Представляем новости об актуальных технологиях фишинга и других атаках на человека c 11 по 17 сентября 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Телефонные мошенники добавили в привычную схему обмана скан письма с номером «безопасного счета», на который следует перевести деньги.

Теперь после звонка якобы от службы безопасности банка с сообщением о попытке кражи денег с карты клиенту направляется «документ» с логотипом и штампом крупного банка. Обманы с использованием фальшивых писем от имени службы безопасности финансовой организации уже фиксировались в Сбербанке, Росбанке и Ак Барс Банке. Логотип известного банка повышает доверие граждан к злоумышленникам и, как следствие, эффективность мошеннической схемы.

Киберпреступная группировка Malsmoke атакует пользователей порнографических сайтов с помощью вредоносной рекламы. Кампания затрагивают практически всю рекламную сеть на порнографических ресурсах.

С помощью JavaScript вредоносная реклама переадресовывает пользователей ресурсов «для взрослых» на сайт, содержащий набор эксплойтов для уязвимостей в Adobe Flash Player и Internet Explorer, в результате чего на компьютеры жертв устанавливается вредоносное ПО: Smoke Loader, Raccoon Stealer и ZLoader.

Нацеленность кампании на пользователей Adobe Flash Player и Internet Explorer можно рассматривать как «лебединую песню» киберпреступников, поскольку IE и Flash Player в ближайшее время будут выведены из эксплуатации.

Умные устройства

«Невзламываемый» умный замок 360lock с механизмом безопасности на базе блокчейна можно взломать на программном и физическом уровне.

Замок 360lock управляется по Bluetooth Low Energy с помощью мобильного приложения. Разработчики заявляют о том, что реализовали в устройстве «максимальный уровень безопасности» благодаря использованию блокчейна.

Однако оказалось, что для открытия замка достаточно записать переданную по Bluetooth команду для разблокировки, а затем воспроизвести её. То есть никакой защиты от атаки повторного воспроизведения в замке не предусмотрено.

Вторая уязвимость замка проявляется уже на физическом уровне. Он изготовлен из цинкового сплава Zamak, который используется для изготовления молний и не отличается прочностью. В итоге для того, чтобы снять замок, достаточно одного удара молотком.

Атаки и уязвимости

Новая атака BLESA угрожает миллиардам смартфонов, планшетов, ноутбуков и IoT-устройств, использующие Bluetooth Low Energy (BLE).

Структурная схема атаки BLESA.

BLE — «облегченная» версия Bluetooth, созданная для экономии заряда аккумуляторов устройств. Подавляющее большинство проблем, выявленных в BLE, были связаны с механизмом сопряжения. Недавние исследования выявили ещё одну серьёзную уязвимость, связанную с реализацией повторного подключения (reconnection) устройств.

Повторное подключение выполняется после того, как два аутентифицированных BLE-устройства потеряли друг друга, а затем снова вернулись в зону доступности. При этом устройства должны повторно проверить криптографические ключи, уже согласованные во время первичного сопряжения, а затем подключиться и продолжать обмен данными. Однако из-за достаточно размытого описания повторного подключения в спецификации BLE выявились две системные проблемы:

1. Аутентификация во время повторного подключения оказывается необязательной;
2. Аутентификацию можно обойти, если одно из устройств отказывается от повторения процедуры.

Это делает возможным атаку BLESA — BLE Spoofing Attack, в ходе которой злоумышленник обходит проверки при повторном подключении и передает поддельные данные на BLE-устройство, подключаясь к нему под видом легитимного устройства, подключавшегося ранее.

Видео: демонстрация атаки BLESA.

Новая атака BlindSide использует уязвимости спекулятивного выполнения, чтобы обойти ASLR — Address Space Layout Randomization — механизм защиты от атак, который случайным образом меняет место выполнения приложения в адресном пространстве.

В общем случае для обхода ASLR злоумышленник должен найти уязвимость, способную привести к утечке участков памяти, либо исследовать память в поисках места, где запускается другое приложение, а затем изменить его код для атаки на это адресное пространство. Этот вариант очень сложен в реализации ,а техника BlindSide переводит атаку в сферу спекулятивного выполнения и позволяет обойти ASLR. В результате все неудачные попытки поиска адреса никак не влияют на процессор и стабильность его работы, и остаются незамеченными. Для реализации такой атаки хакеру понадобится лишь простая уязвимость, связанная с нарушением целостности информации в памяти, например, проблема переполнения буфера в ядре Linux.

Злоумышленники использовали голосовое меню банка для получения дополнительных сведений о его клиентах, чтобы впоследствии использовать эти сведения для мошенничества с применением методов социальной инженерии.

Номера телефонов клиентов и номера принадлежащих им банковских карт были ранее скомпрометированы и распространялись в интернете. Источник получения этих данных однозначно не установлен, однако, как считают в ЦБ, мошенники могли их получить в том числе из клиентской базы маркетплейса Joom, которая ранее оказалась в открытом доступе.

Схема мошенничества:

• Преступники звонили на номер интерактивного голосового меню банка, подменяя свой телефонный номер на номера реальных клиентов.
• Далее они запрашивали у системы сведения по остаткам на картах клиентов, вводя для этого последние четыре цифры номеров этих банковских карт.
• После этого мошенники, используя методы социальной инженерии, звонили своим жертвам, представляясь сотрудниками банка. Для создания доверия и успешного применения иных методов социальной инженерии они использовали полученную в банке информацию об остатках денежных средств.

Инциденты

В открытом доступе обнаружена база данных Elasticsearch компании Mailfire, содержащие персональные данные и конфиденциальную информацию пользователей сайтов знакомств.

В базе хранились 882 ГБ лог-файлов с push-уведомлениями, которые отправляли сайты своим пользователям с помощью сервиса Mailfire. В общей сложности лог-файлы содержали 66 млн уведомлений, отправленных за последние 96 часов, с персональными сведениями сотен тысяч людей. Большая их часть относилась к сайтам знакомств, которые обещают мужчинам найти молодых женщин из Восточной Европы и Восточной Азии.

В «отладочной» области сервера хранились имена, сведения о возрасте и половой принадлежности, адреса электронной почты, общие географические данные о местоположении и IP-адреса. Также в уведомлениях были ссылки на профиль пользователя с ключами аутентификации. По этой ссылке любой мог получить доступ к профилю пользователя на сайте знакомств без пароля.

Китайская компания Zhenhua собрала базу данные с персональными сведениями о самых влиятельных людях по всему миру.

В числе собранных данных — дата рождения, адреса, семейное положение, фотографии, список родственников, аккаунты в соцсетях, образование, профессиональные достижения и список преступлений. По заявлению компании основная часть информации собрана из открытых источников, однако в базе присутствуют и конфиденциальные сведения — банковские выписки и заявления о приёме на работу.

Среди людей, на которых китайская компания собрала данные имеются высокопоставленные политики, члены королевской семьи и командующие армиями. В частности, в базе есть сведения 35 тысяч австралийцев, среди которых премьер-министр Австралии Скотт Моррисон. Вcего в утёкшей базе данных имеются досье на 24 млн человек.

База данных интернет-магазина компании Razer долгое время оставалась в открытом доступе, что могло привести к утечке данных 100 тыс покупателей.

БД содержала:

• имя клиента,
• е-мейл,
• номер телефона,
• номера и детали заказов,
• биллинговые адреса и адреса доставки.

Из-за хакерской атаки в университетской клинике в Дюссельдорфе умерла пациентка.

По имеющейся информации 11 сентября вымогатели нарушили работу серверов клиники. Отключение систем происходило постепенно, на восстановление работы клинике потребовалось шесть дней. Срочные операции и амбулаторное лечение больных были отложены, а «тяжелую» пациентку пришлось срочно перевести на лечение в другую больницу. Во время транспортировки состояние женщины ухудшилось, и она скончалась.

Представители больницы пока не раскрывают подробности инцидента.

I must say I really enjoyed my conversations with different reps of @Razer support team via email for the last couple of week, but it did not bring us closer to securing the data breach in their systems. pic.twitter.com/Z6YZ5wvejl

— Bob Diachenko (@MayhemDayOne) September 1, 2020

Хотя база и не содержала паролей и платежных сведений, злоумышленники могли использовать содержащиеся в ней сведения для проведения фишинговых атак.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 4 по 10 сентября 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошеннические кампании

Обнаружена очередная мошенническая схема, эксплуатирующая тему операционных выплат бизнесу.

Представители малого и среднего бизнеса получают электронные уведомления о зачислении на на внутренний бухгалтерский счет пользователя нескольких сотен тысяч рублей. Письмо содержит ссылку на документ в легитимном хранилище. Такой способ размещения вредоносного файла злоумышленники используют, чтобы обойти защитные решения.

После перехода по указанной ссылке жертва видит, что ему полагаются некие «операционные выплаты» от неизвестной финансовой организации или даже от имени известного эквайринг-провайдера. После клика на форму пользователь перенаправляется на мошеннический ресурс, где ему предлагается создать личный кабинет, указав имя, фамилию и пароль. Для большей убедительности сайт периодически имитирует запросы авторизации или создания пароля.

В завершении мошеннического шоу пользователя просят оплатить 390 рублей за обязательную «идентификацию». Именно эти деньги и являются целью мошенников.

Сайты, почта и мессенджеры

Из-за ошибки в настройках фишинговой кампании жертва атаки рассылает 39 адресатам письма с уведомлением о том, что её обманули.

Атака начинается с фишингового уведомления от Facebook, в котором сообщается, что некто пытается зайти в учётную запись жертвы в социальной сети и предлагается подтвердить, что это жертва или сообщить о попытке взлома.

Нажатие любой кнопки приводит к тому, что вместо фишингового ресурса, запрашивающего пароль жертвы, открывается почтовый клиент с письмом, адресованным 39 получателям. При этом пользователь по-прежнему должен нажать кнопку «Send», чтобы отправить письмо.

Атаки и уязвимости

Разработана атака Raccoon на криптографический протокол TLS, которая позволяет расшифровать HTTPS-трафик между пользователем и сервером.

Raccoon — разновидность атаки по времени (timing attack), в ходе которой атакующий измеряет время выполнения известных криптографических операций, чтобы определить фрагмент алгоритма. В Raccoon объект атаки — процесс обмена ключами в протоколе Диффи-Хеллмана. Атакующий пытается восстановить несколько байтов информации для построения системы уравнений, решение которой позволяет вычислить сеансовый ключ для связи между клиентом и сервером.

Для атаки уязвимы все серверы, использующие для установки TLS-соединения протокол Диффи-Хеллмана с версией TLS 1.2 и ниже. Raccoon не может быть проведена на стороне клиента. Она должна запускаться для каждого соединения клиент-сервер и не позволяет восстановить закрытый ключ шифрования сервера и одновременно расшифровать все соединения.

В протоколе Bluetooth обнаружена новая уязвимость CVE-2020-15802, которая может использоваться для перезаписи ключей аутентификации Bluetooth.

Получившая название BLURtooth проблема относится к компоненту Cross-Transport Key Derivation (CTKD), который используется для аутентификации при сопряжении Bluetooth-устройств Low Energy (BLE) и Basic Rate/Enhanced Data Rate (BR/EDR). Используя BLURtooth, злоумышленник может манипулировать компонентом CTKD для перезаписи ключей аутентификации Bluetooth и таким образом получить доступ к поддерживающим Bluetooth сервисам и приложениям на устройстве.

Уязвимость затрагивает устройства с Bluetooth версий с 4.0 до 5.0.

Группировка TeamTNT атакует облачные среды с помощью легитимного инструмента Weave Scope, предназначенного для визуализации и мониторинга Docker и Kubernetes, распределенных облачных операционных систем (DC/OS) и AWS Elastic Compute Cloud (ECS).

Атакв начинается с размещения в Docker Hub вредоносного образа, содержащего вредоносные скрипты для майнинга криптовалют. Через открытый порт Docker API злоумышленники создают новый привилегированный контейнер с «чистым» образом Ubuntu и настраивают его так, чтобы его файловая система была подключена к файловой системе сервера жертвы.

Затем злоумышленники запускают в контейнере майнер криптовалюты и пытаются повысить привилегии до суперпользователя путем создания привилегированного пользователя «hilde» на хост-сервере.

После этого на хост жертвы загружается и устанавливается инструмент Weave Scope. Его панель управления отображает визуальную карту инфраструктуры Docker и позволяет атакующим запускать команды оболочки без необходимости устанавливать вредоносное ПО.

Обнаружена ещё одна разновидность «текстовой бомбы», которая выводит из строя мессенджер WhatsApp.

-Anti crash integrated into official WhatsApp: There are messages designed to freeze or crash your WhatsApp. Then there are modded WhatsApp versions that have a “Crashcode protection” like a bigger Unicode database. We need this integrated into the official application. pic.twitter.com/bpyWtFUwQO

— Ian (@Ian_Oli_01) August 15, 2020

Выяснилось, что мессенджер не может «переварить» определённую строку Unicode-символов, поэтому экстренно завершает работу каждый раз, когда пользователь попытается прочитать проблемное послание.

Темы Windows 10 могут использоваться для незаметного хищения учетных данных пользователей с помощью атаки Pass-the-Hash.

[Credential Harvesting Trick] Using a Windows .theme file, the Wallpaper key can be configured to point to a remote auth-required http/s resource. When a user activates the theme file (e.g. opened from a link/attachment), a Windows cred prompt is displayed to the user 1/4 pic.twitter.com/rgR3a9KP6Q

— bohops (@bohops) September 5, 2020

Для проведения атаки достаточно настроить тему так, чтобы обои рабочего стола загружались с ресурса злоумышленника, тогда при попытке доступа к этому ресурсу Windows автоматически попытается авторизоваться в удаленной системе путем отправки логина и NTLM-хэша пароля пользователя. Эти данные доступны для перехвата злоумышленником, который затем сможет расшифровать пароль.

В Windows 10 обнаружена уязвимость нулевого дня, эксплуатация которой позволяет создавать файлы в защищённых областях ОС. Уязвимость работает только на компьютерах с включённой функцией Hyper-V.

Unprivileged users are not allowed to create files in system32 folder- on hyper-v hosts they finally realised that unprivileged lives matters too as anyone can now create files there , with creater as owner, just open like this: pic.twitter.com/Pd6nnqhcKZ

— Jonas L (@jonasLyk) September 1, 2020

Источник проблемы — драйвер storvsp.sys (Storage VSP — Virtualization Service Provider), который представляет собой компонент Hyper-V на стороне сервера. Некорректная обработка прав позволяет непривилегированному пользователю создать в папке System32 файл с произвольным именем, а поскольку создатель файла является его владельцем, он сможет впоследствии поместить в него произвольный вредоносный код.

Инциденты

Один из крупнейших чилийских банков BancoEstado стал жертвой вымогательского ПО REvil (Sodinokibi).

Información importante sobre nuestra red de atención pic.twitter.com/CfFeb9tCzK

— BancoEstado (@BancoEstado) September 7, 2020

Атака началась с получения одним из сотрудников BancoEstado вредоносного документа Microsoft Office. Когда сотрудник открыл его, в сеть банка внедрился бэкдор, используя который, злоумышленники установили и запустили в инфраструктуре кредитной организации вымогательское ПО.

Вымогатель зашифровал большую часть внутренних серверов и компьютеров банка, поэтому скрыть факт атаки не удалось из-за невозможности обслуживать клиентов.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 28 августа по 3 сентября 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Вредоносное ПО

Троян KryptoCibule распространяется через торрент-трекеры и ориентирован на кражу и добычу криптовалюты у пользователей Windows из Чехии и Словакии.

Основные функции KryptoCibule:

• майнинг Monero и Ethereum в системах жертв,
• хищение криптовалютных кошельков,
• подмена адресов кошельков в буфере обмена ОС.

Для связи с управляющими серверами KryptoCibule использует Tor, а для загрузки торрент-файлов, отвечающих за скачивание дополнительных модулей (прокси-серверы, модули для майнинга, а также серверы HTTP и SFT) используется торрент-клиент.

Компания Apple разрешила вредоносной программе Shlayer работать на macOS. Вредоносное ПО было замаскировано под обновление для Adobe Flash Player и успешно прошло необходимую верификацию.

Автоматизированные проверки, которые применяет Apple перед публикацией приложений в App Store, оказались не слишком надежными, что позволило вредоносному сайту Homebrew распространять установщики вредоноса Shlayer, прошедшие официальную нотаризацию в App Store под видом обновлений для Adobe Flash Player.

Умные устройства

Уязвимости в сетевых службах компании Tesla позволяли скомпрометировать инфраструктуру взаимодействия с автомобилями, а затем удалённо отправлять команды запуска двигателя, блокировки дверей и другие. Для получения доступа требовался лишь VIN автомобиля жертвы.

Источник проблемы — набором инструментов, опубликованный на сайте toolbox.teslamotors.com. В коде модулей для разработчиков присутствовали учётные данные для доступа к внутренним сервисам сети Tesla. В коде также были найдены учётные данные пользователя узла управления кластером, отвечавшим за доставку приложений на другие серверы. На сервере оказались в открытом доступе учётные данные для доступа к базам PostgreSQL и MySQL, причём доступ к большинству из компонентов можно было получить без учетных данных.

Мобильная безопасность

Ботнет TERRACOTA загружал на смартфоны мошенническую рекламу, маскируясь под полезные приложения.

Разработанные для ботнета приложения в Play Market обещали пользователям бонусы и бесплатные товары в обмен на установку:

• ботинки, кроссовки, сапоги,
• билеты на концерты,
• купоны,
• скидки на дорогие стоматологические процедуры.

Для получения подарков пользователям требовалось установить приложение, а затем подождать две недели. На самом деле приложения загружали и запускали в скрытом режиме модифицированную версию мини-браузера WebView и загружали в нём мошенническую рекламу, зарабатывая для операторов деньги за показы.

За последнюю неделю июня TERRACOTTA незаметно загрузил более 2 млрд рекламных объявлений на 65 тыс. зараженных смартфонов.

В операционной системе Android обнаружена уязвимость CVE-2020-8913, позволявшая вредоносным приложениям извлечь конфиденциальные данные из легитимных программ, установленных на том же устройстве.

Источником проблемы оказалась библиотека Play Core, которая позволяет разработчикам интегрировать в свои программы функции обновления модулей и языковых пакетов. Вредоносные приложения могли использовать уязвимость для внедрения своих модулей в официальный софт, если он использовал Play Core. Таким образом можно было выкрасть пароли, номера банковских карт и другую конфиденциальную информацию с устройства.

Google подтвердила наличие уязвимости, присвоив ей 8,8 баллов из 10.

Инциденты

На продажу выставлена база данных с информацией о счетах клиентов банка ВТБ, содержащая до 50 млн записей.

В тестовом фрагменте базы, представленном в качестве образца для потенциальных покупателей, содержатся ФИО, номера телефонов и паспортов четырнадцати граждан.
Одиннадцать из них действительно имеют счета в ВТБ. Проверить этот факт можно с использованием системы быстрых платежей, которая при оформлении перевода позволяет по номеру телефона увидеть наличие счета в конкретном банке, а также имя, отчество и первую букву фамилии его владельца.

По словам продавца, в его распоряжении имеется база данных объемом от 30 до 50 млн записей, которую он может выгружать напрямую, день в день. Стоимость одной записи составляет 25 рублей.

Житель города Ершова похищал деньги с банковских счетов граждан с помощью фишинга.

Преступник создал 10 фальшивых сайтов, имитирующих официальный сайт одного из крупнейших российских провайдеров цифровых услуг. Когда пользователи пытались пополнить счет на одном из фишинговых сайтов, злоумышленник получал доступ к конфиденциальным данным абонентов, в том числе реквизитам банковских карт, после чего переводил деньги на свои счета в различных платежных системах и обналичивал в банкоматах.

Посольство России в Австрии стало жертвой целевой фишинговой атаки.

Сотрудников дипмиссии попросили не открывать вложения и не переходить по ссылкам, которые приходят в письмах с адреса info.austria@mid.ru.

«На основной электронный адрес посольства info.austria@mid.ru осуществляется спам-атака. Имеются также основания предполагать, что почтовый аккаунт был взломан злоумышленниками.»

Из сообщения на сайте дипмиссии.

Источник атаки пока не установлен.

Свердловский областной онкологический центр стал жертвой кибератаки.

Преступники заблокировали базу данных патологоанатомического отделения, содержащую результаты биопсии от 200 до 400 больных. За восстановление базы с руководства центра потребовали 80 тыс. руб.

«Это катастрофа, потому что от гистологии зависит, какое назначать лечение. Часть восстановили примерно по операционным журналам, но остальное погибло. Хакеры потребовали 80 тысяч за возврат. Руководство согласилось заплатить, но сейчас хакеры не выходят на связь, до них не могут дозвониться. Нелюди. Онкологических больных обрушили»

Светлана Лаврова, врач-нейрофизиолог.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.