Представляем новости об актуальных технологиях фишинга и других атаках на человека c 6 по 12 декабря 2019 года.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Авторы новой фишинговой кампании против пользователей Office 365 пытаются установить на устройство вредоносный плагин с широким набором разрешений.

1. Атака начинается с электронного письма, замаскированного под сообщение службы Microsoft OneDrive со ссылкой на файл.
2. В тексте письма и названии документа используются сведения, знакомые получателю.
3. Реальный адрес отправителя замаскирован под данные одного из сотрудников целевой организации.
4. Письмо не содержит прикрепленных объектов и способно успешно миновать антивирусные фильтры почтового сервера.
5. Ссылка на файл в тексте письма на самом деле представляет собой запрос на установку дополнительной утилиты для Office 365. Такие надстройки используются для расширения функций приложений, входящих в состав офисного пакета, могут быть созданы сторонними разработчиками и загружаться с принадлежащих им ресурсов.

Если получатель письма не был аутентифицирован в Office 365, то при переходе по ссылке откроется легитимный диалог ввода логина и пароля аккаунта Microsoft.

После входа происходит запуск процесса установки, при этом вспомогательное приложение запрашивает разрешения, согласившись с которыми, пользователь предоставляет мошенникам возможность:

• читать, изменять и удалять доступные файлы, а также создавать новые документы;
• читать электронные письма;
• изменять настройки электронной почты, в том числе создавать правила переадресации;
• просматривать записные книжки OneNote, доступные в рамках аккаунта;
• копировать список контактов.

Кибермошенники похитили у китайской венчурной компании 1 млн долларов США с помощью мошенничества с электронными письмами.

1. Злоумышленники выдавали себя за сотрудников реально существующего израильского стартапа, желающего привлечь в качестве инвесторов китайских венчурных капиталистов.

2. Специально для кампании мошенники зарегистрировали два поддельных домена. Один домен якобы принадлежал стартапу, а второй — венчурной компании. Единственное отличие от настоящих организаций — дополнительная буква «s» в названии каждой из них.

3. Каждое письмо от обеих сторон на самом деле отправлялось не настоящей организации, а на поддельный домен. Злоумышленники читали письма, решали, нужно ли их отредактировать, а затем отправляли соответствующему адресату. Таким образом они провели атаку «человек посередине», не взламывая электронную почту ни одной из сторон переговоров.

4. Когда 1 млн долларов был переведен злоумышленникам, настоящий стартап обнаружил, что деньги не получил, а инвестиционная компания поняла, что стала жертвой обмана.

Всего было отправлено 18 писем в сторону китайской компании и 14 — израильскому стартапу.

Авторы фишинговой кампании против любителей игры Elder Scrolls Online маскируют письма под сообщения от разработчиков, чтобы похитить учётные записи игроков.

1. Преступники рассылают в случайном порядке личные сообщения, в которых предупреждают геймеров о проблеме безопасности и требуют подтвердить свои учётные данные, предоставив логин, пароль и дату рождения.
2. Жертву убеждают, что для предоставление информации у неё есть только 15 минут, иначе учётную запись заблокируют.
3. Стремясь придать письмам легитимный вид, фишеры используют онлайн-псевдоним ElderScrollDevs.

Уязвимости и «умные» устройства

Обнаружена уязвимость в iPhone AirDrop, эксплуатация которой позволяет многократно отправлять файлы на все ближайшие iPhone, настроенные на прием файлов от любых устройств.

При получении файла iOS блокирует экран смартфона, пока пользователь не примет или не отклонит запрос. Но поскольку iOS не ограничивает количество файловых запросов, преступник может продолжать спамить файлами, блокируя устройство пользователя.

Чтобы остановить атаку нужно выйти из зоны действия атакующего устройства либо отключить AirDrop, Wi-Fi или Bluetooth.

Уязвимость в прошивке смарт-замков KeyWe GKW-2000D позволяет проникать в жилище посторонним.

Замок открывается несколькими способами: через мобильное приложение (Wi-Fi, Bluetooth), браслет (NFC), непосредственно через тачпад (путем введения кода) или с помощью обычного ключа. Устройство также позволяет устанавливать одноразовые коды для гостей и открывать двери в зависимости от расстояния, на котором находится желающий войти.

Уязвимость в протоколе обмена ключами позволяет узнать закрытый ключ для открытия двери, используя снифер Bluetooth LE стоимостью 10 долларов США.

Главная проблема состоит в том, что в замках KeyWe не предусмотрено обновление прошивки, а потому устранить уязвимость будет очень сложно.

Обнаружена новая уязвимость процессоров Intel, получившая название Plundervolt. Проблема проявляется в том, что из-за пониженного напряжения процессора технология Secure Enclave становится уязвимой к атакам.

Используя интерфейс для настройки напряжения и частоты процессора из операционной системы, можно изменить данные внутри SGX (Software Guard Extensions), что приведёт к ошибкам. После того как данные покинут защищённую область, потенциальный атакующий сможет восстановить ключи шифрования или создать бреши в защищённом программном обеспечении.

Ошибка затрагивает десктопные, серверные и мобильные процессоры:

• Intel Core 6, 7, 8, 9 и 10 поколения,
• Intel Xeon Processor E3 v5 и v6,
• Intel Xeon Processor E-2100 и E-2200.

В камерах видеонаблюдения Amazon Blink XT2 обнаружено 7 опасных уязвимостей, эксплуатация которых позволяет злоумышленникам дистанционно получить полный контроль над устройствами.

Уязвимость внедрения команд CVE-2019-3984 связана с механизмом обновления модуля синхронизации. При проверке обновлений устройство сначала получает из интернета скрипт обновления (sm_update), а затем запускает содержимое данного скрипта без какой-либо очистки. Cкрипт обновления удалённо передает информацию напрямую функции os.execute() без подтверждения. Злоумышленник может осуществить атаку «человек посередине» через отравление кэша DNS или взлома, чтобы изменить содержимое данного скрипта.

Уязвимость CVE-2019-3989 связана с некорректной проверкой входных данных в функции get_network (). Вызвав переполнение буфера, злоумышленник может удаленно выполнить код с правами суперпользователя.

Остальные обнаруженные уязвимости также связаны с отсутствием проверки пользовательских данных, передаваемых скриптам, что также позволяет использовать их для повышения привилегий и выполнения команд с правами root.

Вредоносное ПО

Авторы шифровальщика Snatch используют перезагрузку компьютеров своих жертв в безопасном режиме — Safe Mode, чтобы обойти защитные механизмы и запустить процесс шифрования файлов.

Они используют тот факт, что большинство антивирусных решений не работают в безопасном режиме Windows.

Snatch #malware presents an interesting case: The threat actors behind the attacks trawl through hard drives looking for sensitive data to steal, then they install ransomware in a way that breaks most endpoint protection https://t.co/ZsnH8oJWiW

— Andrew Brandt (@threatresearch) December 9, 2019

Вымогатель использует ключ реестра Windows, чтобы запланировать запуск в Safe Mode.
Шифровальщик не атакует обычных пользователей, направляя удар на крупные компании, общественные или правительственные организации.

Проникнув в сеть, операторы Snatch несколько дней или недель изучают цель, получают доступ к контроллеру домена, чтобы распространить вредоноса на максимально возможное количество компьютеров. Для этого используются известные пентестерские инструменты: Cobalt Strike, Advanced Port Scanner, Process Hacker, IObit Uninstaller, PowerTool и PsExec. Подозрения у защитных механизмов и антивирусов эти легитимные решения, как правило, не вызывают.

Инциденты

10 декабря в одной из социальных сетей были опубликованы данные 15 млн дебетовых карт, выданных банками Ирана.

Утечка затронула клиентов трех иранских банков, что в общей сложности составило пятую часть всего населения Ирана. Это крупнейшее банковское мошенничество в истории Ирана.

Министр информации и телекоммуникаций Ирана Мохаммад Джавад Азари Джахроми заявил, утечка произошла по вине недовольного подрядчика, имевшего доступ к данным и опубликовавшего их с целью вымогательства, и заверил, что банковские системы взломаны не были, однако ИБ-эксперты не согласны с ним.

В открытом доступе обнаружена база, содержащая более терабайта незащищенных пользовательских данных, хешированных паролей и корпоративных документов. Утечка коснулась нескольких крупных компаний, включая GE, Xerox, Nasdaq и Dunkin’.

Причиной инцидента стали неправильные настройки облачного хранилища Amazon. Контейнер с данными представлял собой внутреннюю базу платформы, с которой работают заказчики iPR Software. Ее содержимое включало:

• 477 тыс. контактов СМИ,
• более 35 тыс. хешированных паролей,
• резервные копии баз MongoDB,
• администраторские учётные данные,
  корпоративные документы и прочие файлы.

Кроме того в хранилище обнаружились данные для доступа к сторонним сервисам, включая учетную запись iPR Software в Twitter и некий ключ Google API.