Представляем новости об актуальных технологиях фишинга и других атаках на человека c 30 марта по 5 апреля 2018 года.

Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Почта, сайты и мессенджеры

Мошенники использовали сбой в работе мессенджера Телеграм, произошедший 29 марта 2018 года, для хищения криптовалюты у доверчивых пользователей:

Под настоящими сообщениями Павла Дурова в Twitter появились фальшивые послания, отправленные с аккаунта Pavel­Durov (@durhiov), гласящие, что в качестве извинений пользователям Telegram будет предложена компенсация в Ethereum-эквиваленте:

1. На мошенническом сайте ethg.st сообщалось, что общий размен компенсации составит около 5000 ETH, а для участия в акции нужно перечислить от 0,5 до 5 ETH по адресу, зашифрованному в QR-коде.
2. Доверчивые пользователи в течение часа перечислили мошенникам около 60 000 долларов США.

Банковский троян Buhtrap распространялся через заражённые новостные сайты.

Вредоносный скрипт внедрялся на главные страницы ряда русскоязычных новостных сайтов финансовой тематики. После визита на такую страницу потенциальная жертва незаметно перенаправлялась на подконтрольный злоумышленикам сервер, и против нее использовался эксплоит для браузера Internet Explorer.

Данные 37 миллионов пользователей сайта сети кафе Panera Bread (panerabread.com) были доступны любому желающему в открытом виде.

Среди данных были имена пользователей, их email-адреса и адреса доставки, даты рождения, телефонные номера, последние четыре цифры из номеров банковских карт, а также номера карт лояльности. Собрать полную базу данных можно было с помощью простейшего поискового скрипта.

Компания Under Armour сообщила о компрометации 150 млн пользователей принадлежащего ей приложения и сайта MyFitnessPal.

Неизвестные злоумышленники скомпрометировали серверы MyFitnessPal и получили доступ к email-адресам, логинам и хешированным паролям. Представители Under Armour просят пользователей поменять пароли от MyFitnessPal и предупреждают о возможных атаках фишеров.

Новая фишинговая атака на пользователей криптовалютной биржи Poloniex использует вредоносное приложение для кражи данных.

Преступники используют тот факт, что, несмотря на солидный статус и огромное количество пользователей, у Poloniex отсутствует собственное мобильное приложение.

Вредоносное ПО

HiddenMiner — новый вредоносный майнер для Android, который маскируется под обновление для Google Play Store:

Вредонос обманом заставляет пользователей выдать ему права администратора и майнит криптовалюту. Чтобы спрятаться от пользователя, вредонос создаёт прозрачную иконку для приложения, а затем удаляет её, запуская майнер в фоновом режиме:

В коде HiddenMiner не предусмотрен какой-либо контроллер или оптимизатор, то есть приложение постоянно майнит криптовалюту Monero, пока все ресурсы устройства не будут истощены. Это может привести к перегреву и полному отказу устройства.

Cisco Talos публикует подробное исследование трояна KeyDroid, который маскируется под «обновление для Android»:

Вредонос сообщает злоумышленникам информацию об установленных приложениях, номере телефона, уникальном идентификаторе устройства, местоположении, сохраненных контактах, а также передаёт СМС, записи разговоров, электронные письма и фотографии.

Мошенническое приложение Pingu Cleans Up подписывало пользователей на дорогостоящий сервис, используя легитимный способ оплаты в Google Play и социальную инженерию:

После установки на мобильное устройство приложение предлагало пользователю создать игрового персонажа:

1. На первых двух этапах его создания потенциальная жертва выбирала нужный атрибут и должна была подтвердить свой выбор, нажав на кнопку «Подтвердить» во всплывающем окне.
2. На третьем этапе пользователь с банковской картой, привязанной к аккаунту Google Play, видел окно, визуально напоминающее предыдущие. Однако кнопка «Подтвердить» была заменена кнопкой «Подписаться».
3. Нажав на нее, пользователь оформлял подписку стоимостью 5,49 евро в неделю. Платеж списывался с карты автоматически до момента отмены подписки.

Уязвимости

Уязвимости в мессенджере Telegram позволяют получить доступ в приватные чаты и редактировать чужие публикации в Telegraph:

Особенности мессенджера WhatsApp могут поставить под угрозу конфиденциальность пользователей.

Квалифицированный пользователь может получить доступ к большим объемам данных из публичных групп WhatsApp с помощью маломощного сервера, мобильного телефона, на котором установлен мессенджер, и нескольких скриптов и приложений.

Уязвимости в электроэнцефалографах Natus Xltek могут привести к удаленному выполнению кода, а также отказу в обслуживании.

Из-за ошибок во встроенном ПО специально созданный сетевой пакет может вызвать переполнение буфера и выполнение произвольного вредоносного кода. Злоумышленники могут изменять показания приборов и получить доступ к данным о состоянии здоровья пациентов.