Rose debug info
---------------

Антифишинг-дайджест № 162 с 13 по 19 марта 2020 года

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 13 по 19 марта 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и приложения

Андроид-вымогатель CovidLock маскируется под приложение, которое «позволяет в реальном времени отслеживать вспышки коронавируса на вашей улице, в городе и в штате» более чем в 100 странах.

Сайт приложения предлагает скачать и установить APK-файл:

Для повышения доверия на страницах указано, что приложение сертифицировано Министерством образования США, Всемирной организацией здравоохранения и Центром по контролю и профилактике заболеваний:

Фальшивые картинки победителя рейтинга скопированы с Google Play:

При первом запуске приложение запрашивает различные разрешения, которые в обычной ситуации могли бы вызвать подозрения, но большинство пользователей не видит в них ничего опасного, ведь программа должна оперативно информировать обо всех случаях коронавируса поблизости. В частности, приложение хочет работать в фоновом режиме, иметь доступ к экрану блокировки, а также использовать функции для людей с ограниченными возможностями.

Как только все разрешения получены, выводится вымогательское сообщение:

Автор вредоноса сообщает, что взломал телефон и требует 250 долларов США в криптовалюте, угрожая в противном случае разослать все фото и видео на смартфоне контактам жертвы.

Киберпреступники, специализирующаяся на BEC-атаках, также взяли на вооружение тему коронавируса.

В рамках одной из таких атак мошенники предложили компании сделать перевод на другой банковский счёт в связи со вспышкой опасного заболевания:

«В связи последними известиями о коронавирусе COVID-19 мы меняем банки и перенаправляем все платежи непосредственно на наш завод, поэтому, пожалуйста, оповестите о готовности платежа в адрес нашей организации, чтобы я направил вам обновленные платежные реквизиты»

Авторы другой фишинговой кампании нацелились на сторонников теории заговора, рассылая письма с «достоверной» информацией о секретных лекарствах и лечении.

Чтобы придать рассылкам легитимность, в тексте упоминается Всемирная организация здравоохранения и фамилии реальных врачей. Приложенный к письму документ на самом деле содержит вредоносное ПО, которое крадёт с компьютера жертвы конфиденциальную информацию.

Атаки и уязвимости

В корпоративных защитных решениях Trend Micro Apex One и OfficeScan XG обнаружены две уязвимости нулевого дня, которые уже используются в реальных атаках.

Уязвимость CVE-2020-8467 (9,1 баллов по шкале CVSS) позволяет удалённым аутентифицированным злоумышленникам выполнять произвольный код.

Уязвимость CVE-2020-8468 (8,0 балов по шкале CVSS) помогает обойти проверку контента, в результате чего атакующий становятся возможными манипуляции некоторыми компонентами агента клиента. Для реализации этой атаки также требуется, чтобы пользователь был аутентифицирован.

Хакеры использовали обе уязвимости для отключения продуктов безопасности и для повышения привилегий злоумышленников, которые проникли в систему иным образом.

В процессорах Intel обнаружена новая уязвимость Snoop (CVE-2020-0550), позволяющая похитить данные из внутренней памяти.

Для проведения атаки Snoop используются механизмы повышения производительности процессора:

  • многоуровневый кэш,
  • согласованность (когерентность) кэша,
  • слежение за шиной.

Используя Snoop, атакующий может запустить вредоносный код на одном из ядер CPU, что приведёт к утечке информации из других ядер, поскольку уязвимость позволяет вредоносному код при определённых условиях вмешаться в процесс слежения за шиной и вызвать ошибки, которые и обеспечат утечку данных из процесса согласованности кэша. В отличие от Meltdown и Spectre Snoop не позволяет похитить большие объемы данных. Intel заверяет, что создать условия для проведения атаки крайне сложно.

Уязвимость в мессенджере Slack позволяла злоумышленникам провести атаки типа HTTP Request Smuggling, похитить cookie-файлы и автоматизировать перехват произвольных учетных записей.

Проблема критически важна как для платформы Slack, так и для всех клиентов и организаций, которые обмениваются личными данными, каналами и разговорами. Ошибка делала возможным создание автоматических ботов для непрерывных атак уязвимого актива Slack, перехвата сеансов жертвы и похищения всех доступных данных.

Мобильная безопасность

Вредоносные программы для Android Cookiethief и Youzicheng работают совместно, чтобы похищать cookie-файлы, сохраненные в браузере на смартфонах и в Facebook. Преступники используют их, чтобы незаметно перехватить контроль над учетной записью жертвы в социальной сети и распространять контент от ее имени.

Оказавшись на устройстве, троян Cookiethief получает права суперпользователя и передает управляющему серверу cookie-файлы браузера и установленного приложения социальной сети. Но для перехвата контроля над аккаунтом идентификатора сессии может быть недостаточно, поскольку системы защиты некоторых сайтов предотвращают подозрительные попытки авторизации в системе. Чтобы обойти эту защиту, используется второй вредонос — Youzicheng. Он запускает на устройстве прокси-сервер, обеспечивая злоумышленникам доступ в интернет с для обхода мер безопасности.
Комбинируя две атаки, злоумышленники получают полный контроль над аккаунтом жертвы, не вызывая подозрений у Facebook.

Вредоносное ПО

Вредоносная Android-программа MonitorMinor отслеживает активность пользователя в Gmail, WhatsApp, Instagram и Facebook.

MonitorMinor использует в своих целях утилиты, подобные SuperUser, которые помогают получить root-доступ к системе, а также специальные возможности системы Android — Accessibility Services, что позволяет эффективно работать в системе даже без root-полномочий.

Возможности MonitorMinor:

  • отслеживание текущего местоположения жертвы,
  • перехват SMS и звонков,
  • отслеживания переписки в мессенджерах и сервисах электронной почты,
  • наблюдение за содержимым буфера обмена,
  • управление устройством с помощью SMS,
  • трансляция в режиме реального времени видео с камер устройства,
  • запись звука с микрофона устройства,
  • показ истории посещенных страниц в браузере Chrome,
  • показ статистики использования приложений,
  • запись введённых символов,
  • показ содержимого внутреннего хранилища устройства,
  • показ списка контактов и системного журнала.

О компании «Антифишинг»

Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.



Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.





Поделиться
Отправить
Запинить
 167   2020   дайджест   фишинг