Антифишинг-дайджест № 202 с 18 по 24 декабря 2020 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Инциденты

На хакерском форуме обнаружена база с данными владельцев аппаратных кошельков Ledger.

База содержит сведения, полученные в результате утечки данных, о которой компания Ledger сообщила летом 2020 года. Тогда из-за уязвимости на сайте производителя злоумышленники получили доступ к контактной информации пользователей.

Опубликованный архив содержит два текстовых файла:

  • All Emails (Subscription).txt, в котором имеются адреса электронной почты более 1 млн человек, подписавшихся на рассылку Ledger;
  • Ledger Orders (Buyers) only.txt с именами и почтовыми адресами 273 тысяч покупателей устройств Ledger.
Фишинговое письмо

Похищенные данные уже используются для фишинговых атак против владельцев Ledger. С октября 2020 года они получают мошеннические письма, замаскированные под официальное предупреждение об утечке данных. Пользователю предлагают загрузить новую версию Ledger Live, якобы для защиты своих криптовалютных активов с помощью нового PIN-кода.

Фальшивое приложение просит ввести кодовую фразу.

Если пользователь попадается на удочку злоумышленников, загружает и устанавливает фальшивое приложение Ledger Live, его попросят ввести кодовую фразу. Полученная информация сразу же отправляется злоумышленникам, которые используют её для кражи криптовалюты жертвы.

Неизвестные хакеры похитили почти 5% активов британской криптовалютной биржи EXMO, скомпрометировав горячие кошельки. Суточный объем торгов биржи составляет 2273 BTC (почти 52 000 000 долларов США), а количество активных трейдеров — более 27 тыс.

Представители EXMO пишут, что 21 декабря 2020 года в 2:27:02 UTC были замечены подозрительные операции по выводу больших объёмов средств. Сейчас на бирже приостановлены все операции, а пользователей просят не пополнять депозиты.

Общая сумма ущерба может составить около 10 500 000 долларов США.

Сотрудники телекомпании «Аль-Джазира» и журналист лондонского телеканала «Аль Араби» пострадали от взлома, проведённого с помощью легального инструмента Kismet, разработанного израильской компанией NSO Group.

Kismet использует цепочку из нескольких уязвимостей, среди которых имеется уязвимость нулевого дня в iOS, не требующая взаимодействия с пользователем. В результате атаки устройства жертв были заражены вредоносным ПО Pegasus.

По имеющимся данным, NSO Group продала Kismet по крайней мере четырем организациям, которые использовали его для взлома личных iPhone сотрудников «Аль-Джазира» и «Аль Араби» в июле и августе 2020 года. Дальнейшее расследование показало, что атаки начались в октябре 2019 года.

Когда атаки были обнаружены, выяснилось, что инструмент Kismet работал против новейших на тот момент устройств Apple. 0-day уязвимость перестала представлять опасность лишь после выпуска iOS 14 осенью 2020 года.

Производитель ароматизаторов Symrise стал жертвой кибератаки вымогателя Clop, в результате которой злоумышленники украли 500 ГБ незашифрованных файлов и зашифровали почти 1 тыс. компьютеров компании.

В результате инцидента Symrise пришлось отключить компьютерные системы, чтобы предотвратить распространение атаки. Компания также временно остановила производство и закрыла объекты для расследования масштабов атаки.

Для взлома сети Symrise преступники использовали фишинговые письма, содержащие вредоносные вложения. Получив доступ к сети, они похитили 500 ГБ незашифрованных файлов перед запуском шифрования.

Размещённые на портале утечек в качестве доказательства данные включают сканы паспортов, бухгалтерские документы, аудиторские отчёты, конфиденциальную информацию о косметических ингредиентах и электронные письма.

Атаки и уязвимости

В тонких клиентах Dell Wyse обнаружены критические уязвимости, эксплуатация которых позволяет запустить вредоносный код и получить доступ к произвольным файлам.

Тонкий клиент Dell Wyse 3040 — одна из уязвимых моделей.

Уязвимости CVE-2020-29492 и CVE-2020-29491 содержатся в компонентах ThinOS — операционной системы, под управлением которой работают тонкие клиенты Dell Wyse. Для удалённого управления ThinOS Dell рекомендует настроить FTP-сервер, с которого на устройства будут загружаться обновления прошивок, пакетов и конфигураций.

Оказалось, что подключиться к FTP можно с использованием анонимной учётной записи (anonymous). При этом ЭЦП Dell были подписаны только прошивка и пакеты. Файлы конфигурации мог изменять кто угодно.

Уязвимости содержатся в 11 моделях тонких клиентах с ThinOS версии 8.6 и старше.

Атака AIR-FI позволяет превратить оперативную память компьютера (RAM) в точку доступа Wi-FI и извлечь данные даже с физически изолированных систем.

Демонстрация атаки:

Атака AIR-FI базируется на том, что любой электронный компонент при прохождении электрического тока генерирует электромагнитные волны. Управляя определённым образом питанием RAM, можно заставить «линейки» оперативной памяти генерировать электромагнитные волны с частотой, соответствующей частоте сигнала Wi-Fi (2,4 ГГц).

Такой сигнал может принять любое устройство с поддержкой Wi-Fi, находящееся неподалеку от изолированного компьютера, например, смартфон, ноутбук или умные часы.

Максимальная скорость AIR-FI, которую удалось получить в ходе экспериментов, составила 100 бит/сек. При этом принимающее сигнал устройство находилось на расстоянии нескольких метров от скомпрометированной машины.

Атака AIR-FI довольно проста в реализации. Для её проведения злоумышленнику не нужно получать права администратора. Она может работать на любой ОС и даже на виртуальных машинах.

Большинство современных модулей RAM без труда могут излучать сигналы в диапазоне 2,4 ГГц, а старую память для проведения атаки придётся «разогнать».

Из-за программной ошибки адреса электронной почты и даты рождения пользователей Instagram были доступны через интерфейс Facebook Business Suite.

Для эксплуатации ошибки достаточно было подключить свой Instagram к Business Suite, после чего при отправке сообщений можно было видеть адреса их электронной почты и даты рождения, которые должны оставаться конфиденциальным. Email-адрес просто отображался в правой части окна, и получение этой информации не требовало каких-либо манипуляций.

Примечательно, что доступ можно было получить к email-адресу любого пользователя Instagram, включая владельцев закрытых профилей и тех, кто запретил приём личных сообщений.

Поделиться
Отправить
Запинить
 137   27 дн   дайджест   фишинг
Популярное