Блог компании Антифишинг

как поведение людей влияет на безопасность

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 15 по 21 марта 2019 года.


Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Мошенники обходят двухфакторную аутентификацию Office 365 и G Suite и получают доступ к учетным записям пользователей через протокол IMAP.

Хакеры применяют атаки с подбором учётных данных, применяя против незащищённого протокола IMAP как обычный перебор паролей, так и логины и пароли от известных учетных записей.

IMAP может быть использован без многофакторной аутентификации в одном из следующих случаев:

  • Почтовый клиент не поддерживает современные способы аутентификации.
  • Сервер не содержит полной реализации пароля приложений (Application-Specific Password) — альтернативного способа аутентификации.
  • Атака проводится против адресов, для которых многофакторная аутентификация не включена, а IMAP не заблокирован.

Полученный в результате доступ используется для фишинговых атак или следующих этапов проникновения в корпоративные сети.

Мошенники из фальшивой технической поддержки заманивали своих жертв с помощью фальшивой рекламы eBay.

Объявление размещалось в рекламной сети Google:

  1. В объявлении рекламировалась привлекательная акция на Ebay.
  2. Чтобы скрыть от проверок Google вредоносность объявления, мошенники использовали клоакинг — технику, с помощью которой поисковые системы и пользователи получают разный контент.
  3. Фальшивая реклама eBay показывалась только в определённое время и лишь части пользователей с американскими IP-адресами.
  4. При клике на объявление пользователь через цепочку переадресаций попадал на сайт фальшивой технической поддержки, где ему сообщалось, что Microsoft обнаружила вирус и заблокировала компьютер:

Клиенты Netflix и American Express стали жертвой фишинговой атаки, направленной на хищение данных о банковских картах и номерах социального страхования.

  1. Жертвы получали письма, в которых сообщалось, что действие их аккаунта приостановлено, а для восстановление необходимо обновить личные данные: имя, адрес электронной почты, номер социального страхования, адрес, номер телефона и дату рождения.
  2. У клиентов American Express дополнительно запрашивали место рождения, девичью фамилию матери и данные банковской карты.
  3. Все собранные данные направлялись преступникам и использовались для проведения атак и хищения денег.

Мошенники используют тему недавних авиакатастроф с Boeing 737 Max.

  1. Вредоносные письма с адреса info[@]isgec.com написаны от имени независимого аналитика, который якобы нашел в даркнете информацию о будущих крушениях.
  2. В теме значится Fwd: Airlines plane crash Boeing 737 Max 8.
  3. В тексте «аналитик» по имени Джошуа Берлингер (Joshua Berlinger) напоминает читателям о двух недавних катастрофах Boeing 737 MAX 8 и сообщает, что ему удалось найти список перевозчиков, самолеты которых упадут в ближайшее время.
  4. К письму прикреплен исполняемый JAR-файл с именем MP4_142019 или подобным. Если его открыть, в папку AppData устанавливаются средство для удалённого доступа H-Worm и шпионский троян Adwind:

Мобильная безопасность

В десяти мобильных приложениях для покупки одежды обнаружены критические уязвимости, через которые можно похитить информацтию, в том числе данные о банковских картах и пароли от учётных записей пользователей.

Среди уязвимых приложений — MANGO, ASOS, SHEIN, bonprix, Wildberries, H&M, KUPIVIP, Bershka, Joom и Lamoda.

  • Более 85% исследованных Android-приложений могут раскрыть данные платежных карт пользователей.
  • 9 из 10 приложений для Android допускают утечку информации о конфигурации системы. Такие данные могут быть использованы злоумышленником при планировании атаки.
  • Самыми защищенными Android-версиями приложений для покупки одежды оказались MANGO, ASOS и SHEIN.
  • Чуть менее защищены bonprix, Wildberries, H&M, KUPIVIP и Bershka.

Среди приложений для iOS не нашлось ни одного, которое бы соответствовало среднему по отрасли уровню защищенности.

Вредоносное ПО

Вредонос JNEC.a использует уязвимость в WinRAR и шифрует файлы жертвы так, что их невозможно расшифровать.

  1. JNEC.a распространяется через заражённые RAR-архивы с картинкой, отредактированной так, чтобы казаться повреждённой.
  2. Если жертва пытается распаковать архив, компьютер будет заражён шифровальщиком.
  3. Получив управление, вредонос шифрует файлы и показывает сообщение с требованием выкупа в размере 0,05 биткоина, что на сегодня составляет около 200 долларов США.
  4. Далее JNEC.a генерирует случайную последовательность букв и цифр и предлагает жертве зарегистрировать такой адрес в GMAIL, обещая прислать на него ключ расшифровки после получения выкупа.
  5. Из-за ошибки в коде вредоноса расшифровка файлов невозможна, поэтому платить выкуп смысла нет.

«Умные» устройства

Беспроводная клавиатура Fujitsu Wireless Keyboard Set LX901 содержит уязвимость, через которую можно инициировать нажатия клавиш и перехватить контроль над системой.

Причина уязвимости в том, что приёмник клавиатуры принимает сигналы от клавиатуры не только в зашифрованном с помощью алгоритма AES виде, но и в полностью открытом незашифрованном. Причём формат этих сигналов описан в документации для разработчиков.

Атака работает на расстоянии 45 метров, даже если экран компьютера заблокирован. Всё необходимое для её проведения можно спрятать в кармане.

Несмотря на то, что специалисты уведомили Fujitsu о проблеме осенью 2018 года, компания так и не выпустила соответствующий патч. Предположительно, производитель считает выявленную уязвимость трудновоспроизводимой, либо относит данную модель клавиатуры к сегменту устройств, не предназначенных для использования в учреждениях с повышенными требованиями к безопасности.

Новый вариант IoT-червя Mirai, захватывающего контроль над устройствами «интернета вещей», вооружён 27 эксплойтами для незаметного проникновения.

Захватив контроль над устройствами, Mirai использует их ресурсы для создания многоцелевого ботнета, который может рассылать спам, устраивать DDoS-атаки и выполнять другие задачи для своих владельцев.

В числе устройств, которые могут быть захвачены:

  • умные телевизоры LG линейки Supersign (уязвимость CVE-2018-17173),
  • беспроводные системы для презентаций WePresent WiPG-1000

Кроме того, новый Mirai эксплуатирует:

  • уязвимость удаленного внедрения команд в сетевых видеокамерах DLink DCS-930L;
  • внедрение команд через веб-интерфейс роутеров DLink DIR-645 и DIR-815;
  • удаленное внедрение команд в кастомных прошивках роутеров Zyxel P660HN-T;
  • удаленное выполнение произвольных команд в сетевых устройствах Netgear (CVE-2016-1555);
  • уязвимости удаленного выполнения команд CVE-2017-6077 и CVE-2017-6334 в роутерах и ADSL-модемах Netgear;
  • возможность удаленного выполнения команд в некоторых устройствах линейки Netgear Prosafe.
О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Представляем новости об актуальных технологиях фишинга и других атаках на человека c 8 по 14 марта 2019 года.


Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

«Умные» устройства

«Невзламываемые» противоугонные сигнализации Viper и Pandora Car Alarm System оказались уязвимы для взлома.

Исследователи обнаружили в программном интерфейсе противоугонных систем уязвимости, которые позволяют менять настройки, сбрасывать аккаунты пользователей, взламывать учётные записи и многое другое.

Компрометация систем позволяет:

  • похитить данные о машине и владельце,
  • открыть автомобиль,
  • отключить сигнализацию,
  • прослушивать микрофоны,
  • отключить иммобилайзер
  • отслеживать передвижение автомобиля,
  • вывести из строя мотор во время его работы.

Устаревшие операционные системы в медицинском оборудовании позволяют с лёгкостью взломать устройство и получить доступ ко всей хранящейся на нём информации.

Многие медицинские приборы, в частности, устройства для ультразвуковых исследований (УЗИ) до сих по работают под управлением ОС Windows 2000. С одной стороны, для медицинского оборудования не так важно наличие последней версии модной ОС. С другой — при подключении такого устройства к локальной сети его можно взломать и получить полный доступ к результатам исследований, удалить или модифицировать полученные результаты и использовать их для шантажа. Также злоумышленник может заразить аппарат вымогательскими программами.

Мобильная безопасность

В рамках новой фишинговой кампании против пользователей iOS мошенники крадут учётные данные Facebook с помощью видеосимуляции.

Для проведения атаки преступники создают мошенническую страницу входа в социальную сеть, которая выглядит неотличимо от настоящей. Если невнимательный пользователь введёт свои данные, они отправятся к злоумышленникам.

Все атаки имеют общую особенность: когда пользователь нажимает кнопку «Login with Facebook», запускается видеоролик, имитирующий открытие новой вкладки в Safari, в которой выводится страница входа в учётную запись Facebook.

Функцию Face Unlock в Samsung Galaxy S10+ удалось обмануть тремя разными способами.

Во-первых, Galaxy S10+ разблокирует устройство по фотографии владельца, причём ее даже не нужно распечатывать, достаточно показать на экране другого смартфона:

Во-вторых, новинку от Samsung можно разблокировать, демонстрируя YouTube-видео, в котором есть его владелец. Таким образом смартфон удалось разблокировать в трёх случаях из трёх.

И самое забавное: Galaxy S10+ любезно снимает блокировку для родственников, похожих на своего владельца. Причём сходство может быть весьма отдалённым:

Вредоносное ПО

Разработчики рекламного Android-вредоноса SimBad маскировали его под набор инструментов для рекламы RXRdioder.

Используя эту маскировку, злоумышленники взламывали устройство и показывали жертве рекламные объявления. Кроме этой функциональности вредонос умеет создавать фишинговые страницы и открывать их в браузере, а также выполнять команды злоумышленников, отправленные через управляющий сервер.

Чтобы расширить количество взломанных устройств, мошенники активно рекламировали вредоносный SDK, призывая других разработчиков зарабатывать больше денег в своих приложениях. Всего в Play Store было обнаружено 210 приложений, в которых использовался SimBad. В общей сложности их скачали около 150 млн пользователей.

Бэкдор SLUB распространяется через взломанные сайты, заражая устройства своих жертв через уязвимость в VBScript.

Инфицирование происходит в несколько этапов:

  1. Через уязвимость в VBScript на компьютер загружается DLL-файл, который запускается с помощью команд PowerShell.
  2. DLL проверяет атакуемую систему на наличие антивируса, и если обнаруживает его, завершает работу.
  3. Если антивируса в системе нет, DLL загружает второй исполняемый файл, содержащий бэкдор.
  4. Бэкдор пытается подключиться к платформе Slack, которая обычно используется для корпоративных коммуникаций. Вредонос получает через приватный канал в Slack команды от своих владельцев .
  5. DLL эксплуатирует уязвимость CVE-2015-1701 для локального повышения привилегий.

Атаки, уязвимости и утечки

Разработана акустическая атака по сторонним каналам, которая позволяет превратить жёсткий диск HDD в подслушивающее устройство.

Атака базируется на работе системы обратной связи, которая используется для позиционирования магнитных головок. Эта система компенсирует паразитные вибрации головок, вызванные в том числе звуковыми волнами. Компенсационные токи цепей управления, формируемые для компенсации, можно зафиксировать и расшифровать.

По утверждению авторов исследования, точность получаемой записи настолько высокая, что после расшифровки звуковую композицию можно «узнать» с помощью Shazam, однако для этого требуется, чтобы звуковой сигнал был достаточно громким — на уровне 85дБ. Более тихие звуки придётся предварительно очистить с помощью специального ПО.

На облачном хранилище Box.com обнаружены десятки корпоративных аккаунтов, в которых хранились доступные для всех файлы со сканами паспортов, номерами банковских счетов, паролями и другой чувствительной информацией.

Для поиска использовался специальный скрипт, перебирающий аккаунты на Box, с применением словаря английских слов и набором шаблонов.

URL для расшаренных файлов на Box имеет вид:

https://[name].app.box.com/v/

Сначала по словарю подбирается имя компании, затем имя файла или папки.

Всего было найдено более 90 компаний, среди которых Apple, система бронирования билетов Amadeus, телеканал Discovery, Herbalife, Schneider Electric и даже сама компания Box.

О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Представляем новости об актуальных технологиях фишинга и других атаках на человека c 1 по 7 марта 2019 года.


Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Злоумышленники распространяли вредоносное ПО PirateMatryoshka через трекер The Pirate Bay под видом взломанных версий платных программ.

Вместо искомого ПО на компьютер пользователя скачивался троянец, основная логика которого реализована с помощью инсталляторов SetupFactory.

  1. На начальном этапе установщик расшифровывает еще один инсталлятор SetupFactory, предназначенный для отображения фишинговой веб-страницы. Страница открывается прямо в окне установки и запрашивает учетные данные пользователя от аккаунта ThePirateBay якобы для продолжения процесса.
  2. Перед выполнением следующего шага PirateMatryoshka проверяет, что впервые запускается в атакуемой системе. Для этого он ищет в реестре ключ HKEY_CURRENT_USER\Software\dSet. Если ключ реестра существует, выполнение прекращается.
  3. Иначе инсталлятор обращается к сервису pastebin.com для получения ссылки на дополнительный модуль и ключа для его расшифровки.
  4. Второй загруженный компонент также является инсталлятором SetupFactory, который используется для расшифровки и последовательного запуска четырех PE-файлов.
  5. Второй и четвертый из этих файлов — загрузчики Adware-файлов партнерских программ InstallCapital и MegaDowl, которые демонстрируют пользователю рекламные баннеры.

Первый и третий файлы — автокликеры, которые запускаются до инсталляторов и, обнаружив их окна, проставляют галочки в нужных местах и нажимают на кнопки, соглашаясь за пользователя с установкой ненужного ему софта.

Итогом работы PirateMatryoshka станет заполнение компьютера жертвы нежелательными программами, которые будут раздражать пользователя, затруднять работу с системой и тратить ее ресурсы.

Авторы массовой фишинговой кибератаки используют для рассылки писем c трояном Troldesh устройства IoT и маскируются под известные бренды.

  1. Жертва получает письмо якобы от представителя известного бренда. Встречаются письма от Ашана, Магнита, Славнефти и ещё нескольких компаний.
  2. Для распространения фишинговых писем используются скомпрометированные IoT-устройства, включая роутеры из стран Азии, Европы и Латинской Америки.
  3. Письма грамотно написаны и оформлены, и содержат в качестве вложения малварь Troldesh, который сочетает в себе функции шифровальщика и майнера.

«Умные» устройства

Уязвимости в смарт-наушниках Outdoor Tech Chips превращают их в шпионское устройство.

В процессе создания группы исследователь безопасности заметил, что может видеть всех пользователей. Затем, обладая лишь базовыми пользовательскими привилегиями, ему удалось:

  • получить имена и е-мейлв всех пользователей;
  • узнать хеши паролей и коды для сброса пароля в открытом виде;
  • выяснить телефонные номера пользователей;
  • получить GPS-координаты устройств;
  • подслушивать в реальном времени разговоры по рации.

Запросив у API букву «A», исследователь получил в ответ список из 19 тысяч пользователей, чьи имена начинаются на эту букву.

Атаки, уязвимости и утечки

В процессорах Intel обнаружена новая уязвимость, получившая название Spoiler.

Атака Spoiler связана с реализацией подсистемы памяти Intel и эксплуатирует буфер изменения порядка обращения (Memory Order Buffer). Spoiler позволяет наблюдать за преобразованием виртуальных адресов в физические, вычислять взаимосвязи и выяснить структуру памяти, обеспечивая злоумышленнику доступ к паролям, ключам и другим конфиденциальным данным.

Spoiler может использоваться через JavaScript и браузер, его может эксплуатировать малварь, запущенная в системе или пользователь с доступом к компьютеру. Атака позволяет значительно облегчить и ускорить эксплуатацию Rowhammer и проведение кеш-атак по сторонним каналам.

Процессоры Arm и AMD свободны от этой уязвимости, зато все процессоры Intel, начиная с первого поколения Intel Core уязвимы. Специалисты отмечают, что проблема отличается от Spectre и Meltdown, поэтому патчи для этих уязвимостей не помогут.

В Microsoft Office обнаружена уязвимость, с помощью которой можно скрыть от антивирусных сканеров внедренные в документ вредоносные скрипты.

Источник проблемы — библиотека OLE32.dll, которая отвечает за обработку связанных объектов, встроенных в документы Office. При некоторых условиях программа неправильно рассчитывает адрес целевого сектора одной из таблиц, содержащейся в заголовке потока данных OLE, и при ID больше определенного значения происходит переполнение буфера, которое приводит к пропуску раздела и размещенных там данных. Такое поведение не предусмотрено разработчиком и может обмануть системы безопасности.

Через описанную уязвимость атакующие могут применить эксплоит для CVE-2017-11882, получить права администратора и внедрить любое вредоносное ПО.

Эту возможность уже используют киберпреступная группировка из Сербии для внедрения в целевые системы бэкдора JACKSBOT.

В ядре macOS нашли критическую уязвимость, которая позволяет незаметно подменять файлы на компьютере жертвы и запускать сторонний код.

Эксплойт построен на функции копирования при записи (copy-on-write, CoW), которая и дала ему название BuggyCOW.

Угроза связана с механизмом macOS, помогающим системе экономить ресурсы при работе с приложениями. Благодаря ему программам не обязательно загружать всю необходимую информацию в оперативную память, а можно оставлять часть ее на жестком диске. Доступ к ней при этом могут получать сразу несколько приложений.

У новой уязвимости есть ограничения, которые сужают возможности для ее применения:

  1. До проведения атаки необходим физический доступ к компьютеру.
  2. Предварительно нужно установить на компьютер вредоносное ПО.
  3. Требуется приложение с высоким уровнем доступа, которое при этом хранит данные на жестком диске.
О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Ctrl + ↓ Ранее