Представляем новости об актуальных технологиях фишинга и других атаках на человека c 31 июля по 6 августа 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты и мессенджеры

В Chrome Web Store обнаружены 295 вредоносных расширений, внедряющих рекламу в результаты поиска Google и Bing.

Большинство расширений маскировались под блокировщики рекламы и находились по запросам adblock, adguard, ublock, ad blocker. Другая часть вредоносных расширений маскировалась под виджеты прогноза погоды и утилиты для создания скриншотов. В действительности же 245 из 295 расширений не имели никакой полезной функциональности и могли лишь поменять настраиваемый фон для новых вкладок в Chrome.

После установки поддельные расширения загружали на устройства пользователя вредоносный код с домена fly-analytics.com, а затем незаметно внедряли рекламу в поисковую выдачу Google и Bing.

Уязвимости и атаки

Уязвимость в платформе Microsoft Teams позволяет удалённо извлекать и запускать вредоносное ПО, используя поддельный пакет Microsoft Teams с подлинным приложением Update.Exe.

Ранее выпущенный патч для Microsoft Teams добавил в приложение Update.exe проверку переданного ему URL-адреса на предмет наличия строк «http/https», «:», «/» и номеров портов. Однако такое ограничение не помешает злоумышленнику поместить вредоносный файл в общую папку в сети, а затем получить доступ к нему с компьютера жертвы. Для этого достаточно настроить публичный сервер Samba, разместить на нём «полезную нагрузку» и передать её URL апдейтеру Microsoft Teams в виде строки «\\10.10.10.10\pub\xxx.yyy»

Новая атака EtherOops позволяет поразить устройства в корпоративной сети через неисправные Ethernet-кабели.

Метод представляет собой атаку типа «пакет в пакете», при которой сетевые пакеты вложены друг в друга. При этом внешний пакет-оболочка вполне безобиден, зато внутренний содержит вредоносный код или команды. Оказалось, что неисправные Ethernet-кабели способны перемещать биты внутри пакета, медленно разрушая внешний пакет-оболочку. При этом целостность внутреннего пакета сохранится.

Схема атаки:

1. Злоумышленник с большой скоростью посылает много легитимных пакетов, разрешенных на брандмауэре. Внутри них содержится инкапсулированная полезная нагрузка. Проходя по неисправному Ethernet-кабелю, пакеты могут искажаться из-за случайных битовых ошибок.
2. Злоумышленник ждёт, пока в заголовке низкоуровневого фрейма Ethernet в пакете не появятся битовые ошибки.
3. Когда это происходит, Ethernet-контроллер внутри сети интерпретирует «внутренний» пакет с  полезной нагрузкой как совершенно новый пакет, что позволяет злоумышленнику направлять в кадр вредоносные пакеты, которые были бы заблокированы .

Демонстрация атаки EtherOops для обхода межсетевых экранов

Технический разбор атаки EtherOops.

Уязвимость в iOS и macOS позволяла злоумышленнику получить несанкционированный доступ к учетной записи iCloud пользователя.

Проблема была связана с реализацией биометрической функции TouchID или FaceID для аутентификации пользователей при входе на сайты через браузер Safari. При авторизации на сайте через Apple ID с использованием Touch ID пропускается двухфакторная аутентификация, поскольку пользователь уже предъявил комбинацию факторов для идентификации — устройство и свои биометрические данные.

Из-за некорректной настройки задействованный в процессе авторизации сайт gsa.apple.com позволял злоупотреблять доменами для проверки идентификатора клиента без аутентификации. В результате злоумышленник мог использовать уязвимость межсайтового выполнения сценария на любом из поддоменов Apple для запуска вредоносного JavaScript-кода.

Инциденты

Компания Canon стала очередной жертвой вымогательского ПО Maze. Атака нарушила работу нескольких сервисов, среди которых электронная почта, Microsoft Teams, официальный сайт Canon в США и ряд внутренних приложений.

По заявлению операторов Maze им удалось проникнуть в инфраструктуру компании, а затем похитить и зашифровать более 10 Тб данных, среди которых есть и конфиденциальные. Если Canon не заплатит выкуп в течение 7 дней, преступники опубликуют информацию в общем доступе.

Вымогательское сообщение Maze

Судебное заседание по вопросу выхода под залог для Грэма Айвена Кларка (Graham Ivan Clark), которого обвиняют в недавней атаке на Twitter, превратилось в фарс из-за действий Zoom-пранкеров.

Ayooooooo!!! Hacker from my city peep the live stream!!! #Hacker #HackerTampa @KEEMSTAR enjoy !! pic.twitter.com/qh1OjwPaKb

— Jay Negron #OTOD (@JayCesar_sB) August 5, 2020

Поскольку слушание было публичным, Zoom-конференция не была защищена паролем. При этом по неизвестной причине в настройках не был отключен звук для посетителей, а также им не запрещалось демонстрировать экран.

Небезопасными настройками воспользовались многочисленные пранкеры. Они представлялись сотрудниками CNN и BBC, прерывали заседание криками и громкой музыкой, а потом стали транслировать порно.

Лицо прокурора Эндрю Уоррена, который неожиданно обнаружил на экране порноролик:

How the judge in charge of the proceeding didn't think to enable settings that would prevent people from taking over the screen is beyond me. My guess is he didn't know he could. This guy's reaction sums it up. pic.twitter.com/Zz9aVc5iIg

— briankrebs (@briankrebs) August 5, 2020

Вредоносное ПО

Вымогатель WastedLocker обходит защитные средства, используя легитимный механизм Windows Cache Manager.

Схема работы WastedLocker:

1. Вредонос открывает файл, выполняет его отображение в память, после чего закрывает файл, не вызывая функцию UnmapViewOfFile.
2. Отображаемый в память файл попадает в кэш Windows.
3. Теперь вредонос может спокойно шифровать находящийся в кэше файл, не создавая дисковой активности, которую отслеживают защитные решения.
4. Менеджер кэша, обнаружив, что отображённый в память файл более «свежий», чем файл на диске, перезаписывает оригинальный файл его зашифрованной версией. При этом операция записи на диск также не вызывает срабатывания антивируса, поскольку её инициирует легитимная системная программа.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 24 по 30 июля 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мобильная безопасность

Приложение Instagram использует камеру смартфона даже тогда, когда пользователь просто просматривает ленту приложения.

Casually browsing Instagram when suddenly the new iOS 14 camera/microphone indicator comes on. Then control panel ratted out the app behind it. This is going to change things. #iOS14 pic.twitter.com/EnTIRsqq3R

— KevDoy (@KevDoy) July 17, 2020

Обнаружить это странное поведение удалось пользователям iOS 14, которая предупреждает пользователей о том, что какое-либо приложение получает доступ к камере устройства.

Представители Instagram заявляют, что причина шпионского поведения состоит в ошибке программного обеспечения, и на самом деле доступа к камере или микрофону смартфона приложение не имеет.

Сайты

В рамках очередной фишинговой кампании злоумышленники похищают учётные данные пользователей Office365 с помощью сообщений-приманок, замаскированных под автоматические уведомления SharePoint.

Текст фишингового сообщения краткий и расплывчатый, однако в нём упоминается название целевой компании, чтобы вызвать доверия и заставить жертву думать, что письмо было отправлено от имени сотрудников организации.

Если пользователь переходит по ссылке в письме, он попадает на поддельную страницу SharePoint, где от него требуют нажать на кнопку для загрузки «важных документов», упомянутых в фишинговых письмах.

На самом деле кнопка загружает PDF-файл, перенаправляющий жертву на другой сайт или на специальную форму, где необходимо ввести свои учетные данные. Собранные данные злоумышленники используют для проведения других атак.

Обнаружена сеть мошеннических сайтов, которые предлагали посетителям зарабатывать до 20 тыс рублей в час с помощью майнинга криптовалюты.

Схема № 1:

1. Посетителю сайта, на который заманивают вредоносной рекламой в соцсетях, предлагают предоставить свой компьютер для майнинга криптовалюты. Мошенники обещают, что за это время он может заработать до 20 тыс. рублей
2. Во время «майнинга» на сайте крутится счётчик денег.
3. Чтобы вывести «заработок», нужно заплатить 400 рублей за «верификацию» пользователя.
4. Для оплаты используются платёжные системы с сомнительной репутацией, поэтому есть вероятность того, что преступники получают не только 400 рублей, но и данные банковских карт своих жертв.

Схема № 2:

Похожа на первую за исключением того, что вместо предоставления в аренду собственного компьютера жертве предлагается взять в аренду сервер для майнинга. При этом час «аренды сервера» стоит 400 рублей.

Умные устройства

Злоумышленники могут беспрепятственно создавать вредоносные навыки для умной колонки Amazon Alexa и размещать их в официальном магазине приложений Alexa Skills.

Исследователям удалось создать и добавить в магазин 253 вредоносных навыка, причём они смогли разместить их в детском разделе, где правила должны соблюдаться более строго. Размещённые навыки предоставляли запрещенную информацию в ответ на вопросы пользователей или собирали личную информацию, спрашивая пользователей об их именах и других личных данных.

Среди вредоносных навыков были:

• инструкция по созданию глушителя для огнестрельного оружия,
• рекомендации по использованию психотропных веществ в разделе с фактами для детей,
• навык, собирающий конфиденциальные медицинские данные пользователя.

Уязвимости и атаки

Новая уязвимость в Zoom позволяла за несколько минут подобрать пароль, защищающий видеовстречу.

So a few months ago I realised Zoom doesn't rate limit password attempts for meetings, and has only 1 million passwords. Meaning you could join private meetings within minutes. https://t.co/NDUEmzUprX

— Tom Anthony (@TomAnthonySEO) July 29, 2020

Выяснилось, что веб-клиент Zoom не ограничивает количество попыток ввода пароля. При этом пароль, защищающий видеовстречи, по умолчанию состоит из шести цифр, то есть имеется всего один миллион возможных комбинаций, которые можно перебрать достаточно быстро: на перебор 91 тысячи вариантов уходит около 25 минут.

В  загрузчике GRUB2, который используется в большей части Linux-дистрибутивов, обнаружена опасная уязвимость, с помощью которой злоумышленник может скомпрометировать процесс загрузки ОС даже при включённом режиме Secure Boot.

Уязвимость CVE-2020-10713 получила название BootHole. Её причина состоит в некорректной реализации функции, которая выполняет синтаксический анализ конфигурационного файла grub.cfg. Это обычный текстовый файл, причём в отличие от других компонентов загрузчика для него не предусмотрено механизмов защиты целостности.

Таким образом, злоумышленник может модифицировать файл конфигурации загрузчика, получить контроль над процессом загрузки и выполнить произвольный код до загрузки ОС, что позволяет скрыть вредоносный код от защитных программ и сохранить присутствие на компьютере даже после переустановки операционной системы.

В приложении для свиданий OkCupid обнаружены несколько опасных уязвимостей, эксплуатация которых позволяет раскрыть конфиденциальную информацию пользователей, перехватить контроль над учетными записями для выполнения различных действий без разрешения их владельцев и украсть токены аутентификации, идентификаторы и адреса электронной почты.

Видео: демонстрация атаки

В процессорах SEP, обеспечивающих защиту конфиденциальной информации на устройствах Apple, обнаружена аппаратная уязвимость, которая позволяет обойти автоматическую блокировку после десяти неверных попыток ввода пароля.

Процессор SEP — Secure Enclave Processor — используется для того, чтобы изолировать iOS и основной процессор устройств от конфиденциальной информации — Face ID, Touch ID, паролей. SEP-процессор загружает отдельную операционную систему SEPOS, для хранения которой используется отдельная область памяти SEPROM.

Используя эту уязвимость, злоумышленники могут напрямую взаимодействовать с SEP-памятью и использовать этот доступ для обхода защиты изоляции памяти, хищения данных, даунгрейда прошивки.

По мнению экспертов ликвидировать уязвимость программным путём невозможно.

Инциденты

В результате кибератаки вымогателя WastedLocker компания Garmin была вынуждена остановить работу своих навигационных сервисов, среди которых не только устройства гражданского назначения, но и авиационное навигационное оборудование.

Инцидент вызвал множество проблем у клиентов компании, так как большинство из них регулярно используют сервис Garmin Connect для синхронизации данных о пробежках и поездках на велосипеде с серверами компании.

Из-за остановки работы сервиса flyGarmin пилоты в США лишились возможности загрузить авиационные БД в навигационные системы своих самолетов. Приложение Garmin Pilot, которое используется для составления расписаний и планирования полетов, также не работает.

Вредоносное ПО

Новая версия вредоноса Emotet похищает списки контактов, содержимое и вложения из писем своих жертв, чтобы рассылаемый спам выглядел как можно аутентичнее.

Can confirm Emotet's email stealer module was updated to steal email attachments, as well as email content and contact lists. The additional code was added around June 13th. pic.twitter.com/9xe3lM6qca

— MalwareTech (@MalwareTechBlog) July 28, 2020

Пример фишингового сообщения с похищенными вложениями

Такая тактика позволяет операторам Emotet эффективно использовать перехваченные электронные письма и «включаться» в разговоры пользователей. В результате вредоносная ссылка или вложение будут выглядеть как новые сообщения в уже идущей дискуссии.

breaking #emotet news from @CofenseLabs

in addition to stolen body text, emails are now including original attachment content to add even more legitimacy.

significant data breach implications, again demonstrating that emotet infections are serious https://t.co/bWbHxGWZK4

— Cryptolaemus (@Cryptolaemus1) July 28, 2020

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 17 по 23 июля 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошенники

Злоумышленники похищают учётные данные, используя для размещения файлов-приманок и фишинговых страниц общедоступные облачные сервисы.

1. Злоумышленники загружают в Google Drive вредоносный PDF-документ, который содержит ссылку на фишинговую страницу. В документе указано, что контент доступен только через SharePoint, поэтому нужно перейти по ссылке.

Мошенническая страница входа

2. Фишинговая страница размещалась по адресу storage.googleapis[.]com/asharepoint-unwearied-439052791/index.html и предлагала войти в систему с помощью Office 365 или корпоративной электронной почты.

3. Когда жертва выбирала один из вариантов входа, появлялось всплывающее окно входа в Outlook.

После ввода учетных данных пользователь действительно получал PDF-отчет от авторитетной международной компании.

На фишинговой странице злоумышленники использовали сервис Google Cloud Functions, который позволяет запускать код в облаке загружать из него ресурсы без раскрытия собственных вредоносных доменов злоумышленников.

Уязвимости и атаки

Атака PDF Shadow позволяет преступникам подменить содержимое подписанных электронной подписью PDF-документов так, что программы для просмотра будут по-прежнему подтверждать подлинность подписи.

Схема атаки:

1. Атакующий отправляет жертве документ с несколькими слоями контента.
2. Жертва подписывает документ с помощью цифровой подписи, поскольку верхний слой контента, который она видит, вполне безобиден.
3. Получив подписанный документ, злоумышленник переставляет слои местами, так что при открытии все будут видеть нужное злоумышленнику содержимое. При этом изменение видимости слоёв никак не повлияет на цифровую подпись.

Варианты реализации атаки PDF Shadow:

• Спрятать (Hide)  — злоумышленник прячет вредоносный слой с помощью функции PDF Incremental Update, которая позволяет спрятать слой без замены.
• Заменить (Replace) — оригинальное содержимое документа заменяется модицицированным с помощью функции Interactive Forms.
• Спрятать и заменить (Hide and Replace) — преступник использует второй PDF-документ, находящийся в первом.

Из 28 приложений для просмотра PDF 15 уязвимы для атаки PDF Shadow. В их числе:

• Adobe Acrobat Pro,
• Adobe Acrobat Reader,
• Perfect PDF,
• Foxit Reader,
• PDFelement.

Легитимный инструмент для устранения неполадок Windows Store позволяет злоумышленникам удалить произвольные файлы.

Инструмент Wsreset.exe предназначен для устранения проблем в работе Windows Store и работает следующим образом:

• При создании файлов временного кэша и cookie-файлов Windows Store сохраняет их в двух папках \INetCache и \INetCookies.
• Если в работе Windows Store возникают проблемы, инструмент удаляет файлы в этих папках, «сбрасывая» кэш и cookie-файлы.
• Если создать ссылку, перенаправляющую \InetCookies на произвольную папку, она будет удалена при запуске wsreset.

Антивирус отключается после удаления папки с настройками

Возможная схема атаки:

1. Злоумышленник удаляет папку \INetCookies, чтобы её не очистила утилита wsreset.
2. Затем он создает вместо папки ссылку на нужный ему каталог.
3. Если в качестве целевого каталога указать, например, папку, в которая хранятся сигнатуры вредоносных программ и настройки антивируса, wsreset удалит их, поскольку выполняется с высоким уровнем привилегий.
4. В результате антивирус будет деактивирован и после перезагрузки системы не запустится.

На киберпреступном форуме предлагаются к продаже две уязвимости нулевого дня в Internet Explorer 11 и MS Excel.

A 0day exploit for IE11(fully silent) exploit with sandbox escape (Only windows 10 supported) + Excel 2007-2019/365 0Day exploit. require "enable editing", not fully silent has been put up for sale by the actor "WWW" at the price of 15BTC.#0day #IE11 #infosec #CyberSecurity pic.twitter.com/eG49XiNwBU

— Shadow Intelligence (@shad0wintel) July 20, 2020

Уязвимость в браузере Microsoft позволяет незаметно обойти песочницу и работает только на новых версиях Windows 10 Home, Pro, Pro Education и Pro for Workstations (1809, 1903, 1909 и 2004). Если пользователь заходит на вредоносный сайт через Internet Explorer, на его компьютер загружается и выполняется с привилегиями текущего модуль DLL, который может содержать любой набор функций. При этом браузер продолжает работать без каких-либо видимых неполадок.

Уязвимость нулевого дня в Excel 2007-2019 базируется на эксплоqте для Internet Explorer 11, но в при её использовании могут выдаваться сообщения об ошибках. Проэксплуатировать уязвимость можно только на Windows 10. В результате также будет загружена и запущена с привилегиями текущего пользователя произвольная DLL.

За программный код, документацию и программу-билдер эксплойтов для Excel и Internet Explorer, которая создаёт Excel- и HTML-файлы, неизвестные преступники хотят получить 15 биткоинов (около 9,8 млн руб.).

Инциденты

Неизвестные хакеры уничтожают незащищённые базы данных Elasticserch и MongoDB, заменяя их содержимое на случайный набор символов со словом «meow» («мяу») в конце.

Одной из жертв «мяукающих» атак стала база данных Elasticsearch, VPN-провайдера из Гонконга UFO VPN. Компания утверждала, что не хранит логи пользовательских сессий, однако база данных с этими сведениями всё-таки была обнаружена в открытом доступе. Провайдер скрыл базу, но через несколько дней она вновь появилась Базу данных убрали из Сети 15 июля, однако она вновь стала доступной через пять дней по другому IP-адресу. Во второй раз владелец базы данных не получил никаких предупреждений и почти все записи были уничтожены.

Всего на сегодня по данным Shodan злоумышленники уже испортили более 1000 баз данных. Пострадали 1337 установок ElasticSearch и более 370 установок MongoDB.

Компания Telecom Argentina стала жертвой шифровальщика REvil (Sodinokibi). Злоумышленники требуют выкуп в размере 7,5 млн долларов США.

Страница с требованием выкупа

Источником заражения стало вредоносное вложение из письма, полученного одним из сотрудников. Когда он открыл его, атакующие получили права администратора домена, после чего шифровальщик быстро распространился на 18 000 рабочих станций. Из-за последствий атаки до сих пор не работают несколько официальных сайтов Telecom Argentina.

Сразу после обнаружения атаки компания разослала сотрудникам предупреждение о происходящем и попросила ограничить взаимодействие с корпоративной сетью, не подключаться к внутренней сети VPN и не открывать электронные письма с архивами во вложениях.

Арестованы киберпреступники, похищавшие деньги граждан через фальшивые интернет-магазины.

Как сообщает пресс-служба МВД РФ, злоумышленники создавали клоны интернет- магазинов известных брендов. Все вводимые пользователями на поддельных сайтах банковские и персональные данные отправлялись преступникам, которые с их помощью похищали денежные средства с банковских счетов.

Всего преступникам удалось собрать сведения о банковских картах более двух тысяч человек и похитить около 4 млн рублей.

Вредоносное ПО

Ботнет Prometei использует протокол Microsoft Windows SMB для распространения в корпоративных сетях майнера криптовалюты. Ботнет использует модульную систему и разнообразные методы для компрометации систем, сокрытия своего присутствия и добычи криптовалюты Monero (XMR).

Криптокалькулятор Monero, который показывает потенциал заработка ботнета

Атака начинается с компрометации протокола Windows Server Message Block (SMB) через Ethernal Blue и другие известные уязвимости. С помощью инструмента Mimikatz и брутфорс-атак злоумышленники собирают в корпоративной сети учётные данные и отправляют их на управляющий сервер для повторного использования модулями, предназначенными для проверки действительности паролей в других системах, использующих протоколы SMB и RDP.

На текущий момент ботнет состоит менее чем из ста инфицированных устройств и приносит своим операторам около 1250 долларов США в месяц.

Злоумышленники используют новый вредоносный фреймворк MATA для кибератак на операционные системы Windows, Linux и macOS по всему миру.

Структура фреймворка MATA для Windows.

Первые атаки с использованием MATA были направлены на устройства под управлением Windows и осуществлялись в несколько этапов:

1. Операторы устанавливают на компьютеры жертв загрузчик, разворачивающий «командный центр» (оркестратор), который скачивал необходимые модули.
2. Модули могли загружаться с удаленного HTTP- или HTTPS-сервера, из зашифрованного файла на жестком диске или же могли быть переданы через инфраструктуру MataNet по соединению, использующему TLS 1.2.
3. Плагины MATA могут запускать cmd.exe /c или powershell.exe с дополнительными параметрами и получать ответы на эти команды, отключать и создавать процессы, проверять наличие TCP-соединения с указанными адресами, управлять файлами, устанавливать соединение с удаленными серверами и пр.

Впоследствии был обнаружен аналогичный набор инструментов для Linux и macOS. Он содержал легитимную утилита Socat и скрипты для эксплуатации уязвимости CVE-2019-3396 в Atlassian Confluence Server.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.