Представляем новости об актуальных технологиях фишинга и других атаках на человека c 20 по 26 марта 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и приложения

Мошенники пытаются похитить криптовалютные пожертвования на борьбу с пандемией COVID-19, рассылая письма от имени ВОЗ: Всемирной организации здравоохранения.

После того, как 11 марта 2020 года ВОЗ официально признала пандемию коронавируса, был создан Фонд солидарности и реагирования по борьбе с COVID-19 (COVID-19 Solidarity Response Fund). Цель фонда — подготовить к борьбе с вирусом все страны мира, а в особенности — государства со слабой системой здравоохранения.

Преступники просят пользователей сделать пожертвование, отправив биткоины напрямую на адрес, указанный в письме, в качестве адреса отправителя которого для большей убедительности указан donate@who(.)int.

Министерство юстиции США сообщило о закрытии мошеннического сайта CoronavirusMedicalkit(.)com, владельцы которого предлагали всем желающим бесплатно заказать вакцину от коронавируса, оплатив лишь стоимость пересылки в размере 4,95 долларов США.

Преступники наживались на всеобщей панике, полагая, что невысокая стоимость пересылки создаст ажиотажный спрос и принесёт значительный доход.

По решению суда домен мошеннического сайта был разделегирован.

Организаторы мошеннической кампании угрожают заразить пользователей и их семьи коронавирусом COVID-19, если они не заплатят выкуп в размере 4 тыс. долларов США.

Чтобы послание выглядело убедительнее, преступники добавляют в письмо логин и пароль пользователя, полученный из общедоступных баз скомпрометированных учётных записей, и сообщают, что скрыться от них невозможно, они найдут свою жертву повсюду.

На сайте онлайн-магазина Tupperware обнаружен скиммер, похищавший данные банковских карт покупателей.

Мошенники взломали официальный сайт Tupperware и модифицировали его, добавив через iframe вредоносный код.

При попытке оплатить заказанный товар посетитель видит фальшивую форму оплаты. После ввода данных они отправляются мошенникам, а пользователь получает сообщение о таймауте, после чего выводится настоящая форма оплаты.

Мошенники не позаботились о локализации скиммера, поэтому фальшивая форма всегда «говорит» по-английски в отличие от настоящей.

Эксплуатация темы коронавируса иногда принимает совершенно удивительные формы. Например, обнаружен сайт, предлагающий скачать и установить Corona Antivirus, который «поможет защититься от нового коронавируса COVID-19».

Всё, что делает «антивирус» — устанавливает на компьютер жертвы бэкдор BlackNET, открывающий преступникам полный доступ к устройству.

Атаки и уязвимости

Хакеры взламывают маршрутизаторы и используют их для распространения поддельного приложения от Всемирной организации здравоохранения, якобы предоставляющего актуальную информацию о COVID-19.

В качестве объектов атаки преступники выбирали маршрутизаторы D-Link и Linksys, у которых был включен удалённый доступ к управлению настройками, а затем путём перебора подбирали пароль.

После успешного взлома IP-адреса в настройках DNS маршрутизатора изменялись на вредоносные.

Поскольку подключающиеся к маршрутизатору компьютеры используют IP-адреса DNS-серверов, полученные от него, подконтрольные злоумышленникам DNS-серверы переадресовывали пользователей на вредоносный контент. В результате при открытии браузера пользователя получали уведомление с предложением скачать приложение от ВОЗ.

Вместо полезной программы доверчивые пользователи устанавливали на компьютеры вредонос Oski, который похищает и передаёт преступникам

• cookie-файлы;
• историю браузера;
• платежную информацию из браузера;
• сохраненные учетные данные;
• данные криптовалютных кошельков;
• текстовые файлы;
• данные автозаполнения для форм в браузере;
• БД 2ФА идентификаторов Authy;
• скриншоты рабочего стола в момент заражения.

WhatsApp хранит коды безопасности для двухфакторной аутентификации в незашифрованном виде, что подвергает пользователей мессенджера опасности: завладевший кодами злоумышленник может получить доступ к переписке жертвы.

A user has recently discovered that WhatsApp stores the 2FA passcode in plain text in a file in their sandbox.

Being into the sandbox, no other apps can read that file, but there are some cases (in particular the second one) that should force to encrypt the 2FA Code. https://t.co/nmrNSGkKSU

— WABetaInfo (@WABetaInfo) March 22, 2020

На устройствах с iOS-устройствах коды хранятся в файле /var/mobile/Containers/Data/Application/Whatsapp/Library, на Android — в /data/data/app/com.whatsapp/shared_prefs/com.whatsapp_preferences.xml.

Хотя файл с кодом хранится в песочнице, и другие приложения в обычной ситуации не могут получить к нему доступ, на смартфонах, где включены права суперпользователя (root) или произведён джейлбрейк, содержимое файла можно прочитать.

В популярных менеджерах паролей обнаружены уязвимости, эксплуатация которых может привести к краже учётных данных

Слева: фишинговое окно логина вредоносного приложения.
Справа: LastPass без сомнений выдаёт учётные данные.

• Android-версии 1Password и LastPass имеют уязвимый механизм автозаполнения паролей: если имя пакета вредоноса соответствует легитимной программе, он получит сохранённые в менеджерах логины и пароли.
• Менеджеры LastPass, Dashlane, Keeper и RoboForm не защищают учётные данные при копировании в буфер обмена, поэтому на компьютерах с Windows 10 логины и пароли можно скопировать из буфера в виде простого текста.

Мобильная безопасность

Троян Android.Circle.1 распространялся под видом сборников изображений, программ с гороскопами, приложений для онлайн-знакомств, фоторедакторов, игр и системных утилит и по команде операторов выполнял различные вредоносные действия.

Приложения выполняли заявленные в описании функции, поэтому у пользователей не было причин заподозрить в них угрозу. Некоторые из них после установки выдавали себя за важный системный компонент, что обеспечивало им дополнительную защиту от возможного удаления.

При запуске вредоносная программа подключается к управляющему серверу, передает на него сведения об инфицированном устройстве и ожидает поступления заданий.через сервис Firebase. Среди заданий были отмечены:

• удалить значок троянского приложения из списка ПО в меню главного экрана;
• удалить значок троянского приложения и загрузить в веб-браузере заданную в команде ссылку;
• выполнить нажатие (клик) на загруженном сайте;
• показать рекламный баннер.

Примеры рекламных баннеров:

Основное предназначение Circle — показ рекламы и загрузка различных сайтов, на которых имитируются действия пользователей: переходы по ссылкам, нажатия на рекламные баннеры или другие интерактивные элементы.

Вредоносное ПО

У банковского трояна TrickBot появилось приложение для Android TrikMo, которое обходит двухфакторную аутентификацию, перехватывая одноразовые коды безопасности из SMS и передавая их на управляющий сервер.

Aufgepasst beim #Online #Banking:#Emotet lädt #Trickbot nach. Auf infizierten PCs blendet Trickbot beim Online-Banking eine Abfrage nach der Mobiltelefonnummer und des Gerätetyps ein und fordert Nutzer anschließend zur Installation einer angeblichen Sicherheits-App auf. pic.twitter.com/QHfmYojZxK

— CERT-Bund (@certbund) September 20, 2019

TrickMo распространяется через внедрение контента в браузер заражённого TrikBot пользователя:

• Обнаружив, что пользователь обращается к сайтам определенных банков, TrikBot предлагает ему загрузить и установить решение, для «защиты учетных записей».
• На самом деле приложение, которое прикидывается мобильным антивирусом Avast, содержит TrickMo.
• После установки поддельный антивирус запрашивает доступ к службе специальных возможностей (Accessibility service) Android.
• Полученные привилегии позволяют TrikMo взаимодействовать с устройством жертвы без ведома пользователя и генерировать любые нажатия на экран.
• TrickMo устанавливает себя как приложение для работы с SMS по умолчанию, что позволяет ему перехватывать любые SMS, поступающие на устройство, в том числе и от банков.

Умные устройства

В центральном сенсорном экране Tesla Model 3 обнаружена уязвимость CVE-2020-10558, эксплуатация которой позволяет злоумышленнику нарушить работу систем автомобиля.

Используя ошибку, можно отключить спидометр, климат-контроль, сигналы поворота, навигацию, уведомления автопилота, уведомления о пропущенных звонках и другие функции

Для проведения атаки достаточно заставить пользователя перейти на специально созданную веб-страницу, которая вызывает сбой в работе интерфейса браузера на основе Chromium, через который производится управление системами автомобиля на центральном экране.

Управлять движением Tesla можно управлять даже при отказавшем дисплее, а чтобы вернуть дисплей в нормальное состояние, нужно «перезагрузить» автомобиль, выключив его и снова включив.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 13 по 19 марта 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и приложения

Андроид-вымогатель CovidLock маскируется под приложение, которое «позволяет в реальном времени отслеживать вспышки коронавируса на вашей улице, в городе и в штате» более чем в 100 странах.

Сайт приложения предлагает скачать и установить APK-файл:

Для повышения доверия на страницах указано, что приложение сертифицировано Министерством образования США, Всемирной организацией здравоохранения и Центром по контролю и профилактике заболеваний:

Фальшивые картинки победителя рейтинга скопированы с Google Play:

При первом запуске приложение запрашивает различные разрешения, которые в обычной ситуации могли бы вызвать подозрения, но большинство пользователей не видит в них ничего опасного, ведь программа должна оперативно информировать обо всех случаях коронавируса поблизости. В частности, приложение хочет работать в фоновом режиме, иметь доступ к экрану блокировки, а также использовать функции для людей с ограниченными возможностями.

Как только все разрешения получены, выводится вымогательское сообщение:

Автор вредоноса сообщает, что взломал телефон и требует 250 долларов США в криптовалюте, угрожая в противном случае разослать все фото и видео на смартфоне контактам жертвы.

Киберпреступники, специализирующаяся на BEC-атаках, также взяли на вооружение тему коронавируса.

В рамках одной из таких атак мошенники предложили компании сделать перевод на другой банковский счёт в связи со вспышкой опасного заболевания:

«В связи последними известиями о коронавирусе COVID-19 мы меняем банки и перенаправляем все платежи непосредственно на наш завод, поэтому, пожалуйста, оповестите о готовности платежа в адрес нашей организации, чтобы я направил вам обновленные платежные реквизиты»

Авторы другой фишинговой кампании нацелились на сторонников теории заговора, рассылая письма с «достоверной» информацией о секретных лекарствах и лечении.

Чтобы придать рассылкам легитимность, в тексте упоминается Всемирная организация здравоохранения и фамилии реальных врачей. Приложенный к письму документ на самом деле содержит вредоносное ПО, которое крадёт с компьютера жертвы конфиденциальную информацию.

Атаки и уязвимости

В корпоративных защитных решениях Trend Micro Apex One и OfficeScan XG обнаружены две уязвимости нулевого дня, которые уже используются в реальных атаках.

Уязвимость CVE-2020-8467 (9,1 баллов по шкале CVSS) позволяет удалённым аутентифицированным злоумышленникам выполнять произвольный код.

Уязвимость CVE-2020-8468 (8,0 балов по шкале CVSS) помогает обойти проверку контента, в результате чего атакующий становятся возможными манипуляции некоторыми компонентами агента клиента. Для реализации этой атаки также требуется, чтобы пользователь был аутентифицирован.

Хакеры использовали обе уязвимости для отключения продуктов безопасности и для повышения привилегий злоумышленников, которые проникли в систему иным образом.

В процессорах Intel обнаружена новая уязвимость Snoop (CVE-2020-0550), позволяющая похитить данные из внутренней памяти.

Для проведения атаки Snoop используются механизмы повышения производительности процессора:

• многоуровневый кэш,
• согласованность (когерентность) кэша,
• слежение за шиной.

Используя Snoop, атакующий может запустить вредоносный код на одном из ядер CPU, что приведёт к утечке информации из других ядер, поскольку уязвимость позволяет вредоносному код при определённых условиях вмешаться в процесс слежения за шиной и вызвать ошибки, которые и обеспечат утечку данных из процесса согласованности кэша. В отличие от Meltdown и Spectre Snoop не позволяет похитить большие объемы данных. Intel заверяет, что создать условия для проведения атаки крайне сложно.

Уязвимость в мессенджере Slack позволяла злоумышленникам провести атаки типа HTTP Request Smuggling, похитить cookie-файлы и автоматизировать перехват произвольных учетных записей.

Проблема критически важна как для платформы Slack, так и для всех клиентов и организаций, которые обмениваются личными данными, каналами и разговорами. Ошибка делала возможным создание автоматических ботов для непрерывных атак уязвимого актива Slack, перехвата сеансов жертвы и похищения всех доступных данных.

Мобильная безопасность

Вредоносные программы для Android Cookiethief и Youzicheng работают совместно, чтобы похищать cookie-файлы, сохраненные в браузере на смартфонах и в Facebook. Преступники используют их, чтобы незаметно перехватить контроль над учетной записью жертвы в социальной сети и распространять контент от ее имени.

Оказавшись на устройстве, троян Cookiethief получает права суперпользователя и передает управляющему серверу cookie-файлы браузера и установленного приложения социальной сети. Но для перехвата контроля над аккаунтом идентификатора сессии может быть недостаточно, поскольку системы защиты некоторых сайтов предотвращают подозрительные попытки авторизации в системе. Чтобы обойти эту защиту, используется второй вредонос — Youzicheng. Он запускает на устройстве прокси-сервер, обеспечивая злоумышленникам доступ в интернет с для обхода мер безопасности.
Комбинируя две атаки, злоумышленники получают полный контроль над аккаунтом жертвы, не вызывая подозрений у Facebook.

Вредоносное ПО

Вредоносная Android-программа MonitorMinor отслеживает активность пользователя в Gmail, WhatsApp, Instagram и Facebook.

MonitorMinor использует в своих целях утилиты, подобные SuperUser, которые помогают получить root-доступ к системе, а также специальные возможности системы Android — Accessibility Services, что позволяет эффективно работать в системе даже без root-полномочий.

Возможности MonitorMinor:

• отслеживание текущего местоположения жертвы,
• перехват SMS и звонков,
• отслеживания переписки в мессенджерах и сервисах электронной почты,
• наблюдение за содержимым буфера обмена,
• управление устройством с помощью SMS,
• трансляция в режиме реального времени видео с камер устройства,
• запись звука с микрофона устройства,
• показ истории посещенных страниц в браузере Chrome,
• показ статистики использования приложений,
• запись введённых символов,
• показ содержимого внутреннего хранилища устройства,
• показ списка контактов и системного журнала.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 6 по 12 марта 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты

Обнаружена новая многоступенчатая мошенническая схема, в ходе которой злоумышленники ведут своих жертв с ресурса на ресурс, похищая персональную информацию, данные банковских карт и деньги.

Получившая название «Кроличья нора» схема выглядит следующим образом:

1. На первом этапе «Кролика» мошенники в качестве приманки используют фальшивые аккаунты звёзд шоу-бизнеса, блогеров или популярных телеведущих, от имени которых объявляют конкурсы-раздачи, акции или опросы с большим призовым фондом и дорогими подарками.

2. Баннеры и контекстную рекламу с изображением знаменитостей в соцсетях таргетировали под интересы конкретного пользователя. Для перехода используется персональная мошенническая ссылка, которая генерируется под конкретного клиента на базе его местоположения, IP-адреса, модели устройства, user-агента. Эта ссылка срабатывает только один раз.

3. После перехода по ссылке на ресурс-опросник жертву просят ответить на несложные вопросы и поделиться своей удачей в мессенджерах или соцсетях.

4. На сайте с опросом у жертвы запрашивают адрес электронной почты, который в будущем используется для рассылки фишинговых писем и вредоносного ПО.

5. Всем жертвам, которые прошли первый этап, на почту или в личные сообщения в мессенджерах приходят приглашения принять участие в ещё одном грандиозном опросе или викторине с ещё более крупным вознаграждением.

6. На новых ресурсах уже нет упоминаний известных брендов или звёзд. Для получения награды после прохождения опроса нужно перечислить некоторую сумму — «пошлину» , «налог» или «тестовый платёж». Разумеется, жертва ничего не получает, зато теряет деньги и персональные данные.

Разделение атаки на две части и несколько ресурсов позволяет «Кроличьей норе» генерировать больше трафика благодаря использованию звёздных имён и брендов, но при этом усложнить поиск и блокировку ресурсов, на которых происходит кража денег.

Обнаружена мошенническая кампания по распространению инфостилера AZORult, эксплуатирующая тему эпидемии коронавируса COVID-19.

1. Авторы кампании создали клон сайта университета Джона Хопкинса на домене Corona-Virus-Map[.]com. На клоне в реальном времени отображаются данные о заражении коронавирусом, полученные с оригинального ресурса.
2. Для более оперативного получения обновлений посетителям предлагается загрузить приложение, не требующее установки.
3. Если пользователь загрузит и запустит приложение, в дополнение к карте распространения опасного заболевания он заразит свой компьютер вредоносным ПО AZORult, которое используется для кражи истории просмотров, куки-файлов, логинов и паролей, криптовалютных кошельков, данных банковских карт и многого другого. Он также может загружать на заражённый компьютер дополнительные вредоносные программы.

Злоумышленники продолжают эксплуатировать тему коронавируса для проведения атак на пользователей и бизнес.

Например, ориентированный на русскоязычную аудиторию фишинговый сайт vaccinecovid-19[.]com предлагал приобрести тест на заражение коронавирусом всего за 19 тыс. рублей.

С января 2020 года было зарегистрировано более 4000 доменов, связанных с коронавирусом. Из них не менее 3% были признаны вредоносными, а ещё 5% — подозрительными. Вероятность того, что домены, связанные с коронавирусами, будут использоваться для преступной деятельности, на 50% выше, чем у других доменов, зарегистрированных за тот же период, а также выше, чем у сезонных тем, подобных Дню Святого Валентина.

Атаки и уязвимости

В процессорах Intel обнаружен новый класс уязвимостей CVE-2020-0551, получивший название LVI (Load Value Injection). LVI позволяет злоумышленнику похитить ключи шифрования и пароли из защищённой памяти, а затем перехватить контроль над системой.

В отличие от уязвимостей Meltdown, Foreshadow, ZombieLoad, RIDL и Fallout при эксплуатации LVI злоумышленник внедряет данные через скрытые буферы процессора в программу-жертву для взлома и получения конфиденциальной информации.

Видео: демонстрация атаки LVI

Перехват потока управления в ходе LVI-атаки позволяет злоумышленнику обманным путём заставить жертву выполнить определённую функцию. Это работает на всех уровнях безопасности от пользовательского режима до режима ядра, от гостевого режима до суперпользователя и, возможно, даже от пользовательского режима до анклава.

Представленные Intel исправления микрокода процессоров для новой атаки значительно замедляют работу: в некоторых случаях производительность снижалась в 19 раз.

Разработаны два новых метода атак на процессоры AMD, которые влияют на безопасность обрабатываемых данных и могут привести к хищению конфиденциальной информации.

Упрощённая схема работы предсказателя переходов процессоров AMD

• Атака Collide+Probe позволяет атакующему контролировать доступ жертвы к памяти устройства, не зная физических адресов или разделяемой памяти, во время разделения времени в логическом ядре процессора.
• Атака Load+Reload использует предсказатель переходов для получения высокоточных следов доступа жертвы к памяти на том же физическом ядре.

Новые методы предполагают проведение программных атак, для которых необходима возможность выполнить код с низкими привилегиями. Атака Collide+Probe также может быть исполнена удалённо через браузер без взаимодействия с пользователем.

В ходе тестирования удалось запустить вредоносный процесс, который использовал скрытый канал извлечения данных для хищения информации из другого процесса. Скорость передачи составила 588,9 Кб/сек.

Thanks a lot for your work! I find it hard to read a paper which is irrelevant to my profession. Is this vulnerability as severe as Meltdown or Zombieload?

— lí ḃaao (@gnyueh) March 7, 2020

Один из экспертов, обнаруживших атаку, признал в своём Twitter, что найденные уязвимости значительно менее опасны по сравнению с Meltdown и Zombieload в процессорах Intel, позволяющих «сливать тонны данных».

В протоколе Microsoft Server Message Block (SMB) обнаружена уязвимость CVE-2020-0796, позволяющая неавторизованному злоумышленнику удалённо выполнить произвольный код на сервере.

CVE-2020-0796 — a "wormable" SMBv3 vulnerability.
Great...
pic.twitter.com/E3uPZkOyQN

— MalwareHunterTeam (@malwrhunterteam) March 10, 2020

Проблема представляет собой уязвимость переполнения буфера в SMB-серверах Microsoft и связана с ошибкой, возникающей при обработке уязвимым ПО сжатого пакета вредоносных данных. CVE-2020-0796 делает системы уязвимыми к червеобразным атакам, подобным тем, которые использовали WannaCry и NotPetya, перемещавшиеся от одного пользователя к другому.

Уязвимости подвержена только версия протокола SMBv3, используемая в последних сборках Windows 10: Windows 10 v1903, Windows10 v1909, Windows Server v1903 и Windows Server v1909.

О сроках исправления уязвимости на данный момент не сообщается. В качестве временной меры Microsoft предлагает отключить компрессию SMBv3 и заблокировать TCP-порт 445.

Вредоносное ПО

В мошеннических кампаниях против России, Японии и Южной Кореи используется написанное 10 лет назад вредоносное ПО.

Атака начинается с фишинговых писем с приглашениями на различные мероприятия. Во вложении содержится вредоносный RTF-документ research.doc, устанавливающий на компьютер жертвы файл winhelp.wll — загрузчик Bisonal, созданного в 2010 году троянского ПО для удалённого доступа к заражённой системе. Документы на русском посвящены исследованиям, на корейском и японском — правительственным организациям.

Инциденты

Велосипедиста из Флориды обвинили в краже, которую он не совершал, на основании данных геолокации его фитнес-трекера.

Велосипедист никогда не бывал в ограбленном доме, однако регулярно проезжал мимо. Функция геолокации приложения RunKeeper зафиксировала это и направила сведения в Google, которая передала их полиции в соответствии с предъявленным ордером geofence на выдачу сведений об устройствах, находившихся рядом с местом преступления. Жертва ограбления, женщина, 97 лет, лишилась имущества на сумму около 2400 долларов США, включая обручальное кольцо и другие драгоценности, и ничего не подозревавший велосипедист был в растерянности из-за того, что полиция посчитала его причастным к краже со взломом.

В конечном счёте подозрения с мужчины были сняты, однако для этого ему пришлось нанять адвоката, который помог ему разобраться в произошедшем.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.