Представляем новости об актуальных технологиях фишинга и других атаках на человека c 22 по 28 мая 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Вредоносное ПО

Новая версия трояна AnarchyGrabber ворует пароли и токены пользователей, отключает 2ФА и распространяет малварь среди друзей жертвы с помощью модифицированного варианта официального клиента Discord.

• Преступники распространяют AnarchyGrabber через Discord, выдавая его за игровой чит, хакерский инструмент или пиратский софт.
• Если жертва поверила и установила трояна, он модифицирует JavaScript-файлы клиента Discord, чтобы добавить в него вредоносную функциональность для хищения токена пользователя.
• Используя токен, хакеры получают возможность войти в Discord под видом своей жертвы.

Главная опасность AnarchyGrabber заключается в том, что большинство его жертв не подозревают о заражении, поскольку после запуска исполняемого файла AnarchyGrabber и модификации файлов клиента Discord, троян практически никак не проявляет себя и не запускается снова. Но несмотря на отсутствие вредоносного процесса, который мог бы обнаружить антивирус, зараженный компьютер всё равно остается частью ботнета.

Единственный способ избавиться от AnarchyGrabber — удалить клиент Discord и установить его заново.

Новая версия вредоноса ComRAT собирает логи антивирусов с заражённого хоста и управляется через почту Gmail.

Предположительно, сбор логов антивирусов с зараженного хоста позволяет членам группировки Turla, распространяющей вредонос, понимать, какой из образцов вредоносного ПО был обнаружен защитными решениями, и использовать эти сведения для скрытного внедрения малвари в других системах.

Дополнительный механизм управления через почтовый ящик Gmail обеспечивает операторам управление вредоносом в случае, когда связь с управляющим сервером через «классический» HTTP заблокирована. Фактически, чтобы отдать вредоносу команду, достаточно написать письмо на «его» gmail.

Новая версия вредоноса Sarwent открывает порты RDP на зараженных компьютерах и выполняет команды злоумышленников через Command Prompt и PowerShell.

Для включения RDP Sarwent создаёт на зараженных машинах новую учётную запись пользователя Windows, а затем вносит изменения в настройки брандмауэра Windows, чтобы разрешить внешний доступ через RDP к зараженному хосту. В результате операторы Sarwent могут использовать созданную учетную запись для доступа к зараженному хосту и при полном содействии локального брандмауэра.

Шифровальщик Ragnar Locker используют Oracle VirtualBox и виртуальные машины с Windows XP, чтобы скрыть свое присутствие в заражённой системе и запустить вымогателя в «безопасной» среде, недоступной для локального антивирусного ПО.

Операторы Ragnar Locker не интересуются обычными домашними пользователями, внедряя вредоноса в корпоративные сети и правительственные организации, а затем требуя крупный выкуп от нескольких десятков до сотен тысяч долларов США.

В апреле 2020 года года RagnarLocker атаковал сеть энергетического гиганта Energias de Portugal (EDP). Сообщалось, что преступники похитили 10 терабайт конфиденциальных данных и потребовали выкуп в размере 1580 биткоинов (около 11 млн долларов США), угрожая обнародовать данные, если выкуп не будет выплачен.

Атаки и уязвимости

В ОС Android обнаружена новая критическая уязвимость CVE-2020-0096, которая позволяет злоумышленникам получить доступ практическим ко всем приложениям на устройстве.

Получившая название StrandHogg 2.0 уязвимость позволяет злоумышленнику с помощью установленного на атакуемом устройстве вредоносного приложения похищать SMS-сообщения, фотографии и учетные данные, отслеживать местоположение по GPS, звонить, записывать разговоры, а также шпионить за жертвой с помощью микрофона и камеры смартфона.

Видео: демонстрация атаки StrandHogg 2.0

Новая атака RangeAmp позволяет проводить сверхмощные DoS-атаки, используя искажённые HTTP-запросы Range Requests для амплификации реакции веб-серверов и сетей доставки контента.

Имеется два способа применения RangeAmp:

1. RangeAmp Small Byte Range (SBR). Злоумышленник отправляет некорректно сформированный запрос провайдеру CDN, который осуществляет амплификацию трафика к целевому серверу, вызывая перегрузку сайта и блокировку его работы.
2. Overlapping Byte Ranges (OBR). В этом случае некорректно сформированный запрос провайдеру CDN направляется через другие CDN-серверы. Амплификация трафика при этом происходит уже внутри сетей доставки контента, из-за чего сбои происходят как в работе серверов CDN (из-за чего сети доставки контента перестают работать нормально), так и в работе многочисленных целевых сайтов.

Атаки RangeAmp очень опасны и требуют минимум ресурсов для реализации. Сообщается, что RangeAmp SBR может амплифицировать трафик в 724 — 43 330 раз.

Мобильная безопасность

Банковский троян-долгожитель DEFENSOR ID несколько месяцев продержался в разделе «Образование» официального магазина приложений Google Play.

В описании приложения было указано, что оно повышает безопасность пользователя при помощи использования сквозного шифрования. Для работы DEFENSOR ID запрашивало несколько критически значимых разрешений, среди которых изменение системных настроек, а также доступ к ­Accessibility Service (Служба специальных возможностей). Причиной того, что приложение не блокировали несколько месяцев, стало то, что его операторы удалили все потенциально подозрительные функции, кроме одной: злоупотребление Accessibility Service.

Получив необходимые привилегии, приложение получало возможность читать любой текст: SMS-сообщения, учетные данные для входа в аккаунты и коды двухфакторной аутентификации. Таким образом, вредонос получал доступ к аккаунтам онлайн-банков, социальных сетей и электронной почте жертвы.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 15 по 21 мая 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Почта

Организаторы новой фишинговой кампании научились обходить многофакторную аутентификацию в Office 365, чтобы получить доступ к данным жертв в облаке.

В тексте писем содержится упоминание о зарплатном бонусе, а для просмотра подробностей предлагается перейти по ссылке, которая выглядит как типичное приглашение SharePoint.

После нажатия на ссылку пользователи переходят на легальную страницу входа в Microsoft Office 365 по адресу https://login.microsoftonline.com. В ссылке используются обращения к OAuth2 и OpenID, с помощью которых злоумышленники выдают разрешения мошенническим приложениям.

Смысл атаки в том, что приложения, которые хотят получить доступ к данным Office 365 от имени пользователя, сначала должны получить маркер доступа с платформы Microsoft Identity Platform. После того, как пользователь введёт свои учётные данные, произойдёт его аутентификация по протоколу OpenID, после чего с помощью OAuth2 делегирует доступ к данным пользователя вредоносному приложению в соответствии с запрошенными параметрами:

• contacts.read позволяет программе читать контакты пользователя;
• notes.read.all — даёт программе ко всем блокнотам OneNote, доступным пользователю;
• Files.ReadWrite.all позволяет читать все доступные пользователю файлы;
• offline_access позволяет получать обновлённые токены доступа, пройдя аутентификацию всего один раз, и иметь таким образом бессрочный доступ к данным жертвы.

Атаки и уязвимости

Новая уязвимость BIAS в протоколе Bluetooth позволяет получить контроль над Bluetooth-устройством.

BIAS  — Bluetooth Impersonation AttackS — атака имперсонации Bluetooth — становится возможной в связи с тем, как Bluetooth обрабатывает ключ долговременного пользования.
Этот ключ генерируется при первом сопряжении двух устройств по Bluetooth. С его помощью оба устройства в дальнейшем получают сеансовые ключи при будущих подключениях без необходимости заново проходить сопряжение.

Выяснилось, что злоумышленник может подделать ранее подключавшееся по Bluetooth устройство, пройти аутентификацию, подключиться к атакуемому гаджету без ключа долговременного пользования и захватить над ним контроль.

Атака работает на смартфонах iPhone, Samsung, Google, Nokia, LG, Motorola, планшетах iPad, ноутбуках MacBook, HP и Lenovo, наушниках Philips и Sennheiser, а также на системах Raspberry Pi и Cypress.

В защищенном мессенджере Signal обнаружена уязвимость CVE-2020—5753, эксплуатация которой позволяет отслеживать местоположение пользователя.

Чтобы получить геолокацию пользователя из контакт-листа, достаточно позвонить ему в Signal. Информацию о местоположении и IP-адрес можно узнать, даже если адресат не ответит на звонок. Если звонящего нет в списке контактов, звонок через мессенджер позволяет определить приблизительное местоположение адресата.

Причина такой деанонимизации в том, используемая в Signal реализация протокола WebRTC устанавливает соединение. В процессе поиска правильного пути для соединения используются промежуточные «сигнальные» сервера, через которые производится обмен публичными и частными IP-адресами абонентов.

Весь процесс происходит до того, как пользователь ответит на звонок, и это позволяет получить информацию о звонящем даже если он скрыл свой IP-адрес.

Вредоносное ПО

Вайпер MilkmanVictory атакует мошенников, похищающих данные, и шифрует их файлы, не сохраняя ключ для расшифровки.

New #MilkmanVictory #Ransomware extension .paradox!
Rnsom note;READ_ME.txt
Hello!, This computer has been destroyed with the MilkmanVictory Ransomware because we know you are a scammer! 
— CyberWare Hackers :-)
@LawrenceAbrams @BleepinComputer @Amigo_A_ pic.twitter.com/TLNC8mdvE8

— GrujaRS (@GrujaRS) May 16, 2020

Разработчики «благородного» вредоноса — группировка CyberWare, — утверждают, что основной целью их кампании являются фирмы, практикующие кредитное мошенничество: они обещают своим жертвам кредит, но потом оказывается, что сначала нужно заплатить мошенникам некоторую сумму, а в результате не получить ничего.

В рамках своей деятельности они провели DDoS-атаку на немецкую компанию Lajunen Loan, а также направили в адрес компании фишинговые письма, содержащие ссылки на вредоносные исполняемые файлы, замаскированные под файлы PDF.

После успешной атаки MilkmanViktory оставляет сообщение, уведомляющее мошенника о том, что его файлы уничтожены.

Мобильная безопасность

Android-троян WolfRAT шпионит за пользователями смартфона, передавая собранные данные на управляющий сервер.

Для заражения WolfRAT использует фальшивые обновления популярных программ — Adobe Flash Player и Google Play. Функциональность трояна включает

• фотографии и запись видео на камеру смартфона;
• перехват СМС и запись аудио;
• хищение файлов и истории браузеров;
• запись сеансов работы с мессенджерами.

Инциденты

Нигерийские мошенники подают заявления на пособие по безработице, используя персональные данные американцев.

Источником сведений для мошенников служит объёмная база данных с похищенной личной информацией и номерами страхования сотрудников служб реагирования, государственных служащих и школьных работников. Главной целью преступников был штат Вашингтон, однако до этого они уже провели несколько успешных кампаний во Флориде, Массачусетсе, Северной Каролине, Оклахоме, Род-Айленде и Вайоминге.

Для проведения операции мошенники нанимают в качестве «мулов» жителей США, оставшихся без работы или ставших жертвами других мошенников. Они получают выплаты, причитающиеся другим людям, а затем пересылают основную их часть нигерийским «коллегам», оставляя себе часть выручки в награду за «труды».

Энергетическая компания Elexon из Великобритании стала жертвой кибератаки.

На сайте компании сообщается, что инцидент затронул внутреннюю сеть и ноутбуки сотрудников, а также почтовый сервер. На работоспособность систем подачи электроэнергии кибератака не повлияла.

Предположительно кибератака была проведена через уязвимость CVE-2019-11510 в корпоративном VPN-сервере Pulse Secure, который Elexon использовала для предоставления доступа удалённым сотрудникам к корпоративной сети. Судя по косвенным признакам, злоумышленники воспользовались уязвимостью для внедрения в сеть и установки вымогательского ПО.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 8 по 14 мая 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Почта

Организаторы новой фишинговой кампании используют письма, брендированные под DHL, для хищения учётных записей жертвы в службе доставки.

1. Жертва получает письмо, оформление которого с достаточной точностью копирует оригинальные сообщения DHL.
2. В письме содержится информация о том, что в адрес жертвы направлена посылка. Отследить её можно по ссылке в письме.
3. Нажав на ссылку, жертва попадает на мошеннический сайт, на котором также используется оформление «под DHL»:

Логины и пароли, введённые на этом сайте, будут направлены злоумышленникам.

Атаки и уязвимости

Разработана футболка-невидимка, которая позволяет сделать человека невидимым для систем распознавания личности на видео.

Невидимой футболку делает специально разработанный абстрактный рисунок из разноцветных пятен. Принцип действия рисунка:

• искусственные нейронные сети в системах видеонаблюдения в процессе распознавании рисуют вокруг предположительного объекта рамку и пытаются идентифицировать его;
• если вычислить граничные точки этой рамки, появляется возможность создать рисунок, способный «убедить» нейросеть, что перед ней находится не объект.

При создании рисунка-невидимки использовались нейросети YOLOv2 и Faster R-CNN. С их помощью удалось определить участки тела, к которым нужно добавить пиксельный шум, чтобы сделать человека невидимым для ИИ.

Новый метод атаки Thunderspy позволяет в течение пяти минут взломать компьютеры на базе Windows или Linux с поддержкой порта Thunderbolt.

Атака позволяет обойти экран авторизации и шифрование жесткого диска на заблокированных или находящихся в режиме сна компьютерах, изменить настройки безопасности и получить доступ к данным на устройстве. Единственный на сегодня способ защиты от атаки Thunderspy — отключение порта Thunderbolt.

Всего разработчикам Thunderspy удалось выявить семь уязвимостей в Thunderbolt:

1. Неадекватная схема проверки прошивки;
2. Слабая схема аутентификации устройств;
3. Использование метаданных неаутентифицированных устройств;
4. Атака Downgrade с использованием обратной совместимости;
5. Использование неаутентифицированных конфигураций контроллера;
6. Недостатки флэш-интерфейса SPI;
7. Отсутствие защиты Thunderbolt в Boot Camp.

Используя эти уязвимости, можно провести девять различных атак.

Киберпреступники использовали иконки сайтов для внедрения мошеннического кода на страницы оплаты интернет-магазинов.

• Файлы изображений размещались на сайте MyIcons.net — мошенническом клоне популярного сайта IconArchive.com.
• Для обычных страниц сайт выдавал легитимные изображения-иконки favicon.
• Для страниц с формами оплаты заказа иконка подменялась вредоносным сценарием JavaScript, который воровал данные банковской карты пользователя.

Инциденты

Мошенники похитили 10 млн долларов США у норвежского инвестиционного фонда Norfund с помощью BEC-атаки.

Внедрившись в переписку между фондом и камбоджийской микрофинансовой организацией, обратившейся за кредитом, хакеры некоторое время обменивались письмами с фондом, причём письма были написаны и оформлены чрезвычайно реалистично. В итоге им удалось убедить представителя фонда отправить кредитные средства на счёт компании преступников в Мексике, название которой в точности совпадало с названием камбоджийской МФО.

Поставщик банкоматов и платёжных технологий Diebold Nixdorf стал жертвой вымогателя ProLock, ранее известного как PwndLocker.

По заявлению компании инцидент затронул только внутренние сети компании и сказался на некоторых операциях, однако отключение систем затронуло сервисы, которыми пользуются около ста клиентов Diebold Nixdorf. В частности, была отключена система автоматизации запросов техников на местах.

Сумма требуемого выкупа не уточняется. Представители Diebold Nixdorf сообщили, что компания не планирует выполнять требования вымогателей.

Magellan Health, страховая компания из списка Fortune 500, стала жертвой вымогателя и утечки данных.

Неизвестный хакер отправил в Magellan фишинговое электронное письмо от имени клиента. Когда один из сотрудников открыл содержащееся в письме вредоносное вложение, злоумышленник получил доступ к системам компании, после чего похитил персональные данные сотрудников, зашифровал документы в сети с помощью вредоносного ПО и потребовал выкуп.

Украденные данные содержат логины и пароли, а также личные сведения сотрудников — имена, адреса, номера социального страхования и идентификаторы налогоплательщиков. Представители Magellan заявляют, что преступнику удалось похитить лишь часть сведений о сотрудниках, но о какой части из 10,5 тысяч работников компании идёт речь, не уточняют.

Киберпреступная группировка REvil похитила 756 Гб конфиденциальных данных у юридической фирмы Grubman Shire Meiselas & Sacks, которая обслуживает крупнейших мировых звезд, среди которых Леди Гага, Элтон Джон, Роберт Де Ниро и Мадонна.

Фрагмент контракта на организацию концертного турне Мадонны

Украденные данные содержат сканы контрактов, номера телефонов, адреса электронной почты, личную переписку и многое другое. Хакеры опубликовали скриншоты со списком папок, содержащих похищенную информацию и фрагменты некоторых контрактов:

От компании требуют выкуп в биткоинах, размер которого пока не сообщается.

Курьерская компания Pitney Bowes второй раз за последние семь месяцев стала жертвой вымогательского ПО.

На этот раз в сеть Pitney Bowes проник вымогатель Maze. В качестве доказательства взлома преступники опубликовали несколько скриншотов со списком файлов из внутренней сети жертвы.

Представители компании сообщили, что обратились к внешним консультантам по ИТ-безопасности, что позволило остановить атаку до того, как данные были зашифрованы.

Компания Stadler, выпускающая дизельные и электрические поезда, стала жертвой кибератаки.

Неизвестным хакерам удалось проникнуть в корпоративную сеть, заразить некоторые компьютеры вредоносным ПО и похитить данные данные компании и 11 тысяч её сотрудников со скомпрометированных устройств. Объем похищенных сведений пока не установлен.

Злоумышленники связались с компанией и потребовали выкуп, пригрозив в случае неуплаты опубликовать похищенную информацию.

На киберпреступных форумах предлагают к продаже онлайн-доступ к базе данных службы доставки CDEK.

За полный доступ к базе доставок и контрагентов, содержащей более 9 млн записей, продавец хочет всего 70 тыс. рублей.

Ресурс содержит актуальные сведения о физических и юридических лицах: адреса, номера телефонов, а также полные сведения о доставке и местонахождении грузов.

Вредоносное ПО

Новая версия инфостилера Astaroth использует описания YouTube-каналов для хранения адресов управляющих серверов.

Вредоносные кампании Astaroth обычно начинаются с фишингового письма, которое выглядит как легитимное сообщение от известного бренда. В тексте письма содержатся ссылки, по которым нужно перейти или вредоносные вложения, которые жертва должна открыть по причинам, указанным в письме.

Другие разновидности фишинговых писем используют COVID-брендирование:

Astaroth — один из самых сложных и скрытных вредоносов. Его разработчики используют
различные средства противодействия анализу и антиотладочные механики, что крайне затрудняет изучение работы инфостилера. Каждая новая версия содержит новые и часто оригинальные приёмы. «Фишкой» последней версии помимо развития антиотладочных техник стало использование описаний YouTube-каналов для хранения различной служебной информации, которую использует вредонос:

Информация в описании закодирована с использованием base64.

В декодированной строке описания содержится список адресов управляющих серверов, которые использует Astaroth.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.