182 заметки с тегом

фишинг

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 26 июня по 2 июля 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошенничество

Авторы кампании против владельцев сайтов используют в качестве приманки DNSSec — расширение протокола DNS, позволяющее с помощью криптографической защиты минимизировать риск атак, связанных с подменой DNS-адреса.

1. Владелец сайта получает письмо, в котором сообщается, что его ресурса имеется обновление, позволяющее защитить его с помощью DNSSec. В письме содержится ссылка, по которой можно загрузить обновление.

2. После перехода по ссылке жертва попадает на фишинговый сайт, который брендируется в зависимости от хостинг-провайдера:

3. Фишинговая страница убедительна, на ней даже работает кнопка «Помощь»

4. Если ввести логин и пароль для доступа в админку своего сайта, данные будут направлены преступникам, а жертве продемонстрируют имитацию процесса обновления, после чего переадресуют её на страницу с сообщением 404 Not found.

Мобильная безопасность

Новая версия Android-вредоноса FakeSpy распространяется с помощью фишинговых SMS-сообщений.

1. Фишинговое сообщение маскируется под обычное уведомление о доставке от локальной почтовой службы и содержит ссылку, по которой пользователь должен перейти, чтобы узнать подробности:

2. Перейдя по ссылке, пользователь попадает на фишинговый сайт, который предлагает ему загрузить APK-файл с приложением.

3. Если жертва скачивает и устанавливает файл, получивший управление FakeSpy похищает и передаёт преступникам её банковские реквизиты, персональные данные и личную переписку в мессенджерах.

4. Чтобы создать доверие, вредонос маскируется под цвета и оформление локальных почтовых служб в соответствии со страной пребывания пользователя.

Из официального магазина Google Play удалено 25 вредоносных приложений, похищавших учётные данные пользователей Facebook.

Приложения были созданы одной группой разработчиков и имели довольно разнообразную «официальную» функциональность: шагомеры, графические редакторы, видеоредакторы, обои, фонарики, файловые менеджеры и мобильные игры, однако все они содержали код, который определял, какое приложение запустил пользователь. Если обнаруживалось, что это Facebook, приложение накладывала фальшивую страницу входа в социальную сеть поверх реального приложения Facebook.

Если жертва не замечала подлога и вводила учётные данные, вредонос пересылал их сервер преступников, размещённый на домене airshop[.]pw.

Сайты

В рамках новой вредоносной кампании киберпреступники внедряли код для хищения данных банковских карт в EXIF-метаданные значков сайтов (favicon) и загружали его на страницы скомпрометированных интернет-магазинов.

Вредоносный скрипт внедрялся внутри поля Copyright EXIF-метаданных файла favicon.ico:

Скиммер похищал содержимое полей ввода, включая имена пользователей, платежный адрес, данные кредитных карт и пр. Похищенная информация кодировалась в Base64, а затем преобразовывалась в изображение и отправлялась на сервер преступников.

Уязвимости и атаки

Обнаруженные в macOS уязвимости позволяют обходить механизм защиты конфиденциальности TCC (Transparency, Consent and Control), блокирующий неавторизованным приложениям доступ к системным файлам.

Система TCC запрашивает разрешение пользователя на доступ к фотографиям для Adobe Lightroom

Из-за ошибок в реализации защиты вредоносное ПО, например, может получить доступ к файлам в ~/Library/Safari, обычно доступным только для Safari, Finder и приложений, которым были даны специальные разрешения. Для этого нужно создать копию приложения в другом месте на диске, а затем изменить двоичные ресурсы копии. При этом у копии будут такие же права доступа к файлам, что и у исходного приложения, хотя внутри будет содержаться совершенно другой исполняемый код.

Используя эту технику, обойти TCC может любое загруженное из интернета приложение.

В Windows Codecs Library обнаружены уязвимости CVE-2020-1425 и CVE-2020-1457, используя которые злоумышленник может запустить на компьютере произвольный код.

Для эксплуатации уязвимостей достаточно специально подготовленной картинки. Если открыть её в в приложении, которое использует Windows Codecs Library, атакующий получит возможность собрать информацию о системе, запустить произвольный код и перехватить контроль над устройством. ­

Microsoft уже выпустила исправления для уязвимостей в библиотеке кодеков и  распространяет их через Windows Store.

Инциденты

Операторы вымогателя Maze продолжают рапортовать о проникновении в сети крупных компаний. На этой неделе их жертвой стала компания Xerox.

По заявлению киберпреступников им удалось похитить и зашифровать более 100 Gb файлов. Если Xerox заплатит выкуп, они готовы предоставить расшифровщик и удалить похищенные данные со своих дисков.

В качестве подтверждения инцидента к публикации приложены скриншоты:

Руководство Калифорнийского университета в Сан-Франциско (UCSF) сообщило об уплате выкупа в размере 1,14 млн долларов США за восстановление данных, зашифрованных в ходе атаки вымогателя NetWalker в начале июня 2020 года.

Изначально хакеры потребовали 3 млн долларов США, однако руководство университета, сославшись на убытки от пандемии коронавируса, попросили преступников ограничиться 780 тыс долларов. Преступники не согласились, после чего торг продолжился. В итоге через несколько дней переговоров университет перевёл 116,4 биткоина — 1,14 млн долларов США — на электронные кошельки Netwalker и получил программу для расшифровки данных .

Вредоносное ПО

Вымогатель EvilQuest, атакующий устройства под управлением macOS, не только шифрует файлы, но и устанавливает кейлоггер и реверс-шелл, обеспечивая злоумышленникам полный контроль.

EvilQuest распространяется через опубликованный на торрент-трекерах пиратский софт. В частности, экземпляры вредоноса обнаружили в пиратских версиях диджейского ПО Mixed In Key и в инструменте для защиты macOS Little Snitch.

Зашифровав все файлы, вымогатель оставляет файл с вымогательским сообщением:

А чтобы пользователь точно понял, что его файлы зашифрованы, дополнительно выводит модальное окно и зачитывает написанный на нём текст вслух, используя средства операционной системы:

«Противодействие социальной инженерии: взгляд психолога»

Открыта регистрация на вебинар, который пройдет 9 июля в 11 часов по Москве.

О вебинаре

Киберпреступники активно используют в атаках социальную инженерию. Это создаёт риски в сфере информационной безопасности для любой компании. Проблему уязвимости людей к воздействию уловок мошенников можно и нужно решать системно, но что мы знаем о реальных причинах этой проблемы?

Ольга Лимонова, психолог, руководитель исследований, Антифишинга ответит на следующие вопросы:

  • Почему психологически успешны и как работают цифровые атаки на людей.
  • Как с помощью классификации и модели Антифишинга понятно и наглядно разбирать атаки.
  • Как максимально эффективно выстроить процесс обучения и тренировки сотрудников.
О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






дайджестфишинг

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 19 по 25 июня 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошенничество

Организаторы двух новых мошеннических кампаний внимательно отслеживают происходящие в мире события и используют актуальные инфоповоды.

Авторы первой кампании воспользовались тем, что во многих организациях проводят обучающие мероприятия для сотрудников, посвящённые безопасному поведению во время пандемии. Они разослали всем сотрудникам письмо с оповещением о тренинге «COVID-19 для сотрудников: Сертификация рабочих мест в сфере здравоохранения».

Для регистрации требовалось пройти по ссылке в письме и ввести cвои учётные данные. Если пользователь выполнял «регистрацию», его данные попадали к злоумышленникам.

В рамках второй кампании пользователи получали письма с предложением конфиденциально высказать своё мнение относительно движения «Black Lives Matter». Письма содержали вложение, при открытии которого выводилось предложение обновить MS Office.

Если пользователь соглашался, на его компьютер устанавливался вредонос TrickBot.

Организаторы фишинговой кампании против пользователей Office 365 не стали размениваться на мелочи. Для рассылки вредоносных сообщений они взломали почтовый сервер Оксфордского университета, а переадресацию на фишинговые ресурсы проводили через серверы Adobe Campaingn, принадлежащие компании Samsung.

Схема атаки

Атака начиналась с фишингового письма, содержащего уведомление о получении голосового сообщения:

Если пользователь нажимал на кнопку «Прослушать сообщение», его переадресовывало на фишинговый сайт, предлагающий ввести логин и пароль для входа в Office 365:

Использование настоящих SMTP-серверов Оксфорда обеспечило злоумышленникам успешное прохождение проверки репутации домена отправителя, а кроме того, располагая доступом к серверу, они могли создать любое количество вполне легитимных адресов электронной почты для рассылки фишинговых писем.

Мошенники атакуют клиентов банковской холдинговой компании Wells Fargo,
рассылая им письма от имени команды безопасности банка. С помощью поддельных приглашений календаря злоумышленники заманивают жертв на фишинговые страницы, где выманивают их банковские и другие данные.

В письме указано, что получателю необходимо обновить свои ключи безопасности, в противном случае его счет будет заблокирован. Для этого пользователь должен следовать «инструкциям», представленным в файле .ics.

В описании мероприятия указана ссылка, ведущая на страницу Sharepoint с еще одной ссылкой, на которую жертва должна нажать якобы для того, чтобы обезопасить свой счет.

Ссылка ведет на поддельную страницу Wells Fargo, запрашивающую у пользователя его учетные данные, PIN-код, номер счета и другую конфиденциальную информацию.

Уязвимости и атаки

В гибридных процессорах AMD APU обнаружены три опасные уязвимости SMM Callout Privilege Escalation, с помощью которых злоумышленник может выполнить произвольный код и получить контроль над прошивкой.

Все уязвимости затрагивают технологию System Management Mode (SMM) — режим, ответственный за конфигурации процессора и чипсета, код производителя материнской платы и защищенные операции.

Источник уязвимости — отсутствие проверки адреса буфера назначения при вызове SmmGetVariable () в обработчике SMI 0xEF. Из-за отсутствия проверки злоумышленник может записать данные в защищенную память SMRAM и выполнить код.

Киберпреступники научились использовать сервис Google Analytics для кражи данных кредитных карт со скомпрометированных сайтов интернет-магазинов.

Атака использует тот факт, что значительное количество владельцев сайтов использует для сбора аналитики сервис Google, поэтому его сайт разрешён в правилах Content Security Policy (CSP), определяющих, на какие сайты может передаваться информация, вводимая посетителями.

Преступники получают свой собственный код отслеживания Google Analytics и внедряют его на скомпрометированный сайт вместе с вредоносным сценарием. Поскольку CSP разрешает передачу сведений сервису Google, внедрённый сценарий может передавать данные платёжных карт покупателей и другие сведения в личный кабинет злоумышленника в Google Analytics.

Инциденты

Операторы вымогателя Maze сообщили об успешной атаке на компанию LG Electronics.

В опубликованном пресс-релизе киберпреступники предупреждают, чтобы компания не пыталась восстановить данные из резервной копии. В доказательство реальности взлома к пресс-релизу прилагаются три скриншота со списком файлов прошивков и исходных кодов продуктов, а также sql-дамп одной из баз данных компании.

На хакерских форумах появилась база с данными нескольких миллионов пользователей мессенджера Телеграм. Объём базы составляет примерно 900 Мб.

Пресс-служба Telegram подтвердила существования базы, отметив, что сбор информации происходит через встроенную функцию импорта контактов при регистрации пользователей:

Такие базы обычно содержат соответствия «номер телефона — идентификатор пользователя в Telegram». Они собираются через злоупотребление встроенной функцией импорта контактов при регистрации пользователя. К сожалению, ни один сервис, позволяющий пользователям общаться с контактами из своей телефонной книги, не может полностью исключить подобный перебор.

Сотрудники пресс-службы также подчеркнули, что большинство слитых аккаунтов уже неактуальны, а меры, предпринятые компанией в 2019 году, помогают не светить свой номер.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






дайджестфишинг

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 12 по 18 июня 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошенничество

Организаторы фишинговой кибершпионской кампании против предприятий аэрокосмической и оборонной промышленности в Европе и на Среднем Востоке используют LinkedIn для взаимодействия с потенциальными жертвами.

Атака начинается с сообщения в LinkedIn. Отправитель — HR-руководитель из известной в аэрокосмической отрасли компании, — пишет, что его компания хотела бы видеть жертву в числе своих сотрудников.

Получив от жертвы ответ, атакующий завязывает общение и отвечает на вопросы:

Когда дело доходит до должности и условий, атакующий отправляет жертве запароленный архив rar. В архиве содержится lnk-файл. При его открытии на компьютер жертвы скачивается и открывается с удалённого сервера pdf-документ, содержащий список вакансий с окладами:

Одновременно с открытием документа в фоне выполняется процесс, который добавляет в расписание задач на компьютере жертвы запуск вредоносного сценария с удалённого сервера с помощью системной утилиты wmic.exe.

Получив доступ к компьютеру жертвы, преступники скачивают сведения об учётных записях и другую конфиденциальную информацию, которую используют для целевых мошеннических кампаний типа «компрометация деловой переписки»:

Атаки и уязвимости

Используя уязвимости Ripple 20, злоумышленники могут удалённо получить полный контроль над миллиардами IoT-устройств, причём атаки можно полностью автоматизировать.

Всего обнаружено 19 уязвимостей. Их источник — написанная в 1997 году библиотека Treck, содержащая TCP/IP-функции для «умных» устройств. Четыре из обнаруженных уязвимостей относятся к критическим:

  • CVE-2020-11896 — 10 баллов по шкале CVSS v.3 — допускает удаленное выполнение произвольного кода;
  • CVE-2020-11897 — 10 баллов по шкале CVSS v.3 — допускает out-of-bounds запись;
  • CVE-2020-11898 — 9,8 балла по шкале CVSS v.3 — может привести к раскрытию конфиденциальной информации;
  • CVE-2020-11899 — 9,8 баллов по шкале CVSS v.3 — может привести к раскрытию конфиденциальной информации.

Даже этих четырёх уязвимостей достаточно, чтобы захватить контроль над «умными» устройствами или промышленным и медицинским оборудованием, причём атаковать можно как через интернет, так и из локальной сети.

Критическая уязвимость CVE-2020-13428 в VLC Media Player позволяла злоумышленникам удалённо выполнять команды и аварийно завершать работу плеера на уязвимом компьютере.

Проблема связана с переполнением буфера в упаковщике H26X. Для её использования нужно убедить жертву открыть специально сформированный вредоносный видеофайл с помощью VLC.

Уязвимость может вызвать сбой в работе проигрывателя и привести к выполнению команд с привилегиями целевого пользователя. Технологии ASLR и DEP помогают снизить вероятность выполнения кода, но злоумышленники могут их обойти.

Атака Lamphone позволяет записывать разговоры в помещении, наблюдая за вибрациями в лампочках.

Схема атаки Lamphone

Когда лампочка вибрирует под действием звуковых волн, в ровном потоке света возникают вспышки. Эти вспышки можно обнаружить, а затем реконструировать звуковые волны, потревожившие поверхность лампочки.

Если использовать для атаки телескоп и электрооптический сенсор, отследить изменения освещённости можно на достаточно больших расстояниях. В ходе экспериментов удалось записать разговоры, происходившие в здании на расстоянии 25 метров, изучая колебания освещённости светодиодной лампочки:

Проверка работы атаки в реальных условиях

В отличие от подобных атак Lamphone полностью пассивен и не требует заражения устройства жертвы вредоносным ПО. Чтобы отслеживать разговоры в режиме реального времени с помощью Lamphone достаточно обычного ноутбука.

Видео: демонстрация атаки

Инциденты

В результате действий инсайдера, похитившего мастер-ключ в одном из центров обработки данных южноафриканскому Postbank придётся заменить более 12 млн банковских карт.

Мастер-ключ представляет собой строку кода из 36 символов и обеспечивает полный доступ к системам банка. Используя его, можно просматривать и менять данные (в том числе балансы счетов) любой из 12 млн выпущенных банком карт.

Один из сотрудников Postbank распечатал мастер-ключ на бумаге, а затем, используя его, совершил более 25 тысяч транзакций, похитив с клиентских счетов 56 млн рэндов (около 228 млн рублей).

Киберпреступные группировки Magecart, взломали online-магазины сетей розничной торговли — Claire и Intersport и внедрили в них вредоносный код (скиммер), похищающий данные банковских карт, которые покупатели вводят в формы заказа.

Встроенный киберпреступниками код перехватывал все вводимые в формы пользовательские данные и отправлял на сервер claires-assets(.)com. Домен был зарегистрирован за четыре недели до начала атак специально для этой вредоносной кампании.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






дайджестфишинг
Ctrl + ↓ Ранее