Представляем новости об актуальных технологиях фишинга и других атаках на человека c 9 по 15 июня 2017 года.

Андрей Жаркевич
редактор, руководитель службы ИТ

Специалисты «Антифишинга» сообщают о новом мошенничестве в социальных сетях. Через взломанный аккаунт мошенники рассылают сообщения с просьбой помочь прочесть якобы «переадресованные» СМС:

Такой контекст позволяет мошенникам выведать у жертвы содержимое любых СМС, которые придут на ее номер.

Это могут быть одноразовые коды для восстановления паролей от интернет-банка, почты, аккаунтов в социальных сетях или других сервисах.

Смартфоны и мобильная безопасность

Многие популярные программы из магазина приложений Apple являются подделками и зарабатывают сотни тысяч долларов для своих разработчиков с помощью встроенных в приложения покупок и подписок стоимостью по 100 долларов в неделю:

Рекомендуем проверить и при необходимости отменить все лишние подписки в вашем Apple ID

Чтобы подписаться, достаточно приложить палец к сенсору Touch ID в неподходящий момент.

Семьдесят пять Android-приложений содержали код вредоносной программы AdDown, которая отображала рекламу, собирала персональные данные пользователей и в некоторых случаях скрыто устанавливала дополнительные приложения. За два года приложения установили миллионы пользователей:

Присутствие вредоносного кода в таком большом количестве приложений объясняется тем, что вредоносное ПО распространялось под видом комплекта средств разработки.

Сайты, мессенджеры и почта

Фишинговая атака с применением бесфайлового зловреда FIN7 направлена на рестораны США.

1. Жертва получает целевое фишинговое письмо под видом заказа на обслуживание, к которому приложен RTF-документ.
2. При открытии файла жертва видит документ Word с крупной пиктограммой конверта, на котором написано «Активируйте содержимое двойным кликом».
3. Заражение происходит, когда жертва дважды кликает на пиктограмму, а затем подтверждает появившийся диалог с предупреждением о том, что содержимое «собирается запустить скрытую программу» и «может нанести вред вашему компьютеру»:

При двойном клике запускается обфусцированный JavaScript-код, который ожидает минуту, создает и запускает PowerShell-скрипт, который в свою очередь инициирует загрузку и сборку шелл-кода прямо в памяти из текста ответов на специально составленные DNS-запросы. Все вместе это занимает несколько минут, но показывает высокий уровень технической квалификации разработчиков вредоносной программы и позволяет успешно обойти многие антивирусы.

Университет Южного Орегона перевёл мошенникам 1,9 млн. долларов после получения фальшивого письма «от подрядчика» с уведомлением об изменении банковских реквизитов. Письмо содержало адрес отправителя с близким по написанию доменом: вместо abcbuilders.com — abc-builders.com, зарегистрированный злоумышленниками. Бухгалтерия оплатила счёт, и лишь намного позже выяснилось, что университет стал жертвой обмана.

«Умные» устройства

Автомобили Mazda с информационно-развлекательной системой Mazda MZD Connect можно взломать с помощью USB-флешки. Владельцы Mazda используют эту уязвимость с 2014 года для кастомизации информационно-развлекательной системы, установки новых настроек и приложений.

Любой желающий может скачать набор скриптов, загрузить их на USB-флешку, подключить её к машине и выполнить вредоносный код.

MZD Connect сделана на базе UNIX, поэтому можно создать скрипты для более серьезных атак. К примеру, исследователь считает, что его инструмент идеален для повторного включения SSH, который был отключен в одном из недавних обновлений MZD Connect.

Атаки полностью автоматизированы, не нужно никакого взаимодействия с пользователем, достаточно просто вставить флешку в USB-порт машины.
— Джей Турла (Jay Turla), специалист по безопасности

Цветные лазерные принтеры внедряют в распечатки неразличимые взглядом «водяные знаки» — паттерн из крошечных желтых точек, которые являются уникальной «подписью» принтера и помогают установить, где, когда и на каком устройстве был распечатан документ.

Вредоносные программы

Вредоносные программы MacSpy и MacRansom для Mac распространяются в даркнете по популярной на черном рынке схеме «вредоносное ПО как услуга»:

Файлы вирусов не имеют цифровой подписи, поэтому их легко обнаружит антивирусное ПО, а пользователи macOS увидят стандартное предупреждение во время установки.

Обнаружено вредоносное программное обеспечение, использующее в качестве «транспорта» для передачи данных функцию Serial-over-LAN (SOL) процессоров Intel. Технология SOL работает таким образом, что трафик поступает в обход сетевого стека локального компьютера, поэтому его «не видят» и не блокируют файерволы и антивирусное ПО. Это позволяет беспрепятственно извлекать данные с зараженных хостов.

Вредоносные программы Industroyer и CrashOverRide атакуют критические промышленные системы и могут вызывать сбои в работе энергосетей. Скорее всего, именно эти вредоносы были использованы в атаках на компьютерную сеть компании «Укрэнерго» в декабре 2016 года.

CrashOverRide может управлять переключателями трансформаторных подстанций и рубильниками, позволяя атакующим отключить подачу электроэнергии или повредить оборудование.

Исследователи не смогли установить первичный вектор заражения. Однако в прошлых подобных атаках для доставки вредоносных программ активно применялась социальная инженерия:

Мошенники замедляли работу компьютеров с помощью вируса и предлагали жертвам купить «антивирус» для удаления.

Злоумышленники приобрели рекламу на различных сайтах для вымышленной сети отелей Best Western, разместив сначала легитимную рекламу, а затем заменив ее вредоносной. Фальшивая реклама перенаправляла пользователей на сайт с вирусом.

Вирус отображал уведомления о заражении вредоносной программой, для удаления которой предлагалось приобрести «антивирусный продукт Antivirus Soft» за $49,95:

После оплаты и установки «антивируса» компьютер начинал работать как обычно.

Троян CertLock блокирует установку и нормальную работу антивирусных программ на компьютере жертвы.

1. CertLock распространяется в составе пакетов нежелательного ПО, такого как майнеры криптовалют.
2. После установки на компьютере вредонос блокирует сертификаты антивирусов, создавая в реестре Windows ключ с указанием отпечатка сертификата:

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\F83099622B4A9F72CB5081F742164AD1B8D048C9

В результате при каждом запуске программ, подписанных сертификатом, появится сообщение об ошибке:

Представляем новости об актуальных технологиях фишинга и других атаках на человека cо 2 по 8 июня 2017 года.

Андрей Жаркевич
редактор, руководитель службы ИТ

Новые версии банковского трояна Tiny Banker распространяются через письма с вредоносными вложениями в формате MS PowerPoint:

• Примеры тем письма: RE:Purchase orders #69812 или Fwd:Confirmation.
• Внутри письма содержатся PowerPoint-вложения order&prsn.ppsx, order.ppsx и invoice.ppsx. Иногда файлы бывают запакованы в ZIP-архивы.
• Вредоносная презентация содержит всего один слайд. Надпись, которая также является ссылкой, гласит: «Загрузка… Пожалуйста, подождите».
• Никакой загрузки не происходит, но если пользователь наведёт курсор мыши на надпись, вредоносный код попытается запустить скрипт PowerShell, который загрузит на компьютер исполняемый модуль трояна:

В большинстве версий Office по-умолчанию включена функция Protected View, и если пользователь её не отключил, система предупредит об опасности и остановит атаку.

Сайты, мессенджеры и почта

Мошенники использовали рекламу в поисковой выдаче Google для перенаправления жертв на фальшивый сайт технической поддержки:

Как видно на скриншоте, при наведении на такую ссылку браузер показывал настоящий домен. Для этого мошенники использовали функцию Google AdWords, которая позволяет показывать в рекламной ссылке и перенаправлять пользователя на разные адреса.

После перехода по ссылке пользователи попадали на страницу мошенников, где им сообщали, что их компьютер заражён несуществующим вирусом и предлагали срочно позвонить по телефону, чтобы избавиться от него:

Немецкие исследователи провели исследование, в ходе которого разослали студентам по электронной почте и в Facebook сообщения со снимками от незнакомых людей:

Hey!
The New Year’s Eve party was awesome! Here are the pictures:
http:///photocloud/page.php?h=
But please don’t share them with people who have not been there!
See you next time!

Оказалось, что по ссылке в письмах перешло лишь 20% получателей, в то время как ссылки, полученые через Facebook открыли уже 46% адресатов.

Исследователи отмечают, что любопытство — наиболее популярный «психологический вектор», обеспечивший 34% всех переходов.

Исследователи обнаружили, что сайт Стэнфордского университета был взломан,
и на нем размещались фишинговые страницы Office 365, Gmail и LinkedIn.

Также были обнаружены инструмент для фишинга и страница для похищения платежных данных клиентов американской холдинговой компании SunTrust Bank.

Кроме того, взломанный сайт использовался для рассылки спама.

Обнаружена масштабная мошенническая кампания c участием 95 фальшивых сайтов и 19 известных брендов, в числе которых Аэрофлот, Emirates, Lufthansa, El Al Israel Airlines, SPAR, Virgin America, Delta Air Lines, Air-France, Rolex.

1. В социальных сетях публиковался пост о розыгрыше двух авиабилетов со ссылкой, кликнув по которой, жертва попадала на один из фальшивых сайтов с названием, похожим на настоящее: эмираты-бесплатно-2-билета-ком-абракадабра-точка-ком.
   
   
2. На фальшивом сайте жертве предлагали ответить на несколько несложных вопросов: «Вы действительно хотите получить 2 бесплатных билета от Emirates?» и «Подтвердите, что вы совершеннолетний(ая)». Это прием, известный как «цыганский гипноз»: положительные ответы на вопросы создают доверие.
3. После ответов на вопросы «для получения бесплатных билетов» нужно было лайкнуть страницу и расшарить пост среди своих друзей, вовлекая их в мошенническую схему.
   
   Источник: Тинькофф-журнал
4. Затем на странице появляются ссылки для перехода на рекламные страницы. При переходе пользователю предлагается подписаться на платные услуги. В ряде случаев его просят оставить свои данные: имя, электронную почту, телефон, дату рождения и адрес.

Смартфоны, банкоматы и «умные» устройства

Светодиоды роутеров могут использоваться для хищения данных. Малварь xLED заражает роутер, перехватывает данные, проходящие через устройство, преобразует их в двоичный код и передаёт злоумышленникам с помощью светодиодных индикаторов. Включенный диод означает единицу, а выключенный — ноль. Для осуществления роутер должен находиться в зоне видимости.

Видео с демонстрацией атаки:

Применение камер с оптическими сенсорами позволяет создать высокоскоростной канал передачи информации — до 1000 бит в секунду для одного диода. Большинство роутеров и других сетевых устройств комплектуются более чем одним светодиодным индикатором, поэтому передачу данных можно ускорить, задействовав сразу несколько диодов.

Баллистические ракеты Trident, размещенные на подводных лодках, уязвимы к кибератакам. Как сообщается в исследовании «Hacking UK Trident, A Growing Threat», подобные атаки могут повлечь за собой «катастрофические» последствия, в том числе человеческие жертвы.

Во время нахождения подлодки в море при обычных обстоятельствах ракеты недоступны для вредоносного ПО, однако оно может попасть в системы при прохождении техобслуживания на военно-морской базе.

На подлодках используется та же ОС Windows, что и в Министерстве внутренней безопасности США, пострадавшем от недавних атак с использованием вымогательского ПО WannaCry. Авторы отчета описывают несколько векторов атак на Trident, способных сорвать операции и поставить под угрозу человеческие жизни.

Вредоносные программы

Хабаровский колледж стал жертвой вымогателей. Злоумышленники заблокировали сервер учебного заведения и потребовали 20 тыс. руб. за его разблокировку. Руководство обратилось в правоохранительные органы, но все равно заплатило киберпреступникам требуемую сумму. Получив выкуп, хакеры предоставили колледжу ключ для дешифровки, работа систем была возобновлена.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 25 мая по 1 июня 2017 года.

Андрей Жаркевич
редактор, руководитель службы ИТ

Сайты, мессенджеры и почта

Веб сайты могут тайно записывать аудио и видео с веб-камеры, используя недокументированную особенность браузера Google Chrome:

Chrome показывает значок в виде кружка с красной точкой при записи аудио и видео, однако во вспомогательном окне иконка не отображается, то есть пользователь не знает, идет запись или нет.

С помощью сети рекламных объявлений мошенники распространяли множество вредоносной «полезной нагрузки» для различных платформ: наборы эксплоитов, фальшивые пугающие предупреждения о вирусах и настоящие вредоносные программы.

В качестве векторов доставки на различные платформы использовались:

• мошеннические предупреждения об обновлениях программ или проблемах с компьютером;
• фальшивые расширения Chrome;
• страницы для загрузки рекламного ПО для Mac и Windows;
• несанкционированные редиректы на iTunes/app store.

За три месяца страницы с вредоносной рекламой посетило более 500 млн. человек.

Код вредоносных объявлений при этом успешно обходит блокировщики рекламы, такие как Adblock Plus, uBlock или AdGuard.

Рост курса биткоина привёл к повышенной активности мошенников по этому направлению.

Наши специалисты отмечают появление фишинговых атак с информацией об «ограничениях, наложенных на учётную запись Blockchain». Для снятия ограничений предлагается перейти по ссылке:

которая на самом деле ведёт на сайт мошенников:

После входа жертве предлагают ввести адрес электронной почты и пароль от нее, якобы для подтверждения владения почтовым ящиком:

Получив доступ к ящику, мошенники могут вывести средства с биткоин-кошелька жертвы.

Google принимает новые меры для борьбы с фишингом. Первым шагом будет задержка сообщений, которые имеют признаки фишинговых:

Кроме того, над письмами, полученными из неизвестных источников, будет отображаться предупреждение о возможных рисках:

Смартфоны, банкоматы и «умные» устройства

Более 40 приложений в Play Market оказались заражены вредоносной программой Judy, которая тайно запускала браузер, открывала определенный URL и с помощью JavaScript находила и кликала баннеры, а также сама отображала навязчивую рекламу.

Почти все заражённые приложения разработала южнокорейская компания Kiniwini (в Play Market — ENISTUDIO corp.) Большую часть времени приложения оставались «чистыми» и не содержали вредоносного кода. Опасные обновления начали появляться в апреле 2016 года, и не совсем ясно, добавляли вредоносный код сами разработчики Kiniwini, или же компанию скомпрометировали злоумышленники.

Общее количество загрузок заражённых приложений достигло 36,5 миллионов.

Атака методом «Плащ и кинжал» позволяет вредоносному приложению незаметно перехватить управление устройством и похить приватную информацию жертвы, включая пароли, списки контактов, PIN-коды, логи чатов и многое другое:

Еще один и и еще один вариант атаки.

Атака злоупотребляет системой выдачи прав приложениям, используя безобидные на первый взгляд разрешения: SYSTEM_ALERT_WINDOW (позволит злоумышленникам перекрывать окна других приложений легитимным оверлее) и BIND_ACCESSIBILITY_SERVICE (позволяет управлять устройством с помощью голоса, а также прослушивать, а не просматривать контент).

Задержаны девять членов банды, угнавшей в общей сложности около 150 автомобилей Jeep Wrangler.

1. Угон начинался с выяснения номера VIN автомобиля-жертвы.
2. Номер передавали члену банды, у которого был доступ к базе данных с кодами замены потерянных ключей для Jeep Wrangler.
3. Специалист скачивал из базы два кода. С помощью первого кода он изготавливал физический ключ зажигания с чипом для Jeep Wrangler и вместе со вторым кодом передавал его членам банды, которые осуществляли угон:

В ходе угода один из хакеров подключал ноутбук к порту Onboard Diagnostics System в салоне — и с помощью второго кода из базы активировал полученный ключ замены, синхронизируя его с автомобилем:

В течение нескольких минут злоумышленники создавали действующий ключ, отключали сигнализацию и уезжали на автомобиле в Мексику, где его разбирали на запчасти.

Исследователи поделились результатами классического социально-инженерного эксперимента: на конференции были оставлены 100 USB-флешек. Каждая из них содержала специальное ПО, которое сообщало авторам о факте запуска и фиксировало публичный IP-адрес устройства.

Оказалось, что программу запускали 162 раза, и ответы приходили с 62 уникальных IP-адресов:

Антифишинг помогает проверить сотрудников в том числе по этому вектору атаки. Мы готовим набор USB-устройств, которые можно оставить в офисах и определить, кто, когда и откуда подключит их в свой компьютер.

Пикантной подробностью эксперимента стало то, что эксперимент проводился на конференции RSA, и набор «жертв» составили профессиональные специалисты по безопасности.