Представляем новости об актуальных технологиях фишинга и других атаках на человека c 19 по 25 июля 2019 года.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мобильная безопасность

Обнаружена новая кибершпионская кампания с использованием мощного Android-вредоноса Monokle.

Momokle — это троян удалённого доступа, который шпионит за жертвой, фиксируя нажатия клавиш, снимая фото и записывая видео. Также вредонос сохраняет историю всех приложений, включая браузеры, соцсети и мессенджеры, отслеживает местоположение пользователя.

Троян может устанавливать доверенные сертификаты, чтобы получить root-доступ к устройству. Большую часть вредоносных действий Monokle выполняет через использование службы специальных возможностей Android (Accessibility Services).

Атака Spearphone позволяет вредоносным приложениям перехватывать голосовые данные с динамиков смартфона без какого-либо разрешения.

Метод использует акселерометр, имеющийся в большинство Android-устройств. Доступ к этому датчику может получить любое приложение, включая программы, не имеющие никаких разрешений.

Атака срабатывает, если жертва активирует режим громкоговорителя или видеозвонка, либо во время прослушивания медиафайлов или взаимодействия с виртуальным помощником на смартфоне.

Вредоносное Android-приложение записывает реверберации с помощью акселерометра и отправляет полученные данные на сервер атакующих.

Вредоносное ПО

Подделки под популярное приложение FaceApp подписывают пользователей на платные сервисы и показывают им рекламу.

Мошенники создают фальшивые сайты, на которых предлагается скачать премиум-версию FaceApp бесплатно. При попытке установить такое приложение появляется множество всплывающих окон.

Невнимательность пользователей приводит к оформлению подписок на платные приложения или рекламу. В качестве «бонуса» жертвы подписываются на получение уведомлений, которые также показывают им рекламу.

Атаки и уязвимости

В VLC Media Player обнаружена критическая уязвимость, которой можно воспользоваться для удаленного выполнения произвольного кода, манипулирования файлами и просмотра конфиденциальной информации.

Атаку можно провести с помощью специально созданного mkv-видеофайла. Для маскировки можно изменить его расширение на .mp4, но VLC все равно воспримет его как файл .mkv и при открытии вызовет соответствующий демультиплексор, в коде которого и была выявлена ошибка.

Уязвимость в Twitter позволяет злоумышленникам создавать твиты с контентом известных сайтов, но на самом деле ведущие на иные ресурсы, в том числе фишинговые или вредоносные.

При публикации ссылки социальная сеть проверяет наличие специальных метатегов в HTML-коде указанной web-страницы. При наличии данных тегов Twitter на основе этой информации создает мультимедийный блок Twitter Cards, содержащий текст, изображения или видео. Злоумышленники могут манипулировать этим механизмом для создания Twitter Cards на основе метаданных другого сайта.

Twitter отображает ссылку на эту страницу, как легитимную страницу логина в Dropbox:

Однако на самом деле это подделанная страница, которая может похитить учётные данные:

Для эксплуатации уязвимости достаточно добавить на вредоносную страницу код, который будет перенаправлять робота Twitter (user agent Twitterbot) на нормальную страницу, а остальным демонстрировать фишинговый контент.

Инциденты

Провайдер облачных услуг iNSYNQ подвергся атаке шифровальщика MegaCortex и уже больше недели не может вернуться к нормальной работе.

iNSYNQ — авторизованный хостинг Microsoft, Intuit и Sage, который предоставляет своим клиентам облачные виртуальные рабочие столы для размещения таких бизнес-приложений, как QuickBooks, Sage, Act & Office.

После заражения сотрудники iNSYNQ были вынуждены немедленно увести в оффлайн свою инфраструктуру, чтобы предотвратить дальнейшее распространение шифровальщика. Но после этого операции по восстановлению данных, включая переустановку и восстановление из резервных копий тысяч серверов, заняли около шести дней.

Опубликован список из 2500 учетных данных пользователей Discord, добытый в ходе фишинговых кампаний.

В комментарии к публикации хакеры утверждают, что «Не было никакого вируса, червя или другой вредоносной программы. Был всего лишь старый добрый фишинговый сайт, который использовал идиотский API Discord для перехвата аккаунтов».

Часть опубликованных учетных данных помечена как недействительная, но большая часть логинов и паролей актуальны и принадлежат действующим аккаунтам.

Анонимный злоумышленник похитил личные данные 5 миллионов граждан Болгарии и разослал эту информацию местным СМИ.

На официальном сайте Налогового управления Болгарии, ставшего источником утечки, опубликовано официальное заявление об инциденте, в котором указано, что ведомство проводит расследование случившегося совместно с представителями Министерства внутренних дел и Государственного агентства национальной безопасности.

Похищенные данные содержат имена, личные идентификационные номера, домашние адреса и информацию о доходах граждан. Злоумышленник утверждает, что похитил 110 баз данных общим объёмом около 21 Гб. Пока взломщик поделился с местными СМИ только 57 базами объёмом 11 Гб, но пообещал опубликовать остальные в ближайшее время.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 12 по 18 июля 2019 года.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мобильная безопасность

Из Google Play удалили приложение MobonoGram 2019, которое представлялось неофициальным клиентом мессенджера Telegram.

На деле программа скрытно запускала несколько процессов, а также открывала множество вредоносных веб-сайтов:

Попав на смартфон, приложение ожидает одного из трех событий — загрузки устройства, установки или обновления какого-либо приложения, — после чего инициирует пять фоновых процессов. Если какой-либо из них принудительно завершает пользователь или система, через два часа он запускается вновь.

1. Приложение обращается к командному серверу и получает от него JSON-файл, содержащий URL сайта, строку с переменной User-Agent и три JavaScript-сценария.
2. Пытается открыть целевой веб-ресурс, используя заданные параметры заголовка, и выполняет это действие в бесконечном цикле, отправляя запросы сам на себя.
3. Предположительно, скрипты предназначены для кликов по рекламным баннерам, а цель авторов приложения — получение дохода от криминальных партнерских схем.

В Google Play обнаружен вредонос, который позволял дистанционно управлять инфицированными Android-устройствами и следить за пользователями.

Программа распространялась под видом приложения OpenGL Plugin, якобы предназначенного для проверки версии графического интерфейса OpenGL ES и загрузки его обновлений:

При запуске приложение запрашивает доступ к нескольким важным системным разрешениям, которые позволят ему собирать конфиденциальную информацию и работать с файловой системой. Кроме того, пытается получить допуск к показу экранных форм поверх интерфейса других программ.

Основной вредоносный функционал трояна позволяет выполнять следующие действия:

• передать на сервер информацию о контактах из телефонной книги, SMS,
  телефонных вызовах и местоположении устройства;
• загрузить и запустить apk- или dex-файл с использованием класса DexClassLoader;
• передать на сервер сведения об установленных программах;
• скачать и запустить исполняемый файл;
• загрузить файл с сервера;
• отправить заданный файл на сервер;
• передать на сервер информацию о файлах в заданном каталоге или о файлах на карте памяти;
• выполнить shell-команду;
• загрузить и установить Android-приложение;
• показать уведомление, заданное в команде;
• запросить заданное в команде разрешение;
• передать на сервер список разрешений, предоставленных троянцу;
• не позволять устройству переходить в спящий режим в течение заданного времени.

Злоумышленники могут подменить медиафайлы, сохранённые WhatsApp и Telegram через уязвимость в Android-клиентах, что позволяет подставить свои реквизиты в чужие финансовые документы или подделать голосовые сообщения.

Проблема — в излишних правах доступа к файлам во внешней памяти Android-устройств (external storage). В отличие от данных во внутреннем хранилище (internal storage), к этому содержимому могут обращаться сторонние приложения. Более того, они способны модифицировать и подменять полученные файлы еще до того, как их увидит пользователь.

Уязвимость WhatsApp связана с тем, что он автоматически помещает полученные файлы во внешнюю память, Telegram же отправляет содержимое в общий доступ, если включена функция сохранения в Галерею:

Пользователи без сомнений выдают разрешение на запись во внешнее хранилище, поскольку такие права запрашивает каждое второе приложение в Google Play.

Пример с подменой файла, например, счета на оплату:

Подмена голосового сообщения:

Чтобы защититься от подобных атак, эксперты рекомендуют отключить хранение медиа-файлов во внешнем хранилище в настройках WhatsApp:

Настройки -> Чаты -> Видимость медиа

и Telegram:

Настройки -> Настройки чата -> Сохранять в галерею

Продемонстрирован новый метод атаки, с помощью которого вредоносное приложение, установленное на iOS-устройстве, может получить доступ к важной информации в другом приложении, эксплуатируя реализации пользовательских схем URL.

Атака основана на том, что в iOS используется специальная песочница, которая не позволяет установленным приложениям получать друг у друга данные, Apple позволяет программам обмениваться ограниченным набором данных с помощью URL-схем типа facetime:, whatsapp:, fb-messenger://. В результате если пользователь в окне браузера нажмёт на ссылку «Связаться с нами по Whatspp», запустится мессенджер, в который будет передана информация о номере телефона:

Проблема состоит в том, что iOS позволяет нескольким приложениям привязывать одну схему URL. В результате схему example:// могут использовать два разных приложения, что позволяет вредоносу вклиниться в процесс обмена между легитимными приложениями и перехватить учётные данные.

Android-вредонос Agent Smith устанавливает на скомпрометированное устройство приложения для демонстрации нежелательной рекламы.

1. Установщик попадает на целевое устройство под видом графического редактора, игры или порнографического приложения из репозитория 9App.
2. После распаковки дроппер загружает основной модуль, замаскированный под Google Update или другое легитимное приложение, а затем скрывает свой значок.
3. Agent Smith сканирует смартфон в поисках приложений, для которых у нападающих есть дистрибутивы с полезной нагрузкой.
4. Обнаружив их, Agent Smith связывается с командным сервером и загружает на устройство фальшивые обновления.

Чтобы обойти системы безопасности, злоумышленники используют уязвимость Janus, позволяющую внедрить сторонний скрипт в APK с действительным сертификатом безопасности. Баг известен с 2017 года, однако некоторые смартфоны все еще не получили патч.

Чаще всего зловред встречается на устройствах под управлением Android 5.0 — 40% заражений приходится на пользователей этой ОС. Еще 34% составляют владельцы телефонов с релизом 6.0, а версия 8.0 фигурирует лишь в 9% инцидентов.

Атаки и уязвимости

В мобильном приложении Instagram обнаружена уязвимость, которая позволяла сбросить пароль для любой учетной записи Instagram и получить полный контроль над ней.

1. В Instagram для сброса пароля пользователи должны в течение 10 минут ввести шестизначный код, отправленный на номер мобильного телефона или адрес электронной почты, привязанный к учётной записи.
2. С помощью атаки методом перебора можно разблокировать любую учетную запись в Instagram, использовав одну из миллиона возможных комбинаций.
3. Для предотвращения таких атак включено ограничение по скорости перебора, но, если отправлять запросы с разных IP-адресов, это ограничение не работает.
4. Злоумышленнику требуется около 5 тысяч IP-адресов для взлома одной учетной записи.
   При этом если использовать облачные сервисы Amazon или Google, атака становится технически осуществимой и обойдется примерно в 150 долларов США.

Атака CTRL-ALT-LED позволяет извлечь данные с компьютеров, физически изолированных от любых сетей и потенциально опасной периферии с помощью светодиодов Caps Lock, Num Lock и Scroll Lock.

Правда, перед атакой целевую систему нужно каким-то образом заразить вредоносной программой.

1. Вредонос заставляет светодиоды USB-клавиатур мигать на высоких скоростях, используя собственный протокол передачи данных.
2. Злоумышленники могут записать это мигание и затем расшифровать данные.
3. Мигание можно запланировать на определенное время дня или ночи, когда пользователей нет рядом, и никто не заметит подозрительной активности.

В зависимости от обстоятельств, атакующие могут использовать для записи мигания камеру смартфона или умных часов, камеры видеонаблюдения. Также запись может произвести кто-то из подкупленного обслуживающего персонала.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 5 по 11 июля 2019 года.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Атаки и уязвимости

В конференц-платформе Zoom для Mac обнаружена уязвимость, которая позволяет любому сайту инициировать видеовызов, удалённо подсматривать за пользователем и даже выполнить произвольный код.

Злоумышленнику достаточно:

1. создать ссылку-приглашение в своей учетной записи Zoom;
2. встроить ее на любой сайт в виде изображения или iFrame, после чего
3. заманить пользователя на этот сайт.

Если у жертвы установлен Zoom, при посещении такого сайта приложение принудительно запустится на компьютере и активирует web-камеру.

Проблема связана с одной из функций в Zoom, которая автоматически активирует приложение, позволяя участникам присоединиться к видеоконференции, кликнув на приглашение в браузере.

Деинсталляция Zoom не решает проблему, поскольку web-сервер автоматически переустановит приложение без участия и разрешения пользователя.

В USB-донглах Logitech, которые используются беспроводными клавиатурами, мышками и кликерами для управления презентациями, обнаружены уязвимости, которые позволяют злоумышленникам анализировать трафик клавиатуры, внедрять нажатия клавиш даже в донглах, не подключенных к беспроводной клавиатуре и перехватывать управление компьютером.

Эксплуатация уязвимости CVE-2019-13052 позволяет злоумышленнику восстановить ключ шифрования трафика между донглом Unifying и устройством Logitech. С помощью украденного ключа он может незаметно для пользователя внедрять произвольные нажатия клавиш и удаленно перехватывать ввод с клавиатуры.

Используя уязвимость CVE-2019-13053, атакующий с физическим доступом к устройству может вмешаться в зашифрованный поток данных между USB-приемником и устройством Logitech даже без наличия ключа шифрования. Атака на кликеры для презентаций не требует физического доступа, поскольку определить радио трафик можно по времени нажатия кнопки на устройстве.

Проблемы затрагивают все USB-приемники Logitech, использующие радиотехнологию Unifying для связи с беспроводными устройствами. Logitech сообщила, что не планирует выпускать исправление для этих уязвимостей.

Недоработки в сценариях обработки переводов между физическими лицами в некоторых банкоматах позволяют провести мошенничество с отменой транзакции.

Атака происходит так:

1. Мошенник выбирает в банкомате перевод на карту другого человека, указывает номер карты и сумму.
2. Банк отправляет запросы на авторизацию операции в банк-отправитель и банк-получатель.
3. Получив одобрение, банк выполняет перевод средств. При этом отправляемая сумма отображается на карте получателя и блокируется, но не списывается с карты отправителя.
4. Банкомат запрашивает у отправителя согласие на списание комиссии.
5. В это время получатель снимает деньги с карты.
6. Отправитель отказывается от списания комиссии, блокировка отправляемой суммы снимается.
7. В банк-получатель направляется запрос на возврат средств, но они уже сняты со счёта.

Инциденты

Учетные данные 450 тысяч пользователей интернет-магазина Ozon оказались в открытом доступе.

Проверка части электронных адресов выявила их актуальность, однако содержащиеся в базе пароли уже не действительны. Предположительно утечка могла произойти около полугода назад, а база была сформирована из двух других баз, которые в ноябре 2018 года были замечены на одном из хакерских форумов.

Сайты, почта и мессенджеры

Шпионский троян Astaroth распространяется через фишинговые письма и использует инструменты атакуемой системы для маскировки от средств безопасности.

Обнаружить вредонос могут только продвинутые антивирусные средства, заточенные под такой класс ПО.

1. Первоначальное проникновение происходит через письмо с вредоносным URL.
2. Ссылка в письме вела на ZIP-архив, замаскированный под HTML-страницу.
3. Внутри находился LNK-ярлык, при открытии которого запускается системная утилита WMIC. Она позволяет вызывать соответствующие инструменты прямо из командной строки, при этом все выполняемые сценарии абсолютно легитимны.
4. Консольная утилита начинает работу с включенным параметром /Format, что позволяет ей скачивать и запускать JavaScript-код. Именно это и происходит на следующем этапе, когда на компьютер последовательно загружаются несколько файлов с обфусцированным содержимым.
5. Эти компоненты запускают легитимные утилиты, которые скачивают и приводят в рабочее состояние полезную нагрузку — DLL-библиотеки в открытом и зашифрованном виде. Одна из них встраивает Astaroth в процесс Userinit, который обеспечивает авторизацию пользователя при запуске системы и даёт трояну возможность закрепиться на машине.

Мобильная безопасность

Более тысячи Android-приложений шпионят за пользователями вопреки установленным для них запретам.

В числе передаваемых данных — IMEI телефона, MAC-адреса маршрутизаторов, сведения о Wi-Fi-сетях, геолокация и многое другое.

В число приложений-шпионов входят популярные программы от Samsung и Disney, загруженные сотни миллионов раз. Все они используют программные библиотеки, разработанные компаниями Baidu и Salmonads. Эти библиотеки позволяют передавать пользовательские данные из одного приложения в другое, сохраняя их в памяти телефона.

Новая версия Android-трояна BianLian записывать экран устройства, чтобы выкрасть учетные данные пользователей систем онлайн-банкинга.

1. В процессе установки BianLian пытается получить разрешение на использование функций для людей с ограниченными возможностями (Accessibility Services).
2. Как только пользователь предоставит ему доступ, начинается атака, в ходе которой вредонос записывает окна финансовых приложений, используя скринкаст-модуль.
3. В результате процесс ввода имени пользователя, пароля, а также данных платежных карт записывается и передается в руки злоумышленников.

Программа-шпиона FinSpy следит за всеми действиями пользователя на мобильном устройстве и собирает информацию из мессенджеров, использующих шифрование — Telegram, WhatsApp, Signal и Threema. Версия для iOS умеет скрывать следы джейлбрейка, а Android-вредонос содержит эксплойт для получения прав суперпользователя на устройстве.

Для установки вредоносного ПО необходим физический доступ к устройству либо возможность заражения через SMS, электронное письмо или push-уведомление, если устройство было подвергнуто джейлбрейку или используется устаревшая версия Android.

FinSpy активно применяется в целевом шпионаже, поскольку атакующий может отслеживать всю работу устройства. Злоумышленник получает доступ к контактам, электронным письмам, SMS, записям из календарей, данным GPS, фотографиям, сохраненным файлам, записям голосовых звонков и данным из мессенджеров.

Вредоносное ПО

Бэкдор GoBot2/GoBotKR атакует пользователей южнокорейских и китайских торрент-сайтов, распространяясь под видом пиратских версий фильмов, игр и сериалов.

Атакующие добавляют скомпрометированную машину в ботнет, который затем используется для DDoS-атак различного типа (SYN Flood, UDP Flood или Slowloris). Вредоносная кампания направлена преимущественно на жителей Южной Кореи (80% всех заражений бэкдором), Китая (10%) и Тайваня (5%).

Заражение GoBotKR происходит следующим образом:

1. Пользователь скачивает торрент-файл, после чего видит набор безобидных программ и расширений, включая файлы с расширениями PMA (на деле это переименованный EXE-файл), MP4 и LNK.
2. Бэкдор запускается после открытия LNK-файла.
3. После установки GoBotKR в фоновом режиме начинается сбор системной информации: данные о конфигурации сети, операционной системе, процессоре и установленных антивирусных программах. Собранная информация отправляется на командный сервер, расположенный в Южной Корее.
4. Бэкдор может выполнять различные команды, среди которых раздача торрентов через BitTorrent и uTorrent, организация DDoS-атак, изменение фона рабочего стола, копирование бэкдора в папки облачных хранилищ Dropbox, OneDrive, Google Drive или на съемный носитель, запуск прокси- или HTTP-сервера, изменение настроек брандмауэра, включение или отключение диспетчера задач.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.