Блог компании Антифишинг

как поведение людей влияет на безопасность

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 4 по 10 октября 2019 года.


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Мошенническая копия сайта Федеральной службы судебных приставов заражала пользователей троянской программой.

1. От оригинального сайта подделка отличалась только некорректным отображением отдельных элементов.

2. При попытке перейти по некоторым ссылкам пользователю выдавалось предупреждение о необходимости обновить Adobe Flash Player.

3. Одновременно с предупреждением на компьютер пользователя загружался исполняемый файл. При его запуске установится троянская программа.

4. Троянец устанавливается в автозагрузку, соединяется с управляющим сервером и скачивает второй вредоносный модуль, который умеет

  • получать информацию о дисках и файлах;
  • получать информацию о папке (количество файлов, вложенных папок и их размер);
  • получать список файлов в папке;
  • удалить файлы;
  • создать папку;
  • переместить файл;
  • запустить процесс;
  • остановить процесс;
  • получить список процессов.

В мессенджере Signal для Android обнаружена ошибка, используя которую злоумышленники могли шпионить за пользователями.

Ошибка в приложении позволяет инициировать вызов и автоматически ответить на него без согласия пользователя. Таким образом злоумышленник получает возможность включить микрофон устройства и слушать всё, что происходит вокруг.

В обычной ситуации для соединения с абонентом нужно, чтобы владелец вызываемого устройства выбрал «Принять звонок». После этого вызываемое устройство получает команду «Соединить», и разговор начинается. Из-за некорректной реализации клиент Signal выполнял команду «Соединить» во время звонка, не дожидаясь, когда вызываемый абонент его примет, что давало злоумышленникам возможность несанкционированно включить микрофон устройства.

Атаки и уязвимости

Twitter-клиент для iOS уязвим к атаке «человек посередине» из-за устаревшего программного интерфейса, который до сих пор используется популярными приложениями.

Уязвимость CVE-2019-16263 в библиотеке Twitter Kit позволяет получить токен доступа OAuth и выполнять различные действия в соцсети от имени жертвы. Twitter Kit — это комплект разработчика с открытым кодом. Разработчики библиотеки отказались от её поддержки в 2018 году, но анализ 2000 популярных iOS-приложений показал, что проблемный код всё ещё присутствует в 45 приложениях.

Смарткарты нескольких производителей оказались уязвимы для атаки Minerva, которая позволяет узнать их секретные ключи и использовать эту информацию для клонирования.

Источник уязвимости — криптографические библиотеки с открытым исходным кодом, в которых неправильно реализованы алгоритмы ECDSA и EdDSA, отвечающие за создание цифровой подписи на эллиптических кривых, удостоверяющей права доступа пользователя. Код этих функций написан так, что в некоторых случаях раскрывает значения отдельных битов приватного ключа, по которым злоумышленник может восстановить его и создать копию карты.

В ядре Android обнаружена уязвимость CVE-2019-2215, с помощью которой можно получить root-доступ к мобильному устройству. Уже зафиксированы случаи использования ошибки в реальных атаках.

Ошибка возникает из-за того, что один из драйверов в ядре Android при некоторых условиях пытается повторно использовать уже освобождённую память. Это позволяет стороннему пользователю или приложению повысить привилегии до максимальных.

Уязвимости подвержены устройства с Android 8 и выше, в числе которых

  • Pixel 2 на базе Android 9 и Android 10 preview
  • Huawei P20;
  • Xiaomi Redmi 5A;
  • Xiaomi Redmi Note 5;
  • Xiaomi A1;
  • Oppo A3;
  • Moto Z3;
  • Oreo LG;
  • Samsung S7, S8, S9.

Инциденты

Компания Twitter задействовала адреса электронной почты и номера телефонов, использующиеся в целях безопасности, для показа таргетированной рекламы.

Когда копании и пользователи продвигают свою рекламу в Twitter, они могут фильтровать рекламную аудиторию на основе ряда критериев. Из-за ошибки телефонные номера пользователей и их почтовые адреса были доступны через внутренние рекламные системы компании — Tailored Audiences и Partner Audiences.

О количество пострадавших из-за ошибки не сообщается.

О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Представляем новости об актуальных технологиях фишинга и других атаках на человека c 27 сентября по 3 октября 2019 года.


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Киберпреступники используют фишинг против подрядчиков для последующих атак на крупные организации из числа их клиентов.

Фишинговые письма к подрядчику оформлены как оповещение о получении факса, либо уведомление о необходимости сброса учётных данных и содержат ссылку, по которой нужно перейти для получения факса или ввода нового пароля:

После перехода по ссылке жертва попадает на фишинговый сайт, оформленный под страницу логина Microsoft OneDrive или DocuSign, где ему предлагается ввести учётные данные. Введённые логин и пароль отправляются преступникам.

Получив доступ к почте жертвы, преступники создают правило для пересылки копии всех поступающих сообщений себе, а затем копируют входящие и отправленные письма из почтового ящика. В течение нескольких недель или месяцев мошенники изучают переписку, чтобы создать на её основе убедительно выглядящие письма и написать вызывающий доверие сопроводительный текст для отправки фальшивого счёта на оплату конечной жертве — крупному клиенту компании-производителя или поставщика услуг.

Исследователи назвали подобный тип атак аббревиатурой VEC — «Vendor Email Compromise», компрометация почты поставщика.

Обнаружено несколько вредоносных кампаний, в которых для распространения вредоносных программ используются файлы OpenDocument Text (ODT).

ODT-файлы представляют собой архивы, в которых может содержаться текст, изображения и XML-файлы, используемые Microsoft Office и другими офисными пакетами — LibreOffice, Apache OpenOffice и т. п. Некоторые антивирусные программы воспринимают ODT-файлы как стандартные архивы и не открывают документ, что позволяет преступникам загружать вредоносное ПО на целевую систему.

В рамках первой кампании киберпреступники встраивали OLE-объекты в документы ODT. OLE-объекты запускали HTA-файлы, которые, в свою очередь, загружали на компьютер трояны для удаленного доступа (RAT) RevengeRAT и njRAT.

Во второй кампании преступники использовали ODT-файлы для загрузки программы для хищения данных AZORult. В процессе заражения использовался OLE-объект, который загружал исполняемый файл, замаскированный под Spotify (Spotify.exe). После распаковки файла система оказывалась зараженной трояном AZORult.

В рамках третьей кампании злоумышленники атаковали на пользователей OpenOffice и LibreOffice. Киберпреступники использовали «эквивалент макросов в документах Microsoft Office, реализованный в StarOffice Basic». StarOffice — устаревшее ПО, последняя версия которого была выпущена в 2008 году. На основе ее кода был создан OpenOffice.org, наследником которого является Apache OpenOffice.

Инциденты

На хакерских форумах выставлены на продажу данные 60 млн кредитных карт, предположительно принадлежащих клиентам Сбербанка.

Каждая запись содержит более 80 полей, среди которых не только ФИО, адрес, место работы, номер паспорта, номер карты, но и такие данные как:

  • Лимит кредита
  • Недоисп. лимит
  • Ссуда всего
  • Ссуда текущая
  • Ссуда к погашению
  • Превышение лимита
  • Просроченная ссуда

За каждую строку украденных данных продавец хочет получить 5 рублей. На момент выпуска дайджеста подтверждена подлинность данных 240 человек, которые содержатся во фрагменте базы, который продавец предоставляет для ознакомления. По утверждению продавца, всего в базе содержатся сведения о 60 млн действующих и закрытых кредитных карт. Всего у Сбербанка насчитывается порядка 18 млн активных карт.

На серверах Amazon обнаружена база персональных данных 20 млн россиян, с указанием ИНН и объемов налоговых выплат.

Информация хранилась в открытом виде на незащищённом сервере Elasticsearch.

Сведения о российских налогоплательщиках разделены на две части:

  • 14 млн записей за период с 2010 по 2016 год,
  • 6 млн записей за период с 2009 по 2015 год.

Каждая запись содержит ФИО, год рождения, адрес места жительства, номер телефона, паспортные данные, ИНН, имя и контактный телефон работодателя, а также сумму налога, подлежащая уплате. В основном в базе содержатся данные жителей Москвы и Московской области.

Комментируя сообщение об инциденте, представитель Минкомсвязи сообщил, что «утечек данных нет и никогда не было», «информационные системы надежно защищены: сертифицированы и аттестованы в соответствии с требованиями регуляторов».

В ФНС России заявили, что часть данных, упомянутых в статье на портале Comparitech, вообще не собирается и не хранится в информационных ресурсах Налоговой службы, а формат и структура данных не соответствуют форматам хранения данных, применяемых в ведомстве.

Атаки и уязвимости

В мессенджере WhatsApp для Android обнаружена уязвимость, через которую можно выполнить произвольный код на устройстве.

Причиной ошибки стала библиотека, отвечающая за предварительный просмотр GIF-файлов. Для её использования достаточно создать специальный файл в формате GIF и отправить его в виде документа другому пользователю WhatsApp. Когда пользователь, откроет галерею WhatsApp, чтобы переслать файл, будет выполнен вредоносный код, содержащийся в GIF.

Из-за ошибок в программном интерфейсе ПО для конференц-связи WebEx и Zoom злоумышленники могут подслушать чужие разговоры с помощью атаки Prying-Eye («Любопытный глаз»).

Prying-Eye — атака перечисления или user enumeration. WebEx и Zoom позволяют с помощью бота автоматически перебирать все потенциально действительные идентификаторы сеансов через вызовы API. Как только действительный идентификатор будет обнаружен, злоумышленник может получить доступ к сеансу и если пользователь не установил пароль, подслушивать разговоры.

Уязвимость особенно опасна, если пользователь установил персональный идентификатор, чтобы упростить управление сеансами, поскольку подобрав этот идентификатор, злоумышленник сможет подслушивать разговоры в течение длительного времени.

WIBAttack позволяет злоумышленникам отслеживать устройства пользователей, используя малоизвестные приложения, работающие на SIM-картах.

WIBAttack работает похожим на Simjacker образом, но использует уязвимость Java-апплета Wireless Internet Browser, которое операторы связи устанавливают на SIM-карты. Приложение позволяет удалённо управлять устройством пользователя и мобильными подписками:

Для эксплуатации уязвимости необходимо отправить специально сформированную OTA SMS, содержащую команды SIM Toolkit на SIM-картах с отключенными функциями безопасности. Направляя WIB эти команды, можно получить данные геолокации, совершить звонок, отправить смс, отправить SS- и USSD-запросы, запустить интернет-браузер и открыть определенный URL-адрес, показать текст на устройстве, проиграть мелодию. Кроме того, используя этот вектор атаки, преступники могут отслеживать пользователей и прослушивать разговоры.

По оценкам специалистов число устройств с SIM-картами, на которых установлено приложение WIB, исчисляется сотнями миллионов.

Киберпреступная группировка eGobbler эксплуатирует уязвимость CVE-2019—5840 в браузере Google Chrome для iOS, а также в настольных версиях браузеров Chrome и Safari для показа всплывающей рекламы и перенаправления пользователей на вредоносные сайты.

Уязвимость браузерного движка WebKit, который используется в Chrome и Safari позволяет показывать всплывающее окно при каждом нажатии клавиш.

С 1 августа по 23 сентября преступники провели около 1,16 млрд показов вредоносной рекламы пользователям в США и Европе. Apple исправила данную проблему с выпуском iOS 13, патч для Chrome пока недоступен.

О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Представляем новости об актуальных технологиях фишинга и других атаках на человека c 20 по 26 сентября 2019 года.


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Почта и вредоносное ПО

Кибергруппировка Fance Bear проводит фишинговые атаки на министерства иностранных дел и посольства в Европе и Азии.

Атака начинается с фишингового письма, содержащего пустой документ MS Word со ссылкой на внешний шаблон wordData.dotm. Если пользователь откроет документ, шаблон начнёт загружаться:

  1. В шаблоне содержатся вредоносные макросы, поэтому у пользователя будет запрошено разрешение на их выполнение.
  2. Если пользователь разрешит макросы, из документа будет сохранён и распакован архив lmss.zip, содержащий файлы lmss.doc и lmss.exe
  3. Макрос в файле lmss.doc запускает на выполнение lmss.exe — загрузчик, который скачивает с управляющего сервера вредоносную нагрузку из шести модулей, в числе которых бэкдор и шпион.
  4. Шпионский компонент собирает информацию о системе, а затем каждые 35 секунд делает снимок экрана и отправляет данные на управляющий сервер.

Общая схема атаки:

Зафиксирована масштабная фишинговая кампания против электроэнергетических компаний США с целью заражения их сетей трояном для удаленного доступа LookBack.

  1. В начале кампании фишинговые письма маскировались под сообщения от Национального совета экзаменаторов инженерии и исследований США (NCEES), затем злоумышленники изменили отправителя на организацию Global Energy Certification (GEC).
  2. Письма содержали как вредоносные, так и обычные документы .
  3. После открытия вредоносного документа MS Word жертву просили включить макросы.
  4. Если жертва выполняла эту просьбу, встроенный в документ VBA-скрипт загружал на систему троян LookBack.

Для передачи данных с инфицированного компьютера на удаленный сервер троян использует прокси, позволяет просматривать процессы, информацию о системе и файлы, удалять файлы, выполнять команды, делать снимки экрана, перемещать курсор и кликать мышью, перезагружать компьютер и удалять себя с зараженного хоста.

Обнаружена фальшивая версия macOS-приложения для биржевой торговли Stockfolio, которая содержит троянскую программу GMERA.

Троян распространяется в ZIP-архиве, содержащем модифицированную копию приложения Stockfoli.app и скрытый зашифрованный файл .app.

Вредонос подписан сертификатом безопасности автора зловреда. После запуска программы пользователю показывался интерфейс биржевого клиента, в то время как троян в фоновом режиме выполнял два вредоносных скрипта.

Мессенджеры и социальные сети

В рамках целевых атак против руководителей тибетских общин киберпреступники отправляли в WhatsApp ссылки, при переходе по которым на устройство загружалось шпионское ПО.

  1. Каждой жертве злоумышленники писали индивидуальные сообщения от имени сотрудников неправительственных организаций, журналистов и других вымышленных лиц.
  2. Когда жертва включалась в разговор, ей направляли вредоносную ссылку.
  3. Установка шпионского ПО на Android-устройства происходило с помощью восьми известных уязвимостей в браузере, а на iPhone — с помощью одной.
  4. Вредонос представляет собой новое шпионское ПО MOONSHINE, предоставляющее злоумышленникам полный контроль над устройством, в том числе доступ к текстовым сообщениям, журналам звонков, контактам и данные о местоположении, к микрофону и камере, данным в Viber, Telegram, Gmail, Twitter и WhatsApp, а также возможность устанавливать вредоносные плагины.

Злоумышленники с помощью фишинга перехватили доступ к нескольким десяткам Youtube-каналов автомобильной тематики.

Рассказ владельца канала, пострадавшего от атаки

1. Жертвы получали письма с упоминанием других каналов аналогичной тематики и сообщением о выигрыше в конкурсе со ссылкой на ресурс злоумышленников.

2. После того как владелец канала вводил свои учетные данные на поддельной странице авторизации, мошенники заходили в его аккаунт, меняли логин, пароль и электронную почту владельца, а также адрес канала.

3. Если пострадавший пользователь YouTube пытался открыть свою страницу, используя прежний URL, он видел сообщение, что такого канала не существует.

4. В некоторых случаях киберпреступники сумели обойти двухфакторную аутентификацию и перехватить код подтверждения из SMS. Предположительно, для этого мог использоваться один из фишинговых наборов на базе реверс-прокси.

5. Похищенные каналы предлагаются к продаже на форумах Даркнета:

О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Ctrl + ↓ Ранее