Представляем новости об актуальных технологиях фишинга и других атаках на человека c 5 по 11 июня 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошенничество

Мошенники выманили у поклонников Илона Маска более 150 тыс. долларов США в криптовалюте, используя фальшивые YouTube-каналы.

Для проведения кампании преступники

• захватили три YouTube-канала,
• переименовали их так, чтобы новые имена были связаны с компанией SpaceX,
• запустили якобы живые стримы с Илоном Маском, для которых использовались записи интервью и выступлений руководителя SpaceX,
• на стримах рекламировали фальшивые раздачи биткоинов и предлагали зрителям прислать им небольшое количество криптовалюты, чтобы поучаствовать в раздаче и получить обратно удвоенную сумму.

Зрители одного из каналов отправили «Илону» более 30 переводов на общую сумму 5,51 BTC — примерно 53 600 долларов США. Выручка другого составила 11,25 BTC — 109 606 долларов США, которые перечислили им 85 зрителей.

Атаки и уязвимости

В процессорах Intel обнаружены две новые уязвимости — SGAxe (CVE-2020-0549) и CrossTalk (CVE-2020-0543).

• SGAxe представляет собой усовершенствованный вариант атаки CacheOut (L1D Eviction Sampling), позволяет обходить Intel Software Guard eXtensions (SGX) и похищать данные из ЦП.
  Уязвимость стала результатом ошибок в процессе очистки в расширениях для кэша данных в некоторых процессорах Intel и позволяет авторизованному злоумышленнику с локальным доступом к атакуемой системе раскрыть важную информацию.

Видео: демонстрация атаки с использованием SGAxe

• CrossTalk позволяет выполнить код на одном ядре процессора для получения конфиденциальных данных из ПО, запущенном на другом ядре. Это ещё одна атака на механизм спекулятивного исполнения команд (MDS). К MDS-уязвимостям также относятся Meltdown и Spectre. CrossTalk атакует данные в процессе их обработки системой кэширования Line Fill Buffer (LBF). Оказалось, что в LBF есть недокументированный промежуточный буфер памяти доступный для всех ядер процессора.

Видео: демонстрация атаки CrossTalk

Уязвимости, связанные со спекулятивным выполнением команд, присутствуют не только в процессорах Intel. Обнаруженная в архитектуре процессора Armv8-A (Cortex-A) проблема SLS (Straight-Line Speculation) относится именно к этому типу.

Уязвимость SLS, получившая идентификатор CVE-2020-13844, представляет собой атаку по сторонним каналам со спекулятивным выполнением команд. Хотя вычислительные операции являются частью процесса спекулятивного выполнения, когда происходит изменение в потоке управления командами процессора Arm, ЦП реагирует, выполняя найденные в своей памяти команды уже после изменения потока управления.

В браузере Mozilla Firefox обнаружена критическая уязвимость CVE-2020-12405, эксплуатация которой позволяет злоумышленнику удаленно выполнить код.

Проблема получила оценку в 8,8 балла по шкале CVSS. Для её использования достаточно заманить пользователя на вредоносную страницу. Уязвимость затрагивает версию Firefox 76.0a1 x64 и содержится в компоненте SharedWorker и внутренних объектах, связанных с ним.

В командном интерпретаторе Windows cmd.exe обнаружена уязвимость, используя которую можно добиться исполнения произвольных команд.

Обнаруженную проблему можно охарактеризовать как смесь «несоответствия команды/аргумента с обходом каталога». Уязвимость потенциально позволяет запустить не только калькулятор, но вообще любую программу и тем самым вызвать отказ в обслуживании, раскрыть информацию и выполнить произвольный код. Тем не менее, Microsoft заявила, что обнаруженное исследователем «странное поведение» интерпретатора командной строки является предусмотренным функционалом и не может считаться уязвимостью.

В сетевом протоколе передачи данных Microsoft Server Message Block (SMB) обнаружена новая критическая уязвимость SMBleed (CVE-2020-1206), использование которой позволяет злоумышленникам удаленно получить из памяти ядра конфиденциальные данные. В сочетании с уязвимостью SMBGhost (CVE-2020-0796) проблема может быть использована для удаленного выполнения кода.

Уязвимость работает в Windows 10 1903 и 1909. Чтобы использовать её, неавторизованному злоумышленнику придётся настроить вредоносный сервер SMBv3 и убедить пользователя подключиться к нему.

Новая уязвимость CallStranger (CVE-2020-12695) позволяет злоумышленникам захватывать контроль над различными «умными» устройствами, использовать их для DDoS-атак, обхода защитных решений, сканирования внутренней сети жертвы и хищения данных.

Уязвимость связана с набором сетевых протоколов UPnP, которые используют многие «умные» устройства. Для её эксплуатации злоумышленнику нужно отправить на устройство TCP-пакеты, содержащие изменённое значение параметра callback в заголовке для функции SUBSCRIBE. Изменённый заголовок может быть использован для атак на любые устройства, подключенные к интернету и поддерживающие UPnP, включая камеры наблюдения, видеорегистраторы, принтеры, маршрутизаторы.

Проблема затрагивает ПК под управлением Windows, игровые приставки, телевизоры и маршрутизаторы производства Asus, Belkin, Broadcom, Cisco, Dell, D-Link, Huawei, Netgear, Samsung, TP-Link, ZTE и пр.

Критическая уязвимость CVE-2020-12493 обнаружена в контроллерах светофора CPU LS4000 от поставщика SWARCO TRAFFIC SYSTEMS. Эксплуатация уязвимости позволяет злоумышленникам нарушать работу светофоров.

Уязвимый контроллер SWARCO работает под управлением операционной системы реального времени BlackBerry QNX и позволяет управлять светофорами на одном перекрестке. Оказалось, что в системе был открыт отладочный порт, подключившись к которому, неавторизованный злоумышленник получал права суперпользователя на любом контроллере и мог произвольно управлять сигналами светофора, например, выключить их, переключить все на красный свет или заставить мигать желтым светом.

Инциденты

Компания Honda стала жертвой кибератаки с использованием вымогателя, которая привела к остановке некоторых производственных процессов.

At this time Honda Customer Service and Honda Financial Services are experiencing technical difficulties and are unavailable. We are working to resolve the issue as quickly as possible. We apologize for the inconvenience and thank you for your patience and understanding.

— Honda Automobile Customer Service (@HondaCustSvc) June 8, 2020

По предварительным данным один из серверов компании был заражен вымогательским ПО Snake (также известно как Ekans). Эта программа блокирует используемые на промышленных предприятиях АСУ ТП и требует выкуп за разблокировку.

Хотя сама компания не раскрывает никаких подробностей о характере инцидента, однако в VirusTotal обнаружен образец вредоноса Snake, подготовленный специально для атаки на Honda: он проверяет внутреннюю сеть mds.honda.com.

Вредоносное ПО

Мультиплатформенный вымогатель Tycoon, написанный на Java, прячется от защитных систем в файлах образов JIMAGE.

Для распространения вредонос использует уязвимые RDP-серверы, доступные из интернета. Затем злоумышленники

• используют инъекцию Image File Execution Options (IFEO) для закрепления в системе,
• запускают бэкдор вместе Microsoft Windows On-Screen Keyboard (OSK),
• отключают антивирусные продукты, используя ProcessHacker,
• запускают вымогательский модуль на Java, который шифрует все файловые серверы, подключенные к сети, включая системы резервного копирования.

Сам шифровальщик находится в ZIP-архиве c вредоносной сборкой Java Runtime Environment (JRE) и скомпилированным образом JIMAGE.
Формат JIMAGE используют для хранения кастомных образов JRE . Он был представлен вместе с Java 9, слабо документирован и редко используется.

Первая онлайн-конференция по OSINT для профессионалов и любителей

АНО ДПО ЦПК «АИС» приглашает всех желающих на мероприятие, посвящённое разведке по открытым источникам (OSINT).

Спикеры конференции — профессионалы в мире гражданских разведывательных технологий:

• гуру Конкурентной разведки в России, ведущий эксперт Андрей Масалович, АИС
• начальник кафедры специальных информационных технологий Университета МВД им В.Я. Кикотя Евгений Поликарпов,
• независимый исследователь даркнета Антон Ставер.

Дата: 16 июня
Время: с 14.00 до 18.00 (мск)
Стоимость участия: 2400 руб.

Участникам онлайн-конференции выдаются Свидетельства АИС.

Зарегистрироваться на мероприятие

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 29 мая по 4 июня 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошенничество

Обнаружена ещё одна COVID-брендированная фишинговая атака, ориентированная на посетителей сайта итальянского национального института социального обеспечения (ИНИСО).

ИНИСО — ведомство, которое занимается выплатой государственных пособий гражданам, пострадавшим от пандемии коронавируса.

Мошенники создали полную копию сайта ИНИСО на домене inps-it(.)top:

Гражданам, обратившимся за пособием, сайт предлагает загрузить «приложение для новой компенсации за COVID-19»

Под видом приложения на устройство загружается банковский Android-троян в виде файла «acrobatreader.apk». После запуска вредонос запрашивает права на сервисы для людей с ограниченными возможностями и доступ к другим системным функциями, а затем незаметно очищает банковские счета доверчивых граждан.

Italian version of the report

Мобильная безопасность

Вредоносная картинка может превратить Android-смартфон в бесполезный кирпич, если пользователь установит её в качестве обоев.

WARNING！！！
Never set this picture as wallpaper, especially for Samsung mobile phone users!
It will cause your phone to crash!
Don't try it!
If someone sends you this picture, please ignore it. pic.twitter.com/rVbozJdhkL

— Ice universe (@UniverseIce) May 31, 2020

Сразу после установки обоев смартфон впадает в бесконечный цикл включения-выключения дисплея, лишая владельца возможности использовать устройство. Сообщается, что перезагрузка не избавляет от проблемы.

Предположительно причина проблемы в содержащихся в картинке метаданных, обработка которых системным ПО смартфона вызывает такой эффект.

Атаки и уязвимости

В клиента Zoom обнаружены две уязвимости, которые можно использовать для размещения на компьютере произвольных файлов и удалённого выполнения вредоносного кода.

• CVE-2020-6109 — уязвимость, связанная с тем, как Zoom обрабатывает ссылки на сервис GIPHY, чтобы пользователи могли через чат обмениваться анимированными GIF-файлами.
  Выяснилось, что Zoom не проверял источник гифок, что давало злоумышленникам возможность вставить в чат GIF со своего сервера. Получив изображение, Zoom сохраняет его в специальной папке, но при этом не производит «обезвреживание» имени, что позволяет преступникам организовать обход каталогов и сохранить вредоносные файлы в любом месте целевой системы.

• CVE-2020-6110 — уязвимость, вызванная небезопасной обработкой фрагментов кода, передаваемых через чат. Чат Zoom базируется на стандарте XMPP и использует дополнительные расширения. Одно из таких расширений позволяет включить в чат фрагменты исходного кода с подсветкой синтаксиса. Перед отправкой такого кода Zoom упаковывает его в zip-архив, который распаковывается на системе получателя. Проблема состоит в том, что функция извлечения zip-архива Zoom не проверяет содержимое zip-архива перед его извлечением, что позволяет злоумышленнику установить на целевую систему произвольные двоичные файлы.

В ПО VMware Cloud Director обнаружена уязвимость CVE-2020-3956, эксплуатация которой позволяет злоумышленнику получить доступ к конфиденциальной информации, управлять частными облаками в рамках всей инфраструктуры, а также выполнить произвольный код.

Уязвимость связана с некорректной обработкой вводимой информации и позволяет авторизованному злоумышленнику отправить вредоносный трафик в Cloud Director через пользовательские интерфейсы на основе HTML5 и Flex, интерфейс API Explorer или через API, добившись в итоге выполнения произвольного кода.

Эксплуатация уязвимости даёт возможнсть:

• Просмотреть содержимое внутренней базы данных, включая хэши паролей всех клиентов, выделенных для этой инфраструктуры.
• Изменить системную базу данных для доступа к другим виртуальным машинам различных организаций в Cloud Director.
• Повысить привилегии от администратора до системного администратора с доступом ко всем облачным учетным записям, изменив пароль с помощью SQL-запроса.
• Изменить страницу авторизации в Cloud Director, чтобы перехватывать пароли другого клиента в виде открытого текста, включая учетные записи системного администратора.
• Читать полные имена клиентов, их адреса электронной почты или IP-адреса.

Обнаружен написанный на Java шифровальщик-вымогатель PonyFinal, который использует для распространения взломанные учётные записи.

PonyFinal is a Java-based ransomware that is deployed in human-operated ransomware attacks. While Java-based ransomware are not unheard of, they’re not as common as other threat file types. However, organizations should focus less on this payload and more on how it’s delivered. pic.twitter.com/Q3BMs7fSvx

— Microsoft Security Intelligence (@MsftSecIntel) May 27, 2020

Схема атаки:

• взлом учётной записи на сервере управления системами путём простого перебора, который начинается со слабых паролей.
• когда учётная запись взломана, злоумышленники активируют PowerShell-скрипт, который предоставляет преступникам удалённый доступ к системе и собирает необходимые для продолжения атаки данные.
• на сервере развёртываются компоненты, необходимые для работы вредоноса;
• PonyFinal упаковывается для распространения в MSI-файл, который содержит два пакетных файла и полезную нагрузку. UVNC_Install.bat создает запланированное задание с именем «Java Updater» и вызывает RunTask.bat, который запускает полезную нагрузку PonyFinal.JAR.

Вымогательское сообщение PonyFinal

Зашифрованные PonyFinal файлы имеют формат .enc. Пока способов или инструментов для расшифровки таких файлов не разработано.

Выявлена очередная уязвимость процессоров Intel и AMD перед атакой по сторонним каналам.

Видео: запись нажатий клавиш с помощью Dabangg

Получившая название Dabangg атака базируется на уже известных методах Flush+Reload и Flush+Flush, которые приводят к утечке данных из процессоров Intel. Однако в отличие от них Dabangg эффективен даже в системах с множеством ядер и работает в операционной системе macOS.

При удачном применении нового метода атакующий может перехватить ввод пользователя, извлечь закрытые ключи AES и другие данные с помощью канала между вредоносным процессом и жертвой. По принципу работы уязвимость можно сравнить со Spectre, которая также открывает доступ к данным в кэше.

Видео: атака на алгоритм шифрование AES с использованием Dabangg

Инциденты

Киберпреступная группировка Riviera Maya похитила более 1 млрд долларов США у туристов и жителей Мексики, организовав свою компанию по ремонту банкоматов.

Сотрудники принадлежащей преступникам компании Intacash смогли, не вызывая подозрений, установить скиммеры для хищения данных банковских карт более чем на 100 банкоматах, расположенных в лучших туристических местах Мексики. Каждый такой «дооснащённый» банкомат приносил банде примерно 1000 карт в месяц, а с каждой карты они снимали в среднем 200 долларов.

Для получения собранных данных достаточно было подойти к банкомату со смартфоном, запустить приложение и скачать накопившиеся в модуле памяти сведения о картах и пин-кодах.

Видео: журналистское расследование о работе группировки Riviera Maya.

Мошенники взламывали серверы автозаправочных станций в Санкт-Петербурге и похищали топливо. Всего им удалось выполнить 417 бесплатных заправок и украсть более 2 млн рублей.

Для преступной деятельности использовалась вредоносная программа, которая дестабилизировала работу серверов на АЗС. В результате сразу после заправки любого количества топлива оплаченные денежные средства автоматически возвращались на банковскую карту преступника.

Похищенное топливо злоумышленники заливали в грузовой автомобиль «Газель» с баком на 1 тыс. литров, а затем перепродавали на трассе.

Киберпреступники опубликовали конфиденциальные данные электроэнергетической компании Elexon, похищенные во время кибератаки 14 мая 2020 года. Опубликованные данные включают 1280 файлов, в том числе паспорта сотрудников Elexon и конфиденциальную информацию компании.

Для взлома злоумышленники использовали уязвимость CVE-2019-11510 в устаревшей версии SSL VPN-сервера Pulse Secure, который использовала компания.

После того, как компания отказались выполнять требования вымогателей и восстановила IT-инфраструктуру из резервных копий, злоумышленники решили устроили акт возмездия.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 22 по 28 мая 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Вредоносное ПО

Новая версия трояна AnarchyGrabber ворует пароли и токены пользователей, отключает 2ФА и распространяет малварь среди друзей жертвы с помощью модифицированного варианта официального клиента Discord.

• Преступники распространяют AnarchyGrabber через Discord, выдавая его за игровой чит, хакерский инструмент или пиратский софт.
• Если жертва поверила и установила трояна, он модифицирует JavaScript-файлы клиента Discord, чтобы добавить в него вредоносную функциональность для хищения токена пользователя.
• Используя токен, хакеры получают возможность войти в Discord под видом своей жертвы.

Главная опасность AnarchyGrabber заключается в том, что большинство его жертв не подозревают о заражении, поскольку после запуска исполняемого файла AnarchyGrabber и модификации файлов клиента Discord, троян практически никак не проявляет себя и не запускается снова. Но несмотря на отсутствие вредоносного процесса, который мог бы обнаружить антивирус, зараженный компьютер всё равно остается частью ботнета.

Единственный способ избавиться от AnarchyGrabber — удалить клиент Discord и установить его заново.

Новая версия вредоноса ComRAT собирает логи антивирусов с заражённого хоста и управляется через почту Gmail.

Предположительно, сбор логов антивирусов с зараженного хоста позволяет членам группировки Turla, распространяющей вредонос, понимать, какой из образцов вредоносного ПО был обнаружен защитными решениями, и использовать эти сведения для скрытного внедрения малвари в других системах.

Дополнительный механизм управления через почтовый ящик Gmail обеспечивает операторам управление вредоносом в случае, когда связь с управляющим сервером через «классический» HTTP заблокирована. Фактически, чтобы отдать вредоносу команду, достаточно написать письмо на «его» gmail.

Новая версия вредоноса Sarwent открывает порты RDP на зараженных компьютерах и выполняет команды злоумышленников через Command Prompt и PowerShell.

Для включения RDP Sarwent создаёт на зараженных машинах новую учётную запись пользователя Windows, а затем вносит изменения в настройки брандмауэра Windows, чтобы разрешить внешний доступ через RDP к зараженному хосту. В результате операторы Sarwent могут использовать созданную учетную запись для доступа к зараженному хосту и при полном содействии локального брандмауэра.

Шифровальщик Ragnar Locker используют Oracle VirtualBox и виртуальные машины с Windows XP, чтобы скрыть свое присутствие в заражённой системе и запустить вымогателя в «безопасной» среде, недоступной для локального антивирусного ПО.

Операторы Ragnar Locker не интересуются обычными домашними пользователями, внедряя вредоноса в корпоративные сети и правительственные организации, а затем требуя крупный выкуп от нескольких десятков до сотен тысяч долларов США.

В апреле 2020 года года RagnarLocker атаковал сеть энергетического гиганта Energias de Portugal (EDP). Сообщалось, что преступники похитили 10 терабайт конфиденциальных данных и потребовали выкуп в размере 1580 биткоинов (около 11 млн долларов США), угрожая обнародовать данные, если выкуп не будет выплачен.

Атаки и уязвимости

В ОС Android обнаружена новая критическая уязвимость CVE-2020-0096, которая позволяет злоумышленникам получить доступ практическим ко всем приложениям на устройстве.

Получившая название StrandHogg 2.0 уязвимость позволяет злоумышленнику с помощью установленного на атакуемом устройстве вредоносного приложения похищать SMS-сообщения, фотографии и учетные данные, отслеживать местоположение по GPS, звонить, записывать разговоры, а также шпионить за жертвой с помощью микрофона и камеры смартфона.

Видео: демонстрация атаки StrandHogg 2.0

Новая атака RangeAmp позволяет проводить сверхмощные DoS-атаки, используя искажённые HTTP-запросы Range Requests для амплификации реакции веб-серверов и сетей доставки контента.

Имеется два способа применения RangeAmp:

1. RangeAmp Small Byte Range (SBR). Злоумышленник отправляет некорректно сформированный запрос провайдеру CDN, который осуществляет амплификацию трафика к целевому серверу, вызывая перегрузку сайта и блокировку его работы.
2. Overlapping Byte Ranges (OBR). В этом случае некорректно сформированный запрос провайдеру CDN направляется через другие CDN-серверы. Амплификация трафика при этом происходит уже внутри сетей доставки контента, из-за чего сбои происходят как в работе серверов CDN (из-за чего сети доставки контента перестают работать нормально), так и в работе многочисленных целевых сайтов.

Атаки RangeAmp очень опасны и требуют минимум ресурсов для реализации. Сообщается, что RangeAmp SBR может амплифицировать трафик в 724 — 43 330 раз.

Мобильная безопасность

Банковский троян-долгожитель DEFENSOR ID несколько месяцев продержался в разделе «Образование» официального магазина приложений Google Play.

В описании приложения было указано, что оно повышает безопасность пользователя при помощи использования сквозного шифрования. Для работы DEFENSOR ID запрашивало несколько критически значимых разрешений, среди которых изменение системных настроек, а также доступ к ­Accessibility Service (Служба специальных возможностей). Причиной того, что приложение не блокировали несколько месяцев, стало то, что его операторы удалили все потенциально подозрительные функции, кроме одной: злоупотребление Accessibility Service.

Получив необходимые привилегии, приложение получало возможность читать любой текст: SMS-сообщения, учетные данные для входа в аккаунты и коды двухфакторной аутентификации. Таким образом, вредонос получал доступ к аккаунтам онлайн-банков, социальных сетей и электронной почте жертвы.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.