Rose debug info
---------------

Антифишинг-дайджест № 245 с 22 по 28 октября 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

В масштабной мошеннической кампании UltraSMS более 150 приложений для Android использовались для подписки пользователей на премиальные сервисы без их ведома.

Вредоносное ПО маскировалось под игры, настраиваемые клавиатуры, сканеры QR-кодов, видео- и фоторедакторы, блокировщики спам-звонков, фильтры для камеры и другие программы.

При первом запуске такого приложения использовались данные, полученные со смартфона, включая информацию о местоположении и IMEI, чтобы установить язык в соответствии со страной. Затем приложение предлагало пользователю ввести номер своего мобильного телефона и адрес электронной почты, якобы для получения доступа ко всем функциям.

Получив номер телефона и необходимые разрешения, приложение подписывало жертв на SMS-сервис стоимостью до 40 долларов в месяц. Мошенники получали процент от этой суммы в качестве «партнеров». Авторы приложений создали специальную систему, которая взимала с жертв максимально возможную сумму в зависимости от их местоположения. После подписки на такой платный «сервис» приложение продолжало отображать дополнительные параметры для подписки, либо вообще переставало работать.

Несмотря на постоянные жалобы пользователей и действия со стороны Google, кампания была крайне успешной за счет большого числа использованных приложений. Мошенники просто задействовали для UltimaSMS все новые и новые приложения, обеспечивая себе постоянный приток жертв.

В новой фишинговой кампании злоумышленники используют фишинговый набор из пяти различных компонентов, принадлежащих другим похожим наборам.

Набор получил название TodayZoo из-за использования этих слов в компоненте сбора учетных данных. TodayZoo содержит большие куски кода, скопированные с широко распространенных наборов. В скопированных кусках кода присутствуют маркеры комментариев, мертвые ссылки и другие элементы, оставшиеся от предыдущих наборов.

Схема кампании:

1. Фишинговые письма имитировали послания от Microsoft и использовали технику обфускации шрифтов для маскировки. Например, злоумышленники использовали теги , чтобы незаметно вставить дату сообщения через каждые несколько символов:

2. Приманки социальной инженерии в теле сообщения неоднократно менялись на протяжении нескольких месяцев. Кампании в апреле и мае использовали сброс пароля, а в августе использовались уведомления от факса и сканера.

3. Почти во всех кампаниях TodayZoo целевая страница размещалась у поставщика услуг DigitalOcean и имела несколько ощутимых отличий от стандартной страницы входа в Microsoft 365. Примечательно, что с начала года и до настоящего времени она не претерпела существенных изменений. Отсутствие изменений объясняется тем, что, несмотря на многочисленные изменения в способах доставки, приманках и сайтах комплект TodayZoo оставался практически идентичным, менялись лишь некоторые строки.

4. Целью кампании был сбор учётных данных пользователей Microsoft 365. Введённые на фишинговой странице логин и пароль попадали к злоумышленникам

Атаки и уязвимости

В популярном биллинговом решении BQE Software BillQuick обнаружена уязвимость CVE-2021-42258, которую уже взяли на вооружение операторы вымогательского ПО.

Проблема представляет собой уязвимость внедрения SQL-кода. С её помощью атакующие могут удалённо выполнить код на уязвимой системе.

Уязвимость уже вэксплуатировалась в вымогательской атаке на некую американскую инжиниринговую компанию для получения начального доступа к системам жертвы. Хотя производитель уже устранил CVE-2021-42258, еще восемь уязвимостей, обнаруженных в ходе расследования, все еще остаются неисправленными.

CVE-2021-42258 связана с процессом формирования запросов запросы к базе данных SQL в BillQuick Web Suite 2020 и позволяет злоумышленникам внедрить вредоносный SQL-код через форму авторизации приложения, удаленно запустить командную строку на системе Windows и выполнить код с правами администратора.

В архиваторе WinRAR обнаружена уязвимость CVE-2021-35052, которая позволяет запускать код без ведома пользователя.

Ошибка присутствует в web-компоненте для уведомлений WinRAR web notifier, использующийся для отображения сообщений об истечении пробного периода. Уязвимость затрагивает версии WinRAR до 6.02 beta 1.

Для отображения сообщения об истечении пробного периода web-компонент переадресовывает на HTTPS://notifier.win-rar.com/ . Уязвимость позволяет удаленному неавторизованному перехватывать отправляемые им запросы и провести атаку «человек посередине», создать бэкдор и даже удаленно выполнять код.

Уязвимость существует из-за использования компонентом web notifier неправильно сконфгурированного модуля webbrowser.

Для MITM-атаки через данную уязвимость злоумышленнику нужно создать вредоносную точку доступа Wi-Fi, взломать маршрутизатор и подменить DNS или же находиться с жертвой в одной сети.

Инциденты

Немецкий производитель компонентов для автомобилей Eberspächer Group стал жертвой вымогательской атаки, вызвавшей сбой в работе IT-систем компании.

Из-за инцидента, имевшего место 24 октября, Eberspächer отключила официальные web-сайты, системы электронной почты и производственные системы. В связи с невозможностью координировать производственный процесс и обрабатывать заказы компания отправила часть сотрудников в Германии и Румынии в оплачиваемый отпуск.

Из-за вымогательской атаки на финансовый отдел Папуа-Новой Гвинеи был заблокирован доступ к сотням миллионов долларов иностранной помощи.

Атаке подверглась интегрированная система финансового управления (IFMS) Министерства финансов, которая управляет бюджетом страны и отчетностью для всех уровней и департаментов правительства. Система контролирует доступ к фондам для правительства, которое сильно зависит от иностранной помощи.

Хакеры потребовали от властей выкуп в биткоинах, сумма которого не называется.
Для атаки они использовали несколько критических уязвимостях в государственных системах.

Хакеры похитили более 130 млн долларов США с платформы децентрализованного финансирования Cream Finance.

Несанкционированную крупную транзакцию зафиксировала компания PeckShield, которая занимается вопросами безопасности блокчейнов. Это уже третье хищение средств с платформы, для которого использовалась уязвимость в CREAM v1. Команда проекта подтвердила факт взлома и сообщила, что ведет расследование.

В одной из европейских стран были похищены электронные ключи, при помощи которых происходит выдача цифровых ковид-сертификатов («грин-пассов») в странах ЕС.

Целью похищения данных было изготовление фальшивых ковид-сертификатов. Чтобы не допустить распространения подделок, было принято решение о блокировке похищенных электронных ключей.

Известно, что кража данных произошла не в Италии. Число украденных ключей пока не установлено.

В результате кибератаки на ряде иранских АЗС возникли перебои с отпуском топлива.

Согласно приведённой ParsToday информации, за атакой «может стоять какая-то страна». Национальный центр киберпространства Ирана (Iranian National Cyberspace Center) уточнил, что кибератака повлияла на работу смарт-карт на автозаправочных станциях. В результате АЗС были выведены из строя.

Смарт-карты позволяют купить топливо по более низким ценам. Их применение инициировано властями для борьбы с незаконной торговлей топливом.

Производитель игровых ПК и консольных контроллеров SCUF Gaming International уведомил своих пользователей о том, что в феврале нынешнего года злоумышленники взломали его сайт и внедрили вредоносный скрипт, похищающий данные банковских карт.

Скрипт был внедрен в online-магазин SCUF Gaming после того, как 3 февраля хакеры получили доступ к бэкенд-серверу компании с помощью учетных данных, принадлежащих стороннему вендору. Спустя три недели, 18 февраля, обработчик платежей уведомил SCUF Gaming о непривычной активности, связанной с использующимися в магазине кредитными картами. Еще через месяц на сайте был обнаружен скиммер, который впоследствии был удален.

Работа крупнейшей в Великобритании сети продуктовых магазинов Tesco была парализована в течение двух дней из-за кибератаки.

Покупатели не могли делать заказы на сайте компании, ни в мобильном приложении. Согласно сообщению Tesco, инцидент затронул поисковый механизм, а злоумышленники пытались «вмешаться в работу систем».

Никаких подробностей компания больше не представила. В частности, не были установлены временные рамки для исправления проблемы, также не были названы возможные подозреваемые. Тем не менее, администрация Tesco уверила своих клиентов в том, что их данные не пострадали.

На незащищённом сервере ElasticSearch, принадлежащем сайту IGBlade.com, который обнаружены данные миллионов профилей пользователей Instagram и TikTok.

IGBlade специализируется на сборе данных пользователей социальных сетей, а затем предоставляет эти сведения своим клиентам для «глубокого понимания активности аккаунтов в Instagram и TikTok». Однако из-за некорректной настройки сервер IGBlade слил более 2,6 млн записей.

Один из скриншотов профилей в открытой базе.

Среди раскрытых данных были, например, скриншоты профилей и прямые ссылки на них в соцсетях. Также на сервере хранилась персональная информация, хотя правила большинства площадок запрещают её сбор.

Скомпрометированной оказалась следующая информация:

  • Полные имена пользователей.
  • Онлайн-псевдонимы.
  • Аватары.
  • Биография профилей.
  • Адреса электронной почты.
  • Телефонные номера.
  • Число подписчиков и подписок.
  • Данные геолокации.

19 октября на одном из форумов даркнета был выставлен на продажу архив базы ГИБДД, содержащий 50 млн строк данных о водителях Москвы и Подмосковья.

В базе содержатся имена, даты рождения, номера телефонов, VIN-коды и номера машин, их марки и модели, а также год постановки на учет. Продавец утверждает, что получил информацию от инсайдера в ГИБДД, но эксперты полагают, что утечка могла произойти на уровне региональных информационных систем, которые интегрируются с базами ГИБДД для выставления штрафов за нарушение правил парковки.

Поделиться
Отправить
Запинить
 189   2021   дайджест   фишинг