Rose debug info
---------------

Антифишинг-дайджест № 283 с 22 по 28 июля 2022 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Вредоносное ПО

Эксперты сообщили о появлении новой платформы Robin Banks, предоставляющей инструменты для фишинга как услугу (Phishing-as-a-Service или PhaaS).

Платформа предлагает злоумышленникам готовые наборы инструментов для фишинга, нацеленные на клиентов финансовых компаний США, Великобритании, Канады и Австралии.

Чтобы попасть на сайт Robin Banks, покупатель должен зарегистрироваться, указав электронную почту, пароль, а также заплатить небольшую сумму в криптовалюте.

На сайте можно создавать фишинговые страницы, отслеживать их состояние, пополнить кошелек на платформе. Здесь же можно создать персонализированный набор инструментов для фишинга.

Варианты подписки

Самый простой вариант подписки на «сервис» стоит 50 долларов США в месяц и включает одну фишинговую страницу. За 200 долларов США покупатель получает месячный доступ ко всем возможным страницам.

Мобильная безопасность

Эксперты Dr.Web обнаружили в магазине Google Play около 30 рекламных троянов семейства Android.HiddenAds, общее число загрузок которых превысило 9 890 000.

Вредоносы маскировались под редакторы изображений, экранные клавиатуры, системные утилиты, приложения для звонков, программы для замены фонового изображения домашнего экрана.

Для показа рекламы некоторые из приложений пытались получить разрешение на демонстрацию окон поверх других программ, остальные же стремились попасть в список исключений функции экономии заряда аккумулятора (чтобы продолжать работать в фоновом режиме, когда жертва закрывает приложение).

Чтобы в дальнейшем пользователям было сложнее обнаружить «нарушителей», трояны скрывали свои значки из списке установленных приложений главного экрана или заменяли их менее приметными. Например, значком с названием «SIM Toolkit», при выборе которого вместо исходного приложения запускалось одноименное системное ПО для работы с SIM-картой.

Атаки и уязвимости

В решении для управления мобильными устройствами (MDM, Mobile Device Management) компании FileWave обнаружены уязвимости, которые подвергают компании риску удалённых кибератак.

Всего обнаружено две уязвимости:

  1. Уязвимость обхода аутентификации CVE-2022-34907 позволяет удаленному злоумышленнику получить доступ с привилегиями суперпользователя и взять под полный контроль экземпляр MDM, подключенный к интернету. После этого хакер может взломать все устройства, управляемые с помощью MDM от FileWave, украсть с них всю информацию или установить вымогательское ПО.
  2. Жестко закодированный криптографический ключ CVE-2022-34906.

Всего обнаружено более 1100 уязвимых экземпляров MDM, подключенных к интернету, которыми пользовались крупные корпорации, образовательные учреждения, правительственные агентства, а также малые и средние предприятия.

В пакете LibreOffice обнаружены уязвимости, одну из которых можно использовать для выполнения вредоносного кода.

Получившая идентификатор CVE-2022-26305 уязвимость представляет собой «некорректную валидацию сертификата» при проверке подписи макросов.

Условный атакующий может создать сертификат с определённым серийным номером, а также со строкой эмитента, которая идентична той, что встречается в проверенном сертификате. В результате LibreOffice будет считать, что сертификат выдан уже проверенной организацией, а злоумышленник сможет выполнить код в системе пользователя с помощью макросов.

Инциденты

Кибервымогатели вывели из строя площадку для цифрового маркетинга в сфере культуры WordFly и похитили данные ее клиентов.

От атаки пострадали несколько крупных художественных организаций в Канаде, США, Великобритании и Австралии. Первой жертвой злоумышленников стал симфонический оркестр Торонто (TSO), сотрудничавший с WordFly.

Среди украденной информации могли оказаться имена и ID подписчиков оркестра, их адреса электронной почты, а также информация о счетах организации.

В официальном сообщении TSO заявила, что временно сменит провайдера электронной почты. Представители оркестра не раскрыли число пострадавших, но заверили, что платежные данные посетителей в безопасности, а IT-системы организации не были затронуты в ходе атаки.

Операторы вымогателя LockBit заявили о взломе сети итальянской налоговой службы (L’Agenzia delle Entrate).

Хакеры утверждают, что похитили 100 Гб данных (включая документы компании, сканы, финансовые отчеты и контракты), которые угрожают опубликовать в открытом доступе, если власти не заплатят выкуп по 1 августа 2022 года.

В официальном заявлении итальянская налоговая служба сообщила, что расследует «предполагаемую кражу данных из налоговой информационной системы». Также сообщается, что ведомство запросило дополнительную информацию у компании Sogei (Società Generale d’Informatica S.p.A), которая контролируется Министерством экономики и финансов страны и управляет инфраструктурой финансовой администрации.

В открытом доступе были обнаружены скриншоты CRM-системы маркетплейса Ozon.

Всего было опубликовано 12 скриншотов, содержащие фрагменты переписки службы поддержки (одного и того же специалиста, от чьего имени был осуществлен вход в CRM-систему) с клиентами. Судя по датам, которые попали «в кадр», скриншоты делались почти на протяжении месяца (с 01 июля 2022 по 25 июля 2022 года).

Представители Ozon уже дали официальный комментарий СМИ:

«Из-за недобросовестных действий одного сотрудника поддержки клиентов данные нескольких заказов попали в сеть. В скриншотах не содержится платежных данных покупателей, а сами скриншоты — неиндексируемые, что значительно ограничивает возможность распространить информацию».

Также в компании заявили, что этому сотруднику моментально заблокировали доступ в корпоративные системы, он будет уволен, а в настоящее время принимается решение о передаче информации в правоохранительные органы для возбуждения уголовного дела.

В телеграм-чатах предлагают купить клиентскую базу ЦУМа.

Информация распространяется в Telegram-чатах двумя пользователями, один из которых ранее продавал брендовые вещи на Авито. Деньги за базу пользователи просят перевести некоему Ашоту, фамилия которого, как оказалась, совпадает с предыдущим ником одного из продавцов.

Как сообщается в in4security, база содержит данные примерно 50.000 клиентов (ФИО, телефон, купленный бренд, иногда email) и предлагается к приобретению за 200.000 рублей. По утверждению одного из продавцов, данные получены из службы поддержки ЦУМа, которая имеет к ним непосредственный доступ.

Проанализированные образцы демонстрируют совпадение контактных данных из базы с реальными публичными персонами.

Три платформы для заказа из ресторанов (MenuDrive, Harbortouch и InTouchPOS) стали жертвами двух скимминговых кампаний MageCart. Не менее 311 ресторанов и их клиентов оказались скомпрометированы.

Суммарно взлом привел к компрометации более 50 000 платежных карт, которые были украдены у клиентов пострадавших ресторанов и выставлены на продажу в даркнете.

Первая атака началась примерно 18 января 2022 года и продолжалась до тех пор, пока вредоносный домен, использованный в кампании, не был заблокирован 26 мая. Кампания против InTouchPOS, в свою очередь, была активна с 12 ноября 2021 года.

Суть этих атак заключалась во внедрении вредоносного PHP-кода на страницы оплаты (для чего обычно используются известные уязвимости) и последующей передаче данных клиентов на сервер злоумышленников.

В даркнете выставили на продажу данные 5,4 млн (5 485 636) пользователей Twitter.

База появилась в результате комбинирования открытых данных с телефонными номерами и адресами электронной почты пользователей, которые стали известны через эксплуатацию бага. Злоумышленник оценил базу в 30 000 долларов США.

Хакер, выставивший данные на продажу, заявляет, что дамп содержит информацию о различных учетных записях, в том числе о знаменитостях, компаниях и случайных пользователях.

Злоумышленник подтвердил журналистам, что для сбора данных в декабре 2021 года он использовал уязвимость, которая позволяет любому желающему, без какой-либо аутентификации узнать Twitter ID. Ошибка связана с процессом авторизации, используемом в Android-клиенте Twitter, в частности, в с проверкой дублирования учетной записи Twitter

Кибервымогатели LockBit атаковали инфраструктуру небольшого канадского городка Сент-Мэрис с населением в 7,5 тысяч человек.

Выкуп пока не выплачен, администрация города утверждает, что большинство городских служб работает. Мэр Сент-Мэрис рассказал, что к решению этой проблемы привлечена полиция и специалисты по информационной безопасности.

На скриншотах, размещенных на сайте LockBit, показана файловая структура операционной системы Windows, содержащая каталоги, соответствующие таким муниципальным системам, как финансы, здравоохранение и безопасность, очистка сточных вод, имущественные дела и общественные работы. Городу был дан срок, до которого он должен заплатить за разблокировку своих систем, иначе данные будут опубликованы в Интернете.

Поделиться
Отправить
Запинить
 2049   2022   дайджест   фишинг