Rose debug info
---------------

как поведение людей влияет на безопасность

Наши продуктыДайджестыСтатьиСписок постов

Позднее Ctrl + ↑

Антифишинг-дайджест № 281 с 8 по 14 июля 2022 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

В ходе вредоносной кампании ABCsoup распространяются более 350 расширений для Google Chrome, Opera и Mozilla Firefox, зараженные рекламным ПО.

Особенности кампании

  1. Все расширения маскировались под официальную версию Google Translate и были нацелены на российских пользователей.
  2. Вредоносные расширения недоступны в официальных магазинах браузеров и предположительно, распространяются с помощью социальной инженерии, через исполняемые файлы Windows, при этом обходя большинство защитных решений.
  3. Вредоносное расширение присваивает себе то же ID, что и настоящая версия Google Translate — aapbdbdomjkkjkaonfhkkikfgjllcleb. Таким образом хакеры стараются убедить жертв в том, что те установили настоящее расширение. Если же у целевого пользователя уже установлено расширение Google Translate, исходную версию заменяют вредоносным вариантом с более высоким номером версии (например, 30.2.5 против с 2.0.10).
  4. Все обнаруженные в рамках кампании ABCsoup расширения предназначены для взаимодействия со всплывающими окнами, сбора личной информации для доставки таргетированной рекламы, фингерпринтинга пользователей и внедрения вредоносного JavaScript, который в дальнейшем может действовать как шпионское ПО, перехватывая нажатия клавиш и отслеживая активность браузера на сайтах YouTube, Facebook, ASKfm, Mail.ru, «Яндекс», «Рамблер», Avito, Brainly Znanija, Kismia и rollApp.
  5. Еще одной целью ABCsoup является сбор данных о пользователях «Одноклассников» и «ВКонтакте». Расширения ищут социальные сети среди прочих сайтов, открытых в браузере, а обнаружив, собирают имена, фамилии, даты рождения и другую личную информацию, после чего передают ее на удаленный сервер.

Операторы вымогательской программы Lilith используют тактику двойного вымогательства, чтобы увеличить вероятность получения выкупа.

Сведения об исполняемом файле Lilith

Схема действий преступников:

1. Для внедрения в сеть жертвы используется фишинг и известные уязвимости.

2. Запустившись в системе жертвы, Lilith пытается завершить процессы в соответствии с жестко заданным списком, чтобы освободить ценные файлы от приложений, которые используют их и не дают как-либо с ними взаимодействовать

3. Lilith создает и загружает записки о выкупе во все папки, данные в которых будут зашифрованы;

4. Когда записки размещены по папкам, начинается шифрование. Программа-вымогатель использует криптографический API WIndows, чтобы зашифровать данные и генерирует ключ с помощью функции CryptGenRandom. Ко всем зашифрованным файлам добавляется расширение .lilith.

5. В записке о выкупе жертвам дается три дня на то, чтобы связаться с операторами Lilith в чате Tox, иначе данные жертвы будут слиты в сеть.

Аналитики CrowdStrike обнаружили фишинговую кампанию, авторы которой выдают себя за представителей CrowdStrike и утверждают, что компанию получателя письма взломали, и жертве необходимо срочно пройти тщательный аудит безопасности.

Схема кампании

  1. В фишинговом письме хакеры просят сотрудников целевой компании связаться с ними по указанному номеру телефона, чтобы запланировать проведение аудита безопасности.
  2. Если жертва попадается на приманку и звонит по указанному номеру, хакеры «помогают» сотруднику установить RAT, что позволит им получить полный контроль чужой над системой.
  3. После этого атакующие получают возможность удаленно устанавливать любые дополнительные инструменты, продвигаться по сети дальше, воровать корпоративные данные или развернуть шифровальщика.

Группировка Luna Moth ворует чужие данные, используя для этого фальшивые сообщения о продлении подписок на популярные сервисы.

Схема действий преступников

1. Атаки Luna Moth начинают с фальшивых писем, в которых жертв уведомляют об окончании подписки на Zoho, MasterClass или Duolingo. Послания используют email-адреса, похожие на имена упомянутых брендов, но на самом деле, письма приходят с Gmail.

2. В письме жертве сообщают, что ее подписка на сервис подходит к концу, и скоро будет автоматически продлена. В письмо вложен счет на оплату, в котором содержится номер телефона для тех, кто хочет узнать больше о подписке или отменить ее.

3. Звонок по этому номеру связывает жертву с мошенниками, которые обманом вынуждают пользователям установить инструмент для удаленного доступа Atera, AnyDesk, Synchro или Splashtop.

4. Получив доступ, хакеры вручную устанавливают инструменты SoftPerfect Network Scanner, SharpShares и Rclone, чтобы провести разведку, обнаружить ценные файлы и похитить их.

5. После кражи информации хакеры переходят к вымогательству, причем их требования довольно высоки: исследователи говорят, что Luna Moth может требовать в качестве выкупа миллионы долларов США.

6. Luna Moth использует около 90 доменных имен в своей инфраструктуре, а также для хостинга данных взломанных компаний. Все эти сайты используются для фишинга, а их адреса похожи на адреса сайтов настоящих брендов.

Атаки и уязвимости

В работе механизма скользящего кода в автомобилях Honda присутствует ошибка, которая позволяет перехватить и повторно использовать коды, которые передаются от брелока к автомобилю. Это позволяет разблокировать авто и даже удаленно запустить двигатель.

Проблему, которая получила название Rolling-PWN, обнаружили специалисты Kevin2600 и Уэсли Ли (Wesley Li). Они пишут и демонстрируют на видео, что успешно протестировали свою атаку на самых разных моделях Honda, в том числе выпущенных в период с 2021 по 2022 год. Проблеме подвержены:

  • Honda Civic 2012
  • Honda X-RV 2018
  • Honda C-RV 2020
  • Honda Accord 2020
  • Honda Odyssey 2020
  • Honda Inspire 2021
  • Honda Fit 2022
  • Honda Civic 2022
  • Honda VE-1 2022
  • Honda Breeze 2022

Суть уязвимости заключается в реализации скользящего кода, которую использует Honda. Так, система бесключевого доступа практически во всех современных автомобилях основана на скользящих кодах, создаваемых генератором псевдослучайных чисел, что гарантирует использование уникальных строк при каждом нажатии на кнопку брелока.

Проблема состоит в том, что «в работу» принимаются и нехронологические коды (на тот случай, если произошло случайное нажатие на кнопку брелока или автомобиль находился вне зоны действия).

Оказалось, что счетчик в автомобилях Honda синхронизируется повторно, когда машина получает команды блокировки/разблокировки в жесткой последовательности. В итоге автомобиль может принимать коды предыдущих сеансов, которые уже должны были быть признаны недействительными.

Таким образом, злоумышленник, вооружившийся SDR, может перехватить последовательность кодов и воспроизвести их позже, чтобы поможет ему разблокировать автомобиль или запустить его двигатель.

Разработана новая side-channel атаке Retbleed, которая затрагивает процессоры Intel, выпущенные от 3 до 6 лет назад, а также процессоры AMD возрастом от 1 до 11 лет. Ожидается, что устранение этой проблемы негативно отразится на производительности.

Проблема Retbleed состоит из двух уязвимостей (CVE-2022-29900 для AMD и CVE-2022-29901 для Intel) и относится к классу спекулятивных атак Spectre-BTI (вариант 2).

Атаку Retbleed проверили на процессорах AMD Zen 1, Zen 1+, Zen 2. Теоретически проблема затрагивает и другие процессоры, включая Intel Core поколений 6-8.

Скорость атаки, как это часто бывает с side-channel проблемами невелика: на процессорах Intel определение хэша пароля для пользователя root займет около 28 минут, а на процессорах AMD — около 6 минут.

UEFI в ноутбуках Lenovo уязвима перед трем проблемами переполнения буфера, что может позволить злоумышленникам вмешаться в процесс запуска ОС и отключить защитные механизмы.

Уязвимости получили идентификаторы CVE-2022-1890, CVE-2022-1891 и CVE-2022-1892, и разработчики Lenovo уже опубликовали посвященный им бюллетень безопасности и таблицу продуктов, для которых эти баги представляют угрозу.

Первая проблема связана с драйвером ReadyBootDxe, который используется в некоторых ноутбуках Lenovo, а две другие проблемы связаны с переполнением буфера в драйвере SystemLoadDefaultDxe. Второй драйвер часто встречается в моделях Lenovo Yoga, IdeaPad, Flex, ThinkBook, V14, V15, V130, Slim, S145, S540 и S940.

Чтобы устранить обнаруженные проблемы, пользователям уязвимых девайсов рекомендуется загрузить последние доступные версии драйверов с официального сайта Lenovo.

Инциденты

В результате фишинговой атаки на блокчейн-протокол Uniswap v3 были похищены 7500 ETH на сумму около 8 млн долларов США.

Злоумышленник привлек внимание жертв, используя поддельный токен в качестве приманки для фишинга. Фишинговая афера обещала бесплатную раздачу 400 токенов UNI (стоимостью около 2200 долларов США). Пользователей просили подключить свои криптокошельки и подписать транзакцию, чтобы получить токены. После подключения неизвестный хакер завладевал средствами пользователей с помощью вредоносного смарт-контракта.

Сеть мобильной связи, принадлежащая Почте Франции, подверглась атаке программы-вымогателя LockBit, которая нарушила работу административных и управленческих служб компании.

Cайт компании не работает, а в длинном сообщении для клиентов объясняется, что атака вымогательского ПО началась 4 июля. Компания отметила, что данные клиентов могли быть похищены.

Представители компании сообщили, что как только стало известно об инциденте, были приняты необходимые защитные меры и немедленно остановлена работа соответствующих компьютерных систем, в том числе сайта и клиентской зоны.

Компания призвала клиентов остерегаться фишинговых сообщений или попыток кражи личных данных. Представители компании сообщили, что адреса электронной почты и номера телефонов службы поддержки клиентов продолжают работать.

Японская компания Bandai Namco, занимающаяся разработкой и изданием видеоигр, стала жертвой хак-группы ALPHV (она же BlackCat).

По информации Vx-underground, на сайте хак-группы в даркнете появилась информацию о взломе Bandai Namco. Пока группировка не раскрывает никаких деталей атаки, лишь обещает, что похищенные у компании данные скоро будут опубликованы.

После подтверждения несанкционированного доступа компания заблокировала доступ к серверам, чтобы предотвратить распространение вредоносного ПО. Существует вероятность того, что произошла утечкаа информация о клиентах, относящаяся к игровому бизнесу в азиатских регионах за исключением Японии. В настоящее время эксперты проверяют факт утечки, масштабы ущерба и расследуют причину инцидента.

 295   1 мес   дайджест   фишинг

Злоумышленники распространяют банковский троян через Яндекс.Формы

В чем суть

В известной англоязычной фишинговой схеме для доставки вредоносных файлов начали использовать ссылки на Яндекс.Формы.

Глазами жертвы

Владелец сайта получает письмо через форму обратной связи. Отправитель представляется правообладателем изображений, которые якобы незаконно размещены на сайте, и под угрозой иска требует их удалить. Письмо содержит ссылку на страницу Яндекс.Форм, откуда скачивается файл с «доказательствами» нарушения. В реальности жертва получает ISO-образ, содержащий вредоносную библиотеку. Если её запустить, на компьютер будет установлен банковский троян IcedID.

Особенности атаки

Атаку сложнее обнаружить из-за того, что ссылка ведёт на легитимный сервис Яндекс.Формы.

Совет

Если вы получили такое письмо, остановитесь и подумайте, могло ли оно действительно вам прийти. Проверьте достоверность через другой канал, например, напишите отправителю на официальную почту.

Источник: Bleeping Computer

 73   1 мес   разбор   статьи   фишинг

Антифишинг-дайджест № 280 с 1 по 7 июля 2022 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена новая схема, авторы которой заманивают пользователей YouTube в поддельный криптообменник роликами об «уязвимости», якобы позволяющей заработать на огромной разнице в курсах.

Схема действий мошенников

1. Мошенники создают канал на YouTube, где размещают видео с описанием «хитрого» метода обогащения, которым они хотят поделиться с криптосообществом.

2. В единственном ролике они утверждают, что нашли баг в одном из автоматических обменных пунктов: в нем по счастливой случайности за 1 биткоин дают 184 эфира, в то время как на Binance курс составляет 18,4 — получается, можно получить в 10 раз больше. Все из-за «убежавшей» десятичной точки!

3. Чтобы подогреть азарт пользователей и отвлечь их от мысли проверить факты, мошенники щедро приправляют ролик накрученными комментариями, в которых боты наперебой благодарят создателей канала за подсказку.

4. Для продвижения своего канала злоумышленники начинают оставлять под чужими популярными видео — часто свежеопубликованными, где идет активное обсуждение — комментарии, в которых пишут о баге в криптообменнике и приглашают посмотреть об этом ролик. Чтобы комментарий не потерялся среди прочих, боты накручивают ему лайки, продвигая на видное место.

5. В описании к видео есть ссылка на мошеннический сайт с «выгодным обменным курсом».

6. При попытке обменять валюту на этом ресурсе жертва увидит сообщение о том, что текущий курс действует только 180 минут. В течение этого времени предлагается перевести на указанный адрес криптокошелька ту сумму в биткоинах, которую гость сайта хочет обменять на эфиры.

7. Если жертва отправит монеты, они попадут к преступникам.

8. Мошенники создают фальшивые обменники и YouTube-каналы и для других криптовалют. Они рассчитывают, что пользователи будут искать информацию по названиям тех токенов, которые покупают сами. Адреса и названия ресурсов могут отличаться, но в каждом случае речь идет об ошибке в курсе обмена.

Инциденты

Неназванная хакерская группировка заявила, что похитила 20 гигабайт данных сети отелей Marriott.

Сведения о кредитных картах, персональные данные 300-400 гостей и работников были украдены у сотрудника отеля BWI Airport Marriott в Балтиморе, которого обманом убедили предоставить доступ к компьютеру.

Компания подтвердила факт утечки данных, но заявила, что инцидент не настолько значительный, каким его выставляют хакеры, ведь были украдены только маловажные внутренние бизнес-файлы.

Хакеры давили на Marriott, угрожая слить украденные данные в сеть, если выкуп не будет выплачен. Однако компания не стала ничего выплачивать. Сумма выкупа не разглашается. Но, по словам хакеров, она была очень высокой.

Marriott утверждает, что специалисты компании обнаружили утечку данных еще до того, как с ними связались злоумышленники, и сумели устранить ее в течение шести часов.

Пророссийская хакерская группировка RaHDit опубликовала персональные данные тысячи сотрудников главного управления разведки (ГУР) министерства обороны Украины, а также «лиц, напрямую подчиняющихся» этой структуре».

Среди опубликованных данных имена, даты рождения, адреса регистрации, номера телефонов и паспортов сотрудников ГУР. «Мы считаем, что украинская военная разведка непосредственно участвует в развитии национализма, а их диверсанты угрожают нашей стране», — пояснила свои мотивы RaHDit.

RaHDit прокомментировала, что данные получены благодаря непрофессионализму администраторов сетей ГУР.

Аккаунты британской армии в Twitter и на YouTube были взломаны и использовались для продвижения мошенничества с криптовалютой.

Верифицированная учетная запись в Twitter рекламировала фейковые NFT и раздачу криптовалюты. На YouTube канал был переименован в «Ark Invest» и транслировал старые клипы с участием Илона Маска и основателя Twitter Джека Дорси, чтобы ввести пользователей в заблуждение.

Аккаунт британской армии в Twitter был переименован в «pssssd», при этом также изменились заглавное изображение и аватар профиля. Злоумышленники, контролировавшие учетную запись, активно постили и ретвитили ссылки на мошеннические сайты, связанные с криптовалютами.

Министерство обороны Великобритании официально подтвердило взлом, но заявило, что контроль над учетными записями в Twitter и на YouTube уже восстановлен, и ведется расследование произошедшего. Детали атак пока неизвестны, поскольку Минобороны заявило, что «пока расследование не будет завершено, дальнейшие комментарии неуместны».

Хакер ChinaDan выставил на продажу за 10 биткоинов (около 195 000 долларов США) несколько баз данных, которые якобы содержат более 22 Тб информации о миллиарде китайских граждан.

Хакер утверждает, что данные были похищены у Шанхайской национальной полиции (SHGA), и БД содержит имена, адреса, номера национальных удостоверений личности, контактные телефоны и информацию о нескольких миллиардах судимостей.

В доказательство своих слов хакер уже опубликовал в открытом доступе образец данных, содержащий 750 тыс. записей. Помимо перечисленной выше информации, в образце можно найти даже сведения о перевозке задержанных и инструкции для водителей.

По словам злоумышленника, данные были украдены из локального частного облака Aliyun (Alibaba Cloud), которое является частью китайской полицейской сети.

Предположительно атака произошла из-за того, что некий правительственный разработчик написал технический пост в блоге на CSDN и случайно забыл скрыть в посте учетные данные.

Из-за кибератаки вымогательского ПО на провайдера Geographic Solutions госдепартаменты труда в американских штатах Калифорния, Луизиана и Теннесси были вынуждены отключить свои онлайн-службы по безработице.

Geographic Solutions заявила, что недавно «обнаружила аномальную активность» в сети компании. Однако, министерство труда Луизианы предоставило более подробную информацию и заявило, что компания действительно обнаружила «попытку атаки вредоносного ПО», которая вынудила Geographic Solutions отключить свои системы.

«Отключение в результате атаки также затронуло 40 других штатов и Вашингтон, округ Колумбия, которые используют GSI», — добавили в министерстве труда Луизианы.

Кибератака может помешать тысячам американцев вовремя получить пособие по безработице. По словам Департамента труда Луизианы, 11 000 человек в настоящее время полагаются на онлайн-систему для подачи заявлений на пособие по безработице. Департамент труда сможет выдать выплаты только после восстановления системы подачи заявок.

Из-за кибератаки поставщик продуктов питания Wiltshire Farm Foods не смог доставить тысячи товаров по Ирландии и Великобритании.

Компания заявила, что «в настоящее время испытывает проблемы с IT-системой. Эти проблемы были вызваны кибератакой. Обратите внимание: мы уверены, что данные платежных карт не были украдены, поскольку они не хранятся в наших системах».

Клиентов оповестили, что системы в настоящее время не работают, поэтому компания не сможет осуществить поставки в ближайшие несколько дней и связаться с клиентами лично, поскольку доступа к их номерам телефонов заблокирован.

В публичном доступе появилась часть базы данных сервиса покупки билетов «Туту.ру» (tutu.ru). В компании подтвердили факт взлома и уже занимаются расследованием инцидента.

Эксперты DLBI сообщают, что за кражу базы ответственен тот же источник, который недавно распространял дампы «Школы управления Сколково», службы доставки Delivery Club и образовательного портала Geek Brains.

Судя по названию файла (TutuBusorders), который опубликовал хакер, в нем содержатся данные покупателей билетов на автобус — 2 627 166 строк, включая имена и фамилии, телефоны (2,29 млн уникальных номеров) и адрес электронной почты (более 2 млн уникальных адресов).

Хакер утверждает, что кроме этого списка, ему также удалось получить дампы таблиц зарегистрированных пользователей (7 млн строк с хешированными паролями) и заказов билетов (32 млн строк с паспортными данными). Однако никаких доказательств он не предоставил.

Cреди основных версий этой утечки названы следующие:

  • Сопоставление данных пользователей с утечками крупных сервисов (вроде «Яндекса», Delivery Club, «Пикабу») и взломами почт. Эту версию разработчики считают маловероятной, так как «в таблице есть технические учетные записи».
    Слить данные мог один из внешних технических контрагентов, связанных с эквайрингом.
  • Дамп могли сделать собственные разработчики или члены инфраструктурной команды. Подчеркивается, что «эту версию нельзя исключать никогда, ни на каком проекте, ни при каких условиях».
  • Направленная атака на неизвестный баг.

Crema Finance, протокол концентрированной ликвидности на блокчейне Solana, объявил о временной приостановке своих услуг из-за кибератаки, в результате которой у площадки похитили 8,8 млн долларов США.

Вскоре после обнаружения взлома протокола Crema Finance приостановила услуги ликвидности, чтобы не дать хакеру возможность истощить резервы ликвидности, которые включают в себя средства поставщика услуг и инвесторов.

Сообщается, что хакер похитил 90% общей ликвидности некоторых пулов Crema Finance. Генри Дю, соучредитель Crema Finance, также подтвердил, что все функции протокола приостановлены на неопределенный срок, и попросил инвесторов следить за новостями.

Книжное издательство Macmillan отключило все IT-системы для восстановления после атаки программы-вымогателя.

По словам Macmillan, компания столкнулась с «киберинцидентом, который связан с шифрованием определенных файлов в сети». Сотрудники издательства потеряли доступ к своим системам, электронной почте и файлам.

На данный момент Macmillan уже начал восстанавливать системы, и теперь сотрудники могут получить доступ к своей электронной почте. Пока не известно, какая группа вымогателей стоит за атакой и были ли украдены данные.

 91   1 мес   дайджест   фишинг
Ранее Ctrl + ↓