Представляем новости об актуальных технологиях фишинга и других атаках на человека c 22 по 28 февраля 2019 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Зафиксирована фишинговая кампания по распространению бэкдора с помощью поддельных предложений о работе.

Атака начинается с отправки личного сообщения якобы с легитимной учетной записи в LinkedIn, за которым следует ряд электронных сообщений, включающих либо вредоносное вложение, либо поддельную ссылку:

В течение недели злоумышленник отправляет личные письма на рабочий адрес жертвы, напоминая получателю о предыдущей попытке связаться через LinkedIn. В качестве темы для контакта он использует профессиональную квалификацию жертвы, указанную в LinkedIn:

URL-адреса, встроенные в текст фишинговых писем или вложений, переадресовывают пользователя на страницу, якобы принадлежащую кадровому агентству:

При открытии фальшивой страницы автоматически загружается поддельный документ Microsoft Office, созданный с помощью инструмента Taurus Builder. При активации макроса на компьютер загружается бэкдор More_eggs.

Атаки, уязвимости и утечки

Документам PDF с цифровой подписью больше нельзя доверять: исследователям из Рурского университета удалось создать фальшивые цифровые подписи для 21 PDF-просмотрщика, а также для 5 онлайновых сервисов. В списке — Adobe Acrobat Reader, Foxit Reader, Libre Office, DocuSign и Evotrus.

Обнаруженные уязвимости делят на три группы:

• Универсальная подделка подписи (Universal Signature Forgery, USF): позволяет атакующему обмануть процесс верификации подписи и показать пользователю фальшивое сообщение о том, что подпись действительна;
• Атака инкрементного обновления (Incremental Saving Attack, ISA): позволяет атакующему добавить дополнительный контент в уже подписанный документ PDF через инкрементное обновление, то есть не меняя существующей подписи;
• «Заворачивание» подписи (Signature Wrapping, SW): аналогична предыдущей, но  код атакующего может обмануть процесс проверки подписи, «завернув» ее вокруг контента злоумышленника и подписав инкрементное обновление.

Специалисты Колорадского университета в Боулдере продемонстрировали, что механизм спекулятивного выполнения может использоваться не только для кражи данных, как в атаках Spectre, но и для сокрытия вредоносных команд.

Метод под названием ExSpectre предполагает создание внешне безопасного приложения, которое не вызовет подозрение у пользователей и антивирусных программ. В действительности исполняемый файл приложения можно сконфигурировать с помощью отдельного «триггер»-приложения для запуска потока инструкций, который будет скрывать вредоносные команды.

С помощью техники ExSpectre исследователи расшифровали данные в памяти, запустили обратную командную оболочку (reverse shell) и выполнили команды на целевом устройстве.

Обнаружена кампания, в которой вредоносный код прячется в BMP-картинке с  использованием техники Polyglot.

Картинка, в которой было обнаружено вредоносное содержимое.

Техника заключается в том, что специально созданный файл изображения можно интерпретировать и как картинку:

<img src="polyglot.jpg"/>

и как JavaScript-код:

<script src="polyglot.jpg"></script> will e

Для реализации такой двойственности злоумышленники модифицируют заголовок BMP-файла таким образом, чтобы для JavaScript-интерпретатора он выглядел как валидный код, но в то же время сохранялись свойства картинки.

Расшифрованный JavaScript-код переадресует браузер пользователя на очередную мошенническую лотерею:

Обнаружена вредоносная фишинговая кампания по распространению бэкдора Cobalt Strike Beacon через эксплуатацию уязвимости в библиотеке в составе WinRAR.

Фишинговое письмо содержит вредоносный архив, при распаковке которого файлы извлекаются в папку автозагрузки Windows. Если включен контроль учётных записей, WinRAR отобразит сообщение об ошибке и заражения не произойдёт:

Если контроль учётных записей отключен или архиватор запущен от имени администратора, вредоносные файлы будут извлечены в C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CMSTray.exe и при следующей загрузке системы выполнится исполняемый файл CMSTray.exe:

После старта CMSTray.exe копирует себя в %Temp%\wbssrv.exe и запускает его на выполнение:

Wbssrv.exe подключается к http://138.204.171.108 и загружает различные файлы, в том числе инструмент Cobalt Strike Beacon.

После загрузки вредоносной DLL атакующие получат возможность удаленно подключаться к компьютеру, выполнять команды и заражать другие компьютеры в локальной сети.

Умные устройства

В софте для электроскутеров Lime обнаружена ошибка, которая приводила к внезапному торможению во время движения и вызвала более 150 реальных аварий.

Недоработки в программном обеспечении устройств вызывали самопроизвольную блокировку переднего колеса, причём это происходило настолько неожиданно, что люди не успевали отреагировать и получали травмы. Зафиксировано около 30 травм от синяков до сломанной челюсти и вывиха плеча.

По сообщению компании ошибка проявляется менее чем в 1% устройств Lime. В настоящее время производитель работает над патчем и готовит обновление прошивки, устраняющее проблему.

Вредоносное ПО

Фальшивая мобильная версия многопользовательской стрелялки Apex Legend переводит трафик на партнёрские сайты, устанавливает вредоносные плагины и рекламный софт.

Вредонос демонстрирует пользователю видеоролик с фрагментами оригинального геймплея и предлагает выбрать две из пяти рекламных ссылок, чтобы разблокировать кнопку загрузки мобильного варианта игры. Помимо мобильной версии игры преступники обещают внутреннюю валюту Apex Legends, а также аимботы и читы для прокачки персонажей.

Для продолжения работы мошеннические сайты предлагают установить фальшивые обновления Adobe Flash или поддельный плагин для безопасного интернет-серфинга.

Подделка активно рекламируется на YouTube. За несколько дней жертвами обмана стали более 100 тысяч пользователей.

Вредонос BestChangeRu разговаривает по-русски и требует 25 тысяч рублей в биткоинах за восстановление зашифрованных файлов.

BestChangeRu распространяется через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, фальшивых загрузок и обновлений, ботнетов, эксплойтов, перепакованных и заражённых инсталляторов.

Вымогатель шифрует документы MS Office и OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыку, видео, файлы образов, архивы

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 15 по 21 февраля 2019 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Вредоносная программа Rietspoof распространяется через Facebook Messenger и Skype и имеет многоступенчатую систему загрузки вредоносного контента.

1. Через мессенджеры Facebook Messenger и Skype злоумышленники распространяют защищённые документ MS Word.
2. В документах содержатся скрипты VBS (Visual Basic Script) с зашифрованным файлом CAB, выполняющим вторую стадию заражения.
3. Если пользователь разрешает выполнение макросов, скрипт запускается, и файл CAB сохраняется на зараженной машине как JSWdhndk.sjk.
4. Из него извлекается исполняемый файл expand.exe, подписанный легитимным сертификатом Comodo который выполняет очередную стадию заражения.
5. Чтобы добиться устойчивого присутствия в системе, вредоносная программа помещает в автозагрузку файл WindowsUpdate.lnk.

Жители США стали мишенью вредоносной рекламной кампании, с помощью которой мошенники собирали персональную и финансовую информацию.

1. Было зафиксировано более 800 млн показов вредоносных рекламных объявлений.
2. При клике на баннер пользователи переадресовывались на фишинговые сайты, где им предлагалось ввести финансовую и персональную информацию для получения выигрыша или прохождения опроса за деньги.
3. Собранные данные направлялись злоумышленникам.

Фишеры обходят сервисы защиты электронной почты, корректируя служебные файлы в составе документов MS Office.

1. Документы Word, Excel, PowerPoint и других программ MS Office представляют собой zip-архивы, содержащие набор файлов в формате XML. В этих файлах хранятся шрифты, сведения о форматировании, картинки и другая информация.
2. Файл xml.rels содержит связи документов с внешними ресурсами. Если документ содержит ссылки на другие сайты, они будут содержаться в xml.rels.
3. При проверке документов некоторые антивирусы проверяют xml.rels на наличие ссылок на вредоносные ресурсы, но не отслеживают наличие ссылок в самом документе.
4. Мошенники удаляют вредоносные ссылки из файла xml.rels, в результате чего некоторые антивирусные фильтры воспринимают документы как легитимные, несмотря на то, что ссылки остаются в тексте документы и сохраняют кликабельность.

Социальные сети

Злоумышленники используют для фишинговых атак фальшивую форму авторизации Facebook.

1. Мошенники создали несколько десятков сайтов со скидками и активно продвигали их в поиске.
2. Когда пользователи попадали на сайт, им демонстрировалась форма авторизации Facebook, неотличимая от оригинальной и предлагалось авторизоваться через соцсеть, чтобы получить доступ к скидкам.
3. Фальшивая форма была создана с помощью HTML и JavaScript и имитировала окна в браузере, включая строку состояния, панель навигации, URL и даже зеленый замок, указывающий на использование HTTPS. Пользователи даже могли взаимодействовать с окном, перетаскивать его в разные стороны или закрыть, как легитимные окна.
4. После ввода логина и пароля сведения отправлялись злоумышленникам.

Единственный способ распознать подложное диалоговое окно — перетащить его за пределы окна браузера, в котором оно отображается. Фальшивое окно перетащить не получится, поскольку оно является частью вредоносной страницы

В Facebook обнаружена CSRF-уязвимость, используя которую можно перехватить учётную запись пользователя, заставив его кликнуть на ссылку.

Для эксплуатации ошибки достаточно сконструировать URL, используя уязвимую точку выхода facebook.com/comet/dialog_DONOTUSE

Исследователь, обнаруживший ошибку, опубликовал несколько демонстрационных ссылок:

Сделать пост в хронике

https://www.facebook.com/comet/dialog_DONOTUSE/?url=
/api/graphql/%3fdoc_id=1740513229408093%26variables={"input":{"actor_id":{TARGET_ID},"client_mutation_id":"1","source":"WWW","audience":{"web_privacyx":"REDECATED"},"message":{"text":"TEXT","ranges":[]}}}

Удалить фото профиля

https://www.facebook.com/comet/dialog_DONOTUSE/?
url=/profile/picture/remove_picture/%3fdelete_from_album=1%26profile_id={TARGET_ID}

Удалить профиль

https://www.facebook.com/comet/dialog_DONOTUSE/?
url=/help/delete_account/dialog/%3f__asyncDialog=0%26locale=fr_FR

Социальная сеть «ВКонтакте» подверглась спамерской атаке, построенной на XSS-уязвимости.

1. Вечером 14 февраля по соцсети распространилась публикация, гласящая, что в личных сообщениях якобы появится реклама. Размещаемые посты были оформлены в виде предпросмотра статьи — большая иллюстрация, заголовок и ссылка на страницу верифицированного сообщества «Команда ВКонтакте».
2. Если пользователь переходил по ссылке, пост автоматически копировался в его профиль и администрируемые им паблики. Это происходило без каких-либо уведомлений — о размещении записи жертвы узнавали из собственных лент. Если пользователь ранее запретил публикации на своей стене, атака не срабатывала.
3. По мнению экспертов, авторы атаки использовали межсайтовый скриптинг (XSS), чтобы встроить в ссылку вредоносный скрипт. Движок «ВКонтакте» недостаточно тщательно проверял содержимое iframe-объектов, что дало возможность добавить Javascript-код в один из параметров.
4. При желании злоумышленники могли использовать дыру, чтобы украсть данные аккаунтов или встроить в сайт вредоносное ПО. Эксплуатировать уязвимость можно было абсолютно незаметно, поэтому сейчас трудно определить, применялась ли она в реальных кибератаках.

Причиной атаки было желание отомстить соцсети за невыплаченное исследователям безопасности вознаграждение.

Мобильная безопасность

Вредоносная программа семейства Android.HiddenAds насчитывает 40 модификаций и  продвигается в поиске с помощью рекламы в Instagram и YouTube.

1.В рекламе на YouTube и в Instagram пользователям обещают функциональные и мощные средства для обработки фото и видео. На самом деле в них имеется в лучшем случае одна-две базовых функций.

2. Вредоносные программы загружаются и устанавливаются на мобильные устройства другими троянцами под видом популярных приложений и системного ПО. Также они могут устанавливаться в системную область смартфонов и планшетов.
3. После того как пользователь запускает троянцев Android.HiddenAds, они удаляют свой значок с домашнего экрана, чтобы скрыть свое присутствие на устройстве. В некоторых случаях они не создают никаких значков и автоматически запускаются устанавливающими их вредоносными программами.

Android.HiddenAds непрерывно показывает окна с баннерами и видеообъявлениями, перекрывая окна других программ и системный интерфейс.

Ошибка в iOS-версии WhatsApp позволяет обойти биометрическую аутентификацию мессенджера.

Чтобы воспользоваться ошибкой, нужно

1. Выбрать инструмент «Поделиться» (Share Sheet)
2. Из списка приложений выбрать иконку WhatsApp.
3. При переходе на экран приложения должен отобразиться запрос на авторизацию с помощью FaceID или TouchID, но фактически этого не происходит.
4. Если после этого перейти на домашний экран и запустить WhatsApp, запрос аутентификации выполняться не будет.

Ошибка не воспроизводится, если в настройках блокировки экрана в WhatsApp установлен параметр «Немедленно».

Вредоносное ПО

Новая версия инфостилера Astaroth использует для хищения данных и загрузки вредоносных модулей легитимные процессы программ Avast и GAS Tecnologia.

1. Вредонос распространяется через фишинговые рассылки и доставляется к жертве через вложенный файл 7z или вредоносную ссылку.
2. Троян внедрят вредоносный модуль в процесс aswrundll.exe антивируса Avast, а затем использует антивирус для извылечения данных. Если потребуется, Astaroth загружает дополнительные модули.
3. Если в системе нет антивируса Avast, вредонос пытается внедриться в процесс unins000.exe защитного решения компании GAS Tecnologia.

Вредоносная программа DrainerBot показывает невидимую рекламу на Android-устройствах и потребляет десятки гигабайт мобильного трафика.

1. DrainerBot распространяется в составе нескольких приложений, в числе которых Perfect365, VertexClub, Draw Clash of Clans, Touch ‘n’ Beat — Cinema и Solitaire: 4 Seasons.
2. Вредонос прокручивает видеорекламу в невидимых оверлеях, поэтому пользователи ничего не замечают.
3. Рекламной сети вредонос сообщает, что ролики просмотрели на сайтах легитимных издателей

Из-за действий вредоноса расходуется не только мобильный трафик, но и заряд батареи устройства.

Всего от DrainerBot пострадали более 10 млн человек.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 8 по 14 февраля 2019 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Злоумышленники используют рекламные объявления Google для продвижения вредоносных сайтов.

Маскируясь под крупные банки, они предлагают пройти опрос и получить вознаграждение:

Тем, кто прошёл опрос, предлагается открыть счёт, на который будет перечислено их вознаграждение или зафиксировать свой выигрыш путём перечисления «закрепительного платежа»:

Для «открытия счёта» или «закрепления выигрыша» требуется заплатить от 100 до 300 рублей. После того, как жертва перечислит деньги, преступники исчезают.

Для проведения атаки преступники создали массу поддельных сайтов, оформленных под Сбербанк, Тинькофф Банк, Райффайзенбанк и другие крупные кредитные организации.

Зафиксирована новая фишинговая кампания по распространению шифровальщика Shade.

1. Жертва получает письмо-уведомление о заказе от известной компании, например, Бинбанка или сети «Магнит».
2. Письма часто содержат отметку о проверке каким-либо антивирусом для усиления доверия.
3. С деталями заказа предлагается ознакомиться, перейдя по ссылке (первый вариант атаки) или открыв вложение (второй вариант).
4. Если жертва перейдёт по ссылке, будет загружен троян Shade

Для второго варианта вложенный PDF-документ имитирует интерфейс популярного у корпоративных пользователей сервиса, например, системы электронной отчетности и документооборота СБИС:

При попытке «напечатать документы» на компьютер также загружается шифровальщик.

Обнаружена необычная фишинговая кампания со ссылками длиной до 1000 символов.

Письма рассылаются под видом уведомлений от службы поддержки домена. В письме сообщается, будто е-мейл жертвы был внесен в черный список, и необходимо подтвердить его, указав свои учетные данные. В противном случае учетная запись будет удалена:

После нажатия на ссылку пользователь оказывается на поддельной странице авторизации, неотличимой от реальной страницы авторизации его сайта:

Если пользователь введёт свои данные, они будут направлены злоумышленникам.

Особенностью атаки является использование особо длинных ссылок:

Вероятно, так мошенники пытаются обойти антиспам-фильтры и другие технические средства защиты.

Новая фишинговая атака распространяет загрузчик шифровальщика в изображении Super Mario.

Атака начинается с письма на итальянском языке с вложенным xls-файлом, замаскированным под уведомление об оплате:

Открыв документ и разрешив выполнение макросов, жертва запускает скрипт, определяющий местоположение компьютера:

Если выясняется, что жертва находится в Италии, макрос загружает изображение Марио, иначе таблица просто закрывается без последствий:

Скрипт извлекает информацию из отдельных пикселей картинки в зеленом и синем канале для воссоздания обфусцированной PowerShell-команды:

Команда запускает цепочку других PowerShell-скриптов, в конечном итоге загружающих шифровальщик GandCrab.

Мошенники из фальшивой технической поддержки стали маскировать свои вредоносы под легитимные антивирусные программы.

В некоторых случаях вредоносная программа была замаскирирована под Norton Antivirus. Для большей реалистичности вредонсы содержат JavaScript и HTML коды, имитирующие настоящий процесс сканирования:

Мошенники стремятся вызвать страх, сообщая о заражении компьютера, однако внимательные владельцы ПК могут заметить, что предупреждения отображаются в браузерах, а не исходят от антивирусного решения:

Тем не менее, схема оказалась достаточно эффективной: получив доступ к web-панели управления одного из мошенников, специалисты Symantec выяснили, что количество его жертв насчитывает десятки тысяч пользователей.

Зловред Qealler распространяется в фишинговых письмах и похищает пароли для интернет-ресурсов и приложений.

1. Жертва получает письмо со вложенным файлом Remittance.JAR (Remittance — денежный перевод).
2. Если жертва запускает вложение, Qealler проверят наличие предыдущих версий себя и загружает с управляющего сервера похититель паролей QaZagne.
3. QaZagne — python-скрипт, который извлекает учётные данные из браузеров, почтовых клиентов, мессенджеров, утилит для администрирования и игр.
4. Собранные данные упаковываются в JSON-контейнер, шифруются и отправляются на сервер злоумышленников.

«Умные» устройства

Электросамокат Xiaomi содержит опасную уязвимость, которая угрожает жизни его владельца.

Самокат поставляется с мобильным приложением для удалённого управления по Bluetooth. С помощью приложения пользователь может изменить пароль, включить противоугонную систему, обновить прошивку и просмотреть статистику поездок.

Выяснилось, что пароль на доступ самокату проверяется только в приложении, а сам самокат выполняет все команды без проверки состояния аутентификации. Это даёт злоумышленнику возможность отправлять устройству неавторизованные команды на расстоянии до 100 метров:

Фактически, преступник может сделать с самокатом что угодно: заблокировать устройство, внедрить вредоносное ПО путем обновления прошивки или неожиданно для пользователя тормозить или менять скорость самоката во время поездки.

Уязвимости и вредоносное ПО

Новый вредонос для macOS представляет собой исполняемый файл для Windows и распространяется в составе дистрибутива macOS-файрволла Little Snitch.

1. Вредоносный дистрибутив распространялся с нескольких торрент-трекеров
2. Образ macOS-дистрибутива .dmg содержал в составе файл installer.exe, скомпилированный при помощи фреймворка Mono, который делает исполняемые файлы совместимыми с macOS.
3. Поскольку exe-файл чужероден для платформы Apple, защитная программа Gatekeeper не проверяет его на наличие вредоносных функций.
4. После запуска установки дистрибутива запускается скрипт, который собирает системную и пользовательскую информацию, а затем направляет её злоумышленникам.
5. На заражённое устройство загружаются три рекламные программы, замаскированные под утилиты для macOS.
6. После запуска они имитируют установку Adobe Flash Player и Little Snitch.

Вредоносный USB-кабель 0.MG содержит Wi-Fi-плату и умеет передавать на компьютер команды по беспроводной сети.

1. При подключении кабеля операционная система воспринимает кабель как клавиатуру и мышь, поэтому злоумышленник может вводить команды независимо от того, заблокировано устройство или нет.
2. Чтобы компьютер не заблокировался автоматически, кабель может имитировать активность пользователя, совершая незаметные движения мышью или эмулируя нажатия клавиш.
3. Wi-Fi чип можно настроить для подключения к беспроводной сети компания и запуска реверс-шелла на компьютере. Тогда злоумышленник сможет исследовать компьютер, находясь вдалеке от него:

Видео: демонстрация работы кабеля.

В некоторых моделях iPhone обнаружена уязвимость, из-за которой пользователя «выкидывает» на главный экран.

Для эксплуатации уязвимости нужно:

1. Перейти в режим ввода текста в любом приложении
2. Включить голосовой набор
3. Пять раз произнести «дефис» («hyphen»).

Ошибке подвержены iPhone 6s, 8, X и XS Max.

В macOS Mojave обнаружена опасная уязвимость, которая позволяет вредоносному приложению обойти запрет на доступ к защищённым системным папкам.

Новейшая версия macOS Mojave по умолчанию разрешает доступ к некоторым папкам только ограниченному числу приложений. Например, доступ к папке, содержащей историю браузера Safari (~/Library/Safari) имеется только только для Finder и собственно браузера.

Исследователю удалось написать приложение, которое «заглядывает» в ~/Library/Safari без всяких разрешений от системы или пользователя и может просмотреть историю посещений в браузере.

Технологию Intel Software Guard Extensions (SGX) можно использовать для маскировки вредоносов под видом легитимного приложения.

Для взлома SGX используется техника возвратно-ориентированного программирования (Reverse-Oriented Programming), при которой стек потока перезаписывается таким образом, чтобы приложение выполняло не свои функции, а вредоносные. Добиться этого удаётся, объединяя хранящиеся в памяти несвязанные фрагменты кода путём подмены адресов возврата из функций.

Попав во вредоносный фрагмент, процессор продолжает выполнять инструкции злоумышленников, перемещаясь во второй, третий и последующие участки. В результате программа выполняет действия, которых в ней не предусмотрено.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.