В этом году «Антифишинг» выступает партнером конференции «Код ИБ ПРОФИ», которая пройдет в Сочи с 26 по 29 июля.
Мы проведем мастер-класс о том, как тренировать своих сотрудников и будем рады пообщаться с вами все четыре дня.
Кроме нас, в двухдневной программе мастер-классов опытом поделятся ИБ-руководители и эксперты ведущих брендов, в том числе: Сбербанка, Яндекса, Лаборатории Касперского, Cisco, Citrix, Positive Technologies, СО ЕЭС, ESET и многих других. В заявленных темах: психология инсайдерства, новое в законодательстве — GPPR, управление уязвимостями, Threat Intelligence, трансформация CISO, бюджет на ИБ, риск-менеджмент.
Эксклюзивом программы станут киберучения от Алексея Лукацкого:
«Проверять и нарабатывать опыт во время атаки — не самый лучший путь. Проводить технические киберучения (типа Cyber Range) тоже не всем под силу и все-таки они ориентированы на технических специалистов — аналитиков SOC, специалистов по Threat Hunting, экспертов по расследованию инцидентов. А что делать руководителям ИБ или их заместителям? Ответ есть — штабные киберучения» — отмечает эксперт.
В следующие два дня организаторы обещают горное джип-сафари и регату, которые оставили неизгладимые впечатления у участников еще в прошлом году.
Мероприятие будет особенно полезно начальникам и специалистам служб ИБ и ИТ, руководителям бизнеса.
На этой неделе пользователи обнаружили, что Яндекс научился индексировать «Гугл-документы»: если набрать в Яндексе «Пароли» и указать сайт docs.google.com, то Яндекс покажет все открытые документы с чьими-то паролями:
Важное условие: доступ к документу должен был быть разрешен по ссылке:
Мы не рекомендуем хранить пароли или другую личную информацию в гугл-документах.
Если используете документы для работы, старайтесь открывать доступ только определенным людям, через их почту.
На момент выхода дайджеста поиск по гугл-документам не работал: вероятно, Яндекс отключил такую возможность.
Посетители сайта wallet.trezor.io обратили внимание на ошибки сертификата безопасности:
Сайт также отображал пугающее предупреждение, согласно которому, кошелек не смог синхронизироваться с аккунтом Trezor. Якобы из-за этого память пользовательского устройства была повреждена, и теперь срочно требовалось обновить recovery seed. То есть жертву вынуждали сообщить злоумышленникам recovery seed — специальную фразу, состоящую из 12, 18 или 24 слов.
«Некоторые пользователи, пытавшиеся посетить легитимный сайт Trezor (wallet.trezor.io), в итоге попадали на фальшивый ресурс. Пока мы не знаем, какой именно вектор атак был применен для этого, но все указывается на отравление кэша DNS или модификацию BGP», — предупреждают разработчики.
Операторы сайтов, предлагающих «услуги» фальшивой технической поддержки, начали применять новую тактику для запугивания своих жертв: вместо сообщений о проблемах с компьютером мошенники использовали методику JavaScript Blob и программный интерфейс window.navigator.msSaveOrOpenBlob. В результате браузер вынуждали сохранять файлы на диске снова и снова, с такой скоростью, что через 5-10 секунд браузер переставал отвечать вовсе:
Нагрузка на процессор в момент такой атаки составляет 100%, и пользователь оказывается «блокирован» на вредоносном сайте.
Релиз Chrome 67 вновь открыл возможность для использования против пользователей так называемых «download-бомб». Хуже того, по данным исследователей, аналогичная проблема угрожает пользователям браузеров Firefox, Vilvadi, Opera и Brave.
Сайт NameTests[.]com, специализирующийся на викторинах, с аудиторией порядка 120 млн. пользователей в месяц, использует платформу приложений Facebook для быстрой регистрации. Регистрация на сайте NameTests позволяет компании получать необходимую информацию о профиле пользователей Facebook. Как выяснил исследователь, сайт с викторинами допускает хищение данных пользователей через другие страницы, открытые в том же браузере.
Уязвимость содержится в web-сайте NameTests, который cуществует с конца 2016 года.
Способ предполагает использование файлов .SettingContent-ms для выполнения кода на ПК под управлением Windows 10.
Исследование было опубликовано еще три недели назад, и с тех пор авторы вредоносного ПО всячески пытаются превратить разработанный PoC-код в полноценный эксплоит для реальных атак.
Пример от автора исследования. «Безобидный» файл .SettingContent-ms внутри файла MS Word используется для запуска исполняемого кода, без предупреждений безопасности от MS Office или операционной системы.
Несколько дней назад злоумышленники впервые создали цепочку эксплоитов, использующую файл .SettingContent-ms для загрузки и установки реального вредоносного ПО. В частности, один из используемых злоумышленниками файлов .SettingContent-ms загружал троян для удаленного доступа Remcos.
Клиенты Антифишинга сообщают об атаках от имени крупных российских компаний, например «Лукойла»:
Для получения «подарочного купона на 200 литров бензина» пользователю предлагается перейти на неизвестный сайт, где он заполняет «анкету», а в конце должен разослать сообщение тридцати своим контактам:
Исследователи ESET раскрыли детали подобных атак по всему миру:
Сообщение содержит ссылку «на страницу акции». Буква i заменена омоглифом — похожим знаком (i без точки) с другим значением, благодаря чему ссылка выглядит легитимной.
Когда пользователь переходит по ссылке, сайт проверяет ориентацию окна и ширину экрана (если фишинговый сайт открыт не со смартфона, показывается 404-ошибка).
Если жертва использует смартфон, фишинговый сайт получает данные геолокации. Далее производится переадресация в зависимости от страны пользователя. В ESET обнаружили «свои» ссылки для Норвегии, Швеции, Пакистана, Нигерии, Кении, Макао, США, Нидерландов, Бельгии и Индии. Если потенциальная жертва из какой-либо другой страны, атака будет завершена.
На следующем этапе пользователю предлагается ответить на четыре вопроса анкеты. Вне зависимости от ответов, он увидит сообщение о том, что «прошел квалификационный отбор».
Теперь для «получения подарка» достаточно поделиться сообщением с друзьями на WhatsApp. Пользователь может отправить фишинговую ссылку по списку контактов или имитировать рассылку, в любом случае он перейдет на следующую страницу.
Далее пользователь увидит еще несколько вопросов и кнопку для публикации «акции» на Facebook. Пройдя этот этап, он может «отправить заявку на приз» всего за один доллар.
На последней странице нужно ввести платежные данные:
Вместо обещанной «заявки», будет оформлена подписка на триальную версию премиум-сервиса. Если не отменить подписку в течение семи дней, полная стоимость услуги — 49,99 доллара в месяц — будет списана с банковской карты.
Специалисты сообщают о новом вредоносе — CryptoCurrency Clipboard Hijackers. Схема его работы — мониторить буфер обмена на предмет наличия в нем адреса криптокошелька, а затем подменять его на тот, которым владеет злоумышленник:
Эксперты насчитали 15 новых программ, их основная цель — похитить деньги. Новый вариант зловреда маскируется под популярные программы вроде фонариков, либо считывателей QR-кодов:
После установки такого приложения в системе жертве отобразиться push-уведомление о том, что его необходимо обновить. Однако при попытке сделать это пользователь подпишется на платные услуги. С помощью WAP-биллинга злоумышленники списывают деньги с мобильного счета пользователя.
Эксперты полагают, что мошенники могли заработать от $60 500 до $145 000 за полгода своей деятельности. Жертвой может стать пользователь из любой страны.
Жертвы заражения сами закачивали вредоносную программу вместо активатора игры или Windows. Анализ показал, что все эти “кряки” и кейгены — не что иное как рекламное ПО под названием aimp, которое, по всей видимости, и загружает зловред.
Вредоносный инсталлятор умеет обнаруживать свой запуск в виртуальной машине. Он устанавливается в папку %AppData% под произвольным именем и внедряет процесс в explorer.exe. Далее этот процесс копирует себя в папку временных файлов как allradio_4.27_portable.exe и отображает жертве экран проигрывателя All-Radio 4.27 Portable — это изображение присутствовало во всех случаях инфицирования.
Специалисты Амстердамского свободного университета, индийского Университета «Амрита», Калифорнийского университета в Санта-Барбаре, а также эксперты EURECOM опубликовали доклад (PDF) об уязвимости RAMpage, получившей идентификатор CVE-2018-9442. Баг является новейшей вариацией атаки Rowhammer и угрожает всем устройствам на Android, произведенным после 2012 года.
«RAMpage ломает фундаментальную изоляцию между пользовательскими приложениями и операционной системой. Как правило, приложениям не разрешено читать данные других приложений, но вредоносная программа с эксплоитом RAMpage может получить административный контроль и доступ к секретам, хранящимся на устройстве.
Это может касаться ваших паролей, хранящихся в менеджере или браузере, ваших личных фото, писем, сообщений в мессенджерах и даже секретной рабочей документации», — гласит доклад специалистов.
Две из трех атак являются пассивными: с их помощью злоумышленники могут следить за LTE-трафиком, что позволит изучить метаданные и собрать различную информацию о целях. Третья и наиболее опасная атака получила название aLTEr, и она является активной: специалисты смогли модифицировать пакеты DNS (осуществили DNS-спуфинг), что дало им возможность перенаправлять пользователей на произвольные вредоносные сайты.
К счастью, эксперты уверены, что рядовым пользователям пока нечего опасаться: для реализации такой атаки в жизни понадобится кастомизированная имплементация стека протокола LTE, а также специализированное и весьма дорогое оборудование.
После обновления программа Samsung Messages начала самовольно рассылать сохраненные в галерее фото по всем контактам владельца смартфона.
До выхода исправления пользователям рекомендуется запретить Samsung Messages доступ к памяти смартфона. Это можно сделать через настройки: Settings -> Apps -> Samsung Messages -> Permissions -> Storage.
Приложение Samsung Messages, предназначенное для обмена сообщениями SMS и MMS, а также для быстрой мультимедийной связи по протоколу RCS (Rich Communication Services), предустановлено на всех гаджетах Samsung. Неожиданное поведение Samsung Messages, судя по всему, связано с установкой новой версии и проявляется лишь на самых современных гаджетах Samsung Galaxy — S9, S9 Plus, Note 8.
Во время экспериментов на разных моделях клавиатур добровольцы смогли полностью определить набор нажатых клавиш через несколько десятков секунд после ввода.
Обычно компьютерные атаки основаны на использовании уязвимостей в операционной системе или программах, но существует и класс атак по сторонним каналам, которые используют недостатки практической реализации устройства. Поскольку пароли часто имеют очень малую длину, но представляют огромную ценность для злоумышленников, многие исследования в области атак по сторонним каналам направлены на получение паролей при вводе.
Польской команде экологов EcoLogic Group придется заплатить за 20 часов чужих телефонных разговоров по международному тарифу:
Принадлежащая их организации SIM-карта находилась в специальном трекере, используемом для отслеживания миграции аистов.
Птица, выпущенная в городе Седльце, пролетела 6 тыс. километров, но в долине Голубого Нила в восточном Судане связь с трекером была потеряна.
Ученые полагают, что отслеживающее устройство могло попасть в руки одного из местных жителей, который вытащил SIM-карту и вставил ее в собственный телефон.
В этом году «Антифишинг» выступает партнером конференции «Код ИБ ПРОФИ», которая пройдет в Сочи с 26 по 29 июля. Мы проведем мастер-класс и будем рады пообщаться с вами все четыре дня.
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.
Заражение происходит через партнерские сайты, показывающие предупреждения наподобие:
Начинается загрузка hta-файла. После запуска он, в свою очередь, скачивает в %AppData% исполняемый файл, который является NSIS-инсталлятором PBot.
Попав на компьютер, PBot внедряет в браузер свою DLL-библиотеку. Один из вариантов вредоноса демонстрирует рекламные объявления при помощи модуля, написанного на JavaScript, другой — устанавливает для этой цели специальные расширения, третий майнит криптовалюту.
Если пользователь соглашается и разрешает выполнение макросов, запускается скрипт на Visual Basic, который запускает PowerShell код, загружающий исполняемого файла в формате PE32.
После этого на машину попадает сам GZipDe — бэкдор, работающий в оперативной памяти и не оставляющий следов на диске.
Общая схема атаки
Оставаясь незамеченными для систем защиты, злоумышленники могут загружать новые зловреды, получать повышенные привилегии и проникать на другие компьютеры сети.
Взломщики создали целую сеть сайтов с JavaScript-редиректорами и фальшивыми видеороликами.
Трафик на этих сайтах создается за счет переманивания чужих посетителей: используя уязвимость в API WordPress, мошенники подменяют содержимое сайтов приглашением к просмотру с привлекательной картинкой и ссылкой.
Пользователь получал сообщение с предложением написать «хочу стикеры» в сообщения сообщества. После он получал ответ, что ему нужно отправить сообщение 15 друзьям, и отправлялся на внешний сайт «для скачивания стикеров»:
Там ему предлагалось авторизоваться с учетной записью «Вконтакте»:
При вводе данных в форму логин и пароль попадали к мошенникам.
Жертву уведомляют о взломе всех её устройств и заражении новым вариантом WannaCry.
Зашифрованные новым вредоносом файлы, якобы, невозможно восстановить, поэтому нужно заплатить вымогателям 0,1 биткойна до 17:00 22 июня.
В противном случае вымогатели обещают уничтожить все данные на компьютерах, серверах и мобильных устройствах.
После уплаты выкупа вымогатели обещают предоставить жертве инструкции по удалению вредоноса. Если жертва попытается избавиться от него самостоятельно, «удаление данных начнется незамедлительно».
На самом деле, все такие письма — обман с целью напугать пользователей и заставить платить выкуп за ложную угрозу.
Взломав серверы очередной жертвы и похитив персональную информацию, преступники не планируют её как-либо использовать, а лишь угрожают публикацией. В соответствии с GDPR компанию ждет крупный штраф в случае утечки, поэтому, чтобы не попасть под санкции Европейского Союза, организации предпочитают выполнить требования злоумышленников.
Батарея оказалась очень привлекательным вектором атаки. Хакеры могут сопоставлять потоки мощности с нажатиями клавиш, контекстом нажатия клавиши (например, при посещении web-сайта) и «событиями, которые предшествовали или следовали за ним», например, фотографированием или телефонным звонком.
TBleed использует особенности реализации технологии Hyper-threading и не связана с уязвимостями Meltdown и Spectre.
Используя TBleed, вредоносные программы могут извлечь ключи шифрования и другую конфиденциальную информацию из приложений. Во время тестирования ошибки на компьютере с процессором Intel Skylake Core i7-6700K исследователям удалось получить криптографические ключи из другой запущенной программы в 99% тестов.
В случае с процессором Intel Broadwell Xeon E5-2620 v4 процент успешной эксплуатации зафиксировался на 98. На процессорах семейства Coffeelake вредоносная программа успешно сработала в 99% случаев.
Для извлечения 256-битного ключа ЭЦП из другой программы оказалось достаточно всего 17 секунд.
Устройство, помимо прочего, позволяет родителям следить за детьми через ноутбуки и мобильные устройства. Слабые методы безопасности, использованные в устройстве, позволяют хакерам с лёгкостью подключиться к устройству и следить за людьми, находящимися рядом.
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.
