Представляем новости об актуальных технологиях фишинга и других атаках на человека c 27 марта по 2 апреля 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты и почта

Организаторы вредоносной кампании, эксплуатирующей тему пандемии COVID-19 рассылают фишинговые письма от имени местных медучреждений.

1. В письмах сообщается, что получатель был в контакте с больным коронавирусом и настоятельно рекомендуют получателю письма провериться самому.

2. Для проверки нужно распечатать и принести в ближайшую больницу прикреплённое к письму вложение «EmergencyContact.xlsm».

3. При открытии файла у пользователя будут запрошены разрешения на выполнение контента.

4. Если пользователь даст разрешение, в систему установится вредоносная программа, которая

• Похищает кошельки с криптовалютой.
• Похищает куки браузера, которые могут позволить злоумышленникам войти на сайты с учетной записью жертвы.
• Получает список запущенных на компьютере программ.
• Ищет доступные сетевые ресурсы с помощью команды net view /all /domain.
• Получает информацию о локальном IP-адресе.

Авторы новой кампании используют оригинальную технику, распространяя троянскую программу LimeRAT в зашифрованных файлах MS Excel.

Чтобы скрыть от защитных решений вредоносные макросы в документе и избавиться от необходимости взаимодействия с пользователем, киберпреступники придумали следующий трюк:

• В свойствах документа указывается, что документ предназначен только для чтения.
• На открытие документа устанавливается пароль «VelvetSweatshop». Этот пароль Excel использует первым при открытии любого защищённого документа. Если попытка не удалась, пароль запрашивается у пользователя. Иначе документ просто открывается.

В результате при открытии вложения пароль не запрашивается, однако защитные решения ничего не обнаруживают, поскольку документ зашифрован с помощью пароля «VelvetSweatshop». А поскольку документ имеет свойство «только для чтения», у пользователя не запрашивается разрешение на выполнение макросов, однако после расшифровки они выполняются.

Обнаружена сеть мошеннических генераторов QR-кодов для адресов биткоин-кошельков.

Вместо преобразования введенного биткоин-адреса в его эквивалент QR-кода, сайт всегда генерирует один и тот же QR-код для кошелька мошенника. Если пользователь поделится таким QR-кодом с другим человеком или разместит его на сайте для сбора пожертвований, все деньги будут перечисляться на адрес преступника.

Фальшивые QR-генераторы находятся на сайтах

• bitcoin-barcode-generator.com;
• bitcoinaddresstoqrcode.com;
• bitcoins-qr-code.com;
• btc-to-qr.com;
• create-bitcoin-qr-code.com;
• free-bitcoin-qr-codes.com;
• freebitcoinqrcodes.com;
• qr-code-bitcoin.com;
• qrcodebtc.com.

QR-мошенникам удалось похитить около 45 тыс. долларов США в биткоинах.

Серверы, на которых расположены мошеннические генераторы QR-кодов, также обслуживали фальшивые «акселераторы биткоин-транзакций». Эти сайты просят пользователей ввести идентификатор транзакции и обещают «ускорить» процесс ее утверждения в блокчейне:

• bitcoin-transaction-accelerator.com;
• transaction-accelerator.com;
• bitcoin-tx-transaction-accelerator.com;
• viabtc-transaction-accelerator.com.

За свои услуги сайты берут комиссию в размере 0,001 BTC (около 6,5 долларов США). Всего «акселераторы» получили за время работы 17,6 BTC — около 117 тыс. долларов США.

С начала пандемии COVID-19 было зарегистрировано более 1700 мошеннических доменов Zoom. Стремительно выросшая популярность сервиса видеоконференций позволяет киберпреступникам воспользоваться ситуацией для вредоносной деятельности.

Количество зарегистрированных доменов Zoom

Некоторые из сайтов, размещённых на этих доменов, под видом приложения Zoom предлагали загрузить файлы с именами «zoom-us-zoom_#####.exe» и «microsoft-teams_V#mu#D_#####.exe”.

Если пользователь запускал эти программы, на его компьютер устанавливался хакерский инструментарий InstallCore, который позволяет преступникам установить другие вредоносные утилиты.

Атаки и уязвимости

В клиенте Zoom для Windows обнаружена уязвимость, которая может привести к утечке учетных данных пользователей через UNC-ссылки.

Суть уязвимости состоит в следующем:

• при использовании Zoom участники конференции могут отправлять друг другу текстовые сообщения через интерфейс чата;
• переданные таким образом адреса преобразуются в гиперссылки, чтобы другие участники могли нажать на них и открыть в браузере по умолчанию;
• Windows-клиент Zoom преобразует ссылки в UNC-пути;
• если отправить в чат ссылку вида \\site.com\pics\cat.jpg, Windows попытается подключиться к этому сайту, используя протокол SMB, чтобы открыть файл cat.jpg. При этом удалённому сайту будет передано имя пользователя и его NTLM хэш, который можно взломать, используя утилиту Hashcat или другие инструменты.

Используя эту технику, можно запустить программу на локальном компьютере. Например, по ссылке \\127.0.0.1\C$\windows\system32\calc.exe запустится калькулятор:

Инциденты

Злоумышленники взломали более тридцати YouTube-каналов, переименовали их с использованием различных брендов Microsoft и запустили трансляцию якобы от имени Билла Гейтса с рекламой криптовалютной финансовой пирамиды.

Для трансляции преступники использовали запись выступления Гейтса в венчурной компании Village Global в июне 2019 года, посвященное теме стартапов. Во время трансляции демонстрировалась реклама с призывом принять участие в розыгрыше призов. Для участия нужно было отправить мошенникам небольшую сумму в криптовалюте. Сумму обещали удвоить, но обещание не исполнялось.

В общем доступе опубликованы личные данные 4,9 миллионов граждан Грузии.

База данных MS Access размером 1,04 Гб содержит имена, адреса, даты рождения, номера ID и номера мобильных телефонов. В базе имеется 4 934 863 записи. Среди них, вероятно, присутствуют сведения об умерших, поскольку в настоящее время население Грузии составляет 3,7 миллиона человек. Источник данных пока также не удалось установить.

Сеть отелей Marriott сообщила об утечке данных 5,2 млн своих клиентов. Источником утечки стали учётные данные двух сотрудников.

Злоумышленники похитили имена и даты рождения постояльцев, электронные и почтовые адреса, номера телефонов, номера и баланс счетов, а также информацию о предпочитаемых комнатах и языках общения. Пока нет достоверных свидетельств того, что преступники получили доступ к данным банковских карт и паспортов, паролям и PIN-кодам участников программы лояльности Marriott Bonvoy.

Вредоносное ПО

Банковский троян Zeus Sphinx появился после нескольких лет бездействия и распространяется через вложенные в фишинговые письма вредоносные файлы «COVID 19 relief».

• В письмах сообщается, что пользователи имеют право на получение правительственной помощи.
• Для получения средств якобы необходимо заполнить специальную форму, которая прилагается к посланию в формате .DOC или .DOCX.
• При загрузке документа запрашивается пароль, указанный в письме.

• После ввода пароля и открытия документ информирует жертву о необходимости включить макросы.

• Если жертва разрешает выполнение макросов, происходит подключение к управляющему серверу, а затем запускается Zeus Sphinx.
• Закрепившись в системе, вредонос ждёт, когда пользователь посетит страницу системы онлайн-банкинга и модифицирует код страницы, чтобы похитить учётные данные пользователя и отправить их на сервер злоумышленников.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 20 по 26 марта 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и приложения

Мошенники пытаются похитить криптовалютные пожертвования на борьбу с пандемией COVID-19, рассылая письма от имени ВОЗ: Всемирной организации здравоохранения.

После того, как 11 марта 2020 года ВОЗ официально признала пандемию коронавируса, был создан Фонд солидарности и реагирования по борьбе с COVID-19 (COVID-19 Solidarity Response Fund). Цель фонда — подготовить к борьбе с вирусом все страны мира, а в особенности — государства со слабой системой здравоохранения.

Преступники просят пользователей сделать пожертвование, отправив биткоины напрямую на адрес, указанный в письме, в качестве адреса отправителя которого для большей убедительности указан donate@who(.)int.

Министерство юстиции США сообщило о закрытии мошеннического сайта CoronavirusMedicalkit(.)com, владельцы которого предлагали всем желающим бесплатно заказать вакцину от коронавируса, оплатив лишь стоимость пересылки в размере 4,95 долларов США.

Преступники наживались на всеобщей панике, полагая, что невысокая стоимость пересылки создаст ажиотажный спрос и принесёт значительный доход.

По решению суда домен мошеннического сайта был разделегирован.

Организаторы мошеннической кампании угрожают заразить пользователей и их семьи коронавирусом COVID-19, если они не заплатят выкуп в размере 4 тыс. долларов США.

Чтобы послание выглядело убедительнее, преступники добавляют в письмо логин и пароль пользователя, полученный из общедоступных баз скомпрометированных учётных записей, и сообщают, что скрыться от них невозможно, они найдут свою жертву повсюду.

На сайте онлайн-магазина Tupperware обнаружен скиммер, похищавший данные банковских карт покупателей.

Мошенники взломали официальный сайт Tupperware и модифицировали его, добавив через iframe вредоносный код.

При попытке оплатить заказанный товар посетитель видит фальшивую форму оплаты. После ввода данных они отправляются мошенникам, а пользователь получает сообщение о таймауте, после чего выводится настоящая форма оплаты.

Мошенники не позаботились о локализации скиммера, поэтому фальшивая форма всегда «говорит» по-английски в отличие от настоящей.

Эксплуатация темы коронавируса иногда принимает совершенно удивительные формы. Например, обнаружен сайт, предлагающий скачать и установить Corona Antivirus, который «поможет защититься от нового коронавируса COVID-19».

Всё, что делает «антивирус» — устанавливает на компьютер жертвы бэкдор BlackNET, открывающий преступникам полный доступ к устройству.

Атаки и уязвимости

Хакеры взламывают маршрутизаторы и используют их для распространения поддельного приложения от Всемирной организации здравоохранения, якобы предоставляющего актуальную информацию о COVID-19.

В качестве объектов атаки преступники выбирали маршрутизаторы D-Link и Linksys, у которых был включен удалённый доступ к управлению настройками, а затем путём перебора подбирали пароль.

После успешного взлома IP-адреса в настройках DNS маршрутизатора изменялись на вредоносные.

Поскольку подключающиеся к маршрутизатору компьютеры используют IP-адреса DNS-серверов, полученные от него, подконтрольные злоумышленникам DNS-серверы переадресовывали пользователей на вредоносный контент. В результате при открытии браузера пользователя получали уведомление с предложением скачать приложение от ВОЗ.

Вместо полезной программы доверчивые пользователи устанавливали на компьютеры вредонос Oski, который похищает и передаёт преступникам

• cookie-файлы;
• историю браузера;
• платежную информацию из браузера;
• сохраненные учетные данные;
• данные криптовалютных кошельков;
• текстовые файлы;
• данные автозаполнения для форм в браузере;
• БД 2ФА идентификаторов Authy;
• скриншоты рабочего стола в момент заражения.

WhatsApp хранит коды безопасности для двухфакторной аутентификации в незашифрованном виде, что подвергает пользователей мессенджера опасности: завладевший кодами злоумышленник может получить доступ к переписке жертвы.

A user has recently discovered that WhatsApp stores the 2FA passcode in plain text in a file in their sandbox.

Being into the sandbox, no other apps can read that file, but there are some cases (in particular the second one) that should force to encrypt the 2FA Code. https://t.co/nmrNSGkKSU

— WABetaInfo (@WABetaInfo) March 22, 2020

На устройствах с iOS-устройствах коды хранятся в файле /var/mobile/Containers/Data/Application/Whatsapp/Library, на Android — в /data/data/app/com.whatsapp/shared_prefs/com.whatsapp_preferences.xml.

Хотя файл с кодом хранится в песочнице, и другие приложения в обычной ситуации не могут получить к нему доступ, на смартфонах, где включены права суперпользователя (root) или произведён джейлбрейк, содержимое файла можно прочитать.

В популярных менеджерах паролей обнаружены уязвимости, эксплуатация которых может привести к краже учётных данных

Слева: фишинговое окно логина вредоносного приложения.
Справа: LastPass без сомнений выдаёт учётные данные.

• Android-версии 1Password и LastPass имеют уязвимый механизм автозаполнения паролей: если имя пакета вредоноса соответствует легитимной программе, он получит сохранённые в менеджерах логины и пароли.
• Менеджеры LastPass, Dashlane, Keeper и RoboForm не защищают учётные данные при копировании в буфер обмена, поэтому на компьютерах с Windows 10 логины и пароли можно скопировать из буфера в виде простого текста.

Мобильная безопасность

Троян Android.Circle.1 распространялся под видом сборников изображений, программ с гороскопами, приложений для онлайн-знакомств, фоторедакторов, игр и системных утилит и по команде операторов выполнял различные вредоносные действия.

Приложения выполняли заявленные в описании функции, поэтому у пользователей не было причин заподозрить в них угрозу. Некоторые из них после установки выдавали себя за важный системный компонент, что обеспечивало им дополнительную защиту от возможного удаления.

При запуске вредоносная программа подключается к управляющему серверу, передает на него сведения об инфицированном устройстве и ожидает поступления заданий.через сервис Firebase. Среди заданий были отмечены:

• удалить значок троянского приложения из списка ПО в меню главного экрана;
• удалить значок троянского приложения и загрузить в веб-браузере заданную в команде ссылку;
• выполнить нажатие (клик) на загруженном сайте;
• показать рекламный баннер.

Примеры рекламных баннеров:

Основное предназначение Circle — показ рекламы и загрузка различных сайтов, на которых имитируются действия пользователей: переходы по ссылкам, нажатия на рекламные баннеры или другие интерактивные элементы.

Вредоносное ПО

У банковского трояна TrickBot появилось приложение для Android TrikMo, которое обходит двухфакторную аутентификацию, перехватывая одноразовые коды безопасности из SMS и передавая их на управляющий сервер.

Aufgepasst beim #Online #Banking:#Emotet lädt #Trickbot nach. Auf infizierten PCs blendet Trickbot beim Online-Banking eine Abfrage nach der Mobiltelefonnummer und des Gerätetyps ein und fordert Nutzer anschließend zur Installation einer angeblichen Sicherheits-App auf. pic.twitter.com/QHfmYojZxK

— CERT-Bund (@certbund) September 20, 2019

TrickMo распространяется через внедрение контента в браузер заражённого TrikBot пользователя:

• Обнаружив, что пользователь обращается к сайтам определенных банков, TrikBot предлагает ему загрузить и установить решение, для «защиты учетных записей».
• На самом деле приложение, которое прикидывается мобильным антивирусом Avast, содержит TrickMo.
• После установки поддельный антивирус запрашивает доступ к службе специальных возможностей (Accessibility service) Android.
• Полученные привилегии позволяют TrikMo взаимодействовать с устройством жертвы без ведома пользователя и генерировать любые нажатия на экран.
• TrickMo устанавливает себя как приложение для работы с SMS по умолчанию, что позволяет ему перехватывать любые SMS, поступающие на устройство, в том числе и от банков.

Умные устройства

В центральном сенсорном экране Tesla Model 3 обнаружена уязвимость CVE-2020-10558, эксплуатация которой позволяет злоумышленнику нарушить работу систем автомобиля.

Используя ошибку, можно отключить спидометр, климат-контроль, сигналы поворота, навигацию, уведомления автопилота, уведомления о пропущенных звонках и другие функции

Для проведения атаки достаточно заставить пользователя перейти на специально созданную веб-страницу, которая вызывает сбой в работе интерфейса браузера на основе Chromium, через который производится управление системами автомобиля на центральном экране.

Управлять движением Tesla можно управлять даже при отказавшем дисплее, а чтобы вернуть дисплей в нормальное состояние, нужно «перезагрузить» автомобиль, выключив его и снова включив.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 13 по 19 марта 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и приложения

Андроид-вымогатель CovidLock маскируется под приложение, которое «позволяет в реальном времени отслеживать вспышки коронавируса на вашей улице, в городе и в штате» более чем в 100 странах.

Сайт приложения предлагает скачать и установить APK-файл:

Для повышения доверия на страницах указано, что приложение сертифицировано Министерством образования США, Всемирной организацией здравоохранения и Центром по контролю и профилактике заболеваний:

Фальшивые картинки победителя рейтинга скопированы с Google Play:

При первом запуске приложение запрашивает различные разрешения, которые в обычной ситуации могли бы вызвать подозрения, но большинство пользователей не видит в них ничего опасного, ведь программа должна оперативно информировать обо всех случаях коронавируса поблизости. В частности, приложение хочет работать в фоновом режиме, иметь доступ к экрану блокировки, а также использовать функции для людей с ограниченными возможностями.

Как только все разрешения получены, выводится вымогательское сообщение:

Автор вредоноса сообщает, что взломал телефон и требует 250 долларов США в криптовалюте, угрожая в противном случае разослать все фото и видео на смартфоне контактам жертвы.

Киберпреступники, специализирующаяся на BEC-атаках, также взяли на вооружение тему коронавируса.

В рамках одной из таких атак мошенники предложили компании сделать перевод на другой банковский счёт в связи со вспышкой опасного заболевания:

«В связи последними известиями о коронавирусе COVID-19 мы меняем банки и перенаправляем все платежи непосредственно на наш завод, поэтому, пожалуйста, оповестите о готовности платежа в адрес нашей организации, чтобы я направил вам обновленные платежные реквизиты»

Авторы другой фишинговой кампании нацелились на сторонников теории заговора, рассылая письма с «достоверной» информацией о секретных лекарствах и лечении.

Чтобы придать рассылкам легитимность, в тексте упоминается Всемирная организация здравоохранения и фамилии реальных врачей. Приложенный к письму документ на самом деле содержит вредоносное ПО, которое крадёт с компьютера жертвы конфиденциальную информацию.

Атаки и уязвимости

В корпоративных защитных решениях Trend Micro Apex One и OfficeScan XG обнаружены две уязвимости нулевого дня, которые уже используются в реальных атаках.

Уязвимость CVE-2020-8467 (9,1 баллов по шкале CVSS) позволяет удалённым аутентифицированным злоумышленникам выполнять произвольный код.

Уязвимость CVE-2020-8468 (8,0 балов по шкале CVSS) помогает обойти проверку контента, в результате чего атакующий становятся возможными манипуляции некоторыми компонентами агента клиента. Для реализации этой атаки также требуется, чтобы пользователь был аутентифицирован.

Хакеры использовали обе уязвимости для отключения продуктов безопасности и для повышения привилегий злоумышленников, которые проникли в систему иным образом.

В процессорах Intel обнаружена новая уязвимость Snoop (CVE-2020-0550), позволяющая похитить данные из внутренней памяти.

Для проведения атаки Snoop используются механизмы повышения производительности процессора:

• многоуровневый кэш,
• согласованность (когерентность) кэша,
• слежение за шиной.

Используя Snoop, атакующий может запустить вредоносный код на одном из ядер CPU, что приведёт к утечке информации из других ядер, поскольку уязвимость позволяет вредоносному код при определённых условиях вмешаться в процесс слежения за шиной и вызвать ошибки, которые и обеспечат утечку данных из процесса согласованности кэша. В отличие от Meltdown и Spectre Snoop не позволяет похитить большие объемы данных. Intel заверяет, что создать условия для проведения атаки крайне сложно.

Уязвимость в мессенджере Slack позволяла злоумышленникам провести атаки типа HTTP Request Smuggling, похитить cookie-файлы и автоматизировать перехват произвольных учетных записей.

Проблема критически важна как для платформы Slack, так и для всех клиентов и организаций, которые обмениваются личными данными, каналами и разговорами. Ошибка делала возможным создание автоматических ботов для непрерывных атак уязвимого актива Slack, перехвата сеансов жертвы и похищения всех доступных данных.

Мобильная безопасность

Вредоносные программы для Android Cookiethief и Youzicheng работают совместно, чтобы похищать cookie-файлы, сохраненные в браузере на смартфонах и в Facebook. Преступники используют их, чтобы незаметно перехватить контроль над учетной записью жертвы в социальной сети и распространять контент от ее имени.

Оказавшись на устройстве, троян Cookiethief получает права суперпользователя и передает управляющему серверу cookie-файлы браузера и установленного приложения социальной сети. Но для перехвата контроля над аккаунтом идентификатора сессии может быть недостаточно, поскольку системы защиты некоторых сайтов предотвращают подозрительные попытки авторизации в системе. Чтобы обойти эту защиту, используется второй вредонос — Youzicheng. Он запускает на устройстве прокси-сервер, обеспечивая злоумышленникам доступ в интернет с для обхода мер безопасности.
Комбинируя две атаки, злоумышленники получают полный контроль над аккаунтом жертвы, не вызывая подозрений у Facebook.

Вредоносное ПО

Вредоносная Android-программа MonitorMinor отслеживает активность пользователя в Gmail, WhatsApp, Instagram и Facebook.

MonitorMinor использует в своих целях утилиты, подобные SuperUser, которые помогают получить root-доступ к системе, а также специальные возможности системы Android — Accessibility Services, что позволяет эффективно работать в системе даже без root-полномочий.

Возможности MonitorMinor:

• отслеживание текущего местоположения жертвы,
• перехват SMS и звонков,
• отслеживания переписки в мессенджерах и сервисах электронной почты,
• наблюдение за содержимым буфера обмена,
• управление устройством с помощью SMS,
• трансляция в режиме реального времени видео с камер устройства,
• запись звука с микрофона устройства,
• показ истории посещенных страниц в браузере Chrome,
• показ статистики использования приложений,
• запись введённых символов,
• показ содержимого внутреннего хранилища устройства,
• показ списка контактов и системного журнала.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.