Rose debug info
---------------

Антифишинг-дайджест № 194 с 23 по 29 октября 2020 года

Представляем новости об актуальных технологиях фишинга и других атаках на человека с 23 по 29 октября 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошеннические кампании

Операторы ботнета Emotet «запустили» новый способ запуска вредоноса: они предлагают своим жертвам обновить MS Word.

Схема атаки:

  1. Жертва получает письмо с вложенным документом MS Word. В письме содержится информация, побуждающая срочно открыть этот документ, например, в связи с тем, что в нем имеются важные сведения о COVID-19:

2. Когда жертва открывает вложение, ей выводится предупреждение о том, что необходимо разрешить содержимое. При нажатии этой кнопки пользователь разрешает выполнение макросов. Чтобы подтолкнуть его к этому, в новом варианте атаки преступники добавляют в документ предложение обновить MS Word, чтобы добавить в него новые функции, и именно в связи с этим и нужно разрешить содержимое:

3. Если жертва разрешает содержимое, на компьютер устанавливается клиент ботнета Emotet:

4. С этого момента компьютер жертвы становится участником сети, через которую производится рассылка спама, загрузки других вредоносных программ и DDoS-атак.

Мобильная безопасность

Предварительный просмотр ссылок в популярных приложениях для обмена сообщениями может привести к раскрытию IP-адресов пользователя, отправленных через зашифрованные чаты ссылок и незаметной загрузке гигабайтов данных в фоновом режиме.

Предварительный просмотр ссылок позволяет пользователю увидеть краткое описание ссылки и соответствующее ей изображение. При создании предварительного просмотра на стороне получателя злоумышленник может узнать приблизительное местоположение жертвы, отправив ссылку на подконтрольный ему сервер. Приложение для обмена сообщениями, получив сообщение со ссылкой, автоматически открывает URL-адрес для создания предварительного просмотра, раскрывая IP-адрес телефона в запросе, отправленном на сервер.

Использование для генерации превью внешнего сервера предотвращает раскрытие IP-адреса, однако создает новую проблему, связанную с сохранением конфиденциальности попавших на сервер данных. Например, Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter и Zoom загружают содержимое ссылки на свои сервера, никак не уведомляя об этом пользователей. В случае, если по ссылке находится JavaScript-код, он может быть выполнен:

Ещё одна проблема с предварительным просмотром состоит в том, что не все приложения ограничивают размер файлов, загружаемых для его создания. Например, Facebook Messenger и Instagram загружают файлы целиком, даже если их размер достигает нескольких гигабайтов:

Инциденты

Энергетическая компания Enel Group стала жертвой шифровальщика-вымогателя Netwalker. Вторая в этом году кибератака стала успешной: преступники похитили около 5 Тб информации и зашифровали файлы на серверах и компьютерах.

Преступники опубликовали скриншоты со списком похищенных файлов на своём сайте. Там же тикает таймер обратного отсчёта. Когда он обнулится, украденная информация будет опубликована в общем доступе.

Скриншот с таймером обратного отсчёта.

За удаление похищенных файлов и ключ для расшифровки операторы Netwalker требуют выкуп в размере 1234,0238 Биткоина, что по текущему курсо составляет около 14 млн долларов США.

Требование о выкупе в «личном кабинете жертвы» на сайте вымогателя

С помощью новой мошеннической схемы преступники незаконно списывали деньги у одного из екатеринбургских банков в счет оплаты бензина на автозаправочных станциях Екатеринбурга и Свердловской области.

Схема действий преступников:

  1. Злоумышленники опускали топливный пистолет в заправляемую емкость или в топливный бак автомобиля, вводили на дисплее автоматического терминала сумму, на которую необходима заправка, равную сумме денежных средств на карте, и таким образом авторизовали процесс заливки горючего.
  2. Когда бензин начинал заливаться в бак, через личный кабинет мошенники меняли счет с положительным балансом на счет без денег. В связи этим банк был вынужден допускать овердрафт (перерасход кредитуемых средств) на карте мошенников и оплатить заправку за свой счет.
  3. «Бесплатный» бензин мошенники продавали по дешёвке таксистам.

Всего зафиксировано 30 фактов хищения на сумму более 1 млн. рублей.

Неизвестные хакеры взломали официальный сайт предвыборной кампании Дональда Трампа donaldjtrump[.]com и разместили на главной странице пародию на стандартное уведомление об изъятии домена правоохранительными органами.

Послание взломщиков: «данный сайт был захвачен», потому что «мир устал от фальшивых новостей, ежедневно распространяемых президентом Дональдом Трампом».

Хакеры также заявили, что скомпрометировали несколько устройств Трампа и его приближенных, и теперь в их распоряжении имеется различная секретная информация, включая данные о происхождении коронавируса. Всем желающим проголосовать за или против публикации этих сведений предлагается пожертвовать криптовалюту Monero на соответствующий кошелёк.

Финская общенациональная сеть психотерапевтических клиник Vastaamo стала жертвой кибератаки, в результате которой произошла утечка данных десятков тысяч пациентов.

Преступник потребовал выкуп в размере 40 Биткоинов (около 500 000 долларов США по текущему курсу), а чтобы сделать руководство клиники более сговорчивым, стал публиковать конфиденциальную информация о пациентах в даркнете,

Также сообщается, что не добившись желаемого от руководства Vastaamo, вымогатель стал напрямую связываться с пациентами по электронной почте и требовать у них по 240 долларов в криптовалюте за удаление их записей из украденной БД. Предполагается, что злоумышленник пошёл на такой шаг после того, как несколько человек узнали об утечке и сами предложили хакеру деньги за удаление информации о себе. Для них шантажист установил цену в 0,05 биткоина (около 650 долларов США).

Из-за кибератаки вымогательского ПО индийский фармацевтический гигант Dr Reddy’s отключил все свои серверы центров обработки данных и остановил производство на предприятиях в США, Великобритании, Бразилии, Индии и России.

Dr Reddy’s изготавливает препараты для лечения коронавирусной инфекции (COVID-19) «Ремдесивир» и «Фавипиравир». Кибератака произошла через несколько дней после того, как компания получила одобрение Генерального контролера лекарственных средств Индии (Drugs Controller General of India, DCGI) на проведение клинических испытаний российской вакцины «Спутник V» в стране.

Приглашаем на бесплатный вебинар «Цена непрерывности бизнеса. Человеческий фактор в ИБ»

Когда: 5 ноября 2020 года в 11:00 МСК
Организаторы: Angara Professional Assistance и Антифишинг.

Один из ключевых векторов современных атак — человеческий фактор, а главная защитная мера — обучение и тренировка сотрудников осознанному противостоянию уловкам злоумышленников. На вебинаре мы расскажем о программах повышения осведомленности пользователей, вариантах обучения и тестирования, киберучениях.

Одним из докладчиков мероприятия будет Сергей Волдохин, директор Антифишинга. Основные тезисы его выступления:

  1. Классификация и примеры цифровых атак на людей.
  2. Процесс обучения и тренировки навыков. Целевой результат.
  3. Антифишинг как платформа для автоматизации Методология. Эффективность процесса.

Программа и более подробная информация о вебинаре

Зарегистрироваться на вебинар


Поделиться
Отправить
Запинить
 916   2020   дайджест   фишинг