Rose debug info
---------------

Антифишинг-дайджест № 222 с 14 по 20 мая 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Новая мошенническая кампания замусоривает календарь владельцев iPhone ложными порнографическими событиями и предупреждениями о заражении, чтобы подписать на платную программу.

Схема кампании

1. Через вредоносную рекламу, взломанные сайты WordPress и манипуляции с поисковой выдачей пользователей заманивают на мошеннические страницы со ссылкой для оформления платной подписки на приложение.

2. На мошеннической странице пользователю демонстрируется CAPTCHA, с помощью которой он должен подтвердить, что является человеком. После нажатия на чекбокс появится предложение добавить подписку в приложение «Календарь».

3. Если принять их предложение, на устройстве начнут появляться назойливые предупреждения, провоцирующие жертву открыть ссылку.

4. Если отклонить предложение мошенников, в браузере вновь откроется страница с фальшивым тестом CAPTCHA. Повторное его прохождение вызовет то же окно, навязывающее подписку. Активация любой кнопки в этом сообщении перенаправит на мошенническую страницу, утверждающую, что iPhone заражен или подвергся хакерской атаке.

5. Спастись поможет приложение в App Store — поддельный клиент VPN или фальшивая защитная программа, стоимость подписки на которую составляет от 8,99 до 9,99 долларов США в неделю.

Умные устройства

В автомобилях Mercedes-Benz обнаружены критические уязвимости, эксплуатация которых позволяет удаленно выполнить код.

Источником уязвимостей стала Mercedes-Benz User Experience (MBUX) — информационно-развлекательная система, которая имеется во всей линейке автомобилей производителя.

Уязвимости CVE-2021-23906, CVE-2021-23907, CVE-2021-23908, CVE-2021-23909 и CVE-2021-23910 позволяют хакерам удаленно управлять некоторыми функциями автомобиля, но без доступа к физическим характеристикам, таким как рулевое управление или тормозная система.

Причина проблем — использование устаревшего ядра Linux, уязвимости во встроенном JavaScript-движке браузера, в процессоре Wi-Fi, стеке Bluetooth, функциях USB или включенных сторонних приложения, которые обмениваются данными с удаленными серверами.

Пульт дистанционного управления от популярной ТВ-приставки Comcast Xfinity X1 может использоваться как подслушивающее устройство.

Пульт представляет собой настоящий мини-компьютер, оснащённый микрофоном для голосового управления, радиоинтерфейсом и встроенной прошивкой. Раз в сутки он автоматически запрашивает у приставки обновлённую прошивку, и если таковая обнаружена, без проверок устанавливает её.

Используя эту особенность, исследователям удалось загрузить в пульт модифицированную прошивку, которая посылала запрос на получение обновления не раз в 24 часа, а раз в минуту, и при получении особого ответа включала встроенный в пульт микрофон и транслировала звук атакующим. Атака работает на достаточно большом расстоянии, успешно передавая сигнал через стену, как если бы рядом с домом стоял автомобиль с прослушкой.

Из-за ошибки пользователи камер видеонаблюдения Eufy получили доступ к видеопотокам других людей со всего мира.

Проблема проявилась во время запланированного обновления сервера. Специалисты производителя заметили её уже через 40 минут, а еще через час уязвимость исправили.

Несмотря на такую оперативность исправления, в течение всего дня пользователи камер Eufy продолжали использовать те же сессии, просматривая кадры с чужих камер. Это вызвало массовую панику среди пользователей, которые решили, что их конфиденциальность нарушена.

Случайные «злоумышленники», подключившиеся к чужой камере, могли управлять устройствами по своему желанию, просматривать данные учетной записи, чтобы узнать настоящее имя пользователя, его местоположение и другие детали, которые могут быть использованы для угроз и вымогательства.

Устройства Apple AirTag можно использовать, чтобы выяснить, когда дом, квартира или офис пустуют.

AirTag — маячок размером с монету, отслеживающий местонахождение вещей с помощью Bluetooth. Он помогает отыскать ключи, кошелек, определить где, находится чемодан и найти сбежавшее домашнее животное.

AirTag работает за счет использования сети Apple Find My и регулярно отправляет сигналы, которые улавливает iPhone и другие устройства Apple, находящиеся поблизости. Всякий раз, когда AirTag приближается к одному из устройств, его местоположение должно автоматически обновляться в сети Find My и отображаться в приложении iOS.

Таким образом, если кто-то оставит AirTag рядом с жилым помещением, владелец AirTag сможет выяснить, когда никого нет дома.

Атаки и уязвимости

В технологии AMD SEV (Secure Encrypted Virtualization), защищающей виртуальные машины от вредоносных ОС, обнаружены уязвимости, которые позволяют злоумышленникам внедрять виртуальные машины вредоносный код и захватывать полный контроль над операционной системой.

Атаки через уязвимости SEVurity (CVE-2020-12967) и undeSErVed (CVE-2021-26311) работают против процессоров AMD, защищенных с помощью не только SEV, но и SEV-ES (Secure Encrypted Virtualization-Encrypted State) — усовершенствованной версии технологии, выпущенной в 2017 году, на следующий год после появления SEV в процессорах AMD.

Проблемы присутствуют во всех процессорах AMD EPYC, обычно использующихся в серверах для дата-центров.

Инциденты

Национальная служба здравоохранения Ирландии (Health Service Executive, HSE) отключила свои ИТ-системы из-за атаки шифровальщика Conti. Инцидент не повлиял на оказание неотложной медицинской помощи, однако некоторые плановые осмотры и процедуры пришлось отложить или отменить, поскольку сотрудники медучреждений лишились доступа к онлайн-системам и электронным картам пациентов.

Злоумышленники заявили, что находились в сети HSE более двух недель и похитили 700 Гб файлов, включая конфиденциальную информацию о пациентах и ​​сотрудниках, контракты, финансовые отчеты, платежные ведомости и многое другое.

За расшифровку и удаление похищенных данных преступники требуют выкуп в размере 19,999 млн долларов США.

Премьер-министр Ирландии Михол Мартин официально заявил, что платить выкуп злоумышленникам не будут.

Рекордным инцидентом 2020 года стал случай с 54-летней женщины, у которой телефонные мошенники выманили 400 млн рублей. Сначала они вели с ней телефонную беседу от имени работников банка, клиентом которого она является, а затем — от лица сотрудников ФСБ.

По словам представителя Сбербанка, мошенники позвонили женщине, представившись сотрудниками службы безопасности банка, клиентом которого она является, и заявили, что «сейчас будут спасать деньги». Женщина согласилась и сообщила им, что у нее на счету было 14 млн руб. Они говорят: «Отлично, берем, снимаем и несем».

После этого женщина сообщила мошенникам, что в другом банке у нее хранятся еще 380 млн руб. Ей сказали, что сейчас с ней общаться не будут, поскольку деньги очень серьезные. После этого ей позвонил «сотрудник ФСБ» и под его руководством она в течение месяца снимала эти деньги и отправляла «спасателям».

Отделение французской транснациональной страховой компании AXA в Азии стало жертвой вымогателя Avaddon. Инцидент затронул IT-услуги отделения Asia Assistance в Таиланде, Малайзии, Гонконге и на Филиппинах.

Операторы вымогателя заявляют, что украли 3 ТБ данных, включая удостоверения личности, копии паспортов, претензии клиентов, зарезервированные соглашения, сведения об отказах в возмещении средств, платежи клиентам, контракты и отчеты, идентификаторы клиентов и отсканированные документы банковских счетов, медицинские данные о различных заболеваниях.

В качестве доказательства хищения данных киберпреступники предоставили копии двух паспортов — тайского и британского. Требуемая сумма выкупа не разглашается. Если компания AXA не пойдет на встречу хакерам, вымогатели опубликуют похищенные данные.

Группировка DarkSide заявила об успешной кибератаке на французское отделение японской корпорации Toshiba, в ходе которой им удалось похитить большой объём секретных данных.

Отчёт об инциденте хакеры опубликовали на своём на сайте, сообщив, что похитили у Toshiba 740 ГБ информации, в которой содержатся сведения о работе менеджмента и новых бизнес-проектах компании, а также личные данные сотрудников. Корпорация самостоятельно расследует произошедший инцидент.

Поделиться
Отправить
Запинить
 282   2021   дайджест   фишинг