Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошеннические кампании

Мошенники используют Google Disk для рассылки электронных писем и push-уведомлений от Google, которые перенаправляют людей на вредоносные сайты.

На мобильных устройствах для рассылки используется функция совместной работы на Google Диске, которая создаёт push-уведомление, приглашающее к совместной работе над документом. Если нажать на уведомление, пользователь будет перенаправлен к документу, содержащему привлекательную ссылку.

Результат переадресации при щелчке со ссылке

В отличие от обычного спама, который Gmail фильтрует, подобные сообщения попадают в почтовый ящик жертвы и получают дополнительный уровень легитимности, поступая от самой Google.

Пользователи получают уведомления в Google Диске и электронные письма, написанные на русском или ломаном английском, с просьбой совместно поработать над документами. Документы всегда содержат ссылку на мошеннический web-сайт, один из которых, например, засыпает людей уведомлениями и просьбами перейти по ссылкам для розыгрыша призов. Другие версии мошеннических сайтов предлагают проверить свой банковский счет или получить платеж.

Обнаружена новая вымогательская кампания нацеленная на пользователей видеосервиса Zoom.

Схема атаки:

• Жертва получает письмо по электронной почте с темой «Касательно видеоконференции в Zoom»;
• В первом абзаце уведомления жертве сообщают, что «недавно вы участвовали в конференц-связи Zoom», после чего заявляется, что с помощью уязвимости нулевого дня злоумышленник получил полный доступ к веб-камере пользователя и записал интимные видео.
• Как правило, человеку говорят, что у вымогателей имеются кадры его обнажённого тела перед камерой, либо записи из личной жизни.
• Вымогатель требует 2000 долларов США в биткоинах за то, чтобы видео никуда не распространилось.
• Работающие удалённо пользователи могут поверить этому блефу, поскольку дома все расслабляются и сидят перед компьютером в домашней одежде или без неё.

Атаки и уязвимости

Разработана атака на межсетевые экраны NAT Slipstreaming, с помощью которой можно получить удалённый доступ к сетевым сервисам во внутренней сети жертвы.

Для проведения атаки используется браузер и механизм Application Level Gateway (ALG), который используют межсетевые экраны и маршрутизаторы для отслеживания соединений. Метод позволяет извлекать внутренние IP-адреса с помощью атаки по времени или WebRTC, а также использовать манипуляции с MTU и IP-фрагментации, сжатие TCP-пакетов, неправильное использование аутентификации TURN, точный контроль границ пакетов и создание путаницы протоколов в браузере.

Поскольку порт назначения открывается межсетевым экраном, атака позволяет обходить реализованные в браузере ограничения на доступ к портам. к этой атакеВсе основные современные браузеры уязвимы,

С помощью нового алгоритма можно распознать слова, которые печатает на клавиатуре собеседник во время видеозвонка.

Выделение рук на фото и построение векторов

Алгоритм формирует список слов-кандидатов, анализируя движения контуров плеч и рук. Для этого фон вокруг тела собеседника удаляется, а изображение переводится в оттенки серого. Затем определяется лицо человека, а опираясь на него, выясняется расположение рук. Выделив на изображении руки пользователя, алгоритм оставляет лишь их контур и делит на две части: область около плечевого сустава и остальная часть руки.

На базе кадров с выделенными руками рассчитывается вектор смещения их контуров, а затем вероятность набираемых слов. Для повышения точности результатов также учитывается скорость печати, порядок использования рук во время набора и количество букв в словах.

Пока результаты не очень точные: при использовании словаря в 4 тыс. популярных слов три четверти введенных на клавиатуре слов оказывались в списке из 200 слов, которым алгоритм присвоил самую большую вероятность.

Владельцы ботнетов и мошенники используют припаркованные домены для распространения вредоносного ПО и проведения фишинговых кампаний.

Схема кампании по распространению Emotet

Один из доменов, использовавшихся в таких атаках, valleymedicalandsurgicalclinic[.]com, был зарегистрирован 8 июля 2020 года и сразу же припаркован. Начиная с 14 сентября этот домен стал вредоносным и начал распространять полезные нагрузки ботнета Emotet через фишинговые письма, что в итоге приводило к краже учетных записей и полному захвату контроля над зараженными устройствами.

Инциденты

В результате кибератаки вымогателя компания Mattel была вынуждена приостановить некоторые бизнес-процессы.

В ходе инцидента были зашифрованы данные на некоторых компьютерных системах, что привело к временному сбою некоторых бизнес-операций. По заявлению компании распространение инфекции удалось быстро остановить, и сведений о краже важной корпоративной информации пока не имеется. Компания не сообщает, какой именно вымогательское ПО использовалось для кибератаки.

В даркнете выставлена на продажу база с 34 млн пользовательских записей, похищенных у 17 различных компаний.

Объявление о продаже информации

По заявлению продавца данные были украдены злоумышленниками в 2020 году. Самая крупная утечка в 8,1 млн записей произошла у компании Geekie.com. Самая известная пострадавшая компания — сингапурская RedMart — 1,1 млн записей

О пользователях каждой компании доступна следующая информация:

• Redmart.lazada.sg: email, пароли (SHA1), почтовые и платежные адреса, полные имена пользователей, номера телефонов, частичные номера кредитных карт и даты истечения их срока действия;
• Everything5pounds.com: email, хешированные пароли, имена, пол, номера телефона;
• Geekie.com.br: email, пароли (bcrypt-sha256/sha512), username, имена, DoB, пол, номер мобильного телефона, бразильские номера CPF;
• Cermati.com: email, пароли (bcrypt), имена, адреса, телефоны, информация о доходах, банк, номер налогоплательщика, номер ID, пол, данные о работе, компании, девичья фамилия матери;
• Clip.mx: email, телефон;
• Katapult.com: email, пароли (pbkdf2-sha256/неизвестно), имена;
• Eatigo.com: email, пароли (md5), имена, телефоны, пол, идентификаторы и токены Facebook;
• Wongnai.com: email, пароли (md5), IP-адреса, идентификаторы Facebook и Twitter, имена, дата рождения, телефоны, почтовые индексы;
• Toddycafe.com: email, пароли, имена, телефоны, адреса;
• Game24h.vn: email, пароли (md5), username, даты рождения, имена;
• Wedmegood.com: email, пароли (sha512), телефоны, идентификаторы Facebook;
• W3layouts.com: email, пароли (bcrypt), IP-адреса, страны, города, штаты, телефоны, имена;
• Apps-builder.com: email, пароли (md5crypt), IP-адреса, имена, страны;
• Invideo.io: email, пароли (bcrypt), имена, телефоны;
• Coupontools.com: email, пароли (bcrypt), имена, телефоны, пол, даты рождения;
• Athletico.com.br: email, пароли (md5), имена, CPF, даты рождения;
• Fantasycruncher.com: email, пароль (bcrypt/sha1), имя и IP-адрес пользователя.

Злоумышленники взломали сервера IP-телефонии 1,2 тыс. организаций и использовали их для незаконного обогащения.

Реклама услуг телефонии через взломанные компании

Хакеры атаковали Sangoma PBX — пользовательский интерфейс для управления системами VoIP-телефонии Asterisk.

Взлом VoIP-серверов даёт преступникам несколько вариантов их эксплуатации. Наиболее денежные способы — перепродажа услуг телефонии с использование взломанных сервисов и звонки на премиум-номера, которые используют, чтобы за более высокую плату предлагать покупки и другие услуги по телефону, например, перевод звонящих в режим ожидания.

Поскольку осуществление звонков является легитимной функцией, определить, что сервер находится под контролем злоумышленников, очень сложно.

Приглашаем принять участие в XI Международном форуме по борьбе с мошенничеством в сфере высоких технологий AntiFraud Russia 2020

10 декабря 2020 года
10:00 МСК
Мероприятие пройдёт в онлайн-формате.

Программа форума
Зарегистрироваться на AntiFraud Russia 2020

Форум традиционно проводится Академией Информационных Систем при поддержке и участии Банка России, МВД России, Ассоциации банков России и Секретариата ОДКБ. Также к участию приглашаются представители Государственной Думы РФ, ФСБ России, Следственного комитета, Росфинмониторинга, Минкомсвязи России, других федеральных ведомств, российских и международных общественных объединений, отраслевых союзов и ассоциаций.

Эксперты Антифишинга примут участие в круглом столе, на котором будут обсуждаться следующие вопросы:

1. Почему не всегда работает самый простой совет против телефонных мошенников — положить трубку и перезвонить в банк?
2. Что делать банкам, если клиенты перестанут верить звонкам и сообщениям от реальных служб безопасности о сомнительных переводах?
3. Появится ли «популяционный иммунитет» против социнженерии в условиях форсированной цифровизации и появления все новых сервисов?
4. Социальная ответственность банков и провайдеров цифровых услуг — это дополнительные косты или рост доверия и новые клиенты?
5. Фишинг в период пандемии: на чем играют мошенники и насколько успешно они эксплуатируют эту новую тему?
6. Каковы лучшие практики в сфере повышения осведомленности сотрудников, в том числе банков? Роль психологов и специалистов по ИБ в киберучениях.

Представляем новости об актуальных технологиях фишинга и других атаках на человека с 23 по 29 октября 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошеннические кампании

Операторы ботнета Emotet «запустили» новый способ запуска вредоноса: они предлагают своим жертвам обновить MS Word.

Схема атаки:

1. Жертва получает письмо с вложенным документом MS Word. В письме содержится информация, побуждающая срочно открыть этот документ, например, в связи с тем, что в нем имеются важные сведения о COVID-19:

2. Когда жертва открывает вложение, ей выводится предупреждение о том, что необходимо разрешить содержимое. При нажатии этой кнопки пользователь разрешает выполнение макросов. Чтобы подтолкнуть его к этому, в новом варианте атаки преступники добавляют в документ предложение обновить MS Word, чтобы добавить в него новые функции, и именно в связи с этим и нужно разрешить содержимое:

3. Если жертва разрешает содержимое, на компьютер устанавливается клиент ботнета Emotet:

4. С этого момента компьютер жертвы становится участником сети, через которую производится рассылка спама, загрузки других вредоносных программ и DDoS-атак.

Мобильная безопасность

Предварительный просмотр ссылок в популярных приложениях для обмена сообщениями может привести к раскрытию IP-адресов пользователя, отправленных через зашифрованные чаты ссылок и незаметной загрузке гигабайтов данных в фоновом режиме.

Предварительный просмотр ссылок позволяет пользователю увидеть краткое описание ссылки и соответствующее ей изображение. При создании предварительного просмотра на стороне получателя злоумышленник может узнать приблизительное местоположение жертвы, отправив ссылку на подконтрольный ему сервер. Приложение для обмена сообщениями, получив сообщение со ссылкой, автоматически открывает URL-адрес для создания предварительного просмотра, раскрывая IP-адрес телефона в запросе, отправленном на сервер.

Использование для генерации превью внешнего сервера предотвращает раскрытие IP-адреса, однако создает новую проблему, связанную с сохранением конфиденциальности попавших на сервер данных. Например, Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter и Zoom загружают содержимое ссылки на свои сервера, никак не уведомляя об этом пользователей. В случае, если по ссылке находится JavaScript-код, он может быть выполнен:

Ещё одна проблема с предварительным просмотром состоит в том, что не все приложения ограничивают размер файлов, загружаемых для его создания. Например, Facebook Messenger и Instagram загружают файлы целиком, даже если их размер достигает нескольких гигабайтов:

Инциденты

Энергетическая компания Enel Group стала жертвой шифровальщика-вымогателя Netwalker. Вторая в этом году кибератака стала успешной: преступники похитили около 5 Тб информации и зашифровали файлы на серверах и компьютерах.

Преступники опубликовали скриншоты со списком похищенных файлов на своём сайте. Там же тикает таймер обратного отсчёта. Когда он обнулится, украденная информация будет опубликована в общем доступе.

Скриншот с таймером обратного отсчёта.

За удаление похищенных файлов и ключ для расшифровки операторы Netwalker требуют выкуп в размере 1234,0238 Биткоина, что по текущему курсо составляет около 14 млн долларов США.

Требование о выкупе в «личном кабинете жертвы» на сайте вымогателя

С помощью новой мошеннической схемы преступники незаконно списывали деньги у одного из екатеринбургских банков в счет оплаты бензина на автозаправочных станциях Екатеринбурга и Свердловской области.

Схема действий преступников:

1. Злоумышленники опускали топливный пистолет в заправляемую емкость или в топливный бак автомобиля, вводили на дисплее автоматического терминала сумму, на которую необходима заправка, равную сумме денежных средств на карте, и таким образом авторизовали процесс заливки горючего.
2. Когда бензин начинал заливаться в бак, через личный кабинет мошенники меняли счет с положительным балансом на счет без денег. В связи этим банк был вынужден допускать овердрафт (перерасход кредитуемых средств) на карте мошенников и оплатить заправку за свой счет.
3. «Бесплатный» бензин мошенники продавали по дешёвке таксистам.

Всего зафиксировано 30 фактов хищения на сумму более 1 млн. рублей.

Неизвестные хакеры взломали официальный сайт предвыборной кампании Дональда Трампа donaldjtrump[.]com и разместили на главной странице пародию на стандартное уведомление об изъятии домена правоохранительными органами.

Послание взломщиков: «данный сайт был захвачен», потому что «мир устал от фальшивых новостей, ежедневно распространяемых президентом Дональдом Трампом».

Хакеры также заявили, что скомпрометировали несколько устройств Трампа и его приближенных, и теперь в их распоряжении имеется различная секретная информация, включая данные о происхождении коронавируса. Всем желающим проголосовать за или против публикации этих сведений предлагается пожертвовать криптовалюту Monero на соответствующий кошелёк.

Финская общенациональная сеть психотерапевтических клиник Vastaamo стала жертвой кибератаки, в результате которой произошла утечка данных десятков тысяч пациентов.

Преступник потребовал выкуп в размере 40 Биткоинов (около 500 000 долларов США по текущему курсу), а чтобы сделать руководство клиники более сговорчивым, стал публиковать конфиденциальную информация о пациентах в даркнете,

Также сообщается, что не добившись желаемого от руководства Vastaamo, вымогатель стал напрямую связываться с пациентами по электронной почте и требовать у них по 240 долларов в криптовалюте за удаление их записей из украденной БД. Предполагается, что злоумышленник пошёл на такой шаг после того, как несколько человек узнали об утечке и сами предложили хакеру деньги за удаление информации о себе. Для них шантажист установил цену в 0,05 биткоина (около 650 долларов США).

Из-за кибератаки вымогательского ПО индийский фармацевтический гигант Dr Reddy’s отключил все свои серверы центров обработки данных и остановил производство на предприятиях в США, Великобритании, Бразилии, Индии и России.

Dr Reddy’s изготавливает препараты для лечения коронавирусной инфекции (COVID-19) «Ремдесивир» и «Фавипиравир». Кибератака произошла через несколько дней после того, как компания получила одобрение Генерального контролера лекарственных средств Индии (Drugs Controller General of India, DCGI) на проведение клинических испытаний российской вакцины «Спутник V» в стране.

Приглашаем на бесплатный вебинар «Цена непрерывности бизнеса. Человеческий фактор в ИБ»

Когда: 5 ноября 2020 года в 11:00 МСК
Организаторы: Angara Professional Assistance и Антифишинг.

Один из ключевых векторов современных атак — человеческий фактор, а главная защитная мера — обучение и тренировка сотрудников осознанному противостоянию уловкам злоумышленников. На вебинаре мы расскажем о программах повышения осведомленности пользователей, вариантах обучения и тестирования, киберучениях.

Одним из докладчиков мероприятия будет Сергей Волдохин, директор Антифишинга. Основные тезисы его выступления:

1. Классификация и примеры цифровых атак на людей.
2. Процесс обучения и тренировки навыков. Целевой результат.
3. Антифишинг как платформа для автоматизации Методология. Эффективность процесса.

Программа и более подробная информация о вебинаре

Зарегистрироваться на вебинар

Мошеннические кампании

Обнаружена фишинговая атака на пользователей криптовалютной биржи Coinbase.

1. Атака начинается с письма, содержащего «Новые правила использования», которые необходимо принять, чтобы продолжать использовать сервис.
2. Если пользователь кликнет на ссылку в письме, он попадёт на легитимный сайт для регистрации в учётной записи Microsoft. URL помимо запроса на авторизацию содержит запрос прав User.Read, Mail.Read и Mail.ReadWrite от имени этой учётной записи:

3. После того, как пользователь вводит логин и пароль, у него запрашивается доступ к его учётной записи от имени приложения coinbaseterms.app:

4. Если пользователь соглашается предоставить права приложению, токен безопасности, обеспечивающий доступ к его учётной записи Microsoft, отправляется разработчику приложения. Используя его, разработчик приложения получает доступ к сведениям о профиле пользователя, в том числе данным его организации, возможность производить любые действия с письмами в почтовом ящике кроме отправки.

Андрей Жаркевич
редактор

Артемий Богданов
технический директор

Сергей Волдохин
выпускающий редактор

Мобильная безопасность

В семи мобильных браузерах обнаружены уязвимости, с помощью которых злоумышленник может подделать URL в адресной строке. Среди уязвимых браузеров — Apple Safari, Opera Touch и Opera Mini, UC Browser и Яндекс.Браузер.

Подмена адресной строки не очень опасна на десктопе, поскольку её легко обнаружить, наведя курсор на URL. Однако на мобильных устройствах эта уязвимость гораздо опаснее: на небольшом экране пользователь видит лишь часть адреса.

Видео: демонстрация подмены адреса в строке мобильного браузера

Шести уязвимостям из десяти обнаруженных присвоены идентификаторы CVE:

• CVE-2020-7363 и CVE-2020-7364 уязвимости в браузере UC Browser для Android;
• CVE-2020-7369 — уязвимость в Яндекс.Браузер для Android;
• CVE-2020-7370 — уязвимость в iOS-версии браузера Bolt;
• CVE-2020-7371 — уязвимость в Android-версии браузера RITS;
• CVE-2020-9987 — уязвимость в Apple Safari.

Атаки и уязвимости

Злоумышленники используют уязвимости CVE-2020-15507, CVE-2020-15506 и CVE-2020-15505 в сервере управления мобильными устройствами MobileIron для взломов корпоративных серверов и организации вторжений в корпоративные сети.

Сервера управления мобильными устройствами позволяют системным администраторам с одного центрального сервера развёртывать на служебные гаджеты сотрудников сертификаты, приложения, списки контроля доступа, а в случае кражи — стирать данные
и блокировать устройства.

Самая опасная из уязвимостей CVE-2020-15505 вошла в список 25 самых популярных уязвимостей, используемых китайскими правительственными хакерами. Хотя производитель сервера выпустил исправления ошибок ещё летом, многие предприятия проигнорировали опасность и так и не установили обновления.

Новый антирекорд: шифровальщик-вымогатель Ryuk проник в систему и зашифровал файлы жертвы всего за пять часов.

Добиться такой сверхскорости киберпреступникам удалось благодаря совместному использованию фишинговых писем и уязвимости Zerologon (CVE-2020-1472). Используя эту уязвимость, можно имитировать любой компьютер в сети при аутентификации на контроллере домена, отключить функции безопасности Netlogon или изменить пароль в базе данных Active Directory контроллера домена.

Схема атаки:

1. Фишинговая рассылка писем, содержащих загрузчик Bazar.
2. Получив управление, Bazar внедрялся в процессы explorer.exe и svchost.exe, после чего запускал системную утилиту Nltest, и повышал свои привилегии с помощью уязвимости Zerologon.
3. Получив права администратора, киберпреступники сбросили пароль основного контроллера домена, а затем перешли на дополнительный контроллер домена, используя модуль PowerShell Active Directory.
4. Используя созданное RDP-подключение, операторы Ryuk развернули исполняемый файл вымогателя на серверах резервного копирования. После этого вредоносная программа была загружена на другие серверы и рабочие станции.

Длительность предыдущей атаки Ryuk составляла 29 часов с момента отправки фишингового письма и заканчивая шифрованием систем. Использование Zerologon значительно упростило действия киберпреступников, поскольку для атаки уже не требовался пользователь с высокими привилегиями.

Киберпреступники используют для атак уязвимость нулевого дня CVE-2020-15999 в браузере Google Chrome.

Ошибка связана с библиотекой рендеринга шрифтов FreeType, которая входит в состав стандартных дистрибутивов Chrome. Некорректно написанный код при некоторых условиях нарушает целостность информации в памяти.

Исправление для уязвимости было включено в обновлённую версию FreeType 2.10.4. Google уже выпустила обновлённую версию Chrome и призывает других разработчиков срочно обновить своё ПО, чтобы не допустить использования ошибки злоумышленниками.

Сайты, игры, антивирусы

Преступники используют платформу Basecamp в качестве хостинга для размещения вредоносного ПО и фишинговых атак.

Документы, размещённые в Basecamp, могут содержать ссылки, изображения и форматированный текст. В проект могут быть загружены любые файлы, включая потенциально вредоносные JavaScript-сценарии и другие исполняемые файлы:

Кроме того, мошенники используют Basecamp для размещения промежуточных страниц, которые затем переадресуют жертвы на фишинговые страницы для хищения учётных данных. Basecamp считается доверенным сервисом, поэтому защитные решения не реагируют на такие URL:

Мошенники используют внутреннюю экономику FIFA 21, чтобы заработать на доверчивых пользователях.

В игровом режиме FIFA Ultimate Team (FUT) игроки могут зарабатывать «монеты», которые используются в игре для покупки специальных «карт». В игре также есть так называемые «очки FIFA», которые можно легально купить за реальные деньги в игре или у других игроков.

Мошенники создают фальшивые «генераторы монет» и «награды» и продвигают их с помощью фальшивых рекламных объявлений, сообщений в социальных сетях и мессенджерах.

Вместо создания нелегальных монет «генераторы» похищают персональные данные пользователей: имя, адрес, логин и пароль, платёжную информацию.

Киберпреступники используют легитимный антивирус McAfee для распространения вредоносного ПО.

Схема атаки:

1. Жертвы получают электронные письма со ссылкой на GitHub.
   1 По ссылке на компьютер загружается легитимное антивирусное ПО McAfee.
2. Вместе с антивирусом без ведома жертвы на ее систему устанавливается вредоносное ПО, использующее в качестве управляющего сервера Dropbox.

Использование общеизвестных легитимных сервисов, подобных GitHub и Dropbox, затрудняет отслеживание вредоносных действий защитными решениями.

Инциденты

Крупнейшая в США сеть книжных магазинов Barnes & Noble подтвердила, что стала жертвой кибератаки, в результате которой злоумышленники заблокировали работу систем компании.

По заявлению Barnes & Noble платёжные данные пользователей не были раскрыты, однако адреса электронной почты, биллинг-адреса, адреса доставки и истории покупок, вероятно, были скомпрометированы.

Предположительно кибератаку провела хакерская группа Egregor. Преступникам удалось получить доступ к учётной записи администратора домена, после чего они похитили у компании финансовые и аудиторские файлы, после чего зашифровали данные на сетевых дисках. Украденные файлы группировка опубликовала на своём сайте в даркнете:

Система общественного транспорта Монреаля стала жертвой вымогательского ПО RansomExx. В результате кибератаки были отключены IT-сервисы, сайт и служба поддержки пассажиров.

При проведении атак операторы RansomExx взламывают сеть компании и по мере перемещения по системе крадут незашифрованные файлы. Получив доступ к контроллеру домена Windows, они развёртывают программу-вымогатель на всех доступных устройствах.

Получила ли администрация транспортного управления требование о выкупе, пока не сообщается.