Представляем новости об актуальных технологиях фишинга и других атаках на человека c 1 по 7 февраля 2019 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Зафиксирована новая атака, в ходе которой адреса фишинговых сайтов скрываются с помощью переводчика Google.

Особенностью этой атаки является одновременный сбор учётных данных двух сервисов: в случае успеха жертва может лишиться аккаунтов и Google, и Facebook.

Атака начинается с письма с уведомлением о том, что к учётной записи Google подключено новое устройство. В письме имеется кнопка «Consult Activity», после нажатия на которую жертва попадает на фишинговую страницу:

Страница замаскирована оригинальным образом: её адрес обработан с помощью переводчика Google Translate, поэтому URL в строке браузера и сама страница выглядит вполне легитимно:

На фишинговой странице размещена форма, имитирующая форму Google для ввода логина и пароля. Страница ориентирована в первую очередь на пользователей мобильных устройств. На обычных компьютерах распознать обман чрезвычайно легко, поскольку панель инструментов «Google Переводчика» вверху страницы или отображение его домена при наведении мыши на ссылку с большой вероятностью вызовет подозрение.

Если пользователь вводит логин и пароль, они отправляются злоумышленнику:

Получив логин и пароль, сервер злоумышленника с помощью специального скрипта формирует фишинговую страницу входа в Фейсбук:

на эту страницу подставляются данные, полученные из учетной записи Google:

Если пользователь вводит свои логин и пароль от аккаунта Фейсбуке, то злоумышленник также получает эту информацию.

Мошенники заманивают пользователей YouTube на вредоносные сайты с фальшивыми опросами, притворяясь популярными ютуберами.

Мошенники создают профиль, оформление которого практически полностью копирует оригинальный профиль популярного видеоблогера:

Чтобы получить возможность отправлять жертвам сообщения, мошенники направляют им запросы на добавление в друзья:

После того, как жертва принимает дружбу от «знаменитости», мошенники направляют сообщение, в котором благодарят нового друга за комментарии и сообщают, что разыгрывают среди своих комментаторов iPhone X, и генератор случайных чисел выбрал именно жертву. Чтобы получить приз, нужно перейти по ссылке:

Жертва попадает на сайт, копирующий дизайн сайта Apple. Сайт предлагает нажать кнопку «Get It Now», чтобы получить желанный приз:

После нажатия выводится сообщение о необходимости подтвердить, что по кнопке кликнул живой человек:

После нажатия «Verify Now» открывается сайт с опросами, которые нужно пройти, указав свои личные данные:

Мошенники получают отчисления каждый раз, когда пользователь проходит опрос и сообщает персональную информацию. Никакого айфона, разумеется, жертва не получает.

Имеется другой вариант этой кампании, в которой вместо айфона жертвам предлагаются различные подарочные карты:

Киберпреступники используют штатные возможности Gmail для мошенничества с деловой перепиской.

Преступники используют тот факт, что сервис Gmail игнорирует точки в адресах электронной почты до символа «@». Это значит, что все адреса ниже для Gmail являются одинаковыми:

moyapochta@gmail.com
moya.pochta@gmail.com
m.o.y.a.p.o.c.h.t.a@gmail.com

Проблема в том, что одинаковыми эти адреса выглядят только для почты Google. При регистрации на других сайтах эти адреса будут считаться различными.

В 2018 году была зафиксирована кампания, в рамках которой мошенники регистрировали учётную запись Netflix, используя точечную запись адреса легального пользователя. Netflix отправлял на почту нового пользователя уведомление о необходимости обновить данные банковской карты, которое получал действующий пользователь. Как только легальный пользователь обновлял данные карты, его карта оказывалась привязанной к Netflix-аккаунту мошенника:

В 2019 году мошенники переориентировали свою активность с точечными адресами на более серьёзные направления:

• Четыре американских финансовых организации одобрили 48 мошеннических заявлений на открытие кредита общей суммой 65 тыс долларов США.
• Через электронную систему для подачи налоговых деклараций было подано 13 незаконных заявок на налоговые вычеты.
• Около 20 эпизодов связаны с мошенничеством с социальным страхованием и пособиями по безработице.
• В 14 случаях преступники использовали пробные аккаунты некоего коммерческого сервиса, чтобы собрать данные для BEC-атак, и 12 раз подавали заявление о смене физического почтового адреса.

Обнаружена фишинговая атака на пользователей криптовалютного кошелька MyEtherWallet.

В письмах злоумышленники сообщают о недавней утечке данных и для подтверждения личности и устранения последствий утечки просят у жертв сообщить их закрытый ключ или мнемоническую фразу.

Разработчики предупреждают, что о реальных утечках будут предупреждать своих пользователей через Twitter, а не по электронной почте и подчёркивают, что поскольку MyEtherWallet не хранит никаких пользовательских данных, утечка попросту невозможна.

Кибермошенники рассылают спам с требованием выкупа, ориентированный на пользователей сайтов для взрослых.

Фрагмент вымогательского письма:

xxx is your pass. Lets get straight to purpose. Neither anyone has paid me to check about you. You do not know me and you are most likely wondering why you are getting this e-mail?

Well, i setup a software on the X video clips (porn material) web site and you know what, you visited this site to have fun (you know what i mean). When you were watching videos, your browser began functioning as a RDP with a key logger which gave me access to your display and also web camera. after that, my software program gathered all your contacts from your Messenger, FB, as well as emailaccount. Next i made a double-screen video. 1st part displays the video you were viewing (you’ve got a good taste lol . . .), and 2nd part shows the recording of your web camera, yeah its you.

В письмах жертве сообщают, что один из популярных порносайтов взломан, и всех его посетителей записывали с помощью их веб-камер. Чтобы избежать публикации этих записей, нужно заплатить мошенникам 969 долларов в биткоинах.

Для убедительности в письмах содержится старый пароль жертвы, полученный из предыдущих утечек.

Мобильная безопасность

Функциональность Siri Shortcuts («Быстрые команды») можно использовать для кражи данных, запугивания пользователей и распространения вредоносного ПО.

1. «Быстрые команды» поддерживают множество операций, включая запуск приложений, загрузку контента и блокировку экрана.
2. Если установить приложение Shortcuts, можно получить доступ к командам, созданным другими пользователями.
3. Мошенники могут создать набор команд, которые проговаривают вслух шантажистские сообщения и требуют выкуп или запускают скрипт, который собирает информацию о системе и добавляет эти данные в вымогательское послание, чтобы угрозы были убедительнее.
4. Кроме того, вредоносный скрипт может открыть сайт с вымогательским посланием, на котором будет отображаться собранная с устройства информация.

Из магазина приложений Google Play Store удалены 29 вредоносных приложений, которые показывали пользователям рекламу порнографических и фишинговых сайтов.

1. Все приложения были ориентированы на обработку фото с помощью фильтров.
2. Чтобы затруднить анализ и обойти защитные механизмы Google, APK-файлы приложений сжимались специальными упаковщиками.
3. Популярность приложений в магазине была накручена, поэтому некоторые из них были загружены более миллиона раз.
4. После установки на устройство программы разными способами противодействовали своему удалению. Одна из них, например, убирала себя из списка приложений.
5. Приложения показывали рекламу в браузере во весь экран. Пользователи не всегда могли связать факт отображения рекламы с установкой вредоносного приложения, поэтому источник вредоносных баннеров часто оставался невыясненным.

Вредоносное ПО

CookieMiner — новый вредонос для macOS, который крадёт файлы cookies из браузера и сохранённые учётные данные, а затем майнит криптовалюту.

Эти данные вредонос собирает, чтобы использовать их для хищения криптовалюты у пользователя криптобирж.

В числе данных, которые ищет CookieMiner:

• куки-файлы популярных криптовалютных бирж и кошельков в браузерах Google Chrome и Safari.
• Имена пользователей, пароли и информацию платежных карт, сохраненые в Chrome.
• Данные и ключи криптовалютных кошельков.
• SMS из iMessage, сохраненные в резервных копиях iTunes.

Кроме хищения данных CookieMiner запускает на компьютере жертвы майнинг криптовалюты Koto с помощью программ xmring2 и устанавливает EmPyre — написанный на Python скрипт, который даёт злоумышленникам удалённый доступ к системе.

Атаки, уязвимости и утечки

Приложения авиаперевозчиков, отелей и магазинов тайно шпионят за владельцами iPhone.

Для слежки в приложения встраиваются шпионские библиотеки, разработанные аналитической компанией Glassbox. Софт от Glassbox умеет без ведома устройств делать скриншоты, в том числе форм с персональными и банковскими данными:

Среди приложений со шпионским довеском софт от Air Canada, Abercrombie & Fitch и дочерней компании Hollister, Expedia, Hotels.com и Singapore Airlines:

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 25 по 31 января 2019 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мобильная безопасность

Клиенты Сбербанка стали жертвами мошенников, которые звонили с номеров самого банка и знали многое о клиенте, включая информацию об остатках по счету и последние транзакции.

1. При входящем звонке на мобильных телефонах жертв определялся номер телефона Сбербанка. В одном случае звонки были с номера 900, в другом — с +7 (495) 500-55-50. Оба указаны как контактные на обратной стороне карт Сбербанка.
2. Для подтверждения «сотрудники» направляли жертве СМС с короткого номера 900, который имитировал сообщение от банка.

Эксперты подтверждают, что звонок мошенников с официального номера технически возможен:

Можно скачать специальное приложение на мобильный телефон, стоимость одного звонка с измененным номером составит несколько рублей. Есть приложения и для отправки СМС

— руководитель лаборатории практического анализа защищенности «Инфосистемы Джет» Лука Сафонов

Точное знание остатка и транзакций по счёту могут говорить о наличии у мошенников инсайда в банке.

В приложении Apple FaceTime обнаружена уязвимость, которая позволяет звонящему получить доступ к микрофону и камере адресата, даже если он не ответил на звонок.

Чтобы воспроизвести проблему на iPhone и Mac,

1. Позвоните по FaceTime любому из своих контактов;
2. Пока идет вызов, свайпните вверх и выберите «Добавить человека»;
3. Введите свой телефонный номер, после чего начните групповой вызов FaceTime, добавив себя в качестве еще одного участника беседы;
4. Микрофон жертвы включится, и можно будет слушать аудио, даже если на ваш звонок не ответили. При этом жертва ничего не заметит;
5. Если во время совершения звонка жертва нажмет на кнопку Power, атакующему будет доступно еще и видео с фронтальной камеры устройства.

Баг работает в iOS 12.1 и 12.2, а также в macOS Mojave.

Уязвимые смарт-часы с функцией GPS-трекера позволяют отследить местоположение ребенка и потенциально причинить ему вред.

В компании Pen Test Partners повторили проведённое в 2017 году исследование безопасности гаджетов Gator и проверили, как была улучшена их безопасность.

Выяснилось, что кто угодно мог получить доступ ко всей базе данных, в том числе к местоположению детей в режиме реального времени, именам и данным родителей.

Уязвимость позволяет злоумышленникам с лёгкостью повысить привилегии. В часах отсутствует механизм проверки наличия у пользователя разрешения на доступ к панели администрирования. Для получения доступа к информации атакующему достаточно знать учётные данные пользователя часов.

Сайты, почта и мессенджеры

Новая версия шифровальщика GandCrab распространяется с помощью фишинговой рассылки под видом плана эвакуации из здания.

В письме некая Рози Л. Эштон (Rosie L. Ashton), менеджер по недвижимости, призывает получателя ознакомиться с планом эвакуации. К письму может быть приложен документ MS Word или ссылка для скачивания.

После открытия вредоносный документ предлагает включить макросы и отключить защищенный режим:

И показывает подробные инструкции, как это сделать:

В имени файла часть латинских букв заменена кириллическими аналогами, чтобы жертва видела понятное ей название, а спам-фильтры — только последовательность специальных символов.

Если жертва разрешит выполнение скриптов, внедренный в файл сценарий загрузит и запустит шифровальщик GandCrab версии 5.1. Мошенники предлагают пострадавшему перейти на сайт в сети TOR и обещают восстановить один файл бесплатно.

Злоумышленники использовали переадресацию через Google App Engine для фишинговых атак на финансовые компании и банки.

1. Жертва получала фишинговое письмо.
2. В письме были ссылки на загрузку PDF-документов.
3. PDF-документы содержали редиректы на мошеннические DOC-файлы.
4. Редиректы выполнялись через домены Google App Engine — благодаря URL в зоне google.com они должны были вызывать больше доверия у жертв:

https://appengine.google[.]com/_ah/logout?continue=https%3A%2F%2Ftransef[.]biz%2FDoc102018.doc

https://appengine.google[.]com/_ah/logout?continue=https%3A%2F%2Fswptransaction-scan2034.s3.ca-central-1.amazonaws[.]com%2FDoc102018.doc

Если пользователь разрешал подключение, на его компьютер загружался документ MS Word, содержащий вредоносные макросы. При открытии документа пользователю предлагалось разрешить редактирование и активировать макросы:

Если жертва разрешала редактирование, на компьютер загружалась очередная ступень вредоноса — скрипт для Microsoft Connection Manager Profile Installer (csmtp.exe) в виде текстового файла fr.txt, запуск которого на выполнение должен был привести к установке вредоносной программы в систему.

Опасность такой схемы состоит в том, что для установки вредоносного содержимого используется легитимная программа Windows, которая не вызывает подозрений у антивирусного ПО. На момент изучения зловреда fr.txt не содержал вредоносной нагрузки, но его авторы могут добавить её в любой момент.

Атаки, уязвимости и утечки

Северокорейские киберпреступники проникли в компьютерную сеть компании Redbanc (обслуживает банкоматы всех банков в Чили) благодаря наивному сотруднику и одному звонку в Skype.

1. Атака стала возможна благодаря действиям сотрудника Redbanc, который откликнулся на вакансию разработчика в соцсети LinkedIn.
2. Компания, разместившая объявление, оказалась прикрытием участников Lazarus Group.
3. Во время собеседования по Skype преступники попросили соискателя загрузить файл ApplicationPDF.exe якобы для генерации стандартного бланка заявки.
4. В действительности файл загружал и устанавливал вредонос PowerRatankba.

PowerRatankba отправлял преступникам информацию о компьютере сотрудника Redbanc: имя ПК, сведения об аппаратной конфигурации и ОС, настройки прокси, список запущенных процессов, расшаренные папки и пр.

На основе данной информации злоумышленники могли сделать вывод о ценности инфицированного ПК и загрузить дополнительное вредоносное ПО.

Киберпреступники ограбили Министерство иностранных дел Финляндии с помощью фишинговых писем.

1. Взломав сервер программы развития ООН, они отправляли в МИД Финляндии фальшивые е-мейлы от имени сотрудников организации с просибой перечислить средства на проект по развитию правовой системы Кыргызстана.
2. Поскольку у МИД Финляндии имелась договорённость по этому проекту, средства в размере 400 тысяч евро были перечислены незамедлительно.

Хакеры из США, России и Украины через фишинговую атаку получили доступ к корпоративным отчетам и смогли заработать на инсайдерской торговле более 4 млн долларов США.

1. Кибергруппировка атаковала систему EDGAR, в которой хранятся корпоративные документы компаний, акции которых торгуются на бирже.
2. Для проникновения в систему SEC хакеры использовали фишинговые письма, содержащие вредоносные вложения.
3. В итоге Хакеры получили несанкционированный доступ к 157 отчетам о прибыли, которые еще не были представлены публично. Эти данные позволили злоумышленникам совершать сделки на бирже, зная, вырастут или упадут акции конкретных компаний в ближайшее время.

Вредоносное ПО

Троян Razy ворует криптовалюту через вредоносное расширение для браузера.

Программа распространяется через блоки партнерских программ, в том числе раздается с бесплатных файловых хостингов под видом легитимного ПО:

Для хищения криптовалюты троян может подменять поисковую выдачу Яндекс и Google, искать на сайтах любые адреса криптовалютных кошельков и заменять их на адреса кошельков злоумышленников, подменять изображения QR-кодов кошельков, а также модифицировать страницы криптовалютных бирж и даже страницы Wikipedia:

Троян AZORult маскируется под приложение Google Update и заменяет официальную программу вредоносной версией.

AZORult — программа для кражи информации и загрузчик для другого вредоносного ПО; предназначен для кражи как можно большего объема конфиденциальной информации: от файлов, паролей, cookie-файлов и истории посещения в браузере до банковских учетных данных и криптовалютных кошельков пользователей.

Примечательно, что исполняемый файл вредоноса имеет валидную электронную подпись компании «Singh Agile Content Design Limited» вместо Google. Сертификат ЭЦП был выдан 19 ноября минувшего года и на протяжении прошедшего периода использовался для подписи более чем сотни исполняемых файлов, причем все они были замаскированы под Google Update.

«Добрый» шифровальщик T1Happy предлагает жертве самостоятельно декомпилировать его и в следующий раз быть осторожнее.

1. T1Happy написан на C#
2. При запуске он пытается получить максимальные привилегии, не вызывая диалог контроля учётных записей
3. Получив привилегии, вредонос шифрует файлы ключом AES, добавляя к ним расширение .happy.
4. Закончив шифрование, T1Happy оставляет текстовый файл «HIT BY RANSOMWARE.txt», сообщение в котором предлагает жертве выяснить метод шифрования, декомпилировав зловред.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 18 по 24 января 2019 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Вредоносное ПО

Троян RogueRobin распространяется в документах MS Excel и использует в качестве канала связи с управляющим сервером Google-Диск.

1. Вредонос распространяется через рассылку с вредоносным документом MS Excel с поддержкой макросов (.xlsm).
2. При открытии документа пользователю предлагают включить макросы.
3. Макрос загружает файл .txt и запускает его на выполнение с помощью системной программы regsvr32.exe.
4. После нескольких этапов взаимодействия с управляющим сервером на систему загружается бэкдор, написанный на C#.
5. Троян использует для получения инструкций DNS-туннель и Google-Диск.

Организаторы вредоносной кампании против владельцев Mac прячут код в рекламных баннерах с помощью стеганографии.

В начале атаки жертве традиционно предлагают обновить Flash Player:

На компьютер загружается поддельный образ Flash Player, но сам он не является вредоносным:

При запуске образа происходит обращение к внешнему изображению, код которого считывается и как раз содержит вредоносный функционал:

В результате на компьютер под видом обновления для Adobe Flash Player загрузится троян Shlayer.

Сайты, почта и мессенджеры

Мошенники используют фишинговую рассылку от сервиса голосовой почты для кражи учётных данных.

1. Пользователь получает письмо от сервиса голосовых сообщений с EML-вложением.
2. Во вложении содержится уведомление с подробными сведениями о полученном сообщении.
3. Для прослушивания сообщения нужно перейти по ссылке.
4. После перехода пользователь попадает на фишинговый сайт, имитирующий сайт Microsoft, который запрашивает логин и пароль от учётной записи:

Фишинговый сайт сообщает, что введённый пароль — неправильный, и требует ввести его повторно. Таким образом мошенники проверяют, что жертва корректно ввела свой настоящий пароль.

Получив учётные данные, мошенники переадресуют пользователя на страницу с голосовым сообщением, одинаковым для всех:

Уязвимость на сайте крупного регистратора GoDaddy позволяла перехватывать управление чужими доменами.

Используя эту уязвимость, злоумышленники угнали несколько тысяч доменов и использовали их для спам-рассылок, в которых сообщалось о заложенных бомбах. Преступники требовали выкуп в 20 тыс. долларов США, угрожая взрывом.

Мобильная безопасность

Вредоносные Android-приложения Currency Converter и BatterySaverMobi воровали деньги с банковских счетов пользователей и использовали необычный способ для защиты от обнаружения.

Оба приложения имели хороший рейтинг и много положительных отзывов, были загружены более 5000 раз.

Чтобы получить права администратора, вредоносы демонстрировали жертвам фальшивое сообщение о необходимости обновления ПО:

Получив права, приложения связывались с управляющим сервером через Twitter или Telegram и загружал сам вредонос:

Чтобы убедиться, что запуск вредоноса происходит на реальном устройстве, приложения обращались к датчикам движения. Если гаджет действительно двигался в пространстве, приложения продолжали работу, а иначе прекращали любую активность.

Учётные данные пользователя в банковских приложениях собирались с помощью кейлоггера или скриншотов.

В каталоге Google Play обнаружены 19 фальшивых GPS-приложений, которые вместо полезного действия лишь показывали рекламные баннеры поверх Google Maps.

Несмотря на полное отсутствие полезного действия, фальшивки были загружены более 50 миллионов раз.

Одно из приложений (Maps & GPS Navigation: Find your route easily!) требовало от пользователя оплатить полную версию для отключения рекламы, несмотря на то, что Google Maps бесплатен. Другие приложения запрашивали доступ к управлению звонками и текстовыми сообщениями.

Исследование безопасности 150 бесплатных VPN-приложений для Android выявило, что большая часть приложений не только не защищают приватность пользователей, но и могут нанести вред.

• 85% приложений запрашивают избыточные права, злоупотребление которыми может нарушить приватность пользователя; например, некоторые приложения запрашивали использование камеры и микрофона устройства или могли скрытно отправлять SMS-сообщения,
• 57% приложений содержали код для сбора данных о последнем местоположении пользователя,
• 38% запрашивали доступ к информации о статусе устройств,
• 25% имеют проблемы с утечкой DNS-запросов,
• 20% потенциально могут содержать вредоносный код,
• в 18% приложений зафиксировано присутствие вирусов или вредоносного ПО.

Атаки через социальные сети и мессенджеры

В виджете для отслеживания изменений курсов криптовалют обнаружен троян AZORult.

Программа рекламировалась как многофункциональный полезный виджет в группах ВК, посвященных криптовалютам:

1. У программы есть действительная цифровая подпись и она показывает актуальную информацию о курсе криптовалют.
2. При установке программа скачивает исходный код с личного аккаунта разработчика на Github, компилирует его и запускает на выполнение.
3. Скомпилированный модуль загружает Trojan.PWS.Stealer.24943 — вредоносную программу, которая крадёт личные данные и пароли от криптокошельков.

В Telegram Bot API обнаружена уязвимость, которая позволяет следить за пересылаемыми сообщениями и восстановить всю историю сообщений атакуемого бота.

Источник уязвимости — в слабом шифровании, которое используется для защиты сообщений, которыми обменивается бот и его пользователи. Если для обычных пользовательских сообщений используется шифрование MTProto внутри трафика TLS, то для сообщений Bot API в качестве защиты используется только уровень HTTPS.

1. Для проведения атаки «человек посередине» достаточно токенов API и ID чата.
2. API-токены имеются в сообщениях и в программах, использующих Bot API, а ID чата отправляется в запросах к Bot API.
3. Перехватив эту информацию, злоумышленник может использовать API-метод forwardMessage() для пересылки любому пользователю сообщений, к которым у бота есть доступ.

В Twitter ликвидировали уязвимость, из-за которой приватные твиты некоторых пользователей были доступны поисковым роботам и пользователям, не подписанным на автора.

Уязвимость проявлялась в официальном Twitter-клиенте для Android при включенной опции «Ограничить доступ к твитам», если пользователь менял связанный с учётной записью е-мейл или номер телефона в период с 3 ноября 2014 по 14 января 2019 года.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.