Представляем новости об актуальных технологиях фишинга и других атаках на человека c 10 по 16 мая 2019 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Неизвестные мошенники получили доступ к логинам и паролям от мобильного и интернет-банка владельцев карт «Кукуруза», а затем вывели все средства.

Преступники использовали метод «смежного взлома»:

1. Сначала был взломан один из социальных сервисов, не связанный с «Кукурузой», но содержащий данные о владельцах карт этой системы.
2. Затем злоумышленники проверяли, логин и пароль на сервисе с логином и паролем в мобильном или интернет-банке «Кукурузы».
3. Обнаружив совпадение, они входили в интернет-банк, подключали Apple Pay и выводили деньги на номер Tele2.
4. Все жертвы указывают, что СМС или пуш-уведомлений с кодом подтверждения для подключения Apple Pay они не получали, поскольку мобильное приложение «Кукурузы» позволяло подключть Apple Pay без этих подтверждений.

Предполагаемая сумма ущерба составляет несколько миллионов рублей.

Мошенники создали фишинговый ресурс для сервиса «Безопасная сделка» через неделю после его открытия.

6 мая Сбербанк открыл сервис «Безопасная сделка», который гарантирует оплату сделки ее участниками и защищает их права:

13 мая в интернете появился ресурс sberbank-service.online, имитирующий сервис Сбербанка:

Мошенники пока не довели сайт до рабочего состояния, но их оперативность позволяет ожидать появления целой сети аналогичных ресурсов для обмана людей.

В мессенджере WhatsApp обнаружена уязвимость, которая позволяет злоумышленникам внедрять на телефоны пользователей коммерческую шпионскую программу.

Для осуществления атаки злоумышленникам нужно всего лишь позвонить предполагаемой жертве, используя функцию звонков в мобильном приложении WhatsApp. Под угрозой оказались пользователи WhatsApp и WhatsApp Business для iOS, Android, Windows Phone и Tizen. Шпионскую программу можно «подсунуть» даже тем пользователям, которые не ответили на звонок.

Причина уязвимости — ошибка CVE-2019-3568 в стеке WhatsApp VOIP, которая приводит к переполнению буфера и открывает возможность для внедрения стороннего кода.

Злоумышленники внедрили шпионский скрипт Magecart на сайт ForbesMagazine.com — ресурс для подписки на журнал Forbes.

Magecart может собирать платежную информацию клиентов и отправлять ее на сервер киберпреступников. Код собирает данные банковских карт, а также сведения об их владельцах: имена клиентов, их физические адреса, номера телефонов и адреса электронной почты.

Вредоносное ПО

Утилита Pirate Chick VPN маскируется под легальный VPN-сервис и загружает на компьютер жертвы троян AZORult.

AZORult — шпион, который крадёт логины и пароли, данные кредитных карт и криптокошельков, истории браузеров, файлов cookie и другие сведения. Кроме того он может служить загрузчиком для других зловредов.

1. Мошенники распространяли программу через поддельное обновление Adobe Flash Player и вредоносную рекламу.
2. При переходе по ссылке человек попадал на типичную продающую страницу, где помимо описания утилиты размещались FAQ, политика конфиденциальности и пользовательские соглашения:
3. Исполняемые файлы были подписаны сертификатом британской компании ATX International Limited.
4. После открытия Pirate Chick VPN связывался с удаленным сервером, загружал в папку %Temp% полезную нагрузку в виде .txt-файла и декодировал ее, превращая в исполняемый файл AZORult, который запускался в фоновом режиме.

Утечки информации

В информационных системах госорганов обнаружили 360 тысяч записей с личной информацией российских граждан.

Исследователь проанализировал данные с сайтов информационных систем госорганов, среди которых

• портал государственного и муниципального заказа федерального казначейства (300 тысяч записей),
• реестр субсидий федерального бюджета Минфина (50 тысяч),
• реестр отчётов некоммерческих организаций Минюста (10 тысяч).

По мнению экспертов утечки возникают из-за недостаточно продуманной работы регулирующих и контролирующих органов и ошибок в законодательстве. Так, в реестре Минюста персональные данные появляются из-за требований предоставлять отчёт, содержащий паспортные данные, Ф.И.О и дату рождения.

Уязвимости

В Windows обнаружена критическая уязвимость, которую можно использовать для быстрого развертывания вредоносного ПО.

По опасности ошибка сравнима с набором уязвимостей протокола SMB, спровоцировавшим глобальную эпидемию вируса WannaCry. Используя ошибку, неавторизованный автор атаки может удаленно выполнить код на уязвимой системе с включенным протоколом удаленного рабочего стола.

Свидетельством чрезвычайной опасности уязвимости может служить тот факт, что Microsoft выпустила исправления для Windows XP и Server 2003, которые можно найти в каталоге Центра обновления Windows.

В процессорах Intel обнаружен новый класс уязвимостей, который позволяет извлечь данные, которые обрабатывает чип. Проблему назвали Microarchitectural Data Sampling (MDS), поскольку она позволяет атаковать микроархитектурные структуры данных, используемые процессором для быстрого чтения-записи.

Всего описано четыре типа атак:

• Fallout (CVE-2018-12126) — восстановление содержимого буферов хранения. Даёт возможность прочитать данные, недавно записанные ОС, и определить раскладку памяти для подготовки к другим атакам;
• RIDL (CVE-2018-12127, CVE-2018-12130, CVE-2019-11091) — восстановление содержимого портов загрузки, буферов заполнения и некэшируемой памяти. Атака позволяет организовать утечку информации между различными изолированными областями в процессорах Intel, такими как буферы заполнения, буферы хранения и порты загрузки;
• Zombieload (CVE-2018-12130) — восстановление содержимого буферов заполнения. Атака позволяет восстановить историю браузеров и другие данные, организовать утечку информации из приложений, ОС, облачных виртуальных машин и сред доверенного исполнения.
• Store-To-Leak Forwarding — эксплуатирует средства оптимизации работы с буфером хранения. Может применяться для обхода механизма рандомизации адресного пространства ядра (KASLR), для мониторинга состояния ОС или организации утечек в сочетании с гаджетами на базе методов Spectre.

Для нового типа атак уязвимы все модели процессоров Intel, выпущенные с 2011 года, в том числе для ПК, ноутбуков и облачных серверов. Новейшие модели процессоров уязвимостям не подвержены, поскольку поставляются с защитой от атак спекулятивного исполнения.

Чтения хэша пароля суперпользователя в Linux с помощью RIDL:

Чтение строки из другого процесса с помощью JavaScript и RIDL:

Чтение данных ядра Linux с помощью RIDL:

О компании «Антифишинг» Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков. Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 3 по 9 мая 2019 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Неизвестные злоумышленники внедрили на сайты интернет-магазинов вредоносные JavaScript-сценарии, которые похищали данные платёжных карт покупателей.

Общий алгоритм атаки:

Когда пользователь заходил на страницу заражённого интернет-магазина, сценарий загружался с сайта magento-analytics(.)com и запускался на исполнение.

Для каждого сайта был отдельный сценарий:

При этом содержимое всех сценариев было идентичным:

После запуска на странице скрипт дважды в секунду собирал данные, введённые в платёжную форму и отправлял их злоумышленникам.

Вредоносные сценарии были внедрены на 105 сайтов.

Новый метод отслеживания перемещения курсора мыши использует исключительно HTML и CSS.

Обычно такие методы реализуются с помощью кода JavaScript, встроенного в страницу сайта или в код рекламных объявлений. Это позволяет следить за перемещением пользователя и его взаимодействием с сайтом. Такие скрипты можно заблокировать с помощью специальных программ, расширений для браузера и блокировщики рекламы вроде AdBlock.

Исследователи нашли новый способ, с помощью которого можно отслеживать перемещение курсора мыши на странице определенного сайта, даже если пользователь использует Tor Browser с отключенным JavaScript.

В методе используется сетка из DIV с псевдоклассом CSS :hover, который подставляет новое фоновое изображение каждый раз, когда курсор мыши пользователя двигается вдоль div’а.

Популярная отечественная платформа radario.ru хранит в открытом доступе десятки тысяч проданных электронных билетов на мероприятия и персональные данные пользователей.

«Для доступа к данным о проданных билетах и к билетам всех пользователей использовался один и тот же токен. Все заказы имеют сквозную нумерацию и один-единственный токен доступа ко всем уже оплаченным билетам, не надо ничего взламывать, любой жулик может получить доступ к чужим билетам»

основатель и технический директор DeviceLock DLP Ашот Оганесян.

Новой целью фишинговых атак стали учётные записи Amazon Web Services.

Атака начинается с письма, уведомляющего о необходимости подтвердить контактную информацию для доменной WHOIS-записи, иначе работа сайта, который администрирует жертва атаки, будет приостановлена.

Письмо профессионально оформлено и могло бы ввести в заблуждения даже грамотного специалиста, если бы не одна деталь: злоумышленники допустили ошибку в адресе ссылки на вредоносный сайт:

Если бы не эта ошибка, клик по кнопке мог привести к хищению учётных данных и перехвату контроля над администрируемыми сайтами.

Неизвестные злоумышленники удалили содержимое сотен Git-репозиториев в сервисах GitHub, Bitbucket и GitLab, заменив его требованием об уплате выкупа за восстановление данных.

В требовании о выкупе злоумышленники сообщают, что весь исходный код загружен на принадлежащий им сервер и предоставляют жертве 10 дней на уплату выкупа в размере 0,1 биткоина (около 560 долларов США). В противном случае вымогатели угрожают выложить код в открытом доступе.

От действий злоумышленников пострадали минимум 392 репозитория на GitHub. Многие пострадавшие использовали ненадежные пароли или не удалили токены доступа к неиспользуемым приложениям. Кроме того, имеются подтверждения того, что злоумышленники использовали для доступа к аккаунтам обнаружили учётные данные из конфигурационных файлыв Git, которые им удалось найти в интернете.

Пользователи StackExchange считают, что злоумышленник не удаляет информацию из репозиториев, а только изменяет заголовки коммитов Git. Это позволяет восстановить данные без выплаты выкупа.

Вредоносное ПО

Датская ИБ-компания Outflank разработала программу Evil Clippy (Злой Скрепыш), которая затрудняет детектирование вредоносных макросов в документах MS Office.

Evil Clippy работает в Windows, macOS и Linux, поддерживает форматы Microsoft Office 97 — 2003, а также 2007 и более новые. Программа работает напрямую с форматом Compound File Binary Format (CFBF), который используется для документов MS Office.

Для генерации вредоносных документов Злой Скрепыш использует:

• VBA-стомпинг — замену кода VBA-скрипта на p-код,
• скрытие макросов,
• обфускацию стандартных имён модулей.

В результате утилиты для анализа не могут не только обнаружить вредоносное содержимое в документах, но даже установить сам факт наличия макросов.

Для демонстрации работы утилиты разработчики создали документ с вредоносным кодом группировки Cobalt Strike и обработали его Скрепышом. Вредоносный документ, который изначально был детектирован 30 антивирусами, стал выглядеть для них вполне безобидно:

О компании «Антифишинг» Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков. Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 26 апреля по 2 мая 2019 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Мошенники используют Facebook и WhatsApp чтобы выманивать деньги от имени знаменитостей.

Один из них под видом Джейсона Стейтема выманил у жительницы английского графства Большой Манчестер несколько сотен тысяч фунтов стерлингов. Сначала мошенник написал ей от имени известного актёра на странице, посвящённой фильму «Форсаж», а затем предложил перейти в WhatsApp, где засыпал её сообщениями.

Общение продолжалось несколько месяцев. Самозванец убедил жертву, что влюблен в неё и мечтает о встрече, а потом стал жаловаться на финансовые трудности.

Ссылаясь на задержку выплаты за участие в последнем фильме, он попросил взаймы 20 тысяч фунтов стерлингов (более 25 тысяч долларов):

По данным опроса, проведённого национальным бюро статистики Великобритании, в 2018 году 6,6% взрослых стали жертвами интернет-мошенников, а общая сумма ущерба составила более 3,6 млн фунтов стерлингов.

Злоумышленники скомпрометировали аккаунт сотрудника технической поддержки Microsoft и получили доступ к чужой почте, чтобы опустошить криптовалютные кошельки жертв.

Пользователь сервисов Microsoft Джевон Ритмеестер (Jevon Ritmeester) рассказал журналистам, что атакующие получили доступ к его папке «Входящие», сбросили пароль от учетной записи на бирже Kraken.com и опустошили его кошелек, похитив 1 BTC (около 5300 долларов США по текущему курсу).

Злоумышленники создали в его ящике правило для пересылки почты, из-за чего любые сообщения со словом «Kraken» перенаправлялись на подконтрольный атакующим ящик GMail, в том числе и сообщения о сбросе пароля и снятии средств. Ошибкой Ритмеестера было отсутствие двухфакторной аутентификации для аккаунта Kraken.

В рамках новой кибератаки преступники продвигали сайты с шифраторами и банковскими троянами через рекламные баннеры в Яндекс.Директ.

1. Пользователь искал образцы деловых документов или обучающие видео по ключевым словам — например, «скачать бланк счета», «бланк договора», «заявление жалоба образец», «судебное ходатайство образец».
2. Через баннерную рекламу киберпреступников жертва попадала на сайт, который якобы содержал шаблоны искомых документов.
3. Запуск файлов, загруженных с этого сайта, мог привести к заражению системы — или целой корпоративной сети — шифраторами и банковскими троянами.
4. Убедительность атаке придавало то, что рекламные баннеры демонстрировались пользователям на легитимных бухгалтерских и юридических сайтах.

Пример поисковых запросов и доменов, где размещались баннеры

Мобильная безопасность

В мобильной версии браузера Google Chrome обнаружена новая возможность для фишинга с помощью фальшивой адресной строки.

1. Мобильная версия Chrome автоматически скрывает адресную строку при прокрутке содержимого страницы вниз, чтобы предоставить максимальное пространство для отображения контента.
2. Злоумышленники могут воспользоваться этим, внедрив на фишинговый ресурс такую же панель с фальшивым URL и закрепив ее в окне обозревателя.
3. Чтобы не допустить возврата к оригинальной адресной строке, используется css-свойство overflow:scroll.

Утечки данных

Данные 80 миллионов американских семей обнаружены на незащищенном облачном сервере Microsoft.

Объём базы данных составляет 24 ГБ. Записи содержат:

• полные адреса (страна, город, улица, номер дома и почтовый индекс),
• точные географические координаты (широта и долгота),
• ФИО,
• возраст,
• даты рождения.

В базе также имеются закодированные данные о семейном положении, половой принадлежности, доходе, типе жилища и наличии прав домовладельца. Что объединяет все эти семьи, непонятно. Возраст всех людей в базе данных меньше сорока лет. Интересно, что каждая запись содержит не одного человека, а целую семью.

Умные устройства

Китайские автомобильные GPS-трекеры поставляются с паролем «123456», что позволяет злоумышленникам получить доступ к персональной информации пользователей и дистанционно выключать двигатель.

При подписке на приложения iTrack и ProTrack пользователи получают пароль «123456». Предположив, что многие из них не изменили секретный ключ, взломщик провел брутфорс-атаку, чтобы установить легитимные логины, а затем попытался войти в аккаунты.

Начальный пароль подошел для более чем 7 тыс. профилей iTrack и 20 тыс. учетных записей ProTrack. Взломав аккаунт, специалист получил доступ к различным сведениям, таким как:

• Псевдоним пользователя
• Реальное имя клиента, его телефон и адрес
• Адрес электронной почты абонента
• Марка и модель GPS-трекера
• IMEI-номер оборудования

По информации компании Concox, производящей один из трекеров, работающих с ProTrack и iTrack, авторизованный пользователь также может дистанционно заглушить двигатель автомобиля, если машина движется со скоростью до 20 км/ч.

Умные телевизоры Sony Smart TV, работающие на платформе Android, содержат уязвимости, которые дают посторонним доступ к Wi-Fi и мультимедийному контенту на устройстве.

Источником ошибок стало приложение Photo Sharing Plus в Sony Smart TV, которое позволяет загружать фотографии и мультимедийного контента со смартфона.

Первая уязвимость CVE-2019-11336 позволяет атакующему без авторизации извлечь пароль Wi-Fi, создаваемый при запуске Photo Sharing Plus. При запуске приложение превращает телевизор в точку доступа Wi-Fi и отображает пароль для подключения и обмена медиаконтентом. Это позволяет злоумышленникам извлечь пароль в виде открытого текста из логов API Photo Sharing Plus.

С помощью второй уязвимости CVE-2019-10886 неавторизованный злоумышленник может прочитать файлы, в том числе изображения в программном обеспечении устройства.

В любом из случаев атакующие могут загрузить собственное содержимое или украсть контент, принадлежащий владельцам телевизоров.

О компании «Антифишинг» Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков. Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.