Rose debug info
---------------

как поведение людей влияет на безопасность

ДайджестыСтатьиСписок постов

Позднее Ctrl + ↑

Антифишинг-дайджест № 214 с 19 по 25 марта 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Очередная мошенническая кампания использует фальшивые службы доставки для  хищения денег и данных банковских карт граждан.

Схема кампании:

1. Cоздание лота-приманки. Злоумышленники, используя новые или взломанные аккаунты на интернет-сервисах бесплатных объявлений, размещают объявления о продаже по заниженным ценам востребованных товаров: фотоаппаратов, игровых приставок, ноутбуков, смартфонов.

2. Контакт с жертвой. После того, как пользователи сервисов выходят на контакт со злоумышленниками с помощью внутреннего чата на самой интернет-платформе, им предлагается уйти в мессенджеры Whatsapp или Viber для дальнейшего обсуждения вопроса покупки и доставки.

3. Подготовка к сделке. В чатах мессенджеров злоумышленники запрашивают у жертвы ФИО, адрес и номер телефона якобы для заполнения формы доставки на ресурсах курьерской службы.

4. Оплата на фишинговом ресурсе. Далее пользователям предоставляют ссылки на фишинговые ресурсы, которые полностью копируют официальные страницы популярных курьерских служб. По ссылке будут представлены указанные ранее данные жертвы, которые она якобы должна сверить и после этого там же оплатить.

5. Возврат, которого нет. Часть жертв обманывают повторно — «разводят на возврат». Через некоторое время после оплаты товара покупателю сообщают, что на «почте» произошло ЧП. Легенда может быть любой, например, сотрудник почты якобы пойман на краже, а заказанный товар конфисковала полиция, поэтому для компенсации перечисленной суммы необходимо оформить «возврат средств». На самом деле с карты просто ещё раз списывают ту же сумму.

Обнаружена нацеленная на энтузиастов криптовалют кампания, которая использует для рассылки сообщений мессенджер Discord.

Схема кампании:

1. Все начинается с сообщения от имени Uniswap, которое мошенники рассылают участникам популярных криптовалютных серверов в Discord. В нем жертве сообщают, что она попала в число счастливчиков, которым полагаются подарочные монеты — якобы несколько бирж и сервисы криптокошельков Metamask и MyEtherWallet устроили акцию по розыгрышу подарка, и адресат оказался в числе получателей. Приз составляет 2,5 монеты Ethereum и сверх того 25000 ZKSwap — на момент написания в сумме это более 5 миллионов рублей.

2. Чтобы получить приз, нужно перейти по ссылке в сообщении. Поверившие в халяву увидят сайт, очень похожий на сайт Uniswap. Для получения приза нужно нажать кнопку «Claim accumulated rewards» («Получить накопленное вознаграждение»).

3. Нажав на кнопку, «счастливчик» попадет на экран с просьбой ввести приватный ключ или мнемоническую фразу от своего криптокошелька. Мнемоническая фраза — секретная последовательность слов для восстановления доступа к кошельку в случае технических сбоев или смены устройства. Получив любой из кодов, мошенники смогут обчистить её криптовалютные кошельки.

Инциденты

Операторы шифровальщика Clop опубликовали данные, украденные из сетей университетов Колорадо и Майами.

На сайте преступников размещены сведения об успеваемости и номерах социального страхования студентов, финансовые документы университета Колорадо, информация о зачислениях и биографические данные студентов, медицинские записи, демографические отчеты и электронная таблица с адресами электронной почты и номерами телефонов студентов университета Майами.

Атаки на учебные заведения были связаны с использованием устаревшего файлообменного решения Accellion FTA (File Transfer Application). В рамках этой кампании хакеры эксплуатируют четыре уязвимости в FTA (CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 CVE-2021-27104), а затем устанавливают веб-шелл и используют его для кражи файлов, хранящихся на FTA-устройствах жертв.

Любопытно, что хотя взлом произвели операторы шифровальщика, в сетях пострадавших учреждений не было зашифровано ни одной машины, по каким-то причинам преступники ограничились классическим вымогательством.

Компания Sierra Wireless, специализирующаяся на разработке и производстве оборудования для беспроводной связи, была вынуждена остановить производство из-за атаки шифровальщика.

Сообщение об инциденте на сайте компании.

Инцидент произошёл в субботу, 20 марта 2021 года. Неизвестный вымогатель зашифровал внутреннюю сеть компании, лишив сотрудников доступа к внутренним документам и системам, связанным с производством и планированием. В результате Sierra Wireless временно приостановила работу производственных площадок, поскольку для работу им нужен оперативный доступ к заказам клиентов и спецификациям продуктов. Сайт компании также пострадал в ходе атаки и пока не работает.

Ещё одной жертвой вымогательского ПО стал производитель отказоустойчивых серверов и программного обеспечения Stratus Technologies. В результате кибератаки компании пришлось отключить отдельные части своей сети и служб, чтобы изолировать ущерб.

Продукты Stratus обычно используются банками, поставщиками телекоммуникационных услуг, центрами экстренного вызова и здравоохранением, которым требуется безотказная работа на уровне 99,999%. На данный момент нет информации о том, какое вымогательское ПО использовалось в ходе кибератаки.

Очередной жертвой взлома с использованием уязвимостей устаревшего файлообменного сервиса Accellion FTA стала нефтегазовая компания Shell (Royal Dutch Shell), занимающая пятое место в рейтинге Fortune Global 500.

Представители компании уверяют, что инцидент затронул только устройство c Accellion FTA, которое использовалось для безопасной передачи больших файлов и подчёркивают, что «нет никаких признаков воздействия на основные ИТ-системы Shell, поскольку служба передачи файлов была изолирована от остальной инфраструктуры».

Shell уже уведомила о случившемся правоохранительные органы и регуляторов, поскольку злоумышленники получили доступ к файлам, переданным с помощью скомпрометированного устройства Accellion FTA. Часть этих данных принадлежала заинтересованным сторонам и дочерним предприятиям Shell.

Сенсацией этой недели стала атака шифровальщика REvil на тайваньскую компанию Acer, на долю которой приходится около 6% всех проданных в мире компьютеров.

Оценив масштабы бизнеса жертвы, злоумышленники запросили у Acer крупнейший в истории вымогательского бизнеса выкуп в размере 50 млн долларов США.

В качестве доказательства взлома хакеры опубликовали на своем сайте скриншоты якобы похищенных у компании файлов, среди которых документы, финансовые таблицы, бухгалтерские балансы и банковские сообщения.

По данным Bleeping Computer, некоторое время назад хак-группа REvil нацеливалась на сервер Microsoft Exchange в домене Acer, поэтому с высокой долей вероятности для взлома были использованы уязвимости ProxyLogon.

Сообщается, что атака повлияла только на работу офисной сети Acer, не нарушив производственные процессы.

 255   22 дн   дайджест   фишинг

Антифишинг-дайджест № 213 с 12 по 18 марта 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Авторы новой фишинговой кампании используют дефицит игровых приставок PlayStation 5 для хищения денег любителей игр.

Схема кампании

  1. Жертва получает письмо на электронную почту с предложением: принять участие в розыгрыше PlayStation 5. Письмо оформлено стильно, в тексте нет грубых ошибок, однако в качестве отправителя указана компания India Pharma — фармацевтическая выставка в Индии, не имеющая никакого отношения к игровой индустрии.

2. В описании условий, написанном мелким шрифтом внизу письма, фигурирует уже компания: toleadoo GmbH., которая базируется в Германии. Чтобы испытать удачу, организаторы просят зарегистрировать свой адрес электронной почты.

3. «Зарегистрировавшись», пользователь попадает на фишинговый сайт с логотипом Amazon. Страница сообщает, что на этой неделе посетитель стал одним из десяти счастливчиков, получивших шанс выиграть заветную консоль, но до розыгрыша осталась всего 1 минута 18 секунд! За это время нужно успеть пройти короткий опрос.

4. После прохождения опроса и «проверки ответов» на странице появляется десяток одинаковых подарочных коробок. Участнику розыгрыша предлагают выбрать одну из них. Разумеется, именно в ней оказывается приз.

5. Чтобы забрать консоль, нужно заплатить один фунт стерлингов (около 100 рублей на момент публикации). Организаторы никак не объясняют цель платежа, ведь по сравнению со стоимостью приставки это сущая мелочь. Кроме того, они обещают взять на себя все почтовые расходы и доставить PlayStation 5 всего за неделю. Затем «победителю» предлагают перейти на сайт «сертифицированных дистрибьюторов» и оформить доставку.

6. Далее у жертвы запрашивают адрес доставки, индекс, телефон и еще раз электронную почту. Сумма платежа внезапно вырастает с 1 до 1,78 фунта.

7. Финальный штрих обмана — форма для указания данных банковской карты для оплаты, которые отправятся к мошенникам. Это и является конечной целью кампании.

Авторы новой мошеннической кампании угрожают жертвам уголовным преследованием за незаконное обогащение.

Схема кампании:

  1. Жертвам получает SMS с уведомлением о получении денежной выплаты (бонуса) от государства.
  2. Для подтверждения легитимности получения бонуса жертва должна перейти на сайт по ссылке в сообщении.
  3. Сайт мошенников имитирует ресурс какого-либо государственного ведомства и предлагает посетителю ввести личную информацию и полные сведения о банковской карте для получения выплаты.
  4. За несоблюдение требования о подтверждении легитимности получения «бонуса» преступники грозят судебным разбирательством и уголовным преследованием за незаконное обогащение.

В кампании по распространению трояна NanoCore в фишинговые электронные письма вложены фальшивые файлы .zipx, которые на самом деле представляют собой иконки с дополнительной информацией в формате .rar. Это усложняет обнаружение вредоноса и помогает обойти фильтры.

Схема кампании:

  1. Письма злоумышленников, как правило, написаны от лица «менеджера по закупкам» некой организации, чаще всего, настоящего делового партнера жертвы. 2. В письмах содержат вложение с именем «NEW PURCHASE ORDER.pdf*.zipx», однако файл не соответствует спецификации .zipx.
  2. На самом деле он представляет собой «файл icon с сюрпризом» — это двоичный файл изображения, к которому прикреплена дополнительная информация в формате .rar — вредоносный EXE-файл, содержащий полезную нагрузку.
  3. Если жертва попадается на удочку мошенников и нажимает на вложение, а на ее машине установлен архиватор 7Zip, WinZip или WinRAR, исполняемый файл извлекается.
  4. Проникнув в систему жертвы, NanoCore собирает адреса электронной почты и пароли, а также активирует веб-камеры зараженных устройств. Кроме того вредонос может выступать и в качестве дроппера для дополнительных вредоносных программ и использовать зараженные хосты для проведения DDoS-атак.

Атаки и уязвимости

Обнаружен способ перенаправить SMS на другой номер без уведомления владельца и получения его разрешения.

Для проведения атаки можно воспользоваться услугами компаний, которые помогают предприятиям проводить SMS-маркетинг и массовую рассылку сообщений, чтобы незаметно перенаправлять текстовые сообщения и получать доступ к кодам подтверждения транзакций и двухфакторной аутентификации через SMS.

Услуги по несанкционированному перенаправлению SMS в одной из подобных компаний стоят всего 16 долларов США в месяц.

Уязвимость в Twitter позволяет разместить в соцсети модифицированные при помощи стеганографии картинки, в которые встроено до 3 Мб данных.

Оказалось, что хотя Twitter в большинстве случаев всё-таки сжимает изображения, удаляя из него лишние данные и метаданные, если добавлять данные в конец потока «DEFLATE» (часть файла, в котором хранятся сжатые данные пикселей), Twitter не будет их удалять.

Сохранение посторонней информации изображениях открывает злоумышленникам возможности для злоупотреблений платформой, например, для размещения в файлах PNG вредоносного кода или команд управления вредоносным ПО.

Инциденты

На хакерском ресурсе RaidForums был опубликован дамп с данными бывших клиентов WeLeakInfo, полученными благодаря компрометации Stripe-аккаунта закрытого в начале 2020 года сервиса.

Сервис за 2 доллара в день продавал доступ к паролям более чем 12,5 млрд учетных записей, собранных из 10 тыс. утечек.

Дамп включает в себя личные и корпоративные данные частных лиц и компаний, в том числе адреса электронной почты, имена, адреса для выставления счетов, последние четыре цифры и даты истечения срока действия банковских карт, IP-адреса, историю заказов и номера телефонов.

Автор публикации сообщает, что получил доступ к данным уже после ликвидации сервиса и ареста его операторов благодаря тому, что ФБР не продлило домен wli.design, который владельцы WeLeakInfo использовали для получения электронных писем от платежного сервиса Stripe. После регистрации домена ему удалось сбросить пароль для их учетной записи в Stripe и получить доступ ко всей информации о клиентах WeLeakInfo, которые платили за их услуги через Stripe»

Используя атаку с подменой DNS мошенники перенаправляли клиентов проекта Cream Finance и децентрализованной криптовалютной биржи PancakeSwap на фальшивые сайты, где пытались выведать их seed-фразы и приватные ключи, чтобы получить доступ к кошелькам и похитить средства.

Как именно злоумышленникам удалось подменить записи DNS для обоих сайтов, пока неясно, однако обе компании управляли своими записями DNS через хостинговую компанию GoDaddy. Существует вероятность, что атакующие могли скомпрометировать хостинговые аккаунты обеих компаний или атаковать сотрудников GoDaddy, как уже происходило в марте и ноябре 2020 года, когда злоумышленники проникли в систему с помощью фишинга и изменили DNS для ряда криптовалютных ресурсов.

Парламент Норвегии стал жертвой кибератаки через уязвимости ProxyLogon в Microsoft Exchange.

По заявлению представителя государственного органа, масштабы кибератаки пока неизвестны, однако были приняты все необходимые меры, и в настоящее время проводится расследование произошедшей в результате кибератаки утечки данных.

Точно известно, что данные были похищены, но пока полной картины случившегося пока нет.

 255   29 дн   дайджест   фишинг

Антифишинг-дайджест № 212 с 5 по 11 марта 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена фишинговая кампания против высокопоставленных сотрудников банков и ИТ-организаций, в которой используется фальшивая Google reCAPTCHA.

Схема атаки:

  1. Жертва получает фишинговое письмо с вложенным html-файлом, имитирующее уведомление о получении голосового сообщения.

2. Если жертва открывает html-файл, браузер перенаправляется на фишинговую страницу с помощью простейшего кода:

3. На фишинговой странице появляется имитация Google reCAPTCHA с предложением подтвердить, что жертва — не робот:

4. После прохождения проверки пользователю демонстрируется фальшивая страница регистрации в учётной записи Microsoft 365:

5. После ввода учетных данных фишинговая страница показывает сообщение с надписью «Проверка прошла успешно»:

6. После успешной «проверки» жертвам показывают запись сообщения голосовой почты, которую они могут воспроизвести, что позволяет злоумышленникам избежать подозрений.

7. Введённые учётные данные отправляются к злоумышленникам, которые используют их для атак и другой вредоносной деятельности.

За последние три месяца было обнаружено не менее 2,5 тыс. подобных писем.
Атака нацелена на старших руководителей бизнеса, вице-президентов и директоров, которые имеют более высокий уровень доступа к конфиденциальным данным компании. Цель кампаний — украсть учетные данные жертв и получить доступ к ценным активам фирм.

Обнаружена фишинговая кампания, эксплуатирующая тему конфликта между Арменией и Азербайджаном.

Схема кампании:

  1. Жертва получает фишинговое письмо с вложением, в котором содержится «важная информация о конференции „Национальная безопасность и наука“, которая пройдет в Азербайджане в 2021 году».

2. Если жертва открывает документ и разрешает макросы, выполняется многократно обфусцированный код, который в итоге загружает полезную нагрузку — троян, предоставляющий удалённый доступ к системе жертвы.

В новой схеме телефонных мошенников появились новые действующие лица — «сотрудники правоохранительных органов», расследующие утечки данных.

Схема обмана:

  1. Жертва получает звонок с городского телефона от человека, который представляется сотрудником МВД
  2. Лжеполицейский диктует номер своего жетона и сообщает, что кто-то пытался снять деньги жертвы в отделении банка «по нотариально заверенной доверенности».
  3. Хищение якобы удалось предотвратить благодаря бдительности сотрудника кредитной организации, а теперь необходимо выяснить, каким образом произошла утечка, позволившая оформить доверенность.
  4. Под предлогом «расследования» мошенник пытается узнать, в каких банках обслуживается жертва, уверяя, что там начнется проверка, а также настаивая, что эти сведения помогут выяснить, куда ещё мог отправиться злоумышленник.
  5. Дальнейшее развитие событий зависит только от фантазии и усердия мошенников. Выудив сведения о счетах и картах, злоумышленники используют их для кражи денег и оформления подложных кредитов, а также пополняют многочисленные базы данных, которые продают за большие деньги в даркнете.

Атаки и уязвимости

В почтовом сервере Microsoft Exchange обнаружены четыре уязвимости нулевого дня CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065, получившие общее название ProxyLogon. Объединив эти уязвимости в цепочку, злоумышленник может пройти аутентификацию на сервере Exchange, получить права администратора, установить вредоносное ПО и похитить данные.

По данным экспертов, сейчас хакеры массово ищут и атакуют любые уязвимые серверы Exchange. От этих атак уже пострадали от 30 до 100 тыс. компаний, и это число лишь продолжает расти. Специалисты высказывают опасения, что атаки могут иметь крайне негативные последствия в среднесрочной перспективе.

Среди пострадавших — Министерство труда и социальных дел Чехии, почтовые отделения в Праге, Европейское банковское управление.

Разработана новая разновидность атаки по сторонним каналам на внутреннюю архитектуру процессоров Intel.

Логическая диаграмма кольцевой шины в процессорах Intel.

Атака использует «кольцевую связь», которая обеспечивает взаимодействие между различными компонентами внутри процесса. Кольцевая шина представляет собой физический канал связи в виде кольца, соединяющий все ядра и компоненты процессора и обеспечивающий передачу данных между ядрами и другими элементами.

В процессе исследования специалисты провели «углубленный реверс-инжиниринг протоколов, обеспечивающих связь в кольцевой шине» и обнаружили возможность создания связи между ее операциями. Это позволило им извлечь ключевые биты из уязвимых реализаций EdDSA и RSA, а также определить точное время нажатия клавиш пользователем-жертвой.

Компания Intel заявила, что не считает атаку опасной и отнесла её к традиционным атакам по сторонним каналам, подобным TLBleed или Portsmash

Суперсовременную систему компьютерного зрения CLIP удалось обмануть с помощью ручки и листа бумаги. Достаточно было написать на бумажке название одного предмета и прикрепить ее к другому, чтобы система допустила ошибку распознавания.

Экспериментальная система машинного зрения CLIP пока не используется ни в одном коммерческом продукте и предназначена для изучения того, как с помощью огромных баз данных пар изображений и текста научить системы искусственного интеллекта определять объекты. При обучении CLIP были использованы около 400 млн пар изображение-текст.

Описанная специалистами атака относится к классу типографических атак. Поскольку система умеет читать текст, обнаружилось, что даже фотографии рукописного текста могут её обмануть.

Данная атака напоминает атаку с использованием состязательных изображений (adversarial images) для обмана коммерческих систем машинного зрения, но значительно проще в реализации.

Инциденты

Правительство Испании стало жертвой вымогателя Ryuk, который нарушил работу ведомства Servicio Público de Empleo Estatal (SEPE), отвечающего за выплату пособий по безработице.

Инцидент затронул серверные системы и сайт госструктуры. Из-за блокировки доступа к системам сотрудникам SEPE в 710 офисах по всей Испании пришлось отменить и перенести встречи с безработными. Кроме того из-за атаки вышли из строя 52 системы самообслуживания.

Руководство SEPE отрицало факт кибератаки программы-вымогателя, ссылаясь на технические проблемы, но после того, как члены профсоюща госслужащих рассказали подробности, признали проблему.

В результате хакерской атаки на американский стартап Verkada, предоставляющий облачный сервис видеонаблюдения c удалённым управлением камерами? атакующие получили доступ к 150 тыс. видеокамер, установленных на фабриках и складах Tesla, в офисах Cloudflare, фитнес-залах сети Equinox, больницах, тюрьмах, школах, полицейских участках и  офисах компании-жертвы.

Один из складов компании Tesla.

Группировка, осуществившая атаку, заявляет, что провели её для демонстрации уязвимостей сервиса. Они также утверждают, что получили доступ к архивам видеозаписей всех клиентов Verkada и полный список клиентов компании с финансовой информацией.

Хакеры демонстрируют shell-доступ к системам CloudFlare и Tesla.

Чтобы взломать систему, хакеры получили «суперадминский» доступ, используя пару логин-пароль, которую обнаружили в открытом доступе в Интернете. Это позволило им в том числе получить администраторский доступ к камерам, а через них проникнуть в некоторые IT-системы клиентов Verkada.

Банковский троян Ursnif атаковал клиентов итальянских банков. Среди пострадавших более 100 учреждений. Похищены 1700 учетных данных только для одного оператора платежей

Для распространения вредонос использует фишинговые письма, написанные на разных языках. На устройство жертвы он устанавливается после скачивания бэкдора, позволяя атакующим обойти защитные механизмы и получить высокий уровень доступа к системе, сети или программам.

Ursnif представляет собой так называемое «бесфайловое вредоносное ПО», то есть почти не оставляет следов в системе. Он похищает банковские реквизиты, платежную информацию, логины, пароли и данные кредитных карт, а также добраться до криптовалютного кошелька.

По словам экспертов, атаки Ursniff в очередной раз доказывают, что человек — самое слабое звено в системе. Необходимо помнить о том, что открывать письма с вложением от неизвестных отправителей и нажимать на ссылки — опасно. Научить пользователей безопасному поведению во время фишинговых атак может использование специализированных решений, ориентированных на тренировку соответствующих навыков.

 208   1 мес   дайджест   фишинг
Ранее Ctrl + ↓