Представляем новости об актуальных технологиях фишинга и других атаках на человека c 13 по 19 апреля 2018 года.

Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Почта, сайты и мессенджеры

Криптоинвестора и блогера Яна Балина взломали во время онлайн-трансляции.

1. Блогер хранил все пароли в блокноте Evernote, а основной е-мейл был связан со старым, заброшенным ещё во времена учёбы в колледже адресом.
2. Используя старый адрес, злоумышленники сбросили пароль на его основном почтовом ящике.
3. Через почтовый ящик они получили доступ к Evernote и вытащили оттуда учётные данные всех счетов и криптокошельков блогера.

Итогом стало хищение криптовалюты на сумму в два миллиона долларов США.

Уязвимости

Механизм синхронизации iOS-устройств через iTunes и Wi-Fi содержит уязвимость Trustjacking.

1. Эксплуатируя уязвимость, злоумышленник может завладеть ключами шифрования, которые используются для аутентификации при Wi-Fi-синхронизации и обманом заставить жертву «спарить» свой смартфон с вредоносным устройством.
2. iTunes API позволяет следить за всем, что происходит на экране устройства, делать скриншоты через заданные промежутки времени и передавать их в iTunes преступника.
3. Кроме того, можно удаленно установить или удалить приложения, создать резервную копию, чтобы позже внимательно изучить собранные данные.

Злоумышленники используют уязвимость сервера CMS Drupal для установки бэкдоров и майнеров криптовалюты.

Уязвимость CVE-2018-7600 получила название Drupalgeddon2 и позволяет атакующему выполнить произвольный код, полностью скомпрометировав уязвимый сайт. Для этого злоумышленнику достаточно обратиться к определенному URL-адресу.

Вредоносное ПО

Троян Quant Loader использует для распространения спам-кампанию, крадёт пароли и загружает вредоносы-вымогатели.

1. Письма содержат архив с файлом .url внутри.
2. Адресатов обманным образом вынуждают открывать ссылку, делая ее название схожим с платежными квитанциями.
3. При запуске ссылки скачивается скрипт, который устанавливает Quant Loader.

Малварь Android.Click маскировалась под известные приложения и использовала технологию Wap-Click для несанкционированной подписки пользователей на платные услуги.

1. После запуска вредоносная программа соединялась с управляющим сервером злоумышленников и ожидала от него задания. В зависимости от IP-адреса зараженного устройства троян получал ссылку на определенный сайт, который нужно было загрузить.
2. Если мобильное устройство было подключено к интернету через Wi-Fi, пользователю предлагали установить интересующее его приложение, нажав на соответствующую кнопку.
   
3. Для загрузки файла у пользователя запрашивали номер мобильного телефона для «авторизации» или «подтверждения».
4. После ввода номера пользователю отправлялся проверочный код, который необходимо было указать на сайте для завершения «загрузки». Однако никаких программ после этого жертва не получала, вместо этого ее подписывали на платную услугу.

Если жертва использовала мобильные интернет, ее автоматически подписывали на премиум-услугу с помощью технологии Wap-Click. При её использовании доступ к платным сервисам предоставляется без предварительного ввода номера телефона и кодов подтверждения из SMS.

Вредоносный Powershell-скрипт заразил компьютеры 50 тысяч игроков в Minecraft и использовал для распространения файлы скинов в формате PNG.

Скины — популярная функция в игре, с помощью которой игроки могут модифицировать свой аватар. Minecraft предоставляет игрокам скины по умолчанию, однако желающие также могут загрузить их на сайт игры с посторонних online-ресурсов. Разработчик игры в настоящее время работает над устранением уязвимости в механизме загрузки скинов.

Новая версия шифровальщика XiaoBa превратилась из шифровальщика в криптовалютный майнер.

Из-за ошибок в коде вредонос стал более опасным, чем шифровальщик, поскольку необратимо портит пользовательские файлы, внедряя в них свои копии по нескольку раз. При этом XiaoBa не делает исключений для системных папок, повреждая файлы операционной системы, так что она становится неработоспособной.

ЦБ РФ предупреждает о фишинговых атаках на банки с вредоносным вложением в виде шпионской программы Dimnie.

Если пользователь откроет вредоносное вложение, Dimnie загружает дополнительные модули и начинает сбор учётных данных жертвы от различных сервисов и программ, в числе которых пароли от социальных сетей и параметры криптовалютных кошельков. Кроме того, Dimnie содержит функции кейлоггера.

Программа для антистресс-рисования Relieve Stress Paint содержит опасный троян и распространяется через фальшивый домен AOL.net.

После установки программа выполняет все заявленные функции: позволяет рисовать, меняя цвет и толщину линии при каждом клике. При этом в фоновом режиме троян добавляет себя в автозагрузку и запускает модуль для кражи учётных данных профиля Facebook.

Домен составлен с помощью Unicode-символов и выглядит в браузере как AOL.net, его название в Punycode выглядит как: xn—80a2a18a.net

Атаки в реальном мире

Атака PowerHammer использует обычные кабели питания для извлечения данных с физически изолированного компьютера.

1. Для работы PowerHammer целевой компьютер нужно заразить вредоносным ПО, которое регулирует уровень «занятости» процессора, выбирая самые ненагруженные ядра.
2. Изменяя уровень энергопотребления ПК жертвы, вредонос может передавать информацию. Нулями и единицами при этом служат скачки потребления электричества.
3. Считывать переданные таким образом можно с помощью кондуктивного излучения («наведенных помех») или измерения колебаний питания.

Злоумышленники взломали «умный» термометр в аквариуме казино и похитили информацию из базы данных.

«Умный» термометр использовался для контроля температуры воды в аквариуме в холле казино. Используя уязвимость в термометре, преступники получили доступ к сети казино, нашли базу данных, содержащую сведения о самых активных игроках, и выгрузили её содержимое на облачный диск.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 6 по 12 апреля 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель

Почта, сайты и мессенджеры

Мошенники используют фишинговые письма с обещанием крупной компенсации за «неиспользованные медицинские услуги» для выманивания денег у доверчивых пользователей.

На почту приходит красивое извещение от несуществующего «Центра компенсации неиспользованных медицинских услуг»:

На иллюстрациях в письме — деньги, обещание выплаты за 3 минуты и предложение проверить свои компенсации по номеру СНИЛС.

При вводе любого номера СНИЛС, даже «123123», сообщается, что вам положена крупная компенсация:

Чтобы получить компенсацию, требуется заплатить сбор в размере 250 рублей:

Помимо рассылок, доверчивых граждан заманивают с помощью таргетированной рекламы в Инстаграме и других соцсетях:

Вредоносное ПО

Злоумышленники используют скомпрометированные web-сайты для распространения вредоносного ПО под видом обновлений для Adobe Flash, Chrome и FireFox:

1. После установки «обновления» на устройство пользователя загружается вредоносный файл JavaScript.
2. Скрипт собирает системную информацию и отправляет ее на управляющий сервер, получает дополнительные команды, а затем загружает вредоносную «полезную нагрузку».
3. Файл под названием Update.js выполняется из директории %AppData% с помощью wscript.exe.

Вредоносная нагрузка включает в себя утилиты для хищения данных, а также NetSupport Manager — легитимную утилиту для удалённого доступа, с помощью которой можно производить любые действия с системой.

Новая кампания по распространению шпионского ПО FormBook использует вредоносную рассылку с прикрепленными документами MS Word.

1. Документ не содержит ни макросов, ни активных ссылок, поэтому песочницы и антивирусы считают его «чистым».
2. В документе присутствуют теги, ссылающиеся на информацию из отдельного файла webSettings.xml.rels.
3. Если просматривать такое вложение в незащищенном режиме, активируется сокращенная ссылка на командный сервер, с которого загружается вредоносный RTF-документ.
4. При открытии встроенный в него объект переносится во временную папку, где создаётся исполняемый файл, скачивающий на компьютер жертвы основную полезную нагрузку — FormBook.

Зловред позволяет записывать нажатия клавиш и извлекать данные из сеансов HTTP и буфера обмена, а также выполнять поступающие с C&C-сервера команды: скачивать и запускать файлы, перезагружать и выключать систему, красть локальные пароли и файлы cookie.

Зловред PUBG шифрует файлы своих жертв, но предоставляет пострадавшему возможность сразу расшифровать файлы, введя код или поиграв в игру.

Вредонос отслеживает процесс, содержащий в имени «TslGame», и считает, сколько времени жертва провела в игре, в итоге расшифровывая файлы. При этом не проверяется, действительно ли игра установлена на зараженной машине и запущена. Значение имеет только имя процесса.

Две новые вариации вымогателя Matrix атакуют компьютеры через протокол удаленного доступа (Remote Desktop Protocol, RDP) и могут безвозвратно уничтожить содержимое жесткого диска.

1. Шифровальщик распространяется через подбор паролей по RDP.
2. После установки на компьютер шифруются данные на жестком диске и удаленных сетевых ресурсах, а также уничтожают теневые копии томов, чтобы лишить пользователя возможности восстановить файлы.
3. Документам присваиваются закодированные имена и расширения, в которых указан один из email-адресов мошенников. В одном случае это .[Files4463@tuta.io], в другом — .[RestorFile@tutanota.com].
4. В папках с зашифрованными файлами вымогатель оставляет сообщение с требованием выкупа. Схожее послание отображается на рабочем столе зараженного компьютера.
5. Сумма выкупа в сообщении не уточняется и зависит от скорости ответа пользователя. В качестве подтверждения, что спасти документы возможно, предлагают бесплатно расшифровать три файла.
6. Жертвы получают неделю на принятие решения, после чего злоумышленники обещают удалить ключ.

Троян Rarog используется для скрытого майнинга Monero на Windows и распространяется через сайты на CMS Magento.

Вредонос регулирует нагрузку на процессор жертв и отслеживает результаты криптомайнинга. Троян также пытается скрыть работу майнера от Диспетчера задач Windows и специализированных программ-анализаторов запущенных процессов.

Кроме добычи Monero и других криптовалют, Rarog умеет:

• загружать и запускать дополнительные вредоносные файлы;
• самостоятельно обновляться;
• проводить DDoS-атаки;
• заражать устройства, подключаемые по USB.

Уязвимости

Уязвимость в системах аварийного оповещения позволяет хакерам дистанционно активировать сирены с помощью радиосигнала.

Атака, получившая название SirenJack Attack может быть выполнена на сирены производства ATI Systems, которые используются в крупных городах, а также в университетах, военных и промышленных объектах США.

В протоколе управления сиренами отсутствует шифрование, поэтому для эксплуатации уязвимости достаточно компьютера и ручной радиостанции стоимостью 30 долларов США. При этом хакер должен находиться в зоне досягаемости и идентифицировать радиочастоту, используемую целевой сиреной для отправки специально сформированного сообщения.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 30 марта по 5 апреля 2018 года.

Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Почта, сайты и мессенджеры

Мошенники использовали сбой в работе мессенджера Телеграм, произошедший 29 марта 2018 года, для хищения криптовалюты у доверчивых пользователей:

Под настоящими сообщениями Павла Дурова в Twitter появились фальшивые послания, отправленные с аккаунта Pavel­Durov (@durhiov), гласящие, что в качестве извинений пользователям Telegram будет предложена компенсация в Ethereum-эквиваленте:

1. На мошенническом сайте ethg.st сообщалось, что общий размен компенсации составит около 5000 ETH, а для участия в акции нужно перечислить от 0,5 до 5 ETH по адресу, зашифрованному в QR-коде.
2. Доверчивые пользователи в течение часа перечислили мошенникам около 60 000 долларов США.

Банковский троян Buhtrap распространялся через заражённые новостные сайты.

Вредоносный скрипт внедрялся на главные страницы ряда русскоязычных новостных сайтов финансовой тематики. После визита на такую страницу потенциальная жертва незаметно перенаправлялась на подконтрольный злоумышленикам сервер, и против нее использовался эксплоит для браузера Internet Explorer.

Данные 37 миллионов пользователей сайта сети кафе Panera Bread (panerabread.com) были доступны любому желающему в открытом виде.

Среди данных были имена пользователей, их email-адреса и адреса доставки, даты рождения, телефонные номера, последние четыре цифры из номеров банковских карт, а также номера карт лояльности. Собрать полную базу данных можно было с помощью простейшего поискового скрипта.

Компания Under Armour сообщила о компрометации 150 млн пользователей принадлежащего ей приложения и сайта MyFitnessPal.

Неизвестные злоумышленники скомпрометировали серверы MyFitnessPal и получили доступ к email-адресам, логинам и хешированным паролям. Представители Under Armour просят пользователей поменять пароли от MyFitnessPal и предупреждают о возможных атаках фишеров.

Новая фишинговая атака на пользователей криптовалютной биржи Poloniex использует вредоносное приложение для кражи данных.

Преступники используют тот факт, что, несмотря на солидный статус и огромное количество пользователей, у Poloniex отсутствует собственное мобильное приложение.

Вредоносное ПО

HiddenMiner — новый вредоносный майнер для Android, который маскируется под обновление для Google Play Store:

Вредонос обманом заставляет пользователей выдать ему права администратора и майнит криптовалюту. Чтобы спрятаться от пользователя, вредонос создаёт прозрачную иконку для приложения, а затем удаляет её, запуская майнер в фоновом режиме:

В коде HiddenMiner не предусмотрен какой-либо контроллер или оптимизатор, то есть приложение постоянно майнит криптовалюту Monero, пока все ресурсы устройства не будут истощены. Это может привести к перегреву и полному отказу устройства.

Cisco Talos публикует подробное исследование трояна KeyDroid, который маскируется под «обновление для Android»:

Вредонос сообщает злоумышленникам информацию об установленных приложениях, номере телефона, уникальном идентификаторе устройства, местоположении, сохраненных контактах, а также передаёт СМС, записи разговоров, электронные письма и фотографии.

Мошенническое приложение Pingu Cleans Up подписывало пользователей на дорогостоящий сервис, используя легитимный способ оплаты в Google Play и социальную инженерию:

После установки на мобильное устройство приложение предлагало пользователю создать игрового персонажа:

1. На первых двух этапах его создания потенциальная жертва выбирала нужный атрибут и должна была подтвердить свой выбор, нажав на кнопку «Подтвердить» во всплывающем окне.
2. На третьем этапе пользователь с банковской картой, привязанной к аккаунту Google Play, видел окно, визуально напоминающее предыдущие. Однако кнопка «Подтвердить» была заменена кнопкой «Подписаться».
3. Нажав на нее, пользователь оформлял подписку стоимостью 5,49 евро в неделю. Платеж списывался с карты автоматически до момента отмены подписки.

Уязвимости

Уязвимости в мессенджере Telegram позволяют получить доступ в приватные чаты и редактировать чужие публикации в Telegraph:

Особенности мессенджера WhatsApp могут поставить под угрозу конфиденциальность пользователей.

Квалифицированный пользователь может получить доступ к большим объемам данных из публичных групп WhatsApp с помощью маломощного сервера, мобильного телефона, на котором установлен мессенджер, и нескольких скриптов и приложений.

Уязвимости в электроэнцефалографах Natus Xltek могут привести к удаленному выполнению кода, а также отказу в обслуживании.

Из-за ошибок во встроенном ПО специально созданный сетевой пакет может вызвать переполнение буфера и выполнение произвольного вредоносного кода. Злоумышленники могут изменять показания приборов и получить доступ к данным о состоянии здоровья пациентов.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.