Представляем новости об актуальных технологиях фишинга и других атаках на человека c 23 по 29 ноября 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Троян-кликер распространяется, маскируясь под программу DynDNS.

Злоумышленник создал сайт dnsip.ru, с которого под видом полезной программы загружался:

архив ? setup.exe (загрузчик) ? Setup100.arj

1. Setup100.arj, несмотря на говорящее название, был не ARJ-архивом, а исполняемым MZPE-файлом, в котором вирусописатель изменил три значения. Таким образом файл не распознавался в качестве MZPE автоматизированными средствами анализа и другими приложениями.
2. После запуска загрузчик отключает Windows Defender и запрещает его запуск в реестре.
3. В папку System32 помещаются легитимные утилиты Instsrv.exe, Srvany.exe и Dnshost.exe, а также исполняемый файл вредоноса Yandexservice.exe
4. Модуль вредоноса регистрируется в качестве службы Windows и устанавливается его автоматический запуск при старте системы
5. Загружается и устанавливается настоящее приложение DynDNS.

Обнаружена фишинговая кампания против пользователей музыкального сервиса Spotify.

«Классический» фишинг:

1. Злоумышленники рассылали жертвам электронные письма со ссылками на вредоносный сайт.
2. На сайте отображалась форма для введения логина и пароля, идентичная настоящей странице авторизации Spotify.
3. После заполнения формы пользователем учетные данные попадали к мошенникам.

Группировка ScamClub показала пользователям более 300 млн вредоносных баннеров за два дня.

1. Злоумышленники внедряли вредоносный скрипт в рекламные объявления, которые затем размещали в небольших рекламных агентствах.
2. Объявления показывались пользователям устройств Apple.
3. Скрипт автоматически переводил пользователей на фишинговые сайты hipstarclub(.)com и luckstarclub(.)com, где им демонстрировался порнографический контент и предлагалось выполнить за деньги простые тесты.
4. После прохождения тестов жертве предлагалось ввести персональные данные, сбор которых и был настоящей целью преступников.

Любой зарегистрированный пользователь сайта Почтовой службы США мог просмотреть данные 60 миллионов человек.

1. Ошибка была связана с работой API для взаимодействия с сервисом Informed Visibility, который позволяет отслеживать отправления в реальном времени.
2. В результате любой залогиненный пользователь usps.com мог просматривать информацию о других пользователях, включая их имена, user ID, email-адреса, номера аккаунтов, телефонные номера, почтовые адреса и так далее.
3. Еще уязвимость позволяла любому пользователю изменить чужой email, телефонный номер и другие ключевые детали.

Атаки, уязвимости и утечки

С помощью замены сим-карты злоумышленник похитил один миллион долларов США в цифровой валюте у жителя Сан-Франциско.

1. Для проведения атаки преступник позвонил в службу поддержки сотового оператора и попросил перевести номер на другое устройство.
2. Несмотря на то, что жертва, лишившаяся связи, быстро восстановила номер, киберпреступник успел воспользоваться двухфакторной аутентификацией и вывести по 500 тысяч долларов США со счетов жертвы на биржах Coinbase и Gemini.

Московская канатная дорога остановила свою работу из-за кибератаки.

Вредонос-вымогатель проник на управляющий сервер компании-оператора канатки и зашифровал файлы, обеспечивающие работу системы.

• 28 ноября преступники прислали в центральный офис компании «Московские канатные дороги» сообщение с требованием выкупа в биткоинах. Размер выкупа пока не сообщается.

• 29 ноября руководитель «Московских канатных дорог» Николай Диваков сообщил, что правоохранительные органы установили личность организатора кибератаки.

«Умные» устройства

«Умные» лампочки Magic Blue позволяют злоумышленникам похитить данные с управляющего устройства, передавая их с помощью светового сигнала.

1. Лампочки используют для обмена с управляющим устройством Bluetooth, причём протокол обмена не защищён.
2. Собрав сведения о командах управления цветом и яркостью лампочек, злоумышленники могут реализовать вредоносную программу, которая похитит данные с заражённого устройства, а затем передаст их злоумышленнику с помощью мигания лампочек:

Мобильная безопасность

Android-приложения от китайских разработчиков незаконно получали вознаграждение за рекламу и продвижение новых приложений.

1. Разработчики рекламируют в мобильных приложениях другие приложения и получают за это реферальное вознаграждение.
2. Чтобы узнать, какая рекомендация сработала и какое приложение должно получить вознаграждение, сразу же после первого открытия новое приложение определяет, откуда был сделан последний клик.
3. Приложения от Cheetah Mobile и Kika Tech запрашивают разрешение пользователей на отслеживание новых загружаемых приложений и использовали эти данные для перехвата кликов и незаконного получения вознаграждения за рекламу.

Сумма ущерба от мошеннических действий компаний оценивается в миллионы долларов.