Представляем новости об актуальных технологиях фишинга и других атаках на человека c 15 по 21 марта 2019 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Мошенники обходят двухфакторную аутентификацию Office 365 и G Suite и получают доступ к учетным записям пользователей через протокол IMAP.

Хакеры применяют атаки с подбором учётных данных, применяя против незащищённого протокола IMAP как обычный перебор паролей, так и логины и пароли от известных учетных записей.

IMAP может быть использован без многофакторной аутентификации в одном из следующих случаев:

• Почтовый клиент не поддерживает современные способы аутентификации.
• Сервер не содержит полной реализации пароля приложений (Application-Specific Password) — альтернативного способа аутентификации.
• Атака проводится против адресов, для которых многофакторная аутентификация не включена, а IMAP не заблокирован.

Полученный в результате доступ используется для фишинговых атак или следующих этапов проникновения в корпоративные сети.

Мошенники из фальшивой технической поддержки заманивали своих жертв с помощью фальшивой рекламы eBay.

Объявление размещалось в рекламной сети Google:

1. В объявлении рекламировалась привлекательная акция на Ebay.
2. Чтобы скрыть от проверок Google вредоносность объявления, мошенники использовали клоакинг — технику, с помощью которой поисковые системы и пользователи получают разный контент.
3. Фальшивая реклама eBay показывалась только в определённое время и лишь части пользователей с американскими IP-адресами.
4. При клике на объявление пользователь через цепочку переадресаций попадал на сайт фальшивой технической поддержки, где ему сообщалось, что Microsoft обнаружила вирус и заблокировала компьютер:

Клиенты Netflix и American Express стали жертвой фишинговой атаки, направленной на хищение данных о банковских картах и номерах социального страхования.

1. Жертвы получали письма, в которых сообщалось, что действие их аккаунта приостановлено, а для восстановление необходимо обновить личные данные: имя, адрес электронной почты, номер социального страхования, адрес, номер телефона и дату рождения.
2. У клиентов American Express дополнительно запрашивали место рождения, девичью фамилию матери и данные банковской карты.
3. Все собранные данные направлялись преступникам и использовались для проведения атак и хищения денег.

Мошенники используют тему недавних авиакатастроф с Boeing 737 Max.

1. Вредоносные письма с адреса info[@]isgec.com написаны от имени независимого аналитика, который якобы нашел в даркнете информацию о будущих крушениях.
2. В теме значится Fwd: Airlines plane crash Boeing 737 Max 8.
3. В тексте «аналитик» по имени Джошуа Берлингер (Joshua Berlinger) напоминает читателям о двух недавних катастрофах Boeing 737 MAX 8 и сообщает, что ему удалось найти список перевозчиков, самолеты которых упадут в ближайшее время.
4. К письму прикреплен исполняемый JAR-файл с именем MP4_142019 или подобным. Если его открыть, в папку AppData устанавливаются средство для удалённого доступа H-Worm и шпионский троян Adwind:

Мобильная безопасность

В десяти мобильных приложениях для покупки одежды обнаружены критические уязвимости, через которые можно похитить информацтию, в том числе данные о банковских картах и пароли от учётных записей пользователей.

Среди уязвимых приложений — MANGO, ASOS, SHEIN, bonprix, Wildberries, H&M, KUPIVIP, Bershka, Joom и Lamoda.

• Более 85% исследованных Android-приложений могут раскрыть данные платежных карт пользователей.
• 9 из 10 приложений для Android допускают утечку информации о конфигурации системы. Такие данные могут быть использованы злоумышленником при планировании атаки.
• Самыми защищенными Android-версиями приложений для покупки одежды оказались MANGO, ASOS и SHEIN.
• Чуть менее защищены bonprix, Wildberries, H&M, KUPIVIP и Bershka.

Среди приложений для iOS не нашлось ни одного, которое бы соответствовало среднему по отрасли уровню защищенности.

Вредоносное ПО

Вредонос JNEC.a использует уязвимость в WinRAR и шифрует файлы жертвы так, что их невозможно расшифровать.

1. JNEC.a распространяется через заражённые RAR-архивы с картинкой, отредактированной так, чтобы казаться повреждённой.
2. Если жертва пытается распаковать архив, компьютер будет заражён шифровальщиком.
3. Получив управление, вредонос шифрует файлы и показывает сообщение с требованием выкупа в размере 0,05 биткоина, что на сегодня составляет около 200 долларов США.
4. Далее JNEC.a генерирует случайную последовательность букв и цифр и предлагает жертве зарегистрировать такой адрес в GMAIL, обещая прислать на него ключ расшифровки после получения выкупа.
5. Из-за ошибки в коде вредоноса расшифровка файлов невозможна, поэтому платить выкуп смысла нет.

«Умные» устройства

Беспроводная клавиатура Fujitsu Wireless Keyboard Set LX901 содержит уязвимость, через которую можно инициировать нажатия клавиш и перехватить контроль над системой.

Причина уязвимости в том, что приёмник клавиатуры принимает сигналы от клавиатуры не только в зашифрованном с помощью алгоритма AES виде, но и в полностью открытом незашифрованном. Причём формат этих сигналов описан в документации для разработчиков.

Атака работает на расстоянии 45 метров, даже если экран компьютера заблокирован. Всё необходимое для её проведения можно спрятать в кармане.

Несмотря на то, что специалисты уведомили Fujitsu о проблеме осенью 2018 года, компания так и не выпустила соответствующий патч. Предположительно, производитель считает выявленную уязвимость трудновоспроизводимой, либо относит данную модель клавиатуры к сегменту устройств, не предназначенных для использования в учреждениях с повышенными требованиями к безопасности.

Новый вариант IoT-червя Mirai, захватывающего контроль над устройствами «интернета вещей», вооружён 27 эксплойтами для незаметного проникновения.

Захватив контроль над устройствами, Mirai использует их ресурсы для создания многоцелевого ботнета, который может рассылать спам, устраивать DDoS-атаки и выполнять другие задачи для своих владельцев.

В числе устройств, которые могут быть захвачены:

• умные телевизоры LG линейки Supersign (уязвимость CVE-2018-17173),
• беспроводные системы для презентаций WePresent WiPG-1000

Кроме того, новый Mirai эксплуатирует:

• уязвимость удаленного внедрения команд в сетевых видеокамерах DLink DCS-930L;
• внедрение команд через веб-интерфейс роутеров DLink DIR-645 и DIR-815;
• удаленное внедрение команд в кастомных прошивках роутеров Zyxel P660HN-T;
• удаленное выполнение произвольных команд в сетевых устройствах Netgear (CVE-2016-1555);
• уязвимости удаленного выполнения команд CVE-2017-6077 и CVE-2017-6334 в роутерах и ADSL-модемах Netgear;
• возможность удаленного выполнения команд в некоторых устройствах линейки Netgear Prosafe.