Антифишинг-дайджест № 298 с 4 по 10 ноября 2022 года
Андрей Жаркевич
редактор
Артемий Богданов
технический директор
Сергей Волдохин
выпускающий редактор
Киберкампании
Эксперты предупреждают о двух мошеннических схемах, в ходе которых преступники выдают себя за финансовых регуляторов, расследующих мошенничество, чтобы выманить у пользователей персональную информацию.
Первая кампания ориентирована на жителей Германии:
- Некая организация под названием Finanzmarktaufsicht в письме сообщает, что полиция города Оснабрюк якобы арестовала неких преступников и конфисковала у них жесткие диски, на которых хранились расшифрованные персональные данные граждан. Среди этих данных, по их словам, была обнаружена в том числе и личная информация получателя письма.
- В письме сообщается, что из-за большого количества жертв в Finanzmarktaufsicht предполагают, что речь идет об организованной преступности. Авторы сообщения просят жертву посодействовать следствию намекая, что это в ее интересах.
- Чтобы оказать содействие, достаточно всего лишь заполнить некую специальную онлайн-форму по ссылке или связаться по телефону, указанному в письме.
![](https://blog.startx.team/pictures/digest-298-5.png)
- В конце письма преступники прикрепили ссылку на настоящую статью про расследование произошедшего, опубликованную на настоящем сайте одной из популярных в Германии новостных телепередач.
![](https://blog.startx.team/pictures/image-181.png)
- Если пользователь не заметит обмана и перейдет по ссылке из письма, он увидит онлайн-форму на сайте якобы того самого Finanzmarktaufsicht. Чтобы получить квалифицированную помощь, он должен ввести следующие данные:
- фамилию;
- имя;
- адрес электронной почты;
- контактный телефон;
- название организации, в которую он недавно вкладывал деньги;
- дату, сумму и назначение платежа.
- Ниже на странице также обещают помочь вернуть деньги, украденные мошенниками, и сообщают, что для этого надо подготовить документы, включая переписку, информацию о банковских транзакциях.
Вторая схема ориентирована на Швейцарию:
- Преступники в письме напоминают получателю, что в 2015—2017 годах тот якобы инвестировал в компанию Solid CFD. А теперь ее закрыли из-за какой-то незаконной деятельности, и «менеджер отдела восстановления и разрешения» независимого финансового регулятора хочет помочь вернуть вложения. Дозвониться до адресата по телефону псевдосотрудник, увы, не смог, поэтому просит самого пользователя связаться в ним ответном электронном письме и обсудить судьбу инвестиций.
- В письме они ссылаются на FINMA — независимого финансового регулятора из Швейцарии. Компания, которая упоминается в письме, также реальна и даже имеет сомнительную репутацию.
- Никакого сайта в этой схеме не предусмотрено. Вероятно, мошенники надеются, что им повезет и пользователь согласится обсудить свои инвестиции в почте или даже перейти на телефон или в мессенджеры, где с помощью различных техник социальной инженерии у него выманят персональную информацию и, скорее всего, деньги.
Схема кампании:
- Продукт Microsoft Dynamics 365 Customer Voice позволяет организациям получать отзывы клиентов, он используется для проведения опросов об удовлетворенности клиентов.
![](https://blog.startx.team/pictures/digest-298-6.png)
- Электронные письма жертвам поступают из функции опроса в Dynamics 365, адрес отправителя содержит «Forms Pro», что является старым названием функции опроса.
![](https://blog.startx.team/pictures/digest-298-7.png)
- Сообщение информирует получателя о получении новой голосовой почты.
![](https://blog.startx.team/pictures/digest-298-8.png)
- После нажатия кнопки «Воспроизвести голосовую почту» получатель перенаправляется на фишинговую страницу, имитирующую страницу входа в Microsoft. Используя ссылки Customer Voice, злоумышленники могут обходить меры безопасности.
- Системы безопасности не могут напрямую заблокировать Microsoft, поскольку будет невозможно выполнить какие-либо процессы. Вместо этого ссылки из надежных источников, как правило, автоматически становятся доверенными, что позволяет хакерам похитить учетные данные жертв.
Схема кампании:
- Мошенники звонят гражданам, рассчитывая попасть на родственников пострадавших или погибших в ходе спецоперации.
- Они сообщают жертвам, что им положены страховое возмещение, а также единовременные пособия.
- Злоумышленники убеждают собеседников, что выплату необходимо направить на «безопасный счет» или инвестировать, чтобы приумножить полученную сумму. 4. Если довериться таким советам, деньги уйдут мошенникам.
![](https://blog.startx.team/pictures/digest-298-3.png)
Cloud9 представляет собой троян удаленного доступа (RAT) для Chromium-браузеров (включая Google Chrome и Microsoft Edge) и позволяет своим операторам удаленно выполнять произвольные команды. Ботнет использует вредоносные расширения для кражи аккаунтов, кейлоггинга, внедрения на веб-страницы рекламы и вредоносного JS-кода, а также заставляет браузер жертвы участвовать в DDoS-атаках.
Подробности о кампании:
- Вредоносные расширения Cloud9 распространяются не через официальный Chrome Web Store, а по альтернативным каналам, включая сайты с поддельными обновлениями для Adobe Flash Player.
- Расширение Cloud9 состоит из трех файлов JavaScript, предназначенных для сбора системной информации, майнинга криптовалюты с использованием ресурсов хоста, выполнения DDoS-атак и внедрения скриптов, запускающих браузерные эксплоиты.
- Для автоматической установки и запуска Windows-малвари на хосте используются уязвимости CVE-2019-11708 и CVE-2019-9810 в Firefox, CVE-2014-6332 и CVE-2016-0189 в Internet Explorer и CVE-2016-7200 в Edge, что позволяет злоумышленникам проводить более серьезные атаки на зараженную систему.
- Cloud9 может похитить файлы cookie из скомпрометированного браузера, которые злоумышленники затем могут использовать для перехвата пользовательских сеансов и захвата учетных записей. Также вредонос оснащается кейлоггером, который способен перехватывать нажатия клавиш с целью кражи паролей и другой конфиденциальной информации.
- Во вредоносном расширении присутствует модуль, который постоянно контролирует буфер обмена в поисках скопированных паролей или данных банковских карт.
Мобильная безопасность
Пользователям предлагают скачать приложения с онлайн-курсом домашних тренировок для мужчин или планом диеты и тренировок, которые на деле являются вредоносными.
В приложении пользователя вынуждают купить доступ к ЗОЖ-контенту якобы за небольшую сумму (в обнаруженных приложениях — за 29 рублей), для чего нужно ввести данные банковской карты. Если жертва соглашается с неочевидными условиями, написанными мелким шрифтом (которые зачастую не помещаются на экране), с ее карты начнут ежемесячно списываться деньги — от нескольких сотен до нескольких тысяч рублей. В результате пользователь рискует потерять крупную сумму за разовый доступ к мотивирующим видео о тренировках.
Инциденты
Канал «Утечки информации» предупреждает о «сливе» данных пользователей сервиса вертикальных медиа Yappy.Media — российского аналога TikTok, принадлежащего Газпром-медиа.
![](https://blog.startx.team/pictures/image-178.png)
В четырех текстовых файлах содержатся:
- 🌵 телефон (более 2.1 млн уникальных номеров);
- 🌵 имя (менее 400 тыс. значащих записей);
- 🌵 логин (половина автогенерируемые);
- 🌵 адрес эл. почты (около 300 тыс.);
- 🌵 хешированный (PBKDF2) пароль (всего 76);
- 🌵 мобильное устройство и ОС;
- 🌵 дата регистрации и последнего использования (с 15.06.2021 по 19.07.2022).
Telegram-канал in2security сообщает, что размер дампа составляет примерно гигабайт, и в четырех файлах содержится около 2 миллионов строк.
Представители пресс-службы Yappy уже подтвердили СМИ факт утечки, однако заявили, что в открытом доступе оказались неактуальные дампы обезличенных пользовательских данных, содержащие никнеймы и номера телефонов.
В компании говорят, что Yappy не собирает фамилии, даты рождения и другие составляющие персональных данных, поэтому утечка не представляет никакой угрозы.
Любители бесплатного фастфуда работали по одной схеме:
- заказывали еду на кассе самообслуживания,
- открывали техническую дверцу,
- нажимали на кнопку отключения терминала,
- забирали заказ,
- с помощью той же кнопки снова включали кассу самообслуживания — и система автоматически возвращала деньги за последний заказ.
Сотрудники «Вкусно и точкаа» обратили внимание на нехватку денег только во время проверки кассовой отчётности.
![](https://blog.startx.team/pictures/digest-298.png)
В публичном доступе оказались частные ссылки на внутренние документы, страницы для сброса паролей, счета и другая информация с сайтов, просканированных URLScan. Все эти данные можно достать через поиск.
Проблема конфиденциальности усугубляется ещё и тем, что urlscan.io интегрирован в ряд ИБ-продуктов посредством API. Поскольку интеграция позволяет сканировать каждое входящее письмо и ссылку, в базу собираемых данных могут попасть конфиденциальные сведения: URL страниц для сброса пароля, ссылки на отписку или создание аккаунта.
![](https://blog.startx.team/pictures/image-179.png)
Информация была случайно опубликована разработчиком еще год назад и давала доступ к конфиденциальным данным пациентов.
«Забытые» на GitHub учетные данные относились к тестовой облачной среде Salesforce, которую предприятия часто используют для управления клиентами. В данном случае тестовая среда содержала информацию о некоторых пациентах AstraZeneca. В частности, данные были связаны с приложениями AZ&ME, которые предлагают скидки пациентам, нуждающимся в лекарствах.
Специалисты подчеркивают, что это не первый случай утечки учетных данных через GitHub из-за ошибок, вызванных человеческим фактором. Опасность таких случайных утечек заключается в том, что они происходят случайным образом, а путь эксплуатации очень прост, что облегчает задачу злоумышленников.
Хотя атака произошла в выходные дни, IT-команда компании почти мгновенно отреагировала на инцидент. Сейчас специалисты Maple Leaf Foods работают с ИБ-экспертами чтобы как можно скорее разрешить ситуацию.
Несмотря на то, что полное устранение последствий кибератаки займет время, производитель мяса заявил, что не прекратит работать с клиентами и партнерами, чтобы минимизировать перебои в поставках продуктов на канадский рынок.
Представитель компании сообщил, что пока не установлено, как и кем была проведена кибератака.
Кибервымогатели LockBit взялb на себя ответственность за атаку на немецкую компанию Continental — производителя шин, автомобильной электроники и других комплектующих.
![](https://blog.startx.team/pictures/image-180.png)
Злоумышленники заявляют, что похитили данные из систем Continental и угрожают опубликовать их на своем «сайте для утечек», если компания не выплатит выкуп. Пока хакеры не сообщают никаких подробностей об украденных данных, а также не пишут, когда произошла атака и утечка.
Представители Continental не стали комментировать заявления LockBit и не сообщили никаких подробностей об атаке.
Хакеры LockBit украли данные ведущей консалтинговой компании Kearney & Company.
![](https://blog.startx.team/pictures/digest-298-1.png)
Преступники угрожают опубликовать украденные данные до 26 ноября 2022 года, если компания не заплатит выкуп. Группа выложила образец украденных данных, который включает финансовые документы, контракты, аудиторские отчеты, платежные документы и другую информацию.
Вымогатели требует 2 млн долларов США за уничтожение украденных данных и 10 тыс. долларов США за «продление таймера» на 24 часа.
![](https://blog.startx.team/pictures/digest-298-2.png)
Как сообщают СМИ, все поезда крупнейшей железнодорожной компании страны остановились ранним утром 5 ноября 2022 года, и возобновить движение удалось только к 13:00. Причем даже после этого поезда не могли ходить в полном соответствии с расписанием.
По имеющейся информации сбой произошел из-за проблем в критически важной для безопасности ИТ-системе Den Digitale Rygsæk 2, которую разрабатывает компания Supeo, предоставляющая корпоративные решения для железных дорог, операторов транспортной инфраструктуры и управления пассажирскими перевозками.
Движение поездов нарушилось из-за того, что Supeo пришлось отключить свои серверы после хакерской атаки. В результате часть ПО, используемого машинистами, перестала работать.
Reuters пишет, что Supeo могла подвергнуться атаке вымогателей, хотя в компании никаких подробностей случившегося не сообщают и лишь заявляют, что это было «экономическое преступление», ориентированное на финансовую выгоду. Подчеркивается, что атака не была нацелена именно на DSB.