения БД 400 млн из них были действительными.

Неизвестный вредонос, собравший информацию распространялся с 2018 по 2020 годы через вредоносные версии Adobe Photoshop, пиратские игры и инструменты для взлома Windows.

Данные, содержащиеся в БД, включали:

  • 1,1 млн уникальных адресов электронной почты, использовавшихся в качестве логинов для различных приложений и сервисов, в том числе соцсетей, сайтов по поиску работы, интернет-магазинов, финансовых сервисов;.
  • учетные данные, информацию из полей автозаполнения и платежные данные, похищенные из 48 приложений, в основном браузеров и почтовых клиентов: Google Chrome (19,4 млн записей), Mozilla FireFox (3,3 млн записей), Opera (2 млн записей) Internet Explorer/Microsoft Edge (1,3 млн записей), Chromium (1 млн записей), CocCoc (451 962 записей), Outlook (111 732 записей), Яндекс (79 530 записей), Torch (57 427 записей), Thunderbird (42 057 записей).
  • 6 млн файлов, похищенных вредоносом из папок загрузок и рабочего стола, в том числе 3 млн текстовых файлов, более 1 млн изображений и свыше 600 тыс. документов Microsoft Word и PDF.

В результате атаки вымогателя американская компания iConstituent, предоставляющая платформу электронной коммуникации между избирателями и политиками, была вынуждена приостановить работу. Из-за инцидента законодатели не могли отправлять электронные письма избирателям в течение нескольких дней.

Атака затронула офисы почти 60 депутатов Палаты представителей обеих партий Конгресса США, но не повлияла на систему обмена текстовыми сообщениями GovText компании. Об инциденте сообщил ресурс Punchbowl News.

Тайваньская компания Adata, занимающаяся производством различных типов компьютерной памяти и накопителей, пострадала от атаки шифровальщика Ragnar Locker.

Из-за атаки 23 мая 2021 года вендору пришлось отключить все пострадавшие системы. С тех пор все бизнес-операции компании уже были приведены в норму, а восстановление поврежденных устройств успешно продолжается.

Хакеры заявили, что перед шифрованием файлов украли у компании 1,5 Тб конфиденциальных данных. Судя по опубликованным злоумышленниками скриншотам, им удалось похитить бизнес-информацию, конфиденциальные файлы, чертежи, финансовые данные, исходные коды с Gitlab и SVN, юридические документы, информацию о сотрудниках, соглашения о неразглашении и ряд рабочих папок.

Конгрессмен Республиканской партии штата Алабама (США) Мо Брукс (Mo Brooks) случайно раскрыл пароль от своей электронной почты Gmail и PIN-код в социальной сети Twitter.

В опубликованном видеоролике Брукс обвинял команду демократического представителя Калифорнии Эрика Суалвелла (Eric Swalwell) в проникновении в его дом с целью передать иск жене. Однако кроме доказательств на видео присутствовало изображение рабочего стола ноутбука, под экраном которого можно было увидеть PIN-код Брукса, а также данные его учетной записи Gmail и пароль.

 84   12 дн   дайджест   фишинг

Антифишинг-дайджест № 224 с 28 по 3 июня 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена масштабная мошенническая схема, связанная с продажей ответов к государственным экзаменам.

Схема кампании:

  1. Злоумышленники создают сайты, группы в социальных сетях или каналы в мессенджерах, где размещают объявления о продаже якобы «слитых» ответов к предстоящим экзаменам из проверенных источников .
  2. В качестве «пробника» мошенники выкладывают часть «ответов» к предстоящим испытаниям.
  3. Для получения доступа ко всей информации жертвам предлагают заплатить от 400 до 1200 рублей.

  1. Получив денежный перевод, мошенники направляют ученикам фальшивые ответы, не имеющие ничего общего с подлинными, или просто вносят покупателей в «черный список» и больше не выходят на связь. В результате «нерадивые ученики» теряют деньги и время, которое они могли бы с пользой потратить на подготовку к экзаменам.
Один из мошеннических ресурсов.

Всего в Рунете обнаружено более 100 сайтов, групп в соцсетях и телеграм-каналов, где выпускникам предлагают купить «шпаргалки» с ответами на ЕГЭ.

Атаки и уязвимости

В популярных антивирусных продуктах обнаружены уязвимости, с помощью которых можно обойти защиту от вымогательского ПО и получить контроль над белым списком приложений.

Схема атаки Cut-and-Mouse

Атака Cut-and-Mouse позволяет обойти функцию защищённых папок, которую многие антивирусы предлагают для защиты от шифровальщиков-вымогателей. Запись в такие папки предоставляются лишь некоторым приложениям из белого списка. Однако эти приложения не защищены от неправомерного использования другими приложениями, поэтому вредоносное ПО может выполнять операции с защищенными папками, используя приложения из белого списка в качестве посредников.

Например, вредоносный код может воспользоваться «Блокнотом» для выполнения операций записи и шифрования файлов жертвы, хранящихся в защищенных папках. Для этого достаточно прочитать файлы в папках, зашифровать их в памяти и скопировать в буфер обмена, а затем запустить «Блокнот» и с его помощью перезаписать содержимое папки данными из буфера обмена.

Атака Ghost Control ещё проще и состоит в том, что функцию защиты антивирусов можно отключить, отправляя ему системные сообщения Windows, уведомляющие о кликах мыши на определённых кнопках в управляющем интерфейсе.

Уязвимыми для атаки Ghost Control оказались 14 из 29 протестированных антивирусов, а против атаки Cut-and-Mouse не устоял ни один.

Мобильная безопасность

В рамках очередной кампании против владельцев Android-смартфонов злоумышленники распространяют вредоносное ПО под видом популярных Android-приложений от известных компаний.

В числе таких приложений — фальшивые плеер VLC, антивирус Касперского, приложения FedEx и DHL. Установившие их пользователи получают вместо желаемого банковские трояны Teabot или Flubot.

Teabot перехватывает проверочные коды для авторизации в учетных записях Google, записывает нажатия клавиш, показывает поддельные экраны поверх настоящих и может захватить полный контроль над устройством.

Троян Flubot похищает данные для входа в онлайн-банкинг, текстовые сообщения и других персональных данных. Этот вредонос умеет распространяться автоматически через SMS-рассылку.

Поддельные приложения не представлены в Google Play Store и распространяются только через сторонние магазины.

Инциденты

Хакеры взломали компьютерную систему американской транспортной компании Metropolitan Transportation Authority (MTA).

Для взлома злоумышленники эксплуатировали уязвимость нулевого дня CVE-2021-22893 в шлюзах Pulse Connect Secure.

Представители Metropolitan Transportation Authority заявляют, в ходе анализа атаки не было выявлено никаких свидетельств дальнейшего проникновения, и персональная информация клиентов компании скомпрометирована не была. MTA сообщила об инциденте в правоохранительные и другие государственные органы, но не раскрыла его публично.

Известно, что атаковавшие Metropolitan Transportation Authority хакеры не преследовали финансовую выгоду, не использовали вымогательское ПО и не требовали выкупа. Атака была частью широкомасштабной кибероперации, проводимой хакерами, предположительно работающими на китайское правительство.

Киберпреступники взломали сайт президента Мьянмы и внедрили вредоносное ПО в пакет бирманского шрифта, доступного для скачивания на главной странице сайта.

Использованное для атаки вредоносное ПО имеет сходство с вредоносной программой, использовавшейся в фишинговых кампаниях, проводимых китайскими правительственными хакерами, в том числе группировками Mustang Panda, RedEcho и Bronze President.

Mustang Panda известна своими тщательно подготовленными фишинговыми атаками. В данной конкретной кампании группировка модифицировала пакет шрифтов Юникода, который пользователи могут загружать с сайта президента Мьянмы. Злоумышленники добавили в архив загрузчик Cobalt Strike под названием Acrobat.dll, загружающий shell-код Cobalt Strike.

Компания JBS Foods, крупнейший производитель продуктов питания, была вынуждена приостановить производство на нескольких объектах из-за вымогательской атаки. Инцидент затронул несколько производственных предприятий JBS в разных странах, включая США, Австралию и Канаду.

Влияние инцидента особенно остро ощущается в австралийском представительстве компании, которое было вынуждено отменить весь запланированный на понедельник забой коров и овец в Квинсленде, Виктории, Новом Южном Уэльсе и Тасмании.

По словам главы Профсоюза работников мясоперерабатывающей промышленности Австралии Мэтта Журно (Matt Journeaux), у многих сотрудников JBS зарплата рассчитывается по количеству отработанных дней, поэтому из-за простоя тысячи людей останутся без денег.

В JBS подчеркнули, что в ходе расследования не было обнаружено никаких доказательств компрометации данных клиентов, поставщиков или сотрудников.

Управление здравоохранения Швеции (Folkhälsomyndigheten) отключило свою базу данных инфекционных заболеваний SmiNet после нескольких попыток взлома.

Как сообщают представители организации, управление здравоохранения Швеции обнаружило несколько попыток взлома базы данных SmiNet, поэтому база данных временно отключена. Ведется работа по максимально быстрому расследованию того, мог ли кто-либо получить доступ к конфиденциальным личным данным из базы данных, а также по исправлению и устранению любых недостатков.

Из-за отключения базы данных Управление здравоохранения Швеции не смогло предоставить полную статистику по заболеваемости COVID-19. По состоянию на понедельник, 31 мая, расследование все еще продолжалось , но никаких свидетельств взлома обнаружено не было.

Компания ExaGrid, выпускающая устройства резервного копирования, выплатила операторам вымогателя Conti выкуп в размере 50,75 биткоинов — примерно 2,6 млн долларов США.

Киберпреступники получили доступ к данным сотрудников и клиентов, а также конфиденциальным контрактам. Они проникли в сеть компании и оставались в ней более месяца, зашифровали файловые серверы, SQL-серверы, похитили всю важную информация общим объемом более 800 ГБ.

Злоумышленники также предположительно похитили личные данные клиентов и сотрудников компании, коммерческие контракты, соглашения о неразглашении, финансовые данные, налоговые декларации. Первоначальная сумма выкупа составляла 7,48 млн долларов США.

Профессор психологии Алла Аведисова, руководитель отделения психического и поведенческого расстройства НИИ им. Сербского, который проводит экспертизы убийц и маньяков, стала жертвой мошенников.

Профессор поверила телефонному аферисту, который представился сотрудником отдела безопасности Росбанка и заявил, что на ее имя попытались получил кредит в 1 млн. Чтобы защититься, профессору нужно было срочно снять со счёта все свои сбережения. и передать их «сотруднику банка» на ответственное хранение.

Профессор сняла со своих счетов 74,4 тыс долларов США, 135,5 тыс евро, 25 тысяч рублей, а затем пришла на встречу в кафе и передала их незнакомому мужчине. Получив деньги, преступники не успокоились и оформили на профессора кредит на 1 миллион рублей. Общая сумма ущерба составила более 14,6 млн рублей.

 138   19 дн   дайджест   фишинг
Ранее Ctrl + ↓