Rose debug info
---------------

Блог компании Антифишинг

как поведение людей влияет на безопасность

Наши продуктыДайджестыСтатьиСписок постов

Антифишинг-дайджест № 300 с 18 по 24 ноября 2022 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Новая фишинговая кампания использует уязвимость нулевого дня (0-day) в Windows для обхода защитной функции Mark of the Web и устанавливает на устройства пользователей вредонос Qbot.

Схема кампании:

  1. Жертва получает вредоносное письмо, в котором есть ссылка на некий документ и пароль от архива.

  1. После перехода по ссылке на компьютер пользователя загружается ISO-образ, содержащий файлы WW.js, data.txt и переименованную DLL — resemblance.tmp.
  1. JS-файл содержит скрипт в формате VB, задача которого — читать текстовый файл data.txt. В data.txt есть строка vR32, содержащая параметры команды shellexecute.
  1. Загруженные файлы JavaScript обходят маркировку Mark of the Web, что позволяет вызвать минимум подозрений у получателя фишингового письма.

  1. После запуска скрипт устанавливает на компьютер исполняемые файлы вредоносного ПО Qbot.

ВТБ предупреждает о возврате мошеннических сценариев, в рамках которых злоумышленники просят клиентов подключить стороннюю банковскую карту к Pay-сервисам для бесконтактной оплаты на мобильном устройстве, чтобы затем вывести деньги на свои счета.

Схема действий мошенников:

  1. Злоумышленники от имени финансовых организаций по телефону сообщают о необходимости перевести деньги на якобы безопасный счет для защиты средств клиента.
  2. Для этого пользователя просят скачать один из существующих Pay-сервисов и добавить в него данные сторонней банковской карты или счета на мобильном устройстве, якобы «безопасного», а затем — перевести деньги на него.
  3. Выполнить эту операцмию жертве предлагают через банкомат с NFC-модулем, который позволяет пополнить карту мошенников с устройства жертвы.

Обнаружена фишинговая кампания вьетнамской группировки Ducktail в WhatsApp и LinkedIn, цель которой — захват учетных записей Facebook Business.

Схема кампании

  1. Операторы Ducktail скрывают инфостилер в архивных файлах вместе с изображениями, документами и видеофайлами.
  1. Названия файлов связаны с популярными брендами и продуктами для управления проектов.
  2. Ducktail скрывает вредоносное ПО, отображая поддельные документы и видеофайлы при запуске. Чтобы избежать обнаружения, группа постоянно изменяет формат файла, а также компилирует и подписывает сертификаты.
  3. Оказавшись в системе жертвы, вредонос ищет cookie-файлы и токены Facebook в браузерах Google Chrome, Microsoft Edge, Brave Browser и Firefox.
  4. Если cookie-файлы были обнаружены, инфостилер напрямую взаимодействует с различными конечными точками Facebook с компьютера жертвы, используя cookie-файл сеанса Facebook и учетные данные, полученные с помощью cookie, чтобы украсть информацию из аккаунта жертвы.
  5. Если аккаунт жертвы был успешно взломан, вредонос похищает ее личные и платежные данные. Кроме того, Ducktail пытается добавить адрес электронной почты злоумышленника в списки электронных адресов организаций, в которых работает жертва.
  6. В конце атаки все украденные данные отправляются хакерам через Telegram.
  7. Получив нужную информацию, злоумышленники пытаются купить рекламу, размещенную другими компаниями.

В ходе очередной вымогательской кампании злоумышленники кибергруппы Luna Moth (Silent Ransom) используют адресные рассылки и вишинг.

Схема кампании

  1. Атака начинается с рассылки сообщений, подстроенных под выбранную жертву. Эти сообщения не содержат вредоносных вложений или ссылок. Приманкой обычно служит инвойс или платная подписка, якобы оформленная на имя получателя.
Фишинговое письмо
  1. К фальшивке прикреплен безобидный PDF-документ, в котором указан номер телефона для связи на случай возникновения вопросов — например, для отмены подписки, по которой скоро начнут снимать деньги с карты.

  1. Если жертва позвонит по указанному номеру телефона, её начнут убеждать установить на компьютер ПО для удаленного управления. Например, собеседник в ходе разговора может выслать приглашение присоединиться к сеансу удаленной поддержки через Zoho Assist — якобы для большего удобства.
Приглашение присоединиться к сеансу удаленной поддержки
  1. Если жертва согласится, мошенник перехватит управление ее клавиатурой и мышью, включит доступ к буферу обмена и размоет экран, чтобы скрыть дальнейшие действия от пользователя.
  1. После этого в систему устанавливается инструмент удаленного управления Syncro, чтобы обеспечить стороннее присутствие, а также менеджер файлов Rclone или клиент WinSCP — для выкачивания ценных данных с компьютера и подключенных сетевых ресурсов. Процесс в этом случае может занять от нескольких часов до пары недель.
  1. Если у жертвы нет прав администратора, автор атаки не пытается закрепиться в системе, а сразу переходит к краже данных с помощью WinSCP Portable — прямо во время телефонной беседы.
  1. После кражи информации пострадавшему высылается письмо с требованием выкупа, размер которого составляет от 2 до 78 биткоинов в зависимости от платежеспособности атакованной организации.
Вымогательское письмо
  1. Каждой жертве назначается свой криптокошелек, причем за проведение платежа в заданные сроки предоставляется скидка в 25%.
  1. Неплательщикам могут угрожать потерей репутации — вымогатели обещают рассказать о случившемся крупным клиентам жертвы, называя их имена.

Новая схема обмана телефонных мошенников: они притворяются сотрудниками правоохранительных органов, которые расследуют дело о массовой утечке персональных данных из банков, которое ведется по поручению Центрального банка.

Схема обмана:

  1. Мошенник звонит человеку и сообщает, что среди скомпрометированных данных могут быть и его сведения. Он предлагает свериться с базой утечек, чтобы привлечь собеседника в качестве потерпевшего.
  1. Далее злоумышленник спрашивает у человека, в каком банке он обслуживается, просит данные карты, в том числе трехзначный код на её оборотной стороне.
  1. Чтобы убедить потенциальную жертву в правдоподобности истории, мошенник может направить ему в мессенджер или на электронную почту фото поддельного документа о проведении оперативно-розыскных мероприятий.

Мобильная безопасность

В Google Play обнаружен новый набор вредоносных приложений, которые маскируются под файловые менеджеры, чтобы загрузить на устройство банковский троян Sharkbot.

Вредоносные «файловые менеджеры»

Размещенные в магазине приложения не содержат вредоносной функциональности. А вот после установки на мобильном устройстве жертвы «файловый менеджер» подгружает «полезную нагрузку» из стороннего ресурса. Поскольку программы позиционируют себя как файловые менеджеры, пользователя вряд ли смутят запрашиваемые разрешения.

Цель операторов Sharkbot — контроль над аккаунтами жертвы в онлайн-банкинге. Для этого троян выводит фейковые формы для ввода учётных данных, которые отправляют логины и пароли злоумышленникам.

Атаки и уязвимости

В продуктах компании Omron обнаружены опасные уязвимости, затрагивающие контроллеры серий NJ и NX и программное обеспечение.

Перечень уязвимостей:

  • Уязвимость высокого уровня опасности CVE-2022-33971 (CVSS: 8,3), которая может позволить злоумышленнику, получившему доступ к целевому программируемому логическому контроллеру (ПЛК) Omron, вызвать отказ в обслуживании (DoS) или запустить вредоносные программы;
  • Критическая уязвимость жестко запрограммированных учетных данных CVE-2022-34151 (CVSS: 9,4) позволяет получить доступ к ПЛК Omron;
  • Уязвимость высокого уровня опасности CVE-2022-33208 (CVSS: 8,1), которую можно использовать для получения конфиденциальной информации, а также для обхода аутентификации и получения доступа к контроллеру.

Инциденты

Из-за DDoS-атаки группировки KillNet сайт Европарламента не работал более четырех часов.

Кибератака произошла после того, как Европарламент проголосовал за то, чтобы объявить Россию «государством-спонсором терроризма». Резолюция носит рекомендательный характер, её поддержали 494 евродепутата, против выступили 58, 44 — воздержались.

Компания DraftKings, занимающаяся спортивными ставками, сообщила, что ее клиенты пострадали от атак типа credential stuffing.

Общий размер потерь пользователей оценивается в 300 000 долларов США. При этом в DraftKings подчеркивают, что ее собственные системы не были взломаны.

Все взломанные учетные записи объединяло одно: внесение первоначального депозита в размере 5 долларов США. Сразу после этого злоумышленники меняли пароль, подключали двухфакторную аутентификацию для другого телефонного номера и снимали как можно больше денег с привязанного в аккаунту банковского счета.

Представители компании предположили, что учетные данные этих клиентов были скомпрометированы на других сайтах, а затем использованы для доступа к их учетным записям DraftKings, где они использовали те же логины и  пароли.

Группировка XakNet сообщила в своем Telegram-канале о завершении операции по взлому украинского Министерства финансов.

Операция по взлому украинского финансового ведомства длилась на протяжении нескольких месяцев. Хакеры «шаг за шагом компрометировали инфраструктуру, изучали, как все устроено, попутно выкачивая документы».

Представители XakNet сообщили, что им удалось получить доступ к почте сотрудников ведомства и изъять более миллиона файлов с электронными документами. Собранные данные планируется передать СМИ по запросу для организации расследований, а впоследствии открыть для всех желающих.

Как сообщает Telegram-канал «Утечки информации», группировка XakNet уже начала выкладывать в открытый доступ учетные записи из локального домена «Министерства Финансов Украины»(mof.gov.ua). В опубликованной базе находится 960 строк, содержащих информацию об именах пользователя в домене mof.local, хешированные (NTLM), а также «расшифрованные» пароли.

Лоукостер AirAsia стал жертвой группировки вымогателей Daixin Team.

Представитель группировки заявил, что им удалось получить личные данные 5 миллионов пассажиров и всех сотрудников авиакомпании. В качестве доказательства злоумышленники предоставили изданию DataBreaches и жертве два CSV-файла c информацией о пассажирах и сотрудниках.

Пока неизвестно, сколько хакеры потребовали за ключ для дешифрования данных, удаление всего украденного и информирование AirAsia о найденных и использованных уязвимостях.

Представитель Daixin Team подчеркнул, что при блокировке файлов хакеры старались не зацепить те, что связаны с летным оборудованием.

Примечательно, что группировка остановила атаку, разозлившись на бардак в сети и отсутствие каких-либо стандартов. Хакеры передали привет сисадминам AirAsia и сравнили сеть компании с разваливающимся сараем, построенным у старого здания.

 38   1 д   дайджест   фишинг

Антифишинг-дайджест № 299 с 11 по 17 ноября 2022 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Интернет-мошенники, которые заманивали жертв через сайты знакомств на фишинговые ресурсы и списывали их средства, начали выводить эту схему в страны ЕС, СНГ, Турцию и ОАЭ.

Схема действий мошенников

  1. Мошенник под видом привлекательной барышни знакомится с потенциальной жертвой в социальных сетях или на сайтах знакомств, и приглашает на свидание с просьбой купить билеты, например, в местный театр или кино.
Пример «театрального ресурса», ориентированного на жителей Германии
  1. Дальше пользователя могут увести в мессенджер, где он получает ссылку на фишинговый сайт для покупки билетов, оплачивает их, в то время как деньги и данные карты похищаются злоумышленниками. Бывает, что деньги списывали дважды или трижды — при оформлении «возврата».
  1. Вся работа рядовых участников (воркеров) координируется через Telegram, где созданы специальные чат-боты с готовыми фишинговыми сайтами под различные площадки — кинотеатры, театры, рестораны, кальянные, генерацией билетов, чеков, подробными скриптами.
  1. В России для вовлечения в схему активно использовались фальшивые голосовые сообщения. И это работало: получив «голосовушку», жертва зачастую теряла бдительность.

Атаки и уязвимости

В домофонах компании Aiphone обнаружена уязвимость CVE-2022-40903, которая позволяет взломать его с помощью практически любого мобильного устройства, поддерживающего NFC.

Проблема была обнаружена еще в июне 2021 года и затрагивает устройства Aiphone серий GT-DMB, GT-DMB-N и GT-DMB-LVN с прошивкой до версии 3.00, а также устройства GT-DB-VN с прошивкой версии 2.00 или более ранней.­

Уязвимость позволяет злоумышленнику «использовать мобильное устройство с поддержкой NFC для проведения брутфорс-атаки на входную систему» и подобрать код доступа администратора. По сути, система позволяет атакующему, имеющему доступ к сети, перепробовать все возможные комбинации четырехзначных кодов и подобрать пароль.

Примечательно, что взломавший дверь хакер не оставит после себя никаких цифровых следов — уязвимые модели Airphone не сохраняют логи.

Инциденты

На сайте полиции Саффолка были случайно опубликованы данные сотен жертв сексуального насилия.

В открытом доступе оказалась полная информация, включающая в себя имена, адреса, даты рождения жертв и подробности совершенных преступлений. Согласно заявлению представителя английской полиции, как только про инцидент стало известно, он был решен, и теперь эта информация недоступна широкой публике.

Комиссар по делам полиции преступности высказывает опасения, что подобные случаи могут подвергнуть жертв еще больше опасности.

Злоумышленники взломали официальную учетную запись NVIDIA в Twitter и продвигают криптовалюту Dogecoin.

Страница производителя видеокарт была неактивна ещё с 2019 года, но 15 ноября на ней неожиданно появились записи, связанные с криптовалютой Dogecoin. Учитывая недавнюю покупку Twitter Илоном Маском и его любовь к этой криптовалюте, ситуация выглядит весьма забавно.

Злоумышленник разместил тему о некоем событии Dogeathon 2022 и добавил ссылку на это сообщение. Ссылка была использована для фишинга.

В открытом доступе появилась информация о клиентах провайдера «Дом.ру» из Санкт-Петербурга.

В двух текстовых файлах содержатся данные юридических и физических лиц:

  • 🌵 ФИО,
  • 🌵 адрес,
  • 🌵 ИНН, ФИО директора, банковские реквизиты (для юр. лиц),
  • 🌵 дата рождения (не у всех),
  • 🌵 телефон (2,7 млн уникальных номеров).

Судя по информации из этих файлов, данные актуальны на 09.11.2021.

Можно предположить, что хакеру удалось завладеть не клиентской базой данных оператора связи, а базой входящих заявок на подключение к сети.

Неизвестный воспользовался «подтвержденным» аккаунтом Twitter с синей галочкой и от имени фармацевтического гиганта Eli Lilly заявил, что инсулин будут раздавать бесплатно.

Другие подражатели Eli Lilly пошли еще дальше: быстро извинились за «ошибку» и заявили, что инсулин теперь будет стоить 400 долларов.

Фальшивые твиты набрали миллионы просмотров, поэтому на происходящее отреагировал рынок: акции компании резко подешевели и капитализацмия компании упала более чем на 16 млрд долларов США.

Произошедшее спровоцировало настоящую панику среди сотрудников реальной Eli Lilly. Производитель попытался опровергнуть фальшивые заявления имитаторов, связаться с Twitter и потребовал немедленно удалить фейк, опасаясь, что это может подорвать репутацию бренда. Однако в Twitter, чей штат недавно сократился вдвое, не реагировали на происходящее в течение нескольких часов. В итоге руководители Eli Lilly приказали остановить все рекламные кампании в социальной сети.

В настоящее время раздача «синих галочек» всем желающим приостановлена.

Как сообщает телеграм-канал «Утечки информации», в сентябре стало известно, что хакеры взломали сервис шеринга самокатов whoosh-bike.ru.

В начале ноября сервис официально подтвердил атаку и заявил: «Служба информационной безопасности Whoosh выявила и пресекла процесс утечки информации, организованный группой хакеров».

Однако, несколько дней назад на теневом форуме был выставлен на продажу за 4200 долларов США дамп базы данных этого сервиса с информацией клиентов, в котором содержится:

  • 🌵 имя,
  • 🌵 телефон (7,23 млн уникальных номеров),
  • 🌵 адрес эл. почты (6,89 уникальных адресов),
  • 🌵 частичный (6 первых и 4 последних цифры) номер банковской карты, имя/фамилия латиницей, тип карты (VISA, MASTERCARD и т. п.),
  • 🌵 дата создания записи и последней аутентификации (с 23.01.2019 по 19.09.2022),
  • 🌵 GPS-координаты.

В даркнете опубликовали сведения об учениках средней школы The Bishop of Hereford’s Bluecoat School, расположенная в английском городке Херефорд.

Школа пострадала от кибератаки в октябре, когда ее системы были атакованы Vice Society. После инцидента руководство школы уверенно заявило, что личная информация о сотрудниках и учениках находится в безопасности.
Но сейчас ситуация резко изменилась — киберпреступники слили в даркнет следующий набор данных о каждом из 1000 учеников:

  • Полное имя;
  • Адрес;
  • Уникальный номер ученика;
  • Пол;
  • Этническую принадлежность;
  • Дополнительную информацию о специальных образовательных потребностях;
  • Полицейские отчеты о происшествиях с учениками.

9 октября в школьной сети была обнаружена подозрительная активность, в результате чего все серверы с данными были отключены. Но это не помогло, потому что уже на следующий день группировка Vice Society связалась с руководством школы и сообщила, что некоторые файлы были зашифрованы.

Правоохранительные органы не стали сразу же предпринимать какие-либо действия, поскольку не верили, что какие-либо данные могли быть украдены.

Вымогатели BlackCat взломали компанию Conforama, вторую по величине розничную сеть по продаже домашней мебели в Европе.

На своем сайте BlackCat похвасталась украденным и заявила, что у Conforama все очень плохо с системами безопасности и защитой данных своих пользователей. Вымогатели дали компании 48 часов на то, чтобы связаться с ними, в противном случае все украденные данные будут выложены в открытый доступ.

Злоумышленники заявили, что в случае отказа они будут использовать финансовые данные клиентов в незаконных целях, а также сольют все внутренние маркетинговые и аналитические данные конкурентам Conforama. По словам хакеров, уплата выкупа — единственный шанс Conforama спасти свою репутацию, бизнес, данные клиентов и партнеров.

В качестве подтверждения серьезности своих намерений BlackCat выложили на сайте более двух десятков внутренних документов компании. Представители Conforama пока никак не комментируют инцидент и игнорируют сообщения от СМИ.

 291   8 дн   дайджест   фишинг

Антифишинг-дайджест № 298 с 4 по 10 ноября 2022 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Эксперты предупреждают о двух мошеннических схемах, в ходе которых преступники выдают себя за финансовых регуляторов, расследующих мошенничество, чтобы выманить у пользователей персональную информацию.

Первая кампания ориентирована на жителей Германии:

  1. Некая организация под названием Finanzmarktaufsicht в письме сообщает, что полиция города Оснабрюк якобы арестовала неких преступников и конфисковала у них жесткие диски, на которых хранились расшифрованные персональные данные граждан. Среди этих данных, по их словам, была обнаружена в том числе и личная информация получателя письма.

  1. В письме сообщается, что из-за большого количества жертв в Finanzmarktaufsicht предполагают, что речь идет об организованной преступности. Авторы сообщения просят жертву посодействовать следствию намекая, что это в ее интересах.
  1. Чтобы оказать содействие, достаточно всего лишь заполнить некую специальную онлайн-форму по ссылке или связаться по телефону, указанному в письме.
  1. В конце письма преступники прикрепили ссылку на настоящую статью про расследование произошедшего, опубликованную на настоящем сайте одной из популярных в Германии новостных телепередач.
  1. Если пользователь не заметит обмана и перейдет по ссылке из письма, он увидит онлайн-форму на сайте якобы того самого Finanzmarktaufsicht. Чтобы получить квалифицированную помощь, он должен ввести следующие данные:
  • фамилию;
  • имя;
  • адрес электронной почты;
  • контактный телефон;
  • название организации, в которую он недавно вкладывал деньги;
  • дату, сумму и назначение платежа.
  1. Ниже на странице также обещают помочь вернуть деньги, украденные мошенниками, и сообщают, что для этого надо подготовить документы, включая переписку, информацию о банковских транзакциях.

Вторая схема ориентирована на Швейцарию:

  1. Преступники в письме напоминают получателю, что в 2015—2017 годах тот якобы инвестировал в компанию Solid CFD. А теперь ее закрыли из-за какой-то незаконной деятельности, и «менеджер отдела восстановления и разрешения» независимого финансового регулятора хочет помочь вернуть вложения. Дозвониться до адресата по телефону псевдосотрудник, увы, не смог, поэтому просит самого пользователя связаться в ним ответном электронном письме и обсудить судьбу инвестиций.
  1. В письме они ссылаются на FINMA — независимого финансового регулятора из Швейцарии. Компания, которая упоминается в письме, также реальна и даже имеет сомнительную репутацию.
  1. Никакого сайта в этой схеме не предусмотрено. Вероятно, мошенники надеются, что им повезет и пользователь согласится обсудить свои инвестиции в почте или даже перейти на телефон или в мессенджеры, где с помощью различных техник социальной инженерии у него выманят персональную информацию и, скорее всего, деньги.

Обнаружена кампания, в которой для кражи учетных данных жертв использовался сервис Microsoft Dynamics 365.

Схема кампании:

  1. Продукт Microsoft Dynamics 365 Customer Voice позволяет организациям получать отзывы клиентов, он используется для проведения опросов об удовлетворенности клиентов.
  1. Электронные письма жертвам поступают из функции опроса в Dynamics 365, адрес отправителя содержит «Forms Pro», что является старым названием функции опроса.
  1. Сообщение информирует получателя о получении новой голосовой почты.
  1. После нажатия кнопки «Воспроизвести голосовую почту» получатель перенаправляется на фишинговую страницу, имитирующую страницу входа в Microsoft. Используя ссылки Customer Voice, злоумышленники могут обходить меры безопасности.
  2. Системы безопасности не могут напрямую заблокировать Microsoft, поскольку будет невозможно выполнить какие-либо процессы. Вместо этого ссылки из надежных источников, как правило, автоматически становятся доверенными, что позволяет хакерам похитить учетные данные жертв.

Обнаружена новая мошенническая кампания, в ходе которой у россиян выманивают деньги, полученные в качестве компенсаций в связи с участием их родных в спецоперации.

Схема кампании:

  1. Мошенники звонят гражданам, рассчитывая попасть на родственников пострадавших или погибших в ходе спецоперации.
  2. Они сообщают жертвам, что им положены страховое возмещение, а также единовременные пособия.
  3. Злоумышленники убеждают собеседников, что выплату необходимо направить на «безопасный счет» или инвестировать, чтобы приумножить полученную сумму. 4. Если довериться таким советам, деньги уйдут мошенникам.

Обнаружена киберкампания браузерного ботнета Cloud9, ориентированного в основном на пользователей Chrome.

Cloud9 представляет собой троян удаленного доступа (RAT) для Chromium-браузеров (включая Google Chrome и Microsoft Edge) и позволяет своим операторам удаленно выполнять произвольные команды. Ботнет использует вредоносные расширения для кражи аккаунтов, кейлоггинга, внедрения на веб-страницы рекламы и вредоносного JS-кода, а также заставляет браузер жертвы участвовать в DDoS-атаках.

Подробности о кампании:

  1. Вредоносные расширения Cloud9 распространяются не через официальный Chrome Web Store, а по альтернативным каналам, включая сайты с поддельными обновлениями для Adobe Flash Player.
  2. Расширение Cloud9 состоит из трех файлов JavaScript, предназначенных для сбора системной информации, майнинга криптовалюты с использованием ресурсов хоста, выполнения DDoS-атак и внедрения скриптов, запускающих браузерные эксплоиты.
  3. Для автоматической установки и запуска Windows-малвари на хосте используются уязвимости CVE-2019-11708 и CVE-2019-9810 в Firefox, CVE-2014-6332 и CVE-2016-0189 в Internet Explorer и CVE-2016-7200 в Edge, что позволяет злоумышленникам проводить более серьезные атаки на зараженную систему.
  4. Cloud9 может похитить файлы cookie из скомпрометированного браузера, которые злоумышленники затем могут использовать для перехвата пользовательских сеансов и захвата учетных записей. Также вредонос оснащается кейлоггером, который способен перехватывать нажатия клавиш с целью кражи паролей и другой конфиденциальной информации.
  5. Во вредоносном расширении присутствует модуль, который постоянно контролирует буфер обмена в поисках скопированных паролей или данных банковских карт.

Мобильная безопасность

В магазине Google Play обнаружены новые русскоязычные приложения на тему здорового образа жизни, за которыми на самом деле скрывается троян-подписчик GriftHorse.

Пользователям предлагают скачать приложения с онлайн-курсом домашних тренировок для мужчин или планом диеты и тренировок, которые на деле являются вредоносными.

В приложении пользователя вынуждают купить доступ к ЗОЖ-контенту якобы за небольшую сумму (в обнаруженных приложениях — за 29 рублей), для чего нужно ввести данные банковской карты. Если жертва соглашается с неочевидными условиями, написанными мелким шрифтом (которые зачастую не помещаются на экране), с ее карты начнут ежемесячно списываться деньги — от нескольких сотен до нескольких тысяч рублей. В результате пользователь рискует потерять крупную сумму за разовый доступ к мотивирующим видео о тренировках.

Инциденты

Канал «Утечки информации» предупреждает о «сливе» данных пользователей сервиса вертикальных медиа Yappy.Media — российского аналога TikTok, принадлежащего Газпром-медиа.

В четырех текстовых файлах содержатся:

  • 🌵 телефон (более 2.1 млн уникальных номеров);
  • 🌵 имя (менее 400 тыс. значащих записей);
  • 🌵 логин (половина автогенерируемые);
  • 🌵 адрес эл. почты (около 300 тыс.);
  • 🌵 хешированный (PBKDF2) пароль (всего 76);
  • 🌵 мобильное устройство и ОС;
  • 🌵 дата регистрации и последнего использования (с 15.06.2021 по 19.07.2022).

Telegram-канал in2security сообщает, что размер дампа составляет примерно гигабайт, и в четырех файлах содержится около 2 миллионов строк.

Представители пресс-службы Yappy уже подтвердили СМИ факт утечки, однако заявили, что в открытом доступе оказались неактуальные дампы обезличенных пользовательских данных, содержащие никнеймы и номера телефонов.

В компании говорят, что Yappy не собирает фамилии, даты рождения и другие составляющие персональных данных, поэтому утечка не представляет никакой угрозы.

Подростки нашли уязвимость в терминале самообслуживания одного из ресторанов быстрого питания «Вкусно и точка», после чего целый месяц бесплатно питались, заказав бургеров на 12 тысяч рублей.

Любители бесплатного фастфуда работали по одной схеме:

  • заказывали еду на кассе самообслуживания,
  • открывали техническую дверцу,
  • нажимали на кнопку отключения терминала,
  • забирали заказ,
  • с помощью той же кнопки снова включали кассу самообслуживания — и система автоматически возвращала деньги за последний заказ.

Сотрудники «Вкусно и точкаа» обратили внимание на нехватку денег только во время проверки кассовой отчётности.

Веб-сервис urlscan[.]io, задача которого сканировать веб-сайты и выявлять подозрительные либо вредоносные URL, замечен в «сливе» конфиденциальной информации.

В публичном доступе оказались частные ссылки на внутренние документы, страницы для сброса паролей, счета и другая информация с сайтов, просканированных URLScan. Все эти данные можно достать через поиск.

Проблема конфиденциальности усугубляется ещё и тем, что urlscan.io интегрирован в ряд ИБ-продуктов посредством API. Поскольку интеграция позволяет сканировать каждое входящее письмо и ссылку, в базу собираемых данных могут попасть конфиденциальные сведения: URL страниц для сброса пароля, ссылки на отписку или создание аккаунта.

На GitHub в открытом доступе обнаружены учетные данные для внутреннего сервера фармацевтического гиганта AstraZeneca.

Информация была случайно опубликована разработчиком еще год назад и давала доступ к конфиденциальным данным пациентов.

«Забытые» на GitHub учетные данные относились к тестовой облачной среде Salesforce, которую предприятия часто используют для управления клиентами. В данном случае тестовая среда содержала информацию о некоторых пациентах AstraZeneca. В частности, данные были связаны с приложениями AZ&ME, которые предлагают скидки пациентам, нуждающимся в лекарствах.

Специалисты подчеркивают, что это не первый случай утечки учетных данных через GitHub из-за ошибок, вызванных человеческим фактором. Опасность таких случайных утечек заключается в том, что они происходят случайным образом, а путь эксплуатации очень прост, что облегчает задачу злоумышленников.

Из-за кибератаки канадский производитель мяса Maple Leaf Foods был вынужден остановить часть бизнес-процессов.

Хотя атака произошла в выходные дни, IT-команда компании почти мгновенно отреагировала на инцидент. Сейчас специалисты Maple Leaf Foods работают с ИБ-экспертами чтобы как можно скорее разрешить ситуацию.

Несмотря на то, что полное устранение последствий кибератаки займет время, производитель мяса заявил, что не прекратит работать с клиентами и партнерами, чтобы минимизировать перебои в поставках продуктов на канадский рынок.

Представитель компании сообщил, что пока не установлено, как и кем была проведена кибератака.

Кибервымогатели LockBit взялb на себя ответственность за атаку на немецкую компанию Continental — производителя шин, автомобильной электроники и других комплектующих.

Злоумышленники заявляют, что похитили данные из систем Continental и угрожают опубликовать их на своем «сайте для утечек», если компания не выплатит выкуп. Пока хакеры не сообщают никаких подробностей об украденных данных, а также не пишут, когда произошла атака и утечка.

Представители Continental не стали комментировать заявления LockBit и не сообщили никаких подробностей об атаке.

Хакеры LockBit украли данные ведущей консалтинговой компании Kearney & Company.

Преступники угрожают опубликовать украденные данные до 26 ноября 2022 года, если компания не заплатит выкуп. Группа выложила образец украденных данных, который включает финансовые документы, контракты, аудиторские отчеты, платежные документы и другую информацию.

Вымогатели требует 2 млн долларов США за уничтожение украденных данных и 10 тыс. долларов США за «продление таймера» на 24 часа.

Работа государственных железных дорог Дании (DSB) оказалась парализована на несколько часов из-за хакерской атаки на стороннего поставщика ИТ-услуг, компанию Supeo.

Как сообщают СМИ, все поезда крупнейшей железнодорожной компании страны остановились ранним утром 5 ноября 2022 года, и возобновить движение удалось только к 13:00. Причем даже после этого поезда не могли ходить в полном соответствии с расписанием.

По имеющейся информации сбой произошел из-за проблем в ​​критически важной для безопасности ИТ-системе Den Digitale Rygsæk 2, которую разрабатывает компания Supeo, предоставляющая корпоративные решения для железных дорог, операторов транспортной инфраструктуры и управления пассажирскими перевозками.

Движение поездов нарушилось из-за того, что Supeo пришлось отключить свои серверы после хакерской атаки. В результате часть ПО, используемого машинистами, перестала работать.

Reuters пишет, что Supeo могла подвергнуться атаке вымогателей, хотя в компании никаких подробностей случившегося не сообщают и лишь заявляют, что это было «экономическое преступление», ориентированное на финансовую выгоду. Подчеркивается, что атака не была нацелена именно на DSB.

 118   15 дн   дайджест   фишинг
Ранее Ctrl + ↓