как поведение людей влияет на безопасность

ДайджестыСтатьиСписок постов

Позднее Ctrl + ↑

Антифишинг-дайджест № 186 с 28 августа по 3 сентября 2020 года

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 28 августа по 3 сентября 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Вредоносное ПО

Троян KryptoCibule распространяется через торрент-трекеры и ориентирован на кражу и добычу криптовалюты у пользователей Windows из Чехии и Словакии.

Основные функции KryptoCibule:

  • майнинг Monero и Ethereum в системах жертв,
  • хищение криптовалютных кошельков,
  • подмена адресов кошельков в буфере обмена ОС.

Для связи с управляющими серверами KryptoCibule использует Tor, а для загрузки торрент-файлов, отвечающих за скачивание дополнительных модулей (прокси-серверы, модули для майнинга, а также серверы HTTP и SFT) используется торрент-клиент.

Компания Apple разрешила вредоносной программе Shlayer работать на macOS. Вредоносное ПО было замаскировано под обновление для Adobe Flash Player и успешно прошло необходимую верификацию.

Автоматизированные проверки, которые применяет Apple перед публикацией приложений в App Store, оказались не слишком надежными, что позволило вредоносному сайту Homebrew распространять установщики вредоноса Shlayer, прошедшие официальную нотаризацию в App Store под видом обновлений для Adobe Flash Player.

Умные устройства

Уязвимости в сетевых службах компании Tesla позволяли скомпрометировать инфраструктуру взаимодействия с автомобилями, а затем удалённо отправлять команды запуска двигателя, блокировки дверей и другие. Для получения доступа требовался лишь VIN автомобиля жертвы.

Источник проблемы — набором инструментов, опубликованный на сайте toolbox.teslamotors.com. В коде модулей для разработчиков присутствовали учётные данные для доступа к внутренним сервисам сети Tesla. В коде также были найдены учётные данные пользователя узла управления кластером, отвечавшим за доставку приложений на другие серверы. На сервере оказались в открытом доступе учётные данные для доступа к базам PostgreSQL и MySQL, причём доступ к большинству из компонентов можно было получить без учетных данных.

Мобильная безопасность

Ботнет TERRACOTA загружал на смартфоны мошенническую рекламу, маскируясь под полезные приложения.

Разработанные для ботнета приложения в Play Market обещали пользователям бонусы и бесплатные товары в обмен на установку:

  • ботинки, кроссовки, сапоги,
  • билеты на концерты,
  • купоны,
  • скидки на дорогие стоматологические процедуры.

Для получения подарков пользователям требовалось установить приложение, а затем подождать две недели. На самом деле приложения загружали и запускали в скрытом режиме модифицированную версию мини-браузера WebView и загружали в нём мошенническую рекламу, зарабатывая для операторов деньги за показы.

За последнюю неделю июня TERRACOTTA незаметно загрузил более 2 млрд рекламных объявлений на 65 тыс. зараженных смартфонов.

В операционной системе Android обнаружена уязвимость CVE-2020-8913, позволявшая вредоносным приложениям извлечь конфиденциальные данные из легитимных программ, установленных на том же устройстве.

Источником проблемы оказалась библиотека Play Core, которая позволяет разработчикам интегрировать в свои программы функции обновления модулей и языковых пакетов. Вредоносные приложения могли использовать уязвимость для внедрения своих модулей в официальный софт, если он использовал Play Core. Таким образом можно было выкрасть пароли, номера банковских карт и другую конфиденциальную информацию с устройства.

Google подтвердила наличие уязвимости, присвоив ей 8,8 баллов из 10.

Инциденты

На продажу выставлена база данных с информацией о счетах клиентов банка ВТБ, содержащая до 50 млн записей.

В тестовом фрагменте базы, представленном в качестве образца для потенциальных покупателей, содержатся ФИО, номера телефонов и паспортов четырнадцати граждан.
Одиннадцать из них действительно имеют счета в ВТБ. Проверить этот факт можно с использованием системы быстрых платежей, которая при оформлении перевода позволяет по номеру телефона увидеть наличие счета в конкретном банке, а также имя, отчество и первую букву фамилии его владельца.

По словам продавца, в его распоряжении имеется база данных объемом от 30 до 50 млн записей, которую он может выгружать напрямую, день в день. Стоимость одной записи составляет 25 рублей.

Житель города Ершова похищал деньги с банковских счетов граждан с помощью фишинга.

Преступник создал 10 фальшивых сайтов, имитирующих официальный сайт одного из крупнейших российских провайдеров цифровых услуг. Когда пользователи пытались пополнить счет на одном из фишинговых сайтов, злоумышленник получал доступ к конфиденциальным данным абонентов, в том числе реквизитам банковских карт, после чего переводил деньги на свои счета в различных платежных системах и обналичивал в банкоматах.

Посольство России в Австрии стало жертвой целевой фишинговой атаки.

Сотрудников дипмиссии попросили не открывать вложения и не переходить по ссылкам, которые приходят в письмах с адреса info.austria@mid.ru.

«На основной электронный адрес посольства info.austria@mid.ru осуществляется спам-атака. Имеются также основания предполагать, что почтовый аккаунт был взломан злоумышленниками.»

Из сообщения на сайте дипмиссии.

Источник атаки пока не установлен.

Свердловский областной онкологический центр стал жертвой кибератаки.

Преступники заблокировали базу данных патологоанатомического отделения, содержащую результаты биопсии от 200 до 400 больных. За восстановление базы с руководства центра потребовали 80 тыс. руб.

«Это катастрофа, потому что от гистологии зависит, какое назначать лечение. Часть восстановили примерно по операционным журналам, но остальное погибло. Хакеры потребовали 80 тысяч за возврат. Руководство согласилось заплатить, но сейчас хакеры не выходят на связь, до них не могут дозвониться. Нелюди. Онкологических больных обрушили»

Светлана Лаврова, врач-нейрофизиолог.

 6   1 мес   дайджест   фишинг

Антифишинг-дайджест № 185 с 21 по 27 августа 2020 года

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 21 по 27 августа 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Уязвимости и атаки

Разработана техника SpiKey, которая позволяет подобрать ключ к замку по звуку поворота ключа.

Схема атаки SpiKey.

Для проведения атаки достаточно записать на микрофон обычного смартфона звук вставки и извлечения ключа из замка. Этот звук позволяет сделать выводы о форме ключа и его бородке, а затем создать копию.

Специально разработанная программа определяет время между щелчками, которые происходят при контакте ключа со штифтами в замке, а затем, основываясь на этих данных, воссоздает сам ключ. Полученные данные можно использовать для создания копии ключа с помощью 3D-принтера.

На текущий момент программа предлагает несколько подходящих ключей-кандидатов, а не единственный готовый вариант. Однако такой «акустический» анализ обычного ключа с шестью выступами позволяет отбраковать более 94% ключей и оставить не более 10 ключей-кандидатов.

Чтобы получить максимально хороший результат, требуется постоянная скорость при повороте ключа в замке. Это ограничение можно обойти, записав звук открывания/закрывания замка несколько раз. К примеру, атакующий может установить малварь на смартфон или умные часы жертвы или собрать данные с дверных датчиков, если те укомплектованы микрофонами.

Запись щелчков должна производиться на расстоянии примерно 10 сантиметров от замка, для более дальних дистанций понадобится направленный микрофон.

Обнаружена вредоносная кампания, в рамках которой для атак используется вредоносный код, спрятанный внутри плагинов для 3Ds Max.

Схема атаки на 3Ds Max.

Для атак использовался вредоносный плагин PhysXPluginMfx, эксплуатирующий утилиту MAXScript из комплекта поставки 3Ds Max. При загрузке в 3Ds Max плагин изменяет настройки, запускает вредоносный код и заражает другие файлы *.max в системе Windows для распространения на другие компьютеры.

Настоящей целью вредоносного кода было развертывание бэкдор-трояна, который атакующие использовали для поиска на зараженных машинах конфиденциальных файлов и последующей кражи важных документов. Управляющие серверы для этой кампании расположены в Южной Корее.

В системах мониторинга Xorux LPAR2RRD и STOR2RRD Virtual Appliance обнаружена опасная уязвимость CVE-2020-24032, эксплуатация которой может привести ко взлому корпоративной сети.

Источник уязвимости — недостаточная фильтрация данных в параметрах POST-запроса при установке временной зоны. Для эксплуатации уязвимости необходим доступ к функции set timezone через веб-интерфейс продукта. В результате злоумышленники смогут выполнять команды на сервере системы.

В облачном сервисе Google Диск обнаружена уязвимость, которую можно использовать для целевых фишинговых атак путём подмены легитимных документов или изображений их вредоносными версиями.

Источник проблемы — функция «Управление версиями». Она позволяет пользователям загружать различные версии файла и управлять ими. Теоретически «Управление версиями» должно предоставлять пользователям возможность заменить старый файл новой версией, имеющей то же расширение, однако в действительности сервис позволяет загружать в качестве новой версии файл с любым расширением. Google просто не проверяет, тот ли это тип файла и имеет ли он то же расширение, что и «старая» версия.

Таким образом, злоумышленник может подменить любой файл вредоносным вариантом, причем при предпросмотре он будет казаться совершенно безобидным.

Вредоносные кампании

Обнаружена фишинговая кампания, в рамках которой преступники из группировки Lazarus Group с помощью поддельного объявления о вакансии в LinkedIn обманули системного администратора криптовалютной организации.

В качестве приманки использовалась тема Общего регламента по защите данных (General Data Protection Regulation, GDPR). Файл с вредоносным ПО, отправленный в виде вложения к сообщению LinkedIn, побуждал системного администратора открыть его для получения подробной информации о новой интересной работе. Документ был якобы защищен GDPR, поэтому для его открытия нужно было разрешить выполнение макросов.

Умные устройства

В телевизионных приставках Thomson и Philips обнаружены опасные уязвимости, используя которые злоумышленникам могут установить на устройства вредоносные программы.

Источник уязвимости — открытые на устройствах telnet-порты. В протоколе telnet, которому больше 50 лет, защита не предусмотрена. В результате атакующий с лёгкостью может получить удалённый доступ к приставкам и использовать их в атаках ботнетов: запускать DDoS и реализовывать другие вредоносные схемы.

Ещё одним фактором, усугубляющим риск, является использование в устройствах Thomson и Philips ядра Linux 3.10.23, поддержка которого прекратилась в ноябре 2017 года. Поскольку обновления не выпускаются уже почти три года, накопилось множество уязвимостей, которые также можно использовать для компрометации устройств.

Мобильная безопасность

Китайские смартфоны производства Transsion Holdings «из коробки» содержат вредоносное ПО, которое похищает персональные данные, демонстрирует рекламу и тайно подписывает пользователей по всему миру на платные услуги.

Пользователи смартфона Tecno W2 обнаружили, что их устройство показывает рекламные объявления поверх окон приложений и даже во время разговоров по телефону. С мобильных счетов списывались деньги, несанкционированно подключались платных услуг.

Оказалось, что телефон поставляется с завода со встроенными вредоносами xHelper и Triada, загружающими сторонние приложения в фоновом режиме. При этом удалить вредоносное ПО невозможно, поскольку оно является частью прошивки.

В общей сложности зафиксировано 19,2 млн подозрительных транзакций, в рамках которых вредоносы тайно подписывали пользователей более чем 200 тыс. устройств на платные услуги.

Инциденты

Обнаружен способ хищения средств со счетов клиентов в банке с использованием Системы быстрых платежей (СБП).

В мобильном банке одной из кредитных организаций возможности переводов по СБП была оставлена уязвимость, связанная с открытым API-интерфейсом. Через нее мошенники смогли подменять счета отправителя.

Злоумышленник через уязвимость в одной из банковских систем получил данные счетов клиентов. Затем он запустил мобильное приложение в режиме отладки, авторизовавшись как реальный клиент, отправил запрос на перевод средств в другой банк, но перед совершением перевода вместо своего счета отправителя средств указал номер счета другого клиента этого банка. ДБО, не проверив, принадлежит ли указанный счет отправителю, направило в СБП команду на перевод средств, который был успешно исполнен. Так мошенники отправляли себе деньги с чужих счетов.

Обнаружена утечка данных 55 тыс. карт клиентов маркетплейса Joom. База данных содержит первые шесть и последние четыре цифры номера карты, срок ее действия, указание платежной системы и банка, который выпустил карту, а также ФИО, контактные данные (телефон и электронную почту) и адрес проживания.

«Подтвердить информацию об объеме в 55 тысяч мы не можем: сперва нам нужно изучить опубликованную базу и проанализировать ее на предмет соответствия нашим данным.»

Представитель Joom

Хакеры CCP Unmasked заявили о взломе китайских компаний Knowlesys, Yunrun Big Data Service и OneSight, которые занимаются мониторингом и надзором за социальными сетями.

В качестве доказательства журналистам были переданы 40 Гб файлов, в которых, разоблачаются целые кампании по мониторингу социальных сетей и дезинформации. Например, в одной из презентаций компания сообщает о «тесном сотрудничестве со спецслужбами на протяжении 8 лет», а также о том, что её клиенты — спецслужбы, службы безопасности, военные и полиция.

 9   1 мес   дайджест   фишинг

Антифишинг-дайджест № 184 с 14 по 20 августа 2020 года

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 14 по 20 августа 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Вредоносные кампании

В рамках новой фишинговой кампании от имени ФНС киберпреступники распространяют ПО для удаленного управления компьютером.

  1. Жертве приходит письмо с адреса info@nalog.ru
  2. На самом деле письма рассылались с публичных почтовых сервисов, технические заголовки были подделаны.
  3. Жертве предлагалось явиться в «Главное Управление ФНС России» для «дачи показаний по движению денежных средств», а также распечатать и заполнить документы, находящиеся во вложении к письму. В случае неповиновения, отправитель «обещал» санкции, предусмотренные УК РФ.
  4. Ни организации, фигурирующей в подписи к письму, ни сотрудников, от имени которых были отправлены эти сообщения, не существует.
  5. Во вложении к поддельному письму находился архив «zapros-dokumentov.rar», в котором был другой запароленный архив и текстовый файл с паролем от него.
  6. При открытии архива на компьютер жертвы загружалась легитимная программа для удалённого администрирования и управления компьютером, RMS (Remote Manipulator System), модифицированная так, что при запуске исполняемого файла преступники получали полный удаленный контроль над рабочей станцией.

Организаторы новой вредоносной кампании Duri используют техники HTML smuggling и BLOB-объекты для загрузки вредоносного ПО в обход решений безопасности.

Работа межсетевых экранов, прокси-серверов и песочниц базируется на изучении файловых объектов, например, исполняемых файлов, архивов и других потенциально вредоносных типов.

Организаторы Duri используют генерируют полезную нагрузку «на лету», загружая файлы непосредственно из браузера с помощью техники HTML smuggling, представляющую собой комбинацию JavaScript, HTML5 и data: URL. Поскольку вся полезная нагрузка собирается в браузере на стороне клиента, никакие объекты не передаются в песочницу для проверки.

Обнаружена новая фишинговая кампания обновленного трояна IcedID, получившего новые функции для маскировки и обхода защитных решений.

Вредонос рассылался со взломанных учетных записей сотрудников PrepNow.com. Жертва получала фишинговое письмо от бухгалтерии со вложенным «счётом». На самом деле документ представлял собой защищенный паролем вредоносный ZIP-файл. Запароленный архив успешно обходил антивирусные решения, при этом пользователь мог открыть архив, поскольку пароль был указан в письме.
Злоумышленники также применили различные варианты обфускации слова «attached» («приложенный») в письме, чтобы обойти спам-фильтры, настроенные на выявление массовых спам-кампаний.
Для обхода спам-фильтров Gmail злоумышленники с помощью Unicode-символов развернули задом-наперед имя файла внутри ZIP-файла

Уязвимости и атаки

Некоторые клиенты электронной почты содержат уязвимость, которая может привести к хищению локальных файлов.

Причина проблемы в том, как в уязвимых приложениях реализован стандарт RFC6068, описывающий URI-схему mailto. Нажатие на такие ссылки приводит к открытию нового окна для составления электронного письма. Согласно RFC6068, ссылки mailto могут поддерживать различные параметры, которые могут использоваться для предварительного заполнения полей нового письма.

Например, ссылка вида

<a href="mailto:bob@host.com?Subject=Hello&body=Friend">Click me!</a>

откроет новое окно для создания письма, в котором адрес электронной почты получателя будет bob@host.com, темой будет значиться «Hello», а текст будет начинаться с «Friend». В соответствии с RFC6068 ссылка mailto может иметь параметр attach или attachment, который позволяет открывать окна создания нового письма с уже вложенным файлом.

Злоумышленник может отправить жертве письмо, содержащее замаскированные ссылки mailto, или разместить такие ссылки на сайте. При нажатии на них к письму автоматически добавится конфиденциальный файл. Если пользователь не заметит прикрепленный файл, атакующий может получить конфиденциальные данные, включая ключи SSH и PGP, файлы конфигурации, файлы криптовалютных кошельков, пароли или важные бизнес-документы при условии, что пути для этих файлов известных.

Возможные сценарии такой атаки:

  • использование точных путей к нужным файлам;
  • использование знаков «*» для кражи сразу нескольких файлов;
  • использование URL-адресов для внутренних сетевых ресурсов (\\company_domain\file );
  • использование URL-адресов, приводящих жертву на SMB-сервер злоумышленника, из-за чего у жертвы утекает хэш NTLM (\\evil.com\dummyfile);
  • использование IMAP-ссылок для кражи всей электронной почты из IMAP-ящика пользователя (imap:///fetch>UID>/INBOX).

Из 20 проверенных почтовых клиентов четыре оказались уязвимы перед атаками через ссылки mailto:

  • Evolution, дефолтный почтовый клиент GNOME (CVE-2020-11879);
  • KMail, дефолтный почтовый клиент KDE (CVE-2020-11880);
  • IBM/HCL Notes для Windows (CVE-2020-4089);
  • старые версии Thunderbird для Linux.

Инциденты

В открытом доступе обнаружена база данных, содержащая данные 235 млн профилей пользователей Instagram, TikTok и YouTube.

Пример данных о профиле Instagram, содержащихся в базе.

Найденная БД принадлежит компании Deep Social, которую в 2018 году забанили на площадке Facebook за недобросовестны сбор данных профилей пользователей.

Содержимое базы делится на несколько блоков:

  • 96 млн записей о пользователях Instagram,
  • ещё 95 млн записей с данными Instagram-пользователей,
  • 42 млн записей о пользователях TikTok,
  • около 4 млн записей о пользователях Youtube.

Записи содержат следующую информацию:

  • Имя профиля,
  • Полное имя пользователя,
  • Фото профиля,
  • Описание профиля,
  • Категория профиля — бизнес или реклама,
  • Статистика по подписчикам — количество, частота подписок, скорость роста, половая принадлежность аудитории, возраст и страна, а также количество лайков;
  • Дата последней публикации,
  • Возраст,
  • Пол.

Около 20% записей также содержали телефонный номер владельца аккаунта и адрес его электронной почты.

Крупнейший круизный оператор Carnival Corporation пострадал от кибератаки, в результате которой оказались похищены данные клиентов компании.

В ходе атаки 15 августа злоумышленники проникли в сеть компании с помощью уязвимости CVE-2019-19781 на серверах Citrix, загрузили вымогательское ПО, зашифровали часть информационных систем одного из брендов компании и скачали внутренние файлы.

Работа сервисов холдинга Konica Minolta была нарушена в течение недели из-за кибератаки с использованием программы-вымогателя.

Начиная с 30 июля пользователи не могли зайти на портал поддержки MyKMBS. Они получали сообщение, что сервис временно недоступен без указания причины сбоя. Сайт не работал около недели.

По данным некоторых источников компания стала жертвой нового шифровальщика RansomEXX. В результате атаки файлы на устройствах Konica Minolta оказались зашифрованы. Пока неизвестно, какую сумму потребовали преступники за восстановление доступа к файлам, а также какие действия предприняла в ответ компания.

Очередной жертвой вымогателя-шифровальщика REvil (Sodinokibi) стала компания Brown-Forman Corporation, которой принадлежат такие бренды как Jack Daniel’s и Finlandia.

Преступникам удалось похитить 1 ТБ конфиденциальных данных из сети компании, среди которых были сведения о сотрудниках, контрактах, финансовых документах и внутренней корреспонденции. Хакеры заявили, изучали внутреннюю компьютерную инфраструктуру компании в течение месяца.

В качестве доказательства взлома киберпреступники опубликовали фрагменты похищенных документов и скриншоты,папок,с украденными файлами.

Представители компании Brown-Forman признали факт кибератаки, однако сообщили, что шифрование систем удалось предотвратить. Сумма требуемого выкупа не указывается. В переговоры со злоумышленниками Brown-Forman не вступает.

Посетители ресторана отеля Ritz в Лондоне стали жертвами мошенников, которые выманивали у них данные банковских карт.

Когда клиент отеля делал заказ в ресторане, злоумышленники звонили ему по телефону, представлялись сотрудниками отеля, в точности повторяли сделанный заказ и просили подтвердить платежные данные. Когда жертва сообщала эту информацию, мошенники пытались оформить заказы по каталогу товаров Argos.

Пока неизвестно, как злоумышленники узнавали заказы клиентов Ritz и как им удавалось звонить клиентам с настоящего телефонного номера Ritz.

 9   1 мес   дайджест   фишинг
Ранее Ctrl + ↓