Представляем новости об актуальных технологиях фишинга и других атаках на человека c 31 августа по 6 сентября 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мобильная безопасность

В Google Play обнаружено около 130 троянов семейства Android.Click, которые выдают себя за популярные приложения и незаметно подписывает пользователя на платные услуги.

Например, троян Android.Click.265.origin маскируется под официальное приложение для работы с онлайн-магазином торговой сети «Эльдорадо», загружая в своем окне мобильную версию магазина «Эльдорадо» и позволяя полноценно с ним работать. Но, кроме этого, троянец показывал пользователям надоедливую рекламу, открывал страницы дорогостоящих мобильных услуг и автоматически нажимал на кнопку подтверждения подписки.

После этого с мобильного счета жертвы каждый день списывалась определенная сумма.

Троян Android.Click.248.origin выдавал себя за клиентское приложение интернет-доски объявлений «Юла», онлайн-магазин AliExpress и голосовой помощник Алиса компании Яндекс.

После установки троян открывает один из фишинговых сайтов, на котором пользователю предлагают скачать известную программу либо сообщают о выигрыше ценного приза и запрашивают номер мобильного телефона, якобы необходимый для получения проверочного кода.

На самом деле этот код нужен для подтверждения подписки на платную услугу, за использование которой каждый день будет взиматься плата.

Андроид-вредонос распространяется под видом мессенджера Viber через сайты, имитирующие официальный магазин приложений Google Play.

На странице лже-Вайбера есть значок «Выбор редакции», огромное количество загрузок и высокая средняя оценка пользователей.

В процессе установки на Android-устройство вредонос запрашивает расширенные права, в частности, доступ к контактам, звонкам и сообщениям, возможность записи аудиофайлов и операций с контентом на SD-карте. Получив требуемые права, зловред крадёт с устройства медиафайлы и документы, пересылаемые в чатах WhatsApp и WeChat, фотографии и загруженные файлы из памяти устройства, а также записывает телефонные звонки.

Многофункциональная Android-малварь BusyGasper имеет множество нестандартных шпионских функций, таких как слежка за датчиками устройства включая датчики движения, обход системы энергосбережения «Doze» и невероятно богатый протокол обмена с управляющим сервером, содержащий около ста команд.

BusyGasper умеет похищать данные из мессенджеров WhatsApp, Viber и Facebook, содержив функциональность кейлоггера, причём умеет распознавать символы, введённые пользователем, обрабатывая каждое касание пользователя к экрану, анализируя координаты касаний и  сопоставляя их с заданными величинами.

Вредонос имеет многокомпонентную структуру, скачивая дополнительные модули и обновления с управляющего FTP-сервера на хостинге Ucoz. BusyGasper поддерживает протокол IRC и может управляться через электронный почтовый ящик злоумышленников: после авторизации он анализирует письма в специальной папке на наличие команд и сохраняет на устройство вредоносные вложения.

Установленные на Android-смартфоне приложения могут без ведома пользователя получать доступ к конфиденциальным данным.

Причиной уязвимости является функции intents, с помощью которой операционная система Android и приложения могут отправлять внутренние сообщения, которые открыты для чтения всем компонентам ОС и запущенным приложениям. Оказалось, что получить доступ к этим данным могут любые приложения, не спрашивая разрешения пользователя. Уязвимость затрагивает все версии ОС и позволяет узнать историю браузера, а также в реальном времени отслеживать местоположение смартфона.

Атаки на «умные устройства»

Атака под названием «skill squatting» для Amazon Alexa может использоваться для фишинговых атак на пользователей виртуальных помощников.

Метод заключается в использовании омофонов — слов, которые пишутся по-разному и имеют разное значение, но произносятся одинаково (например, «код» и «кот»). Используя библиотеку Alexa Skills Kit, сторонние компании могут интегрировать своё приложение с голосовым помощником, создавая так называемые Skills. Выяснилось, что некоторые разработчики дают своим приложениям названия, похожие по звучанию на уже существующие:

Cat Facts — Cat Fax
Fish Facts — Phish Facts

Создавая Skills, перехватывающие голосовые команды для популярных легитимных приложений, злоумышленники могут выманивать у пользователей конфиденциальные данные.

Разработана кибератака на графический ключ разблокировки смартфона по акустическому каналу.

Анализируя отражённый акустический сигнал, учёные определяли траекторию движения пальца по экрану мобильного телефона. Уникальность этой техники состоит в использовании активных звуковых колебаний, генерируемых динамиками устройства.

Программа SonarSnoop анализирует отраженный звуковой сигнал, поступающий на встроенные в корпус устройства микрофоны. Сигнал издают динамики мобильного устройства по команде самого приложения, то есть участия жертвы не требуется.

На искажение акустической волны влияет статичность или движение пальца пользователя. На основании этой информации приложение пытается построить карту касаний экрана и расшифровать графический ключ. Программа применяет мультиплексирование с ортогональным частотным разделением каналов, чтобы излучать звуковые сигналы с частотой 18—20 кГц, неслышимые человеком. Это позволяет осуществлять свою деятельность незаметно для владельца телефона.

Почта, сайты и мессенджеры

Обнаружена сложная вредоносная кампания, в рамках которой злоумышленники используют легитимные утилиты операционной системы для доставки зловредной нагрузки на устройство жертвы.

Такая тактика позволяет киберпреступникам похищать пользовательскую информацию и устанавливать бэкдоры, оставаясь незаметными для антивирусных сканеров.

1. Атака начинается с вредоносного письма с Windows-ярлыком в качестве вложения или ссылки в тексте.
2. Объект содержит WMIC?команду, которая загружает на устройство XSL?файл, не вызывающий подозрения у систем безопасности, поскольку эту нотацию языка XML нередко применяют легитимные программы.
3. Внедренный в этот файл Java-скрипт выполняется при помощи системной утилиты Microsoft HTML Application Host, используемой для запуска приложений в формате .hta.
4. Подготовив необходимую инфраструктуру, злоумышленники приступают ко второй стадии атаки. Вредоносный скрипт генерирует уникальный адрес загрузки, случайным образом выбирая один из 52 предопределенных доменов и один из 89 портов доступа.
5. Полученный URL содержит HTA-файл, который после доставки на компьютер тоже формирует уникальную ссылку на скачивание полезной нагрузки. Таким образом киберпреступники пытаются усложнить идентификацию подозрительной активности в зараженной системе.
6. На третьей стадии нападения на устройство загружаются два DLL-файлов и несколько зашифрованных с помощью XOR модулей с расширениями .jpg или .gif.
7. Полезная нагрузка декодируется и внедряется на инфицированный компьютер при помощи одной из библиотек.
8. В скомпрометированной системе размещается целый арсенал вредоносных программ для кражи информации, удаленного управления и майнинга криптовалюты, включающий в себя:

• Программу для сбора паролей аккаунтов электронной почты.
• Приложение, похищающее пароли, сохраненные в памяти браузера.
• Кейлоггер, настроенный на работу с японской раскладкой клавиатуры, что свидетельствует о региональной направленности атаки.
• Фишинговый модуль, в дальнейшем используемый одним из мошеннических сайтов.
• Обозреватель файлов.
• Бэкдор для удаленного контроля устройства.
• Майнер криптовалюты.

Особенность браузера Safari в операционной системе macOS позволяет удалённо заразить компьютер жертвы.

Атака производится с помощью всплывающих окон вида «Do you want to allow...» («Хотите ли вы разрешить...») в момент посещения пользователем специально подготовленного (или скомпрометированного) веб-сайта.

Эксплойт использует обработчики документов, которые запрашивают разрешение на открытие ссылки или файла в другом приложении:

1. Злоумышленник заманивает пользователя на сайт с ZIP-файлом.
2. Файл автоматически загрузится и распакуется, в результате этого вложенная вредоносная программа будет зарегистрирована в системе пользователя.
3. Вредоносная веб-страница запустит код, который сможет загружать или просматривать пользовательскую схему URL.
4. macOS активирует обработчик URL и запустит приложение. Это действие активируется с помощью диалогового окна Safari, которые включает опции «Разрешить» и «Отменить».

Всплывающий текст и параметры контролируются злоумышленником, что позволяет обмануть пользователя.

Атака PowerPool начинается с целевого фишинга и использует для закрепления уязвимость в Windows Task Scheduler, для которой пока не выпущено исправление.

1. Вредонос, распространяемый в письмах — бэкдор-разведчик.
2. Если зараженная машина представляет интерес, загружается бэкдор второй стадии, который уже способен исполнять команды в системе, загружать и выгружать файлы, ликвидировать процессы и так далее.
3. На второй стадии атаки на скомпрометированную машину также загружается ряд опенсорсных инструментов, среди которых PowerDump, PowerSploit, SMBExec, Quarks PwDump и FireMaster.
4. На второй же стадии атаки происходит эксплуатация 0-day, подмена GoogleUpdate.exe и повышение привилегий.

Из-за взлома учётной записи разработчиков популярное Chrome-расширение MEGA было заменено вредоносом, который начинал собирать имена и пароли пользователей Amazon, Microsoft, Github, Google и криптовалютной биржи IDEX market, а также ключи от кошельков MyEtherWallet и MyMonero.

Помимо этого вредоносное расширение отслеживало шаблоны URL myetherwallet.com, mymonero.com и idex.market. Обнаружив их, зловред запускал скрипт, который пытался украсть ключи от криптокошельков на этих сайтах.

Через четыре часа после обнаружения проблемы разработчики заменили взломанный плагин на легитимный версии 3.39.5, автоматически установив его всем пострадавшим. Еще через час модераторы Google удалили зловред из интернет-магазина Chrome.

По данным экспертов число пострадавших от взлома превышает 1,5 миллиона.

Вредоносное ПО

Шифровальщик со странным именем Barack Obama’s Everlasting Blue Blackmail Virus («Вымогательский вирус вечной грусти Барака Обамы») имеет ещё и странную функциональность: он шифрует лишь файлы в формате .exe — даже те, что находятся в папке Windows.

После запуска «вирус Обамы» завершает процессы антивирусов и приступает к поиску и шифрованию исполняемых файлов. Это очень нетипично для вымогателей, которые обычно пропускают папку Windows, чтобы не нарушить работу системы.

«Обама-вирус» также модифицирует ключи реестра, ассоциируемые с шифруемыми файлами. В результате этим файлам присваиваются новые иконки, а сам зловред исполняется при каждом запуске зашифрованного .exe.

Чтобы получить инструкции по оплате расшифровки, жертве предлагают связаться с оператором зловреда по электронной почте (@qq.com).

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 24 по 30 августа 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Почта, сайты и мессенджеры

Мошенники могут собирать важную информацию о компании, сотрудниках и клиентах с помощью ранее принадлежавших организации доменов.

Команда исследователей во главе с Габором Сатмари приобрела шесть заброшенных доменных имен, часть которых ранее принадлежали нескольким австралийским юридическим фирмам.

Настроив почту на прием писем с любого адреса в домене, экспертам удалось заполучить порядка 25 тысяч сообщений, содержащих отчеты, заявления, уведомления, информационные бюллетени и спам.

Список просроченных доменов, доступных для регистрации

Письмо из банка, перехваченное исследователями

Подтверждение бронирования апартаментов

Другие возможные последствия потери контроля над почтовым ящиком:

источник

Иранские киберпреступники похищают учетные данные преподавателей и учёных, рассылая им фишинговые письма от имени университетских библиотек.

Фишинговые письма написаны очень грамотно, что в сочетании с отличной организационно-технической подготовкой обеспечивает высокую результативность рассылок.

Получив учётные данные, мошенники скачивают платные учебные материалы из электронных архивов образовательных учреждений.

По данным ФБР, к марту 2018 года злоумышленники украли свыше 31,5 ТБ данных более чем у 300 университетов в 22 странах мира. Атаки коснулись 100 тысяч пользователей, из которых взлому подверглись около 8 тысяч.

Эксперты оценили материальный ущерб в $3,4 млрд.

Вредоносное ПО

Кибершпионская группа Turla крадет конфиденциальные данные госучреждений в Европе с помощью бэкдора, который управляется командами в PDF-файлах.

Вредонос представляет собой автономную DLL. Для управления им операторы Turla используют электронные письма, содержащие вложения из специальных PDF-файлов, содержащих такие команды, как:

• выслать данные;
• загрузить в систему дополнительные файлы;
• выполнить другие программы и запросы.

Бэкдор проверяет каждое входящее письмо на наличие PDF-файла с командами и выполнит команды любого, кто сможет закодировать их в PDF-документе.

Обнаружена новая спам-кампания по распространению трояна для удаленного доступа DarkComet.

1. Имена вложений, содержащих вредонос, представляют собой вариации на тему «DOC000YUT600.pdf.z».
2. Внутри этих вложений находится файл с именем DOC000YUT600.scr, который при запуске установит вредонос DarkComet на компьютер пользователя.
3. В процессе установки троян копирует себя в %UserProfile%\Music\regdrv.exe и %UserProfile%\Videos\Regdriver.exe. Также зловред создает пункт автозапуска с именем «Registry Driver», что позволит файлу Regdriver.exe автоматически запускаться каждый раз, когда пользователь вход в Windows.
4. После установки DarkComet начинает регистрировать статистику использования приложений и активность клавиатуры. Все эти данные помещаются в специальный лог-файл, расположенный в папке %UserProfile%\AppData\Roaming\dclogs\.

DarkComet позволяет злоумышленнику подключиться к компьютеру жертвы и выполнить определенный набор команд. Это даёт киберпреступнику возможность собрать конфиденциальную информацию, чтобы потом использовать для шантажа.

Шпион Triout для Android записывает телефонные звонки, отслеживает текстовые сообщения, самостоятельно делает снимки, записывает видео и собирает данные о местоположении жертвы.

Вредонос попадает на устройство в модифицированном APK-пакете с мобильной игрой Sex Game. Ранее она была доступна в Google Play, но в 2016 году ее удалили из официального магазина. Новая версия приложения практически идентична оригинальной как по коду, так и по функциональным возможностям. Единственное исключение — вредоносная нагрузка. Всё остальное, вплоть до иконки на экране устройства, остается таким же, как раньше, чтобы не вызывать подозрений у жертвы.

Атаки, уязвимости и утечки

Разработана атака, позволяющая с высокой степенью точности угадывать изображение на экране через анализ акустических колебаний от источника питания монитора.

Специалисты научились определять по звуку устройства до 98% отдельных букв, а также различать веб-страницы, открытые пользователем. Такая атака требует тщательной подготовки, но может быть проведена даже с использованием стандартного оборудования.

Атака проходит в два этапа:

1. Сбор звуковых образцов, характеризующих тот или иной тип контента, и обучение программы их определению.
2. Использование полученных навыки для распознания знакомых ей акустических колебаний.

Обнаружен опасный способ атаки на пользовательские устройства через USB-порт.

Cам порт при этом выглядит лишь как источник питания и может размещаться в любом публичном или не очень месте, например, на зараженном ПК, в кафе или точке зарядки USB-устройств в аэропорте. Для успеха атаки нужно, чтобы владелец смартфона не смотрел на экран и не заметил, что устройство стало «жить своей жизнью.

Сама атака выполняется через использование недокументированных AT-команды для удаленного управления экраном смартфона. Это исключает возможность операционной системы обнаружить стороннее вмешательство и позволяет обмануть существующие функции защиты Android, имитируя прикосновения к экрану при помощи низкоуровневых AT-команд.

Атаке подвержены устройства Samsung и LG — именно на устройствах этих производителей проводились лабораторные опыты.

В облаке Amazon Web Services обнаружена незащищенная база данных MongoDB, принадлежащая компании ABBYY.

База содержала 142 Гб данных, в том числе различные отсканированные документы, начиная от соглашений о неразглашении информации и заканчивая контрактами и внутренними письмами. В общей сложности в базе находилось более 200 000 файлов, принадлежащих партнерам компании ABBYY, которые сканировали бумаги и сохраняли их в облаке.

Причиной инцидента стала ошибка при установке настроек приватности сервера. Компания оперативно закрыла доступ к серверу и уведомила все затронутые стороны, а также приняла меры по корректировке безопасности инфраструктуры, процессов и процедур.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 17 по 23 августа 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Атаки и уязвимости

Уязвимость в Active Directory Federation Services позволяет использовать двухфакторную аутентификацию одного аккаунта для других учётных записей.

Причина уязвимости CVE-2018-8340 в том, что протокол проверяет учетные данные и факторы самой аутентификации, но при этом предоставленный фактор не связан с фактической учетной записью.

Добавив к коду, эксплуатирующему уязвимость, самую примитивную фишинговую схему, злоумышленники могут скомпрометировать учётные записи руководителей или даже системных администраторов компании.

Уязвимость в браузере Chrome позволяла получать информацию о посетителях сайта с помощью тегов HTML audio и video.

Для проведения атаки достаточно было заманить жертву на вредоносный сайт или легитимный ресурс с вредоносной рекламой. Также злоумышленник мог использовать для атак уязвимости, которые позволяли осуществить внедрение и исполнение произвольного кода.

Рекомендуем обновить Chrome до версий 68.0.3440.75 и выше

Подробности: CVE-2018-6177

В качестве примера эксплуатации бага исследователи приводят возможность определения пола, возраста, примерного местонахождения и интересов пользователей, опираясь на фильтры Audience Restriction, которые можно применять к публикациям в Facebook:

Почта, сайты и мессенджеры

Злоумышленники атакуют банки с помощью файлов Microsoft Office Publisher.

Атаки начинались с электронных писем с темой «Совет по платежам» и с вложениями в формате .pub. В теле письма также содержатся URL, при переходе по которым загружается троян для удаленного доступа FlawedAmmyy.

Когда жертвы открывают файл .pub, им предлагается «Включить макросы», более ранние версии Microsoft Publisher могут отображать инструкции «Включить редактирование» и «Включить содержимое»:

Если пользователь включит макросы, документ загрузит и выполнит вредоносный файл:

Новая спам-рассылка содержит документ MS Word с вредоносным макросом.

Жертва получает фальшивое письмо о задолженности с вложенным файлом invoice.doc:

После открытия документ запрашивает пароль (1234, указан в теле письма). Благодаря этому, файл успешно прошел антивирусную проверку 57 антивирусами на сайте VirusTotal:

После ввода пароля мошенники убеждают пользователя активировать встроенный макрос:

После активации вредоносный скрипт скачивает один из штаммов программы AZORult, а та загружает и запускает шифровальщик Hermes 2.1:

Вымогатель шифрует пользовательские файлы и оставляет сообщение с предложением приобрести декриптор.

«Умные» устройства

Разработан вредоносный зарядный USB-кабель под названием USBHarpoon, с помощью которого можно взломать компьютер за несколько секунд.

1. Работа USBHarpoon базируется на атаке BadUSB. Для её проведения контроллер USB перепрограммируется таким образом, чтобы компьютер, к которому он подключается, воспринимал его как клавиатуру.
2. После подключения USBHarpoon разблокирует атакуемый компьютер и запускает команды для загрузки и выполнения произвольного кода.
3. На ПК под управлением Windows команды запускаются прямиком из командной строки, а на Mac и Linux кабель USBHarpoon может открывать терминал и запускать команды оттуда.

Видео-демонстрация: подключенный для зарядки к Windows-системе квадрокоптер передает устройству команды и занимается потенциально вредоносной деятельностью:

Разработан новый метод извлечения ключей шифрования из электронных устройств, который позволяет сделать это за 1 секунду.

Атака проводилась на Андроид-смартфоны и встроенные системные платы с Linux, все с процессорами ARM частотой порядка 1Ггц. Суть атаки заключается в анализе электромагнитных волн, излучаемых устройством во время одной-единственной операции по шифрованию.

По словам исследователей, с помощью нового метода они смогли извлечь RSA-ключи в 95,7-99,6% случаев. Для извлечения ключа необходимо находиться на расстоянии не более 20 см от атакуемого устройства.

Покупатели бывших в употреблении «умных» автомобилей рискуют лишиться контроля над своей покупкой, поскольку учётная запись старого владельца отключается от автомобиля только через полгода после продажи.

Проблема стала известна, когда один из бывших владельцев авто рассказал, что после продажи всё ещё мог разблокировать и заблокировать автомобиль, хотя он уже не принадлежал ему. Также он мог посмотреть, где припаркована машина.

Проблемы зафиксированы с автомобилями BMW, Mercedes-Benz и Nissan.

Уязвимость в «умной» розетке Belkin позволяет удалённо контролировать подключенные устройства, а также выполнить произвольный код.

Проблема затрагивает Belkin Wemo Insight Smart Plug и представляет собой уязвимость переполнения буфера в одной из системных библиотек.

Для эксплуатации уязвимости достаточно отправить розетке специально сформированный HTTP-пакет.

Вредоносное ПО

Новый загрузчик Marap распространяется через электронную почту.

Злоумышленники могут притворяться сотрудниками отдела продаж, представителями одного из крупных американских банков или случайно выбранной компании, а также администраторами сети.

1. В качестве вложения мошенники присылают веб-запросы в формате .IQY, в том числе встроенные в PDF-документ или спрятанные в запароленном архиве.
2. Файлы такого типа позволяют подгружать данные, например формулы Excel, из удаленного источника.
3. В свою очередь, формулы могут не только производить расчеты, но и запускать команды оболочки
4. Получив управление, зловред связывается с командным сервером и передает ему единственный параметр param в зашифрованном виде. В нем содержится идентификатор бота, состоящий из хешей имени хоста, имени пользователя и MAC-адреса устройства.
5. В ответ сервер присылает команду к загрузке вредоносных модулей, обновлению, удалению из системы или бездействию.

Android-вредонос Triout маскируется под легитимное приложение и распространяется через альтернативные магазины приложений.

Вредонос умеет

• записывать любой телефонный разговор на устройстве,
• загружать записанные звонки на удаленный сервер,
• собирать информацию из журналов вызовов
• собирать и красть SMS-сообщения
• отправлять GPS-координаты телефона на удаленный сервер
• загружать копию каждого снимка, сделанного на устройстве, на удаленный сервер
• скрывать свое присутствие в системе.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.