Представляем новости об актуальных технологиях фишинга и других атаках на человека c 30 ноября по 6 декабря 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Злоумышленники из группировки APT28 использовали для распространения вредоносного ПО фишинговые письма с новостями о Brexit.

1. Письма содержали вредоносный документ MS Word с именем «Brexit 15.11.2018.docx». 15.11.2018 — дата публикация Еврокомиссией текста окончательного проекта выхода Великобритании из Евросоюза.
2. При открытии документа пользователю предлагается отключить защищенный режим и активировать макросы.
3. Если выполнить это действие, в систему установится бэкдор Zekapab.
4. Zekapab собирает информацию о системе и списке запущенных процессов, после чего отправляет эти сведения на управляющий сервер, который в ответ направляет вредоносную программу для дальнейших действий.

Мобильная безопасность и телефонное мошенничество

Нечестные разработчики используют TouchID на устройствах Apple, чтобы обманом заставить жертву совершить покупку внутри приложения.

1. При первом запуске такие приложения просят своих жертв приложить палец к сканеру TouchID якобы для завершения настройки.
2. Предоставив приложению свой отпечаток, пользователь подтверждал платеж через TouchID в размере 99.99, 119.99 или 139.99 долларов США.
3. Если пользователь отказывался, приложение попросту не запускалось.
4. Для проведения платежа у пользователя должна быть банковская карта с достаточным количеством средств, привязанная к AppStore.

Scam iOS apps has been found on Apple App Store tricking users to pay over $100

Apps ask for fingerprint right at the moment when paying pop-up shows, which is accepted by user fingerprint.https://t.co/7WwT6bhsLF pic.twitter.com/BYZvd7p0VD

— Lukas Stefanko (@LukasStefanko) 3 декабря 2018 г.

Мошенники по телефону выманивают деньги у пожилых жителей США, притворяясь их родственниками или близкими, попавшими в беду.

1. Злоумышленники собирают информацию о потенциальной жертве в социальных сетях и других источниках.
2. Как правило, мошенники просят деньги на внесение залога или решение проблем с законом. Другой вариант — аварии, в которых мнимый родственник оказался виновником, например, из-за вождения в нетрезвом виде или использования телефона за рулем.
3. Злоумышленники играют на эмоциях, утверждая, что им больше некому позвонить, кроме как любимой бабушке или дедушке.
4. Чтобы скрыть разницу в голосе, они придумывают легенду о сломанном носе или разговаривают сквозь непрекращающиеся рыдания.
5. Чтобы затруднить поимку, преступники настаивают на наличных, предлагая разложить банкноты по нескольким конвертам, спрятать их между страниц журналов и отправить курьерской службой или обычной почтой.

За последние 12 месяцев ущерб от подобного мошенничества вырос более чем в полтора раза, достигнув 41 млн долларов США.

Атаки и утечки

Для атак против европейских банков злоумышленники использовали устройства, подключённые к локальной сети банка.

Cтолы с розетками отлично подходят для скрытого размещения.

1. Злоумышленники под видом курьера или соискателя вакансии проникали в помещение банка и незаметно подключали устройство к сети банка в переговорной или другом оборудованном розетками месте.
2. В качестве устройства для проникновения использовался нетбук или недорогой ноутбук, одноплатный компьютер на базе Raspberry Pi, либо Bash Bunny, специальный инструмент для проведения USB-атак.
3. Для удаленного доступа к устройству использовался GPRS/3G/LTE-модем, встроенный в устройство или подключенный к нему через USB-порт.
4. Злоумышленники удаленно подключались к своему устройству и сканировали локальную сеть, пытаясь получить доступ к папкам общего доступа, веб-серверам и другим открытым ресурсам.
5. Одновременно запускался перебор и перехват данных, которые можно использовать для авторизации в сети.
6. Получив такие данные, злоумышленники авторизовались в системе и внедряли на ней ПО для удалённого доступа.
7. Чтобы обойти белые списки и доменные политики, взломщики применяли бесфайловые методици и скрипты PowerShell.

Любопытная деталь: сценарий атаки почти буквально повторяет сюжет одного из эпизодов сериала «Mr. Robot».

В результате взлома системы бронирования Starwood Hotels & Resorts преступники похитили персональные данные 500 млн клиентов гостиниц группы Marriott International Inc.

Похищенная информация содержит ФИО, телефоны, паспортные данные, адреса электронной почты, почтовые адреса, даты рождения, а также номера банковских карт и сведения о сроках истечения их действия. Как отмечается в пресс-релизе Mariott, номера банковских карт хранились в зашифрованном виде, но не исключено, что преступники смогли расшифровать данные.

Неизвестные злоумышленники смогли получить доступ к серверам проекта Quora и похитить личную информацию примерно 100 млн человек.

Установлено, что злоумышленники получили доступ:

• к информации об аккаунтах, включая имена, email-адреса, зашифрованные пароли;
• данным о публичных действиях и контенте, то есть к вопросам, ответам, комментариям и положительным оценкам пользователей;
• данным о непубличных действиях и контенте: личным сообщениям, запросам ответов, отрицательным оценкам.

Всех пострадавших пользователей уже разлогинили на сайте Quora, а во время следующего входа будет произведена смена пароля. Также компания начала рассылать уведомления всем, кого мог затронуть данный инцидент.

Умные устройства

Фанат популярного блогера PewDiePie взломал 50 тысяч принтеров и распечатал на них листовки с рекламой канала своего кумира.

Для атаки злоумышленник воспользовался инструментом Printer Exploitation Toolkit, который эксплуатирует уязвимости в 20 популярных моделях принтеров. Сама атака состоит в отправке на принтер с открытыми портами IPP, LPD и 9100 сообщения для печати.

Взломщик подчеркнул, что никогда прежде не занимался ничем подобным, но все приготовления и сама атака заняли у него лишь полчаса. Также он отметил, что мог бы скомпрометировать более 800 тыс. устройств, но ограничился меньшим количеством.

Легкость использования уязвимых принтеров вдохновила создателей сервиса Printer-Spam-as-a-Service/Printer Advertising, которые предлагают услуги по рассылке спама на печатающие устройства всего мира.

Операторы сервиса заявляют, что могут добраться до любого принтера в мире, сканируют интернет в поисках уязвимых устройств и распечатывают на них рекламу своего сервиса. Журналистам ZDNet они сообщили, что используют собственную разработку на языке Go, поскольку инструмент Printer Exploitation Toolkit работает слишком медленно.

Электромобили Tesla, Volkswagen, Mitsubishi, BMW, Ford и другие, проданные в Китае, передают трекинговые данные в мониторинговые центры, связанные с властями страны.

Мониторинговый центр в Шанхае. Фото — AP/Ng Han Guan

Китайские чиновники заявляют, что информация собирается для обеспечения общественной безопасности и противодействия мошенничеству, однако количество собираемых сведений противоречит их словам.

В соответствии с принятыми в Китае нормами, электромобили должны отправлять данные своим производителям, а те переправлять их в мониторинговые центры, расположенные в Пекине и Шанхае. Всего собирается более 60 различных характеристик, включая геоданные, состояние батареи и двигателя.

Вредоносное ПО, уязвимости и эксплойты

Криптовалютный вредонос KingMiner атакует системы под управлением Windows Server.

1. Для проникновения в систему исплоьзуется брутфорс-атака.
2. После попадания в систему определяется тип процессора и загружается соответствующая версия майнера XMRing.
3. Если сервер уже был инфицирован, KingMiner выгружает из памяти и удаляет все файлы, относящиеся к своим предыдущим версиям, а затем повторно заражает компьютер.
4. В коде майнера содержится ошибка, из-за которой он полностью загружает процессор инфицированного сервера.

Cache Attacks (CAT) — новый тип атаки по сторонним каналам, позволяющий понизить версии большинства текущих реализаций TLS и перехватить закрытые ключи шифрования.

Метод представляет собой модификацию первой практической атаки на RSA (Padding Oracle attack), предложенной Даниэлем Блейхенбахером (Daniel Bleichenbacher), при которой параллельно выполнятся несколько атак Padding Oracle. Это позволяет злоумышленнику похитить токен аутентификации для доступа к учётной записи пользователя и перехватить контроль над аккаунтом.

Для атаки уязвимы библиотеки OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL, GnuTLS и любое ПО, использующее их.

SplitSpectre — новый вариант уязвимости Spectre, который можно использовать через браузер.

По данным специалистов, использовать SplitSpectre значительно проще, чем выполнить оригинальную атаку Spectre. Уязвимость успешно протестирована на процессорах Intel Haswell, Skylake и AMD Ryzen с использованием JavaScript-движка SpiderMonkey 52.7.4.

О компании «Антифишинг» Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков. Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 23 по 29 ноября 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Троян-кликер распространяется, маскируясь под программу DynDNS.

Злоумышленник создал сайт dnsip.ru, с которого под видом полезной программы загружался:

архив → setup.exe (загрузчик) → Setup100.arj

1. Setup100.arj, несмотря на говорящее название, был не ARJ-архивом, а исполняемым MZPE-файлом, в котором вирусописатель изменил три значения. Таким образом файл не распознавался в качестве MZPE автоматизированными средствами анализа и другими приложениями.
2. После запуска загрузчик отключает Windows Defender и запрещает его запуск в реестре.
3. В папку System32 помещаются легитимные утилиты Instsrv.exe, Srvany.exe и Dnshost.exe, а также исполняемый файл вредоноса Yandexservice.exe
4. Модуль вредоноса регистрируется в качестве службы Windows и устанавливается его автоматический запуск при старте системы
5. Загружается и устанавливается настоящее приложение DynDNS.

Обнаружена фишинговая кампания против пользователей музыкального сервиса Spotify.

«Классический» фишинг:

1. Злоумышленники рассылали жертвам электронные письма со ссылками на вредоносный сайт.
2. На сайте отображалась форма для введения логина и пароля, идентичная настоящей странице авторизации Spotify.
3. После заполнения формы пользователем учетные данные попадали к мошенникам.

Группировка ScamClub показала пользователям более 300 млн вредоносных баннеров за два дня.

1. Злоумышленники внедряли вредоносный скрипт в рекламные объявления, которые затем размещали в небольших рекламных агентствах.
2. Объявления показывались пользователям устройств Apple.
3. Скрипт автоматически переводил пользователей на фишинговые сайты hipstarclub(.)com и luckstarclub(.)com, где им демонстрировался порнографический контент и предлагалось выполнить за деньги простые тесты.
4. После прохождения тестов жертве предлагалось ввести персональные данные, сбор которых и был настоящей целью преступников.

Любой зарегистрированный пользователь сайта Почтовой службы США мог просмотреть данные 60 миллионов человек.

1. Ошибка была связана с работой API для взаимодействия с сервисом Informed Visibility, который позволяет отслеживать отправления в реальном времени.
2. В результате любой залогиненный пользователь usps.com мог просматривать информацию о других пользователях, включая их имена, user ID, email-адреса, номера аккаунтов, телефонные номера, почтовые адреса и так далее.
3. Еще уязвимость позволяла любому пользователю изменить чужой email, телефонный номер и другие ключевые детали.

Атаки, уязвимости и утечки

С помощью замены сим-карты злоумышленник похитил один миллион долларов США в цифровой валюте у жителя Сан-Франциско.

1. Для проведения атаки преступник позвонил в службу поддержки сотового оператора и попросил перевести номер на другое устройство.
2. Несмотря на то, что жертва, лишившаяся связи, быстро восстановила номер, киберпреступник успел воспользоваться двухфакторной аутентификацией и вывести по 500 тысяч долларов США со счетов жертвы на биржах Coinbase и Gemini.

Московская канатная дорога остановила свою работу из-за кибератаки.

Вредонос-вымогатель проник на управляющий сервер компании-оператора канатки и зашифровал файлы, обеспечивающие работу системы.

• 28 ноября преступники прислали в центральный офис компании «Московские канатные дороги» сообщение с требованием выкупа в биткоинах. Размер выкупа пока не сообщается.

• 29 ноября руководитель «Московских канатных дорог» Николай Диваков сообщил, что правоохранительные органы установили личность организатора кибератаки.

«Умные» устройства

«Умные» лампочки Magic Blue позволяют злоумышленникам похитить данные с управляющего устройства, передавая их с помощью светового сигнала.

1. Лампочки используют для обмена с управляющим устройством Bluetooth, причём протокол обмена не защищён.
2. Собрав сведения о командах управления цветом и яркостью лампочек, злоумышленники могут реализовать вредоносную программу, которая похитит данные с заражённого устройства, а затем передаст их злоумышленнику с помощью мигания лампочек:

Мобильная безопасность

Android-приложения от китайских разработчиков незаконно получали вознаграждение за рекламу и продвижение новых приложений.

1. Разработчики рекламируют в мобильных приложениях другие приложения и получают за это реферальное вознаграждение.
2. Чтобы узнать, какая рекомендация сработала и какое приложение должно получить вознаграждение, сразу же после первого открытия новое приложение определяет, откуда был сделан последний клик.
3. Приложения от Cheetah Mobile и Kika Tech запрашивают разрешение пользователей на отслеживание новых загружаемых приложений и использовали эти данные для перехвата кликов и незаконного получения вознаграждения за рекламу.

Сумма ущерба от мошеннических действий компаний оценивается в миллионы долларов.

О компании «Антифишинг» Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков. Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Представляем новости об актуальных технологиях фишинга и других атаках на человека cо 16 по 22 ноября 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Ошибка в Gmail позволяет скрыть адрес электронной почты отправителя.

При отображении списка входящих, открытии письма, попытке ответить и даже просмотре «оригинала» это поле останется пустым:

Это происходит, если в структуру «имя» «адрес_отправителя» в строке From: вставить объемный тэг object, script или img:

To: tim@cotten.io
Subject: A completely innocent email header
From: "Tima <img src='data:imaige/gif;base64,R0lGODdhMAAwAPAAAAAAAP///ywAAAAAMAAwAAAC8IyPqcvt3wCcDkiLc7C0qwyGHhSWpjQu5yqmCYsapyuvUUlvONmOZtfzgFzByTB10QgxOR0TqBQejhRNzOfkVJ+5YiUqrXF5Y5lKh/DeuNcP5yLWGsEbtLiOSpa/TPg7JpJHxyendzWTBfX0cxOnKPjgBzi4diinWGdkF8kjdfnycQZXZ",
        <root@myserverhere.com>

Did I get you?

Ошибку могут использовать злоумышленники для создания фальшивых системных уведомлений или «сообщений от почтового сервиса». Например, такое уведомление «от Google» даже без обратного адреса может выглядеть вполне легитимно:

Получив подобное письмо, жертва может выслать конфиденциальные данные или перейти по фишинговой ссылке.

Функция поиска в Facebook содержит уязвимость, которая может привести к утечкам информации пользователей.

1. Страница с результатами поиска включает в себя элементы iFrame, которые не защищены от атак межсайтовой подделки запроса (cross-site request forgery, CSRF).
2. Чтобы использовать ошибку, пользователя нужно заманить на мошеннический сайт.
3. При любом клике на странице выполнится JavaScript-код, который откроет новую вкладку с Facebook и выполнит в ней запрос любой интересующей злоумышленника информации.

В Instagram обнаружена и устранена ошибка, из-за которой пароль пользователя отображался открытым текстом в адресной строке браузера.

Причина ошибки заключалась в некорректной реализации функции загрузки пользовательских данных, которая требовалась в соответствии с GDPR. Для защиты данных от посторонних при попытке загрузить данные у пользователя повторно запрашивали пароль, который и отображался в незашифрованном виде в строке адреса.

Ошибка затронула небольшое количество пользователей и представляла опасность лишь при использовании компьютеров в общественных местах, где посторонние могли увидеть пароль, заглянув через плечо пользователя.

Атаки, уязвимости и утечки

Уязвимость в браузере Safari позволяет осуществить омографическую атаку и показать пользователю фальшивый сайт, заменив букву в имени на схожий по начертанию Unicode-символ.

Apple выпустила исправление для уязвимости в июле 2018 года: рекомендуем обновить свои устройства.

На компьютерах общего доступа в московских МФЦ обнаружено большое количество файлов с персональными данными — сканы паспортов и других документов.

Эти компьютеры посетители МФЦ используют, чтобы отсканировать документы и загрузить их в электронном виде на портал госуслуг. Закончив загрузку, многие забывают удалить файлы, в результате чего их может скопировать себе любой желающий.

По внутреннему регламенту администраторы МФЦ должны ежедневно очищать компьютеры публичного доступа от посторонних файлов, но на практике иногда забывают сделать это.

Вредоносное ПО

Модульный вредонос DarkGate для Windows распространяется через фишинговые письма и поддельные torrent-файлы.

1. Вредоносное вложение в письмо или torrent загружают дроппер с расширением .vbe (VBScript), при запуске которого в систему загружаются основные компоненты зловреда.
2. DarkGate использует технику process hollowing, создавая новый экземпляр легитимного процесса и подменяя его код вредоносным содержимым. Если на компьютере обнаруживается антивирус Касперского, вредонос загружает свой код другим способом.
3. Обратившись к управляющему серверу, DarkGate загружает и запускает модуль майнинга.
4. На управляющий сервер отправляются учётные данные пользователя, куки и история браузера, лог сообщений Skype и криптокошельки.

Среди функций вредоносной программы — хищение учётных данных, майнинг криптовалюты, шифрование файлов и удалённый доступ к компьютеру жертвы.

Мобильная безопасность

Больше половины бесплатных VPN-приложений в Google Play и AppStore разработаны в Китае и не только не гарантируют приватности, но отслеживают действия пользователей и отправляют данные в Китай.

По данным исследователей,

• 17 из 30 VPN-приложений разработаны в Китае или принадлежат китайским разработчикам;
• 86% из них имеют совершенно неприемлемые соглашения о конфиденциальности;
• 55% политик приватности размещены на бесплатных серверах в виде обычных текстовых файлов;
• 64% приложений не имеют даже собственного сайта;
• поддержка пользователей у 52% приложений производится по электронной почте с личного адреса разработчика;
• 83% запросов на поддержку были проигнорированы.

Нейросеть DeepMasterPrints научилась создавать универсальные отпечатки пальцев, которые позволяют разблокировать любое устройство, оснащённое биометрическим сканером отпечатков.

Большинство сканеров отпечатков имеют небольшой размер и поэтому работают только с частью отпечатка пользователя, сравнивая её с базой. Поскольку некоторые части отпечатков повторяются и имеются схожие признаки, можно создать искусственный отпечаток из нескольких частей, который сможет обмануть систему проверки.

О компании «Антифишинг» Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков. Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.