Представляем новости об актуальных технологиях фишинга и других атаках на человека с 16 по 22 октября 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошеннические кампании

Обнаружена фишинговая атака на пользователей криптовалютной биржи Coinbase.

1. Атака начинается с письма, содержащего «Новые правила использования», которые необходимо принять, чтобы продолжать использовать сервис.
2. Если пользователь кликнет на ссылку в письме, он попадёт на легитимный сайт для регистрации в учётной записи Microsoft. URL помимо запроса на авторизацию содержит запрос прав User.Read, Mail.Read и Mail.ReadWrite от имени этой учётной записи:

3. После того, как пользователь вводит логин и пароль, у него запрашивается доступ к его учётной записи от имени приложения coinbaseterms.app:

4. Если пользователь соглашается предоставить права приложению, токен безопасности, обеспечивающий доступ к его учётной записи Microsoft, отправляется разработчику приложения. Используя его, разработчик приложения получает доступ к сведениям о профиле пользователя, в том числе данным его организации, возможность производить любые действия с письмами в почтовом ящике кроме отправки.

Мобильная безопасность

В семи мобильных браузерах обнаружены уязвимости, с помощью которых злоумышленник может подделать URL в адресной строке. Среди уязвимых браузеров — Apple Safari, Opera Touch и Opera Mini, UC Browser и Яндекс.Браузер.

Подмена адресной строки не очень опасна на десктопе, поскольку её легко обнаружить, наведя курсор на URL. Однако на мобильных устройствах эта уязвимость гораздо опаснее: на небольшом экране пользователь видит лишь часть адреса.

Видео: демонстрация подмены адреса в строке мобильного браузера

Шести уязвимостям из десяти обнаруженных присвоены идентификаторы CVE:

• CVE-2020-7363 и CVE-2020-7364 уязвимости в браузере UC Browser для Android;
• CVE-2020-7369 — уязвимость в Яндекс.Браузер для Android;
• CVE-2020-7370 — уязвимость в iOS-версии браузера Bolt;
• CVE-2020-7371 — уязвимость в Android-версии браузера RITS;
• CVE-2020-9987 — уязвимость в Apple Safari.

Атаки и уязвимости

Злоумышленники используют уязвимости CVE-2020-15507, CVE-2020-15506 и CVE-2020-15505 в сервере управления мобильными устройствами MobileIron для взломов корпоративных серверов и организации вторжений в корпоративные сети.

Сервера управления мобильными устройствами позволяют системным администраторам с одного центрального сервера развёртывать на служебные гаджеты сотрудников сертификаты, приложения, списки контроля доступа, а в случае кражи — стирать данные
и блокировать устройства.

Самая опасная из уязвимостей CVE-2020-15505 вошла в список 25 самых популярных уязвимостей, используемых китайскими правительственными хакерами. Хотя производитель сервера выпустил исправления ошибок ещё летом, многие предприятия проигнорировали опасность и так и не установили обновления.

Новый антирекорд: шифровальщик-вымогатель Ryuk проник в систему и зашифровал файлы жертвы всего за пять часов.

Добиться такой сверхскорости киберпреступникам удалось благодаря совместному использованию фишинговых писем и уязвимости Zerologon (CVE-2020-1472). Используя эту уязвимость, можно имитировать любой компьютер в сети при аутентификации на контроллере домена, отключить функции безопасности Netlogon или изменить пароль в базе данных Active Directory контроллера домена.

Схема атаки:

1. Фишинговая рассылка писем, содержащих загрузчик Bazar.
2. Получив управление, Bazar внедрялся в процессы explorer.exe и svchost.exe, после чего запускал системную утилиту Nltest, и повышал свои привилегии с помощью уязвимости Zerologon.
3. Получив права администратора, киберпреступники сбросили пароль основного контроллера домена, а затем перешли на дополнительный контроллер домена, используя модуль PowerShell Active Directory.
4. Используя созданное RDP-подключение, операторы Ryuk развернули исполняемый файл вымогателя на серверах резервного копирования. После этого вредоносная программа была загружена на другие серверы и рабочие станции.

Длительность предыдущей атаки Ryuk составляла 29 часов с момента отправки фишингового письма и заканчивая шифрованием систем. Использование Zerologon значительно упростило действия киберпреступников, поскольку для атаки уже не требовался пользователь с высокими привилегиями.

Киберпреступники используют для атак уязвимость нулевого дня CVE-2020-15999 в браузере Google Chrome.

Ошибка связана с библиотекой рендеринга шрифтов FreeType, которая входит в состав стандартных дистрибутивов Chrome. Некорректно написанный код при некоторых условиях нарушает целостность информации в памяти.

Исправление для уязвимости было включено в обновлённую версию FreeType 2.10.4. Google уже выпустила обновлённую версию Chrome и призывает других разработчиков срочно обновить своё ПО, чтобы не допустить использования ошибки злоумышленниками.

Сайты, игры, антивирусы

Преступники используют платформу Basecamp в качестве хостинга для размещения вредоносного ПО и фишинговых атак.

Документы, размещённые в Basecamp, могут содержать ссылки, изображения и форматированный текст. В проект могут быть загружены любые файлы, включая потенциально вредоносные JavaScript-сценарии и другие исполняемые файлы:

Кроме того, мошенники используют Basecamp для размещения промежуточных страниц, которые затем переадресуют жертвы на фишинговые страницы для хищения учётных данных. Basecamp считается доверенным сервисом, поэтому защитные решения не реагируют на такие URL:

Мошенники используют внутреннюю экономику FIFA 21, чтобы заработать на доверчивых пользователях.

В игровом режиме FIFA Ultimate Team (FUT) игроки могут зарабатывать «монеты», которые используются в игре для покупки специальных «карт». В игре также есть так называемые «очки FIFA», которые можно легально купить за реальные деньги в игре или у других игроков.

Мошенники создают фальшивые «генераторы монет» и «награды» и продвигают их с помощью фальшивых рекламных объявлений, сообщений в социальных сетях и мессенджерах.

Вместо создания нелегальных монет «генераторы» похищают персональные данные пользователей: имя, адрес, логин и пароль, платёжную информацию.

Киберпреступники используют легитимный антивирус McAfee для распространения вредоносного ПО.

Схема атаки:

1. Жертвы получают электронные письма со ссылкой на GitHub.
   1 По ссылке на компьютер загружается легитимное антивирусное ПО McAfee.
2. Вместе с антивирусом без ведома жертвы на ее систему устанавливается вредоносное ПО, использующее в качестве управляющего сервера Dropbox.

Использование общеизвестных легитимных сервисов, подобных GitHub и Dropbox, затрудняет отслеживание вредоносных действий защитными решениями.

Инциденты

Крупнейшая в США сеть книжных магазинов Barnes & Noble подтвердила, что стала жертвой кибератаки, в результате которой злоумышленники заблокировали работу систем компании.

По заявлению Barnes & Noble платёжные данные пользователей не были раскрыты, однако адреса электронной почты, биллинг-адреса, адреса доставки и истории покупок, вероятно, были скомпрометированы.

Предположительно кибератаку провела хакерская группа Egregor. Преступникам удалось получить доступ к учётной записи администратора домена, после чего они похитили у компании финансовые и аудиторские файлы, после чего зашифровали данные на сетевых дисках. Украденные файлы группировка опубликовала на своём сайте в даркнете:

Система общественного транспорта Монреаля стала жертвой вымогательского ПО RansomExx. В результате кибератаки были отключены IT-сервисы, сайт и служба поддержки пассажиров.

При проведении атак операторы RansomExx взламывают сеть компании и по мере перемещения по системе крадут незашифрованные файлы. Получив доступ к контроллеру домена Windows, они развёртывают программу-вымогатель на всех доступных устройствах.

Получила ли администрация транспортного управления требование о выкупе, пока не сообщается.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека с 9 по 15 октября 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мобильная безопасность

Новый Android-вымогатель MalLocker.B блокирует смартфон и требует у жертвы выкуп, утверждая, что пользователь посещал сайты с детской порнографией.

Вредонос скрывается внутри приложений, которые распространяются через различные форумы и сторонние сайты. Подобно многим другим мобильным вымогателям, MalLocker не шифрует файлы пользователя, а лишь блокирует доступ к телефону.

Проникнув на устройство, MalLocker захватывает экран и от имени МВД.РФ сообщает, что жертва должна оплатить штраф за нарушение закона.

Для блокировки экрана MalLocker злоупотребляет уведомлением о входящем звонке. Эта функция, активируется во время получения входящих вызовов и отвечает за отображение подробной информации о вызывающем абоненте. Малварь использует ее для отображения окна, которое полностью закрывает весь экран. Вторая функция, которую использует вредонос срабатывает, когда пользователь хочет перевести приложение в фоновый режим и переключиться на другое приложение. Она запускается при нажатии кнопок Home или Recents. Используя эту функцию, MalLocker удерживает записку с требованием выкупа на переднем плане, не позволяя пользователю переключиться на другое приложение.

Атаки и уязвимости

В Bluetooth-стеке Linux обнаружены критические уязвимости BleedingTooth, которые можно использовать для запуска произвольного кода и доступа к конфиденциальной информации.

Всего уязвимостей три:

1. CVE-2020-12351 — наиболее опасная уязвимость, получившая оценку в 8,3 из 10 баллов по шкале CVSS. Проблема может быть использована удаленным злоумышленником, которому известен Bluetooth MAC-адрес устройства. Отправив вредоносный пакет l2cap, злоумышленник может вызвать состояние «отказа в обслуживании» или выполнить произвольный код с привилегиями ядра, обеспечив проведение атаки zero-click без взаимодействия с пользователем.
2. CVE-2020-12352 — уязвимость раскрытия информации в стеке. Оценка опасности — 5,3 из 10 баллов по шкале CVSS. Зная Bluetooth MAC-адрес жертвы, злоумышленник может получить информацию о стеке ядра, содержащую различные указатели, которые можно использовать для прогнозирования структуры памяти и для обхода защиты KASLR (рандомизация размещения адресного пространства ядра).
3. CVE-2020-24490 — уязвимость переполнения буфера кучи, которая может быть использована для вызова состояния «отказа в обслуживании» или выполнения произвольного кода с привилегиями ядра.

Уязвимы для BleedingTooth только устройства, оснащенные чипами Bluetooth 5 и находящиеся в режиме сканирования.

Клиент Центра обновления Windows можно использовать для выполнения вредоносного кода на системе в рамках метода Living off the Land (LoL).

Wuauclt.exe — служебная программа, которая предоставляет пользователям частичный контроль над некоторыми функциями агента обновления Windows из командной строки. Она позволяет проверять наличие новых обновлений и устанавливать их без использования пользовательского интерфейса Windows.

Оказалось, что используя эту программу, можно запустить из командной строки любой DLL-модуль, используя следующие параметры:

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

Такой вариант запуска вредоносной DLL позволяет обойти антивирусную защиту, контроль приложений и даже проверку цифровой подписи.

Умные устройства

Детские умные часы Xplora 4 содержат скрытые функции, которые можно активировать, отправив зашифрованную SMS.

Умные часы Xplora 4.

Для использования этого бэкдора необходимо знать номер телефона целевого устройства и его заводской ключ шифрования. Злоумышленник с физическим доступом к устройству может получить эти сведения с помощью специальных инструментов.

«Бэкдор не является уязвимостью. Это набор намеренно разработанных функций, которые включают удаленную съемку фотографий, отправку данных о местоположении и прослушивание телефонных разговоров через встроенный микрофон и активируются при получении специальной SMS-команды на устройство».

специалисты компании Mnemonic

Обнаружение скрытого кода связано с тем, что при разработке гаджета были учтены пожелания родителей, которые хотели получить возможность связаться с детьми в чрезвычайной ситуации и получить изображение местоположения в случае похищения. Компания-разработчик включила эти функции в прототип, но в коммерческой версии по соображениям конфиденциальности решила их спрятать.

Легитимный домен фитнес-гаджетов Fitbit можно использовать для загрузки вредоносных приложений на носимые устройств компании.

С помощью социальной инженерии злоумышленники могут заставить жертву загрузить и установить вредоносное приложение, позволяющее похищать данные о ее здоровье, собранные датчиками устройств Fitbit и смартфонов. Причём использовать для размещения такой программы можно официальный магазин приложений Fitbit Gallery.

Вредоносное приложение может похищать такие данные, как тип и местоположение устройства, пол, возраст, рост, вес и пульс пользователя, а также календарь. Программный интерфейс Fitbit позволяет сделать вредоносный циферблат с функциями примитивного сетевоuj сканера, который может получать доступ к внутренним сетевым объектам и службам.

Инциденты

Компания Software AG стала жертвой кибератаки с использованием шифровальщика Clop, в результате которой файлы были зашифрованы и похищены.

Из-за инцидента компания была вынуждена закрыть свои внутренние системы. Сообщается, что служба поддержки и внутренние коммуникации были переведены в автономный режим, но основные сервисы, ориентированные на клиентов, включая облачные сервисы, не пострадали.

За расшифровку и удаление украденных данных преступники потребовали выкуп в размере 23 млн долларов США, однако Software AG отказалась платить вымогателям. Те, чтобы надавить на руководство компании, начали публиковать похищенную информацию в Даркнете. Среди публикаций — сканированные документы, удостоверяющие личность сотрудников компании, включая паспортные данные, а также внутренняя электронная почта и финансовая информация:

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека со 2 по 8 октября 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошеннические кампании

Новая мошенническая схема эксплуатирует бренд Zoom, чтобы заманить пользователей на мошеннические сайты.

Схема атаки:

1. Жертва получает письмо от официального сервиса Zoom, в котором указано, что ей положена компенсация за COVID-19. В письме содержится ссылка на сайт мошенников:

2. Для отправки письма с официального адреса Zoom мошенники используют тот факт, что при регистрации Zoom предлагает пользователю заполнить профиль — указать «Имя» и «Фамилию», предоставляя возможность вставить до 64-х символов в каждое поле. После регистрации Zoom предлагает новому клиенту пригласить до десяти новых пользователей, указав их почтовый адрес. Мошенники вводят адреса потенциальных жертв, которым приходит официальное уведомление от имени команды сервиса видеоконференций (no-reply@zoom[.]us), но с содержанием, которое составили интернет-аферисты.

3. Если жертва перейдёт по ссылке, она попадёт на один из мошеннических ресурсов: «Официальный компенсационный центр», «Экспресс-лотерея», «Банк-онлайн (Вам поступил денежный перевод)», «Гранд опрос» или «Фонд финансовой поддержки потребителей»

4. На сайте жертве предлагали ввести 4 или 6 последних цифр номера ее банковской карты, после чего рассчитывали «компенсацию» в сумме от 30 000 до 250 000 рублей.

5. Чтобы получить эти деньги, жертва должна оплатить небольшую сумму «за юридическую помощь в заполнении анкеты» — около 1 000 рублей.

6. Если пользователи вводили данные карты на мошенническом ресурсе, они попадали к преступникам, которые списывали с них все деньги.

Мошенники похищают учётные данные пользователей Windows 7, предлагая им бесплатное обновление до Windows 10.

Схема атаки:

1. Жертва получает качественно оформленное письмо, в котором расписываются преимущества Windows 10 и предлагается для обновления перейти на специальный сайт:

2. Если жертва переходит по ссылке, ей предлагается сначала ввести свои данные в форму для входа в учётную запись Microsoft:

3. После того, как жертва ввёдет учётные данные, они отправляются злоумышленникам, а наивного пользователя перенаправляют на официальную страницу Microsoft, сообщающую об окончании поддержки Windows 7:

Киберпреступники похитили у американской компании 15 млн долларов США, используя только электронную почту. Проведение BEC-кампании заняло четыре недели.

Схема кампании:

1. Злоумышленники скомпрометировали учётную запись пользователя и получили доступ его почтовому ящику, содержавшему переписку о переводе денежных средств.
2. С помощью сервиса электронной почты Microsoft Office 365 киберпреступники подделали домены двух сторон, участвовавших в транзакции. Использование Microsoft Office 365 позволило им сделать письма не вызывающими подозрений и способными обходить защитные решения.
3. Через регистратора доменов GoDaddy злоумышленники зарегистрировали два домена, очень похожие на домены, принадлежащие настоящим компаниям-участникам переписки.
4. В течение четырех недель киберпреступники отслеживали письма высшего руководства атакуемой компании. Когда дело дошло до обсуждения перевода денег, они «вклинились» в беседу с поддельного домена, похожего на домен одной из сторон переговоров, и предоставили подложные банковские реквизиты.
5. Чтобы скрыть кражу, преступники перевели деньги на счета в зарубежных банках и запутали след. Кроме того они создали правила фильтрации, согласно которым письма с определенных электронных адресов попадали в скрытую папку, в результате владельцы почтовых ящиков не видели писем с обсуждением перевода денег.

Атаки и уязвимости

Неизвестные киберпреступники проводят бесфайловые атаки, внедряя вредоносный код в легитимную службу регистрации ошибок Windows (Windows Error Reporting, WER) для обхода обнаружения.

Вредоносный документ из фишингового письма.

Этапы атаки:

1. Жертва получает фишинговое письмо с вредоносным документом в zip-архиве, якобы содержащим требование компенсации для работника.
2. После открытия документа управление получал вредоный макрос CactusTorch VBA, загружающий полезную нагрузку .NET непосредственно в память атакуемого Windows-устройства.
3. Далее происходила инъекция шелл-кода в процесс WerFault.exe, относящийся к системной службе WER. Такая атака не оставляла никаких следов на жёстком диске компьютера.
4. Внедрённый код запускался в новом потоке WER, проходил несколько антианалитических проверок, чтобы узнать, отлаживается ли он, работает ли на виртуальной машине или в песочнице.
5. Если все проверки проходили успешно, вредоносное ПО расшифровало и загружало в новом потоке WER финальный shell-код, который затем выполнялся в новом потоке.
6. После этого загружалась и вводилась в новый процесс WER финальная полезная нагрузка, хранящаяся на взломанном сайте в виде поддельного фавикона.

В популярных антивирусных решениях обнаружен ряд уязвимостей, которые позволяют злоумышленникам повысить свои привилегии, помогая вредоносным программам закрепиться на скомпрометированных системах.

Самыми опасными проблемами:

• возможность удалять файлы из произвольных мест,
• возможность удалить содержимое любого файла на компьютере.

Проблемы связаны с установленными по умолчанию списками избирательного управления доступом (Discretionary Access Control Lists, DACL) для папки «C:\ProgramData» в Windows, которые используются приложениями для хранения данных для пользователей без дополнительных разрешений.

Список антивирусов и уязвимостей:

1. Kaspersky — CVE-2020-25045 , CVE-2020-25044 и CVE-2020-25043;
2. McAfee — CVE-2020-7250 и CVE-2020-7310;
3. Symantec — CVE-2019-19548;
4. Fortinet — CVE-2020-9290;
5. Checkpoint — CVE-2019-8452;
6. Trend Micro — CVE-2019-19688, CVE-2019-19689 , CVE-2019-19690 , CVE-2019-19691 и CVE-2019-19692;
7. Avira — CVE-2020-13903;
8. Microsoft — CVE-2019-1161.

Умные устройства

Умный пульт дистанционного управления XR11 для телеприставок содержит уязвимости, которые могут превратить его в шпионское устройство.

Смарт-устройство получают абоненты компании Xfinity, которая принадлежит американской телекоммуникационной корпорации Comcast. С его помощью они могут отдавать телеприставкам голосовые команды. Заменив прошивку вредоносной, хакеры могут инициировать постоянное включение микрофона и слушать всё происходящее рядом с пультом.

Демонстрация замены прошивки на вредоносную. После её установки пульт получает имя WarezTheRemote:

Уязвимость стала результатом двух факторов:

1. Соединение между пультом и приставкой шифруется, однако прошивка не проверяет, что на ответ на зашифрованный запрос также зашифрован, что позволяет отправлять вредоносные ответы в незашифрованном виде.
2. Каждые 24 часа пульт автоматически проверяет наличие доступных обновлений прошивки, отправляя приставке соответствующий запрос. Подделав ответ от приставки, можно сообщить пульту о наличии обновлений прошивки и подсунуть вместо легитимной вредоносную.

Мужской пояс верности Cellmate содержит многочисленные проблемы с безопасностью, что позволяет хакерам удаленно блокировать и открывать его. При этом возможности ручного управления для «аварийного» открывания или физического ключа для Cellmate не предусмотрено.

Основная проблема Cellmate заключается в его программном интерфейсе (API), который используется для связи между гаджетом и специальным мобильным приложением. API оказался открыт любому желающему и не защищен паролем, а из-за этого кто угодно может захватить контроль над устройством любого пользователя. Это позволяет не только удаленно управлять Cellmate, но и получить доступ к личной информации жертвы, включая данные о местоположении и пароли.

После изучения десяти умных электрических розеток от TP-Link, Hive, Hictkon, Meross и Ajax Online выяснилось, что в девяти продуктах содержится 13 уязвимостей, в том числе три высокоопасных и три критических.

Смарт-розетка Hictkon.

Среди обнаруженных проблем присутствуют, например, такие:

• в смарт-розетках Hictkon с двойными USB-портами активное подключение расположено слишком близко к чипу для мониторинга электрического тока, что может вызвать электрическую дугу и спровоцировать пожар;
• уязвимости в розетках TP-Link Kasa позволяют злоумышленникам получать полный контроль над розеткой и подачей тока на подключенное к ней устройство. Кроме того, TP-Link Kasa раскрывает электронные адреса, использовавшиеся для настройки розетки;
• уязвимости в розетках Meross Smart Plug WiFi Socket позволяют злоумышленникам бесплатно пользоваться интернетом жертвы, мониторить посещаемые сайты и компрометировать другие устройства, подключенные к «умному дому».

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.