Представляем новости об актуальных технологиях фишинга и других атаках на человека c 23 по 29 июня 2017 года.

Андрей Жаркевич
редактор, ИТ-руководитель

На этой неделе множество организаций в Украине, России и других странах пострадали от нового вируса-шифровальщика. Наши специалисты разобрали один из главных векторов заражения — скомпрометированную систему обновлений программы для документооборота «М.Е. Doc».

Прочие вредоносные программы

В Google Play появились поддельные антивирусы, якобы защищающие мобильные устройства от WannaCry:

Приложение WannaCry Ransomware Protector for Android выдаёт себя за антивирусный продукт. После установки приложение имитирует антивирусное сканирование устройства. Настоящая цель программы — монетизация за счет рекламы и установки дополнительных приложений.

Настоящий WannaCry, в свою очередь, вывел из строя 55 дорожных камер в Австралии. Заражение спровоцировал оператор, когда во время запланированного обслуживания подключил зараженный USB-накопитель к системе, работавшей под управлением Windows.

Вымогатель TeslaWare шифрует и удаляет файлы на компьютере пользователя. После заражения и окончания шифрования зловред отображает экран блокировки с двумя таймерами:

• Первый таймер, обозначенный пиктограммой револьверного барабана, начинает отсчет с 59 минут. Когда это время истекает, TeslaWare играет в русскую рулетку с информацией пострадавшего, удаляя 10 случайных файлов.
• Второй таймер, обозначенный пиктограммой черепа, отсчитывает 72 часа. Если за это время жертва не заплатит выкуп, вымогатель стирает все файлы на диске C: и устанавливает в качестве фона рабочего стола портрет Никола Тесла:

Банковская вредоносная программа Marcher маскируется под обновление Flash Player для Android.

Для проникновения на устройства пользователей используются порнографические приманки и несуществующие новые версии игр. После перехода по ссылке жертве предлагается загрузить файл «Adobe_Flash_2016.apk» и установить его:

После заражения вредоносная программа регистрирует устройство на своём управляющем сервере, дожидается запуска банковского приложения из числа поддерживаемых и подменяет страницу ввода регистрационных данных своей:

Собранные данные отправляются на управляющий сервер для последующего вывода средств со счетов жертв.

В Забайкалье задержана группа интернет-мошенников, похищавших деньги со счетов граждан с помощью вредоносной программы. В течение полутора лет четверо жителей Читы распространяли вирус для смартфонов, который собирал учётные данные банковских программ и передавал на специально созданные интернет-ресурсы, посредством которых производилась кража денег. Уведомления о списании средств блокировались вредоносной программой. О хищении денег потерпевшие узнавали спустя длительное время при личном обращении в банк.

Сайты, мессенджеры и почта

Новый метод атаки под названием PRMitM (Password Reset Man-in-the-Middle), позволяет сбросить пароль от электронной почты пользователя при его регистрации на другом сайте:

Когда пользователь вводит свой логин или адрес электронной почты в регистрационную форму на сайте злоумышленников:

1. Ресурс отправляет эту информацию на страницы почтового сервиса жертвы: в Google, Yandex или Yahoo! для инициализации процесса сброса пароля.
2. Если почтовый сервис запрашивает дополнительные действия, например, ввода CAPTCHA, ответ на секретный вопрос или ввод кода верификации, отправленного в SMS-сообщении, атакующий дополняет форму регистрации соответствующими пунктами.

В ходе тестирования нового метода атаки многие пользователи вводили в форму регистрации все, что их спрашивали и не подозревали, что кто-то пытается взломать их учетную запись.

Более того, при получении SMS-сообщений с кодом верификации большинство пользователей даже не прочитали уведомление полностью, хотя это могло бы предотвратить взлом почтового аккаунта.

Специалист по безопасности отомстил мошенникам, которые украли более 54 млн. долларов у жителей США с помощью телефонных звонков от имени Федеральной налоговой службы.

Он написал простой скрипт, который звонил по номеру злоумышленников 28 раз в секунду, фактически заблокировав их телефонию. Процесс возмездия он опубликовал на своем Youtube-канале:

Президент совета Российского союза правообладателей, председатель Союза кинематографистов РФ Никита Михалков стал жертвой хакеров. Неизвестные взломали электронную почту пресс-службы и от имени Михалкова разослали письма с нецензурными выражениями.

Банкоматы и «умные» устройства

Ключ шифрования AES-256 можно перехватить с расстояния 1 метр с помощью недорого оборудования, собранного из доступных электронных компонентов общей стоимостью $224. Устройство фиксирует электромагнитные излучения атакуемого компьютера и в течение 5 минут выдаёт ключ шифрования. Если приблизить прибор на расстояние 30 см, для получения ключа достаточно 50 секунд.

Используемое для атаки оборудование представляет собой прикрепленную к внешнему усилителю рамочную антенну и полосовые фильтры, подключенные к USB-флэш-накопителю с ПО для радио. Собранное воедино, устройство легко cпрятать в кармане куртки или в сумке для ноутбука.

Конструктивные дефекты в приборах радиационного контроля, используемых на атомных электростанциях и других объектах, можно использовать для подмены данных об уровне радиации. Проблемы связаны с отсутствием шифрования в радио-протоколах, применяемых для коммуникации между устройствами, или реализацией ненадежных криптоалгоритмов, если шифрование все же присутствует. Атака возможна с расстояния в 20 км.

Использование ненадежных протоколов и уязвимости в прошивке позволяют злоумышленникам подменить данные приборов. Главная проблема состоит в том, что исправить обнаруженные уязвимости невозможно, так как они связаны с конструкцией приборов.

— Рубен Сантамарта (Ruben Santamarta), компания IOActive

Обнаружена схема хищений из банкоматов, которая использует логическую ошибку при операции возврата денег. Суть схемы состоит в следующем: 

1. Мошенник вставляет карту, запрашивает определенную сумму, и банкомат начинает отсчитывать купюры.
2. В момент, когда деньги готовы к выдаче, банкомат должен вернуть карточку. Мошенник удерживает кредитку и она «застревает» в приемнике. Купюры в этот момент уже находятся в устройстве выдачи.
3. Злоумышленник вытягивает их специальным крючком и забирает банковскую карту, с которой ничего не списалось из-за «нештатной ситуации».

Как правило, такие операции производятся с ворованными или скомпрометированными картами. 

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Главной сегодняшней новостью стали массовые атаки вируса-шифровальщика в Украине. Мы опишем по крайней мере один вектор заражения, который стал известен нашим специалистам.

Сергей Волдохин
sv@antiphish.ru

По данным СМИ, «сотни» организаций в Украине пострадали от вируса-шифровальщика. Во всех пострадавших организациях компьютеры блокировались, а на экране появлялось сообщение с требованием выкупа:


источник

К сожалению, антвирусные вендоры, СМИ и специалисты по безопасности до последнего времени не давали ясных описаний, как именно мошенникам удалось так быстро заразить такое большое число крупных организаций.

Но для эффективной защиты от любой кибератаки важно понимать, какой первичный вектор заражения используется.

Что объединяет множество организаций в Украине? Как можно заразить множество организаций, компьютеры которых не доступны из интернета?

1. Изолированный сервер

Наши специалисты участвовали в расследовании инцидента, в результате которого на одном из серверов внутри организации появилось как раз такое сообщение о зашифрованных файлах:

• Это был служебный сервер, на нем не работали сотрудники и не было сессий администраторов — заражение через флешки или фишинговые письма исключается.
• Он не был доступен ни из интернета, ни из большинства других сетей организации — внешнее заражение через 0day в SMB или других публично доступных сервисах операционной системы исключается.
• На нем был антивирус, установлены последние обновления и не было никаких программных уязвимостей (сервер буквально за день до инцидента проверялся коммерческим сканером уязвимостей) — заражение через 1day-уявзимости и массовые эксплойты исключается.

Первичный вектор заражения оставался неясен.

2. Сетевые подключения

Чтобы определить его, пришлось проводить анализ:

1. Журналов сетевых подключений с межсетевых экранов и маршрутизаторов.
2. Журналов веб-доступа через прокси (сервер имел доступ в интернет).
3. Событий безопасности с сервера (все экспортировалось в SIEM).

Ничего подозрительного обнаружено не было, кроме подобного HTTP GET-запроса:

На зараженной системе была установлена серверная часть программы «М.Е. Doc», которая именно сегодня несколько раз обращалась за обновлениями. Программа была обновлена, и обычный файл по указанному URL весил менее килобайта, а выглядел примерно так:

Однако сегодня в ответ на указанный запрос с сервера программы «М.Е. Doc» было загружено более 300 Килобайт.

Как раз после этого сервер перезагрузился и показал сообщение о зашифрованных файлах.

3. Первичный вектор заражения

С помощью программы «М.Е. Doc» (My Electronic Document) автоматизируются процессы отчености и документооборота более чем у 400 тысяч пользователей:

Сегодня на сайте производителя появилось сообщение о том, что на их сервера осуществляется вирусная атака:

Вероятно, для распространения внутри сети новый шифровальщик может использовать старые уязвимости и техники, аналогичные WannaCry.

Но, если бы атакующие выбирали самый эффективный вектор первичного заражения для множества организаций в Украине, взлом и компрометация механизма обновлений такой популярной программы выглядит почти идеальным вариантом.

Выводы

1. Вирусы могут распространяться через поддельные обновления программ.
2. На время активной эпидемии #Petya отключите функции автоматических обновлений «М.Е. Doc» и других недоверенных программ сторонних производителей.
3. Сегментируйте свою сеть, чтобы заражение одного компьютера или сервера не приводило к компрометации всех критичных систем.
4. Собирайте журналы безопасности и логи сетевых подключений в отдельном, защищенном хранилище. Эти данные очень помогут в расследовании подобных инцидентов.

P.S. Лаборатория Касперского подтверждает компрометацию механизма обновлений программы «М.Е. Doc» как один из первичных векторов заражения:

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 16 по 22 июня 2017 года.

Андрей Жаркевич
редактор

Сайты, мессенджеры и почта

В рамках новой фишинговой атаки мошенники используют старый вектор — рассылают извещения о штрафах ГИБДД под видом уведомлений от портала госуслуг. Письма похожи на официальные и не вызывают сомнений у обычных пользователей:

К сообщению прикреплён безобидный файл, но при переходе по любой активной ссылке в письме пользователь попадал на фишинговый сайт mail.ru-attachment-viewer.info, с помощью которого злоумышленники собирали логины и пароли жертв.

Новая фишинговая атака собирает данные банковских карт от имени сервиса Uber.

1. Потенциальным жертвам высылают по электронной почте письма из «Uber», в которых предлагается получить крупную скидку на следующую поездку в такси.
2. Кликнув на баннер «акции» в письме, пользователь попадает на фишинговый сайт. Он не имеет ничего общего с настоящим сайтом сервиса, несмотря на то, что внешне напоминает оригинал, а в URL-адресе фигурирует слово «uber».
3. На сайте пользователя поздравляют с «выигрышем» и предлагают создать аккаунт Uber, чтобы скидка была автоматически учтена в следующей поездке.
4. Кнопка «входа» перенаправляет пользователя на поддельную страницу регистрации, где нужно ввести личные данные, включая имя, фамилию, номер мобильного телефона, а также номер, срок действия и CVV/CVC банковской карты.
5. После ввода данных пользователь попадет на настоящий сайт Uber, а мошенники получат информацию, необходимую для доступа к банковскому счету жертвы.

Необычная фишинговая кампания нацелена на пользователей PayPal. Злоумышленники заманивают своих жертв на поддельные сайты, имитирующие PayPal,и не только похищают учетные данные, но и просят жертв сделать селфи с документами, удостоверяющими личность:

1. Жертва переходит на фишинговый сайт по ссылке в письме.
2. После ввода логина и пароля от аккаунта PayPal, оказывается, что нужно пройти четырехступенчатый процесс «верификации аккаунта».
3. Жертву просят указать адрес, данных банковской карты и даже фотографию, на которой просят держать в руках документ, удостоверяющий личность.

Злоумышленники атакуют пользователей Facebook и других популярных сайтов на мобильных устройствах, используя тот факт, что на экранах мобильных гаджетов полный URL-адрес сайта не умещается в адресной строке браузера. Они дополняют фишинговые URL множеством дефисов, в результате чего адреса выглядят легитимными в глазах неискушенных пользователей:

Примеры мошеннических URL:

hxxp://m.facebook.com—————-validate—-step1.rickytaylk[dot]com/sign_in.html

Настоящий домен сайта — rickytaylk.com. В мобильном браузере пользователь увидит только первую часть URL — m.facebook.com.

hxxp://login.Comcast.net——-account-login-confirm-identity.giftcardisrael[dot]com/
hxxp://accounts.craigslist.org-securelogin—————viewmessage.model104[dot]tv/craig2/
hxxp://offerup.com——————login-confirm-account.aggly[dot]com/Login%20-%20OfferUp.htm
hxxp://icloud.com———————secureaccount-confirm.saldaodovidro[dot]com.br/

Сотни сайтов используют JavaScript-код, который незаметно для пользователей собирает данные, указываемые в формах ввода, и сохраняет их на сервере компании до того, как пользователь отправит информацию. В результате если в процессе ввода информации пользователь передумал и закрыл страницу, не отправив форму с данными, информация всё равно оказывается в распоряжении владельца сайтов.

Смартфоны, банкоматы и «умные» устройства

Хакеры могут взломать компьютер с помощью доработанной электронной сигареты. Если внедрить в сигарету специальную микросхему и подключить к компьютеру через USB «для зарядки», компьютер будет считать, что к нему подключена клавиатура и начнет выполнять все отправляемые устройством команды. Существует и другой вектор атаки, предполагающий взаимодействие сигареты с трафиком.

Видео с демонстрацией атаки:

Из Google Play удалены вредоносные программы, содержащие код троянца с функциями руткита Ztorg. Зловреды распространялись как приложения Magic Browser и Noise Detector. Первое имитировало браузер Chrome и было скачано более 50 тыс. раз без обновления разработчиком:

Эта вариация Ztorg представляет собой SMS-троянец, который пытается отправлять платные текстовые сообщения 11 разными методами, предусмотренными в его коде.

Процессор можно взломать с помощью взмаха руки, если задействовать специальное оборудование для создания импульсных помех — кратковременных скачков напряжения в сети амплитудой свыше 4000—6000 В. Если прерывать нормальную работу процессора электромагнитными импульсами с точно выверенными интервалами, можно обойти режим безопасной загрузки (Secure Boot), защищающий систему от запуска вредоносного кода.

К устройству не нужно прикасаться, и после вас не останется никаких физических следов. На уровне электромагнитных импульсов обмен данными отсутствует, поэтому атака пройдет незамеченной межсетевым экраном.

 — Ан Цуй, ИБ-исследователь

Оборудование для создания электромагнитных импульсов было собрано из доступных компонентов и напечатанных на 3D-принтере элементов. Общая стоимость изготовления устройства для взлома составила 350 долларов.

Мошенники выкупают «неиспользуемые» банковские карты за 5000 рублей, а также предлагают пенсионерам и студентам оформить на себя любую банковскую карту и передать им вместе с пин-кодом за вознаграждение. Если карта оказывается с овердрафтом, мошенники опустошают кредитный лимит, превращая бывшего владельца в должника, либо используют эти карты для обналичивания средств, украденных в интернете и других незаконных операций.