Rose debug info
---------------

Блог компании Антифишинг

как поведение людей влияет на безопасность

Наши продуктыДайджестыСтатьиСписок постов

Антифишинг-дайджест № 292 с 23 по 29 сентября 2022 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена необычная вредоносная схема, с помощью которой хакеры похитили миллионы долларов у десятков тысяч жертв.

Злоумышленники управляют большой сетью, состоящей более чем из 200 фальшивых сайтов знакомств и поддержки клиентов, и используют эти ресурсы для списания средств с чужих банковских карт, купленных в даркнете.

В кампании используются два вида доменов: сайты знакомств и порталы поддержки клиентов. Если попытаться зайти на сайты компаний, которым якобы принадлежат эти фейковые ресурсы, можно обнаружить, что их не существует вовсе, или они используют несуществующие адреса электронной почты, вроде mail@example.com.

Сами сайты знакомств и поддержки клиентов выглядят рабочими, но не получают практически никакого трафика, занимая низкие позиции в результатах поиска Google. Причина в том, что они существуют не для привлечения пользователей, а для отмывания денег.

Все сайты имеют одинаковую HTML-структуру и почти одинаковый контент, поэтому похоже, что они созданы с помощью автоматических инструментов. При этом фальшивые порталы поддержки клиентов часто используют имена несуществующих организаций, либо стараются напоминать настоящие бренды, такие как McAfee, ReasonLabs и другие фирмы.

Сайты регистрируются у операторов приема платежей, и после одобрения хакеры начинают списания средств с тысяч краденых карт, купленных в даркнете.

Снятие средств осуществляется либо с помощью API, либо вручную. При этом операторы сайтов очень осторожны и стараются не привлекать к себе внимания. Они снимают небольшие суммы, используют распространенные названия, которые могут затеряться среди других расходов жертвы, задействуют повторяющиеся платежи с одной и той же суммой и избегают тестовых транзакций.

В некоторых случаях хакеры даже возвращают жертвам деньги, благодаря чему их операции становятся более аутентичными, а charge-back коэффициент кажется низким.

Северокорейская хакерская группа Lazarus использует фальшивые вакансии Crypto[.]com, чтобы с их помощью взламывать разработчиков и цифровых художников в криптовалютном сообществе.

Схема действий преступников

  1. Lazarus обращается к своим целям через LinkedIn, отправляя им личные сообщения, в которых сообщается об интересной и высокооплачиваемой вакансии, которую якобы предлагает им Crypto.com.
  1. Хакеры отправляют жертвам двоичный файл, замаскированный под PDF, который содержит 26-страничный PDF-файл с именем Crypto.com_Job_Opportunities_2022_confidential.pdf и информацию о вакансиях на Crypto.com.
  1. В фоновом режиме этот бинарник Mach-O создает папку (WifiPreference) в каталоге Library и развертывает файлы второго и третьего этапов.
  1. Второй этап — файл WifiAnalyticsServ.app, который закрепляется в системе (wifanalyticsagent) и в конечном итоге подключается к управляющему серверу по адресу market.contradecapital[.]com, откуда и получает финальный пейлоад WiFiCloudWidget.
  1. Так как бинарники атакующих подписаны, они могут обойти проверки Apple Gatekeeper и выполняться как доверенное ПО.
  1. Хакеры не предприняли никаких усилий для шифрования или обфускации двоичных файлов, что, вероятно, указывает на краткосрочность этой кампании или на отсутствие опасений быть обнаруженными.

Авторы кампании по распространению RAT в связке с инфостилером по методу скрытой загрузки (drive-by).

Для этого они внедряют на WordPress-сайты JavaScript, который отображает фейковую страницу защитного сервиса CloudFlare и предлагает посетителю скачать некий софт для завершения проверки.

Вредоносные JavaScript-инъекции осуществляются путем добавления трех строк кода в компоненты ядра CMS, файлы тем или плагинов. Количество сайтов, зараженных в ходе новых атак, невелико — меньше 1 тыс.; почти в половине случаев непрошеный довесок был обнаружен в /wp-includes/js/jquery/jquery.min.js.

Ранее этот скрипт загружал необходимый для работы контент (на тот момент поддельное предупреждение защиты CloudFlare от DDoS) из домена adogeevent[.]com. Новые варианты JavaScript-сценария запрашивают другие домены, хотя IP-адрес остался прежним.

Изменилось также скачиваемое содержимое. Теперь потенциальной жертве выводят диалоговое окно CAPTCHA, якобы подтянутое с сервера CloudFlare.

При вводе любого значения в указанном поле (даже правильного) всплывает подсказка: для получения доступа к сайту необходимо завершить проверку; если возникли проблемы, скачайте наш софт, чтобы больше не тратить время на тесты.

Клик по кнопке Download запустит загрузку файла .iso с последующей распаковкой вредоносного содержимого — CLOUDFLA.EXE или Cloudflare_security_installer.exe. Чтобы усилить иллюзию легитимности и отвлечь внимание, в системе запускается процесс обновления Google Chrome: примечательно, что при этом используется русский язык.

Тем временем в фоновом режиме в систему устанавливается RAT — инструмент удаленного администрирования NetSupport, полюбившийся вымогателям SocGholish. В придачу к RAT жертва, как и ранее, получает инфостилера Racoon.

Обнаружено несколько мошеннических кампаний, нацеленных на лиц, подлежащих частичной мобилизации.

Организаторы одной из таких афер предлагают купить поддельные дипломы о высшем образовании по IT-специальностям для получения отсрочки от призыва. Большинство таких предложений распространяется через популярные мессенджеры. Покупателей диплома злоумышленники просят предоставить ФИО, дату рождения, фото, а также данные аттестата о предыдущем образовании, если оно имеется. Такой «документ» о высшем образовании может обойтись от 16 тыс. до 270 тыс. рублей.

Другая группа аферистов предлагает потенциальным призывникам получить «белый» военный билет или липовые документы для выезда за границу. За 48 часов и 27 тыс. рублей аферисты обещают организовать подтверждение непригодности к мобилизации. Аферисты якобы могут обеспечить регистрацию в военкомате с занесением в базу, изготовить документы для пересечения границы и передать их в любую точку России курьером или заказным письмом. От клиента требуется фотография и ксерокопии страниц паспорта. Получив обязательную предоплату, мошенники исчезают.

Еще один вариант обмана — организация «выезда» за пределы России «всего» за 3 тысячи долларов США. «Белый билет» в этом «магазине» продают за 1200 долларов США, а за документы студента европейского вуза просят 1900 долларов США. Кроме того, некоторые из злоумышленников предлагают перевести граждан из первичной группы мобилизации во вторичную за 120 тысяч рублей. Однако после оплаты никакой помощи не предполагается, а личные данные граждан попадают к мошенникам.

В новой кампании группировки Fancy Bear (APT28) используется новая техника удаленного выполнения кода.

Хакеры используют движения мыши в презентациях Microsoft PowerPoint для выполнения вредоносного PowerShell сценария с помощью утилиты «SyncAppvPublishingServer». Сообщается, что атаки нацелены на организации в оборонном и правительственном секторах Евросоюза и восточноевропейских стран.

Техника наведения курсора (mouseover) используется для распространения вредоносного ПО Graphite. Жертву заманивают мошенническими PPT-файлами PowerPoint, которые связаны с Организацией Экономического Сотрудничества и Развития (ОЭСР).

Внутри файла содержатся 2 слайда с инструкциями на английском и французском языках по использованию параметра «Интерпретация» в приложении Zoom.

При открытии документа-приманки в режиме презентации и наведении курсора мыши на гиперссылку активируется вредоносный PowerShell скрипт для загрузки JPEG файла из учетной записи Microsoft OneDrive.

JPEG файл представляет из себя зашифрованный DLL-файл, который расшифровывается и помещается в каталог «C:\ProgramData\», а затем выполняется через «rundll32.exe». Также создается ключ реестра для закрепления на компьютере.

После деобфускации полученная полезная нагрузка — вредоносное ПО Graphite — использует API Microsoft Graph и OneDrive для связи с сервером управления и контроля. Для доступа к сервису злоумышленник использует фиксированный идентификатор клиента и действительный токен OAuth2.

В итоге Graphite позволяет злоумышленнику загрузить другое вредоносное ПО в системную память и сохранить постоянное присутствие в системе. Вредоносное ПО позволяет удаленно выполнять команды, выделяя новую область памяти и выполняя полученный шелл-код.

Инциденты

Неизвестный хакер взломал аккаунт журнала о бизнесе и технологиях Fast Company в Apple News.

Получив несанкционированный доступ к аккаунту, неизвестный разослал подписчикам издания уведомления расистского и непристойного содержания.
В своем заявлении компания отметила, что «сообщения омерзительны и не соответствуют контенту Fast Company. Мы расследуем инцидент, а также приостановили обновление ленты и закрыли сайт FastCompany.com, пока не будем уверены, что ситуация разрешилась».

Как сообщается, взлому подвергся не сам Apple News, а система управления контентом Fast Company, которая позволяет пользователям публиковать статьи и рассылать оповещения.

Elbit Systems of America, американское подразделение оборонного подрядчика из Израиля Elbit, заявило, что в начале июня его сеть была скомпрометирована операторами вымогательского ПО Black Basta, а личная информация сотрудников была украдена.

В уведомлении о взломе , поданном в прокуратуру штата Мэн, Elbit Systems of America сообщила, что утекли данные 369 сотрудников, включая:

  • имена сотрудников;
  • адреса;
  • даты рождения;
  • информацию о прямом депозите;
  • этническую принадлежность;
  • номера социального страхования.

В ответ на атаку организация отключила все системы, предприняла все шаги по обеспечению безопасности своей сети и привлекла независимую ИБ-компанию, которая помогает восстановить системы и расследовать произошедшее.



Хакер под ником optusdata взломал австралийскую телекоммуникационную компанию Optus, украл данные 11 млн абонентов и потребовал выкуп, а когда им заинтересовались правоохранительные органы, заявил, что удалил все данные и извинился.

Хакер утверждал, что в его руки попали такие данные, как имена клиентов, даты рождения, номера телефонов, адреса электронной почты, физические адреса, информация о водительских правах и номерах паспортов, но не пароли от учетных записей или финансовая информация. Стоит отметить, что в Optus о масштабах утечки ничего не писали, и информацию о 11 млн пострадавших пользователей сообщали местные СМИ и сам хакер.

В качестве доказательства своих слов злоумышленник опубликовал на хак-форуме Breached образец украденных данных (информацию 10 000 пользователей) и потребовал, чтобы компания заплатила выкуп в размере 1 млн долларов США, а в противном случае пригрозил раскрыть все украденные данные вообще.



Издание «Коммерсант», со ссылкой на собственные источники в отрасли, сообщило о мощной DDoS-атаке на российскую платежную систему «Мир» и ее оператора Национальную систему платежных карт (НСПК).

Журналисты пишут, что целью атаки была попытка перегрузка системы, то есть хакеры стремились вызвать сбой в обслуживании карт. По информации издания, за атакой стояли проукраинские хактивисты, которые «генерируют трафик на системы с помощью браузеров или примитивных DDoS-инструментов, с целью вызвать перебои в прохождении платежей и работе терминалов».



Недавно группировка Ragnar Locker опубликовала набор из 6 114 735 записей с личными данными клиентов крупнейшей португальской авиакомпании TAP.

 Первоначально компания сообщила, что данным пользователей ничего не угрожает, однако позже уточнила, что к сожалению, в руках злоумышленников оказались имена и фамилии клиентов, даты рождения, адреса эл. почты, телефонные номера, адреса проживания, номера в программе лояльности, а также даты регистрации и последней активности (с 18.10.2016 по 22.04.2022).

 74   5 дн   дайджест   фишинг

Антифишинг-дайджест № 291 с 16 по 22 сентября 2022 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

В ходе крупномасштабной кликфрод-кампании, нацеленной на геймеров, хакеры распространяют вредоносное ПО через комментарии на YouTube и вредоносную рекламу.

Схема действий преступников

  1. Атака начинается с файла ISO, который преступники маскируют под различные хаки и читы для шутера Krunker. Ссылки на такие ISO можно обнаружить в комментариях на YouTube, оставленных под тематическими роликами, или кликнув на вредоносную рекламу.
  1. Если открыть такой файл ISO, он тайно установит на машину жертвы малварь на базе node-webkit (он же NW.js) или мошенническое расширение для браузера.
  1. После этого вредонос будет скрыто генерировать клики, которые монетизируют хакеры, а также внесет себя в список запланированных задач (чтобы закрепиться в системе) и буде регулярно связываться со своими управляющими серверами.

Обнаружена необычная двухэтапная фишинговая кампания, в которой используются поддельные сообщения, заверенные действительной цифровой подписью, а страница для кражи учетных данных выводится при просмотре видео, размещенного на Powtoon.

Схема кампании

  1. Фишинговые письма, якобы содержащие счет-фактуру, используют логотип британского сервис-провайдера Egress, специализирующегося на защите почты, в том числе, от фишинга.
  1. Электронная подпись отправителя, по всей видимости, была ранее украдена путем взлома аккаунта сотрудника компании. Наличие такого удостоверения позволяет фишерам обойти SPF-защиту.
  1. При клике по встроенной кнопке получателя перенаправляют на облачный сервис Powtoon. Документ, который предложено открыть, снабжен логотипом Outlook, признанным усилить иллюзию легитимности.
  1. В конце просмотра появляется поддельная страница регистрации Microsoft; по свидетельству аналитиков, она выглядит очень убедительно. Введенные на ней учетные данные отправляются авторам атаки.

В России стали появляться фальшивые вакансии от ушедших из страны зарубежных IT-компаний.

Мошенники полностью копируют описания должностей с зарубежных порталов и делают так, чтобы они индексировались поисковиком Google при соответствующем запросе.

Вместо ожидаемой работы соискателя ждет обман на крупную сумму. Например, за «помощь» в трудоустройстве с жертвы могут взять 200 тыс. руб.

Участнику одного из популярных интернет-форумов предложили перевести 250 долларов США за оформление и пересылку документов будущему работодателю. Как только он перевел эти средства, лжерекрутеры тут же перестали отвечать на запросы и пропали.

Соискателю могут также предложить подписать некие документы, необходимые для трудоустройства, но только после прохождения платного обучения. Или мошенники могут попросить закупить необходимое для работы оборудование заранее с компенсацией в будущем. Возможны и финансовые схемы, когда соискателю сообщают, что необходимо предоставить его банковские данные или перевести деньги на якобы зарплатный счет.

Если мошенники понимают, что жертва им доверилась и готова на всё ради трудоустройства, то они выставляют счета, сопоставимые с месячной зарплатой, обещанной кандидату. Поскольку в качестве приманки обычно используются высокооплачиваемые должности, суммы потерь при таких аферах составляют 100—200 тыс. рублей.

Атаки и уязвимости

Хакеры используют новую атаку MFA Fatigue для взлома многофакторной аутентификации.

Атака основана на том, что при включенной многофакторной аутентификации часто используются пуш-уведомления на устройствах сотрудников. При этом на устройстве отображается запрос подтверждения на вход в систему и предлагается подтвердить попытку входа.

В ходе атаки MFA Fatigue злоумышленник запускает сценарий, который постоянно пытается войти в систему с украденными учетными данными, вызывая бесконечный поток пуш-запросов на мобильном устройстве владельца учетной записи. Цель хакера состоит в том, чтобы поддерживать атаку днем ​​и ночью с целью нарушить состояние кибербезопасности жертвы и вызвать чувство «усталости» от надоедливых уведомлений.

Видео: демонстрация атаки MFA Fatigue

Другими словами, хакер «спамит» жертву запросами на авторизацию, пока та от усталости не подтвердит вход в систему.

Участники видеоконференций могут непреднамеренно раскрыть конфиденциальную информацию на экране через отражение в своих очках.

Исследования показали, что через отражение в очках собеседника с веб-камерой 720p можно распознать более 75% текста на экране высотой 10 мм. Это соответствует размеру шрифта 28 pt, обычно используемому для заголовков и подзаголовков, или 50-60 пикселей на средних ноутбуках. Такие размеры шрифта в основном можно найти в презентациях и названиях некоторых веб-сайтов.

В ходе эксперимента по отражению в очках удалось определить конкретный веб-сайт (из списка 100 лучших веб-сайтов Alexa) в 94% случаев.

По словам ученых, эта атака может применяться во многих случаях. Например, начальник может наблюдать за тем, что просматривают подчиненные на рабочем видеосовещании. Кроме того, отражение может привести к утечке конфиденциальной информации во время переговоров. Атака предполагает участие в сеансах конференцсвязи как злоумышленников, так и тех, кто получает и воспроизводит записи видеоконференции.

Функция расширенной проверки орфографии в браузерах Google Chrome и Microsoft Edge может передавать в Google и Microsoft личные данные пользователей, включая пароли.

Дело в том, что при использовании Chrome и Edge,если расширенные функции проверки орфографии включены, данные из заполненных пользователем форм передаются на серверы Google и Microsoft. В зависимости от сайта, формы могут содержать личные данные, в том числе: номера социального страхования, имя, адрес, адрес электронной почты, дату рождения, контактную информацию, банковскую и платежную информацию и так далее. Более того, если нажать «показать пароль», расширенная проверка орфографии отправит пароль в Google/Microsoft.

Проверить, включена ли расширенная проверка орфографии в Chrome, можно введя в адресную строку

chrome://settings/?search=орфогра

или

chrome://settings/?search=spellcheck

В инсулиновых помпах компании Medtronic обнаружена уязвимость, которая позволяет хакерам получить доступ к устройству и помешать доставке инсулина.

Под угрозой находится инсулиновая помпа Medtronic MiniMed 600 Series, состоящая из инсулиновой помпы и глюкометра, которые обмениваются данными по беспроводной сети. Неавторизованный злоумышленник может получить доступ к помпе, пока она соединяется с другими компонентами системы.

Инциденты

Компания Imperva сообщает о рекордной DDoS-атаке на одного из своих клиентов, которая продолжалась более четырех часов. За это время жертва получила 25,3 млрд запросов.

Специалисты компании говорят, что этот клиент часто подвергался DDoS-атакам с необычно большими объемами трафика, но один инцидент превзошел все предыдущие. Рекордная DDoS-атака произошла 27 июня 2022 года, достигнув пиковой мощности в 3,9 млн запросов в секунду (request-per-second, RPS), а в среднем составляя 1,8 млн RPS.

Хотя это не идет ни в какое сравнение с другой рекордной атакой, которую Google зафиксировала в июне, когда мощность DDoS’а превышала 46 млн RPS (запросов в секунду), Imperva объясняет, что отмеченная ими атака длилась необычно долго. Обычно атаки с пиковыми значениями более миллиона запросов в секунду длятся от нескольких секунд до нескольких минут, но эта атака продолжалась более четырех часов.

В компании объясняют, что лишь одна из десяти DDoS-атак длится более часа, и еще меньший процент атакующих может демонстрировать столь длительную «огневую мощность».

В английских фитнес-клубах массово крадут деньги с карт посетительниц, не используя средств взлома.

Схема кражи невероятно проста:

  1. Злоумышленник ворует телефоны и карточки.
  2. Украденная карта регистрируется в приложении соответствующего банка на телефоне или компьютере преступника.
  3. Поскольку карта используется на новом устройстве впервые, требуется одноразовый код подтверждения, который отправляется банком на украденный телефон, также находящийся в руках преступника.
  4. Код высвечивается на заблокированном экране украденного телефона, что позволяет вору получить полный контроль над банковским счетом.

Наши рекомендации:

Чтобы не допустить подобного варианта использования ваших карт совместно с телефоном, отключите отображения текста уведомлений на заблокированном экране.

В работе цифровой инфраструктуры столицы произошел сбой, из-за которого нескольких дней был недоступен сервис «Московская электронная школа» (МЭШ).

С 17 сентября сервис МЭШ был недоступен для родителей и учеников из-за сбоя. Проблема коснулась почти всех школ: не работала загрузка домашних заданий и оценок, мобильная версия сервисов. К вечеру 20 сентября основную часть проблем удалось решить.

Эксперты считают, что сбои в работе сервисов связаны не с техническими работами, а с массовой DDoS-атакой на инфраструктуру ДИТ и атакой вирусов-шифровальщиков.

В рамках технических работ по устранению проблем специалисты выявили, что инфраструктуру и вычислительные мощности ДИТ нелегально использовали майнеры криптовалюты.

Злоумышленники взломали службу поддержки 2K Games и рассылают игрокам письма с инфостилером RedLine.

Помимо ответа на несуществующий тикет, письмо содержит ZIP-архив под названием “2K Launcher”, выдающий себя за новый лаунчер для игр от 2K.

В архиве содержится исполняемый файл под названием «2K Launcher.exe». По его описанию видно, что он точно не принадлежит 2K. Например, у него нет цифровой подписи компании, установлено имя “Plumy” и описание файла “5K Player”. В действительности этот файл и содержит инфостилер RedLine — один из самых популярных инструментов киберпреступников.

Хакеры взломали криптовалютный маркетмейкер Wintermute и украли активы на сумму около 160 млн долларов США.

Wintermute обеспечивает ликвидность на более чем 50 биржах и торговых платформах, включая Binance, Coinbase, FTX, Kraken, а также децентрализованные платформы Dydx и Uniswap. Кроме того, компания также является активным инвестором, поддержавшим такие стартапы, как Nomad, HashFlow и Ondo Finance.

Основатель платформы заверил, что Wintermute остается платежеспособной с «вдвое большим количеством капитала». Он также сообщил кредиторам, что, если они захотят отозвать свои кредиты, компания выполнит это требование.

Из 90 активов, которые были взломаны, только два были на номинальную сумму более 1 миллиона долларов США, поэтому крупной распродажи в Wintermute не ожидают. Основатель платформы также добавил, что активы, касающиеся работ с централизованными сервисами (CeFi) и внебиржевой активности (OTC) затронуты не были.

American Airlines уведомила клиентов о недавнем киберинциденте: злоумышленники смогли взломать ряд электронных ящиков сотрудников и получить доступ к персональным данным.

В направленных клиентам письмах утверждается, что в настоящий момент нет никаких доказательств использования скомпрометированных данных в киберпреступных целях.

Среди скомпрометированной персональной информации могли оказаться имена сотрудников и клиентов, даты рождения, адреса, телефонные номера, имейлы, водительские удостоверения, номера паспортов, а также некоторые медицинские сведения.

В American Airlines отметили, что компания готова предоставить пострадавшим клиентам бесплатное членство в Experian IdentityWorks сроком на два года. Это поможет выявить возможную кражу личности и решить эту проблему.

Хакер под ником teapotuberhacker заявил на GTAForums, что взломал как минимум Slack-сервер Rockstar Games и вики Confluence компании.

В сеть уже попали исходный код и многочисленные видео геймплея Grand Theft Auto VI. Официальных заявлений от Rockstar и Take-Two Interactive (издатель и владелец компаниями Rockstar Games) пока нет.

Teapotuberhacker утверждает, что похитил «исходный код и ассеты GTA V и VI, а также тестовую сборку GTA VI». В качестве доказательства своих слов он предоставил ссылку на RAR-архив, содержащий 90 украденных видео, связанных с GTA VI, а также скриншоты исходного кода Grand Theft Auto V и Grand Theft Auto VI.

Ролики, которые уже разлетелись по всему интернету, похоже, были созданы разработчиками для отладки различных функций в игре, включая ракурсы камеры, отслеживание NPC и проработку локаций в Vice City. Некоторые видео содержат озвученные разговоры между главным героем и другими NPC.

Представители Rockstar и Take-Two Interactive безуспешно пытаются блокировать эти видео и нарезанные из них gif’ки, но хакер продолжает сливать информацию в Telegram. Там он обнародовал другие украденные видео и куски исходного кода, например, слил файл с исходниками GTA VI, который состоит из 9500 строк и, судя по всему, связан с выполнением скриптов для различных внутриигровых действий.

По информации vx-underground, в ходе общения с пользователями 4chan хакер заявил, что использовал социальную инженерию против одного из сотрудников Rockstar.

Семейная пара хакеров из Вьетнама TeaPea взломала сеть отелей Holiday Inn и удалила огромный объем данных.

Киберпреступники связались с BBC через Telegram и предоставили скриншоты, на которых видно, что им удалось получить доступ к корпоративной почте Outlook, командам Microsoft Teams и каталогам сервера компании. IHG подтвердила подлинность скриншотов.

Схема атаки

  1. TeaPea с помощью социальной инженерии заставили одного из сотрудников загрузить вредоносное ПО из отправленного ими письма;
  1. С помощью вредоноса злоумышленники получили доступ к внутренней IT-сети IHG, попутно обойдя двухфакторную аутентификацию;
  1. Используя информацию для входа во внутреннее хранилище паролей компании, хакеры получили доступ к самым защищенным частям сети IHG;
  1. После неудачной попытки развернуть вымогательское ПО киберпреступники разозлились и запустили вайпер, уничтожив большой объем информации.

Хакеры заявили, что никак не связаны с нарушениями работы сервисов IHG, а их атака не нанесет большого вреда компании. Им не удалось украсть личную информацию клиентов — в руки злоумышленников попали только некоторые бизнес-данные компании.

По словам хакеров, паролем от внутреннего хранилища паролей компании была крайне слабая комбинация — Qwerty1234.

Представитель IHG отрицает это и говорит, что информация в хранилище паролей была надежно защищена.

Хакеры взломали официальный сайт АО «Мособлэнерго» (Московская областная энергосетевая компания).

На главной странице портала разместили изображение экстремистского характера, а также добавили тексты с нецензурной бранью на украинском языке.

О взломе веб-ресурса сообщил Telegram-канал In2security. По словам экспертов, на текущий момент по самому взлому нет никакой официальной информации.

На одном из профильных хакерских форумов утверждается, что в результате взлома злоумышленникам удалось заполучить список работников компании «Мособлэнерго», а также оставить на взломанном портале несколько «пасхалок».

Компания «Мособлэнерго» никаких официальных заявлений по этому поводу не выпускала. Уже на следующий день после инцидента официальный ресурс организации работал нормально, все внесённые в его дизайн изменения были удалены.

Специалисты DLBI сообщили об утечках данных сервиса для сдачи и аренды недвижимости «ПИК-Аренда» (pik-arenda.ru), а также крупного интернет-магазина «Онлайн Трейд» (onlinetrade.ru).

Полный SQL-дамп базы данных «ПИК-Аренды» был опубликован 15 сентября 2022 и содержит более 115 000 адресов электронной почты и более 152 000 номеров телефонов.

Кроме того, утечка содержит информацию о различных объектах недвижимости и заявки (лиды) на их просмотр.

Частичный дамп «Онлайн Трейд» содержит данные 3 744 188 зарегистрированных пользователей магазина, включая:

  • имена;
  • email-адреса;
  • телефоны;
  • хешированные (MD5 без соли) пароли;
  • даты рождения (не для всех пользователей);
  • даты регистрации и последнего входа в профиль (с 19.02.2014 по 19.09.2022);
  • список всех IP-адресов, которые использовал пользователь.
 146   12 дн   дайджест   фишинг

Антифишинг-дайджест № 290 с 9 по 15 сентября 2022 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Злоумышленники распространяют в YouTube троян-стилер RedLine под видом читов для игр и пытаются украсть аккаунты, номера карт и другую информацию.

Схема кампании

  1. Злоумышленники разместили на YouTube ролики, якобы рассказывающие о том, как использовать читы в популярных онлайн-играх — Rust, FIFA 22, DayZ и еще паре десятков других. Ролики выглядят вполне убедительно и предлагают выполнить действия, к которым очень даже привыкли геймеры, пользующиеся читами: перейти по ссылке, которая находится в описании, чтобы скачать некий самораспаковывающийся архив, и после этого, конечно же, его запустить.
  1. Если скачать не получается, создатели видео рекомендуют отключить Windows SmartScreen — фильтр, защищающий пользователей браузера Microsoft Edge от фишинга и зловредных сайтов.
  1. После распаковки архива автоматически запускаются три исполняемых файла: cool.exe, ***.exe и AutoRun.exe. Первый — это стилер RedLine, упомянутый выше. Второй — майнер, что в принципе логично, ведь основная целевая аудитория бандла, судя по видео, — геймеры. А значит, на зараженных системах, скорее всего, установлены видеокарты, на которых можно майнить. Третий исполняемый файл копирует себя в директорию %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup, чем обеспечивает себе автозапуск, а также запускает первый из BATCH-файлов.
  1. Троян-стилер RedLine, который ворует с компьютера практически любую ценную информацию — в первую очередь, пароли, сохраненные в браузерах. Помимо этого, RedLine умеет исполнять на компьютере команды, а также скачивать и устанавливать на зараженный компьютер другие программы.

Авторы необычной фишинговой кампании, направленной против пользователей из Греции, встроили на сайты, имитирующие официальный сайт Греческой налоговой службы, кейлоггер, который ворует учетные данные и прочую информацию прямо по мере ввода.

Схема действий преступников

  1. Атака начинается с обычных фишинговых писем, в которых злоумышленники выдают себя за Греческую налоговую службу и сообщают пользователю хорошую новость: якобы после перерасчета ему положен возврат налогов на сумму 634,13 евро. В письмах сообщается, что автоматически отправить средства на банковский счет получателя не удалось из-за неких проблем.
  1. Пользователя просят посетить сайт налоговой службы и пройти проверку самостоятельно. Письма содержат ссылки, ведущие несколько фишинговых подделок под официальный сайт Греческой налоговой службы (govgr-tax[.]me/ret/tax, govgreece-tax[.]me и mygov-refund[. ]me/ret/tax).
  1. На сайте мошенников посетителей просят выбрать банковское учреждение, в которое нужно осуществить отправку средств. Жертвам предлагают семь вариантов на выбор, включая несколько крупных греческих банков. В зависимости от того, какой банк выберет пользователь, его перенаправят на другой фальшивый ресурс. В итоге страница входа в систему будет оформлена в стиле выбранного финансового учреждения.
  1. Когда жертва приступит к вводу своих учетных данных в предложенную форму, сработает JavaScript-кейлоггер, присутствующий на странице, перехватит все нажатия клавиш и передаст данные своим операторам.
  1. Таким образом, злоумышленники получат доступ к информации в режиме реального времени. Хуже того, даже если пользователь в последний момент одумается и не нажмет кнопку «Отправить», это уже не будет иметь никакого значения, ведь информация подвергается компрометации моментально, прямо по мере ее набора.

Фишеры крайне редко используют кейлоггинг в режиме реального времени, и атака, нацеленная на греков, может свидетельствовать о зарождении нового и крайне опасного тренда в среде хакеров. Такой способ атак может значительно повысить вероятность успешной кражи учтенных данных, а JavaScript-кейлоггер будет загружаться и работать даже в том случае, если жертва настроила браузер на блокировку сторонних трекеров.

Телефонные мошенники стали использовать собственный имидж при прозвоне граждан: преступники прикрываются банковскими работниками и силовиками, «спасая» жертву от самих же себя.

Известия сообщают о нескольких инцидентах, где преступники воспользовались этой схемой для обмана граждан:

  • 🧰Пенсионерка из Алапаевска, пытаясь поймать телефонных мошенников, сама стала их жертвой. Сначала с просьбой о содействии ей позвонили «сотрудники Банка России». После неудачной попытки за пенсионерку взялись «силовики». Для убедительности мнимый сотрудник даже отправил в мессенджере фотографию удостоверения. В итоге пострадавшая оформила на себя кредит и перевела мошенникам 53 тыс. рублей.
  • 🧰 Пенсионер из Тамбовской области думал, что участвует в задержании мошенников, а в итоге перевел злоумышленникам 2 млн рублей.
  • 🧰 Сотрудник Академии наук, выполняя инструкции афериста, снял со своего счета 30 млн рублей и передал неизвестной женщине.

«Борьба» с финансовыми преступлениями стала популярным ходом в сценарии злоумышленников. Чаще всего на просьбы «банков и майоров» откликаются люди пенсионного возраста.

Аферисты часто оказывают психологическое давление. Они требуют быстрых действий, предостерегают от общения с другими людьми, которые якобы могут оказаться мошенниками, просят не рассказывать ничего близким, ссылаясь на тайну следствия.

Group-IB предупреждает о появлении нового фишинг-кита, использующего метод фишинг-атаки под названием «Браузер в браузере» (Browser-in-the-Browser, BitB)

Целью атаки становятся профессиональные игроки Steam, доступ к учетным записям которых продается по цене от 100 тыс. долларов США до 300 тыс. долларов США.

Техника «Браузер в браузере» представляет из себя создание поддельного окна браузера в активном окне в качестве всплывающей страницы входа.

Схема действий мошенников

  1. Потенциальные жертвы получают сообщения в Steam с приглашением присоединиться к команде для участия в турнирах по League of Legends, Counter Strike, Dota 2 или PUBG.
  1. Ссылка приведет жертву на фишинговый сайт, который имитирует организацию, спонсирующую и проводящую турнир.
  1. Чтобы присоединиться к команде и принять участие в соревновании, посетителям предлагается войти в систему через свою учетную запись Steam. Однако, новое окно страницы входа — это не настоящее окно браузера, наложенное поверх существующего веб-сайта. Это поддельное окно, созданное на текущей странице, из-за чего его очень трудно распознать как фишинговую атаку.
  1. Целевые страницы даже поддерживают 27 языков и загружают язык пользователя, определив язык в настройках его браузера.
  1. Как только жертва вводит свои учетные данные, форма предлагает ей ввести код двухфакторной аутентификации (2FA). Если второй шаг не удался, отображается сообщение об ошибке.
  1. Если аутентификация прошла успешно, пользователь перенаправляется на настоящий, законный URL-адрес (адрес сервера управления), чтобы свести к минимуму вероятность того, что жертва осознает компрометацию.

Во всех случаях атаки «Браузер в браузере» URL-адрес в фишинговом окне является законным, поскольку злоумышленники могут отображать все, что захотят, поскольку это не окно браузера, а просто его рендеринг.

Также в окне отображается символ «замочка» подлинного SSL-сертификата, указывающий на HTTPS-соединение, что создает у жертв ложное чувство безопасности. Пользователь может перетаскивать поддельное окно, сворачивать его и закрывать, что затрудняет обнаружение фальшивого окна браузера в браузере.

Организаторы еще одной фишинговой кампании атакуют автовладельцев, обещая топливные карты за половину номинала в соответствии с несуществующим «постановлением о топливных компенсациях владельцам транспортных средств».

Схема обмана

  1. Жертва получает короткое письма якобы от государственного сервиса. В нем говорится, что согласно официальным документам (а именно, «постановлению №43448/17/308395-ИП от 2022-04-18» и «исполнительному приказу №2-752/2022-321 от 2022-05-25») владельцам транспортных средств теперь положены некие топливные компенсации.

  1. Из содержания письма становится ясно, что «топливные компенсации» — это скидка 50% на покупку топливных карт, которыми можно расплачиваться на заправках. Заканчивается послание предложением перейти по ссылке на сайт для оформления тех самых карт. Тут же находится фамилия с инициалами некоего «ведущего специалиста», к которому можно будет обращаться с вопросами после оформления карты.
  1. Если жертва перейдет по ссылке из письма, то окажется на странице с заголовком «Поддержка населения». На ней повторяется информация из письма без упоминания официальных документов, но с небольшим уточнением: скидку в 50% предоставляют только на первое пополнение топливной карты. Тут же находится кнопка «Участвовать», таймер, отсчитывающий время до конца «акции», и индикатор количества доступных для получения карт.

  1. Преступники подробно описывают преимущества топливных карт. Ими якобы можно оплачивать не только само топливо, но и сопутствующие услуги: мойку, шиномонтаж, замену технических жидкостей и многое другое. Есть также целый раздел с отзывами счастливых участников акции и даже ответами клиентской поддержки — разумеется, фейковыми.

  1. Топливная карта якобы действует на территории России и в восьми странах ближнего зарубежья. В общей сложности мошенники обещают, что картой можно будет воспользоваться на 3200 заправках. После этого жертве остается только выбрать, на какую сумму она готова приобрести топливную карту (есть варианты от 5 до 50 тысяч рублей), и нажать «Купить».

  1. Если человек все же решит поучаствовать в акции, после нажатия на кнопку «Купить» он попадет на страницу, где требуется ввести контактные данные: имя, адрес электронной почты и телефон. Следом появляется окно для ввода реквизитов банковской карты с пометкой «Все платежи защищены 3-D Secure» (3-D Secure — это протокол, который обеспечивает дополнительный уровень защиты онлайн-платежей).

  1. В итоге мошенники получают не только деньги горе-водителя, но и его персональные и платежные данные.

Инциденты

Сервис разведки утечек данных и мониторинга даркнета DLBI сообщил об утечке базы данных покупателей отечественного интернет-магазина «Интимшоп».

В дампе 126,969 строк, содержащих:

  • 🌵 имя (иногда ФИО)
  • 🌵 адрес эл. почты
  • 🌵 телефон (около 84 тыс. уникальных номеров)
  • 🌵 хешированный (MD5 без соли) пароль
  • 🌵 город
  • 🌵 дата рождения (не у всех)
  • 🌵 дата регистрации и обновления профиля (с 21.07.2003 по 13.09.2022)
  • 🌵 кол-во начисленных бонусов

Из-за использования «слабого» алгоритма хеширования паролей, около 40 тыс. паролей находятся мгновенно.

Китайские киберпреступники украли 529 млн долларов США у жителей Индии, используя приложения для кредитования, поддельные предложения подработок и фиктивные схемы торговли криптовалютой.

Мошенники массово отправляли SMS со ссылками на поддельные сайты и крипто-приложения для привлечения инвесторов.

Преступники скрылись с украденными средствами, сначала переведя деньги жертв на местные индийские банковские счета и цифровые кошельки, а затем переведя наличные деньги на индийскую платформу обмена криптовалюты Zebpay и международную платформу Binance. Украденные деньги в конечном итоге были сняты в Китае.

Злоумышленники из Голландии проводили фишинговые кампании из тюремной камеры и «заработали» не менее 34 тыс. евро до момента раскрытия.

Преступники размещали поддельные объявления на голландском сайте Marktplaats.nl, заманивая жертв низкими ценами и предлагал перевести 0,01 евро по фальшивой платежной ссылке, которая собирала данные для входа в банковскую систему. Используя украденные данные, злоумышленники опустошали счета жертв.

А в ходе другой фишинговой кампании заключенные выдавали себя за друзей жертв, связывались с ними через WhatsApp и просили подкинуть немного денег.

Через несколько месяцев после заключения в камере одного из преступников было обнаружено мобильное устройство, которое использовалось для проведения фишинговых кампаний. А всего власти обнаружили 4 устройства, которые осужденные использовали для обмана жертв. Голландские следователи обнаружили на них более 1 000 чатов с жертвами, которым злоумышленники рассылали вредоносные ссылки.

Жертвами этого дуэта стали по меньшей мере 258 человек, подарившие злоумышленникам около 34 000 евро.

 117   19 дн   дайджест   фишинг
Ранее Ctrl + ↓