Представляем новости об актуальных технологиях фишинга и других атаках на человека c 19 по 25 января 2018 года.

Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Почта, сайты и мессенджеры

Банковский троян Dridex распространяется с помощью фишинговых писем и использует скомпрометированные ftp-серверы для загрузки вредоносного кода

Письма содержат файл MS Office, при открытии которого выполняется команда загрузки вредоносной программы.

Агент обновлений игр от Blizzard Entertainment уязвим для атаки DNS Rebinding

Blizzard Update Agent — необходимый компонент для игр компании Blizzard. Он запускает на компьютере игрока сервер JSON-RPC, который принимает команды на установку, удаление изменение настроек и обновление связанных с ним продуктов.

Из-за уязвимости злоумышленники могут выдать любой сайт за мост между сервером Blizzard и клиентом жертвы и отправить на её компьютер произвольный файл под видом игрового обновления.

Телефонное мошенничество

Мошенники используют виртуальные АТС для звонков клиентам банков с номеров кредитных организаций и кражи логинов и паролей

Облачная АТС оформляется на одноразовую сим-карту, затем через веб-интерфейс номер станции меняется на номер банка. После этого преступники под видом сотрудников банка обзванивают клиентов, выясняют данные карт и крадут деньги.

«Умные» устройства

Разработан способ превращения обычной USB-флешки в самоуничтожающуюся.
Модифицированный вариант USB-накопителя устанавливает на компьютер вредоносный код, а затем взрывается:

С помощью чипа ATtiny 85 к флешке добавляется эмулятор USB-клавиатуры, используя который легко внедрить на целевую систему вредоносный код. Чтобы вызвать взрыв устройства, программист модифицировал механизм подачи питания.

Вредоносная программа использовалась на десятках АЗС России и позволяла операторам колонок наливать водителям на 7% меньше бензина,чем показывали счётчики.

Когда клиент АЗС делал покупку, программа автоматически недоливала ему от 3% до 7% от количества приобретенного бензина, а затем отправляла недолитое топливо в заранее заготовленный пустой резервуар. Программы оператора и счетчик на колонке при этом показывали, что в бак залит весь оплаченный объем. Информация о проливе топлива в другой резервуар стиралась. При достижении определенного объема топлива в резервуаре, оно пускалось в продажу, а программа позволяла не отображать данные сделки в системе контрольно-кассового учета.

Вредоносное ПО

Вымогатель SpriteCoin маскируется под криптокошелёк и распространяется через спам-сообщения на криптовалютных форумах

Если пользователь скачает приложение по ссылке, вредонос предлагает создать пароль для кошелька, а после его ввода делает вид, что загружает блокчейн. На самом деле в это время SpriteCoin шифрует файлы и похищает пароли, сохранённые в браузерах:

После окончания «загрузки» вымогатель выводит сообщение с требованием 0.3 Monero (около $120) за расшифровку.

Жертвами шифровальщика SamSam стали несколько больниц, муниципальные власти города в Нью-Мексико и ряд компаний

В качестве первичного вектора новая версия SamSam перешла с фишинговых писем на компрометацию публичных веб-серверов компаний и последующего использование их для проникновения в сеть организаций:

Большая часть жертв SamSam платила выкуп за расшифровку файлов. По состоянию на сегодня в кошельке преступников уже находится 30 биткоинов — более $300 000 по текущему курсу

Троян Eviral не только ворует куки и пароли пользователя, но и подменяет номера электронных кошельков в буфере обмена

Если пользователь использует буфер обмена при отправке криптовалюты или расчёте электронными деньгами, троян подменяет номера получателя на свои. В данный момент Evrial обрабатывает сведения о платежах и кошельках Bitcoin, Litecoin, Monero, WebMoney, Qiwi и Steam:

Для распространения Eviral используются все доступные средства — от фишинга до атак на майнинг-сервисы.

Троян Mezzo подменяет реквизиты в файлах обмена между бухгалтерскими и банковскими системами

Обнаружив созданные менее двух минут назад файлы обмена, троянец ждёт открытия диалогового окна обмена между бухгалтерской системой и банком. Если окно открывается, он подменяет реквизиты счёта в файле непосредственно в момент передачи данных. Если окно не открывается, Mezzo подменяет весь файл поддельным.

Мобильная безопасность

Уязвимости в приложении Tinder для iOS и Android позволяют отслеживать активность пользователей и манипулировать контентом

Приложение загружает фото профиля через незащищённое HTTP-соединение, поэтому атакующие, подключенные к той же сети Wi-Fi, что и жертва, могут просматривать профиль пользователя и видеть изображения на его экране.

Другая уязвимость касается некорректного использования протокола HTTPS и позволяет злоумышленнику по размеру пакетов определять действия, которые пользователь выполняет в приложении.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 12 по 18 января 2018 года.

Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Почта, сайты и мессенджеры

Вредоносная программа Zyklon распространяется с помощью фишинговых писем и использует сразу три уязвимости в MS Office:

Письма содержат zip-архив с вредоносным офисным документом. При открытии документ запускает Powershell-скрипт с помощью:

• протокола DDE, или
• уязвимости MS Office RCE (CVE-2017-11882), или
• уязвимости .NET Framework RCE (CVE-2017-8759).

Скрипт загружает сам вредоносный код с командного сервера, причём обращается к серверу по IP-адресу в десятичной нотации.

Десятичная нотация — способ записи IP-адресов без точек. Например, IP-адрес сайта antiphish.ru — 80.93.177.78. В десятичной нотации этот адрес будет записан как 1348317518. Если написать в строке браузера http://1348317518, произойдёт переход на наш сайт.

Zyklon превращает заражённый компьютер в часть ботнета, который используется для DDoS-атак, хищения данных, распространения спама и подобных задач.

Из Chrome Web Store удалены еще четыре вредоносных расширения, которые загрузили более 500 000 раз:

Расширения позволяли своим операторам выполнять произвольный JavaScript в браузерах жертв. К счастью для пострадавших, злоумышленники использовали эту возможность лишь для кликфрода и различных SEO-манипуляций.

Фишинговая кампания против пользователей сервиса Netflix использует поддельные и взломанные сайты для хищения данных кредитных карт, логинов и паролей:

Пользователь получает письмо с сообщением о заморозке аккаунта и предложением обновить платёжные данные. Перейдя по ссылке, он попадает на поддельный сайт, где от него требуют ввести адрес почты и пароль:

После этого ему предлагается ввести данные кредитной карты и подтвердить личность:

Закончив сбор данных, мошенники перенаправляют пользователя на настоящий сайт Netflix.

Мобильная безопасность

Сообщение с вредоносной ссылкой может привести к зависанию и перезагрузке iPhone, iPad и Mac:

После получения такой ссылки устройство перестаёт реагировать на любые действия пользователя и зависает. Операционная система, чтобы выйти из этого состояния, перезагрузится, но после повторного получения сообщения устройство снова отключится:

Страница по ссылке содержит html-код, модифицированный в стиле текста Zalgo:

Предположительно, ошибка связана с функцией предварительного просмотра ссылок в «Сообщениях».

Вероятно, разработчики эксплойта вдохновились аналогичной техникой атаки на почтовые сервисы Гугла — см. Антифишинг-дайджест №50 с 5 по 11 января 2018 года.

В Google Play появились поддельные версии мессенджера Telegram с вредоносной фунциональностью:

От настоящей версии поддельную копию отличает измененное имя — Teligram. Кроме того, мошенники немного поменяли логотип:

Установив подделку, пользователи получают адварь, которая принудительно показывает рекламу в чатах.

Уязвимости, эксплойты и вредоносное ПО

Уязвимость в Intel Active Management Technology позволяет злоумышленнику активировать удаленный контроль над компьютером. Для активации потребуется физический доступ к компьютеру хотя бы на 30 секунд:

Уязвимость позволяет злоумышленнику обойти процедуру ввода учетных данных, включая пароли BIOS, Bitlocker и кодов TPM, а затем получить удаленный доступ.

Для эксплуатации уязвимости атакующему нужно включить или перезагрузить целевой компьютер и нажать CTRL+P во время загрузки. После этого он сможет войти в Intel Management Engine BIOS Extension (MEBx), используя пароль по умолчанию (admin), изменить пароль, включить удаленный доступ и отключить пользователям доступ к AMT.

Чтобы защититься от уязвимости, смените пароль на вход в AMT или совсем отключите эту функцию, если она не используется в инфраструктуре организации

Новый macOS-зловред OSX/MaMi переписывает адреса DNS-серверов и подменяет корневой сертификат компьютера:

Подмена DNS позволяет злоумышленникам перенаправлять пользователя на поддельные веб-страницы, оставляя в адресной строке браузера корректный URL. В результате мошенники могут воровать пользовательские данные, показывать нежелательную рекламу, вести MitM-атаки.

Для полного устранения OSX/MaMi придется переустановить операционную систему.

Шпионская программа Skygofree позволяет злоумышленникам удалённо контролировать Android-устройства, записывать звук, похищать переписку в мессенджерах и делать многое другое.

Заражение вредоносом происходит при посещении фишинговых сайтов. Кроме Android-устройств Skygofree может заражать компьютеры под управлением Windows и Linux.

Вредонос SmokeLoader распространяется в фишинговых письмах под видом патча для Meltdown и Spectre.

В письме жертву заманивают на сайт, на котором предлагают скачать zip-архив с «патчами». После запуска исполняемого файла на компьютер устанавливается SmokeLoader, который загружает дополнительные компоненты для хищения данных и других вредоносных действий.

Для создания большего доверия к сайту мошенники используют SSL-сертификат.

Криптовалюты

Неизвестные мошенники начали рассылать письма от имени блокчейн-платформы TON с предложением купить токены Gram в рамках приватной продажи:

Минимальная транзакция, по словам мошенников, составляет 50 000 GRAM или $5000.

На сайте электронной регистратуры Сахалина обнаружен майнер криптовалюты Monero.

Администратор сайта или неизвестный злоумышленник внедрил на сайт регистратуры JavaScript, который использовал компьютеры посетителей сайта для майнинга криптовалюты. Скрипт работал, только пока у пользователя была открыта вкладка с сайтом. Никакого влияния на пользовательское устройство после отключения от портала скрипт не оказывал.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 5 по 11 января 2018 года.

Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Почта, сайты и мессенджеры

Google исправила уязвимость, которая позволяла злоумышленнику заблокировать любой адрес электронной почты Gmail, отправив на него специально созданное письмо.

Блокировку вызывало письмо, содержащее текст Zalgo — текст, который «испорчен» путём добавления к каждому его символу множества модификаторов Unicode типа ударений, умляутов и различных диакритических символов:

Текст, вызвавший блокировку, содержал более 1 миллиона таких метасимволов. Продолжительность блокировки почтового ящика составляла около 4 дней. На сегодняшний день ошибка исправлена.

Обнаружен новый способ кражи учётных данных Windows с помощью функции subDoc, которая позволяет загружать в документ MS Word другой документ, в том числе расположенный на удалённом сервере:

Ссылка на внедрённый документ выглядит точно как обычная гиперссылка, но загрузка этого документа начинается автоматически, щелчок пользователя на ссылке не требуется. Если сделать ссылку белой, пользователь даже не увидит её, и документ не вызовет никаких подозрений:

Для осуществления атаки злоумышленники могут организовать фишинговую рассылку файла MS Word, загружающего поддокумент с вредоносного SMB-сервера, перехватить SMB-запросы, выделить NTLM-хеш и расшифровать его с помощью одного из доступных инструментов:

С полученными учётными данными атакующие могут получить доступ к компьютеру или компьютерной сети жертвы под видом оригинального пользователя.

Новая фишинговая атака на организации, участвующие в подготовке зимней Олимпиады в Пхенчхане, использует стеганографию для скрытия вредоносного года в изображениях, хранящихся на сервере.

Поставщики инфраструктуры для зимней Олимпиады получили письма на корейском языке якобы от Южно-Корейского национального центра противодействия терроризму. В письмах содержался документ MS Word с вредоносным макросом:

При открытии документа запускался PowerShell-скрипт, который устанавливал SSL-соединение с сервером злоумышленников для получения команд и установки дополнительного вредоносного ПО.

Операционные системы

Уязвимость в macOS 10.13.2 позволяет получить доступ к настройкам App Store любого пользователя без логина и пароля:

Если чужой Mac остался без присмотра, и его пользователь залогинен как администратор, нужно

• открыть окно настроек App Store;
• кликнуть на иконку замка;
• система попросит ввести логин и пароль;
• ввести в полях любые значения и нажать на Unlock.

После этого будет получен доступ к настройкам App Store, которые злоумышленник может изменить по своему усмотрению.

Криптомайнинг

Опубликованный в исследовательских целях майнер CoffeeMiner позволяет перехватить трафик устройств в сетях Wi-Fi и внедрить майнер криптовалюты в код сайтов, которые открывает пользователь:

Для перехвата трафика используется ARP-спуфинг — рассылка пакетов ARP, содержащих MAC-адрес устройства злоумышленника в качестве адреса шлюза по умолчанию. Получив такие пакеты, устройства-жертвы начинают обращаться в интернет не через настоящую точку доступа, а через компьютер злоумышленника, который может легко перехватить и модифицировать трафик в своих целях.

Видео: демонстрация внедрения CoffeeMiner в реальной сети Wi-Fi

Вредоносное ПО

Новая версия вымогателя HC7 шифрует файлы своих жертв, заменяя расширения на .PLANETARY и принимает выкуп в криптовалюте Ethereum:

Операторы малвари распространяют ее вручную, проникая в чужие сети через удаленный рабочий стол. Сумма выкупа варьируется от 700 долларов за один компьютер до 5000 за компьютерный парк организации.

Мобильная безопасность

Adware-приложения семейства LightsOut маскировались под полезные программы типа фонариков или программ для записи звонков и заставляли пользователей просматривать рекламу и кликать по объявлениям.

В некоторых приложениях реклама блокировала экран во время звонка, и чтобы поднять трубку, жертве приходилось кликнуть на баннер. Другие приложения продолжали показывать рекламу даже после приобретения платной версии, в которой рекламы вообще не должно было быть.

Вредоносы прятали свои иконки от пользователя и показывали рекламу при различных системных событиях, например, при подключении к Wi-Fi, к зарядному устройству, при блокировке экрана, завершении звонка и так далее.

Видео: демонстрация работы рекламного вредоноса LightsOut

Ошибки в коде приложения позволяют посторонним присоединяться к закрытым чатам WhatsApp.

Приглашать новых участников в закрытый чат может только администратор, но WhatsApp не проверяет подлинность такого приглашения. В результате сервер может просто добавить нового участника в группу без взаимодействия с администратором, новый участник автоматически получит секретные ключи и полный доступ к любым будущим сообщениям. Прочитать сообщения, отправленные до его присоединения к чату, он не может.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.