26 марта, 19:10

Антифишинг-дайджест № 163 с 20 по 26 марта 2020 года

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 20 по 26 марта 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и приложения

Мошенники пытаются похитить криптовалютные пожертвования на борьбу с пандемией COVID-19, рассылая письма от имени ВОЗ: Всемирной организации здравоохранения.

После того, как 11 марта 2020 года ВОЗ официально признала пандемию коронавируса, был создан Фонд солидарности и реагирования по борьбе с COVID-19 (COVID-19 Solidarity Response Fund). Цель фонда — подготовить к борьбе с вирусом все страны мира, а в особенности — государства со слабой системой здравоохранения.

Преступники просят пользователей сделать пожертвование, отправив биткоины напрямую на адрес, указанный в письме, в качестве адреса отправителя которого для большей убедительности указан donate@who(.)int.

Министерство юстиции США сообщило о закрытии мошеннического сайта CoronavirusMedicalkit(.)com, владельцы которого предлагали всем желающим бесплатно заказать вакцину от коронавируса, оплатив лишь стоимость пересылки в размере 4,95 долларов США.

Преступники наживались на всеобщей панике, полагая, что невысокая стоимость пересылки создаст ажиотажный спрос и принесёт значительный доход.

По решению суда домен мошеннического сайта был разделегирован.

Организаторы мошеннической кампании угрожают заразить пользователей и их семьи коронавирусом COVID-19, если они не заплатят выкуп в размере 4 тыс. долларов США.

Чтобы послание выглядело убедительнее, преступники добавляют в письмо логин и пароль пользователя, полученный из общедоступных баз скомпрометированных учётных записей, и сообщают, что скрыться от них невозможно, они найдут свою жертву повсюду.

На сайте онлайн-магазина Tupperware обнаружен скиммер, похищавший данные банковских карт покупателей.

Мошенники взломали официальный сайт Tupperware и модифицировали его, добавив через iframe вредоносный код.

При попытке оплатить заказанный товар посетитель видит фальшивую форму оплаты. После ввода данных они отправляются мошенникам, а пользователь получает сообщение о таймауте, после чего выводится настоящая форма оплаты.

Мошенники не позаботились о локализации скиммера, поэтому фальшивая форма всегда «говорит» по-английски в отличие от настоящей.

Эксплуатация темы коронавируса иногда принимает совершенно удивительные формы. Например, обнаружен сайт, предлагающий скачать и установить Corona Antivirus, который «поможет защититься от нового коронавируса COVID-19».

Всё, что делает «антивирус» — устанавливает на компьютер жертвы бэкдор BlackNET, открывающий преступникам полный доступ к устройству.

Атаки и уязвимости

Хакеры взламывают маршрутизаторы и используют их для распространения поддельного приложения от Всемирной организации здравоохранения, якобы предоставляющего актуальную информацию о COVID-19.

В качестве объектов атаки преступники выбирали маршрутизаторы D-Link и Linksys, у которых был включен удалённый доступ к управлению настройками, а затем путём перебора подбирали пароль.

После успешного взлома IP-адреса в настройках DNS маршрутизатора изменялись на вредоносные.

Поскольку подключающиеся к маршрутизатору компьютеры используют IP-адреса DNS-серверов, полученные от него, подконтрольные злоумышленникам DNS-серверы переадресовывали пользователей на вредоносный контент. В результате при открытии браузера пользователя получали уведомление с предложением скачать приложение от ВОЗ.

Вместо полезной программы доверчивые пользователи устанавливали на компьютеры вредонос Oski, который похищает и передаёт преступникам

  • cookie-файлы;
  • историю браузера;
  • платежную информацию из браузера;
  • сохраненные учетные данные;
  • данные криптовалютных кошельков;
  • текстовые файлы;
  • данные автозаполнения для форм в браузере;
  • БД 2ФА идентификаторов Authy;
  • скриншоты рабочего стола в момент заражения.

WhatsApp хранит коды безопасности для двухфакторной аутентификации в незашифрованном виде, что подвергает пользователей мессенджера опасности: завладевший кодами злоумышленник может получить доступ к переписке жертвы.

На устройствах с iOS-устройствах коды хранятся в файле /var/mobile/Containers/Data/Application/Whatsapp/Library, на Android — в /data/data/app/com.whatsapp/shared_prefs/com.whatsapp_preferences.xml.

Хотя файл с кодом хранится в песочнице, и другие приложения в обычной ситуации не могут получить к нему доступ, на смартфонах, где включены права суперпользователя (root) или произведён джейлбрейк, содержимое файла можно прочитать.

В популярных менеджерах паролей обнаружены уязвимости, эксплуатация которых может привести к краже учётных данных

Слева: фишинговое окно логина вредоносного приложения.
Справа: LastPass без сомнений выдаёт учётные данные.

  • Android-версии 1Password и LastPass имеют уязвимый механизм автозаполнения паролей: если имя пакета вредоноса соответствует легитимной программе, он получит сохранённые в менеджерах логины и пароли.
  • Менеджеры LastPass, Dashlane, Keeper и RoboForm не защищают учётные данные при копировании в буфер обмена, поэтому на компьютерах с Windows 10 логины и пароли можно скопировать из буфера в виде простого текста.

Мобильная безопасность

Троян Android.Circle.1 распространялся под видом сборников изображений, программ с гороскопами, приложений для онлайн-знакомств, фоторедакторов, игр и системных утилит и по команде операторов выполнял различные вредоносные действия.

Приложения выполняли заявленные в описании функции, поэтому у пользователей не было причин заподозрить в них угрозу. Некоторые из них после установки выдавали себя за важный системный компонент, что обеспечивало им дополнительную защиту от возможного удаления.

При запуске вредоносная программа подключается к управляющему серверу, передает на него сведения об инфицированном устройстве и ожидает поступления заданий.через сервис Firebase. Среди заданий были отмечены:

  • удалить значок троянского приложения из списка ПО в меню главного экрана;
  • удалить значок троянского приложения и загрузить в веб-браузере заданную в команде ссылку;
  • выполнить нажатие (клик) на загруженном сайте;
  • показать рекламный баннер.

Примеры рекламных баннеров:

Основное предназначение Circle — показ рекламы и загрузка различных сайтов, на которых имитируются действия пользователей: переходы по ссылкам, нажатия на рекламные баннеры или другие интерактивные элементы.

Вредоносное ПО

У банковского трояна TrickBot появилось приложение для Android TrikMo, которое обходит двухфакторную аутентификацию, перехватывая одноразовые коды безопасности из SMS и передавая их на управляющий сервер.

TrickMo распространяется через внедрение контента в браузер заражённого TrikBot пользователя:

  • Обнаружив, что пользователь обращается к сайтам определенных банков, TrikBot предлагает ему загрузить и установить решение, для «защиты учетных записей».
  • На самом деле приложение, которое прикидывается мобильным антивирусом Avast, содержит TrickMo.
  • После установки поддельный антивирус запрашивает доступ к службе специальных возможностей (Accessibility service) Android.
  • Полученные привилегии позволяют TrikMo взаимодействовать с устройством жертвы без ведома пользователя и генерировать любые нажатия на экран.
  • TrickMo устанавливает себя как приложение для работы с SMS по умолчанию, что позволяет ему перехватывать любые SMS, поступающие на устройство, в том числе и от банков.

Умные устройства

В центральном сенсорном экране Tesla Model 3 обнаружена уязвимость CVE-2020-10558, эксплуатация которой позволяет злоумышленнику нарушить работу систем автомобиля.

Используя ошибку, можно отключить спидометр, климат-контроль, сигналы поворота, навигацию, уведомления автопилота, уведомления о пропущенных звонках и другие функции

Для проведения атаки достаточно заставить пользователя перейти на специально созданную веб-страницу, которая вызывает сбой в работе интерфейса браузера на основе Chromium, через который производится управление системами автомобиля на центральном экране.

Управлять движением Tesla можно управлять даже при отказавшем дисплее, а чтобы вернуть дисплей в нормальное состояние, нужно «перезагрузить» автомобиль, выключив его и снова включив.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






Поделиться
Запинить