Представляем новости об актуальных технологиях фишинга и других атаках на человека c 7 по 13 июля 2017 года.

Андрей Жаркевич
редактор, ИТ-руководитель

Сайты, мессенджеры и почта

Новая атака на компании энергетического сектора использует фишинг для хищения учётных данных пользователей. Письмо, которое получают жертвы, содержит вложенный документ Word с безобидным текстом:

Сам документ не содержит никакого подозрительного кода, но при открытии загружает с SMB-сервера злоумышленников шаблон, что позволяет получить учетные данные пользователя, а из шаблона загрузить потенциально вредоносные скрипты:

Вредоносные программы

Кроссплатформенный троян Adwind атакует предприятия аэрокосмической промышленности и распространяется с помощью спам-кампании:

По ссылке из письма скачивается Program Information file (.PIF), который обычно определяет, как приложение MS-DOS может запускаться в Windows, а в данном случае используется как загрузчик основного вредоносного кода:

Троян написан на Java и предоставляет преступникам удалённый доступ к зараженной системе. Целью атаки стали предприятия аэрокосмической отрасли преимущественно в Швейцарии, Австрии, Украине и США.

Банковский троян OSX_DOK распространяется с помощью фишинговых писем, содержащих вредоносные файлы с расширениями .zip и .docx.

Файл .zip содержит вредоносное приложение для macOS, а файл .docx — троян Werdlod, который используется для атак на Windows.

Приложение Dokument.app внутри .zip-архива в интерфейсе macOS выглядит как документ MS Word:

Оказавшись в системе, оно удаляет стандартное приложение App Store и запускает поддельное окно обновления macOS, запрашивающее пароль администратора:

Получив учетные данные, троян инициирует загрузку других приложений и устанавливает в систему фальшивые сертификаты для атаки «человек посередине».

Неизвестные злоумышленники создали подделку под Tor-браузер и распространяют её среди доверчивых пользователей, якобы чтобы предоставить им доступ к подпольным торговым площадкам Даркнета:

Вредоносное приложение, копирующее Tor, носит имя Rodeo Browser и распространяется через ролики на YouTube, где неискушенных пользователей учат, как «попасть в даркнет» и приобрести там запрещенные законом товары.

Обнаружена необычная версия известного вредоносного кода Neutrino, ориентированная на платежные терминалы. Проникнув в POS-терминал, Neutrino связывается с управляющим сервером, а затем передаёт ему данные платёжных карт клиентов.

Криптовалюты

Специалисты Антифишинга сообщают о новых атаках на пользователей MyEtherWallet — инструмента с открытым исходным кодом для создания Ethereum-кошельков и выполнения транзакций.

Атаки происходят через мошенническую рекламу и фишинговые ссылки в мессенджерах:

сравните адрес настоящего сайта и дополнительную букву i в фишинговом URL

По ссылке пользователей ждет фишинговый сайт, который полностью копирует дизайн настоящего сайта и настойчиво предлагает «включить двухфакторную аутентификацию», в ходе чего украдет аккаунт пользователя:

Подделку легко узнать, если перейти на https-версию сайта: мошенники не потрудились заменить стандартный сертификат, в результате чего браузеры показывают ошибку:

Мошенники рассылают фишинговые сообщения от имени создателя Ethereum. В сообщении говорится, что Ethereum-кошелек заблокирован из-за ошибки, и чтобы его разблокировать, нужно пройти по ссылке в письме:

Real Vitalik got a message from Scam Vitalik. And no, I'm not clicking on that link, and if you receive this message you shouldn't either. pic.twitter.com/tO2eacerSs

— Vitalik Buterin (@VitalikButerin) 11 июля 2017 г.

Мобильная безопасность

Новый Андроид-троян SpyDealer способен красть сообщения из популярных программ, в том числе Facebook, WhatsApp, Skype, Viber, Telegram и других с помощью функций доступности Андроид.

SpyDealer также собирает личную информацию, включая номер телефона, IMEI, IMSI, SMS, MMS, контакты, учетные записи, историю звонков, местоположение и связанную с Wi-Fi информацию. Троян может отвечать на звонки, записывать аудио и видео, делать снимки с камеры устройства, контролировать местоположение и делать снимки экрана. Программа может получить привилегии root и закрепиться в системе при помощи коммерческого приложения Baidu Easy Root.

Предполагаемый первичный вектор заражения — скомпрометированные беспроводные сети, а большинство жертв имеют версию Андроид от 2.2 до 4.4.

Вымогатель LeakerLocker экран Андроид-устройств и угрожает жертве разослать контактам всю личную информацию с устройства, включая снимки с камеры и историю просмотра в браузере, если жертва не заплатит выкуп в 50 долларов.

Вектор заражения — мошеннические приложения из Плей-маркета Wallpapers Blur HD и Booster & Cleaner Pro, каждое из которых было загружено несколько тысяч раз.

Новое вредоносное ПО для Андроид-смартфонов Xafekopy незаметно подписывает своих жертв на различные платные сервисы через клики по ссылкам (в том числе с обходом капчи) или через СМС-сообщения.

Троян распространяется в рекламных сетях под видом полезных приложений, при этом в его исполняемых файлах действительно есть какой-нибудь «полезный функционал». Таким образом, магазинам приложений и модераторам рекламных сетей становится сложнее идентифицировать программу как вредоносную.

Из-за халатности одного из сотрудников AT&T злоумышленники похитили средства с PayPal-аккаунта американского iOS-разработчика Джастина Уильямса, защищенного двухфакторной аутентификацией.

1. Неизвестный злоумышленник несколько раз звонил в поддержку AT&T и просил операторов колл-центра переключить на него аккаунт Уильямса.
2. Сначала сотрудники оператора связи не поверили мошеннику, который не знал даже секретного кода, и блокировали поступившие от него запросы.
3. Однако чуть позже кто-то из сотрудников AT&T смягчился и, нарушив правила, согласился переназначить номер на новую SIM-карту, как просил злоумышленник.
4. После этого атакующий получил возможность перехватывать текстовые сообщения и звонки, поступающие на номер Уильямса.