Представляем новости об актуальных технологиях фишинга и других атаках на человека c 23 по 29 ноября 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Троян-кликер распространяется, маскируясь под программу DynDNS.

Злоумышленник создал сайт dnsip.ru, с которого под видом полезной программы загружался:

архив ? setup.exe (загрузчик) ? Setup100.arj

1. Setup100.arj, несмотря на говорящее название, был не ARJ-архивом, а исполняемым MZPE-файлом, в котором вирусописатель изменил три значения. Таким образом файл не распознавался в качестве MZPE автоматизированными средствами анализа и другими приложениями.
2. После запуска загрузчик отключает Windows Defender и запрещает его запуск в реестре.
3. В папку System32 помещаются легитимные утилиты Instsrv.exe, Srvany.exe и Dnshost.exe, а также исполняемый файл вредоноса Yandexservice.exe
4. Модуль вредоноса регистрируется в качестве службы Windows и устанавливается его автоматический запуск при старте системы
5. Загружается и устанавливается настоящее приложение DynDNS.

Обнаружена фишинговая кампания против пользователей музыкального сервиса Spotify.

«Классический» фишинг:

1. Злоумышленники рассылали жертвам электронные письма со ссылками на вредоносный сайт.
2. На сайте отображалась форма для введения логина и пароля, идентичная настоящей странице авторизации Spotify.
3. После заполнения формы пользователем учетные данные попадали к мошенникам.

Группировка ScamClub показала пользователям более 300 млн вредоносных баннеров за два дня.

1. Злоумышленники внедряли вредоносный скрипт в рекламные объявления, которые затем размещали в небольших рекламных агентствах.
2. Объявления показывались пользователям устройств Apple.
3. Скрипт автоматически переводил пользователей на фишинговые сайты hipstarclub(.)com и luckstarclub(.)com, где им демонстрировался порнографический контент и предлагалось выполнить за деньги простые тесты.
4. После прохождения тестов жертве предлагалось ввести персональные данные, сбор которых и был настоящей целью преступников.

Любой зарегистрированный пользователь сайта Почтовой службы США мог просмотреть данные 60 миллионов человек.

1. Ошибка была связана с работой API для взаимодействия с сервисом Informed Visibility, который позволяет отслеживать отправления в реальном времени.
2. В результате любой залогиненный пользователь usps.com мог просматривать информацию о других пользователях, включая их имена, user ID, email-адреса, номера аккаунтов, телефонные номера, почтовые адреса и так далее.
3. Еще уязвимость позволяла любому пользователю изменить чужой email, телефонный номер и другие ключевые детали.

Атаки, уязвимости и утечки

С помощью замены сим-карты злоумышленник похитил один миллион долларов США в цифровой валюте у жителя Сан-Франциско.

1. Для проведения атаки преступник позвонил в службу поддержки сотового оператора и попросил перевести номер на другое устройство.
2. Несмотря на то, что жертва, лишившаяся связи, быстро восстановила номер, киберпреступник успел воспользоваться двухфакторной аутентификацией и вывести по 500 тысяч долларов США со счетов жертвы на биржах Coinbase и Gemini.

Московская канатная дорога остановила свою работу из-за кибератаки.

Вредонос-вымогатель проник на управляющий сервер компании-оператора канатки и зашифровал файлы, обеспечивающие работу системы.

• 28 ноября преступники прислали в центральный офис компании «Московские канатные дороги» сообщение с требованием выкупа в биткоинах. Размер выкупа пока не сообщается.

• 29 ноября руководитель «Московских канатных дорог» Николай Диваков сообщил, что правоохранительные органы установили личность организатора кибератаки.

«Умные» устройства

«Умные» лампочки Magic Blue позволяют злоумышленникам похитить данные с управляющего устройства, передавая их с помощью светового сигнала.

1. Лампочки используют для обмена с управляющим устройством Bluetooth, причём протокол обмена не защищён.
2. Собрав сведения о командах управления цветом и яркостью лампочек, злоумышленники могут реализовать вредоносную программу, которая похитит данные с заражённого устройства, а затем передаст их злоумышленнику с помощью мигания лампочек:

Мобильная безопасность

Android-приложения от китайских разработчиков незаконно получали вознаграждение за рекламу и продвижение новых приложений.

1. Разработчики рекламируют в мобильных приложениях другие приложения и получают за это реферальное вознаграждение.
2. Чтобы узнать, какая рекомендация сработала и какое приложение должно получить вознаграждение, сразу же после первого открытия новое приложение определяет, откуда был сделан последний клик.
3. Приложения от Cheetah Mobile и Kika Tech запрашивают разрешение пользователей на отслеживание новых загружаемых приложений и использовали эти данные для перехвата кликов и незаконного получения вознаграждения за рекламу.

Сумма ущерба от мошеннических действий компаний оценивается в миллионы долларов.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека cо 16 по 22 ноября 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Ошибка в Gmail позволяет скрыть адрес электронной почты отправителя.

При отображении списка входящих, открытии письма, попытке ответить и даже просмотре «оригинала» это поле останется пустым:

Это происходит, если в структуру «имя» «адрес_отправителя» в строке From: вставить объемный тэг object, script или img:

To: tim@cotten.io
Subject: A completely innocent email header
From: "Tima <img src='data:imaige/gif;base64,R0lGODdhMAAwAPAAAAAAAP///ywAAAAAMAAwAAAC8IyPqcvt3wCcDkiLc7C0qwyGHhSWpjQu5yqmCYsapyuvUUlvONmOZtfzgFzByTB10QgxOR0TqBQejhRNzOfkVJ+5YiUqrXF5Y5lKh/DeuNcP5yLWGsEbtLiOSpa/TPg7JpJHxyendzWTBfX0cxOnKPjgBzi4diinWGdkF8kjdfnycQZXZ",
        <root@myserverhere.com>

Did I get you?

Ошибку могут использовать злоумышленники для создания фальшивых системных уведомлений или «сообщений от почтового сервиса». Например, такое уведомление «от Google» даже без обратного адреса может выглядеть вполне легитимно:

Получив подобное письмо, жертва может выслать конфиденциальные данные или перейти по фишинговой ссылке.

Функция поиска в Facebook содержит уязвимость, которая может привести к утечкам информации пользователей.

1. Страница с результатами поиска включает в себя элементы iFrame, которые не защищены от атак межсайтовой подделки запроса (cross-site request forgery, CSRF).
2. Чтобы использовать ошибку, пользователя нужно заманить на мошеннический сайт.
3. При любом клике на странице выполнится JavaScript-код, который откроет новую вкладку с Facebook и выполнит в ней запрос любой интересующей злоумышленника информации.

В Instagram обнаружена и устранена ошибка, из-за которой пароль пользователя отображался открытым текстом в адресной строке браузера.

Причина ошибки заключалась в некорректной реализации функции загрузки пользовательских данных, которая требовалась в соответствии с GDPR. Для защиты данных от посторонних при попытке загрузить данные у пользователя повторно запрашивали пароль, который и отображался в незашифрованном виде в строке адреса.

Ошибка затронула небольшое количество пользователей и представляла опасность лишь при использовании компьютеров в общественных местах, где посторонние могли увидеть пароль, заглянув через плечо пользователя.

Атаки, уязвимости и утечки

Уязвимость в браузере Safari позволяет осуществить омографическую атаку и показать пользователю фальшивый сайт, заменив букву в имени на схожий по начертанию Unicode-символ.

Apple выпустила исправление для уязвимости в июле 2018 года: рекомендуем обновить свои устройства.

На компьютерах общего доступа в московских МФЦ обнаружено большое количество файлов с персональными данными — сканы паспортов и других документов.

Эти компьютеры посетители МФЦ используют, чтобы отсканировать документы и загрузить их в электронном виде на портал госуслуг. Закончив загрузку, многие забывают удалить файлы, в результате чего их может скопировать себе любой желающий.

По внутреннему регламенту администраторы МФЦ должны ежедневно очищать компьютеры публичного доступа от посторонних файлов, но на практике иногда забывают сделать это.

Вредоносное ПО

Модульный вредонос DarkGate для Windows распространяется через фишинговые письма и поддельные torrent-файлы.

1. Вредоносное вложение в письмо или torrent загружают дроппер с расширением .vbe (VBScript), при запуске которого в систему загружаются основные компоненты зловреда.
2. DarkGate использует технику process hollowing, создавая новый экземпляр легитимного процесса и подменяя его код вредоносным содержимым. Если на компьютере обнаруживается антивирус Касперского, вредонос загружает свой код другим способом.
3. Обратившись к управляющему серверу, DarkGate загружает и запускает модуль майнинга.
4. На управляющий сервер отправляются учётные данные пользователя, куки и история браузера, лог сообщений Skype и криптокошельки.

Среди функций вредоносной программы — хищение учётных данных, майнинг криптовалюты, шифрование файлов и удалённый доступ к компьютеру жертвы.

Мобильная безопасность

Больше половины бесплатных VPN-приложений в Google Play и AppStore разработаны в Китае и не только не гарантируют приватности, но отслеживают действия пользователей и отправляют данные в Китай.

По данным исследователей,

• 17 из 30 VPN-приложений разработаны в Китае или принадлежат китайским разработчикам;
• 86% из них имеют совершенно неприемлемые соглашения о конфиденциальности;
• 55% политик приватности размещены на бесплатных серверах в виде обычных текстовых файлов;
• 64% приложений не имеют даже собственного сайта;
• поддержка пользователей у 52% приложений производится по электронной почте с личного адреса разработчика;
• 83% запросов на поддержку были проигнорированы.

Нейросеть DeepMasterPrints научилась создавать универсальные отпечатки пальцев, которые позволяют разблокировать любое устройство, оснащённое биометрическим сканером отпечатков.

Большинство сканеров отпечатков имеют небольшой размер и поэтому работают только с частью отпечатка пользователя, сравнивая её с базой. Поскольку некоторые части отпечатков повторяются и имеются схожие признаки, можно создать искусственный отпечаток из нескольких частей, который сможет обмануть систему проверки.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека cо 9 по 15 ноября 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мобильная безопасность

Среди пользователей WhatsApp распространялась фальшивая новость о видео, которое может взломать смартфон.

Кроме того, в сообщении говорилось об обновлении до WhatsApp Gold, которое не нужно устанавливать, потому что это вирус. Оповещение предлагалось распространить среди всех контактов, чтобы уберечь их от неминуемой опасности.

Как выяснили эксперты, видео «martinelli» с вредоносными функциями — выдумка автора сообщения, а вот премиальный сервис WhatsApp Gold представляет собой настоящую угрозу, поскольку не имеет отношения к мессенджеру.

В операционной системе Android обнаружена уязвимость, которая позволяет отслеживать местоположение пользователей.

Ошибка связана с утечкой информации через механизм межпроцессного взаимодействия (IPC) Intent. Если доступ к этому механизму не ограничен, вредоносные приложения могут «слушать» обмен и перехватить информацию, доступа к которой у них быть не должно.

Используя уязвимость, злоумышленник может отслеживать передвижение владельца смартфона в зоне действия Wi-Fi сигнала от интернет-маршрутизатора.

1. Android время от времени транслирует сведения о Wi-Fi подключении с помощью Intent.
2. В составе сведений содержится мощность принимаемого сигнала.
3. Чем ближе устройство к маршрутизатору, тем выше мощность сигнала.
4. Слушая сообщения, вредоносное приложение может определить местоположение пользователя относительно марутизатора.

Уязвимость затрагивает все версии Android.

Неизвестная группировка атакует учётные записи Apple ID, вызывая массовые блокировки по всему миру.

Блокировка Apple ID происходит без объяснения причин, но доступ к учётной записи можно восстановить, ответив на секретный вопрос и указав подтвержденный номер телефона.

При блокировке отображается уведомление о необходимости обновления настроек Apple ID. Как правило, требуется обновить учетные данные, хранящиеся на устройстве, однако многие пользователи сообщают, что их учетные записи были заморожены.

Обычно блокировка случается после многократного ввода неверного пароля.

Вредоносное ПО

Криптовалютный майнер для Linux использует руткит для скрытия присутствия в системе.

Когда вредонос начинает работу, загрузка процессора возрастает до 100%. Без руткита найти источник потребления ресурсов легко:

Руткит перехватывает функции readdir и readdir64, перезаписывая библиотеку libc вредоносной версией. Фальшивая версия readdir прячет процесса майнера kworkerds, поэтому обнаружить его намного сложнее.

Вредонос Coinminer распространяется под видом файла MSI, чтобы обойти фильтры безопасности.

Coinminer содержит каталог с различными файлами для «отвода глаз», а также скрипт, блокирующий любые процессы защиты от вредоносных программ.
Кроме того, вредонос обладает встроенным механизмом самоуничтожения, который стирает каждый файл в установочном каталоге и удаляет все следы присутствия в системе.

Атаки, уязвимости и утечки

Посторонние могли получить доступ к бортовым журналам дронов DJI, фото и видео, картам полётов, а также подключиться к камере и микрофону устройства.

Для авторизации пользователей используется файл cookie. Чтобы похитить его, атакующему нужно:

1. Разместить на форуме DJI сообщение со ссылкой на вредоносный JavaScript и убедить пользователя кликнуть по ней.
2. Получить в свое распоряжение файл cookie и токен учётной записи.
3. Используя уязвимость в настройках форума, экспортировать Secure Cookie на другой домен, а с помощью токена получить доступ в облако с архивами фото и видео и другой информацией.

Демонстрация атаки:

В игровой платформе Steamworks от Valve обнаружена уязвимость, которая позволяла загрузить ключи активации любых игр, выпущенных через Steam.

Из-за ошибки в Steam web API, которая используется для выдачи ключей активации легальным пользователям, можно было получить файл со всеми ключами для любой игры, указав «0» в качестве числа ключей, которые требуется вернуть в наборе.

Обнаружены новые разновидности атак на процессоры Intel, AMD и ARM. Две из них относятся к семейству Meltdown, пять — к Spectre.

1. Атака Meltdown-PK работает только для процессоров Intel и позволяет обойти ограничения, установленные с помощью ключей защиты памяти (PKU, Protection Keys for Userspace).
2. Атака Meltdown-BR действует на Intel и AMD. Её работа основана на  инструкциях проверки границ, которые могут допустить утечку после спекулятивного выполнения.
3. Атаки Spectre-PHT-CA-OP, Spectre-PHT-CA-IP и Spectre-PHT-SA-OP используют таблицу с историей шаблонов переходов и работают на процессорах Intel, AMD и ARM. Spectre-PHT-CA-OP позволяет получить доступ к произвольным областям памяти.
4. Spectre-BTB-SA-IP, Spectre-BTB-SA-OP — новые вариации атак на буфер предсказания ветвления. Для атак уязвимы процессоры AMD, ARM и Intel. атаки позволяют атакующему получить доступ к памяти приложений одного уровня.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.