как поведение людей влияет на безопасность

ДайджестыСтатьиСписок постов

Позднее Ctrl + ↑

Антифишинг-дайджест № 202 с 18 по 24 декабря 2020 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Инциденты

На хакерском форуме обнаружена база с данными владельцев аппаратных кошельков Ledger.

База содержит сведения, полученные в результате утечки данных, о которой компания Ledger сообщила летом 2020 года. Тогда из-за уязвимости на сайте производителя злоумышленники получили доступ к контактной информации пользователей.

Опубликованный архив содержит два текстовых файла:

  • All Emails (Subscription).txt, в котором имеются адреса электронной почты более 1 млн человек, подписавшихся на рассылку Ledger;
  • Ledger Orders (Buyers) only.txt с именами и почтовыми адресами 273 тысяч покупателей устройств Ledger.
Фишинговое письмо

Похищенные данные уже используются для фишинговых атак против владельцев Ledger. С октября 2020 года они получают мошеннические письма, замаскированные под официальное предупреждение об утечке данных. Пользователю предлагают загрузить новую версию Ledger Live, якобы для защиты своих криптовалютных активов с помощью нового PIN-кода.

Фальшивое приложение просит ввести кодовую фразу.

Если пользователь попадается на удочку злоумышленников, загружает и устанавливает фальшивое приложение Ledger Live, его попросят ввести кодовую фразу. Полученная информация сразу же отправляется злоумышленникам, которые используют её для кражи криптовалюты жертвы.

Неизвестные хакеры похитили почти 5% активов британской криптовалютной биржи EXMO, скомпрометировав горячие кошельки. Суточный объем торгов биржи составляет 2273 BTC (почти 52 000 000 долларов США), а количество активных трейдеров — более 27 тыс.

Представители EXMO пишут, что 21 декабря 2020 года в 2:27:02 UTC были замечены подозрительные операции по выводу больших объёмов средств. Сейчас на бирже приостановлены все операции, а пользователей просят не пополнять депозиты.

Общая сумма ущерба может составить около 10 500 000 долларов США.

Сотрудники телекомпании «Аль-Джазира» и журналист лондонского телеканала «Аль Араби» пострадали от взлома, проведённого с помощью легального инструмента Kismet, разработанного израильской компанией NSO Group.

Kismet использует цепочку из нескольких уязвимостей, среди которых имеется уязвимость нулевого дня в iOS, не требующая взаимодействия с пользователем. В результате атаки устройства жертв были заражены вредоносным ПО Pegasus.

По имеющимся данным, NSO Group продала Kismet по крайней мере четырем организациям, которые использовали его для взлома личных iPhone сотрудников «Аль-Джазира» и «Аль Араби» в июле и августе 2020 года. Дальнейшее расследование показало, что атаки начались в октябре 2019 года.

Когда атаки были обнаружены, выяснилось, что инструмент Kismet работал против новейших на тот момент устройств Apple. 0-day уязвимость перестала представлять опасность лишь после выпуска iOS 14 осенью 2020 года.

Производитель ароматизаторов Symrise стал жертвой кибератаки вымогателя Clop, в результате которой злоумышленники украли 500 ГБ незашифрованных файлов и зашифровали почти 1 тыс. компьютеров компании.

В результате инцидента Symrise пришлось отключить компьютерные системы, чтобы предотвратить распространение атаки. Компания также временно остановила производство и закрыла объекты для расследования масштабов атаки.

Для взлома сети Symrise преступники использовали фишинговые письма, содержащие вредоносные вложения. Получив доступ к сети, они похитили 500 ГБ незашифрованных файлов перед запуском шифрования.

Размещённые на портале утечек в качестве доказательства данные включают сканы паспортов, бухгалтерские документы, аудиторские отчёты, конфиденциальную информацию о косметических ингредиентах и электронные письма.

Атаки и уязвимости

В тонких клиентах Dell Wyse обнаружены критические уязвимости, эксплуатация которых позволяет запустить вредоносный код и получить доступ к произвольным файлам.

Тонкий клиент Dell Wyse 3040 — одна из уязвимых моделей.

Уязвимости CVE-2020-29492 и CVE-2020-29491 содержатся в компонентах ThinOS — операционной системы, под управлением которой работают тонкие клиенты Dell Wyse. Для удалённого управления ThinOS Dell рекомендует настроить FTP-сервер, с которого на устройства будут загружаться обновления прошивок, пакетов и конфигураций.

Оказалось, что подключиться к FTP можно с использованием анонимной учётной записи (anonymous). При этом ЭЦП Dell были подписаны только прошивка и пакеты. Файлы конфигурации мог изменять кто угодно.

Уязвимости содержатся в 11 моделях тонких клиентах с ThinOS версии 8.6 и старше.

Атака AIR-FI позволяет превратить оперативную память компьютера (RAM) в точку доступа Wi-FI и извлечь данные даже с физически изолированных систем.

Демонстрация атаки:

Атака AIR-FI базируется на том, что любой электронный компонент при прохождении электрического тока генерирует электромагнитные волны. Управляя определённым образом питанием RAM, можно заставить «линейки» оперативной памяти генерировать электромагнитные волны с частотой, соответствующей частоте сигнала Wi-Fi (2,4 ГГц).

Такой сигнал может принять любое устройство с поддержкой Wi-Fi, находящееся неподалеку от изолированного компьютера, например, смартфон, ноутбук или умные часы.

Максимальная скорость AIR-FI, которую удалось получить в ходе экспериментов, составила 100 бит/сек. При этом принимающее сигнал устройство находилось на расстоянии нескольких метров от скомпрометированной машины.

Атака AIR-FI довольно проста в реализации. Для её проведения злоумышленнику не нужно получать права администратора. Она может работать на любой ОС и даже на виртуальных машинах.

Большинство современных модулей RAM без труда могут излучать сигналы в диапазоне 2,4 ГГц, а старую память для проведения атаки придётся «разогнать».

Из-за программной ошибки адреса электронной почты и даты рождения пользователей Instagram были доступны через интерфейс Facebook Business Suite.

Для эксплуатации ошибки достаточно было подключить свой Instagram к Business Suite, после чего при отправке сообщений можно было видеть адреса их электронной почты и даты рождения, которые должны оставаться конфиденциальным. Email-адрес просто отображался в правой части окна, и получение этой информации не требовало каких-либо манипуляций.

Примечательно, что доступ можно было получить к email-адресу любого пользователя Instagram, включая владельцев закрытых профилей и тех, кто запретил приём личных сообщений.

 137   27 дн   дайджест   фишинг

Антифишинг-дайджест № 201 с 11 по 17 декабря 2020 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Вредоносное ПО

Обнаружена масштабная кампания по распространению вредоноса Adrozek, в ходе которой в популярные браузеры добавляется расширение, модифицирующее рекламную выдачу поисковиков и похищающее персональные данные.

Расширение устанавливается в автоматическом режиме при посещении вредоносных сайтов. Преступники создали для этого ботнет из 159 уникальных доменов, причём на каждом из них были тысячи поддоменов, задействованных в операции: в среднем по 17300, однако на одном размещалось почти 250 000 URL.

Схема инфицирования Adrozek.

Примечательно, что некоторые домены распространяли безобидные файлы, видимо, для того, чтобы поднять рейтинг доверия.

После запуска загруженного с сайта файла он создавал в папке %TEMP% файл с именем, напоминающим софт для работы с музыкой, например Audiolava.exe, QuickAudio.exe или даже converter.exe.

Этот файл устанавливался легальным образом как приложение и как сервис и был доступен через стандартную системную утилиту «Программы и компоненты».

После установки вредонос изменял следующие настройки браузеров:

  • DLL библиотеки браузера,
  • разрешал запуск расширений без соответствующих прав,
  • отключал функцию обновления.

В браузере Firefox Adrozek проявлял дополнительную активность: загружал в папку %TEMP% файл, который собирал информацию об устройстве и отправлял преступникам.

Пример похищаемой вредоносом информации.

Мобильная безопасность

Вредоносное приложение Goontact заманивает пользователей, желающих пообщаться с девушками, и крадёт все данные с их мобильных устройств.

Кампания по внедрению на устройства пользователей начинается с поисковой рекламы: пользователям, которые интересуются эскорт-услугами, знакомствами и подобными темами, предлагается перейти на специальный сайт.

На сайте жертвам предлагают перейти в чат в KakaoTalks или Telegram. В чате операторы Goontact разными способами убеждают жертву установить на устройство приложение и запустить его.

В качестве источника для загрузки и установки предлагаются специальные сайты, полностью имитирующие интерфейс AppStore и Play Market. Примечательно, что iOS-версия вредоноса распространяется с помощью механизма IPA, который позволяет загружать легальные AppStore-приложения со сторонних сайтов, если они содержат валидную электронную подпись зарегистрированной компании-разработчика.

Создателям Goontact удалось получить для своего приложения легитимную подпись, поэтому приложение успешно устанавливается.

Как только жертва устанавливает приложение, содержимое адресной книги, список установленных приложений, SMS и другая информация передаются на управляющий сервер.

Атаки и уязвимости

Банковские мошенники использовали эмуляторы мобильных устройств для хищения миллионов долларов со счетов жертв.

Схема атаки

  1. С помощью фишинга и вредоносного ПО собирались логины и пароли владельцев счетов, а также полные характеристики их мобильных устройств.
  2. Эти параметры использовались для создания виртуальных двойников устройств жертв.
  3. На виртуальные образы устройств добавлялись скрипты для автоматизации взаимодействия с системами электронного банкинга.
  4. Запускалась «волна» хищений, в ходе которой целая сеть из нескольких тысяч виртуальных «смартфонов» переводила небольшие суммы денег на счета преступников.
  5. Как только деньги на счёте одной из жертв заканчивались, образ устройства исключали из «волны» и удаляли вместе со всем логами.
  6. По мере завершения «волны» готовился новый набор реквизитов для следующей, и операция повторялась.

Инциденты

В открытом доступе обнаружено более 45 млн медицинских изображений и сопутствующей информации, позволяющей установить личности пациентов. Такие данные могут использоваться для шантажа, мошенничества и других злонамеренных целей.

Утёкшие данные включают конфиденциальные медицинские записи, рентгеновские компьютерные томограммы и сканы МРТ. Медицинские изображения содержали до 200 строк метаданных на запись, включая имя, дату рождения и адрес пациента, а также его рост, вес и диагноз.

В большинстве случаев доступ к этой информации не требовал учетных данных, а на порталах, предусматривающих регистрацию, войти можно было, не заполняя поля логина и пароля.

Примечательно, что обнаруженные данные принадлежат самым разным медицинским учреждениям в 67 странах, включая Россию, США, Великобританию, Францию ​​и Германию. По количеству уникальных публично доступных медицинских изображений Россия занимает совсем не почётное третье место, да и по количеству незащищённых хранилищ входит в пятёрку антилидеров.

Израильский разработчик процессоров искусственного интеллекта Habana Labs стал жертвой вымогателя Pay2Key.

Операторы вымогательского ПО опубликовали на своем сайте в даркнете часть украденных файлов и сообщили, что у Habana Labs есть 72 часа, чтобы остановить дальнейшую утечку данных.

Среди опубликованных сведений — информация об учетной записи домена Windows и зоне DNS для домена, бизнес-документы и скриншоты исходного кода. Хакеры заявляют, что им удалось получить доступ к информации о разработанном компанией Intel новом ускорителе искусственного интеллекта Gaudi.

Неизвестно, какие именно требования выкупа выдвинули киберпреступники, однако в других инцидентах с участием Pay2Key он составлял от 7 до 9 биткоинов (135-173 тысячи долларов США по текущему курсу).

Pay2Key проникает в сеть организаций через RDP-соединение (протокол удаленного рабочего стола) и способен зашифровать сеть жертвы буквально в течение часа.

В результате взлома британского подразделения сети ресторанов Subway злоумышленники разослали участникам программы лояльности Subcard вредоносные письма, якобы содержащие данные о заказах, а на самом деле приводящие к загрузке трояна TrickBot.

Фишинговые письма, полученные пользователями, содержали реальные имена клиентов и были направлены на адреса электронной почты, которые некоторые создавали специально для Subway, поэтому компанию сразу заподозрили во взломе.

Проведённое внутреннее расследование установило, что компрометации учётных записей участников программы лояльности, а фишинговая рассылка стала результатом взлома системы управления почтовыми кампаниями Subway. Это и позволило создать мошенническую рассылку, содержащую имена и адреса электронной почты пользователей. Банковские счета и данные карт в системе Subway не хранятся.

Учетные данные медицинских учреждений для подключения к закрытой медицинской информационной системе утекли в интернет через строку поиска Яндекса.

Проблема была связана с тем, что ссылки и данные для авторизации в системе рассылаются уполномоченным организациям в виде Excel-таблицы, содержащей строки

sz.blabla.ru n <логин> p <пароль>

Сотрудники медучреждений копировали строки из таблицы и вставляли их в поисковую строку Яндекса. Яндекс принимал строки в качестве запросов и затем подсказывал их любым пользователям, предоставляя любому желающему доступ к конфиденциальным данным.

По информации от Яндекса в настоящее время проблема со стороны поисковика устранена.

 122   1 мес   дайджест   фишинг

Антифишинг-дайджест № 200 с 4 по 10 декабря 2020 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошеннические кампании

Для проведения фишинговой кампании, ориентированной на пользователей криптовалютного кошелька MetaMask, преступники использовали рекламу Google.

Схема хищения:

  1. Пользователь видел в объявлениях Google рекламу MetaMask.
  2. Кликнув на баннер, он оказывался на фишинговой странице, которая предлагала создать новый кошелёк или импортировать имеющийся.
  3. Если пользователь соглашается создать кошелёк, его переадресовывали на на оригинальный сайт MetaMask.io.
  4. Если же пользователь выбирал «Импорт», у него запрашивалась ключевая фраза от существующего кошелька. Как только он её вводил, она пересылалась злоумышленнику, который открывал кошелёк и переводил средства с него себе.

Для кампании мошенники зарегистрировали на NameCheap домены maskmefa[.]Io, maskmeha[.]io, installmetamask [.] com и meramaks [.] io, а для продвижения купили рекламную кампанию в Google, чтобы привлечь пользователей, которые ищут MetaMask.

Мошенники рассылают фальшивые уведомления о долгах за услуги ЖКХ, чтобы похитить данные банковских карт у россиян.

Схема кампании:

  1. Преступники рассылают по электронной почте уведомления о якобы возникших в течение 2020 года долгах за услуги ЖКХ в размере от 10 тыс. до 20 тыс. руб. и просят оплатить в online-режиме поддельные квитанции.
  2. Если жертва переходит по ссылке из электронных писем и пытается оплатить «квитанцию» на мошенническом сайте, мошенники получают доступ к данным его банковской карты.

1. Если человек игнорирует письмо, ему звонят якобы от имени управляющей компании для проверки совершенных ранее в этом году платежей, убеждают в наличии «долга по квартплате» и пытаются узнать способы оплаты и реквизиты карты, с помощью которой проводилась оплата. После этого жертве предлагают сделать пробную транзакцию и сообщить SMS-код.

В качестве базы для кампании мошенники используют тот факт, что в конце года управляющие компании традиционно делают перерасчет за ЖКУ, особенно если граждане несвоевременно передавали показания счетчиков воды и электроэнергии.

Умные устройства

Умные колонки, подобные Google Home и Amazon Echo, могут использоваться для подслушивания PIN-кодов или паролей, набираемых на находящихся поблизости мобильных устройств.

Атака основана на анализе звуков, которые издаёт мобильное устройство, когда пользователь вводит пароль или PIN-код. Оказалось, что когда смартфон находится на расстоянии до 20 сантиметров от смарт-колонки, точность определения кода в трёх попытках составляет 76% с трех попыток. Однако с увеличением расстояния точность уменьшается, например, на расстоянии 50 сантиметров она уменьшилась более чем втрое и составила 20%.

Вероятность использования атаки в реальной жизни невелика из-за необходимости физического доступа к устройству или взлома сервера производителя колонки, на котором хранятся аудиозаписи. А чтобы защититься от атаки, вполне достаточно отключить озвучку нажатий клавиш в настройках смартфона.

Атаки и уязвимости

В домене team.microsoft.com обнаружена XSS-уязвимость, которая могла использоваться для удаленного выполнения кода в десктопном приложении Microsoft Teams.

Для эксплуатации проблемы требовалось отправить специально подготовленное сообщение любому пользователю или каналу в Teams, чтобы запустить эксплойт в фоновом режиме без взаимодействия с человеком.

Удалённое выполнение произвольного кода возможно в десктопных приложениях на всех поддерживаемых платформах (Windows, macOS, Linux). Выполнение кода дает злоумышленнику полный доступ к устройствам жертвы, а через эти устройства и к внутренним сетям компании.

Уязвимость обладает потенциалом червя, то есть позволяет злоумышленнику автоматически отправлять полезную нагрузку эксплойта другим пользователям или каналам, без какого-либо взаимодействия с ними.

В приложении PlayStation Now для Windows обнаружены опасные уязвимости, эксплуатация которых позволяет злоумышленникам выполнить произвольный код на устройствах под управлением Windows с уязвимыми версиями приложений.

Для успешной эксплуатации уязвимости нужно убедить пользователя PS Now открыть вредоносный сайт по ссылке, отправленной через фишинговые электронные письма, форумы, каналы Discord. После открытия ссылки вредоносные скрипты на сайте подключаются к локальному серверу WebSocket на компьютере жертвы и передают приложению AGL Electron команду на загрузку вредоносного кода с другого сайта и запуск его на целевом устройстве.

Источник уязвимости — приложение AGL, которое не проверяет, какие URL-адреса загружаются.

Инциденты

Неизвестные взломали сеть постаматов PickPoint и открыли открыли двери ячеек в пунктах выдачи посылок. В результате хранившиеся в них отправления оказались доступны любому желающему. PickPoint сообщает, что в результате атаки пострадали 2732 постамата.

Атака была быстро обнаружена, и в течение 20 минут с момента взлома разработчики деактивировали около 80% из 2732 заражённых постаматов, благодаря чему дверцы ячеек не открылись.

В настоящее время на постаматы устанавливается новое программное обеспечение. Гендиректор PickPoint Надежда Романова обратилась в полицию с просьбой о возбуждении уголовного дела.

По заявлению компании, причиной инцидента стала кибератака неустановленных лиц на провайдеров, которые обеспечивают постаматам доступ в интернет В качестве наиболее вероятных векторов кибератаки называются уязвимости инфраструктуры и фишинговые письма.

В свободный доступ попали файлы с персональными данными 300 тыс. москвичей, переболевших коронавирусной инфекцией.

Объём утекших данных в распакованном виде составляет 941 Мб. Среди 2493 файлов имеются приказы, снимки экранов, дистрибутивы программ с инструкциями по настройке, и, конечно же, персональные данные. Большая часть сведений относится к марту-маю 2020, но встречаются сведения от 30.10.2020.

В одном из самых объёмных Excel-файлов, содержащих данные о более чем 105 тыс. человек, практически полностью заполнены столбцы:

  • Фамилия;
  • Имя;
  • Отчество;
  • Дата рождения;
  • Адрес места проживания (и прописка, и уточнённый фактический);
  • Телефон(ы);
  • Когда и по какому адресу приезжала скорая;
  • Степень тяжести состояния на момент приезда;
  • Решение (госпитализация, обсервация, домашний карантин и т. д.);
  • Если госпитализация, то в какой стационар.

Кроме этих столбцов там имеются и другие, по которым можно восстановить хронологию событий по конкретному человеку, узнать номера полисов ОМС и подробный диагнозы. В сводном отчёте содержится 104 столбца с данными.

По мнению экспертов, опасность данной утечки в том, что теперь мошенники получил солидный массив информации, которую буду использовать

  • для обогащения профилей пользователей — чем больше аспектов жизни о человеке собрано, тем дороже потом можно такой профиль продать.
  • чтобы втереться в доверие при мошеннических атаках.

В результате кибератаки на европейское агентство лекарственных средств (EMA), злоумышленникам удалось похитить документацию по вакцине Pfizer.

На официальном сайте EMA уже опубликовано уведомление, в котором подтверждается факт атаки, а также сообщается о подключении к расследованию инцидента правоохранителей.

Пример целевого фишингового письма. Источник: IBM X-Force.

О возможных атаках на цепочку поставок вакцины предупреждали специалисты IBM X-Force в начале декабря 2020 года. Главным способом для проведения атаки они указывали целевой фишинг, ориентированный на высшее руководство фармкомпаний и других участников процесса поставки вакцины.

Компания Netgain, предлагающая облачные и хостинговые услуги в сфере здравоохранения и бухгалтерского учета, стала жертвой вымогательской атаки, в результате которой ей пришлось отключить несколько центров обработки данных.

Атака произошла 24 ноября 2020 года, а 4 декабря клиенты стали получать от Netgain уведомления, в которых говорилось, что из-за инцидента они могут столкнуться со «сбоями в работе или замедлением работы систем», поскольку пришлось отключить центры обработки данных, чтобы изолировать угрозу и остановить атаку шифровальщика.

5 декабря компания Crystal Practice Management, один из крупнейших потребителей услуг Netgain, сообщила своим клиентам, что в результате атаки пострадали тысячи серверов Netgain, и команда работает круглосуточно, чтобы как можно скорее возобновить обслуживание.

В результате атаки шифровальщика DoppelPaymer на мексиканское подразделение Foxconn была остановлена одного из заводов компании.

Вероятной целью хакеров был завод Foxconn CTBG MX, расположенный в Сьюдад-Хуарес, Мексика. После атаки сайт завода не работал и до сих пор показывает посетителям ошибку.

Злоумышленники требуют у компании выкуп в размере 1804,0955 BTC — около 34 686 000 долларов США по текущему курсу.

В разговоре с журналистами операторы DoppelPaymer подтвердили, что они атаковали предприятие Foxconn в Северной Америке 29 ноября и не пытались атаковать всю компанию. Злоумышленники заявили, что зашифровали около 1200 серверов, украли 100 ГБ незашифрованных файлов и удалили 20-30 Тб резервных копий.

Неустановленные злоумышленники проникли во внутреннюю сеть компания FireEye, одного из крупнейших поставщиков защитных решений, и похитили набор инструментальных средств, который эксперты FireEye используют для тестирования сетей своих клиентов.

Глава FireEye Кевин Мандиа (Kevin Mandia) заявил, что атакующие искали информацию о некоторых госзаказчиках компании, однако их поиск не увенчался успехом. По словам Мандиа, атака принципиально отличается от десятков тысяч инцидентов, с которыми компания сталкивалась на протяжении многих лет.

Злоумышленники использовали принципиально новые комбинации методов обхода защиты и маскировки от криминалистических инструментов, с которым эксперты компании до сих пор не сталкивались. Для защиты от обнаружения были задействованы несколько тысяч IP-адресов, ранее никогда не фигурировавших в атаках. Использование этих адресов позволило атакующим надежно скрыть свое местонахождение.

Группа хакеров Unidentified TEAM скомпрометировала автоматизированную систему управления объекта водоснабжения в Израиле.

Хакеры получили доступ к человеко-машинному интерфейсу (ЧМИ), который был непосредственно подключен к интернету без всяческой аутентификации или другого защитного механизма. В результате они смогли управлять давлением воды, менять температуру и изменять другие параметры работы объекта с помощью интернет-браузера.

Объектом атаки оказалось относительно небольшое водохранилище объемом примерно 4-6 млн кубометров. Исследователи не смогли сказать точно, какой урон могли бы нанести хакеры, но отметили, что «потенциал ущерба очень высок».

Узнав об инциденте, владелец скомпрометированной системы включил аутентификацию для подключения к ЧМИ, не ограничив доступ к ней через интернет.

Канадская компания TransLick, обслуживающая общественный транспорт в канадском Ванкувере, стала жертвой вымогательской атаки, в результате которой жители города несколько дней не могли пользоваться транспортными картами Compass или оплачивать новые билеты через билетные киоски Compass.

Сначала TransLink сообщила, что случившееся — результат технических неполадок, но затем признала, что стала мишенью вымогательской атаки, направленной на ИТ-инфраструктуру.


Вымогательская распечатка Egregor.

Злоумышленники распечатали сообщения с требованием выкупа на печать на всех доступных принтерах компании, что является одним из характерных признаков вымогателя Egregor.

 130   1 мес   дайджест   фишинг
Ранее Ctrl + ↓