Представляем новости об актуальных технологиях фишинга и других атаках на человека c 4 по 10 мая 2018 года.

Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Почта и сайты

Новая версия шифровальщика-вымогателя GandCrab выводит из строя компьютеры на базе ОС Windows 7.

Программа распространяется, в том числе, через письма с вложенным VBS-скриптами в ZIP-архиве:

А также через эксплоит-паки (используются уязвимости Internet Explorer CVE-2016-0189 или Flash Player CVE-2018-4878):

Ошибка в коде вредоноса блокирует загрузку системы, лишая пользователя возможности взаимодействовать с устройством и возникает при попытке заменить обои рабочего стола на картинку с инструкцией для пользователя.

Чтобы обновить рабочий стол, GandCrab перезагружает компьютер. На этом этапе Windows 7 зависает, не позволяя запуститься системной оболочке.

Киберпреступники проникли в сети двух немецких поставщиков электроэнергии с помощью фишинговых писем.

1. Письма содержали документ-приманку с вредоносным макросом.
2. Атакующие пытались убедить жертву игнорировать сообщение безопасности и включить макрос, выводя на экран поддельное сообщение Microsoft Office.
3. Успешное исполнение макроса приводило к запуску вредоносного ПО — загрузчика, который пытался загрузить с удаленного сервера исполняемый файл и выполнить его.

Киберпреступник из Саратова похитил 384 000 рублей с помощью фишингового сайта, замаскированного под сайт настоящего банка.

Разместив фишинговую копию оригинального сайта, мошенник разместил в «Одноклассниках» рекламный ролик об акции, которую якобы проводил банк. Ссылка в ролике вела на его сайт, где пользователям предлагалось ввести свои данные от личного кабинета. После ввода данных жертвы мошенника расставались со своими деньгами.

Социальные сети и мессенджеры

Злоумышленники разместили в Google Play вредоносный Telegraph Chat, маскирующийся под Telegram Messenger.

После установки на устройство программа меняла значок и имя (на Telegeram) и бомбардировала пользователя рекламными сообщениями, требующими установить различные приложения. Лже-мессенджер поддерживал только одну опцию — обмен сообщениями, а при попытке сделать звонок прекращал работу.

В приложении WhatsApp обнаружена уязвимость, позволяющая вызвать сбой в работе приложения с помощью специального текстового сообщения.

Вредоносное сообщение реализованов в виде «текстовой бомбы» двух видов. В первом написано «This is very interesting» («Это очень интересно»), добавлен смеющейся сквозь слезы смайлик и ссылка «Read more» («Читать дальше»). Если на нее нажать, устройство зависнет и перестанет работать.

Второе текстовое сообщение гласит: «If you touch the black point then your WhatsApp will hang» («Если вы коснетесь черной точки, ваш WhatsApp зависнет»). Если пользователь нажмет на черную точку, устройство действительно зависнет. Для того чтобы вернуть устройство в рабочее состояние, необходимо его перезагрузить

Оба сообщения состоят не только из видимых текстовых символов, но и десятков тысяч невидимых UTF-знаков, управляющих отображением текста. В результате операционная система перегружается десятками тысяч текстовых символов, приложение и ОС перестают отвечать и требуется перезагрузка устройства.

Cоцсеть «ВКонтакте» добавила поиск по номеру телефона любого человека.

В настройках соцсети появился специальный пункт, который позволяет включить или выключить такую возможность, если пользователь не желает, чтобы его могли найти по номеру привязанного к аккаунту мобильного. По умолчанию эта опция позволяет кому угодно найти пользователя по номеру телефона.

Вредоносное ПО и уязвимости

Новый вариант вредоноса SynAck стал первым в мире вымогателем, использующим для обхода обнаружения новую беcфайловую технику внедрения кода Process Doppelg?nging.

1. Техника Process Doppelg?nging использует функции NTFS Transactions для запуска вредоносного процесса, заменяя память легитимного процесса. В результате антивирусы принимают вредоносный процесс за легитимный.
2. При запуске SynAck определяет раскладку клавиатуры компьютера и атакует пользователей в США, Кувейте, Иране и Германии, но не трогает компьютеры, с русской, украинской, белорусской, армянской, грузинской, азербайджанской, казахской, узбекской или таджикской раскладками.
3. После установки на системе жертвы SynAck шифрует файлы с помощью алгоритма AES-256-ECB и требует выкуп за их расшифровку. В уведомлении шифровальщика киберпреступники «предлагают свои услуги по восстановлению файлов», причиняющих «неудобство».

По данным Лаборотории Касперского, SynAck распространяется в основном с помощью брутфорса по протоколу удаленных рабочих столов (RDP).

В процессорах Intel обнаружены восемь новых уязвимостей, названных Spectre New Generation или Spectre-NG — по аналогии с известными недостатками в архитектуре современных чипов, которые нашлись в середине прошлого года.

Ошибки Spectre-NG более опасны, чем предыдущее поколение. Одна из обнаруженных угроз значительно упрощает атаки на контур безопасности микросхемы и позволяет запустить вредоносный код на виртуальной машине. Это влечет за собой возможность атаки на сетевые серверы, а через них — на инфраструктуру облачного хостинга. Компрометация даже одной виртуальной машины ставит под угрозу все остальные аналогичные сервисы, запущенные в рамках одной хост-системы. Это особенно опасно для облачных платформ, таких как Cloudflare или Amazon Web Services.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 27 апреля по 3 мая 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель

Социальные сети

Червь FacexWorm распространяется через Facebook Messenger и атакует пользователей криптовалютных кошельков:

Атака начинается с фишинговой ссылки на поддельную страницу YouTube:

Если пользователь переходит по ссылке, ему на компьютер устанавливается расширение FacexWorm для Google Chrome:

Расширение скачивает вредоносный сценарий JavaScript, который

• внедряет на компьютер жертвы криптовалютный майнер
• переадресует пользователя на мошенническую криптовалютную страницу
• похищает данные криптовалютных кошельков
• подменяет данные кошельков в буфере обмена на своих
• переадресует пользователя на реферральные ссылки

Затем расширение рассылает фишинговую ссылку всем контактам жертвы.

Почта, сайты и мессенджеры

Злоумышленники могут использовать PDF-файлы для похищения учетных данных пользователя Windows.

Участие пользователя не требуется, достаточно лишь открыть файл:

1. При открытии документ автоматически отправляет запрос на удаленный вредоносный SMB-сервер.
2. По умолчанию все SMB-запросы также содержат хэши NTLM для аутентификации, записываемые в журнал SMB-сервера.
3. Злоумышленник может воспользоваться доступными в настоящее время инструментами для взлома хэшей NTLM и извлечь учетные данные пользователей.

Уязвимость в Google-Картах позволяет заманить жертву на мошеннический сайт через доверенный URL.

«Открытая переадресация» на сторонние сайты из Google-Карт не является официальной функцией и не имеет механизма блокировки подозрительных ссылок, чем и пользуются мошенники. В зафиксированных случаях злоумышленники использовали подобный URL:

https://maps.app.goo.gl/?link=https%3A%2F%2Fexample.org

Жертвы атаки перенаправлялись на страницу с российским доменом, на которой размещалась реклама средства для похудения, ориентированная на англоязычных пользователей. На момент публикации уязвимость была устранена.

Вредоносное ПО

Новый инструмент позволяет злоумышленникам создавать загрузчики для вредоносных программ в виде файлов Word или Excel:

Создаваемые этим билдером загрузчики предельно просты, а предлагаемые алгоритмы шифрования вполне обычны (XOR, Base64).

Пользователю также предоставляется выбор методов загрузки (PowerShell, Bitsadmin, Microsoft.XMLHTTP, MSXML2.XMLHTTP или кастомный PowerShell) и формата полезной нагрузки (исполняемый код, JavaScript, VB-скрипт).

Доступ к Rubella Macro Builder стоит 40 долларов в месяц.

Мобильная безопасность

Мошенники рассылают СМС-сообщения с коротких номеров для установки вредоносных программ на смартфоны жертв:

1. СМС-сообщения рассылаются с номеров, похожих на номера популярных брендов и агрегаторов.
2. Пользователям предлагается пройти активацию или подтвердить бронирование, скачав и установив ПО по ссылке.
3. Вместо активации пользователь устанавливает вредоносное ПО, которое похищает его деньги путем отправки платных СМС или подписки на платные рассылки.

«Умные» устройства

«Умную» колонку Amazon Echo можно превратить в подслушивающее устройство, используя опции из комплекта разработчика (SDK).

С использованием Alexa SDK можно создать приложение, которое продолжает слушать пользователя даже после предоставления ответа на исходный вопрос. При этом всё сказанное записывается в так называемые слоты, которые разработчик может просмотреть в журналах приложения. Используя различные сочетания параметров, интервал записи удалось увеличить до 16 секунд:

Хакеры могут отключать подушки безопасности и управление автомобилем.

В 2018 году возможны атаки подключенных к интернету систем: автомобилей (отключение подушек безопасности, управление машиной, слежение за ее владельцем) и медицинских приборов, — говорится в документе, имеющемся в распоряжении РИА Новости.

Уязвимость в информационно-развлекательной системе Volkswagen и Audi позволяет считывать данные о разговорах водителя и следить за передвижением автомобиля в реальном времени.

Для эксплуатации уязвимости и проникновения в систему злоумышленники могут воспользоваться беспроводным интерфейсом, который даст доступ к незащищённым программным компонентам.

Сетевые накопители Western Digital My Cloud EX2 позволяют любому пользователю в локальной сети получить доступ к файлам.

Причина уязвимости — в запущенном по-умолчанию UPnP-медиасервере, который разрешает извлекать любые файлы c помощью HTTP-запросов. Так можно обойти любые разрешения или ограничения, установленные владельцем либо администратором устройства.

Гостиничные электронные замки Vision разработки компании VingCard содержат уязвимость, которая позволяет изготовить копию мастер-ключа и открыть с его помощью любой замок.

Чтобы создать реплику, злоумышленнику потребуется вычислить универсальный код, а затем перенести его на карту-заготовку, в качестве которой подойдет любая оригинальная карта-ключ производителя, даже выброшенная или просроченная. Код вычисляется с помощью специального устройства, которое можно легко купить онлайн.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 20 по 26 апреля 2018 года.

Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Почта, сайты и мессенджеры

Новая фишинговая кампания использует взломанные аккаунты Twitter для рассылки личных сообщений.

В теле сообщений содержится ссылка, ведущая на поддельную страницу для входа в Twitter, саму страницу не отличить от оригинала.

Если жертва введёт свои учетные данные на этой странице, они попадут в руки злоумышленников и дадут им полный контроль над аккаунтом.

В рамках очередной спам-кампании злоумышленники распространяли различные наборы вредоносных программ, используя в качестве контейнера документ RTF.

В документе эксплуатировалась уязвимость в Microsoft Office (CVE-2017-11882), которая позволяет выполнить вредоносный код без взаимодействия с пользователем.

В первом варианте сообщений злоумышленники рассылали бэкдоры Adwind RAT, XTRAT вместе со шпионской программой Loki.

После того как пользователь открыл зараженный файл, происходит загрузка Loki. Затем Loki, как дроппер, загружает Adwind и XTRAT. Загруженные файлы нарушают работу систем удаленного администрирования и получают контроль над зараженным устройством.

Во втором сценарии использовался VBScript с бэкдором DUNIHI.

Уязвимость в механизме автозаполнения позволяла злоумышленникам на любом сайте незаметно получить данные пользователя из профиля LinkedIn.

Функция автозаполнения AutoFill была создана для удобства пользователей, которые могли бы использовать данные из профиля LinkedIn для заполнения резюме, анкет и прочих форм на других сайтах. LinkedIn утверждает, что функция доступна только на доверенных (whitelisted) сайтах. Однако, если кнопку автозаполнения разместить на любом сайте, сделать прозрачной и растянуть на весь экран, LinkedIn воспримет любой клик посетителя по странице как вызов процедуры AutoFill и отправит личные данные. При этом, если пользователь уже залогинен в социальной сети, никаких дополнительных уведомлений не будет выводиться.

На момент публикации команда LinkedIn уже исправила уязвимость.

Вредоносное ПО

Инструмент Rubella Macro Builder позволяет злоумышленникам автоматизировать создание документов Microsoft Office со встроенными вредоносными макросами, которые выступают в качестве загрузчиков «банковских» троянов на компьютеры жертв.

Rubella Macro Builder предлагает различные алгоритмы шифрования и методы для загрузки и выполнения дополнительного вредоносного кода.

Также инструмент предлагает добавить в документ специальный текст и изображения, которые мотивируют пользователя включить макросы:

«Банковский» троян TrickBot использует блокировку экрана для кражи паролей пользователей новых версий Windows.

Блокировка экрана является частью хитроумной схемы кражи учетных данных на компьютере Windows, которые сохраняются для так называемой дайджест-аутентификации.

1. При аутентификации пользователя на веб-сервере с использованием протокола WDigest его логин и пароль WDigest сохраняются в памяти системного процесса lsass.exe.
2. На Windows XP их легко получить из памяти с помощью Mimikatz.
3. В более новых версий Windows предусмотрена возможность запрета хранения паролей в памяти LSA, но при этом всё ещё можно включить использование WDigest-аутентификации.

TrickBot вначале включает поддержку WDigest, а затем использует блокировку экрана, чтобы заставить пользователя повторно войти в аккаунт. Для получения пароля из памяти в этот момент используется Mimikatz.

Из-за плохой модерации Chrome Web Store более 20 млн пользователей установили себе фальшивые блокировщики рекламы и стали участниками ботнета.

Мошенники размещают в Chrome Web Store клоны популярных блокировщиков, добавляя несколько строк собственного кода. В результате пользователи устанавливают себе Adguard Hardline или Adblock Plus Premium или другие имитации. Единственный возможный способ борьбы с подобными подделками — это обратиться к Google с жалобой о неправомерном использовании товарного знака. Удаление клона занимает несколько дней.

Целевые атаки

Хакерская группа Orangeworm атакует медицинские организации в США, Европе и Азии.

В результате целевых атак через поставщиков (supply-chain attack) в организациях-жертвах заражались компьютеры, которые контролируют работу рентген-аппаратов и МРТ-сканеров. Для заражения использовался троян Kwampirs, в числе прочих имеющий функционал самостоятельного распространения в системах.

Проникнув в систему, вредоносная программа собирала данные об устройстве и передавала их на удаленный сервер. На зараженной машине открывался бэкдор, позволявший злоумышленникам получить доступ к конфиденциальным данным. Если скомпрометированную систему и организацию определяли как потенциально интересную, инициировалось хищение данных, а также «агрессивное копирование» программы на все доступные машины организации и сетевые ресурсы.

«Умные» устройства

Уязвимость в беспроводных мозговых имплантах позволяет злоумышленникам перенастроить устройство так, что жертва не сможет говорить, двигаться, получит необратимые повреждения или даже умрёт.

Нейростимуляторы представляют собой устройства, вводимые в полость черепа человека для лечения нейродегенеративных заболеваний, таких как болезнь Паркинсона. Имплантат непосредственно взаимодействует с серым веществом мозга, поэтому последствия его перенастройки могут быть катастрофическими. Например, изменение вольтажа нейростимулятора может привести к смерти человека.

Причина уязвимости состоит в том, что создатели устройства не заложили в конструкцию средства шифрования или аутентификации: эти операции приводят к быстрому расходу заряда встроенных в нейростимуляторы аккумуляторов.

Обилие незакрытых уязвимостей в «умных» автомобилях от ведущих производителей угрожает данным и даже жизни их владельцев.

Используя эти уязвимости, злоумышленники создают и распространяют множество вредоносных инструментов, с помощью которых можно заразить автомобиль и делать с ним практически всё что угодно:

• открывать скрытый доступ к автомобилю с возможностью удаленного управления, разблокировки дверей и отключения сигнализации;
• шпионить за владельцем через встроенные в салон микрофон и камеру, отслеживать его перемещения через GPS или Интернет;
• красть данные из автомобильных систем и подключаемых к док-станции устройств, включая смартфоны;
• манипулировать настройками авто, включать и выключать электронные системы управления;
• внедрять вредоносное ПО, в том числе вымогатели, которые не позволяют запустить двигатель, пока жертва не заплатит выкуп.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.