Rose debug info
---------------

Антифишинг-дайджест №96 c 23 по 29 ноября 2018 года

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 23 по 29 ноября 2018 года.


Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Троян-кликер распространяется, маскируясь под программу DynDNS.

Злоумышленник создал сайт dnsip.ru, с которого под видом полезной программы загружался:

архив ? setup.exe (загрузчик) ? Setup100.arj

  1. Setup100.arj, несмотря на говорящее название, был не ARJ-архивом, а исполняемым MZPE-файлом, в котором вирусописатель изменил три значения. Таким образом файл не распознавался в качестве MZPE автоматизированными средствами анализа и другими приложениями.
  2. После запуска загрузчик отключает Windows Defender и запрещает его запуск в реестре.
  3. В папку System32 помещаются легитимные утилиты Instsrv.exe, Srvany.exe и Dnshost.exe, а также исполняемый файл вредоноса Yandexservice.exe
  4. Модуль вредоноса регистрируется в качестве службы Windows и устанавливается его автоматический запуск при старте системы
  5. Загружается и устанавливается настоящее приложение DynDNS.

Обнаружена фишинговая кампания против пользователей музыкального сервиса Spotify.

«Классический» фишинг:

  1. Злоумышленники рассылали жертвам электронные письма со ссылками на вредоносный сайт.
  2. На сайте отображалась форма для введения логина и пароля, идентичная настоящей странице авторизации Spotify.
  3. После заполнения формы пользователем учетные данные попадали к мошенникам.

Группировка ScamClub показала пользователям более 300 млн вредоносных баннеров за два дня.

  1. Злоумышленники внедряли вредоносный скрипт в рекламные объявления, которые затем размещали в небольших рекламных агентствах.
  2. Объявления показывались пользователям устройств Apple.
  3. Скрипт автоматически переводил пользователей на фишинговые сайты hipstarclub(.)com и luckstarclub(.)com, где им демонстрировался порнографический контент и предлагалось выполнить за деньги простые тесты.
  4. После прохождения тестов жертве предлагалось ввести персональные данные, сбор которых и был настоящей целью преступников.

Любой зарегистрированный пользователь сайта Почтовой службы США мог просмотреть данные 60 миллионов человек.

  1. Ошибка была связана с работой API для взаимодействия с сервисом Informed Visibility, который позволяет отслеживать отправления в реальном времени.
  2. В результате любой залогиненный пользователь usps.com мог просматривать информацию о других пользователях, включая их имена, user ID, email-адреса, номера аккаунтов, телефонные номера, почтовые адреса и так далее.
  3. Еще уязвимость позволяла любому пользователю изменить чужой email, телефонный номер и другие ключевые детали.

Атаки, уязвимости и утечки

С помощью замены сим-карты злоумышленник похитил один миллион долларов США в цифровой валюте у жителя Сан-Франциско.

  1. Для проведения атаки преступник позвонил в службу поддержки сотового оператора и попросил перевести номер на другое устройство.
  2. Несмотря на то, что жертва, лишившаяся связи, быстро восстановила номер, киберпреступник успел воспользоваться двухфакторной аутентификацией и вывести по 500 тысяч долларов США со счетов жертвы на биржах Coinbase и Gemini.

Московская канатная дорога остановила свою работу из-за кибератаки.

Вредонос-вымогатель проник на управляющий сервер компании-оператора канатки и зашифровал файлы, обеспечивающие работу системы.

«Умные» устройства

«Умные» лампочки Magic Blue позволяют злоумышленникам похитить данные с управляющего устройства, передавая их с помощью светового сигнала.

  1. Лампочки используют для обмена с управляющим устройством Bluetooth, причём протокол обмена не защищён.
  2. Собрав сведения о командах управления цветом и яркостью лампочек, злоумышленники могут реализовать вредоносную программу, которая похитит данные с заражённого устройства, а затем передаст их злоумышленнику с помощью мигания лампочек:

Мобильная безопасность

Android-приложения от китайских разработчиков незаконно получали вознаграждение за рекламу и продвижение новых приложений.

  1. Разработчики рекламируют в мобильных приложениях другие приложения и получают за это реферальное вознаграждение.
  2. Чтобы узнать, какая рекомендация сработала и какое приложение должно получить вознаграждение, сразу же после первого открытия новое приложение определяет, откуда был сделан последний клик.
  3. Приложения от Cheetah Mobile и Kika Tech запрашивают разрешение пользователей на отслеживание новых загружаемых приложений и использовали эти данные для перехвата кликов и незаконного получения вознаграждения за рекламу.

Сумма ущерба от мошеннических действий компаний оценивается в миллионы долларов.

О компании «Антифишинг»

Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Поделиться
Отправить
Запинить
 140   2018   дайджест   фишинг