Представляем новости об актуальных технологиях фишинга и других атаках на человека c 24 по 30 января 2020 года.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Инциденты

Выставлены на продажу данные более 30 млн банковских карт клиентов американской розничной сети Wawa. Утечка произошла в результате заражения POS-терминалов компании вредоносным ПО.

Представители Wawa заявляют, что злоумышленники похитили только сведения о картах, а PIN-коды, номера CVV2 и персональные данные держателей карт скомпрометированы не были. Однако в образцах похищенных данных, которые продавцы базы предлагают для ознакомления, номера CVV2 все же встречаются.

Похищенные данные продаются по цене около 17 долларов США за одну американскую карту, и по 210 долларов США за карту, выпущенную в других странах.

Компанию-разработчика антивируса Avast уличили в сборе и продаже пользовательских данных другим компаниям. Среди покупателей собранных сведений — Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Cond? Nast, Intuit.

1. Сбор данных производился через уязвимости в расширениях Avast для браузеров.
2. Собираемые сведения включали поисковые запросы в Google, GPS-координаты, просмотры видео и постов на YouTube, Facebook и Instagram, данные о посещениях указанных заказчиком сайтах, информацию о посещениях LinkedIn.
3. Собранные данные уходили «дочке» Avast — компании Jumpshot, которая продавала их другим компаниям.
4. Собираемые пользовательские данные настолько детализированы, что клиенты могут «видеть» даже отдельные клики, которые пользователи делают во время сессий, причем с точностью до миллисекунды.

Видео: реклама компании Jumpshot

Согласно заявлению Avast Jumpshot располагал данными 100 миллионов пользователей.

Зафиксирована утечка информации о покупателях сети продуктовых магазинов «Красное и белое». В открытом доступе опубликован массив данных, содержащий более 4 млн записей.

Каждая запись содержит

• ФИО
• дату рождения
• телефон

Помимо опубликованной базы всего за 15 тыс. рублей неизвестный продавец предлагает купить более полную версию клиентской базы «Красного и белого», содержащую более 17 млн записей.

Вредоносное ПО

Хакерская группировка Indonesian Cyber Army использует вредоносное ПО, распространяемое по модели «фишинг как услуга», для атак на пользователей платёжных систем PayPal и American Express.

Вредонос, которым пользуются злоумышленники, называется 16Shop. Это наиболее функциональный инструмент среди распространяемых в Даркнете. Изначально он был разработан для атак на пользователей Apple, но затем его адаптировали и для других целей. 16Shop распространяется по платной лицензии, подобно легитимному ПО. Покупатели получают инструкции по установке и использованию, а также регулярные обновления.

Среди возможностей 16Shop:

• ухода от детектирования защитными решениями;
• сбор конфиденциальной информации жертв: логинов и паролей, е-мейлов, данных банковских карт.

Умные устройства

В некоторых моделях электрических самокатов обнаружены уязвимости, которые могут привести к утечкам конфиденциальной информации и создать угрозу безопасности владельца устройства.

Некоторые самокаты обмениваются со смартфоном владельца различными данными по каналу Bluetooth Low Energy. Передаваемые по этому каналу данные легко перехватить с помощью доступных средств, подобных Ubertooth и WireShark. А поскольку производители устройств собирают аналитические данные о владельцах, отслеживая местоположение и информацию о средстве передвижения, перехват этих данных позволяет создать на их базе индивидуальный профиль человека, включающий предпочтительный маршрут, личные интересы, домашний и рабочий адреса.

Кроме перехвата информации злоумышленники могут провести атаки на GPS-системы самокатов, направив владельцев по ложному маршруту, а также вызвать отказ управляющих систем устройства (DoS).

Мобильная безопасность

По данным отчёта ИБ-компании Upstream в 2019 году в Google Play выявлено более 98 тыс. вредоносных приложений, установленных на 43 млн Android-устройств.

Большая часть таких программ показывает назойливую рекламу, накручивает клики и переходы по ссылкам, но есть и более опасные разновидности, которые подписывают своих жертв на платные сервисы, крадут данные банковских карт и учётные сведения для систем онлайн-банкинга.

Практически все выявленные вредоносы работают по единой схеме:

1. Проникновение на устройство любым способом.
2. Получение разрешений. Примечательно, что как правило, жертва сама предоставляет вредоносному ПО больше разрешений, чем требуется для работы.
3. Вредоносная деятельность: получение и выполнение команд от управляющих серверов.
4. Сокрытие от пользователя. Для этого применяются различные трюки от маскировки под полезные программы до удаления иконок приложения.

Атаки и уязвимости

Уязвимость в платформе для проведения видеоконференций Zoom позволяла без приглашения присоединяться к чужим разговорам и получать доступ ко всем данным и файлам, которыми обмениваются участники.

Причина уязвимости связана с алгоритмом создания идентификаторов звонка — адресов для виртуальных конференцзалов, по которым участники конференций могут присоединиться к нужному разговору. Этот идентификатор состоит из 9-11 случайных чисел, что позволяет заранее сгенерировать список таких чисел, а затем быстро проверить, имеются ли в системе разговоры с таким адресом. Если идентификатор оказывался действительным, а конференция не защищена паролем, злоумышленник мог получить к ней доступ и следить за всем происходящим.

Учитывая характер уязвимости, она не могла использоваться для целевых атак против конкретной компании, однако позволяла с ненулевой вероятностью найти интересную конференцию и возвращаться в неё снова и снова, пока владелец не установит пароль.

Новая спекулятивная атака CacheOut (CVE-2020-0549) может привести к утечке данных из процессоров Intel.

CacheOut относится к классу уязвимостей Microarchitectural Data Sampling (MDS), к которому также относятся ранее выявленные уязвимости RIDL, Fallout и ZombieLoad. Атака позволяет злоумышленнику обойти аппаратную защиту во многих процессорах Intel и выбрать, какие данные нужно похитить.

Возможности CacheOut:

• нарушение изоляции процессов путем восстановления ключей AES и текста для жертв, работающих с OpenSSL;
• создание эксплойтов для полной отмены рандомизации ASLR ядра Linux и восстановления секретных Stack Canary ядра Linux;
• эффективное нарушение изоляции между виртуальными машинами, работающими на одном физическом ядре;
• нарушение конфиденциальности SGX и доступ к содержимому защищенного анклава.

Злоумышленники воспользовались уязвимостью CVE-2019-18187 в Trend Micro OfficeScan для хищения документов из компании Mitsubishi Electric.

Уязвимость позволяла загружать произвольные файлы и производить удалённое выполнение кода. Используя её, неизвестные хакеры проникли во внутреннюю сеть Mitsubishi Electric и похитили 200 Мб файлов.

Trend Micro исправила ошибку ещё в октябре 2019 года