Представляем новости об актуальных технологиях фишинга и других атаках на человека c 23 февраля по 1 марта 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель

Почта, сайты и мессенджеры

Из-за ошибки в Facebook вместе с приглашением на страницу пользователи получали имя и другие данные пригласившего их администратора:

Исследователь, обнаруживший ошибку, получил от Facebook 2500 долларов США, а проблема вскоре была устранена.

Крупные американские предприятия из списка Fortune 500 стали жертвами массовой фишинговой кампании:

В фишинговом письме содержалась ссылка, похожая на вложенный деловой документ, которая направляла жертву на поддельный портал DocuSign. Чтобы письма выглядели правдоподобно, мошенники включали в них какие-нибудь сведения о нужной компании, находящиеся в открытом доступе:

По ссылке пользователю предлагалось выбрать своего почтового провайдера и ввести данные для доступа к почте, которые затем попадали к преступникам:

Затем, через поддельные письма ответственным сотрудникам, злоумышленники вынуждали жертв совершать денежные переводы на сторонние счета.

Вредоносное ПО

Зафиксировано массовое распространение вредоноса, который использует уязвимости в Adobe Flash Player.

Для распространения мошенники рассылают письма, содержащие ссылку на документ MS Word. При его просмотре пользователю рекомендуется отключить защищенный режим (разрешить редактирование):

При этом исполняется вредоносный шелл-код, который загружает и запускает на выполнение DLL-модуль.

Криптовымогатель Data Keeper работает по принципу «Вымогатель-как-сервис» (Ransomware-as-a-Service) и предлагается бесплатную копию всем, кто поможет в распространении.

Чтобы получить свою копию вируса, нужно зарегистрироваться на сайте, создать вредоносные файлы и организовать их распространение.

После запуска на компьютере жертвы Data Keeper шифрует все файлы и требует выкуп в биткоинах. Распространители вируса получают процент от выкупа.

Троян Coldroot для macOS не определяется антивирусными сканерами, внедряет в систему клавиатурный шпион и средство для удалённого доступа:

Coldroot выдает себя за аудиодрайвер Apple com.apple.audio.driver2.app, который при активации выводит стандартное окно аутентификации для ввода учетных данных macOS. Пользователь вводит свои данные, после чего вирус модифицирует системную базу данных TCC.db и выдаёт себе права для перехвата клавиатурного ввода.

Шифровальщик Thanatos стал первым вымогателем, который принимает выкуп в криптовалюте Bitcoin Cash.

Помимо Bitcoin Cash, шифровальщик предлагает жертве заплатить выкуп в Bitcoin или Ethereum. Код вредоноса содержит ошибки, из-за которых велика вероятность полной потери зашифрованных данных.

Вымогатель Annabelle имеет огромное количество вредоносных функций и требует около 55 тысяч рублей в биткоинах в качестве выкупа.

Кроме шифрования документов, Annabelle блокирует системы безопасности и службы Windows, отключает Защитника Windows и файрволл. На экран загрузки ОС размещается картинка с контактами создателя вредоноса и несколькими словами признательности неизвестным «коллегам» за вдохновение и идеи.

Вредонос RedDrop для Android способен использовать микрофон устройства для скрытой записи всего, что происходит вокруг, а затем загружать полученное аудио в Dropbox или Google Drive.

Проникнув на устройство пользователя, RedDrop собирает информацию о зараженном гаджете и передает ее на управляющий сервер, а затем устанавливает семь дополнительных приложений, отвечающих за другую вредоносную функциональность. После запуска зараженного приложения, малварь незаметно подписывает жертву на платные SMS-сервисы.

Смартфоны

Компания Cellebrite добавила в перечень своих услуг снятие защиты устройств Apple, включая iPhone, iPad и iPod под управлением iOS от 5 до 11 версии.

Услуга по разблокировке всех современных устройств Apple стоит 1500 долларов США. Для её получения устройство необходимо отправить в компанию.

Уязвимости

Уязвимости в BitTorrent-клиентах uTorrent Web и uTorrent Classic позволяют внедрить вредоносное ПО на компьютер пользователя и просматривать историю загрузок:

Атакующий может воспользоваться уязвимостью, спрятав в веб-страницах определенные команды, которые обращаются к RPC-серверам uTorrent. С их помощью можно загрузить вредоносную программу в папку на целевой системе или получить доступ к истории загрузок пользователя.

Криптовалюты

У Стива Возняка, соучредителя Apple, мошенническим путём похитили семь биткоинов. Кто-то купил их у него через интернет с помощью кредитной карты, а затем отменил платежную операцию. Кредитная карта оказалась краденой, поэтому получить деньги назад было невозможно. Возняк рассказал, что купил биткоины, когда они стоили 700 долларов, потери из-за кражи составили более 70 000 долларов.

Неизвестные злоумышленники похитили создателя криптовалюты Prizm Юрия Майорова, возили его некоторое время по городу, а затем заставили его перевести на другой кошелек 300 биткоинов. Кроме биткоинов у Юрия Майорова отняли $20 000, ноутбук и несколько iPhone.