Представляем новости об актуальных технологиях фишинга и других атаках на человека c 7 по 13 декабря 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мобильная безопасность

Из каталога Google Play удалили 22 вредоносных приложения, которые занимались скликиванием рекламы в фоновом режиме.

1. Приложения маскировались под игры, фонарики и различные полезные утилиты.
2. Вредоносы добавляли себя в автозагрузку, а если пользователь завершал их работу, через три минуты снова запускались
3. Рекламный контент открывался в невидимом окне браузера размером 0х0 пикселей.
4. Вредоносы редактировали данные User-Agent, представляясь пользователями iOS, поскольку рекламодатели больше платят за их клики, считая более платёжеспособными.

Новый троян для Android маскируется под приложение для оптимизации батареи и похищает деньги с аккаунтов PayPal.

1. Во время установки вредонос запрашивает права на использование специальных возможностей, чтобы автоматически имитировать нажатия и другие действия пользователя.
2. Троян ждёт, когда пользователь запустит официальное приложение PayPal и войдёт в него.
3. Троян активизируется и имитирует нажатия пользователя с помощью специальных возможностей, создавая новый перевод денег на свой счёт.
4. Процесс занимает не более пяти секунд, так что пользователь не имеет шансов помешать происходящему:

Атака PowerSnitch позволяет взломать смартфон и скопировать с него данные, анализируя ток, потребляемый устройством во время зарядки от внешнего аккумулятора.

1. Во внешний аккумулятор встраивается специальный декодер, который может преобразовывать электрические сигналы в двоичный код через GNURadio — программный инструмент с открытым кодом для разработки программно определяемого радио (SDR).
2. На смартфоне злоумышленник должен установить специальное вредоносное приложение, которое может включать и выключать экран, либо загружать процессор энергоёмкими вычислениями, вызывая всплески энергопотребления.
3. Декодер во внешнем аккумуляторе анализирует эти всплески и формирует из них поток байтов, позволяя передать похищенную из устройства конфиденциальную информацию.
4. Скорость передачи информации составляет около 2 байт в секунду.
5. Избежать атаки можно только выключив телефон во время зарядки.

Сайты, почта и мессенджеры

Злоумышленники используют для распространения вредоносного ПО сексуальный шантаж.

1. Жертва получает письмо.
2. В письме утверждается, что в распоряжении злоумышленников имеется видеозапись того, как жертва посещала порносайты, либо что у преступников имеются свидетельства хранения на компьютере нелегальной порнографии.
3. Для убедительности в письме могут быть пароли жертвы, полученные из различных утечек прошлых лет.
4. Жертве предлагается заплатить выкуп в биткоинах или другой криптовалюте.
5. К письму прикладывается ссылка на ZIP-архив, в котором якобы содержится компромат на пользователя.
6. В архиве содержится вредонос AZORult, который крадёт с компьютера пользователя аккаунты, куки, логи, а затем заражает его шифровальщиком GandCrab.

Злоумышленники используют события Facebook и публикации в Группах Google для распространения вредоносного контента.

В Facebook создаётся учётная запись пользователя. От имени этой учётной записи создаются сотни различных событий. В описании событий указаны ссылки якобы на пиратские игры и программы:

Ссылки ведут на сайты со сгенерированным пользователями контентом, где под видом краков на игры пользователь загрузит архив с вредоносным ПО.

Вредоносное ПО

Киберпреступники атакуют маршрутизаторы с помощью нового набора эксплойтов Novidade.

Распространение эксплойтов происходит через вредоносную рекламу, скомпрометированные сайты и мессенджеры:

Эксплуатируя уязвимость CSRF, Novidade изменяет настройки DNS атакованных маршрутизаторов, перенаправляя трафик на IP-адрес, контролируемый злоумышленниками.

Вредонос DarthMiner для macOS изображает из себя взломщика для программ Adobe, но вместо взлома устанавливает на компьютер майнер криптовалюты.

1. DarthMiner попадает на компьютер под видом пиратской утилиты Adobe Zii.
2. Получив управление, вредонос загружает и запускает обфусцированный скрипт на Python и одну из версий Adobe Zii.
3. Скрипт ищет на компьютере брандмауэр Little Snitch, а обнаружив, завершает его.
4. Скрипт соединяется с управляющим сервером бэкдора EmPyre, добавляется в автозагрузку и устанавливает на компьютер майнер XMRig.

Атаки, уязвимости и утечки

Обнаружена база данных MongoDB, которая содержит сведения о более чем 66 млн пользователей LinkedIn.

Любой желающий мог получить доступ к имени, электронной почте, телефону, адресу, спискам профессиональных навыков и мест работы, а в некоторых случаях — и к IP-адресу человека.

Хотя база была собрана из открытых данных и не содержит паролей и номеров банковских карт, информация из неё может быть использована для проведения фишинговых и целевых атак.

Из-за ошибки в Google+ People API личные данные 52,5 млн человек были доступны для кого угодно.

Ошибка присутствовала в коде соцсети всего 6 дней и давала приложениям, разработанным с использованием API, доступ к любой информации в профилях пользователей, включая непубличные профили.

В числе сведений — имя, е-мейл, возраст, дата рождения, род занятий и многое другое. Пароли и номера банковских карт в список сведений для утечки не попали.