193 заметки с тегом

дайджест

Ctrl + ↑ Позднее

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 4 по 10 сентября 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошеннические кампании

Обнаружена очередная мошенническая схема, эксплуатирующая тему операционных выплат бизнесу.

Представители малого и среднего бизнеса получают электронные уведомления о зачислении на на внутренний бухгалтерский счет пользователя нескольких сотен тысяч рублей. Письмо содержит ссылку на документ в легитимном хранилище. Такой способ размещения вредоносного файла злоумышленники используют, чтобы обойти защитные решения.

После перехода по указанной ссылке жертва видит, что ему полагаются некие «операционные выплаты» от неизвестной финансовой организации или даже от имени известного эквайринг-провайдера. После клика на форму пользователь перенаправляется на мошеннический ресурс, где ему предлагается создать личный кабинет, указав имя, фамилию и пароль. Для большей убедительности сайт периодически имитирует запросы авторизации или создания пароля.

В завершении мошеннического шоу пользователя просят оплатить 390 рублей за обязательную «идентификацию». Именно эти деньги и являются целью мошенников.

Сайты, почта и мессенджеры

Из-за ошибки в настройках фишинговой кампании жертва атаки рассылает 39 адресатам письма с уведомлением о том, что её обманули.

Атака начинается с фишингового уведомления от Facebook, в котором сообщается, что некто пытается зайти в учётную запись жертвы в социальной сети и предлагается подтвердить, что это жертва или сообщить о попытке взлома.

Нажатие любой кнопки приводит к тому, что вместо фишингового ресурса, запрашивающего пароль жертвы, открывается почтовый клиент с письмом, адресованным 39 получателям. При этом пользователь по-прежнему должен нажать кнопку «Send», чтобы отправить письмо.

Атаки и уязвимости

Разработана атака Raccoon на криптографический протокол TLS, которая позволяет расшифровать HTTPS-трафик между пользователем и сервером.

Raccoon — разновидность атаки по времени (timing attack), в ходе которой атакующий измеряет время выполнения известных криптографических операций, чтобы определить фрагмент алгоритма. В Raccoon объект атаки — процесс обмена ключами в протоколе Диффи-Хеллмана. Атакующий пытается восстановить несколько байтов информации для построения системы уравнений, решение которой позволяет вычислить сеансовый ключ для связи между клиентом и сервером.

Для атаки уязвимы все серверы, использующие для установки TLS-соединения протокол Диффи-Хеллмана с версией TLS 1.2 и ниже. Raccoon не может быть проведена на стороне клиента. Она должна запускаться для каждого соединения клиент-сервер и не позволяет восстановить закрытый ключ шифрования сервера и одновременно расшифровать все соединения.

В протоколе Bluetooth обнаружена новая уязвимость CVE-2020-15802, которая может использоваться для перезаписи ключей аутентификации Bluetooth.

Получившая название BLURtooth проблема относится к компоненту Cross-Transport Key Derivation (CTKD), который используется для аутентификации при сопряжении Bluetooth-устройств Low Energy (BLE) и Basic Rate/Enhanced Data Rate (BR/EDR). Используя BLURtooth, злоумышленник может манипулировать компонентом CTKD для перезаписи ключей аутентификации Bluetooth и таким образом получить доступ к поддерживающим Bluetooth сервисам и приложениям на устройстве.

Уязвимость затрагивает устройства с Bluetooth версий с 4.0 до 5.0.

Группировка TeamTNT атакует облачные среды с помощью легитимного инструмента Weave Scope, предназначенного для визуализации и мониторинга Docker и Kubernetes, распределенных облачных операционных систем (DC/OS) и AWS Elastic Compute Cloud (ECS).

Атакв начинается с размещения в Docker Hub вредоносного образа, содержащего вредоносные скрипты для майнинга криптовалют. Через открытый порт Docker API злоумышленники создают новый привилегированный контейнер с «чистым» образом Ubuntu и настраивают его так, чтобы его файловая система была подключена к файловой системе сервера жертвы.

Затем злоумышленники запускают в контейнере майнер криптовалюты и пытаются повысить привилегии до суперпользователя путем создания привилегированного пользователя «hilde» на хост-сервере.

После этого на хост жертвы загружается и устанавливается инструмент Weave Scope. Его панель управления отображает визуальную карту инфраструктуры Docker и позволяет атакующим запускать команды оболочки без необходимости устанавливать вредоносное ПО.

Обнаружена ещё одна разновидность «текстовой бомбы», которая выводит из строя мессенджер WhatsApp.

Выяснилось, что мессенджер не может «переварить» определённую строку Unicode-символов, поэтому экстренно завершает работу каждый раз, когда пользователь попытается прочитать проблемное послание.

Темы Windows 10 могут использоваться для незаметного хищения учетных данных пользователей с помощью атаки Pass-the-Hash.

Для проведения атаки достаточно настроить тему так, чтобы обои рабочего стола загружались с ресурса злоумышленника, тогда при попытке доступа к этому ресурсу Windows автоматически попытается авторизоваться в удаленной системе путем отправки логина и NTLM-хэша пароля пользователя. Эти данные доступны для перехвата злоумышленником, который затем сможет расшифровать пароль.

В Windows 10 обнаружена уязвимость нулевого дня, эксплуатация которой позволяет создавать файлы в защищённых областях ОС. Уязвимость работает только на компьютерах с включённой функцией Hyper-V.

Источник проблемы — драйвер storvsp.sys (Storage VSP — Virtualization Service Provider), который представляет собой компонент Hyper-V на стороне сервера. Некорректная обработка прав позволяет непривилегированному пользователю создать в папке System32 файл с произвольным именем, а поскольку создатель файла является его владельцем, он сможет впоследствии поместить в него произвольный вредоносный код.

Инциденты

Один из крупнейших чилийских банков BancoEstado стал жертвой вымогательского ПО REvil (Sodinokibi).

Атака началась с получения одним из сотрудников BancoEstado вредоносного документа Microsoft Office. Когда сотрудник открыл его, в сеть банка внедрился бэкдор, используя который, злоумышленники установили и запустили в инфраструктуре кредитной организации вымогательское ПО.

Вымогатель зашифровал большую часть внутренних серверов и компьютеров банка, поэтому скрыть факт атаки не удалось из-за невозможности обслуживать клиентов.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






дайджестфишинг

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 28 августа по 3 сентября 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Вредоносное ПО

Троян KryptoCibule распространяется через торрент-трекеры и ориентирован на кражу и добычу криптовалюты у пользователей Windows из Чехии и Словакии.

Основные функции KryptoCibule:

  • майнинг Monero и Ethereum в системах жертв,
  • хищение криптовалютных кошельков,
  • подмена адресов кошельков в буфере обмена ОС.

Для связи с управляющими серверами KryptoCibule использует Tor, а для загрузки торрент-файлов, отвечающих за скачивание дополнительных модулей (прокси-серверы, модули для майнинга, а также серверы HTTP и SFT) используется торрент-клиент.

Компания Apple разрешила вредоносной программе Shlayer работать на macOS. Вредоносное ПО было замаскировано под обновление для Adobe Flash Player и успешно прошло необходимую верификацию.

Автоматизированные проверки, которые применяет Apple перед публикацией приложений в App Store, оказались не слишком надежными, что позволило вредоносному сайту Homebrew распространять установщики вредоноса Shlayer, прошедшие официальную нотаризацию в App Store под видом обновлений для Adobe Flash Player.

Умные устройства

Уязвимости в сетевых службах компании Tesla позволяли скомпрометировать инфраструктуру взаимодействия с автомобилями, а затем удалённо отправлять команды запуска двигателя, блокировки дверей и другие. Для получения доступа требовался лишь VIN автомобиля жертвы.

Источник проблемы — набором инструментов, опубликованный на сайте toolbox.teslamotors.com. В коде модулей для разработчиков присутствовали учётные данные для доступа к внутренним сервисам сети Tesla. В коде также были найдены учётные данные пользователя узла управления кластером, отвечавшим за доставку приложений на другие серверы. На сервере оказались в открытом доступе учётные данные для доступа к базам PostgreSQL и MySQL, причём доступ к большинству из компонентов можно было получить без учетных данных.

Мобильная безопасность

Ботнет TERRACOTA загружал на смартфоны мошенническую рекламу, маскируясь под полезные приложения.

Разработанные для ботнета приложения в Play Market обещали пользователям бонусы и бесплатные товары в обмен на установку:

  • ботинки, кроссовки, сапоги,
  • билеты на концерты,
  • купоны,
  • скидки на дорогие стоматологические процедуры.

Для получения подарков пользователям требовалось установить приложение, а затем подождать две недели. На самом деле приложения загружали и запускали в скрытом режиме модифицированную версию мини-браузера WebView и загружали в нём мошенническую рекламу, зарабатывая для операторов деньги за показы.

За последнюю неделю июня TERRACOTTA незаметно загрузил более 2 млрд рекламных объявлений на 65 тыс. зараженных смартфонов.

В операционной системе Android обнаружена уязвимость CVE-2020-8913, позволявшая вредоносным приложениям извлечь конфиденциальные данные из легитимных программ, установленных на том же устройстве.

Источником проблемы оказалась библиотека Play Core, которая позволяет разработчикам интегрировать в свои программы функции обновления модулей и языковых пакетов. Вредоносные приложения могли использовать уязвимость для внедрения своих модулей в официальный софт, если он использовал Play Core. Таким образом можно было выкрасть пароли, номера банковских карт и другую конфиденциальную информацию с устройства.

Google подтвердила наличие уязвимости, присвоив ей 8,8 баллов из 10.

Инциденты

На продажу выставлена база данных с информацией о счетах клиентов банка ВТБ, содержащая до 50 млн записей.

В тестовом фрагменте базы, представленном в качестве образца для потенциальных покупателей, содержатся ФИО, номера телефонов и паспортов четырнадцати граждан.
Одиннадцать из них действительно имеют счета в ВТБ. Проверить этот факт можно с использованием системы быстрых платежей, которая при оформлении перевода позволяет по номеру телефона увидеть наличие счета в конкретном банке, а также имя, отчество и первую букву фамилии его владельца.

По словам продавца, в его распоряжении имеется база данных объемом от 30 до 50 млн записей, которую он может выгружать напрямую, день в день. Стоимость одной записи составляет 25 рублей.

Житель города Ершова похищал деньги с банковских счетов граждан с помощью фишинга.

Преступник создал 10 фальшивых сайтов, имитирующих официальный сайт одного из крупнейших российских провайдеров цифровых услуг. Когда пользователи пытались пополнить счет на одном из фишинговых сайтов, злоумышленник получал доступ к конфиденциальным данным абонентов, в том числе реквизитам банковских карт, после чего переводил деньги на свои счета в различных платежных системах и обналичивал в банкоматах.

Посольство России в Австрии стало жертвой целевой фишинговой атаки.

Сотрудников дипмиссии попросили не открывать вложения и не переходить по ссылкам, которые приходят в письмах с адреса info.austria@mid.ru.

«На основной электронный адрес посольства info.austria@mid.ru осуществляется спам-атака. Имеются также основания предполагать, что почтовый аккаунт был взломан злоумышленниками.»

Из сообщения на сайте дипмиссии.

Источник атаки пока не установлен.

Свердловский областной онкологический центр стал жертвой кибератаки.

Преступники заблокировали базу данных патологоанатомического отделения, содержащую результаты биопсии от 200 до 400 больных. За восстановление базы с руководства центра потребовали 80 тыс. руб.

«Это катастрофа, потому что от гистологии зависит, какое назначать лечение. Часть восстановили примерно по операционным журналам, но остальное погибло. Хакеры потребовали 80 тысяч за возврат. Руководство согласилось заплатить, но сейчас хакеры не выходят на связь, до них не могут дозвониться. Нелюди. Онкологических больных обрушили»

Светлана Лаврова, врач-нейрофизиолог.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






дайджестфишинг

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 21 по 27 августа 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Уязвимости и атаки

Разработана техника SpiKey, которая позволяет подобрать ключ к замку по звуку поворота ключа.

Схема атаки SpiKey.

Для проведения атаки достаточно записать на микрофон обычного смартфона звук вставки и извлечения ключа из замка. Этот звук позволяет сделать выводы о форме ключа и его бородке, а затем создать копию.

Специально разработанная программа определяет время между щелчками, которые происходят при контакте ключа со штифтами в замке, а затем, основываясь на этих данных, воссоздает сам ключ. Полученные данные можно использовать для создания копии ключа с помощью 3D-принтера.

На текущий момент программа предлагает несколько подходящих ключей-кандидатов, а не единственный готовый вариант. Однако такой «акустический» анализ обычного ключа с шестью выступами позволяет отбраковать более 94% ключей и оставить не более 10 ключей-кандидатов.

Чтобы получить максимально хороший результат, требуется постоянная скорость при повороте ключа в замке. Это ограничение можно обойти, записав звук открывания/закрывания замка несколько раз. К примеру, атакующий может установить малварь на смартфон или умные часы жертвы или собрать данные с дверных датчиков, если те укомплектованы микрофонами.

Запись щелчков должна производиться на расстоянии примерно 10 сантиметров от замка, для более дальних дистанций понадобится направленный микрофон.

Обнаружена вредоносная кампания, в рамках которой для атак используется вредоносный код, спрятанный внутри плагинов для 3Ds Max.

Схема атаки на 3Ds Max.

Для атак использовался вредоносный плагин PhysXPluginMfx, эксплуатирующий утилиту MAXScript из комплекта поставки 3Ds Max. При загрузке в 3Ds Max плагин изменяет настройки, запускает вредоносный код и заражает другие файлы *.max в системе Windows для распространения на другие компьютеры.

Настоящей целью вредоносного кода было развертывание бэкдор-трояна, который атакующие использовали для поиска на зараженных машинах конфиденциальных файлов и последующей кражи важных документов. Управляющие серверы для этой кампании расположены в Южной Корее.

В системах мониторинга Xorux LPAR2RRD и STOR2RRD Virtual Appliance обнаружена опасная уязвимость CVE-2020-24032, эксплуатация которой может привести ко взлому корпоративной сети.

Источник уязвимости — недостаточная фильтрация данных в параметрах POST-запроса при установке временной зоны. Для эксплуатации уязвимости необходим доступ к функции set timezone через веб-интерфейс продукта. В результате злоумышленники смогут выполнять команды на сервере системы.

В облачном сервисе Google Диск обнаружена уязвимость, которую можно использовать для целевых фишинговых атак путём подмены легитимных документов или изображений их вредоносными версиями.

Источник проблемы — функция «Управление версиями». Она позволяет пользователям загружать различные версии файла и управлять ими. Теоретически «Управление версиями» должно предоставлять пользователям возможность заменить старый файл новой версией, имеющей то же расширение, однако в действительности сервис позволяет загружать в качестве новой версии файл с любым расширением. Google просто не проверяет, тот ли это тип файла и имеет ли он то же расширение, что и «старая» версия.

Таким образом, злоумышленник может подменить любой файл вредоносным вариантом, причем при предпросмотре он будет казаться совершенно безобидным.

Вредоносные кампании

Обнаружена фишинговая кампания, в рамках которой преступники из группировки Lazarus Group с помощью поддельного объявления о вакансии в LinkedIn обманули системного администратора криптовалютной организации.

В качестве приманки использовалась тема Общего регламента по защите данных (General Data Protection Regulation, GDPR). Файл с вредоносным ПО, отправленный в виде вложения к сообщению LinkedIn, побуждал системного администратора открыть его для получения подробной информации о новой интересной работе. Документ был якобы защищен GDPR, поэтому для его открытия нужно было разрешить выполнение макросов.

Умные устройства

В телевизионных приставках Thomson и Philips обнаружены опасные уязвимости, используя которые злоумышленникам могут установить на устройства вредоносные программы.

Источник уязвимости — открытые на устройствах telnet-порты. В протоколе telnet, которому больше 50 лет, защита не предусмотрена. В результате атакующий с лёгкостью может получить удалённый доступ к приставкам и использовать их в атаках ботнетов: запускать DDoS и реализовывать другие вредоносные схемы.

Ещё одним фактором, усугубляющим риск, является использование в устройствах Thomson и Philips ядра Linux 3.10.23, поддержка которого прекратилась в ноябре 2017 года. Поскольку обновления не выпускаются уже почти три года, накопилось множество уязвимостей, которые также можно использовать для компрометации устройств.

Мобильная безопасность

Китайские смартфоны производства Transsion Holdings «из коробки» содержат вредоносное ПО, которое похищает персональные данные, демонстрирует рекламу и тайно подписывает пользователей по всему миру на платные услуги.

Пользователи смартфона Tecno W2 обнаружили, что их устройство показывает рекламные объявления поверх окон приложений и даже во время разговоров по телефону. С мобильных счетов списывались деньги, несанкционированно подключались платных услуг.

Оказалось, что телефон поставляется с завода со встроенными вредоносами xHelper и Triada, загружающими сторонние приложения в фоновом режиме. При этом удалить вредоносное ПО невозможно, поскольку оно является частью прошивки.

В общей сложности зафиксировано 19,2 млн подозрительных транзакций, в рамках которых вредоносы тайно подписывали пользователей более чем 200 тыс. устройств на платные услуги.

Инциденты

Обнаружен способ хищения средств со счетов клиентов в банке с использованием Системы быстрых платежей (СБП).

В мобильном банке одной из кредитных организаций возможности переводов по СБП была оставлена уязвимость, связанная с открытым API-интерфейсом. Через нее мошенники смогли подменять счета отправителя.

Злоумышленник через уязвимость в одной из банковских систем получил данные счетов клиентов. Затем он запустил мобильное приложение в режиме отладки, авторизовавшись как реальный клиент, отправил запрос на перевод средств в другой банк, но перед совершением перевода вместо своего счета отправителя средств указал номер счета другого клиента этого банка. ДБО, не проверив, принадлежит ли указанный счет отправителю, направило в СБП команду на перевод средств, который был успешно исполнен. Так мошенники отправляли себе деньги с чужих счетов.

Обнаружена утечка данных 55 тыс. карт клиентов маркетплейса Joom. База данных содержит первые шесть и последние четыре цифры номера карты, срок ее действия, указание платежной системы и банка, который выпустил карту, а также ФИО, контактные данные (телефон и электронную почту) и адрес проживания.

«Подтвердить информацию об объеме в 55 тысяч мы не можем: сперва нам нужно изучить опубликованную базу и проанализировать ее на предмет соответствия нашим данным.»

Представитель Joom

Хакеры CCP Unmasked заявили о взломе китайских компаний Knowlesys, Yunrun Big Data Service и OneSight, которые занимаются мониторингом и надзором за социальными сетями.

В качестве доказательства журналистам были переданы 40 Гб файлов, в которых, разоблачаются целые кампании по мониторингу социальных сетей и дезинформации. Например, в одной из презентаций компания сообщает о «тесном сотрудничестве со спецслужбами на протяжении 8 лет», а также о том, что её клиенты — спецслужбы, службы безопасности, военные и полиция.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






дайджестфишинг
Ctrl + ↓ Ранее