Представляем новости об актуальных технологиях фишинга и других атаках на человека c 28 июня по 4 июля 2019 года.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Социальная сеть Facebook с 2014 года использовалась для распространения троянов удаленного доступа (RAT) .

Жертвами вредоносной кампании десятки тысяч пользователей из Ливии, Европы, США и Китая. Целью кампании было распространение вредоносных программ Houdini, Remcos и SpyNote.

Киберпреступники использовали беспорядки в Ливии в качестве наживки:

1. Создали фальшивую страницу главнокомандующего национальной армией Ливии и привлекли на неё более 11 тысяч подписчиков.
2. Каждая публикация этого аккаунта сопровождалась ссылкой, которая якобы вела на ресурс с информацией о политике Ливии.
3. Если пользователь переходил по этому URL, он попадал на мошенническую страницу, откуда под видом полезных документов загружалось вредоносное ПО для Windows и Android.

Атаки, уязвимости и утечки

Технология Microsoft Excel Power Query может применяться для запуска в системах пользователей вредоносного кода прямо из таблиц Excel.

Используя Power Query, атакующие могут внедрить вредоносный контент в отдельный источник данных, а затем загрузить его в электронную таблицу во время ее открытия. При этом вредоносный код не требует взаимодействия с пользователем и не обнаруживается антивирусными сканерами.

Чтобы обойти запрос разрешения на получение данных от стороннего ресурса в Office 2016, достаточно модифицировать заголовки HTTP-запросов. По содержимому поля Referer вредоносный сервер различит обращения антивирусного сканера и электронной таблицы, а затем передаст в ответ безобидный код или полезную нагрузку.

В открытом доступе обнаружена база данных с конфиденциальными сведениями о  пользователях умных устройств Orvibo. Любой желающий может получить доступ к более чем 2 млрд логов, сформированных IoT-устройствами.

В обнаруженных базах присутствуют:

• адреса электронной почты;
• пароли;
• коды для сброса аккаунта;
• точные координаты устройств;
• IP-адреса;
• имена и идентификаторы пользователей;
• фамилии владельцев оборудования;
• семейные идентификаторы;
• название IoT-приборов;
• данные о других подключенных устройствах;
• календарь пользователя.

Обладая скомпрометированными данными, злоумышленники могут организовать широкий спектр атак, включая проникновение в жилище жертвы. При помощи кода для сброса аккаунта киберпреступники имеют возможность поменять не только пароль, но и электронный адрес пользователя, полностью перехватив управление устройством. Кроме того нападающие могут манипулировать видеокамерами, электронными замками, освещением и розетками.

Мобильная безопасность

В Google Play обнаружена вредоносная игра Scary Granny ZOMBYE Mod: The Horror Game 2019, которая похищает конфиденциальную информацию и показывает нежелательную рекламу.

Приложение начинает вредоносную деятельность через два дня после установки, причём только в случае, если игра установлена на старые версии Android. В этом случае активируется модуль для похищения данных.

Вредонос обеспечивает себе постоянное присутствие на устройстве, запрашивая у пользователей разрешение на выполнение после перезапуска смартфона или планшета. В результате даже после перезагрузки игра может отображать полноэкранные фишинговые уведомления, в которых сообщается о необходимости «обновить сервисы безопасности Google», авторизовавшись в учётной записи Google.

Получив учетные данные, приложение похищает электронные адреса для восстановления аккаунта, телефонные номера, проверочные коды, даты рождения, токены и файлы cookie.

Также Scary Granny отображает рекламу, скрытую от пользователя под видом других приложений (в том числе Amazon, Facebook, Facebook Lite, HaGo, Hulu, Instagram, Messenger, Pinterest, Snapchat, TikTok или Zalo).

Вредоносное ПО

Новый шифровальщик Sodin использует архитектурные особенности процессора для маскировки и распространяется по модели «Вымогатель как услуга».

1. Вредонос распространяется через уязвимости в Oracle WebLogic и MSP-провайдерах.
2. Попав на компьютер, он повышает свои привилегии до максимальных, эксплуатируя уязвимость CVE-2018-8453 в win32k.sys.
3. Для шифрования файлов жертвы Sodin использует гибридную схему: cодержимое файлов шифруется симметричным потоковым алгоритмом Salsa20, а ключи для него — асимметричным алгоритмом на эллиптических кривых.
4. Зашифрованные файлы получают новое произвольное расширение, одинаковое для каждого случая заражения. Рядом с ними сохраняется текст с требованиями, а на рабочий стол устанавливаются сгенерированные зловредом обои.

Китайские таможенники устанавливают на смартфоны туристов, въезжающих в страну, шпионскую программу, которая сканирует устройство на предмет экстремистского контента и передаёт информацию властям.

Телефоны изымаются для проверки, при этом туристов просят разблокировать устройство. Айфоны таможенники подключают к специальному устройству, сканирующему его контент. На Android-смартфоны устанавливается шпионская программа под названием BXAQ или F?ng c?i.

Программа собирает и отправляет на свой сервер контакты, SMS, историю звонков, записи в календаре и логины для некоторых приложений. Устройство сканируется на предмет наличия одного из более чем 73 тысяс файлов, связанных с экстремистским контентом.

Многоплатформенный майнер LoudMiner работает на macOS и Windows и маскируется под различные пиратские приложения для работы со звуком. В качестве приманки могут использоваться программы Ableton Live, Nexus, Reaktor 6, Propellerhead Reason, Virtual Studio Technology и другие.

Использование таких программ в качестве наживки обусловлено тем, что пользователь может долгое время не замечать присутствие майнера: программы для работы со звуком значительно увеличивают нагрузку на процессор, поэтому жертва может не обратить внимания, что на самом деле ее система майнит криптовалюту.

Для майнинга используется виртуальная машина Tiny Core Linux, настроенная для запуска XMRig, а также способная поддерживать связь с C&C-сервером злоумышленников для получения своевременных обновлений и инструкций.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 21 по 27 июня 2019 года.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Организаторы новой фишинговой кампании рассылают письма, замаскированные под уведомления от Google.

1. В письмах от имени Ларри Пейджа сообщается, что получатель выиграл 2,5 млн долларов США за использование сервисов Google.
2. Чтобы получить выигрыш, нужно заполнить pdf-форму, прилагаемую к письму и отправить её злоумышленникам.
3. После отправки формы мошенники требуют данные банковской карты и другую конфиденциальную информацию «для перечисления» выигрыша.

Мошенники с помощью фишинга выманивают учётные данные пользователей платформы Steam, обещая взамен бесплатные ключи активации к играм.

1. Пользователь получает сообщение от друга в Steam с предложением получить бесплатную игру.
2. Сообщение содержит ссылку на фишинговый сайт, сокращённую с помощью сервиса укорачивания ссылок.
3. После перехода по ссылке он попадает на страницу, с которой якобы можно скачать бесплатные игры, выиграв их в рулетку.
4. После запуска игры в рулетку пользователю сообщается, что у него есть 30 минут для запроса бесплатного ключа, но для этого он должен залогиниться через Steam.
5. После того, как пользователь вводит свои данные в форму авторизации, они попадают к киберпреступникам.

Мобильная безопасность

Android-троян Riltok охотится за платежными данными пользователей в России, Франции и других европейских странах, перехватывает информацию через веб-инжекты, скрывает уведомления от банковских приложений и блокирует антивирусные процессы.

1. Операторы Riltok маскируют свой троян под сервисы онлайн-объявлений или поиска авиабилетов, распространяя ссылки на них через SMS.
2. Попав на мобильное устройство, Riltok запрашивает доступ к службе специальных возможностей AccessibilityService — якобы из-за ошибки при установке.
3. Всплывающее окно появляется раз за разом, пока жертва не даст разрешение.
4. Riltok перехватывает контроль над SMS и уходит в скрытый режим.
5. Доступ к AccessibilityService позволяет трояну открывать поддельные окна для кражи персональных данных. Такие формы могут выглядеть как уведомления от Google Play или банковских приложений/ Последние поколения зловреда сразу открывают в браузере фишинговую страницу.
6. Помимо перехвата SMS Riltok способен скрывать уведомления от легитимных приложений и сворачивать антивирусные программы. Полученные платежные данные троян проверяет на отсутствие ошибок по контрольной сумме номера и длине CVC. У зловреда также есть черный список номеров, с которым он сверяется в ходе работы.

В Google Play найдены две программы, содержащие помимо полезной функциональности бэкдор MobOk, которай оформлял платные подписки на номера скачавших приложения пользователей.

1. При первом запуске Pink Camera и Pink Camera 2 требовали предоставить доступ к уведомлениям.
2. Получив управление, бэкдор сначала собирал информацию об устройстве, после чего отправлял ее на сервер киберпреступников.
3. От сервера приходил ответ в виде ссылок, ведущих на страницу оформления подписки.
4. Бэкдор MobOk подставлял номер телефона пользователя в соответствующее поле при оформлении очередной платной подписки.
5. В процессе оформления подписки вредонос мог обойти CAPTCHA или использовать доступ к уведомлениям для подтверждения подписки с помощью кода из SMS.

Приложения Pink Camera и Pink Camera 2 установили более 10 тысяч раз. Программы все же предоставляли пользователю возможность редактировать фотографии, что совместно с присутствием приложений в официальном магазине вводили пользователей в заблуждение, придавая мошенническому ПО легитимный вид.

Обнаружена масштабная фишинговая кампанию против владельцев iPhone и iPad. Злоумышленники внедряют на сайты поддельную рекламу, которая перенаправляет посетителей на страницы, запрашивающие персональные данные.

Редиректы и кражу вводимых в формы данных осуществляет вредоносное ПО — Stegoware-3PC. Мошеннические баннеры, как правило, имитируют сообщения известных ритейлеров с призывами совершать покупки онлайн.

Для маскировки авторы Stegoware-3PC используют стеганографию: вредоносный код содержится в двух последовательно запускаемых png-файлах. Один из них отслеживает искомые действия посетителей на странице, другой совершает ряд проверок, чтобы удостовериться, что потенциальная жертва использует iOS.

В мошенническую схему невольно вовлечены как минимум пять издателей рекламного контента, три вендора специализированных платформ с приоритетом потребления и 11 других поставщиков средств публикации и оптимизации рекламы в Интернете.

Атаки и уязвимости

В macOS обнаружена уязвимость, которая обходит блокировку исполнения стороннего кода утилитой Gatekeeper.

Атака основана на том, что Gatekeeper «считает» внешние носители и сетевые файловые ресурсы безопасными и разрешает запуск без проверки подписи любых приложений с указанных ресурсов.

Эксплуатации уязвимости помогают две особенности macOS:

• autofs и пути “/net/*” — позволяют пользователям автоматически монтировать сетевые файловые ресурсы, начинающиеся с “/net/”. Например, при листинге NFS-ресурса: ls /net/evil-resource.net/shared/.
• zip-архивы могут содержать файлы символических ссылок, которые приводят к автомонтированию при распаковке архива на целевой системе.

Возможный сценарий атаки:

1. Атакующий создает zip-архив с символической ссылкой на контролируемый им ресурс и отправляет жертве.
2. Жертва распаковывает архив, что приводит к монтированию и добавлению в «доверенные» ресурса злоумышленника.
3. На контролируемом ресурсе размещается приложение *.app, которое при стандартных настройках файлового менеджера Files отражается как локальная директория или иной безобидный объект. При этом расширение .app скрыто и полный путь к ресурсу не отображается.

Уже обнаружен вредонос OSX/Linker, который распространяется под видом Adobe Flash Player и использует для атаки неисправленную уязвимость GateKeeper.

Обнаружена и исправлена критическую уязвимость в VLC Media Player, которая позволяла выполнить произвольный код на уязвимой машине.

Проэксплуатировать ошибку можно было через специально модифицированный файл MKV, который провоцировал двойное освобождение памяти и позволял выполнить вредоносный код.

Проблема исправлена в VLC версии 3.0.7. Новая версии медиаплеера также устраняет уязвимость CVE-2019-5439 — переполнение буфера кучи, которое можно было использовать через специально модифицированный файл AVI.

В магазине игр Origin от Electronic Arts обнаружены проблемы безопасности, которые позволяют киберпреступникам перехватить учетные записи игроков и похитить их персональные данные.

Выяснилось, что один из служебных доменов Electronic Arts перенаправлял пользователей на заброшенный поддомен ea-invite-reg.azurewebsites.net внутри облачных сервисов Azure. Это позволяло злоумышленникам создать новый аккаунт в Azure и зарегистрировать ea-invite-reg.azurewebsites.net в качестве нового сервиса, чтобы затем перехватывать запросы с работающего поддомена eaplayinvite.ea.com.

Вредоносное ПО

Шифровальщик Troldesh (он же Shade) атакует российские компании, рассылая вредоносные письма от имени сотрудников крупных авиакомпаний, автодилеров и СМИ. В июне 2019 года зафиксировно более 1100 фишинговых писем, содержащих Troldesh, всего же во втором квартале 2019 года их количество превысило 6 000.

1. Письма, содержащие Troldesh, отправляются якобы с почтовых ящиков авиакомпаний (например, «Полярные авиалинии»), автодилеров («Рольф») и от СМИ (РБК, Новосибирск-online).
2. В тексте писем злоумышленники представляются сотрудниками этих компаний и просят открыть вложенный в письмо запароленный архив, в котором якобы содержатся подробности «заказа».
3. Адреса отправителей всех писем подделаны и не имеют к реальным компаниям никакого отношения.
4. В рассылке задействована довольно масштабная инфраструктура, включающая помимо серверов зараженные IoT-устройства.

Новый вариант вредоносного майнера Bird Miner атакует пользователей macOS, отдающих предпочтение пиратскому софту.

Майнер впервые был обнаружен во взломанном установочном файле программы Ableton Live 10, используемой для создания музыки. Он начинает свою работу сразу после установки. Если программа «Мониторинг системы» на macOS запущена, майнер пытается выгрузить свои процессы, чтобы избежать детектирования в системе.

Новый опасный вирус Silex атакует устройства интернета вещей (IoT) и выводит их из строя, превращая в «кирпич».

Silex добивается своей цели, выполняя ряд деструктивных действий: заполняет память гаджета случайными данными, удаляет сетевые настройки и правила брандмауэра, вводит запрет на все подключения с помощью утилиты iptables, а затем останавливает или перезагружает зараженное устройство. После этого восстановить его можно только перепрошив вручную.

Эксперту Анкиту Анубхаву (Ankit Anubhav) из NewSky Security удалось установить, что автор Silex — 14-летний подросток, использующий псевдоним Light Leafon. Он уже известен NewSky как создатель IoT-ботнета HITO.

По информации издания ZDNet, всего за несколько часов активности малварь вывела из строя более 2000 устройств.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 14 по 20 июня 2019 года.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Новая фишинговая кампания маскируется под уведомления от почтового сервера и позволяет похитить учётные записи Microsoft.

1. Жертва получает письмо с уведомлением о зашифрованном сообщении.
2. После нажатия ссылки «Просмотреть зашифрованное сообщение» пользователь переходит на сайт, имитирующий страницу приветствия OneDrive для Бизнеса, где предлагается открыть письмо.
3. После нажатия кнопки «Open» у пользователя запрашиваются логин и пароль учётной записи Microsoft.
4. Введённые данные отправляются к злоумышленникам, которые могут использовать их для вредоносной деятельности.

Организаторы другой фишинговой кампании, ориентированной на клиентов банков, используют VBS-скрипт для организации удалённого доступа к компьютерам жертв:

1. Письма маскируются под уведомления от банка и содержат вложенный архив с вредоносным сценарием, либо файл в формате MHT, который перенаправляет пользователя на загрузку этого же архива.
2. Если пользователь запустит сценарий из архива, тот связывается с управляющим сервером и загружает три дополнительных файла: клавиатурный шпион и две программы, похищающие пароли от учётных записей электронной почты и данные, сохранённые в браузерах.
3. После загрузки и запуска вредоносы собирают данные и отправляют их киберпреступникам.

Мобильная безопасность

Фишинговые Android-приложения перехватывают одноразовые пароли, чтобы обойти процедуру двухфакторной аутентификации.

Чтобы обойти установленные Google ограничения на получение доступа к SMS и истории звонков, злоумышленники запрашивают разрешение на чтение уведомлений, выводимых другими приложениями:

1. Фишинговые программы маскируются под клиент турецкой криптовалютной биржи BtcTurk.
2. После установки запрашивается доступ к управлению уведомлениями.
3. После получения разрешения отображается фальшивая форма регистрации на BtcTurk.
4. Введенные учетные данные в фоновом режиме отправляются на сервер злоумышленников, а жертве демонстрируется поддельное сообщение об ошибке.
5. Чтобы пользователь не заметил мошеннические транзакции, преступники скрывают входящие уведомления или устанавливают беззвучный режим.
6. Хотя описываемый метод позволяет перехватить только ту информацию, которая помещается в текстовом поле оповещения, во многих случаях этого достаточно для перехвата одноразовых паролей и обхода двухфакторной аутентификации.

В ходе кибершпионской кампании с 660 Android-смартфонов в странах Среднего Востока похищена секретная военная информация.

1. Для хищения использовано вредоносное ПО, которое собирает данные о телефонных звонках, текстовые сообщения, содержимое памяти устройств и другие сведения.
2. Вредонос маскируется под популярные новостные и фитнес-приложения.
3. Сайты, предлагающие скачать приложения, рекламируются в социальных сетях.
4. После того, как пользователь скачает, установит и запустит приложение, оно похитит все данные с устройства и отправляет на командный сервер злоумышленников.

Троян Android.FakeApp загружает в Google Chrome сомнительные сайты, которые подписывают пользователей на рекламные уведомления.

Уведомления напоминают системные и приходят даже если браузер закрыт. Они мешают работе с Android-устройствами и могут привести к краже денег и конфиденциальной информации.

1. FakeApp распространяется под видом полезных программ — например, официального ПО известных брендов.
2. При запуске троян загружает в Google Chrome сайт, с которого выполняется несколько перенаправлений на страницы различных партнерских программ.
3. На каждой из них пользователю предлагается разрешить получение уведомлений. Для убедительности жертве сообщается, что выполняется некая проверка либо просто дается подсказка, какую кнопку диалогового окна необходимо нажать:

• 4. После активации подписки сайты начинают отправлять пользователю многочисленные уведомления содержания, которые приходят даже если браузер закрыт, а троян удалён.
• 5. Многие уведомления выглядят как настоящие оповещения реальных онлайн-сервисов и приложений. В них отображаются логотипы банков, сайтов знакомств, новостного агентства или социальной сети:

• 6. При нажатии на уведомление пользователь перенаправляется на сайт с сомнительным контентом: рекламой казино, букмекерских контор и различных приложений в Google Play, предложения скидок и купонов, поддельные онлайн-опросы и фиктивные розыгрыши призов:

• 7. Жертва может принять поддельное уведомление за настоящее и перейти на фишинговый сайт, где у нее похитят имя, логин, пароль, адрес электронной почты, номер банковской карты и другие конфиденциальные сведения.

Вредоносное ПО

Новая троянская программа MonsterInstall написана на JavaScript и распространяется через сайты с читами для популярных компьютерных игр.

1. При скачивании чита пользователь получает запароленный 7z-архив.
2. В архиве содержится исполняемый файл, который скачивает нужные читы, а также дополнительные вредоносные компоненты.
3. После запуска MonsterInstall отправляет управляющем серверу информацию о системе, а получив ответ, устанавливается в автозапуск и запускает майнинг криптовалюты TurtleCoin.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.