Антифишинг-дайджест № 209 с 12 по 18 февраля 2021 года
Андрей Жаркевич
редактор
Артемий Богданов
технический директор
Сергей Волдохин
выпускающий редактор
Киберкампании
В канун дня святого Валентина зафиксировано более 400 фишинговых кампаний, посвященных празднику. Число новых доменов выросло на 29% по сравнению с прошлым годом и достигло 23 000. Около 2,3% из них (523) оказались вредоносными или подозрительными.
Примечательно, что этом году некоторые злоумышленники повторно использовали темы и страницы, оставшиеся от прошлых фишинговых кампаний. Например, среди мошеннических писем нашлось послание от бренда Pandora из фишинговой рассылки, разосланной в связи с «черной пятницей» в ноябре 2020 года.
В этом сообщении пользователю предлагали купить ювелирные изделия по сверхнизким ценам на сайте Pandora (www[.]Pcharms [.]Com). Мошенники дане не потрудились исправить год, поэтому страница называется «Официальный сайт Pandora 2020» вместо 2021. В имени отправителя использовалось название бренда, но адрес электронной почты не имел никакого отношения к Pandora.
Схема атаки:
- Злоумышленники направляют клиенту хостинга письмо, в котором сообщают, что из-за попытки подозрительной покупки домена им пришлось временно заблокировать доступ. Чтобы вернуть контроль над учетной записью, получатель письма должен пройти по ссылке в личный кабинет.
- В теле письма нет ни упоминания названия провайдера, ни его логотипа. Имя фигурирует единственный раз — в поле имени отправителя. При этом оно не совпадает с почтовым доменом, хотя для убедительности в нем присутствует слово hosting.
3. Перейдя по ссылке, пользователь попадает на страницу входа в учетную запись, которая пытается имитировать аналог на настоящем сайте провайдера.
4. Если пользователь введёт учётные данные на этой странице, они попадут к злоумышленникам
5. После «логина» пользователь почему-то попадет на страницу с формой ввода данных банковской карты. Никакого объяснения причин, по которым нужно ввести эти данные, мошенники не приводят, видимо, надеясь на доверчивость пользователей. Разумеется, введённые платёжные сведения также будут направлены злоумышленникам.
Обнаружена массовая вымогательская кампания против жителей России, в ходе которой кибершантажисты угрожают опубликовать интимные или непристойные записи с веб-камеры жертвы, если она не согласится выплатить выкуп в криптовалюте.
Мошенники сообщают, что уже несколько месяцев ведут слежку через веб-камеры при помощи вредоносной программы, особенно во время, когда адресат якобы посещал сайты для взрослых. И если вымогателям не выплатят некую сумму, видеозаписи тех действий, которые адресат якобы совершал во время просмотра «клубнички», попадут в интернет. Подобные письма с запугиванием могут приходить по нескольку раз в месяц, некоторые из них также озаглавлены весьма пугающим образом, как «Последнее предупреждение».
Не смущает мошенников даже возраст своих потенциальных жертв. Так, неизвестный аферист вымогал 650 долларов США у 73-летней жительницы Челябинска, угрожая ей тем, что разместит в интернете интимные фото женщины, которые он якобы получил через веб-камеру.
Мобильная безопасность
Мошенники продают на Avito и Юле фальшивые приглашения в социальную сеть ClubHouse, а в PlayMarket уже обнаружены вредоносные подделки под мобильное приложение ClubHouse.
После вступления в ClubHouse Илона Маска и Марка Цукерберга на подключение к соцсети возник ажиотажный спрос. Но до сегодняшнего дня регистрация в сети возможна только по «инвайту» — приглашению от действующего участника ClubHouse. Причём приложение для соцсети имеется только для устройств Apple.
Взрыв популярности создал идеальные условия для мошенников, которые просят перевести деньги в обмен на инвайт, но ничего не гарантируют. Администрация Avito заблокировала объявления, содержащие в названии ClubHouse, но если искать по сочетанию «КлубХаус», поиск выдаст достаточно много предложений купить инвайты.
Основная проблема заключается в отсутствии надлежащих ограничений, касающихся того, кто может использовать код приложения. В результате вредоносные приложения, установленные на устройстве пользователя, или злоумышленники, выполняющие атаку типа man-in-the-middle, могут направлять вредоносные команды приложению SHAREit, используя его легитимные функции для запуска произвольного кода, перезаписи локальных файлов или «тихой» установки сторонних приложений.
Вторая уязвимость приложения — возможность проведения атак типа Man-in-the-Disk. Проблема связана с тем, что многие приложения могут использовать внешнее хранилище (External Storage) совместно с другими приложениями. В итоге данные могут быть удалены, отредактированы или подменены злоумышленниками.
Проблемы SHAREit до сих пор не исправлены, поскольку эксперты Trend Micro, обнаружившие проблему, не смогли связаться с разработчиками приложения. После трёх месяцев ожидания было принято решение обнародовать результаты исследований и предупредить общественность.
Атаки и уязвимости
Целевая аудитория преступников — пользователи iOS. Именно их с помощью вредоносной рекламы перенаправляли на мошеннические сайты, где у жертв пытались выманить финансовую информацию. Обычно пользователям сообщали, что они выиграли подарочную карту от известного бренда.
Использованная ScamClub уязвимость позволяла вредоносному коду совершить побег из песочницы HTML-элемента iframe. Проблема заключалась в том, как Webkit работает с обработчиками событий JavaScript (event listeners). Уязвимости были подвержены Apple Safari и Google Chrome для iOS.
Проблема присутствовала в iOS и Android, а также в версии мессенджера для macOS. Причиной уязвимости стала функция обработки анимированных стикеров в секретных чатах. Удалённый атакующий мог отправить пользователю специальный вредоносный стикер, позволяющий получить доступ к сообщениям, фото- и видеофайлам жертвы.
Ещё одна уязвимость обнаружена в Telegram для macOS и связана с механизмом самоуничтожения сообщений.
Опция «секретный чат» помимо шифрования всех сообщений позволяет участникам взаимодействия отправлять самоудаляемые сообщения, которые в заданный срок исчезают из чата у всех собеседников. Из-за ошибки в macOS-версии Telegram этот механизм работал некорректно: аудио- и видеосообщения исчезали с экрана, но их копии оставались в системе в виде файлов .mp4.
Инциденты
Американский филиал Kia Motors стал жертвой вымогателя DoppelPaymer. Проникнув в систему, преступники зашифровали важные файлы и выкрали конфиденциальную информацию.
ИТ-системы этого отделения компании внезапно стали недоступны по всему миру. Пострадала работа многих сервисов: мобильных приложений, основного веб-ресурса, внутренних сайтов и т. п.
За восстановление работы и удаление похищенной информации операторы DoppelPaymer потребовали у компании 404 биткоина (около 20 млн долларов США). Если выкуп не будет оплачен в течение 10 дней, сумма увеличивается до 600 биткоинов (~ 30 млн долларов США).