Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена фишинговая кампания против финансовых компаний Великобритании, в которой для отправки похищенных данных использовался программный интерфейс (API) мессенджера Telegram.

Схема кампании:

1. Пользователь получал письмо с уведомлением о том, что почтовый шлюз заблокировал несколько адресованных ему сообщений. Чтобы разблокировать и просмотреть их, нужно нажать кнопку в письме. Чтобы придать письму убедительности, адрес отправителя в заголовке письма был в домене получателя.

2. После нажатия кнопки пользователь перенаправлялся на страницу, имитирующую страницу входа в систему Webmail. Специальный код извлекал адрес электронной почты из исходного URL и помещал его в верхнюю часть страницы и в поле адреса электронной почты для входа в систему. Базовый домен из адреса пользователя выделялся жирным шрифтом над полями для входа в систему, придавая странице более легитимный вид.

3. После ввода пароля и нажатия кнопки «Продолжить» учетные данные отправляются злоумышленникам через Telegram API. Пользователь перенаправляется на страницу с сообщением об успешном обновлении учётных данных, которая также использует для убедительности домен с адреса электронной почты жертвы.

Авторы очередной фишинговой кампании обходят традиционную защиту, используя в URL-адресах обратный слеш вместо прямого.

Ссылка в этом письме указывает на ресурс http:/\brent.johnson.australiasnationalskincheckday[.]org.au//exr/brent.johnson@impacteddomain.com.

URL-адреса, используемые в кампании, имеют неправильный формат и не используют обычные протоколы URL-адресов, такие как

http:// или https://

Вместо этого они используют http:/\ в префиксе URL. Поскольку двоеточие и две косые черты являются неизменной частью всех URL, большинство браузеров игнорируют ошибочное написание, принимая во внимание только указатель на протокол (http/https) и домен. Создатель интернета Тим Бернерс-Ли в своей статье также указывает, что сочетание «//» в веб-адресе больше не требуется.

Таким образом, киберпреступники обходят многие сканеры электронной почты и достигают своих намеченных целей. За исключением этой особенности сама кампания довольно примитивна:

• после перехода по ссылке с «неправильным» URL жертва попадает на фишинговый сайт, где можно прослушать голосовое сообщение, о котором сообщалось в письме;

• для прослушивания требуется войти в учётную запись Microsoft;
• введённые учётные данные отправляются злоумышленникам.

Атаки и уязвимости

Злоумышленники используют для усиления DDoS-атак серверы американского VPN-провайдера Powerhouse Management.

Виновником такого вредоносного поведения являются VPN-сервера Powerhouse, которые в ответ на каждый байт, отправленный им на UDP-порт 20811, возвращают в 40 раз больше. При использовании протокола UDP источник запроса можно сфальсифицировать, подставив IP-адрес мишени, в результате все ответы уязвимых VPN-серверов будут направляться на узел-мишень.

Всего удалось обнаружить 1520 VPN-серверов Powerhouse, уязвимых для нецелевого использования. Попытки уведомить о проблеме Powerhouse не увенчались успехом, а дидосеры уже обнаружили новый вектор и используют его для проведения DDoS-атак, зафиксированная мощность которых достигает 22 Гбит/с.

Разработан метод, который позволяет по движениям определить, что набирает на клавиатуре собеседник по другую сторону экрана во время видеозвонка.

Этапы обработки видео для определения набираемого текста.

Если в поле зрения веб-камеры попадают движения верхней части тела, то можно шпионить не только за собеседниками, но и за стримерами на YouTube и Twitch.

Расшифровка набора собеседника происходит в три этапа:

1. Предварительная обработка записанного видео: удаление фона и преобразование видео в оттенки серого. Затем производится сегментирование областей левой и правой руки относительно лица человека, обнаруженного с помощью детектора лица FaceBoxes.
2. Определяются кадры, на которых происходит нажатие клавиш. Извлекаются сегментированные кадры рук для вычисления индекса структурного сходства (SSIM) с целью количественной оценки движений тела между последовательными кадрами в каждом из левых и правых сегментов видео и определения потенциальных кадров, в которых произошли нажатия клавиш.
3. Расшифровываются набранные на клавиатуре слова. На данном этапе анализируются сегменты кадра с нажатием клавиш с целью найти признаки движения до и после каждого обнаруженного нажатия клавиши. Затем с помощью алгоритма прогнозирования на основе словаря выводятся конкретные слова.

Метод наиболее эффективен в отношении пользователей веб-камер Logitech, плохо печатающих на клавиатуре, особенно если в их одежде нет рукавов.

Злоумышленники научились использовать платформу Google Apps Script для кражи информации о банковских картах.

Thanks to some data from @sansecio, I came across another example of a digital skimmer/#magecart script abusing a Google service for data exfiltration. In this case, the service being abused was Google Apps Script

1/7 pic.twitter.com/xRzt29pD9L

— Eric Brandel (@AffableKraut) February 18, 2021

Для этой цели хакеры воспользовались доменом script.google.com. Это позволило им успешно скрыть вредоносную активность от защитных решений и обойти Content Security Policy (CSP), поскольку интернет-магазины обычно считают домен Google Apps Script надежным и заносят в белый список все поддомены Google.

Обнаруженный в «дикой природе» скрипт-скиммер передавал похищенную платежную информацию в виде JSON в кодировке base64 в Google Apps Script. Затем на домене script.google.com данные извлекались и отправлялись на подконтрольный атакующим домен analit[.]tech.

В новом алгоритме Twitter обнаружена уязвимость, с помощью которой метку «получено путем взлома» (obtained through hacking) можно добавлять к произвольным твитам.

Новый маркер «получено путем взлома» появился в Twitter на прошлой неделе. Соцсеть использует его для обозначения публикаций, созданных на основе утечек и документов, полученных в результате взлома.

Чтобы воспользоваться уязвимостью и обойти алгоритм, нужно вставить в пост ссылку на материал, базирующийся на утечке. В таком случае Twitter будет считать его ненадежным источником и отметит его с помощью соответствующего маркера.

Метод воспроизводится как в iOS- и Android-приложениях Twitter, так и в web-версии.

Вредоносное ПО

Mac-вредонос Silver Sparrow заразил около 30 тыс. компьютеров в 153 странах мира. Больше всего пострадавших находятся в  США, Великобритании, Канаде, Франции и Германии.

Пока неизвестно, как именно распространяется Silver Sparrow. Предполагают, что он был скрыт внутри вредоносной рекламы, пиратских приложений или поддельных обновлений Flash.

Неизвестным пока остаётся не только способ распространения, но и конечная цель вредоноса. В настоящее время после успешного заражения очередной системы Silver Sparrow просто ожидает новых команд от своих операторов. Однако за всё время наблюдения никаких команд ей не поступало.

Любопытно, что «Серебряный воробей» поставляется с механизмом полного удаления, который обычно используется в профессиональных разведывательных операциях. Однако до сих пор нет никаких признаков использования функции самоуничтожения, что ставит вопрос о том, зачем этот механизм.

Ещё одной примечательной особенностью нового вредоноса является наличие версии не только под Intel, но и под «свежий» чип M1, представленный в ноябре 2020 года. Silver Sparrow стал второй вредоносной программой macOS для M1.

Обнаружена новая версия троянского ПО Masslogger, который похищает учётные данные из Discord, Microsoft Outlook, Mozilla Thunderbird, NordVPN, FileZilla, Pidgin, FoxMail, Firefox, QQ Browser и браузеров на базе Chromium.

Новейший Masslogger распространяется через фишинговые письма в виде части многотомного архива RAR (r00, r01 и т. п.). Внутри архива находится файл в формате .chm — скомпилированный HTML-файл, содержащий код JavaScript для запуска процесса заражения. Каждая стадия заражения сильно обфусцирована, чтобы избегать обнаружения с использованием простых сигнатур.

После извлечения chm-файла из архива и его запуска появляется фальшивое окно помощи, после чего запускается скрипт PowerShell, который содержит непосредственно загрузчик Masslogger. Загрузчик обычно размещается на взломанных легитимных хостах, а имя файла, как правило, содержит одну букву и одну цифру с расширением .jpg. Например, «C7.jpg».

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

В канун дня святого Валентина зафиксировано более 400 фишинговых кампаний, посвященных празднику. Число новых доменов выросло на 29% по сравнению с прошлым годом и достигло 23 000. Около 2,3% из них (523) оказались вредоносными или подозрительными.

Примечательно, что этом году некоторые злоумышленники повторно использовали темы и страницы, оставшиеся от прошлых фишинговых кампаний. Например, среди мошеннических писем нашлось послание от бренда Pandora из фишинговой рассылки, разосланной в связи с «черной пятницей» в ноябре 2020 года.

В этом сообщении пользователю предлагали купить ювелирные изделия по сверхнизким ценам на сайте Pandora (www[.]Pcharms [.]Com). Мошенники дане не потрудились исправить год, поэтому страница называется «Официальный сайт Pandora 2020» вместо 2021. В имени отправителя использовалось название бренда, но адрес электронной почты не имел никакого отношения к Pandora.

Обнаружена фишинговая кампания, авторы которой перехватывают управление личными кабинетами у хостинг-провайдеров.

Схема атаки:

1. Злоумышленники направляют клиенту хостинга письмо, в котором сообщают, что из-за попытки подозрительной покупки домена им пришлось временно заблокировать доступ. Чтобы вернуть контроль над учетной записью, получатель письма должен пройти по ссылке в личный кабинет.
2. В теле письма нет ни упоминания названия провайдера, ни его логотипа. Имя фигурирует единственный раз — в поле имени отправителя. При этом оно не совпадает с почтовым доменом, хотя для убедительности в нем присутствует слово hosting.

3. Перейдя по ссылке, пользователь попадает на страницу входа в учетную запись, которая пытается имитировать аналог на настоящем сайте провайдера.

4. Если пользователь введёт учётные данные на этой странице, они попадут к злоумышленникам

5. После «логина» пользователь почему-то попадет на страницу с формой ввода данных банковской карты. Никакого объяснения причин, по которым нужно ввести эти данные, мошенники не приводят, видимо, надеясь на доверчивость пользователей. Разумеется, введённые платёжные сведения также будут направлены злоумышленникам.

Обнаружена массовая вымогательская кампания против жителей России, в ходе которой кибершантажисты угрожают опубликовать интимные или непристойные записи с веб-камеры жертвы, если она не согласится выплатить выкуп в криптовалюте.

Мошенники сообщают, что уже несколько месяцев ведут слежку через веб-камеры при помощи вредоносной программы, особенно во время, когда адресат якобы посещал сайты для взрослых. И если вымогателям не выплатят некую сумму, видеозаписи тех действий, которые адресат якобы совершал во время просмотра «клубнички», попадут в интернет. Подобные письма с запугиванием могут приходить по нескольку раз в месяц, некоторые из них также озаглавлены весьма пугающим образом, как «Последнее предупреждение».

Не смущает мошенников даже возраст своих потенциальных жертв. Так, неизвестный аферист вымогал 650 долларов США у 73-летней жительницы Челябинска, угрожая ей тем, что разместит в интернете интимные фото женщины, которые он якобы получил через веб-камеру.

Мобильная безопасность

Мошенники продают на Avito и Юле фальшивые приглашения в социальную сеть ClubHouse, а в PlayMarket уже обнаружены вредоносные подделки под мобильное приложение ClubHouse.

После вступления в ClubHouse Илона Маска и Марка Цукерберга на подключение к соцсети возник ажиотажный спрос. Но до сегодняшнего дня регистрация в сети возможна только по «инвайту» — приглашению от действующего участника ClubHouse. Причём приложение для соцсети имеется только для устройств Apple.

Взрыв популярности создал идеальные условия для мошенников, которые просят перевести деньги в обмен на инвайт, но ничего не гарантируют. Администрация Avito заблокировала объявления, содержащие в названии ClubHouse, но если искать по сочетанию «КлубХаус», поиск выдаст достаточно много предложений купить инвайты.

В Android-приложении для обмена файлами SHAREit обнаружены уязвимости, которые могут быть использованы для запуска вредоносного кода.

Основная проблема заключается в отсутствии надлежащих ограничений, касающихся того, кто может использовать код приложения. В результате вредоносные приложения, установленные на устройстве пользователя, или злоумышленники, выполняющие атаку типа man-in-the-middle, могут направлять вредоносные команды приложению SHAREit, используя его легитимные функции для запуска произвольного кода, перезаписи локальных файлов или «тихой» установки сторонних приложений.

Вторая уязвимость приложения — возможность проведения атак типа Man-in-the-Disk. Проблема связана с тем, что многие приложения могут использовать внешнее хранилище (External Storage) совместно с другими приложениями. В итоге данные могут быть удалены, отредактированы или подменены злоумышленниками.

Проблемы SHAREit до сих пор не исправлены, поскольку эксперты Trend Micro, обнаружившие проблему, не смогли связаться с разработчиками приложения. После трёх месяцев ожидания было принято решение обнародовать результаты исследований и предупредить общественность.

Атаки и уязвимости

Киберпреступная группировка ScamClub использовала уязвимость нулевого дня CVE-2021-1801 в браузерах на базе движка WebKit для показа вредоносной рекламы.

Целевая аудитория преступников — пользователи iOS. Именно их с помощью вредоносной рекламы перенаправляли на мошеннические сайты, где у жертв пытались выманить финансовую информацию. Обычно пользователям сообщали, что они выиграли подарочную карту от известного бренда.

Использованная ScamClub уязвимость позволяла вредоносному коду совершить побег из песочницы HTML-элемента iframe. Проблема заключалась в том, как Webkit работает с обработчиками событий JavaScript (event listeners). Уязвимости были подвержены Apple Safari и Google Chrome для iOS.

Уязвимость в Telegram позволяла удалённому злоумышленнику получить доступ к сообщениям пользователей в секретных чатах, а также к отправленным фото и видео.

Проблема присутствовала в iOS и Android, а также в версии мессенджера для macOS. Причиной уязвимости стала функция обработки анимированных стикеров в секретных чатах. Удалённый атакующий мог отправить пользователю специальный вредоносный стикер, позволяющий получить доступ к сообщениям, фото- и видеофайлам жертвы.

Ещё одна уязвимость обнаружена в Telegram для macOS и связана с механизмом самоуничтожения сообщений.

Опция «секретный чат» помимо шифрования всех сообщений позволяет участникам взаимодействия отправлять самоудаляемые сообщения, которые в заданный срок исчезают из чата у всех собеседников. Из-за ошибки в macOS-версии Telegram этот механизм работал некорректно: аудио- и видеосообщения исчезали с экрана, но их копии оставались в системе в виде файлов .mp4.

Инциденты

Американский филиал Kia Motors стал жертвой вымогателя DoppelPaymer. Проникнув в систему, преступники зашифровали важные файлы и выкрали конфиденциальную информацию.

ИТ-системы этого отделения компании внезапно стали недоступны по всему миру. Пострадала работа многих сервисов: мобильных приложений, основного веб-ресурса, внутренних сайтов и т. п.

При посещении официальной веб-площадки пользователям выдавалась информация о сбое в работе ИТ-систем Kia Motors.

За восстановление работы и удаление похищенной информации операторы DoppelPaymer потребовали у компании 404 биткоина (около 20 млн долларов США). Если выкуп не будет оплачен в течение 10 дней, сумма увеличивается до 600 биткоинов (~ 30 млн долларов США).

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Новая фишинговая кампания использует азбуку Морзе для сокрытия вредоносных URL-адресов во вложениях.

Схема кампании:

1. Фишинговая атака начинается с электронного письма, замаскированного под счёт-фактуру (invoice) и содержащего вложение, названное по шаблону «[название_компании]_invoice_[номер]._xlsx.hTML».

2. При просмотре вложения в текстовом редакторе можно увидеть, что в его составе есть JavaScript сценарий, который сопоставляет буквы и цифры с азбукой Морзе. Например, буква «a» отображается как «.-», а буква «b» — это «-...».

3. Скрипт вызывает функцию decodeMorse() для декодирования морзянки в шестнадцатеричную систему, а полученная таким образом шестнадцатеричная строка затем преобразуется в теги JavaScript, которые вставляются в HTML-страницу.

4. Эти скрипты в сочетании с HTML-вложением содержат ресурсы, необходимые для отображения поддельного файла Excel, в котором пользователю сообщат, что время его сессии якобы истекло, и нужно ввести пароль еще раз.

5. Если пользователь введет свои данные в предоставленную форму, они будут переданы на удаленный сайт, принадлежащий злоумышленникам. Для повышения убедительности мошенники используют сервис logo.clearbit.com, который внедряет логотипы компаний в форму для входа. Если логотип недоступен, используется общий логотип Office 365.

Мошенники эксплуатируют новую схема обмана граждан, выплачивающих ипотеку.

Схема атаки:

1. Мошенники звонят потенциальной жертве и напоминают, что скоро ей необходимо оплатить очередной взнос по ипотеке.
2. При этом у них имеется полная информация о банке, выдавшем ипотеку, дате и размере платежа.
3. Во время разговора «сотрудник банка» интересуется, каким образом жертва вносит деньги в счёт погашения ипотеки, через банкомат, через мобильное приложение или в офисе банка.
4. Если «клиент» сообщает, что посещает банк, разговор заканчивается.
5. Если клиент гасит ипотеку через мобильное приложение, ему сообщают, что реквизиты для погашения изменились, но приложение доработать не успели, поэтому жертве будет выслана ссылка, по которой нужно перейти и провести платёж.
6. Если жертва перечисляет деньги на сайте по этой ссылке, они попадают к злоумышленникам.
7. Чтобы убедить жертву действовать быстрее, мошенники грозят ей штрафом за просрочку платежа при переводе по «старым» реквизитам.

Мошенники создают интернет-магазины на конструкторе Shopify для продажи поддельных карт вакцинации COVID-19 антипрививочникам.

Система здравоохранения США децентрализована, поэтому власти используют в качестве средства для отслеживания вакцинированных специальные бумажные карты с логотипом Центра по контролю и профилактике заболеваний США (CDC).

Но поскольку 13% американцев заявили, что они откажутся от вакцины, появился черный рынок карт для тех, кто категорически не согласен с политикой поголовной иммунизации.

«Аутентичные» карты продаются всего по 20 долларов США на доменах с именами, подобными covid-19vaccinationcards[...] com.

Атаки и уязвимости

Новая разновидность атаки на цепочку поставок позволила взломать 35 компаний, включая Microsoft, Amazon, PayPal, Apple, Tesla.

Публичный репозиторий с «вредоносными» пакетами.

Атака получила название dependency confusion (путаница зависимостей) или substitution attack (атака на замещение). Её суть заключается в том, что вредоносная программа из open-source репозиториев PyPI, npm и RubyGems автоматически распределяется по всей цепочке поставок, проникая во внутренние приложения компаний без участия пользователей.

Оказалось, что если пакет зависимостей, используемый приложением, существует как в общедоступном репозитории, так и в приватном репозитории, публичный пакет получит приоритет и будет использован без каких-либо действий со стороны разработчика. Также оказалось, что в случае с пакетами PyPI пакет с более высокой версией имеет приоритет независимо от того, где он расположен.

Создавая и публикуя в публичных репозиториях пакеты с теми же именами, как у пакетов, используемых внутри Microsoft, Apple, PayPal, Shopify, Netflix, Tesla и других компаний, удалось внедрить в их кодовую базу скрипты, которые автоматически извлекали идентифицирующую информацию с «зараженной» машины, а затем передавали их создателю.

Новый метод «Суперкуки» (Supercookie) позволяет следить за пользователем через VPN и в режиме инкогнито с помощью иконок сайтов (favicon).

Метод «суперкуки» использует файлы формата favicon, чтобы назначить специальный идентификатор посетителям определённого веб-сайта. Он работает даже в режиме «Инкогнито», который есть во всех современных браузерах. Избавиться от «суперкуки» нельзя даже полной очисткой кеша, перезапуском браузера и перезагрузкой системы. VPN или блокировщики рекламы тоже бессильны перед этим подходом.

Демонстрация работы метода «суперкуки».

Киберпреступники похищают конфиденциальные данные с компьютеров пользователей с помощью вредоносных расширений для браузера Google Chrome в системах Windows.

Для установки расширений не используется магазин приложений Chrome Web Store. Одно из таких расширений для Google Chrome получило имя «Forcepoint Endpoint Chrome Extension for Windows». Чтобы имитировать безопасность своего изделия, киберпреступники используют логотип компании Forcepoint, специализирующейся на кибербезопасности.

При атаке вредоносный код копируется в локальную папку пользователя, а затем вызывается непосредственно из браузера. Для этого в браузере Chrome имеется встроенная функция, которую можно включить в настройках расширений.

Мобильная безопасность

Неизвестные киберпреступники подменили популярное Android-приложение BarCode Scanner на вредоносную версию.

После обновления 4 декабря 2020 года Barcode Scanner стал незаметно запускать браузер по умолчанию и показывать рекламу других потенциально вредоносных приложений.

И хотя бесплатные приложения могут показывать рекламу, чтобы обеспечить источник доходов для разработчиков, ситуация с BarCode Scanner отличается. Вредоносный код, внедрённый в приложение, был подписан тем же сертификатом, что и «чистые» версии приложения ранее, а также тщательно скрыт, чтобы избежать обнаружения. Реклама же была чрезвычайно агрессивной и практически не давала пользователю возможности нормально пользоваться устройством.

Инциденты

Антивирусная компания Emsisoft стала жертвой утечки данных, в результате которой неизвестные лица получили доступ к базе данных, содержащей технические логи.

Инцидент произошёл из-за небезопасной конфигурации тестовой системы, база данных которой была доступна из интернета. Система использовалась для оценки и сравнительного анализа хранения и управления данными логов, которые генерируют продукты и сервисы Emsisoft.

Сообщается, что конфиденциальной информации в базе было немного: всего 14 адресов электронной почты, принадлежащие семи различным организациям. Однако БД хранила множество продакшен-логов, а расследование показало, что по меньшей мере один человек «получил доступ к некоторым или всем данным, содержащимся в этой базе данных».

Неизвестный хакер проник в систему управления очистными сооружениями города Олдсмар, штат Флорида и изменил химический состав воды.

Злоумышленник использовал TeamViewer на компьютере одного из сотрудников, с которого сумел перейти на другие системы. Ему удалось запустить программу управления очисткой воды и повысить до опасных значений уровень гидроксида натрия (NaOH) — каустической соды, которая используется в средствах для прочистки труб.

К счастью, атаку вовремя заметили, и оператор вернул значения в норму сразу после отключения хакера от системы.