Представляем новости об актуальных технологиях фишинга и других атаках на человека c 21 по 27 сентября 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Банковский троян Emotet распространяется через спам-письма с вложенными документами Microsoft Word с вредоносным макросом или PDF со встроенными скриптами.

Получателю вредоносного письма предлагается ознакомиться с новым счетом или балансом после некоего платежа либо перевода.

При открытии прикрепленного файла в формате .doc или .pdf на машину загружается Emotet, причём для .doc пользователь должен, следуя подсказке, включить макросы.

Банкер имеет модульную структуру, умеет проводить мошеннические транзакции, копировать учетные данные и адреса email, рассылать свои копии в спаме, самостоятельно распространяться в локальной сети и загружать другое вредоносное ПО.

Вредоносное ПО

Банковская троянская программа распространяется под видом Adobe Reader и похищает данные банковских карт бразильских пользователей с помощью подмены веб-страницы.

• Если язык системы — не португальский или запуск произошёл под виртуальной машиной, загрузчик завершает работу, иначе скачивает с управляющего сервера вредоносную нагрузку и запускает её на исполнение.
• Когда пользователи открывают в окне браузера сайты бразильских банков, Trojan.PWS.Banker1.28321 незаметно подменяет веб-страницу, показывая жертве поддельную форму для ввода логина и пароля, а в некоторых случаях — просит указать проверочный код авторизации из полученного от банка СМС-сообщения.
• Полученную информацию банкер передаёт на управляющий сервер.

Многофункциональная вредоносная программа Virobot распространяется через спамерские письма, шифрует файлы пользователей, требуя выкуп, содержит функции кейлоггера и включает зараженную машину в ботнет для рассылки спама.

После заражения вредонос шифрует пользовательские файлы и на французском языке требует выкуп в размере 520 долларов США в биткоинах.

Помимо шифрования, Virobot может загружать с управляющего сервера различные модули и выполнять их в среде PowerShell, а также рассылать спам с вредоносной нагрузкой контактам из адресной книги Outlook.

Мобильная безопасность

Метод идентификации «отпечатка приложений» позволяет идентифицировать пользователя среди миллионов других с помощью данных об использовании приложений на смартфоне.

Исследование показало, что пользователи всегда одинаково работают с приложениями и не меняет своих привычек, что делает данные об использовании программ надежным инструментом для идентификации.

Даже если работа с программой подразумевает повторение одних и тех же действий, каждый человек умудряется выполнять их по-своему. Исследователи считают, что с помощью данных об использовании ПО можно определить возраст человека, его пол, семейное положение, образование, политические взгляды, сексуальную ориентацию, религиозные взгляды и даже черты характера.

Новая версия мобильного банкера Roaming Mantis похищает учётные данные пользователей iOS при помощи фишинга.

Раньше троян был ориентирован только на пользователей Android, но разработчики зловреда доработали его функционал.

Если жертвы выходят в интернет через зараженный роутер с iOS-устройства, с помощью подмены DNS их перенаправляют на мошеннический сайт. Там у них могут похитить логин и пароль, номер банковской карты, срок действия и код CVV.

Кроме того, вредонос использует iOS-гаджеты для веб-майнинга с помощью скрипта CoinHive, обычно использовавшегося авторами вредоносов и владельцами сайтов для несанкционированного майнинга на обычных компьютерах.

Новый ботнет Black Rose Lucy нацелен на устройства под управлением Android и создан по модели «Вредонос как услуга».

Интерфейс управления зараженными устройствами:

• Троян проникает в целевую систему под видом обновления Android или графических файлов.
• После установки Black Rose Dropper скрывает свою иконку и регистрируется на устройстве под именем Security of the system.

• Через 60 секунд программа выводит на экран сообщение об угрозе безопасности и просит у жертвы разрешение на использование специальных возможностей. Всплывающее окно с предупреждением появляется на дисплее до тех пор, пока желаемый результат не будет достигнут.
• Получив специальные возможности и привилегии администратора, Black Rose принимает системные запросы, имитируя нажатия на экран, и таким образом полностью контролирует скомпрометированное устройство.
• Для маскировки вредонос выгружается из памяти, когда жертва включает экран телефона и возобновляет работу, когда экран гаснет.
• Black Rose Lucy находит и выгружает из памяти антивирусные приложения и другие защитные механизмы. Обнаружив потенциально опасную для себя службу, Black Rose старается закрыть ее, имитируя несколько последовательных нажатий на кнопки «Назад» и «Домой». Точно так же ботнет блокирует возможность сброса настроек телефона к заводским установкам.
• Интерфейс панели управления переведен на английский и турецкий языки, а среди антивирусов, которые обнаруживает клиентская часть системы, есть китайские разработки.

Из каталога Google Play удалено шесть троянских программ, имитирующих приложения банков Новой Зеландии, Австралии, Великобритании, Швейцарии, Польши и криптовалютный обменник Bitpanda.

Вредоносы похищали данные банковских карт пользователей, отображая при запуске фишинговую форму:

После ввода сведения передавались на сервер злоумышленников, а программа показывала сообщение с благодарностью и завершала работу.

Атаки, уязвимости и утечки

Сетевые накопители Western Digital My Cloud содержат уязвимость, с помощью которой можно получить административные права без аутентификации.

Источником уязвимости служит процедура верификации пользователя, которую разработчики устройства выполняют с использованием куки.

Это позволяет проэксплуатировать уязвимость удалённо, включив в HTTP-запрос на выполнение любой команды строку Cookie: username=admin:

команда выполнится с правами администратора устройства

Исследователь, обнаруживший уязвимость, уведомил о ней компанию Western Digital в апреле 2017 года, но компания выпустила исправления лишь 21 сентября 2018 года:

My Cloud NAS Devices Vulnerable to Auth Bypass for over a Year — by @Ionut_Ilascuhttps://t.co/4BbrIdZl9d

— BleepingComputer (@BleepinComputer) 19 сентября 2018 г.

В новой версии macOS Mojave обнаружена уязвимость, которая позволяет обмануть механизмы защиты приватности.

По заявлению Apple, пользователи macOS Mojave должны давать явное согласие на доступ к любым локальным сервисам, контактам, календарю, фотографиям, камере, микрофону и другим программам и устройствам. Предполагается, что это не позволяет вредоносным приложениям сделать это автоматически, имитируя действия человека.

Выяснилось, что непривилегированное приложение может обойти защиту приватности и получить полный доступ к конфиденциальным данным пользователя и его устройствам.

Технические подробности уязвимости не разглашаются до конференции Mac Security, которая состоится в ноябре 2018 года. Исследователь отметил, что его метод позволяет обойти не все механизмы защиты, реализованные в macOS Mojave, и аппаратные компоненты, такие как веб-камера, вне опасности.

Уязвимость в Mozilla Firefox может привести к сбою работе браузера в операционных системах macOS, Linux и Windows.

Для эксплуатации уязвимости используется скрипт, который генерирует файл с очень длинными именем, и предлагает пользователю загрузить его каждую миллисекунду:

В результате переполняется канал IPC (межпрограммного взаимодействия) между дочерним элементом Firefox и основным процессом, что и приводит к зависанию браузера, а в Windows-версии — даже к зависанию операционной системы.

Личные сообщения и закрытые посты некоторых пользователей Twitter оказались доступны посторонним из-за уязвимости в Account Activity API.

Подключившись к программному интерфейсу Account Activity API, компания-партнер Twitter может получать и принимать сообщения пользователей через плагин на своем сайте, а также рассылать информацию подписчикам при помощи движка сервиса.

В некоторых случаях сообщения, отправленные через программный интерфейс в адрес одной из компаний, могли быть по ошибке доставлены другому адресату, также подключенному к этому API. Уязвимость затронула менее 1% клиентов сервиса, поскольку проявлялась лишь при одновременном выполнении условий, совпадение которых в реальной жизни маловероятно.

Сообщение могло быть доставлено не по адресу, если:

• Домены двух зарегистрированных партнеров Twitter используют один и тот же публичный IP.
• У партнеров совпадает часть URL после доменного имени, например: www.aaa.com/some_link и company.net/some_link.
• Партнеры взаимодействовали с API в течение одного 6-минутного отрезка времени.
• Аккаунты партнеров расположены на одном и том же сервере социальной сети.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 14 по 20 сентября 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мобильная безопасность

Злоумышленники похищают деньги с банковских карт граждан, рассылая фишинговые СМС от Центробанка с предупреждением о блокировке счёта.

В качестве средства для запугивания жертв мошенники используют новый закон о блокировке подозрительных операций по картам, вступающий в действие 27 сентября 2018 года. Жертве предлагают позвонить по контактному телефону и во время разговора выманивают все необходимые для хищения денег сведения — номер карты, PIN-код и CVV.

В мошенническом сообщении:

• нет информации о законе, в соответствии с которым банк заблокировал операции,
• не указаны ФИО пользователя и минимальные уточняющие данные о его счете,
• отправителем значится Центробанк, который не работает с физическими лицами и не занимается рассылкой сообщений на телефоны.

Дозвон на номер злоумышленников может привести не только к хищению средств с карты, но и списанию средств со счета мобильного телефона.

Мобильный банковский троян Asacub распространяется с помощью фишинговых СМС-сообщений с предложением посмотреть фотографии или ММС по указанной ссылке.

При переходе по ссылке и нажатии на кнопку загрузку на устройство скачивается вредоносное ПО:

Троян маскируется под приложения для работы с ММС или популярные сервисы бесплатных объявлений. Заражение произойдет, если владелец смартфона разрешил в настройках установку приложений из неизвестных источников.

Asacub похищает деньги с привязанной к номеру телефона банковской карты, отправляя СМС-сообщения для перевода средств на другой счет по номеру карты или мобильного телефона. Жертва не сможет проверить баланс через мобильный банк или изменить настройки, поскольку Asacub не позволяет открыть на устройстве банковское приложение.

Кроме того, Asacub может:

• Отправлять злоумышленникам информацию о зараженном устройстве и список контактов.
• Звонить на номера, которые пришлет командный сервер.
• Закрывать приложения с именами, которые пришлет командный сервер (как правило, это антивирусные и банковские приложения).
• Отправлять СМС-сообщения с указанным текстом на номера из адресной книги устройства с подстановкой в сообщение имени, под которым записан контакт, — эта функция используется для распространения.
• Читать входящие СМС и отсылать их содержимое злоумышленникам.
• Отправлять СМС-сообщения с указанным текстом на указанный номер.

Обнаружена уязвимость, приводящая к зависанию и перезагрузке iPhone, iPad и Mac.

Для этого достаточно открыть в браузере html-страницу со специально сформированным CSS-кодом, использующим CSS-свойство backdrop-filter. Используя на странице множественные элементы div с установленным CSS-свойством, можно быстро израсходовать все графические ресурсы и вызвать зависание или перезагрузку ОС.

Поведение вызвано уязвимостью в браузерном движке WebKit, а для проведения атаки не требуется использование JavaScript, что позволяет осуществить её даже в приложении Почта.

Демонстрация атаки:

pic.twitter.com/GJ61XvM1FE

— Sabri (@pwnsdx) 15 сентября 2018 г.

Сайта, почта и мессенджеры

Мошенники из фальшивой техподдержки используют уязвимость Google Chrome для блокировки пользователей на вредоносных страницах.

Через рекламные объявления мошенники заманивают посетителей на сайты, которые «замораживают» браузер: пользователи не могут закрыть вкладку или окно, либо перейти на другой сайт или в рабочий стол операционной системы.

Для «заморозки» браузера используется техника перехвата курсора мыши, при которой он из стрелки превращается в большой квадрат 128 на 128 пикселей без изменения картинки.

Пользователь думает, что он нажал в одной точке, а фактическое нажатие регистрируется в другом месте. Не имея возможности кликнуть на кнопку закрытия окна или вкладки, пользователь не может закрыть сайт или браузер.

На вредоносной странице имеется телефон, по которому пользователь может связаться с фальшивой технической поддержкой для «разрешения проблемы». Общение может окончиться как установкой вредоносной программы под видом антивируса, так и оплатой ненужных услуг.

Всего мошенники зарегистрировали более 16 тысяч вредоносных доменов для создания сети сайтов с подобной функциональностью.

Фишинговая кампания против пользователей криптовалютного кошелька Jaxx использовала поддельный сайт для раздачи фальшивых версий ПО с внедрённым вредоносным кодом.

1. Злоумышленники создали сайт jaxx(.)ws, имитирующий официальный ресурс jaxx(.)io.
2. Сайт предлагал пользователям скачать Jaxx для macOS и Windows.
3. Если жертва запрашивала мобильную версию Jaxx, то получала «чистый» файл.
4. Создание новых кошельков на вредоносном сайте было «временно недоступно».

После запуска вредоносная программа отправляла на управляющий сервер найденные в системе файлы txt, xls и doc, а затем запускала вредоносы KPOT Stealer и Clipper, которые похищают данные с локальных дисков и из буфера обмена.

Другая версия вредоносной программы сообщала о технических проблемах и предлагала указать фразу для восстановления кошелька Jaxx, которую также отправляла злоумышленникам, сообщая жертве, что сервер временно недоступен и рекомендуя вернуться через 4 часа.

«Расширяемая» реклама на страницах сайтов может использоваться для проведения кибератак.

Источник уязвимости — файлы с бустерами плавающих фреймов (iframe busters), которые используются для расширяемых баннеров. Для их показа используется код JavaScript, обходящий политику одного источника (Same Origin Policy) в браузере. Именно это позволяет рекламе выходить за пределы своего контейнера, увеличиваясь на весь экран.

Большая часть используемых скриптов содержит XSS-уязвимости, которые позволяют запустить вредоносные скрипты с других сайтов.

Вредоносное ПО

Новый шифровальщик PyLocky маскируется под другой вымогатель — Locky.

1. Для распространения PyLocky использует фишинговые рассылки, ориентированные на сотрудников компаний.
2. Жертв убеждают перейти по ссылке и скачать архив, содержащий вредонос.
3. Для маскировки малварь использует инсталлятор Inno Setup, содержимое которого не детектируется антивирусами.

После установки шифровальщик затихает на 999999 секунд, а затем шифрует файлы 150 типов с помощью алгоритма 3DES. Закончив шифрование, PyLocky сообщает об этом управляющему серверу и требует выкуп в криптовалюте.

Злоумышленники распространяли загрузчик криптомайнера под видом новой версии одного из дополнений к медиаплееру Kodi.

1. Система обновлений Kodi позволяет скачивать апдейты аддонов как из официального репозитория, так и из независимых хранилищ.
2. Злоумышленники присвоили инфицированному дополнению simplejson номер 3.4.1, в то время как легитимный аддон имел версию 3.4.0.
3. Пользователь, прописавший один из скомпрометированных репозиториев в качестве источника обновлений, автоматически получал зараженную программу после ее появления на сервере.
4. Часть жертв загрузили вредонос вместе с готовыми сборками Kodi, содержавшими simplejson.

Многофункциональный зловред XBash написан на Python и умеет атаковать системы Windows, macOS и Linux.

Основным компонентом зловреда является бот, который по команде с управляющего сервера сканирует интернет в поисках уязвимых веб-приложений и сервисов.

XBash использует три эксплойта:

1. Hadoop (раскрытая в 2016 году брешь без CVE-идентификатора, позволяющая выполнять команды в обход аутентификации),
2. Redis (2015 год, запись произвольных файлов и удаленное выполнение команд, тоже без CVE),
3. ActiveMQ (CVE-2016-3088, удаленная загрузка и исполнение произвольных файлов)

Кроме поиска уязвимостей XBash проводит словарные атаки на  веб-сервера, VNC, MariaDB, MySQL, PostgreSQL, Redis, MongoDB, Oracle DB, CouchDB, ElasticSearch, Memcached, FTP, Telnet, RDP, UPnP/SSDP, NTP, DNS, SNMP, LDAP, Rexec, Rlogin, Rsh и Rsync.

На взломанных Linux-системах зловред уничтожает базы данных MySQL, MongoDB и PostgreSQL, вымогая за восстановление 0,02 биткоина (125 долларов США по текущему курсу).

Windows-версия содержит модуль для майнинга криптовалюты и сетевого червя, который распространяется с помощью утилиты LanScan.

Атаки, уязвимости и утечки

Атака Cold boot позволяет прочитать содержимое оперативной памяти в течение некоторого времени после аппаратной перезагружки устройства. К атаке уязвимы компьютеры всех ведущих производителей, включая Dell, Lenovo и Apple.

После отключения питания в микросхемах оперативной памяти некоторое время сохраняется информация, загруженная во время работы компьютера. Стандартные механизмы завершения работы ОС включают в себя очистку RAM, однако при аппаратной перезагрузке этого не происходит. Данные сохраняются на срок от нескольких секунд до десяти минут, однако это время может быть увеличено за счет охлаждения чипа:

В системах видеонаблюдения на базе программного обеспечения компании NUUO обнаружена уязвимость CVE-2018-1149, которая позволяет удаленному злоумышленнику получить полный контроль над устройством.

Эксплойт, получивший имя Peekaboo, вызывает переполнение буфера и предоставляет атакующему возможность просмотреть изображение с камеры и вмешаться в ход записи, включая и выключая запись видеоданных на диск или даже заменяя их статической картинкой:

Эксплуатация уязвимости приводит к компрометации учетных данных камеры и раскрытию ее пароля, IP-адреса, марки, модели и списка подключенного оборудования. Кроме того, взломщики имеют возможность управлять питанием системы, отключать устройства, создавать административные аккаунты на видеосервере NVRmini 2, а также перехватить управление всей сетью видеонаблюдения:

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 7 по 13 сентября 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Атаки, уязвимости и утечки

Автоматическое упрощение адреса сайта в строке адреса, которое появилось в 69 релизе Google Chrome может быть использовано для фишинговых атак.

сайт www.bleepingcomputer.com, чей адрес отображается как bleepingcomputer.com

Стремясь упростить жизнь пользователей, Google решила в новых версиях браузера отказаться от отображения «тривиальных» частей url в строке адреса. Под раздачу попали префиксы www., m. и ряд других. При этом реализация функции содержит недоработки, которые приводят к таким преобразованиям как

www.site.www.site.com ? site.site.com
blog.www.site.com ? blog.site.com

Проблема такого «усовершенствования» не только в том, что для некоторых сайтов приставка www является значимой частью адреса. Например,

www.pool.ntp.org — сайт кластера серверов точного времени (NTP).
pool.ntp.org — сами сервера NTP.

Используя новую особенность отображения адреса, злоумышленники могут с лёгкостью заманить своих жертв на фишинговые ресурсы так, что они не заметят ничего необычного.

Чтобы отключить «усовершенствованное» преобразование адресов, нужно

1. Запустить Chrome, в строке адреса ввести chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains и перейти по ссылке.
2. На открывшейся странице выбрать настройку «Disabled» для опции «Omnibox UI Hide Steady-State URL Scheme and Trivial Subdomains»
3. Перезапустить Chrome.

В браузерах Microsoft Edge и Apple Safari обнаружена проблема, с помощью которой злоумышленник может загрузить страницу, а затем перезаписать её содержимое без изменения URL в адресной строке.

При запросе данных с несуществующего сетевого порта браузер сохраняет адрес и загружает контент фальшивой страницы. При этом происходит задержка, которой вполне достаточно, чтобы подменить URL в адресной строке.

Использование уязвимости позволяет злоумышленнику создавать фальшивые формы авторизации или другие формы для сбора данных в то время как пользователь будет уверен, что находится на другой странице.

Демонстрация уязвимости в Microsoft Edge:

Демонстрация уязвимости в Apple Safari:

Из-за компрометации сайта и мобильного приложения авиакомпании British Airways личные и финансовые данные 380 000 человек оказались в руках неизвестных злоумышленников.

Под угрозой оказались все пользователи, осуществлявшие бронирование через официальный сайт или приложение компании в период с 25 августа по 5 сентября 2018 года. Информации об атаке пока нет, авиакомпания рекомендует всем пострадавшим уведомить своим банки о компрометации кредитных карт и поменять пароли на сайте.

База с 445 миллионами записей клиентов компании Veeam оказалась в публичном доступе.

База MongoDB, чей размер превышал 200 Гб, была обнаружена на открытом для публичного доступа сервере. Оказалось, что эти данные принадлежат клиентам швейцарской компании Veeam, всего в базе было около 445 миллионов записей.

В базе содержалась личная информация клиентов — имя и фамилия, адрес электронной почты и страна проживания. По словам исследователя, также там обнаружились дополнительные данные вроде типа клиента и размера организации, IP-адресов, URL-адресов реферрера и юзерагентов (User Agent):

Veeam предоставляет услуги управления данными для виртуальных, физических и облачных инфраструктур.

Компания Schneider Electric поставляла вместе с солнечными электростанциями флешки, зараженные вредоносным ПО.

На флешках содержатся руководства пользователя электростанции и различное вспомогательное программное обеспечение, которое не требуется для управления станциями. Предположительно, заражение флешек произошло на этапе производства на фабрике стороннего поставщика.

Все компьютеры администрации города Мидленд в Канаде вышли из строя на двое суток из-за атаки шифровальщика.

Чтобы быстрее получить зашифрованные файлы, власти города заплатили вымогателям выкуп и получили ключи для расшифровки. Предположительно, причиной такого решения стало отсутствие резервных копий важной информации.

В ходе вредоносной кампании «Mongo Lock» злоумышленники атакуют доступные удаленно и незащищенные базы данных MongoDB, уничтожают данные и требуют выкуп за их возврат.

На месте удаленной базы данных злоумышленники в этом случае оставляют новую базу под именем «Warning», внутри которой находится файл «Readme», в котором злоумышленники сообщают, что база данных зашифрована, и жертвам необходимо заплатить выкуп, чтобы вернуть ее. Они не оставляют никаких адресов для транзакций, а просят жертв связаться с ними с помощью электронной почты.

Умные устройства

Уязвимость в Tesla Model S позволяет угнать электромобиль менее чем за 2 секунды:

Причина уязвимости — слабое 40-битное шифрование при обмене данными между брелоком сигнализации и программным ядром автомобиля, в то время как безопасными считаются ключи длиной от 128 бит.

Специалисты собрали устройство для угона на базе мини-компьютера Raspberry Pi и нескольких радиомодулей. Изобретение позволяет создать виртуальную копию брелока, с которой можно отправлять сигналы о разблокировке дверей и запуске двигателя. Себестоимость изделия составила около $600.

Мобильные устройства

Обнаружена вредоносная кампания, в рамках которой злоумышленники используют платформу управления мобильными устройствами iOS (MDM) для установки фальшивых приложений с вредоносными функциями взамен оригинальных.

Платформа MDM позволяет установить на устройство под управлением iOS профиль, который определяет, помимо прочего, возрастные ограничения для приложений на устройстве. Сам профиль представляет собой XML-файл, который пользователь может загрузить с MDM-сервера:

<key>ratingApps</key>
<integer>200</integer>
<key>ratingMovies</key>
<integer>1000</integer>
<key>ratingRegion</key>
<string>us</string>
<key>ratingTVShows</key>
<integer>1000</integer>

Загрузка такого конфигурационного файла с MDM-сервера является легитимным механизмом работы с телефоном. Злоумышленники использовали методы социальной инженерии, чтобы ввести жертву в заблуждение и заставить подключиться к их ресурсу:

После установки профиля с таким содержимым пользователь устройства не сможет изменять настройки и не увидит приложения, предназначенные для лиц старше 9 лет:

Внедрив такую настройку, злоумышленники предлагают жертвам установить фальшивые Telegram, WhatsApp, IMO, PrayTime, Safari и MyApp, которые похищают сообщения с iOS-устройств, используя тот факт, что настоящие приложения в силу возрастных ограничений пользователь просто не видит.

Сайта, почта и мессенджеры

Мошенники использовали портал Microsoft TechNet для продвижения услуг фальшивой технической поддержки.

Мошенники предлагали «техническую поддержку» в различных областях, от криптовалютных сайтов до Instagram. Размещение на домене microsoft.com позволяло мошенникам повысить репутацию своих страниц и появляться выше в поисковой выдаче.

Всего было обнаружено и удалено более 3 тысяч мошеннических страниц.

Вредоносное (защитное) ПО

Продукты Dr Cleaner, Dr Cleaner Pro, Dr. Antivirus и Dr Unarchiver от компании Trend Micro собирали информацию о компьютерах пользователей и историю браузеров.

Собранные данные время от времени передавались на домен trendmicro.com.
После жалобы приложения были удалены из AppStore, а компания TrendMicro провела внутреннее расследование и извинилась перед сообществом, сообщив, что сбор информации из браузеров отключён, все собранные журналы браузеров удалены, а причина состоит в использовании общих с обычными приложениями библиотек, в которых была заложена функциональность сбора данных.

Демонстрация шпионской активности приложений TrendMicro:

Антивирус Adware Doctor для Мас похищал историю браузеров и конфиденциальные данные пользователей.

Занимавший первое место по популярности Adware Doctor собирал:

• историю посещений в браузерах Chrome, Safari и Firefox,
• список запущенных процессов,
• историю поиска в App Store,

упаковывал данные в защищенный паролем zip-архив, который отправлял на удаленый сервер adscan.yelabapp.com.

После жалобы на некорректное поведение программы антивирус был удалён из AppStore.

Демонстрация шпионской деятельности Adware Doctor:

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.