Представляем новости об актуальных технологиях фишинга и других атаках на человека c 13 по 19 апреля 2018 года.

Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Почта, сайты и мессенджеры

Криптоинвестора и блогера Яна Балина взломали во время онлайн-трансляции.

1. Блогер хранил все пароли в блокноте Evernote, а основной е-мейл был связан со старым, заброшенным ещё во времена учёбы в колледже адресом.
2. Используя старый адрес, злоумышленники сбросили пароль на его основном почтовом ящике.
3. Через почтовый ящик они получили доступ к Evernote и вытащили оттуда учётные данные всех счетов и криптокошельков блогера.

Итогом стало хищение криптовалюты на сумму в два миллиона долларов США.

Уязвимости

Механизм синхронизации iOS-устройств через iTunes и Wi-Fi содержит уязвимость Trustjacking.

1. Эксплуатируя уязвимость, злоумышленник может завладеть ключами шифрования, которые используются для аутентификации при Wi-Fi-синхронизации и обманом заставить жертву «спарить» свой смартфон с вредоносным устройством.
2. iTunes API позволяет следить за всем, что происходит на экране устройства, делать скриншоты через заданные промежутки времени и передавать их в iTunes преступника.
3. Кроме того, можно удаленно установить или удалить приложения, создать резервную копию, чтобы позже внимательно изучить собранные данные.

Злоумышленники используют уязвимость сервера CMS Drupal для установки бэкдоров и майнеров криптовалюты.

Уязвимость CVE-2018-7600 получила название Drupalgeddon2 и позволяет атакующему выполнить произвольный код, полностью скомпрометировав уязвимый сайт. Для этого злоумышленнику достаточно обратиться к определенному URL-адресу.

Вредоносное ПО

Троян Quant Loader использует для распространения спам-кампанию, крадёт пароли и загружает вредоносы-вымогатели.

1. Письма содержат архив с файлом .url внутри.
2. Адресатов обманным образом вынуждают открывать ссылку, делая ее название схожим с платежными квитанциями.
3. При запуске ссылки скачивается скрипт, который устанавливает Quant Loader.

Малварь Android.Click маскировалась под известные приложения и использовала технологию Wap-Click для несанкционированной подписки пользователей на платные услуги.

1. После запуска вредоносная программа соединялась с управляющим сервером злоумышленников и ожидала от него задания. В зависимости от IP-адреса зараженного устройства троян получал ссылку на определенный сайт, который нужно было загрузить.
2. Если мобильное устройство было подключено к интернету через Wi-Fi, пользователю предлагали установить интересующее его приложение, нажав на соответствующую кнопку.
   
3. Для загрузки файла у пользователя запрашивали номер мобильного телефона для «авторизации» или «подтверждения».
4. После ввода номера пользователю отправлялся проверочный код, который необходимо было указать на сайте для завершения «загрузки». Однако никаких программ после этого жертва не получала, вместо этого ее подписывали на платную услугу.

Если жертва использовала мобильные интернет, ее автоматически подписывали на премиум-услугу с помощью технологии Wap-Click. При её использовании доступ к платным сервисам предоставляется без предварительного ввода номера телефона и кодов подтверждения из SMS.

Вредоносный Powershell-скрипт заразил компьютеры 50 тысяч игроков в Minecraft и использовал для распространения файлы скинов в формате PNG.

Скины — популярная функция в игре, с помощью которой игроки могут модифицировать свой аватар. Minecraft предоставляет игрокам скины по умолчанию, однако желающие также могут загрузить их на сайт игры с посторонних online-ресурсов. Разработчик игры в настоящее время работает над устранением уязвимости в механизме загрузки скинов.

Новая версия шифровальщика XiaoBa превратилась из шифровальщика в криптовалютный майнер.

Из-за ошибок в коде вредонос стал более опасным, чем шифровальщик, поскольку необратимо портит пользовательские файлы, внедряя в них свои копии по нескольку раз. При этом XiaoBa не делает исключений для системных папок, повреждая файлы операционной системы, так что она становится неработоспособной.

ЦБ РФ предупреждает о фишинговых атаках на банки с вредоносным вложением в виде шпионской программы Dimnie.

Если пользователь откроет вредоносное вложение, Dimnie загружает дополнительные модули и начинает сбор учётных данных жертвы от различных сервисов и программ, в числе которых пароли от социальных сетей и параметры криптовалютных кошельков. Кроме того, Dimnie содержит функции кейлоггера.

Программа для антистресс-рисования Relieve Stress Paint содержит опасный троян и распространяется через фальшивый домен AOL.net.

После установки программа выполняет все заявленные функции: позволяет рисовать, меняя цвет и толщину линии при каждом клике. При этом в фоновом режиме троян добавляет себя в автозагрузку и запускает модуль для кражи учётных данных профиля Facebook.

Домен составлен с помощью Unicode-символов и выглядит в браузере как AOL.net, его название в Punycode выглядит как: xn—80a2a18a.net

Атаки в реальном мире

Атака PowerHammer использует обычные кабели питания для извлечения данных с физически изолированного компьютера.

1. Для работы PowerHammer целевой компьютер нужно заразить вредоносным ПО, которое регулирует уровень «занятости» процессора, выбирая самые ненагруженные ядра.
2. Изменяя уровень энергопотребления ПК жертвы, вредонос может передавать информацию. Нулями и единицами при этом служат скачки потребления электричества.
3. Считывать переданные таким образом можно с помощью кондуктивного излучения («наведенных помех») или измерения колебаний питания.

Злоумышленники взломали «умный» термометр в аквариуме казино и похитили информацию из базы данных.

«Умный» термометр использовался для контроля температуры воды в аквариуме в холле казино. Используя уязвимость в термометре, преступники получили доступ к сети казино, нашли базу данных, содержащую сведения о самых активных игроках, и выгрузили её содержимое на облачный диск.