Представляем новости об актуальных технологиях фишинга и других атаках на человека c 23 по 29 марта 2018 года.

Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Уязвимости

В голосовом помощнике Siri обнаружена критическая брешь, позволяющая прочитать скрытые уведомления на iPhone.

Чтобы получить доступ к содержимому уведомлений на заблокированном экране, нужно разблокировать устройство, однако найденная брешь в Siri позволяет обойти эти защитные меры. Однако если попросить Siri прочитать уведомления вслух, она с готовностью исполнит просьбу.

В macOS обнаружена уязвимость, которая позволяет получить доступ к паролям от зашифрованных внешних жестких дисков APFS.

Чтобы воспроизвести уязвимость, нужно

1. Создать с помощью Disk Utility «чистый» флэш-накопитель в формате Mac OS Extended (Journaled).
2. Выбрать в меню опцию «Стереть» и создать том Encrypted APFS с именем SECRET_USB. 3. Нажать на «Стереть» и дождаться окончания операции.
3. Пока операция выполняется, запустить команду Терминала
   log stream —info —predicate ‘eventMessage contains “newfs_”‘

и получить пароль:

пароль выделен красной рамкой на скриншоте

Пароль выводится при запуске команды с параметрами newfs_apfs и -S. Параметра -S официально не существует, так как он отсутствует в документации.

Атаки

Сайт Министерства обороны РФ подвергся кибератакам во время проходившего на нем финального голосования за названия новейших отечественных вооружений.

За день злоумышленники атаковали сайт Минобороны семь раз. Пять атак были средней мощности, а последние две, зафиксированные в промежуток с 19:00 до 20:00 по московскому времени (последний час голосования), оказались самыми мощными. Атаки осуществлялись с территории Западной Европы, Северной Америки и Украины.

Компьютеры администрации Атланты, штат Джорджия, подверглись атаке шифровальщика SamSam.

В официальном Twitter города вскоре появилось сообщение о том, что некоторые клиентские приложения могут не работать, и у пользователей могут возникнуть трудности с оплатой счетов и доступом к судебным документам:

Инцидент затронул как публичные, так и внутренние приложения, используемые городом. Некоторые данные оказались зашифрованы, однако власти поспешили заверить, что системы обеспечения общественной безопасности и водоснабжения, а также городской аэропорт, работают в штатном режиме.

За разблокировку одного компьютера злоумышленники требуют 6800 долларов, а за расшифровку всех данных — 51 000 долларов.

Описана новая атака на процессоры Intel, получившая имя BranchScope.

Как Meltdown и Spectre, BranchScope использует в работе особенности спекулятивного механизма?исполнения команд. Атака позволяет атакующему извлечь с уязвимого устройства конфиденциальные данные, которые в нормальных обстоятельствах не должны быть доступны напрямую. Чтобы осуществить атаку, злоумышленник должен иметь доступ к системе и возможность выполнять произвольный код.

Почта, сайты и мессенджеры

Обнаружена вредоносная кампания, в ходе которой злоумышленники распространяют вредоносное ПО и майнеры криптовалюты через загрузчики потенциально нежелательных программ во всплывающих рекламных окнах:

При нажатии на кнопку «Загрузить» на файлообменном сервисе открывается новое рекламное окно со ссылкой на загрузку вредоноса ICLoader. Жертва думает, будто это настоящие файлы с сайта, и кликает на ссылку. Установившись на компьютере пользователя, ICLoader может загружать нежелательное или вредоносное ПО:

Помимо бесплатных файлообменников и сайтов для обмена взломанными программами, ICLoader также распространяется через поддельные торрент-сайты. Ссылки на загрузку на этих сайтах ведут на страницу загрузки ICLoader.

Современные киберпреступники практически не прибегают к взлому, чтобы похитить деньги. В большинстве случает их жертвы добровольно отдают доступ к своему онлайн-банку или переводят деньги на нужный счет. Это делается с помощью приемов социальной инженерии, которую эксперты по безопасности называют главной проблемой настоящего времени.

В статье «Коммерсанта» описано, как мошенники убеждают отдавать им деньги, а также главные меры защиты:

1. Никому и никогда не сообщайте пароли для входа в онлайн-банк, номер банковской карты, CVC-код и иную информацию, позволяющую произвести списание. Даже если позвонивший представится сотрудником банка и будет иметь о вас какую-то информацию (знать ФИО, дату рождения и т. д.).
2. Убедитесь, что разговариваете именно с сотрудником банка, МФО и т. д. Не уверены — перезвоните самостоятельно в банк или МФО. В случае возможных проблем с банковской картой лучше звонить по телефонам, указанным на обороте карты.
3. Не открывайте сообщения и не переходите по ссылкам от незнакомых лиц. Даже если от знакомого приходит неожиданное сообщение (например, от малознакомого коллеги — текст типа «приколись, как я отрываюсь») — уточните, действительно он направлял вам это сообщение или его почтовый ящик был взломан.
4. То же касается сообщений в соцсетях — если друг просит денег взаймы или пополнить ему телефон, убедитесь, что просьба исходит от друга, а не от взломавшего его аккаунт злоумышленника.
5. Изучайте угрозы, связанные с социальной инженерией: читайте публикации, посвященные этому вопросу, в том числе о новых методах злоумышленников.

Исследование, проведённое компание SAP Hybris, показало, что 89% россиян готовы раскрыть свои персональные данные в обмен на повышенный уровень сервиса или дополнительные услуги.

Электронным адресом готовы поделиться 62% покупателей, оставить номер мобильного — 36%, открыть историю покупок и личных предпочтений — 64%, а проинформировать компанию о своем текущем местонахождении — 42%. В исследовании отмечается, что все эти цифры превышают среднемировые показатели.

Кибермошенники используют специализированный компоновщик ThreadKit для создания и рассылки документов, эксплуатирующих уязвимости в MS Office.

С его помощью раздавались банковские трояны Trickbot и Chthonic, похитители информации FormBook и Loki Bot, а также зловреды, которыми оперирует криминальная группировка Cobalt.

Зафиксировано несколько спам-кампаний с использованием ThreadKit. Одним из звеньев цепочки заражения является HTA-файл, загружающий маскировочный документ и VBS-скрипт для распаковки и запуска исполняемого файла. В результате эксплойта на машину жертвы на тот момент устанавливался загрузчик Smoke Loader, который закачивал с внешнего ресурса банкер Trickbot. Новых ThreadKit-кампании распространяют ботов Neutrino, они же Kasidet.

Вредоносное ПО

Вредонос Trojan.PWS.Stealer.23012 похищает с зараженного устройства файлы и другую конфиденциальную информацию. Утечка этих данных может привести к краже учетных записей жертвы в социальных сетях и других онлайн-сервисах.

Ссылки на вредоносную программу публикуются в комментариях к видеороликам на YouTube, посвященным жульническим методам прохождения игр с применением специальных приложений. Киберпреступники пытаются выдать троянца за такие программы и другие полезные утилиты.

Вредонос AVCrypt перед шифрованием файлов жертвы пытается удалить антивирусные программы и удаляет некоторые службы Windows.

cmd.exe /C sc config "MBAMService" start= disabled & sc stop "MBAMService" & sc delete "MBAMService";

Первым делом AVCrypt пытается деактивировать Windows Defender и Malwarebytes. Чтобы избавиться от антивирусных программ, вредонос удаляет службы Windows, необходимые для их правильной работы: MBAMProtection, Schedule, TermService, WPDBusEnum, WinDefend и MBAMWebProtection. Затем шифровальщик проверяет, зарегистрирована ли какая-либо антивирусная программа в Центре обеспечения безопасности Windows (Windows Security Center), если это так, AVCrypt удаляет эти данные через командную строку.

Вредоносный скрипт DiskWriter или UselessDisk заменяет загрузочный сектор жесткого диска собственным, перезагружает систему и требует выкуп.

Сумма выкупа составляет 300 долларов США, которые нужно перевести на анонимный биткойн-кошелек. Зловред уничтожает или шифрует таблицу разделов диска, поэтому восстановление загрузочного сектора стандартными средствами операционной системы результата не приносит.

Программа действует как типичный вымогатель, но ряд признаков указывает на то, что получение выкупа не является целью ее создателя. Все требования содержат один и тот же номер кошелька, автор не оставляет никаких контактов для связи, а послание жертве почти полностью копирует сообщение печально известного зловреда NotPetya.

Новый кейлоггер Fauxpersky маскируется под антивирусный продукт «Лаборатории Касперского».

Fauxpersky создан с помощью популярного приложения AutoHotKey, позволяющего пользователям писать небольшие скрипты для автоматизации выполнения задач и компилировать скрипты в исполняемые файлы. В данном случае AutoHotKey использовалось для создания кейлоггера, распространяющегося через USB-накопители и заражающего компьютеры под управлением Windows.

1. После запуска вредоноса набираемые пользователем символы на клавиатуре записываются в текстовый файл с именем Windows.
2. Через Google Формы содержимое файла «вытягивается» из компьютера, после чего файл удаляется с диска.
3. Формы отправляются в электронный ящик атакующих.

Криптомайнинг

Двух бывших чиновников Совета министров Крыма уличили в майнинге криптовалюты на рабочем месте.

Обвиняемые установили на ноутбуках и компьютерах, находящихся в здании Совета министров, майнеры криптовалюты биткойн. В общей сложности им удалось добыть криптовалюту на сумму более 15 тыс. рублей.

Для обналичивания средств преступники воспользовались электронным кошельком Webmoney. Объем потребляемой для майнинга электроэнергии составил 11124 кВт, а стоимость — более 57 тыс. рублей.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 16 по 22 марта 2018 года.

Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Почта, сайты и мессенджеры

Мошенники используют функцию автозаполнения в поисковых подсказках Google, чтобы привлекать трафик на свои сайты и продвигать вредоносное ПО.

Внедрение вредоносных подсказок в поисковики предлагают множество компаний. Стоимость услуги — от 1 до 20 долларов в день. Часть компаний используют ручной труд операторов, другие автоматизируют процесс с помощью нескольких браузеров, отправляющих запросы с разных IP-адресов.

Мобильная безопасность

Бывшие специалисты по безопасности Apple создали устройство GrayKey, с помощью которого можно взломать любую модель iPhone.

Продукция компания предназначена для правоохранительных органов, а  официальный сайт Grayshift доступен только представителям силовых ведомств. Полиция может приобрести GrayKey с годовой лицензией на разблокировку 300 устройств за 15 000 долларов США. При этом требуется постоянное подключения к интернету. Устройство с лицензией за 30 000 долларов США не имеет ограничения по количеству разблокировок и не требует подключения к интернету.

Для взлома телефон нужно подсоединить к GrayKey примерно на две минуты. Затем устройство самостоятельно подбирает пароль. Время взлома зависит от модели iPhone и сложности пароля, но в среднем процедура занимает около двух часов для 4-значного пароля и более трех дней для шестизначного.

Уязвимости

Уязвимость в macOS-версии Chrome Remote Desktop позволяет злоумышленнику получить доступ к учетной записи пользователя без пароля.

Для эксплуатации уязвимости нужно, чтобы

1. Была включена гостевая учётная запись
2. На компьютере имелся активный пользовательский сеанс.

В этом случае щелчок по иконке гостевой учётной записи приведёт не к открытию гостевого сеанса, а к открытию сеанса залогиненного пользователя, причём без ввода пароля:

Новые модели умных яхт содержат уязвимости и могут быть удалённо взломаны киберпреступниками.

В бортовой сети яхты имеются устройства для отслеживания судов, система автоматической идентификации, автопилот, GPS-приемники, радар, камеры, датчики глубины, системы контроля и мониторинга двигателя и многое другое. Все устройства и системы подключены к сети, которая может управляться внешним устройством, например, смартфоном или планшетом. В результате злоумышленник может взломать данные устройства и получить контроль над судном.

Атаки

Злоумышленники внедряют на серверы PostgreSQL майнеры криптовалюты, используя в качестве маскировки фотографию Скарлет Йохансон:

1. Злоумышленники проникают в систему под видом обычного пользователя.
2. С помощью модуля Metasploit повышают свои привилегии, чтобы добраться до самого сервера и работающей на нем ОС.
3. Если сервер подходит для майнинга криптовалюты, загружают фотографии Скарлетт Йоханссон.
4. Из фотографии извлекают внедрённый с помощью стеганографии код майнера и запускают его.

Текстовые редакторы с плагинами можно использовать для получения контроля над системами под управлением ОС Unix и Linux.

Для этого злоумышленнику достаточно добавить в плагин вредоносный код и дождаться, пока администратор откроет для редактирования файл с привилегиями суперпользователя.

В числе уязвимых оказались популярные редакторы Sublime, Vim, Emacs, Gedit.

Создана бейсбольная кепка, с помощью которой можно обмануть современные системы аутентификации, основанные на распознавании лица.

Кепка оснащена миниатюрными инфракрасными светодиодами, размещенными так, что инфракрасные лучи, падающие на лицо владельца головного убора, помогают не только скрыть его личность, но и выдать себя за другого человека для прохождения основанной на распознавании лица аутентификации.

Вредоносное ПО

Около пяти миллионов Android-смартфонов продавались с предустановленным вредоносом RottenSys.

Большая часть жертв приобрели смартфоны Huawei, Xiaomi, OPPO, vivo, LeEco, Coolpad и GIONEE в китайском розничной сети Tian Pai.

На смартфоне вредоносная программа пытается выдать себя за системный процесс для защиты Wi-Fi и показывает пользователям навязчивую рекламу.

Злоумышленники используют для распространения майнеров криптовалюты форки различных проектов с открытым исходным кодом на GitHub.

Оригинал для создания форка выбирается случайным образом. В его код внедряется майнер, а затем запускается фишинговая рекламная кампания на порносайтах и игровых ресурсах.

Майнер использует не более 50% ресурсов процессора жертвы, чтобы не вызывать подозрений. А если жертва открывает Диспетчер задач, работа майнера останавливается.

Кроме майнера криптовалюты Monero на устройства жертв устанавливается вредоносное расширение для браузера Chrome, которое маскируется под AdBlock, внедряет рекламу в браузер и скликивает ее в фоновом режиме.

Для первичного заражения используются поддельные сообщения о якобы устаревших версиях Flash Player, а также вредоносная реклама и другие трюки на сайтах «для взрослых»:

Обновлённая версия банкера FakeBank не только похищает деньги со счетов, но и переадресовывает звонки жертвы в банк на номера мошенников.

Номера, на которые вредоносная программа незаметно переключает пользователей, хранятся в ее файле конфигурации. А если злоумышленники сами позвонят жертве, то номер преступников определится как номер телефона банка.

Вымогатель Zenis не только шифрует файлы пользователей, но и целенаправленно повреждает их резервные копии.

Вредонос удаляет все теневые копии, отключает восстановление системы при запуске и очищает логи. По окончании шифрования файлов он пытается обнаружить файлы резервных копий, и если находит, перезаписывает трижды, а затем окончательно удаляет.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 9 по 15 марта 2018 года.

Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Почта, сайты и мессенджеры

Интернет-провайдеры из Турции, Сирии и Египта заражают устройства пользователей шпионским ПО и майнерами криптовалют.

Технология Deep Packet Inspection позволяет провайдерам устанавливать приоритеты, блокировать, внедрять и регистрировать различные типы интернет-трафика. Таким образом они могут анализировать каждый пакет, тайно наблюдая за пользователями.

Турецкая телекоммуникационная компания T?rk Telekom использовала устройство Sandvine PacketLogic для перенаправления журналистов, юристов и правозащитников на вредоносные версии программ, оснащенных шпионским ПО FinFisher и StrongPity, когда жертвы пытались загрузить их из официальных источников:

Воспроизведенная исследователями механика инжектирования вредоносных программ.

В Сирии интернет-пользователей перенаправляли на вредоносные версии популярных приложений, в том числе Avast Antivirus, CCleaner, Opera и 7-Zip:

сайт показывает защищенное HTTPS-соединение, но загрузка файла происходит через HTTP. Это значит, что вместо антивируса пользователь скачивает уже вредоносную программу.

В Египте провайдер использовал устройства Sandvine PacketLogic для тайной установки скрипта для майнинга криптовалюты Monero в браузере. Кроме того, египетских пользователей перенаправляли на страницы с рекламными объявлениями:

Специалисты Сбербанка описали схему целевой фишинговой атаки на своих сотрудников в декабре 2017 и январе 2018 года.

Использовалось два способа распространения вредоносного ПО: ссылка в письме, ведущая на исполняемый jar-файл; вложенный файл, эксплуатирующий опубликованную уязвимость CVE-2017-11882.

Все рассылки производились в разгар рабочего дня (часовой пояс UTC+3);

• первая атака — последняя неделя декабря 2017 года;
• вторая атака — вторая рабочая неделя 2018 года;
• третья атака — третья рабочая неделя 2018 года.

Фишинговые письма рассылались с подготовленных за несколько дней до?вредоносных рассылок почтовых серверов. Все зарегистрированные доменные имена имели сходство с доменными именами компаний, с которыми взаимодействуют российские финансовые организации:

billing-cbr[.]ru
bankosantantder[.]com
oracle-russia[.]info
cards-nspk[.]ru
regdommain[.]com

Пользователи криптовалютной биржи Binance стали жертвами массированной фишинговой атаки.

Злоумышленники собирали информацию об учетных записях, а в самих вредоносных операциях использовали поддельные домены, которые были искусно замаскированы под настоящие при помощи unicode-символов. Данные аккаунтов использовались для создания API ключей, которые были задействованы в в ходе атаки 7 марта 2018 года. От лица скомпрометированных аккаунтов злоумышленники начали торговать парой VIA/BTC, поднимая цену все выше. Система управления рисками Binance обнаружила аномалию за две минуты и заблокировала все транзакции.

Вредоносное ПО

Криптовалютный майнер Dofoil заразил больше 400 тысяч компьютеров и распространялся через взломанный сервер обновлений BitTorrent-клиента MediaGet.

1. Подписанный файл mediaget.exe с сервера обновлений MediaGet загружал программу update.exe, устанавливавшую новый, неподписанный mediaget.exe.
2. Файл работал, как настоящий, но содержал бэкдор, использующий для внедрения в систему технику Process Hollowing. При этой методике создается новый экземпляр легитимного процесса, который затем подменяется вредоносным кодом.

Вредонос Slingshot внедряется в роутеры Mikrotik, а оттуда проникает на компьютеры пользователей:

1. Первичный вектор заражения роутеров пока не известен.
2. Для заражения компьютера используется вредоносная dll, которую загружает с роутера программа администрирования WinBox.
3. Получив управление, dll-библиотека загружает несколько дополнительных модулей, которые позволяют удалённо контролировать файловую систему и виртуальную память в обход штатной защиты, а также собирает и передаёт злоумышленникам пользовательские данные, клавиатурный ввод и другую чувствительную информацию.

Разработчики приложения Calendar 2 для macOS встроили в него майнер криптовалюты Monero в качестве экспериментального способа оплаты дополнительных функций.

Майнер должен был включаться только с согласия пользователей. Приложение честно предлагало отказаться от платных функций или приобрести полную версию за деньги, но сразу же обнаружились две проблемы:

1. приложение майнило Monero независимо от настроек;
2. майнер поглощал не 10-20% ресурсов устройства, как планировалось, а значительно больше.

Уязвимости

Злоумышленники могут захватить контроль над смарт-камерами Hanwha Techwin, используя ошибки в реализации протокола обмена данными XMPP в прошивке камеры.

Атакующие могут выполнить на камере вредоносный код, вывести ее из строя, использовать гаджет в качестве точки входа для последующей атаки на другие устройства в локальной сети, похищать данные пользователей, получать доступ к видео- и аудиоматериалам любой подключенной к облачному сервису камеры, а также подменять изображение для конечного пользователя.

Вредоносная схема CIGslip использует систему защиты целостности кода (Code Integrity Guard, CIG) Windows для внедрения неподписанного вредоносного кода в приложения, защищённые этим механизмом.

Использующее CIG приложение сможет загрузить только подписанные Microsoft библиотеки и исполняемые файлы. Вредоносные программы не смогут внедрить код в защищенные этим механизмом приложения даже при условии, что сама система заражена. Однако если поместить вредоносный код в процесс, не защищенный этой системой, из него можно инжектировать этот код и в защищенное CIG приложение.

Видео: демонстрация атаки.

Израильский стартап CTS-Labs заявил об обнаружении в процессорах AMD Ryzen и EPYC 13 уязвимостей, позволяющих получить доступ к высокочувствительной информации и установить вредоносное ПО.

По словам представителей CTS-Labs, уязвимости подобны нашумевшим Spectre и Meltdown для процессоров Intel:

Эксперты по информационной безопасности восприняли заявления CTS Labs с изрядной долей скептицизма. Подозрения вызывает как содержание, так и форма опубликованного отчета. В сообществе экспертов не исключают того, что широкое освещение обнаруженных недостатков может быть частью кампании по дискредитации продукции AMD или использоваться для фондовых манипуляций.

Атаки на изолированные системы

Используя технику MOSQUITO, можно извлечь данные даже с физически изолированных компьютеров через колонки и наушники.

1. Если установить на изолированный компьютер вредоносное ПО, то можно преобразовывать локальные файлы в аудиозаписи и передавать их на другой компьютер через подключенные колонки или наушники.
2. Второй компьютер с аналогичным ПО, превращает колонки или наушники в микрофон путем переназначения аудиоразъёмов, конвертирует модулированный сигнал обратно в файл данных.

Скорость передачи данных может составлять от 1800 до 1200 бит/с при расстоянии от 1 до 9 метров:

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.