Rose debug info
---------------

Антифишинг-дайджест № 292 с 23 по 29 сентября 2022 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена необычная вредоносная схема, с помощью которой хакеры похитили миллионы долларов у десятков тысяч жертв.

Злоумышленники управляют большой сетью, состоящей более чем из 200 фальшивых сайтов знакомств и поддержки клиентов, и используют эти ресурсы для списания средств с чужих банковских карт, купленных в даркнете.

В кампании используются два вида доменов: сайты знакомств и порталы поддержки клиентов. Если попытаться зайти на сайты компаний, которым якобы принадлежат эти фейковые ресурсы, можно обнаружить, что их не существует вовсе, или они используют несуществующие адреса электронной почты, вроде mail@example.com.

Сами сайты знакомств и поддержки клиентов выглядят рабочими, но не получают практически никакого трафика, занимая низкие позиции в результатах поиска Google. Причина в том, что они существуют не для привлечения пользователей, а для отмывания денег.

Все сайты имеют одинаковую HTML-структуру и почти одинаковый контент, поэтому похоже, что они созданы с помощью автоматических инструментов. При этом фальшивые порталы поддержки клиентов часто используют имена несуществующих организаций, либо стараются напоминать настоящие бренды, такие как McAfee, ReasonLabs и другие фирмы.

Сайты регистрируются у операторов приема платежей, и после одобрения хакеры начинают списания средств с тысяч краденых карт, купленных в даркнете.

Снятие средств осуществляется либо с помощью API, либо вручную. При этом операторы сайтов очень осторожны и стараются не привлекать к себе внимания. Они снимают небольшие суммы, используют распространенные названия, которые могут затеряться среди других расходов жертвы, задействуют повторяющиеся платежи с одной и той же суммой и избегают тестовых транзакций.

В некоторых случаях хакеры даже возвращают жертвам деньги, благодаря чему их операции становятся более аутентичными, а charge-back коэффициент кажется низким.

Северокорейская хакерская группа Lazarus использует фальшивые вакансии Crypto[.]com, чтобы с их помощью взламывать разработчиков и цифровых художников в криптовалютном сообществе.

Схема действий преступников

  1. Lazarus обращается к своим целям через LinkedIn, отправляя им личные сообщения, в которых сообщается об интересной и высокооплачиваемой вакансии, которую якобы предлагает им Crypto.com.
  1. Хакеры отправляют жертвам двоичный файл, замаскированный под PDF, который содержит 26-страничный PDF-файл с именем Crypto.com_Job_Opportunities_2022_confidential.pdf и информацию о вакансиях на Crypto.com.
  1. В фоновом режиме этот бинарник Mach-O создает папку (WifiPreference) в каталоге Library и развертывает файлы второго и третьего этапов.
  1. Второй этап — файл WifiAnalyticsServ.app, который закрепляется в системе (wifanalyticsagent) и в конечном итоге подключается к управляющему серверу по адресу market.contradecapital[.]com, откуда и получает финальный пейлоад WiFiCloudWidget.
  1. Так как бинарники атакующих подписаны, они могут обойти проверки Apple Gatekeeper и выполняться как доверенное ПО.
  1. Хакеры не предприняли никаких усилий для шифрования или обфускации двоичных файлов, что, вероятно, указывает на краткосрочность этой кампании или на отсутствие опасений быть обнаруженными.

Авторы кампании по распространению RAT в связке с инфостилером по методу скрытой загрузки (drive-by).

Для этого они внедряют на WordPress-сайты JavaScript, который отображает фейковую страницу защитного сервиса CloudFlare и предлагает посетителю скачать некий софт для завершения проверки.

Вредоносные JavaScript-инъекции осуществляются путем добавления трех строк кода в компоненты ядра CMS, файлы тем или плагинов. Количество сайтов, зараженных в ходе новых атак, невелико — меньше 1 тыс.; почти в половине случаев непрошеный довесок был обнаружен в /wp-includes/js/jquery/jquery.min.js.

Ранее этот скрипт загружал необходимый для работы контент (на тот момент поддельное предупреждение защиты CloudFlare от DDoS) из домена adogeevent[.]com. Новые варианты JavaScript-сценария запрашивают другие домены, хотя IP-адрес остался прежним.

Изменилось также скачиваемое содержимое. Теперь потенциальной жертве выводят диалоговое окно CAPTCHA, якобы подтянутое с сервера CloudFlare.

При вводе любого значения в указанном поле (даже правильного) всплывает подсказка: для получения доступа к сайту необходимо завершить проверку; если возникли проблемы, скачайте наш софт, чтобы больше не тратить время на тесты.

Клик по кнопке Download запустит загрузку файла .iso с последующей распаковкой вредоносного содержимого — CLOUDFLA.EXE или Cloudflare_security_installer.exe. Чтобы усилить иллюзию легитимности и отвлечь внимание, в системе запускается процесс обновления Google Chrome: примечательно, что при этом используется русский язык.

Тем временем в фоновом режиме в систему устанавливается RAT — инструмент удаленного администрирования NetSupport, полюбившийся вымогателям SocGholish. В придачу к RAT жертва, как и ранее, получает инфостилера Racoon.

Обнаружено несколько мошеннических кампаний, нацеленных на лиц, подлежащих частичной мобилизации.

Организаторы одной из таких афер предлагают купить поддельные дипломы о высшем образовании по IT-специальностям для получения отсрочки от призыва. Большинство таких предложений распространяется через популярные мессенджеры. Покупателей диплома злоумышленники просят предоставить ФИО, дату рождения, фото, а также данные аттестата о предыдущем образовании, если оно имеется. Такой «документ» о высшем образовании может обойтись от 16 тыс. до 270 тыс. рублей.

Другая группа аферистов предлагает потенциальным призывникам получить «белый» военный билет или липовые документы для выезда за границу. За 48 часов и 27 тыс. рублей аферисты обещают организовать подтверждение непригодности к мобилизации. Аферисты якобы могут обеспечить регистрацию в военкомате с занесением в базу, изготовить документы для пересечения границы и передать их в любую точку России курьером или заказным письмом. От клиента требуется фотография и ксерокопии страниц паспорта. Получив обязательную предоплату, мошенники исчезают.

Еще один вариант обмана — организация «выезда» за пределы России «всего» за 3 тысячи долларов США. «Белый билет» в этом «магазине» продают за 1200 долларов США, а за документы студента европейского вуза просят 1900 долларов США. Кроме того, некоторые из злоумышленников предлагают перевести граждан из первичной группы мобилизации во вторичную за 120 тысяч рублей. Однако после оплаты никакой помощи не предполагается, а личные данные граждан попадают к мошенникам.

В новой кампании группировки Fancy Bear (APT28) используется новая техника удаленного выполнения кода.

Хакеры используют движения мыши в презентациях Microsoft PowerPoint для выполнения вредоносного PowerShell сценария с помощью утилиты «SyncAppvPublishingServer». Сообщается, что атаки нацелены на организации в оборонном и правительственном секторах Евросоюза и восточноевропейских стран.

Техника наведения курсора (mouseover) используется для распространения вредоносного ПО Graphite. Жертву заманивают мошенническими PPT-файлами PowerPoint, которые связаны с Организацией Экономического Сотрудничества и Развития (ОЭСР).

Внутри файла содержатся 2 слайда с инструкциями на английском и французском языках по использованию параметра «Интерпретация» в приложении Zoom.

При открытии документа-приманки в режиме презентации и наведении курсора мыши на гиперссылку активируется вредоносный PowerShell скрипт для загрузки JPEG файла из учетной записи Microsoft OneDrive.

JPEG файл представляет из себя зашифрованный DLL-файл, который расшифровывается и помещается в каталог «C:\ProgramData\», а затем выполняется через «rundll32.exe». Также создается ключ реестра для закрепления на компьютере.

После деобфускации полученная полезная нагрузка — вредоносное ПО Graphite — использует API Microsoft Graph и OneDrive для связи с сервером управления и контроля. Для доступа к сервису злоумышленник использует фиксированный идентификатор клиента и действительный токен OAuth2.

В итоге Graphite позволяет злоумышленнику загрузить другое вредоносное ПО в системную память и сохранить постоянное присутствие в системе. Вредоносное ПО позволяет удаленно выполнять команды, выделяя новую область памяти и выполняя полученный шелл-код.

Инциденты

Неизвестный хакер взломал аккаунт журнала о бизнесе и технологиях Fast Company в Apple News.

Получив несанкционированный доступ к аккаунту, неизвестный разослал подписчикам издания уведомления расистского и непристойного содержания.
В своем заявлении компания отметила, что «сообщения омерзительны и не соответствуют контенту Fast Company. Мы расследуем инцидент, а также приостановили обновление ленты и закрыли сайт FastCompany.com, пока не будем уверены, что ситуация разрешилась».

Как сообщается, взлому подвергся не сам Apple News, а система управления контентом Fast Company, которая позволяет пользователям публиковать статьи и рассылать оповещения.

Elbit Systems of America, американское подразделение оборонного подрядчика из Израиля Elbit, заявило, что в начале июня его сеть была скомпрометирована операторами вымогательского ПО Black Basta, а личная информация сотрудников была украдена.

В уведомлении о взломе , поданном в прокуратуру штата Мэн, Elbit Systems of America сообщила, что утекли данные 369 сотрудников, включая:

  • имена сотрудников;
  • адреса;
  • даты рождения;
  • информацию о прямом депозите;
  • этническую принадлежность;
  • номера социального страхования.

В ответ на атаку организация отключила все системы, предприняла все шаги по обеспечению безопасности своей сети и привлекла независимую ИБ-компанию, которая помогает восстановить системы и расследовать произошедшее.



Хакер под ником optusdata взломал австралийскую телекоммуникационную компанию Optus, украл данные 11 млн абонентов и потребовал выкуп, а когда им заинтересовались правоохранительные органы, заявил, что удалил все данные и извинился.

Хакер утверждал, что в его руки попали такие данные, как имена клиентов, даты рождения, номера телефонов, адреса электронной почты, физические адреса, информация о водительских правах и номерах паспортов, но не пароли от учетных записей или финансовая информация. Стоит отметить, что в Optus о масштабах утечки ничего не писали, и информацию о 11 млн пострадавших пользователей сообщали местные СМИ и сам хакер.

В качестве доказательства своих слов злоумышленник опубликовал на хак-форуме Breached образец украденных данных (информацию 10 000 пользователей) и потребовал, чтобы компания заплатила выкуп в размере 1 млн долларов США, а в противном случае пригрозил раскрыть все украденные данные вообще.



Издание «Коммерсант», со ссылкой на собственные источники в отрасли, сообщило о мощной DDoS-атаке на российскую платежную систему «Мир» и ее оператора Национальную систему платежных карт (НСПК).

Журналисты пишут, что целью атаки была попытка перегрузка системы, то есть хакеры стремились вызвать сбой в обслуживании карт. По информации издания, за атакой стояли проукраинские хактивисты, которые «генерируют трафик на системы с помощью браузеров или примитивных DDoS-инструментов, с целью вызвать перебои в прохождении платежей и работе терминалов».



Недавно группировка Ragnar Locker опубликовала набор из 6 114 735 записей с личными данными клиентов крупнейшей португальской авиакомпании TAP.

 Первоначально компания сообщила, что данным пользователей ничего не угрожает, однако позже уточнила, что к сожалению, в руках злоумышленников оказались имена и фамилии клиентов, даты рождения, адреса эл. почты, телефонные номера, адреса проживания, номера в программе лояльности, а также даты регистрации и последней активности (с 18.10.2016 по 22.04.2022).

Поделиться
Отправить
Запинить
 229   2022   дайджест   фишинг