Ctrl + ↑ Позднее

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 15 по 21 мая 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Почта

Организаторы новой фишинговой кампании научились обходить многофакторную аутентификацию в Office 365, чтобы получить доступ к данным жертв в облаке.

В тексте писем содержится упоминание о зарплатном бонусе, а для просмотра подробностей предлагается перейти по ссылке, которая выглядит как типичное приглашение SharePoint.

После нажатия на ссылку пользователи переходят на легальную страницу входа в Microsoft Office 365 по адресу https://login.microsoftonline.com. В ссылке используются обращения к OAuth2 и OpenID, с помощью которых злоумышленники выдают разрешения мошенническим приложениям.

Смысл атаки в том, что приложения, которые хотят получить доступ к данным Office 365 от имени пользователя, сначала должны получить маркер доступа с платформы Microsoft Identity Platform. После того, как пользователь введёт свои учётные данные, произойдёт его аутентификация по протоколу OpenID, после чего с помощью OAuth2 делегирует доступ к данным пользователя вредоносному приложению в соответствии с запрошенными параметрами:

  • contacts.read позволяет программе читать контакты пользователя;
  • notes.read.all — даёт программе ко всем блокнотам OneNote, доступным пользователю;
  • Files.ReadWrite.all позволяет читать все доступные пользователю файлы;
  • offline_access позволяет получать обновлённые токены доступа, пройдя аутентификацию всего один раз, и иметь таким образом бессрочный доступ к данным жертвы.

Атаки и уязвимости

Новая уязвимость BIAS в протоколе Bluetooth позволяет получить контроль над Bluetooth-устройством.

BIAS  — Bluetooth Impersonation AttackS — атака имперсонации Bluetooth — становится возможной в связи с тем, как Bluetooth обрабатывает ключ долговременного пользования.
Этот ключ генерируется при первом сопряжении двух устройств по Bluetooth. С его помощью оба устройства в дальнейшем получают сеансовые ключи при будущих подключениях без необходимости заново проходить сопряжение.

Выяснилось, что злоумышленник может подделать ранее подключавшееся по Bluetooth устройство, пройти аутентификацию, подключиться к атакуемому гаджету без ключа долговременного пользования и захватить над ним контроль.

Атака работает на смартфонах iPhone, Samsung, Google, Nokia, LG, Motorola, планшетах iPad, ноутбуках MacBook, HP и Lenovo, наушниках Philips и Sennheiser, а также на системах Raspberry Pi и Cypress.

В защищенном мессенджере Signal обнаружена уязвимость CVE-2020—5753, эксплуатация которой позволяет отслеживать местоположение пользователя.

Чтобы получить геолокацию пользователя из контакт-листа, достаточно позвонить ему в Signal. Информацию о местоположении и IP-адрес можно узнать, даже если адресат не ответит на звонок. Если звонящего нет в списке контактов, звонок через мессенджер позволяет определить приблизительное местоположение адресата.

Причина такой деанонимизации в том, используемая в Signal реализация протокола WebRTC устанавливает соединение. В процессе поиска правильного пути для соединения используются промежуточные «сигнальные» сервера, через которые производится обмен публичными и частными IP-адресами абонентов.

Весь процесс происходит до того, как пользователь ответит на звонок, и это позволяет получить информацию о звонящем даже если он скрыл свой IP-адрес.

Вредоносное ПО

Вайпер MilkmanVictory атакует мошенников, похищающих данные, и шифрует их файлы, не сохраняя ключ для расшифровки.

Разработчики «благородного» вредоноса — группировка CyberWare, — утверждают, что основной целью их кампании являются фирмы, практикующие кредитное мошенничество: они обещают своим жертвам кредит, но потом оказывается, что сначала нужно заплатить мошенникам некоторую сумму, а в результате не получить ничего.

В рамках своей деятельности они провели DDoS-атаку на немецкую компанию Lajunen Loan, а также направили в адрес компании фишинговые письма, содержащие ссылки на вредоносные исполняемые файлы, замаскированные под файлы PDF.

После успешной атаки MilkmanViktory оставляет сообщение, уведомляющее мошенника о том, что его файлы уничтожены.

Мобильная безопасность

Android-троян WolfRAT шпионит за пользователями смартфона, передавая собранные данные на управляющий сервер.

Для заражения WolfRAT использует фальшивые обновления популярных программ — Adobe Flash Player и Google Play. Функциональность трояна включает

  • фотографии и запись видео на камеру смартфона;
  • перехват СМС и запись аудио;
  • хищение файлов и истории браузеров;
  • запись сеансов работы с мессенджерами.

Инциденты

Нигерийские мошенники подают заявления на пособие по безработице, используя персональные данные американцев.

Источником сведений для мошенников служит объёмная база данных с похищенной личной информацией и номерами страхования сотрудников служб реагирования, государственных служащих и школьных работников. Главной целью преступников был штат Вашингтон, однако до этого они уже провели несколько успешных кампаний во Флориде, Массачусетсе, Северной Каролине, Оклахоме, Род-Айленде и Вайоминге.

Для проведения операции мошенники нанимают в качестве «мулов» жителей США, оставшихся без работы или ставших жертвами других мошенников. Они получают выплаты, причитающиеся другим людям, а затем пересылают основную их часть нигерийским «коллегам», оставляя себе часть выручки в награду за «труды».

Энергетическая компания Elexon из Великобритании стала жертвой кибератаки.

На сайте компании сообщается, что инцидент затронул внутреннюю сеть и ноутбуки сотрудников, а также почтовый сервер. На работоспособность систем подачи электроэнергии кибератака не повлияла.

Предположительно кибератака была проведена через уязвимость CVE-2019-11510 в корпоративном VPN-сервере Pulse Secure, который Elexon использовала для предоставления доступа удалённым сотрудникам к корпоративной сети. Судя по косвенным признакам, злоумышленники воспользовались уязвимостью для внедрения в сеть и установки вымогательского ПО.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






Представляем новости об актуальных технологиях фишинга и других атаках на человека c 8 по 14 мая 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Почта

Организаторы новой фишинговой кампании используют письма, брендированные под DHL, для хищения учётных записей жертвы в службе доставки.

  1. Жертва получает письмо, оформление которого с достаточной точностью копирует оригинальные сообщения DHL.
  2. В письме содержится информация о том, что в адрес жертвы направлена посылка. Отследить её можно по ссылке в письме.
  3. Нажав на ссылку, жертва попадает на мошеннический сайт, на котором также используется оформление «под DHL»:

Логины и пароли, введённые на этом сайте, будут направлены злоумышленникам.

Атаки и уязвимости

Разработана футболка-невидимка, которая позволяет сделать человека невидимым для систем распознавания личности на видео.

Невидимой футболку делает специально разработанный абстрактный рисунок из разноцветных пятен. Принцип действия рисунка:

  • искусственные нейронные сети в системах видеонаблюдения в процессе распознавании рисуют вокруг предположительного объекта рамку и пытаются идентифицировать его;
  • если вычислить граничные точки этой рамки, появляется возможность создать рисунок, способный «убедить» нейросеть, что перед ней находится не объект.

При создании рисунка-невидимки использовались нейросети YOLOv2 и Faster R-CNN. С их помощью удалось определить участки тела, к которым нужно добавить пиксельный шум, чтобы сделать человека невидимым для ИИ.

Новый метод атаки Thunderspy позволяет в течение пяти минут взломать компьютеры на базе Windows или Linux с поддержкой порта Thunderbolt.

Атака позволяет обойти экран авторизации и шифрование жесткого диска на заблокированных или находящихся в режиме сна компьютерах, изменить настройки безопасности и получить доступ к данным на устройстве. Единственный на сегодня способ защиты от атаки Thunderspy — отключение порта Thunderbolt.

Всего разработчикам Thunderspy удалось выявить семь уязвимостей в Thunderbolt:

  1. Неадекватная схема проверки прошивки;
  2. Слабая схема аутентификации устройств;
  3. Использование метаданных неаутентифицированных устройств;
  4. Атака Downgrade с использованием обратной совместимости;
  5. Использование неаутентифицированных конфигураций контроллера;
  6. Недостатки флэш-интерфейса SPI;
  7. Отсутствие защиты Thunderbolt в Boot Camp.

Используя эти уязвимости, можно провести девять различных атак.

Киберпреступники использовали иконки сайтов для внедрения мошеннического кода на страницы оплаты интернет-магазинов.

  • Файлы изображений размещались на сайте MyIcons.net — мошенническом клоне популярного сайта IconArchive.com.
  • Для обычных страниц сайт выдавал легитимные изображения-иконки favicon.
  • Для страниц с формами оплаты заказа иконка подменялась вредоносным сценарием JavaScript, который воровал данные банковской карты пользователя.

Инциденты

Мошенники похитили 10 млн долларов США у норвежского инвестиционного фонда Norfund с помощью BEC-атаки.

Внедрившись в переписку между фондом и камбоджийской микрофинансовой организацией, обратившейся за кредитом, хакеры некоторое время обменивались письмами с фондом, причём письма были написаны и оформлены чрезвычайно реалистично. В итоге им удалось убедить представителя фонда отправить кредитные средства на счёт компании преступников в Мексике, название которой в точности совпадало с названием камбоджийской МФО.

Поставщик банкоматов и платёжных технологий Diebold Nixdorf стал жертвой вымогателя ProLock, ранее известного как PwndLocker.

По заявлению компании инцидент затронул только внутренние сети компании и сказался на некоторых операциях, однако отключение систем затронуло сервисы, которыми пользуются около ста клиентов Diebold Nixdorf. В частности, была отключена система автоматизации запросов техников на местах.

Сумма требуемого выкупа не уточняется. Представители Diebold Nixdorf сообщили, что компания не планирует выполнять требования вымогателей.

Magellan Health, страховая компания из списка Fortune 500, стала жертвой вымогателя и утечки данных.

Неизвестный хакер отправил в Magellan фишинговое электронное письмо от имени клиента. Когда один из сотрудников открыл содержащееся в письме вредоносное вложение, злоумышленник получил доступ к системам компании, после чего похитил персональные данные сотрудников, зашифровал документы в сети с помощью вредоносного ПО и потребовал выкуп.

Украденные данные содержат логины и пароли, а также личные сведения сотрудников — имена, адреса, номера социального страхования и идентификаторы налогоплательщиков. Представители Magellan заявляют, что преступнику удалось похитить лишь часть сведений о сотрудниках, но о какой части из 10,5 тысяч работников компании идёт речь, не уточняют.

Киберпреступная группировка REvil похитила 756 Гб конфиденциальных данных у юридической фирмы Grubman Shire Meiselas & Sacks, которая обслуживает крупнейших мировых звезд, среди которых Леди Гага, Элтон Джон, Роберт Де Ниро и Мадонна.

Фрагмент контракта на организацию концертного турне Мадонны

Украденные данные содержат сканы контрактов, номера телефонов, адреса электронной почты, личную переписку и многое другое. Хакеры опубликовали скриншоты со списком папок, содержащих похищенную информацию и фрагменты некоторых контрактов:

От компании требуют выкуп в биткоинах, размер которого пока не сообщается.

Курьерская компания Pitney Bowes второй раз за последние семь месяцев стала жертвой вымогательского ПО.

На этот раз в сеть Pitney Bowes проник вымогатель Maze. В качестве доказательства взлома преступники опубликовали несколько скриншотов со списком файлов из внутренней сети жертвы.

Представители компании сообщили, что обратились к внешним консультантам по ИТ-безопасности, что позволило остановить атаку до того, как данные были зашифрованы.

Компания Stadler, выпускающая дизельные и электрические поезда, стала жертвой кибератаки.

Неизвестным хакерам удалось проникнуть в корпоративную сеть, заразить некоторые компьютеры вредоносным ПО и похитить данные данные компании и 11 тысяч её сотрудников со скомпрометированных устройств. Объем похищенных сведений пока не установлен.

Злоумышленники связались с компанией и потребовали выкуп, пригрозив в случае неуплаты опубликовать похищенную информацию.

На киберпреступных форумах предлагают к продаже онлайн-доступ к базе данных службы доставки CDEK.

За полный доступ к базе доставок и контрагентов, содержащей более 9 млн записей, продавец хочет всего 70 тыс. рублей.

Ресурс содержит актуальные сведения о физических и юридических лицах: адреса, номера телефонов, а также полные сведения о доставке и местонахождении грузов.

Вредоносное ПО

Новая версия инфостилера Astaroth использует описания YouTube-каналов для хранения адресов управляющих серверов.

Вредоносные кампании Astaroth обычно начинаются с фишингового письма, которое выглядит как легитимное сообщение от известного бренда. В тексте письма содержатся ссылки, по которым нужно перейти или вредоносные вложения, которые жертва должна открыть по причинам, указанным в письме.

Другие разновидности фишинговых писем используют COVID-брендирование:

Astaroth — один из самых сложных и скрытных вредоносов. Его разработчики используют
различные средства противодействия анализу и антиотладочные механики, что крайне затрудняет изучение работы инфостилера. Каждая новая версия содержит новые и часто оригинальные приёмы. «Фишкой» последней версии помимо развития антиотладочных техник стало использование описаний YouTube-каналов для хранения различной служебной информации, которую использует вредонос:

Информация в описании закодирована с использованием base64.

В декодированной строке описания содержится список адресов управляющих серверов, которые использует Astaroth.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






Представляем новости об актуальных технологиях фишинга и других атаках на человека c 1 по 7 мая 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Кампании

Microsoft предупреждает о брендированной под COVID-19 вредоносной кампании, которая использует в качестве вредоносной нагрузки файлы образов дисков ISO и IMG.

В образах дисков содержится троян удалённого доступа Remcos, который даёт атакующему полный контроль над устройством жертвы.

Вредоносный файл замаскирован под документ в формате PDF, в названии которого содержится название смертельной инфекции. Сотрудник организации, пытаясь открыть такой «документ», установит в систему троян и предоставит преступникам полный доступ к своему компьютеру.

Умные устройства

Систему предупреждения столкновения самолетов в воздухе (Traffic Collision Avoidance System, TCAS) можно обмануть с помощью USB-ключа для цифрового видеовещания стоимостью 10 долларов США и транспондера для связи с самолетом.

Система TCAS может работать в двух режимах:

  • Режим S, в котором в эфир передаётся уникальный 24-битный адрес воздушного судна вместе с высотой и данными о местоположении, полученными с GPS,
  • Режим C, в котором передается только 4-значный код транспондера и информация о высоте, а дальность и направление рассчитывает устройство TCAS на основе показаний.

Пакеты данных отправляются на частоте 1090 МГц в манчестерском кодировании, которое легко декодировать и создать систему, имитирующую настоящие самолёты. Передавая в эфир фальшивые данные в режиме C, злоумышленник может заставить самолет под управлением автопилота менять высоту в заданном направлении.

Модернизация бортовых компьютеров автомобилей Tesla создаёт риск компрометации конфиденциальных данных их бывших владельцев.

Выяснилось, что автопроизводитель распродаёт старые компьютеры, не очищая сохранённую на них информацию, среди которой присутствуют

  • учетные данные сервисов Google и Spotify
  • домашний и рабочий адрес владельца,
  • все сохраненные пароли Wi-Fi,
  • записи календаря с телефона,
  • списки вызовов и адресные книги с сопряженных телефонов,
  • сохраненные cookie-файлы сеансов Netflix и других сервисов

Серьёзной проблемой является то, что пароли учётных записей хранятся в памяти бортового компьютера в открытом виде, поэтому преступник может воспользоваться этими сведениями для получения контроля над всей цифровой жизнью жертвы.

Атаки и уязвимости

Атака POWER-SUPPLaY позволяет похитить данные с физически изолированной системы через блок питания.

Управляя электрическим током в конденсаторах блока питания, атакующий может заставить их генерировать звуковые волны. Управляя частотой переменного тока, можно изменять звук, издаваемый «поющим» конденсатором, и таким образом закодировать информацию для передачи.

Видео: демонстрация атаки

Для приёма звуковых сигналов конденсатора можно использовать расположенный неподалёку смартфон, который декодирует сигнал и передаст перехваченные данные злоумышленнику.

Особенность атаки POWER-SUPPLaY состоит в том, что вредоносное ПО не требует никаких особых привилегий. Атака работает на ПК, серверах, встроенных системах и IoT-устройствах без радиоэлементов. Недостатки метода — небольшая скорость передачи, ограничение по расстоянию (максимум 6 м), а также зависимость от уровня фонового шума.

Во фреймворке SaltStack Salt обнаружены две уязвимости, позволяющие злоумышленникам выполнять произвольный код на удалённых серверах в дата-центрах и облачных средах.

  • CVE-2020-11651 представляет собой уязвимость обхода аутентификации, связанную с непреднамеренным раскрытием функционала неавторизованным сетевым клиентам
  • CVE-2020-11652 — уязвимость обхода каталога из-за недостаточной проверки недоверенных входных данных, которая позволяет получить доступ ко всей файловой системе сервера.

Обе уязвимости получили максимальные 10 баллов по системе CVSS и уже эксплуатируются киберпреступниками для проведения реальных атак. В частности, с их использованием были взломаны

  1. Сервера инфраструктуры LineageOS, мобильной операционной системы на базе Android, используемой для смартфонов, планшетов и телевизионных приставок.
  2. Удостоверяющий центр Digicert.
  3. Блог-платформа Ghost, на которой после взлома был установлен майнер криптовалюты.
  4. Поисковый сервис Algolia, на серверах которого преступники также установили криптовалютный майнер.

Инциденты

Доменный регистратор и хостер GoDaddy сообщил об утечке данных, которая затронула 28 тыс. клиентов компании.

Согласно уведомлению, опубликованному GoDaddy, неавторизованный злоумышленник получил доступ к учётным данным некоторых клиентов и использовал из для доступа к серверам по SSH. Представители компании заявляют, что не обнаружили доказательств того, что в результате инцидента были изменены или удалены файлы клиентов, однако о просмотрах и скачиваниях файлов ­никакой информации не приводится.

Индийская технологическая компания Jio раскрыла конфиденциальные данные людей, проходивших тестирование на наличие у них коронавирусной инфекции.

В марте 2020 года Jio выпустила сервис, используя который, пользователи могли самостоятельно выявлять у себя симптомы COVID-19. Однако в начале мая база данных с результатами тестирования была обнаружена в открытом доступе.

Данные содержали сведения о пользователе, его местоположение, информацию о его устройстве и контактах, а также ответы на вопросы о самочувствии.

По утверждению компании база была предназначена для мониторинга производительности сервиса и попала в общий доступ случайно.

Неизвестный хакер заявил о похищении 500 Гб данных из закрытого GitHub-репозитория Microsoft.

Сначала хакер планировал продать информацию, но затем передумал и решил опубликовать её бесплатно. В качестве подтверждения факта взлома он предлагает 1 Гб данных на одном из хакерских форумов для зарегистрированных пользователей. Представленные хакером файлы, каталоги и образцы репозиториев содержат в основном образцы кода, тестовые проекты, eBook и другие общие данные.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






Ctrl + ↓ Ранее