Представляем новости об актуальных технологиях фишинга и других атаках на человека c 10 по 16 августа 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Почта, сайты и мессенджеры

В рамках новой мошеннической кампании мошенники требуют у пользователей выкуп, используя его реальный номер телефона.

Злоумышленники сообщают, что взломали телефон жертвы, сняли на его камеру, как он посещает сайты для взрослых, но готовы удалить компромат за выкуп в 1000 долларов США в биткоинах:

Чтобы письма выглядели убедительнее, в них содержится часть реального номера телефона адресата. Предположительно, первые цифры номера злоумышленники получают с использованием процедуры восстановления пароля учетной записи Gmail:

По данным «Лаборатории Касперского» фишинг стал всё чаще использоваться не только в рассылках по электронной почте, но и в мессенджерах, причём пользователи активно помогали злоумышленникам, пересылая друг другу мошеннические сообщения с «выгодными» предложениями.

Для распространения вредоносго контента чаще используется WhatsApp.

В основном в  сообщениях речь идёт о несуществующих розыгрышах или выгодных предложениях. Например, во 2 квартале 2018 года злоумышленники эксплуатировали бренды популярных розничных сетей и рестораны быстрого питания, предлагая различные бонусы от их имени.

Для получения бонуса пользователю нужно было пройти простой опрос и отправить сообщение указанному количеству контактов в мессенджере.

Зафиксирована массовая кампания, нацеленная на блокировку и хищение учетных записей в Instagram.

Все взломанные аккаунты оказываются привязаны к почтовому адресу в зоне .ru

Компрометация начинается с выхода из учетной записи без ведома владельца профиля. Затем со страницы пропадает главная фотография, биография и личные данные, а сам аккаунт привязывается к новому email-адресу, чтобы пользователь не смог восстановить доступ. Нетронутыми остаются лишь уже опубликованные записи.

Один из пострадавших рассказал изданию Mashable, что его аккаунт был защищен с помощью двухфакторной аутентификации, но тем не менее оказался взломан, а двухфакторная аутентификация — отключена.

Сообщается о тысячах взломанных аккаунтов. Вектор компрометации аккаунтов окончательно не установлен.

Атаки и уязвимости

Злоумышленники могут загружать вредоносные программы и даже скомпрометировать компьютер под управлением macOS, выполняя виртуальные клики по элементам пользовательского интерфейса.

Выяснилось, что программные клики можно использовать для одобрения запросов системы безопасности — диалоговых окон брандмауэра и сообщений антивирусных программ. Угроза особенно актуальна для последней версии ОС High Sierra, которая допускает загрузку расширений ядра.

Злоумышленник может незаметно для жертвы внедрить вредоносный скрипт в систему и полностью перехватить управление компьютером.

Используя Man-in-the-Disk, новый вид атаки на Android, злоумышленники могут привести к сбою в работе приложений или запустить в системе вредоносный код.

Атак Man-in-the-Disk базируется на использовании приложениями «Внешнего хранилища» («External Storage»), одном из двух методов хранения данных, реализованных в Android. Программы, использующие внутреннюю память Android-смартфона, недоступны для стороннего ПО, в то время как во внешней памяти этого ограничения нет. Приложения могут запрашивать разрешение на чтение и модификацию данных своих «соседей», и, как правило, пользователь им это разрешение дает, поскольку почти все приложения запрашивают это разрешение:

В результате, пользователи с готовностью дают разрешение, не подозревая о рисках безопасности.

Демонстрация использования уязвимости Man-in-the-Disk с атакой на Google Translate:

Атака на Google Voice Assistant: https://youtu.be/kMaVHVbGhb0
Атака на Xiaomi Browser: https://youtu.be/6ILEQ9LofEo
Атака на Yandex.Translate: https://youtu.be/pg1hmpwAVVo
Атака на Yandex.Search: https://youtu.be/CnApB0QxVjc

OpenSource-инструмент Social Mapper использует технологию распознавания лиц для  поиска людей в соцсетях, в числе которых Facebook, Instagram, Twitter, LinkedIn, Google+, ВКонтакте, Weibo и Douban.

Поиск происходит в три стадии:

1. Создание списка целей (пары имя-изображение) на основе введенных данных. Список может быть предоставлен через ссылки в CSV-файле, изображения в папке или через учётные записи в LinkedIn.
2. Автоматический поиск людей в социальных сетях.
3. Формирование отчета в виде электронные таблицы со ссылками на страницы профилей из целевого списка, или HTML-отчёт, включающий фотографии.

DeepLocker — экспериментальный образец вредоносного ПО с искусственным интеллектом, которое может распространяться в составе софта для организации конференц-связи.

1. DeepLocker находится в спящем режиме, пока не найдет нужную жертву.
2. Для обнаружения искомого пользователя используются системы распознавания лица и голоса, данные о местоположении, информация online-трекеров и соцсетей.
3. Как только жертва будет найдена, вредонос приступает к атаке.

Киберпреступники похищают учётные записи пользователей, защищённые двухфакторной аутентификацией, используя технику SIM Swap (замена сим-карты).

Замена сим-карты — вполне легитимное действие, которое производится для восстановления SIM-карты потерянного телефона, восстановление номера после поломки или необходимости в смене размера симки с обычного на nano-SIM или microSIM.

Для выдачи новой сим-карты телеком-операторы обязательно должны удостовериться, что замену производит её владелец, т. е. идентифицировать его личность. Но киберпреступники подкупают сотрудников этих компаний, чтобы те заменяли сим-карты, минуя эту процедуру. Завладев номером жертвы, злоумышленники получают полный доступ к её учетным записям в соцсетях, счетам и криптовалютным кошелькам.

Зарядное устройство USB-C для ноутбука может быть использовано для получения контроля над компьютером, к которому оно подключено.

Для проведения атаки в зарядное устройство необходимо добавить специальные компоненты, которые активируются при подключении к компьютеру. При этом пользователь не будет понимать, что происходит, так как ноутбук продолжит заряжаться как обычно. Уязвимость является кроссплатформенной — её можно использовать на любом ноутбуке независимо от операционной системы.

«Умные» устройства

Уязвимости в популярных системах орошения GreenIQ, BlueSpray и RainMachine, применяемых в Израиле, позволяют злоумышленникам включать и выключать их удалённо.

Если проэксплуатировать эти уязвимости одновременно, ботнет из 1 355 поливальных систем за час сможет истощить весь запас воды в городской водонапорной башне, а ботнет из 23 866 «поливалок» за ночь опустошит все водохранилище.

«Умные» кофемашины Nespresso Prodigio и Jura E8 позволяют управлять процессом приготовления кофе кому угодно.

В кофемашине Nespresso Prodigio нет самые простых средств защиты подключения: отсутствует Bluetooth PIN, режим запуска соединения и вообще хоть что-то, напоминающее защиту.

Поскольку сейчас к кофемашине не подключено ни одно устройство, ЛЮБОЙ ТЕЛЕФОН МОЖЕТ подключиться и сварить кофе.

Кроме того, в Android-приложении для данной кофемашины есть функция автоматического дозаказа кофейных капсул. Изменив количество израсходованных капсул, злоумышленник может сильно опустошить кошелёк владельца ненужными заказами, винить в которых придётся только кофемашину.

Кофемашина Jura E8 также не содержит средств защиты Bluetooth-соединения и позволяет подключиться к ней кому угодно.

Используя идентификатор кофемашины, можно запустить помол зерен и заполнить поддон, предназначенный для сбора жидкости. А если кто-то варит кофе, процесс можно остановить.

Перехватив управление «умными» кондиционерами и водонагревателями, хакеры могут вызвать массовое отключение электричества.

В ходе эксперимента, проведённого в Принстонском университете, выяснилось: чтобы вызвать сбой в работе электросети, обслуживающей 38 миллионов человек, достаточно повысить нагрузку на электросеть всего на 1%. Такое увеличение нагрузки способен обеспечить ботнет из десятков тысяч взломанных водонагревателей или нескольких сотен тысяч кондиционеров.

Нательные камеры для полицейских в США имеют уязвимости, которые позволяют удалять записи, изменять метаданные, незаметно загружать модифицированные видео и даже заразить устройство вредоносным ПО.

1. Мобильные приложения, ПО и облачные сервисы, с которыми работают такие устройства, также плохо защищены: здесь часто используются ненадежные учетные данные по умолчанию, которые легко подобрать или угадать.
2. Ни одно из изученных экспертами устройств не оснащено криптографической защитой, а видеофайлы не имеют цифровых подписей.
3. Провести должную валидацию сделанных камерами записей, практически невозможно, а это ставит под сомнение легитимность таких улик.
4. Невозможно установить, действительно ли то или иное видео было снято носимой камерой офицера полиции, загружено им в облако или на ПК.

Вредоносное ПО

Обнаружено в продаже ПО для взлома криптовалютных банкоматов.

За 25 000 долларов США предлагается:

1. вредоносная программа, а также
2. готовая к использованию карта с модулем NFC, соответствующая международному стандарту EMV (Europay, MasterCard, VISA);
3. инструкция на нескольких языках и
4. доступ к круглосуточному чату поддержки.

В отличие от обычных банкоматов, криптовалютные банкоматы дают клиентам доступ к виртуальным кошелькам и операциям с криптовалютой. Для идентификации пользователей биткоин-банкоматы запрашивают мобильный номер и уникальную ID-карту. Обнаруженный аналитиками зловред эксплуатирует некую сервисную уязвимость и не требует физического доступа к терминалу.

По словам продавца, с помощью его разработки можно похитить из банкомата до 6750 долларов, евро или фунтов стерлингов в криптовалюте.

Новый вымогатель Princess Evolution шифрует файлы в системе и изменяет их исходное расширение на случайно сгенерированную строку символов.

Далее программа отображает требование выкупа, в котором содержатся инструкции о том, где и как выплатить выкуп размером в 0,12 биткоина (около 773 долларов США по текущему курсу).

Помимо этого, вредонос также собирает и отправляет на свой сервер различную информацию об инфицированной системе, например, об имени пользователя, наличии защитных решений и пр.

Princess Evolution на подпольных хакерских форумах по модели «вредоносное ПО как услуга», требуя 40% от прибыли за бесплатное использование программы

Новый шифровальщик KeyPass распространяется при помощи фальшивых инсталляторов и содержит возможность ручного управления.

1. Попав на устройство, KeyPass копирует себя в %LocalAppData% и удаляется из первоначальной директории.
2. Затем он создает несколько своих процессов и приступает к шифрованию данных. В отличие от большинства программ такого типа, зловред преобразует документы с любым расширением, обходя отдельные папки, прописанные в его коде, в частности системные директории и пути, по которым находятся браузеры.
3. В каждом файле шифруется первые 5 МБ данных шифруются AES-256 при помощи 32-битного ключа, полученного с управляющего сервера, а к расширению файла добавляется .KEYPASS.
4. В каждую папку KeyPass помещает TXT-файл с требованием выкупа. Чтобы расшифровать документы, жертва должна прислать свой ID на email-адрес злоумышленников, указанный в записке. В ответ ей обещают сообщить дальнейшие инструкции — кому и в каком виде переводить деньги за декриптор и индивидуальный ключ дешифровки.

Свои «услуги» мошенники оценивают в $300. Чтобы убедиться в том, что их ПО рабочее, жертва может бесплатно расшифровать от одного до трех небольших файлов.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 3 по 9 августа 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор


dAverk
тайный советник

Сайты и мессенджеры

Сайт известного российского СМИ заражал посетителей банковским трояном Buhtrap, незаметно перенаправляя их на вредоносную страницу.

1. Для внедрения трояна злоумышленники эксплуатировали свежую уязвимость для Internet Explorer CVE-2018-8174, с помощью которой можно выполнить сторонний код от имени пользователя.
2. После успешного проникновения в систему Buhtrap пытается повысить свои привилегии через уязвимость CVE-2018-8120 в компоненте Win32k, которая позволяет выполнять произвольный код на уровне ядра, устанавливать стороннее ПО и создавать полноправные учетные записи.
3. Все этапы заражения происходят через защищенный протокол HTTPS с использованием бесплатных сертификатов Let’s Encrypt.

Неизвестный хакер взломал учётную запись служащей ВВС Великобритании в приложении для знакомств Tinder, после чего от её имени общался с военными-мужчинами.

Результатом общения стало хищение секретных сведений об истребителе следующего поколения F-35 Lightning II стоимостью 9 млн фунтов. Данные были получены от одного из собеседников, флиртовавших со «служащей ВВС».

В мессенджере WhatsApp обнаружена уязвимость, которая позволяет перехватывать и изменять сообщения в групповом или приватном чате.

Ошибка состоит в том, как мессенджер подключается к сети WhatsApp и расшифровывает сообщения, которые зашифрованы с помощью сквозного шифрования, используя протокол protobuf2.

Эксплуатируя уязвимость, можно манипулировать собеседниками и создавать «доказательства» для распространения ложной информации:

1. Редактировать слова собеседника в ответном сообщении;
2. В групповом чате создавать ответы на сообщения человека, которого нет в этом чате, чтобы казалось, что он также включен в этот чат;
3. Отправлять сообщения в групповой чат, которое на самом деле видит только один собеседник. Однако его ответ будет виден всем участникам группы.

Российская компания заявила, что обнаружила уязвимость в Telegram, с помощью которой можно узнать телефонный номер пользователя по его нику.

1. Telegram утверждает, что никто не может получить доступ к номеру телефона, зная только юзернейм пользователя, даже если собеседники переписывались в одной группе. Есть только одно исключение: если написать кому-то, чей номер есть в списке контактов отправителя, получатель увидит номер телефона отправителя — так же, как при отправке SMS, отмечает компания.
2. Сотрудники российского «Центра исследований легитимности и политического протеста» утверждают, что нашли уязвимость в API мессенджера и теперь могут по запросу с никнеймом пользователя получить номер телефона, фамилию и имя.
3. Программа, которую они разработали, называется «Криптоскан». Детали работы не раскрываются.

Уязвимости

Злоумышленники используют уязвимость нулевого дня в роутерах MikroTik, чтобы изменить конфигурацию устройства и внедрить в код загружаемых страниц майнер криптовалюты Monero.

Первоначально мошенники внедряли скрипт Coinhive во все страницы, открытые на взломанных роутерах, однако позже ограничились лишь теми, которые возвращали ошибку, чтобы не привлекать внимание систем безопасности.

В Linux и FreeBSD обнаружены опасные уязвимости, эксплуатация которых позволяет спровоцировать отказ в обслуживании удаленных систем.

Исследователи из университета Карнеги — Меллон обнаружили в ядре Linux новых версий (4.9 и вплоть до 4.17.12, где проблема уже устранена) опасную ошибку, позволяющую осуществить DoS-атаку (Denial of Service — «отказ в обслуживании») на систему, что может привести к сбою в ее работе.

Причем атакующему требуются совсем небольшая пропускная способность для успешного проведения атаки. В Red Hat ее оценили в 2 тыс. пакетов в секунду. Таким образом, эксплуатируя данную уязвимость, даже киберпреступник-одиночка может организовать успешную DoS-атаку.

Уязвимости присвоены идентификатор CVE-2018-5390 и имя SegmentSmack.

По данным экспертов, злоумышленник может добиться отказа в обслуживании удаленной системы, отправив специально сформированные пакеты во время TCP-сеанса на любой открытый порт.

Вредоносное ПО и прочие атаки

Вредонос ZombieBoy имеет систему противодействия обнаружению и использует для распространения нескольких эксплойтов, в том числе DoublePulsar и EternalBlue из арсенала АНБ.

После заражения очередной системы зловред запускает процедуру майнинга криптовалюты Monero и ищет новые жертвы для заражения. Особенность ZombieBoy — ежедневное обновление кода. В сочетании с умением обнаруживать виртуальные машины и другими техниками противодействия это затрудняет работу ИБ-экспертов.

«Чистильщик» системы CCleaner версии 5.45 уличили в неотключаемом шпионаже за пользователями через систему «Active Monitoring».

Несмотря на возможность открыть Настройки ? Мониторинг и отказаться от системного и активного мониторинга, система слежения при следующем запуске программы включалась самостоятельно без уведомления пользователя.

Злоумышленники атаковали DNS-серверы компаний WorldPay, Datawire и Vantiv, которые обрабатывают платежи в США.

Использовалась техника перехвата BGP. Основной целью злоумышленников было перенаправление трафика и хищение данных о платежах.

Компания TSMC, один из крупнейших в мире производителей чипов, стала жертвой шифровальщика WannaCry.

По словам представителя компании, заражение вызвано тем, что некий «поставщик предоставил TSMC зараженный продукт без надлежащего вирусного сканирования».

Заражение вызвало остановку работы производственных линий, которая приведет к задержкам поставок и спровоцирует дополнительные расходы. По прогнозам аналитиков, из-за атаки TSMC потеряет около 3% квартальной выручки.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 27 июля по 2 августа 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Почта, сайты и мессенджеры

Мошенники используют уязвимости в MS Office для внедрения бэкдора Felixroot, который шпионит за пользователями и крадет их файлы.

1. Атака начинается с фишингового письма, содержащего информацию о семинаре по охране окружающей среды.
2. Во вложенном вредоносном документе используются две уязвимости в Microsoft Office: CVE-2017-0199 и CVE-2017-11882.
3. Первая позволяет злоумышленникам загружать и выполнять скрипт Visual Basic, содержащий команды PowerShell.
4. Вторая брешь позволяет выполнить произвольный код и получить контроль над атакуемой системой.

Зафиксирована волна атак на российские организации, связанные с промышленным производством. Атаки происходят через фишинговые письма c вредоносными вложениями.

1. Фишинговые письма замаскированы под легитимные коммерческие предложения и рассылаются преимущественно промышленным компаниям на территории РФ.
2. Содержание писем соответствует деятельности атакуемой организации и учитывает специфику работы сотрудника — получателя письма.
3. Вредоносная программа, используемая в данных атаках, устанавливает в систему легитимное ПО для удаленного администрирования — TeamViewer или Remote Manipulator System/Remote Utilities (RMS).
4. Используются различные техники, позволяющие скрыть заражение системы и активность установленного ПО.

Основная цель атакующих — кража денег со счетов организации.

Обнаружена сеть фальшивых бухгалтерских сайтов, заражавших посетителей банковскими троянами Buhtrap и RTM.

Сеть вредоносных ресурсов насчитывала, как минимум, пять сайтов, распространявших вредоносное ПО при скачивании бухгалтерских бланков и счетов, размещённых на них в качестве приманки:

• buh-docum[.]ru,
• patrolpolice[.]org.ua,
• buh-blanks[.]ru,
• buh-doc[.]online,
• buh-doc[.]info.

Жертвами таргетированной атаки стали финансовые директоры, юристы, бухгалтеры и другие специалисты, использующие в своей работе системы дистанционного банковского обслуживания, платежные системы или криптокошельки.

1. При скачивании документов с сайта происходила загрузка, а затем запуск троянской программы, созданной хакерской группой Buhtrap.
2. Загрузчик собирал информацию о компьютере, проверял историю посещений в браузере, списки упоминания банковских/бухгалтерских приложений, а также данные о различных платежных системах. Особый интерес операторы трояна проявляли к криптовалютным системам. Поиск осуществлялся по списку, состоящему из более чем 400 ключевых поисковых запросов.
3. Если программа обнаруживала один из таких «ключевиков», сервер отдавал команду на загрузку троянов Buhtrap или RTM, нацеленных на атаку на юридических лиц, кражу денег в системах ДБО и из различных платежных систем.

Целевой фишинг помог киберпреступникам похитить 2,4 миллиона долларов США из банка Вирджинии.

За восемь месяцев банк стал жертвой атаки дважды. После второго взлома кредитная организация подала иск против своей страховой компании за отказ полностью покрыть убытки. Согласно исковому заявлению, первый киберинцидент произошел в конце мая 2016 года. Атака увенчалась успехом благодаря тому, что сотрудник банка попался на фишинговое электронное письмо.

Ряд федеральных и правительственных организаций в США получили по обычной почте письма, содержащие CD-диски с вредоносным ПО.

1. На конверте стоят почтовые штемпели Китая, а само письмо напечатано с ошибками. По тексту также встречаются случайные китайские иероглифы.
2. На дисках записаны документы Microsoft Word на мандаринском диалекте китайского языка, в некоторые из них встроены вредоносные скрипты на Visual Basic.
3. Предположительно, мошенники понадеялись на любопытство жертв, которые вставят их в дисковод, чтобы просмотреть содержимое, и заразят свои компьютеры.

Мошенники создают копии сайтов популярных программ и заставляют жертв скачивать их версии с внедрённым рекламным ПО

Spotted: a French website impersonates @KeePass at https://t.co/MU82EGmKz8, bundles it with adware (https://t.co/YKCFGEBlch) and worst of all (apologies to non-French speaking readers): pic.twitter.com/XWiXgDuevH

— Ivan Kwiatkowski (@JusticeRage) 24 июля 2018 г.

1. Обнаруженный первым сайт keepass(.)fr выдавал себя за keepass.info.
2. Загруженная с него версия Keepass содержит настоящий менеджер паролей, но ещё устанавливает вредонос InstallCore, который добавляет рекламное ПО к легитимному в процессе инсталляции.
3. Например, при установке приложения для записи CD-дисков ImgBurn предлагается установить бесплатную версию антивируса AVG.
4. За каждую загрузку пользователем дополнительного ПО операторы InstallCore получают комиссионные.

Помимо keepass.info были замечены клоны сайтов 7Zip, Inkscape, Scribus, GParted, Celestia, Audacity, Filezilla, Truecrypt, Blender и AdBlock. Большинство ресурсов зарегистрированы в доменных зонах .fr или .es.

Другие атаки и уязвимости

Система распознавания лиц Rekognition от Amazon ошибочно определила 28 членов Конгресса как уголовников.

В рамках эксперимента специалисты загрузили 25 000 фотографий преступников из публичного источника, а затем сопоставили их с официальными фотографиями всех 535 членов Конгресса. Rekognition нашла 28 совпадений, из которых 6 пришлось на чернокожих политиков.

Группа из 364 заключенных в штате Айдахо обнаружила уязвимость в планшетах компании JPay, используя которую, они выдали сами себе кредитов в системе JPay на 225 000 долларов США.

Медиа-киоск от JPay

JPay устанавливает в тюрьмах США специальные интернет-киоски, а также предлагает заключенным специальные планшеты, которые могут синхронизироваться с киосками, а иногда даже работать с Wi-Fi. Деньги JPay зарабатывает, взимая со счетов заключенных плату за отправку электронных писем, и загрузку медиаконтента с использованием медиа-аккаунтов кредитной системы JPay Credits.

В чем именно заключалась уязвимость, пока не сообщается. По информации журналистов, большинство заключенных выдали себе кредиты в размере 1000 долларов, а самая крупная сумма составила около 10 000 долларов.

Злоумышленники используют для хищения криптовалюты SIM-свопинг. Атака заключается в присвоении чужого телефонного номера путем обмана оператора связи.

Выдавая себя за законного владельца номера, преступники связываются с оператором, заявляют о потере SIM-карты и просят привязать номер к имеющейся у них другой «симке». Завладев чужим номером, преступники могут сбрасывать пароли от их учетных записей, в том числе от криптовалютных кошельков.

Во время конференции Consensus в Нью-Йорке на ее участников было осуществлено как минимум три атаки. В ходе одной из них у одного бизнесмена похитили 1,5 млн долларов США в криптовалюте, в том числе 1 млн, собранный в ходе первичного размещения монет. Злоумышленнику удалось присвоить номер телефона бизнесмена, сбросить пароль от его электронной почты Gmail и завладеть криптовалютным кошельком. Жертва обратилась к оператору связи с целью вернуть телефонный номер, но было уже поздно.

Компьютеры и серверы администрации одного из штатов Аляски стали жертвами вымогателя.

Должностные лица заявляют, что пострадало около 650 десктопов и серверов. Сейчас эти машины тщательно проверяются, все вредоносное на них удаляется. Тем временем государственные служащие в отсутствие интернета достали из шкафов пишущие машинки, а квитанции выписывают вручную на бумажных бланках.

Вредоносное ПО

Злоумышленники внедрили криптовалютный майнер в пакет шрифтов в составе PDF-редактора.

1. Атакующие воссоздали инфраструктуру партнера компании-разработчика, которая поставляла пакеты шрифтов; инфраструктуру разместили на своём сервере, скопировали и разместили там все файлы MSI, включая оригинальные пакеты шрифтов с цифровыми подписями.
2. Затем атакующие декомпилировали один файл MSI, пакет азиатских шрифтов, и добавили в его код вредоносный код криптовалютного майнера.
3. В параметрах загрузки PDF-редактора указали в качестве ссылки для загрузки языкового пакета собственный сервер и вредоносный MSI. Исследователи не смогли установить, как именно это было сделано, однако исключили версии MiTM и перехвата DNS.
4. Пользователи, загрузившие и установившие PDF-редактор, также загружали и вредоносный пакет шрифтов с сервера злоумышленников.
5. Так как приложение устанавливалось с привилегиями SYSTEM, скрытый майнер получал полный доступ к пользовательской системе.
6. Майнер запускал процесс xbox-service.exe и начинал добывать криптовалюту, используя ресурсы системы пострадавшего.

Обнаружен майнер PowerGhost, который распространяется внутри крупных корпоративных сетей, используя бесфайловые техники для закрепления в системах, а также эксплойт EternalBlue.

PowerGhost состоит из обфусцированного powershell-скрипта и дополнительных модулей: майнера, mimikatz, библиотек msvcp120.dll и msvcr120.dll, необходимых для работы майнера, модуля для reflective PE injection и shellcode для эксплойта EternalBlue.

1. Заражение машины происходит удаленно с использованием эксплойтов или инструментов удаленного администрирования (Windows Management Instrumentation)
2. При заражении запускается однострочный powershell-скрипт, который выкачивает основное тело вредоноса и запускает его, не записывая на жесткий диск.
3. PowerGhost проверяет наличие новой версии на управляющем серевере и, если она есть, скачивает и запускает ее вместо себя.
4. При помощи mimikatz малварь получает данные учетных записей с текущей машины и с их помощью пытается распространиться по локальной сети, авторизуясь и запуская свою копию через WMI. Под «своей копией» здесь и далее подразумевается однострочник, скачивающий основное тело с C&C-сервера злоумышленников. Кроме того, PowerGhost также пытается распространиться по локальной сети, используя печально известный эксплойт EternalBlue (MS17-010, CVE-2017-0144), ранее задействованный для распространения WannaCy и множества других вредоносов.
5. Повышение привилегий. Распространяясь через mimikatz и WMI, малварь может попасть на новую машину с правами пользователя. Далее она пытается повысить свои привилегии в системе при помощи эксплоитов (32- или 64-битных) для MS16-032, MS15-051 и CVE-2018-8120.
6. Закрепление в системе. PowerGhost сохраняет все модули как свойства WMI-класса. Тело вредоноса сохраняется в виде однострочного powershell-скрипта в WMI-подписку, которая срабатывает каждые 1,5 часа.
7. Полезная нагрузка. Последним скрипт запускает майнер, загружая PE файл через reflective PE injection.

Умные устройства

В платформе управления умными домами Samsung SmartThings Hub обнаружены множественные уязвимости, которые позволяли выполнять произвольные команды и код на уязвимых устройства IoT.

К примеру, злоумышленники могли использовать уязвимости для открытия замков, подключенных к SmartThings Hub, через камеры наблюдения следить за их владельцами, отключить датчики движения и «умные» розетки вместе с подключенной к ним техникой.

Обнаружена новая уязвимость в процессорах — NetSpectre, тесно связанная с оригинальной проблемой Spectre вариант 1 (CVE-2017-5753), обнаруженной в начале 2018 года. NetSpectre представляет угрозу для всех устройств, уязвимых перед оригинальной уязвимостью.

Атака с использованием NetSpectre работает медленно. Средняя скорость передачи данных во время кеш-атак составляет 15 бит/час. Ускорить NetSpectre до 60 бит/час возможно, если направить атаку на AVX2, специфичный для процессоров компании Intel.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.