Представляем новости об актуальных технологиях фишинга и других атаках на человека c 16 по 22 марта 2017 года.

Андрей Жаркевич
редактор, руководитель службы ИТ

Смартфоны, банкоматы и «умные» устройства

Специалисты компании Group-IB описали схему целевых атак на банки, лизинговые и страховые компании, в результате которых только у одного банка было украдено больше $2 млн.

Атаки начинались с рассылки фишинговых писем с эксплойтом или исполняемым файлом в архиве с паролем. Фишинговые письма чаще всего рассылались от имени Европеи?ского центрального банка, производителя банкоматов Wincor Nixdorf или региональных банков, с указанием настоящих доменов в адресе отправителя.

Для банков СНГ преступники отправляли вложения «Договор_хранения2016.zip» и «список документов.doc». Для иностранных — «The rules for European banks.doc» и «Bitcoin ATM’s.doc»:

После открытия файла и запуска эксплойта злоумышленники закреплялись в системе, повышали привилегии в домене и получали доступ к банкоматам. На банкоматы устанавливалось специальное ПО, с помощью которого преступники дистанционно инициировали выдачу наличности:

Банк России сообщает о новом способе «беспроводной» атаки на банкоматы:

Устройство стоит рядом с банкоматом. И на банкомат ничего не вешается, это принципиальная новизна. Банкомат защищается по-разному. Ставят датчики движения, вскрытия. И когда эта штука работает дистанционно, эти датчики бесполезны. Точнее, они для такого вида атак бесполезны. Они хорошо действуют, когда банкомат вскрывают, когда дырки выпиливают.

— Артем Сычев, заместитель начальника главного управления безопасности и защиты информации Банка России

Хакеры утверждают, что имеют доступ к 200 млн почтовых аккаунтов Apple, в том числе в доменах @icloud и @me. От компании Apple вымогатели требуют либо $75 000 в Bitcoin или Ethereum, либо $100 000 подарочными картами iTunes. Если Apple не заплатит до 7 апреля 2017 года, хакеры угрожают стереть все пользовательские данные, до которых сумеют «дотянуться».

Американские фермеры взламывают свою сельхозтехнику и устанавливают на нее прошивки, созданные хакерами из Восточной Европы. Deere&Company и другие производители защищаются от «неавторизованного» ремонта, лишая фермеров не только права самостоятельно чинить свои тракторы, но и ставя их жизни под угрозу в случае внезапной поломки или аварии. Новая прошивка помогает обойти эти ограничения.

Вредоносные программы (и устройства)

Исследователи показали, как с помощью штатного, встроенного в Windows инструмента пользователь может перехватить управление привилегированным приложением и получить полный контроль над системой. Показательный пример — во «вредоносное» приложение превращается установленный в системе антивирус:

Видео-демонстрация атаки:

Новая программа-вымогатель маскируется под стресс-тестер LOIC, шифрует файлы и требует выкуп в малоизвестной криптовалюте Monero:

Мошенники распространяют фальшивое приложение Event Monitor. Программа показывает уведомление о проблемах с компьютером и предлагает позвонить в техническую поддержку:

По телефону пользователю ответят мошенники, которые попытаются убедить жертву в необходимости приобретения различных ненужных приложений и услуг.

В продаже появилась новая версия USB-киллера — флешки-убийцы, сжигающей устройство, к которому её подключают. Стоимость флешки-убийцы составляет около 53 долларов США. Производители сделали «анонимные» варианты киллера, которые выглядят как обычная флешка. Обновлённая «флешка» теперь преодолевает защиту устройств Apple, в том числе Айфонов и Айпадов:

Сайты, мессенджеры и почта

В социальных сетях появились сообщения о фишинговых рассылках от имени ВТБ24, Сбербанка и Ростелекома. Получателю письма предлагается скачать новый счёт по ссылке. Ссылка ведёт в облако mail.ru, после запуска «счёта» данные на компьютере шифруются, и программа-вымогатель требует выкуп:

Компания «Сибур» предупреждает о похожих попытках мошенничества в отношении своих контрагентов:

Отдельные контрагенты компании с 25 января 2017 года стали получать по электронной почте предложения приобрести по низким ценам качественную полимерную продукцию.

В сообщениях, распространяемых с помощью спам-рассылки, как правило, указаны фамилия и имя работника Блока продаж Дирекции базовых полимеров и фиктивные контактные данные для обращения: номера телефонов +7 (495) 241-04-687, +7 499) 348-92-05 и адреса электронной почты info@sibur.info, proposal@sibur.info, kp_property@sibur.info. Также мошенники зарегистрировали сайт-двойник официального сайта ПАО «СИБУР Холдинг» (www.sibur.info), на котором размещена ложная информация в разделе «Контакты».

— ПАО «СИБУР Холдинг» (настоящий сайт: sibur.ru)

Мошенники пользуются новостями об украденных фото Эммы Уотсон и других знаменитостей: под видом архивов с фотографиями и программ для их просмотра предлагают скачать и установить вредоносные программы: