Представляем новости об актуальных технологиях фишинга и других атаках на человека c 25 по 31 мая 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор

Уязвимости

Разработчики утилиты для хранения паролей Dashlane проанализировали данные более 60 млн пользователей и рассказали о привычках, которым следуют люди при выборе ключей для своих аккаунтов.

Чаще всего секретная комбинация символов содержит названия футбольных клубов, слова любви и ненависти, а также имена звезд и марки автомобилей.

На сайте крупнейшего мобильного оператора T-Mobile обнаружена уязвимость, которая позволяет получить данные о клиенте по номеру его сотового телефона.

Один из служебных доменов компании содержал функциональность, которая позволяла без аутентификации отправить запрос и получить полный комплект данных о клиенте, включающий его полное имя клиента, почтовый адрес, номер платежного счета, а в некоторых случаях идентификационный номер налогоплательщика.

Атаки

Методика FontCode позволяет размещать скрытые сообщения внутри глифов шрифта и  основывается на том, что для компьютеров глифы являются лишь математическими уравнениями для прорисовки линий и кривых на экране.

FontCode позволяет немного изменить эти уравнения и внести незаметные для  человеческого глаза изменения в один или несколько символов шрифта. При этом сторонний наблюдатель сможет обнаружить эти модификации и расшифровать их, получив отдельные буквы, при помощи специального алгоритма.

Благодаря своей незаметности FontCode может использоваться для внедрения скрытых посланий практически в любой текст, на самых разных носителях. Например, зашифрованное сообщение может быть интегрировано в книгу или газету, цифровое изображение или документ PDF:

Злоумышленники могут вызвать сбои жесткого диска и операционной системы, воспроизводя звук и ультразвук с помощью дешёвых колонок.

Звуковая атака приводит к усилению вибрации в блоке магнитных головок и  смещению головок чтения/записи. Ультразвук влияет на датчик вибрации, который начинает парковать головки без необходимости.

В эксперименте понадобилось всего 12 секунд, чтобы вызвать сбои в работе камер видеонаблюдения Ezviz. Если атака продолжается 105 секунд и более, жесткий диск диск Western Digital 3.5 полностью прекращает запись до перезагрузки. В процессе демонстрации использовался свисающий с потолка динамик, который находился на расстоянии десяти сантиметров от жесткого диска.

Ноутбук Dell XPS 15 9550 удалось довести до сбоя, запустив на нём проигрывание вредоносного аудиофайла в течение 45 секунд. Через 2 минуты прослушивания такого звука для возвращения к нормальной работе потребовалась уже перезагрузка устройства.

Вредоносное ПО

Пользователей Mac атакует майнер криптовалюты Monero, работа которого сильно расходует мощность процессора и разряжает батарею.

Исполняемый файл вредоноса называется mshelper. Предположительно, он распространяется под видом обновления для Adobe Flash Player, содержится во вредоносных документах или пиратском ПО.

Банковский троян BackSwap использует нестандартные техники манипуляции браузером, которые могут ввести в заблуждение и антивирус, и браузерную защиту.

BackSwap не взаимодействует с браузером на уровне процесса, используя вместо этого управление элементами интерфейса пользователя Windows и имитацию нажатия клавиш. Зловред также не требует специальных привилегий и поэтому легко обходит современные средства защиты, умеющие детектировать обычное внедрение кода. Кроме того BackSwap не зависит от архитектуры или версии браузера (32 бит/64 бит).

«Умные» устройства

Умная колонка Amaxon Alexa записала беседу её хозяйки с мужем, а затем самостоятельно отправила запись на случайный номер в адресной книге, причём выполнила все эти действия без разрешения своих владельцев.

По мнению службы поддержки Amazon, причина странного поведения колонки — в неудачном стечении обстоятельств:

1. В разговоре супруги произнесли слово, которое колонка восприняла как «Alexa».
2. Далее в разговоре прозвучала фраза «отправить сообщение».
3. После того, как колонка спросила, кому его отправить, прозвучало одно из имен из книги контактов пользователей.
4. Колонка начала записывать разговор своих владельцев и после того, как он завершился, отправила запись беседы тому самому человеку, чье имя прозвучало в разговоре.

Уязвимости в прошивке антропоморфного робота Pepper японской компании Softbank позволяют превратить его в «физическое и кибероружие».

— Pepper оснащен неизменяемым паролем суперпользователя, указанным в руководстве пользователя.
— Передает данные в открытом виде по HTTP
— Работает на базе процессоров с уязвимостями Meltdown и Spectre.
— Страница администрирования предлагает только одну учетную запись пользователя с логином nao.
— На панели администрирования отсутствует функция «Выйти».
— Число попыток ввода пароля не ограничено.

Pepper API предоставляет доступ ко всем датчикам робота, камерам, микрофонам и подвижным частям. Робот принимает TCP-пакеты от любого источника без какой-либо аутентификации. Атакующий может отправлять роботу пакеты по TCP и использовать его камеры и микрофоны для слежки за людьми, прослушивания разговоров, фишинга.

Утечки

Бывший сотрудник дочерней компании Coca-Cola перед увольнением скопировал себе на внешний жёсткий диск персональную информация 8000 сотрудников компании.

В ходе расследования была подтверждена подлинность документов, содержащих личную информацию некоторых работников. Утечка затронула около 8 000 сотрудников на территории США в штатах Колорадо, Мэн, Мэриленд, Вермонт, Пуэрто-Рико и Вермонт, которым сейчас рассылаются письма-предупреждения.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 18 по 24 мая 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор

Вредоносное ПО

Вредоносная программа Roaming Mantis использует взломанные роутеры для заражения устройств Android, перенаправляет iOS-устройства на фишинговый сайт и запускает майнинговые скрипты на десктопах и ноутбуках.

Для выполнения этих операций вредонос использует DNS hijacking, подменяя адреса DNS-серверов в настройках скомпрометированных роутеров на собственные DNS-сервера, которые всегда перенаправляют пользователей на вредоносный сайт.

Попав на вредоносный сайт, пользователь получает уведомление, например, о необходимости обновить браузер. Далее начинается загрузка вредоносного приложения chrome.apk:

В процессе установки приложение запрашивает множество разрешений, в том числе на доступ к информации об аккаунтах, получение и отправку SMS-сообщений и обработку голосовых звонков, запись аудио, доступ к файлам, отображение своего окна поверх других и так далее.

Исследователи обнаружили поддержку 27 разных языков, на которых пользователям показываются фальшивые оповещения:

Майнер WinstarNssmMiner, построенный на базе opensource-майнера XMRing, за три дня заразил 500 000 машин.

Если при запуске WinstarNssmMiner обнаруживает в системе процессы антивирусов Avast или «Лаборатории Касперского», он завершает свою работу. В противном случае малварь запускает два процесса svchost.exe, один из которых является скрытым майнером. Второй svchost.exe наблюдает за другими антивирусными процессами и пытается завершить их, чтобы избежать обнаружения.

Вредоносный процесс майнера запускается с системным приоритетом CriticalProcess, и если попытаться «убить» этот процесс каким-либо способом, Windows экстренно перезагружается.

«Умные» устройства

Вредонос VPNFilter заразил более 500 000 роутеров Linksys, MikroTik, Netgear, TP-Link и сетевых накопителей QNAP.

VPNFilter представляет собой высокотехнологичное вредоносное ПО, сходное с разработками хакерской группы Blackenergy, предположительно создавшей вирусы Petya/NotPetya. Используя VPNFilter, злоумышленники могут организовывать DDoS-атаки, похищать данные о сайтах и выводить из строя цифровые устройства.

Уязвимости в популярных GPS-трекерах для животных позволяют взломать устройство, определить и изменить координаты местоположения питомца и его хозяина, а также получить доступ к данным хозяина.

Как оказалось, во многих трекерах для использования Bluetooth не требуется авторизация, токены авторизации и геолокационные данные хранятся в незашифрованном виде, при подключении к серверу по HTTPS трекеры не проверяют цифровой сертификат, а некоторые трекеры и приложения позволяют устанавливать вредоносную прошивку и похищать персональные данные пользователей.

В развлекательных и телеметрических системах автомобилей BMW обнаружены 14 уязвимостей.

Эксплуатируя уязвимости, удалось получить доступ с повышенными правами к CAN-шине автомобилей, локальный доступ к авто и даже удалённо взломать его. Для удаленного взлома атакующему потребуется проникнуть в локальную сеть GSM. Уязвимости затрагивают модели серий BMW i, BMW X, BMW 3, BMW 5 и BMW 7.

Почта, сайты и мессенджеры

Новая фишинговая атака ориентирована на кражу банковских данных владельцев недвижимости пользователей сервиса Airbnb.

1. Потенциальная жертва получает письмо с уведомлением о вступлении в силу с 25 мая 2018 года нового Общего регламента по защите данных (GDPR — General Data Protection Regulation)в Евросоюзе.
2. В письме сообщается, что Airbnb обновляет политику конфиденциальности в связи с внедрением нового GDPR. Чтобы и дальше пользоваться всеми функциями сервиса, владельцу жилья предлагается «обязательно» принять новые условия, перейдя по ссылке в письме.
3. Ссылка ведёт на фишинговую страницу с анкетой для «обновления личной информации». В анкете помимо прочего владельцу жилья нужно ввести данные банковской карты и аккаунта на Airbnb.
4. Получив данные о банковских картах, мошенники могут использовать их для хищения средств или перепродажи.

Уязвимости

Серверы приложения для родительского контроля TeenSafe хранили в открытом доступе десятки тысяч учётных записей родителей и детей.

Мобильное приложение TeenSafe позволяет родителям просматривать текстовые сообщения и отслеживать местоположение своего ребёнка, контролировать звонки, историю просмотра веб-страниц и установленные приложения. Серверы компании были размещены в облаке Amazon, но пароль для доступа к ним не был установлен, в результате данные, например, пароли от Apple ID детей, были открыты для любого желающего.

Уязвимость в менеджере паролей Keeper позволяла получить доступ к конфиденциальным данным пользователей.

Причина уязвимости была в коде серверного скрипта Keeper Commander, который обеспечивал пользователям возможность чередования паролей и исключал необходимость использовать встроенные в ПО и системы пароли. По умолчанию скрипт доверял API сервера, в результате чего любой, у кого есть контроль над сервером API Keeper мог получить доступ к ключу для шифрования паролей, хранящихся в менеджере, а значит, и ко всем паролям.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 11 по 17 мая 2018 года.

Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Почта и мессенджеры

Вредонос Vega Stealer распространяется с помощью фишинговых рассылок и крадёт данные пользователей, сохранённые в браузерах Chrome и Firefox.

Темы рассылок выглядели как «Требуется разработчик интернет-магазина», а получателями оказывались как отдельные адресаты, так и группы лиц. В теле писем скрывалось вредоносное вложение brief.doc с макросом, загружающим зловред.

Макрос скачивает полезную нагрузку в два этапа:

1. Документ исполняет запрос, извлекающий обфусцированный скрипт JScript/PowerShell.
2. Этот скрипт создает второй запрос, который загружает Vega Stealer в пользовательскую папку с музыкой и автоматически запускает его из командной строки.

Помимо кражи данных новый зловред умеет копировать с зараженного компьютера документы Word и Excel, а также файлы PDF и TXT.

В криптографических инструментах PGP и S/Mime обнаружены несколько уязвимостей EFAIL, которые позволяют просматривать содержимое зашифрованных писем в виде простого текста.

Демонстрация атаки в Apple mail:

Демонстрация атаки в Thunderbird:

Выявленные проблемы связаны с реализацией криптографических плагинов в популярных почтовых клиентах. В частности, уязвимы Thunderbird, Outlook, Apple Mail и PGP-плагины для них — Enigmail, Gpg4win и GPG Tools:

1. Сначала атакующему необходимо получить доступ к переписке жертвы, взломав почтовый сервер, почтовый аккаунт или перехватив трафик с помощью man-in-the-middle-атаки.
2. В зашифрованные письма нужно вставить HTML-теги. Например, атакующий может разместить теги img или style в MIME-заголовках, превратив письмо в multipart HTML-сообщение, содержащее внутри тега зашифрованный текст:
   
3. Затем нужно обманом заставить отправителя или одного из получателей открыть ставшее вредоносным письмо.
4. Когда уязвимый клиент будет расшифровывать письмо, он перейдет к автоматической обработке HTML и отправит уже дешифрованный текст злоумышленнику в рамках использованного тега.

Новое вредоносное ПО TeleGrab атакует пользователей десктопной версии Telegram.

Вредонос восстанавливает файлы с кешем и ключами шифрования в запущенной десктопной версии Telegram, обеспечивая злоумышленнику доступ к сеансу, контактам и переписке жертвы.

Вредоносное ПО

Семь вредоносных расширений для Chrome похищали учетные данные пользователей, майнили криптовалюту и накручивали клики, притворяясь известными программами.

Все вредоносы распространялись с использованием социальной инженерии и через ссылки в Facebook. Ссылки приводили жертв на фальшивую страницу YouTube, которая и запрашивала установку расширения.

1. После установки расширение запускало вредоносный JavaScript, превращая зараженную машину в новое звено ботнета.
2. У пострадавшего пользователя похищали аккаунты Facebook и Instagram и использовали эту информацию для распространения вредоноса среди друзей жертвы.
3. Кроме того, зловред заставлял зараженные компьютеры добывать криптовалюты Monero, Bytecoin и Electroneum.

Чтобы обмануть систему проверки Google, киберпреступники внедрили короткие обфусцированные части вредоносного кода в скомпрометированный плагин.

Мультиплатформенный шпион Maikspy похищает личные данные пользователей, маскируясь под игру для взрослых.

Maikspy работает под Windows и Android, распространяясь через сайт miakhalifagame[.]com.

После запуска и установки шпион подключается к управляющему серверу и может передавать преступникам номер телефона жертвы, данные её аккаунтов, список установленных приложений, контакты и переписки пользователя.

Злоумышленники даже создали специальную инструкцию по отключению антивируса, который якобы может помешать корректной работе приложения:

Новый вайпер StalinLocker демонстрирует пользователю портрет Сталина и проигрывает гимн СССР.

После этого StalinLocker даёт пользователю 10 минут на ввод кода и если код не был введен, стирает содержимое всех дисков, которые обнаружит в системе. Код — это разница между текущей датой выполнения программы и 1922.12.30. Если код введен верно, локер удаляет себя из автозапуска и завершает работу.

Беспроводные сети

Публичные WiFi-сетей в поездах Великобритании могут стать источником утечки конфиденциальных данных пассажиров и дать хакерам доступ к управлению поездом.

Основной причиной стало использование в маршрутизаторах паролей по-умолчанию или слишком простых паролей, а также отсутствие разделения между сетями для пассажиров, сотрудников железной дороги и для управления поездом.

Данные банковских карт, которые использовались для оплаты работы в сети, хранились на WiFi-сервере в незашифрованном виде

Административная сеть доступна из публичной WiFi-сети, пароли по-умолчанию подходят

«Умные» устройства

Популярные голосовые помощники в смартфонах и умных колонках уязвимы для скрытых аудио-атак, которые могут быть внедрены в музыку или YouTube-видео.

Разработанный исследователями метод позволяет добавить скрытые команды для умной колонки Amazon Echo в музыкальную запись или текст и заставить её произвести онлайн-покупку:

В отличие от человека, системы распознавания речи переводят каждый услышанный звук в букву, из которых затем составляются слова и фразы. Незначительно изменяя звуки, которые должна была слышать система, искусственный интеллект удалось обмануть: после перевода этих звуков в слова и фразы они приобрели для умного устройства новый смысл, а люди ничего не слышали.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.