Представляем новости об актуальных технологиях фишинга и других атаках на человека c 15 по 21 июня 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
sv@antiphish.ru

Электронная почта

Возобновил активность вредонос Olympic Destroyer, использовавшийся для атак во время проведения зимних Олимпийских игр в Пхенчане.

Новый вариант вредоносной программы нацелен на финансовые организации в России, а также лаборатории по предотвращению биологических и химических угроз в Европе и Украине.

Кампания начинается с рассылки таргетированых фишинговых писем с вредоносными вложениями:

2. После открытия такого вложения пользователя убеждают включить макросы.
3. Это приводит к выполнению встроенного VBA-кода и обфусцированного кода Powershell.
4. Код расшифровывает дополнительный вредоносный HTA-файл с JScript, который загружается из облачного хранилища Microsoft OneDrive.

Фишеры научились обманывать антиспам-механизмы Office 365 с помощью техники ZeroFont.

Суть атаки заключается в использовании символов нулевого размера, чтобы спрятать невидимый человеческому глазу текст в обычном с виду письме, например:

Micr<span style="FONT-SIZE: 0px">Dprsmfwe</span>osoft

При отображении сообщения в почтовом клиенте эти вставки будут невидимыми для пользователя. Однако антиспам-механизмы, которые читают код в том виде, как он написан, не распознает в тексте слово Microsoft и пропустит письмо:

Одно из фишинговых уведомлений, в котором злоумышленники просят пользователя перейти по ссылке, чтобы увеличить объем почтового хранилища Outlook. В конце текста стандартная подпись Microsoft

Если убрать тег с указанием нулевого шрифта, видно каким образом письмо прошло почтовый фильтр

Утилита GnuPG содержала уязвимость, которая позволяла подделать сообщение о проверке цифровой подписи.

Ошибка CVE-2018-12020 («SigSpoof») затрагивает GnuPG, Enigmail, GPGTools, пакет python-gnupg и другие приложения, использующие GnuPG.

1. OpenPGP позволяет включать имя исходного файла в подписанные или зашифрованные сообщения.
2. GnuPG во время расшифровки и верификации может отображать уведомление, содержащее имя этого файла, но некорректно очищает буфер с именем файла.
3. Если включить в имя файла управляющие символы, можно подделать статус верификации произвольной подписи.

Уязвимости

Уязвимость в приложении Quick Look для предпросмотра файлов в macOS позволяла просмотреть содержимое файлов на защищенных паролем зашифрованных дисках.

При открытии или создании документа операционная система кэширует его и сохраняет копию. Эта копия впоследствии и открывается в Quick Look: кэшированные файлы и папки хранятся в открытом виде на незашифрованной области жесткого диска.

Голосовой помощник Cortana из Windows 10 позволял получить доступ к данным, выполнить вредоносный код и даже сменить пароль.

Для использования уязвимости атакующему нужно:

1. Сказать «Hey Cortana» для активации ассистента.
2. Попросить Кортану записать что-нибудь.
3. Вместе с окном голосового ввода текста отобразится окно поиска, через которое будут доступны различные функции, в том числе поиск по файловой системе устройства.
4. Задав «passw» в окне поиска, атакующий получит полный список файлов, содержащих в названии и в содержании данное сочетание букв.

Кроме этого, после активации голосового ввода доступно контекстное меню по правой кнопке мыши, через которое можно открыть папку с файлом, запустить от имени администратора любой файл или PowerShell.

Демонстрация взлома с помощью голосового помощника Cortana.

В браузерах Edge и Firefox обнаружена ошибка «Wavethrough», с помощью которой вредоносные сайты могут получать контент с других сайтов от имени пользователя.

Вредоносный сайт мог использовать технологию Service Workers для загрузки с удаленного сайта мультимедийного контента внутри тега «audio», одновременно используя параметр «range» для выбора только определённого раздела этого файла. Из-за ошибок реализации таким способом можно было загружать не только мультимедийный, но и вообще любой контент, в том числе и вредоносный:

Google Chromecast и Google Home содержат уязвимость, которая позволяет любому сайту получить доступ к сервису геолокации Google и определить точное местоположение гаджетов с погрешностью до метра.

Предполагается, что для использования точной геолокации необходима авторизация в учётной записи Google, связанной с целевым устройством, однако какой-либо механизм аутентификации на уровне протокола отсутствует:

Вредоносное ПО

Вредонос Zacinlo устанавливает в систему руткит и позволяет злоумышленнику снимать скриншоты.

Во время установки Zacinlo маскируется под клиент VPN, но вместо этого устанавливает руткит, который незаметно загружает основной модуль вредоноса, демонстрирующий пользователю рекламу на страницах и имитирующий клики на ней.

Новый Android-троян HeroRAT использует бота Telegram для контроля над зараженными устройствами.

Вредонос распространяется через альтернативные магазины приложений, соцсети и мессенджеры. После установки на устройство на экране появляется уведомление о невозможности запустить приложение и его деинсталляции. Иконка приложения исчезает с экрана, однако оно остаётся на устройстве.

Троян следит за пользователями, похищает файлы и контакты, перехватывает и отправляет сообщения, делает звонки и скриншоты, записывает аудио, определяет местоположение устройства и управляет его настройками.

Вредоносное ПО ClipboardWalletHijacker похищает криптовалюты Ethereum и Bitcoin.

Вредонос отслеживает содержимое буфера обмена и обнаружив адреса криптовалютных кошельков, подменяет адрес получателя на адрес кошелька злоумышленника. В течение недели ClipboardWalletHijacker был обнаружен более чем на 300 тысячах компьютеров.

Мобильная малварь MysteryBot атакует устройства на Android 7 и 8, объединяя в себе функции банковского трояна, кейлоггера и вымогателя.

Для обмана пользователей вредонос использует оверлеи — фальшивые окна, которые выводятся поверх окон легитимных приложений. При этом MysteryBot — первый банковский троян, способный корректно отображать оверлеи на Android 7 и 8.

Неизвестные хакеры взломали учетную запись проекта Syscoin и заменили официальный клиент Syscoin для Windows вредоносной версией, содержащей инфостилер Arkei Stealer для кражи паролей и закрытых ключей криптовалютных кошельков.

Атакующие каким-то образом сумели скомпрометировать одного из разработчиков Syscoin и его учетные записи, а затем воспользовались ими для замены официального клиента на вредоносную версию.

Умные устройства

Умные замки Tapplock содержат программные уязвимости, которые позволяют открыть его без отпечатка пальца, предусмотренного конструкцией, а механическая часть замка может быть элементарно открыта несколькими способами:

Видео: взлом замка Tapplock

Видео: взлом замка Tapplock с помощью ваккуумной присоски

Коды разблокировки замка генерируются на основании BLE MAC-адреса устройства, который преобразуется с помощью устаревшего алгоритма MD5. В результате для взлома атакующему достаточно приблизиться к замку, узнать адрес, обработать его с помощью MD5, получить хеш и с его помощью разблокировать замок.

Механический взлом замка можно осуществить с помощью
— ваккумной присоски
— отвёртки (разобрать замок)
— простого болтореза (перекусить дужку)

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 8 по 14 июня 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
sv@antiphish.ru

Атаки

Cпамеры используют файлы IQY (Internet Query) для обмана пользователей и почтовых спам-фильтров.

1. При открытии таких файлов Excel пытается подгрузить данные из удаленного источника.
2. Полученная информация может быть и формулой Excel, которую программа выполнит после получения.
3. Формулы используются для локального запуска скриптов PowerShell, которые отвечают за скачивание и загрузку AMMYY Admin в систему жертвы.

Хотя AMMYY Admin — это легитимный инструмент для удаленного администрирования, злоумышленники используют его для неавторизованного доступа к системам своих жертв.

Киберпреступники использовали вредоносную программу, уничтожающий данные на дисках в качестве отвлекающего манёвра при атаке на крупнейшие банки Чили.

Пока сотрудники ИТ-службы спасали данные, злоумышленники пытались вывести деньги через систему SWIFT:

Изначально представители банка отказывались признать случившееся кибератакой, но затем выпустили заявление, в котором признали, что банк был атакован неким «вирусом». При этом до сих пор неизвестно, удалось ли ограбление, и сумели ли преступники похитить деньги.

Утверждается, что вредонос атаковал 9 000 компьютеров и более 500 серверов. Сама программа была идентифицирована как KillMBR, также известный под именем KillDisk.

Сайты и мессенджеры

Новая мошенническая сеть сайтов маскируется под государственные онлайн-сервисы и выманивает у посетителей небольшие суммы денег, обещая вознаграждение.

Одним из самых популярных ресурсов мошеннической сети стала фейковая интернет-платформа «Активный гражданин». Злоумышленники создали шесть идентичных фальшивых сайтов программы «Развитие регионов», на которых посетителям обещали выплатить от 65 тысяч рублей за ответы на опрос о реформах ЖКХ, образования и здравоохранения:

После ответов на вопросы пользователям сообщали, что для получения вознаграждения необходимо активировать учётную запись в системе «Активный гражданин». Ссылаясь на некий «Регламент проведения дистанционного опроса граждан» №203 о 17 января 2018 года, мошенники указывали, что активация является платной, а её стоимость составляет 170 рублей:

Но даже активировав аккаунт, «активный гражданин» всё ещё не получал свой выигрыш. Мошенники требовали новых и новых платежей:

1. Заверение реквизитов для получения средств — 350 руб.
2. Внесение данных опроса в единый реестр — 420 руб.
3. Комиссия информационной системы — 564 руб.
4. Оплата страховки перевода — 630 руб.
5. Регистрация выплаты в управляющем департаменте — 710 руб.
6. Активация цифровой подписи — 850 руб.
7. Согласование перевода со службой безопасности — 975 руб.
8. Регистрация цифровой подписи — 1190 руб.
9. Оплата услуги — моментальный перевод — 1280 руб.
10. Подключение шифрованной линии связи — 1730 руб.

Вредоносное ПО

Новый шифровальщик RedEye требует выкуп за расшифровку данных, но на самом деле просто уничтожает информацию на компьютере.

1. После запуска RedEye отключает диспетчер задач и скрывает диски на устройстве жертвы.
2. Программа выводит на экран сообщение о том, что файлы на компьютере зашифрованы при помощи алгоритма AES256, и требует выкуп в размере 0,1 биткойна. На выполнение требований вымогателя жертве дается четыре дня. Зловред предупреждает, что после истечения этого срока уничтожит все данные и выведет компьютер из строя.
3. В действительности, пользовательские файлы не шифруются, а заменяются на последовательность нулевых байтов.

Во время работы вредонос выводит анимированные картинки и выдаёт устрашающие звуки для запугивания пользователя.

Уязвимости

Уязвимость в технология отслеживания кораблей даёт злоумышленникам возможность подменить данные о размере и местоположении судов, что может потенциально привести к столкновению.

Уязвимость затрагивает электронно-картографическую навигационно-информационную систему (ЭКНИС), которая предоставляет экипажам альтернативу использованию бумажных карт. В случае успешной атаки злоумышленники могут изменить местополжение корабля в пределах 300 метров, а также информацию о его размере:

Помимо этого, атакующие способны включать и отключать автоматическую идентификационную систему (AIS, Automatic Identification System) судна, что в свою очередь может создать экипажу множество проблем, в том числе привести к аварии.

Во всех процессорах семейства Intel Core обнаружена новая уязвимость с условным названием «Lazy FP State Restore» (CVE-2018-3665) .

Проблема связана с «Lazy FPU context switching», функцией оптимизации производительности, используемой операционными системами для сохранения и восстановления регистров математического сопроцессора. Уязвимость позволяет процессу получить доступ к регистрам и данным в них другого процесса. Опасность состоит в том, что эти данные активно используются при криптографических вычислениях, и при наличии доступа к ним злоумышленник может взломать ключ шифрования.

Для устранения уязвимости не потребуются обновления микрокода Intel. Microsoft и разработчики дистрибутивов Linux уже работают над исправлениями.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 1 по 7 июня 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
sv@antiphish.ru

Сайты и мессенджеры

Мошенники используют Punycode для фишинга пользователей через массовые рассылки текстовых сообщений:

Обратите внимание на URL в адресной строке

С помощью Punycode в сообщения внедряются ссылки, содержащие символы других национальных алфавитов, визуально похожие на латинские символы в адресах легитимных ресурсов.

Например, жертва может получить сообщение в WhatsApp, в котором ей якобы предлагаются бесплатные авиабилеты от Jet Airways. Ссылка на первый взгляд ведёт на jetairways.com, но на самом деле пользователь попадает на xn-jetarways-ypb.com:

Главной целью в настоящее время стали пользователи мобильных устройств: на небольшом экране они имеют меньше шансов заметить странные модификации URL.

Злоумышленникам удалось получить контроль над компьютерами пользователей, записывать видео их жизни и загружать его на YouTube.

1. Один из пострадавших искал в Сети помощь по загрузке и установке на свой компьютер программного обеспечения Adobe и попал на страницу «Support for Adobe Australia».
2. «Специалисты» объяснили ему по телефону, что в его системе обнаружена вредоносная программа, и предложили удалить ее.
3. Для этого надо было установить специальное «решение», которым была вредоносная программа. Она позволила получить удаленный доступ к компьютеру жертвы.

Популярный в прошлом антиспам-сервис сменил владельца и теперь сам распространяет спам и вредоносное ПО.

Визит на сайт spamcannibal[.]org заканчивается получением спама или предложением загрузить фальшивое обновление для Adobe Flash. Предположительно, произошёл захват домена с истекшим сроком действия.

В настоящее время ресурс недоступен.

Атаки

Вредоносный сайт может следить за активностью пользователей с помощью таблиц стилей CSS. Например, сайт может узнать имя пользователя Facebook, получить его аватарку в низком разрешении и узнать, на каких сайтах он ставил лайки. Никаких действий, кроме перехода на сайт, от пользователя не требуется.

Так определяется имя пользователя:

Аватарка:

Проблема кроется в том, как браузеры Chrome и Firefox работают с функцией mix-blend-mode, которая появилась в CSS3 в 2016 году:

1. В ходе атаки происходит наложение на iframe множества DIV-слоев с различными режимами наложения.
2. Размер каждого из этих слоев составляет 1х1 пиксель, то есть каждый перекрывает один пиксель iframe’а за раз.
3. Замеряя разницу во времени отрисовки iframe’a, атакующий может получить представление о содержимом.

Атака занимает около 20 секунд для имени пользователя, около 500 миллисекунд для проверки лайков на тех или иных сайтах, от 5 до 20 минут для воссоздания пользовательского аватара.

Страница с демонстрацией уязвимости.

Уязвимости

Все версии клиента Steam около 10 лет были содержали уязвимость, которая позволяла выполнить вредоносный код и перехватить контроль над компьютерами 125 миллионов пользователей игровой платформы:

Для использования уязвимости достаточно было отправить на компьютер пользователя серию специально сформированных фрагментированных UDP-пакетов, которые вызывали переполнение буфера в библиотеке Steam, обрабатывающей такие датаграммы. После этого система могла выполнить любой код на усмотрение злоумышленника.

Android-приложения Google Search Assistant и Google Pixel Launcher показывают SMS-сообщения пользователей:

Уязвимости подвержены все модели смартфонов Pixel, OnePlus 6, Galaxy S8.

На момент выхода дайджеста ошибки в приложениях уже исправлены, обновленные версии Google Search, Assistant и Pixel Launcher доступны в Play Store.

В числе таких поисковых запросов обнаружены следующие:

• the1976..com;
• thw1975..com;
• the1975..com;
• the1974..com;
• Vizel viagens;
• Izela viagens;
• Zela viagens

В библиотеке для работы с архивами обнаружена критическая уязвимость, которая позволяет выполнить произвольный код на компьютере пользователя:

Уязвимость позволяет распаковать архив за пределами базового каталога и перезаписать любые файлы, включая системные библиотеки и файлы конфигурации сервера.

Атакующий может эксплуатировать уязвимость с помощью специально сформированного архива, в котором в путь сохраненного в архиве файла подставлены символы «../../». При распаковке такого архива из-за отсутствия проверки относительного пути файл будет сохранен в произвольную папку в системе.

Вредоносное ПО

Разработчик вымогателя Sigrun готов бесплатно расшифровать данные русскоязычных пользователей из стран бывшего СССР.

При попадании на компьютер Sigrun проводит сканирование системы, и если находит русскую раскладку клавиатуры, самоуничтожается, не нанося вреда.

Жертве предлагают связаться с автором по электронной почте. Для русскоязычных пользователей мошенник проводит расшифровку бесплатно, а для иностранных жертв размер выкупа составляет $2,5 тыс. в криптовалюте Bitcoin или Dash:

Yup, many are doing that. Guess who is Russian and who is American? pic.twitter.com/1pS6NhPtXN

— S!Ri (@siri_urz) 31 мая 2018 г.

Банковский троян MnuBot написан на Delphi и использует для получения команд сервера MS SQL.

Троян для удалённого доступа (RAT) сохраняется в папке C:\Users\Public\Neon.exe и подключается к базам MSSQL на серверах злоумышленников. Оттуда он получает все необходимые инструкции с помощью SQL-запросов.

Такой способ общения отличает MnuBot от других вредоносов, позволяя скрыть от антивирусов все контакты с управляющими серверами: запросы на получение новых команд и сами команды выглядят как обычный SQL-трафик и обычно не вызывают подозрений у антивирусов.

Семейство троянов BackSwap использует новый способ кражи средств с банковских счетов.

1. BackSwap распространяется через спама: в письмах содержатся вложения с обфусцированным JavaScript-загрузчиком из семейства Nemucod.
2. Полезная нагрузка BackSwap доставляется в систему в виде модифицированной версии легитимного приложения, частично переписанного вредоносным компонентом. Приложение, используемое для модификации, регулярно меняется. Это может быть, например, SQLMon, DbgView, WinRAR Uninstaller, 7Zip, OllyDbg и FileZilla Server.
3. Троян не внедряет код в процессы браузера. Вместо этого он «узнает», когда пользователь заходит в онлайн-банк, с помощью событий Windows в цикле ожидания сообщений.
4. Обнаружив работу с интернет-банком, малварь внедряет вредоносный код в веб-страницу через консоль разработчика в браузере или в адресную строку.

Новая версия банковского трояна IcedID распространяется через спам, а после заражения скачивает конкурирующего банкера TrickBot.

TrickBot, получив управление, загружает на машину жертвы дополнительные модули, расширяющие возможности для грабежа. Объединив усилия, вредоносные программы перенаправляют жертву на поддельные сайты, а также крадут идентификаторы и токены сеансов связи с банковскими службами.

Предположительно, преступные группировки, владеющие зловредами, договорились о сотрудничестве. Так им удалось расширить не только набор средств хищения данных, но и штат операторов, готовых к захвату аккаунтов и проведению мошеннических транзакций.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.