Представляем новости об актуальных технологиях фишинга и других атаках на человека c 27 апреля по 3 мая 2017 года.

Андрей Жаркевич
редактор, руководитель службы ИТ

Обнаружен новый сценарий фишинга против пользователей «Гугла»:

Источник

1. Жертве приходит письмо, которое выглядит как приглашение на редактирование документа.
2. По ссылке находится приложение стороннего разработчика, которое запрашивает у жертвы права на полный доступ к почте.
3. После получения разрешений приложение рассылает аналогичные письма контактам жертвы.

Вредоносное приложение названо «Google Drive», чтобы запутать пользователя. На самом деле оно является одним из многих сторонних приложений для «Гугл Диска» в интернет-магазине «Хром».

Дополнительная сложность при выявлении атаки — в том, что письма могут приходить от реальных людей, контактов жертвы в почте «Гугла».

Приложения для Google Диска

Enable third-party Google Drive apps — G Suite Administrator Help

Мы рекомендуем:

• пользователям: внимательно проверять, какие права они предоставляют сторонним приложениям «Гугл Диска». Вряд ли легальному приложению для редактирования файлов понадобится полный доступ к почте.
• администраторам корпоративных сервисов «Гугла»: ограничить права пользователей по установке сторонних приложений «Гугл Драйва»)).

Смартфоны, банкоматы и «умные» устройства

Миниатюрное USB-устройство WHID Injector, состоящее из микроконтроллера и модуля Wi-Fi, позволяет злоумышленнику получить удаленный контроль над физически изолированным компьютером:

Операционная система компьютера воспринимает устройство как USB-клавиатуру или мышь. После этого на компьютере можно вводить команды, подключившись к устройству через Wi-Fi:

Миллионы рабочих станций и серверных систем на базе чипсета Intel поставлялись с уязвимостью в прошивке Intel® Active Management Technology (AMT), которая может привести к удаленному заражению системы. Хакеры могли получить доступ к уязвимому компьютеру и с помощью функций AMT незаметно установить на систему вредоносное ПО и выполнить другие действия.

Уязвимость не затрагивает большинство пользовательских компьютеров, так как функции АМТ по-умолчанию отключены.

Умные телевизоры Samsung содержат уязвимость в реализации функции Wi-Fi Direct. Аутентифиция пользователей осуществляется только по MAC-адресу, который можно перехватить и подменить. Локальный атакующий может взломать телевизор и получить доступ ко всем его сервисам, в том числе удаленному управлению и DLNA мониторингу, а также ко всем подключенным к телевизору устройствам.

Рекомендуется отключать функцию Wi-Fi Direct каждый раз при включении или перезагрузке устройства.

Вредоносные программы

Новая вредоносная программа Dok для macOS распространяется в виде фальшивых писем от налоговой службы. Письма содержат архив Dokument.zip, внутри которого скрывается приложение Truesteer.AppStore:

При запуске троян копирует себя в другое место на диске, удаляет оригинал и выдаёт пользователю сообщение об ошибке:

После этого Dok показывает сообщение о проблеме с безопасностью, для устранения которой нужно установить обновление, а для этого — ввести пароль. Пользователь фактически оказывается «заблокирован» в этом окне до тех пор, пока не даст свое разрешение:

Получив разрешение, Dok скачивает и устанавливает на машину клиент Tor, SOCAT и менеджер пакетов Brew, изменяет сетевые настройки системы, скачивает с сервера злоумышленников файл настроек PAC (Proxy AutoConfiguration) и перенаправляет весь исходящий трафик жертвы на собственный прокси.

Системы хранения IBM Storwize поставлялись с зараженными инициализационными USB-накопителями:

Накопители заражали не сами системы хранения данных, а компьютеры, используемые для настройки их конфигурации.

Производитель заявляет, что вредоносное ПО внедрялось в процессе поставки оборудования и «никак не влияет на целостность и производительность систем хранения». Это верно лишь в случае, если пользователь не запустит вредоносную программу.

Сайты, мессенджеры и почта

Опубликован обзор фишинговой атаки, которая позволяет мошенникам получить доступ в аккаунт, защищенный двухфакторной аутентификацией:

Схема работает благодаря новым фишинговым инструментам: кроме логина и пароля, мошенники научились собирать одноразовые коды и авторизоваться в аккаунте «Гугла» от имени жертвы.

Facebook научился определить эмоциональное состояние пользователей, анализируя их публикации, фотографии и взаимодействие. Все собранные данные распределяются по разным категориям, например, «глуповатый», «ошеломленный», «нервный», «раздраженный», «бесполезный» и т. д.

Facebook может не только определить эмоциональное состояние пользователей, но и отследить его изменения в реальном времени или с заданной периодичностью. Эти данные соцсеть предоставляет рекламодателям для использования в таргетированной рекламе.

Мошенник из Литвы выдавал себя за представителя тайваньской компании Quanta Computer. Используя почтовый спуфинг, подделывая счета, контракты и письма, злоумышленник сумел обмануть сотрудников Google и Facebook, заставив их перевести на его счета более 100 млн долларов.

С помощью фишинга мошенники могут украсть ваш логин и пароль, чтобы зайти в почту, социальную сеть или любой другой сервис. Считается, что двухфакторная аутентификация помогает защититься от таких атак.

С такой аутентификацией кроме логина и пароля для входа понадобится СМС-код или токен из специального приложения на смартфоне:


Так работает «Гугл аутентификатор» — популярное приложение для генерации кодов двухфакторной аутентификации.

Мы покажем фишинговую атаку, которая позволяет мошенникам получить доступ в аккаунт, даже если он защищен двухфакторной аутентификацией, и объясним, как от этого защититься.

Сергей Волдохин
sv@antiphish.ru

1. «Традиционное» фишинговое письмо

Атака начинается с «обычного» фишингового письма. Такие письма еще два года назад отправляли пользователям «Гугла», чтобы украсть пароль и войти в почту и другие сервисы:

Примеры фишинговых сообщений электронной почты — статья в блоге Pentestit на Хабрахабре

Интересная деталь. Вместо прямой ссылки на неизвестный фишинговый сайт кнопка «Изменить пароль» ведет на популярный сайт liveinternet.ru. Хакеры используют так называемый «открытый редирект» с известного ресурса, чтобы отправить жертву на фишинговую страницу в домене loveandlight.no:

How Open Redirection Threatens Your Web Applications — блог компании Qualys

Аналогичный открытый редирект из домена «Гугла» использовался в недавних атаках на пользователей «Скайпа»:

Адрес мошеннического сайта закодирован, чтобы пользователю было сложнее его прочитать и понять, куда на самом деле ведет ссылка.

2. «Традиционный» фишинговый сайт

Жертва попадает на сайт, который достоверно имитирует интерфейс «Гугла» и предлагает сменить пароль:

Используется универсальный фишинговый скрипт, который в качестве параметра принимает адрес электроннной почты пользователя и отображает его же на этой странице.

3. Атака на двухфакторную аутентификацию

Мошенники понимают, что большинство пользователей «Гугла» уже знает про двухфакторную аутентификацию, поэтому третьим шагом они попытаются украсть одноразовый СМС-код, который нужен для входа кроме логина и пароля. Для этого у пользователя спросят действующий номер телефона:

Креатив от мошенников: выделенная фраза в данном контексте выглядит как злая шутка над жертвой.

И затем предложат ввести полученный код из СМС:

Очевидно, собственный фишинговый сервис позволяет мошенникам автоматически авторизоваться в «Гугле» от имени жертвы и ввести одноразовый код, чтобы получить доступ к почте, документам и другим сервисам «Гугла».

Новый уровень автоматизации

В апреле 2017 года разработчики проекта Evilginx заявили о поддержке имитированных фишинговых атак на сервисы с двухфакторной аутентификацией. Это означает, что мошенникам для создания вредоносных фишинговых кампаний теперь почти не требуется техническая квалификация — открытая платформа уже готова:

Выводы

1. Мошенники используют фишинг для кражи логинов, паролей и кодов двухфакторной аутентификации.
2. Не переходите по незнакомым или подозрительным ссылкам.
3. Проверяйте адреса сайтов, на которых вводите логин, пароль или одноразовый код.
4. Обязательно включите двухфакторную аутентификацию, если еще не сделали это: в «Гугле», «Яндексе», «Фейсбуке», во «Вконтакте» и других сервисах, которыми пользуетесь.
5. Обучайте своих пользователей основам информационной безопасности. Для начала можно переслать ссылку на эту статью.
6. Тренируйте и контролируйте практические навыки противодействия фишингу.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 20 по 26 апреля 2017 года.

Андрей Жаркевич
редактор, руководитель службы ИТ

Мошенники использовали «Гугл Формы», чтобы обойти почтовые фильтры и разослать вредоносные ссылки на почту пользователям:

Они создавали форму с вредоносной ссылкой в заголовке, и единственным полем: адресом электронной почты, в которое вводили адреса жертв:

После отправки такой формы жертва получала ссылку через письмо-уведомление от «Гугла».

Судя по заголовку, мошенники ориентировались на русскоговорящих пользователей, но «Гугл Формы» создавались на иностранном языке, например немецком или испанском. Очевидно, это сделано специально: средний пользователь не сможет быстро прочитать служебный текст о том, что это уведомление о заполнении формы, но заметит логотип и адрес Гугла, а также текст на русском языке и ссылку.

Смартфоны, банкоматы и «умные» устройства

Датчики освещенности на ноутбуках и мобильных телефонах могут использоваться для похищения данных истории браузера. Жертва должна зайти на вредоносный сайт, и через него атакующие могут узнать, какие сайты пользователь посещал ранее:

Атака строится на данных, полученных от датчиков внешней освещенности: они фиксируют даже незначительные изменения и могут «заметить» изменение цвета ссылок посещённых пользователем сайтов.

Вредоносное приложение SMSVova три года скрывалось в Google Play под видом приложения System Update:

На самом деле SMSVova предназначено для отслеживания местоположения пользователей в текущем времени и перехвата входящих SMS-сообщений.

Другое приложение, содержащее новую версию вымогателя Charger, также находилось в Google Play и было скачано по крайней мере 5 тысяч раз. Новый вариант зловреда маскировался под внешне легитимное приложение-фонарик Flashlight LED Widget. Обновленный Charger отображает фишинговые экраны, имитирующие функциональность легитимных приложений, перехватывает текстовые сообщения и временно блокирует устройство, чтобы не допустить попыток пресечь вредоносные процессы:

И еще один вредонос, FalseGuide, распространялся через приложения в Google Play, которые на этот раз выдавали себя  за популярные игры, к примеру, Pokemon GO, FIFA Mobile и другие:

Изначально FalseGuide была обнаружена в составе более чем 40 приложений, самое старое из которых было загружено в Google Play еще в феврале 2017 года. Суммарное количество зараженных устройств специалисты оценили примерно в 600 тысяч.

Арестована преступная группа из пяти человек, которая занималась распространением мобильных банкеров и последующими хищениями средств с банковских счетов жертв. У преступников изъяли 20 компьютеров и ноутбуков, порядка 4 тысяч SIM-карт, 65 сотовых телефонов, 13 банковских карт и другие средства для распространения вредоносного ПО и вывода наличных. Предполагается, что жертвами стали по меньшей мере 3 тысячи человек.

Израильская компания удалённо взломала приложение Drivelog Connector фирмы Bosch и получила полный контроль над движущимся автомобилем. Специалисты использовали две уязвимости в процессе аутентификации между ключом доступа и смартфонным приложением Drivelog Connect, а также ошибки в реализации фильтра сообщений ключа Drfivelog Connector.

Вредоносные программы, уязвимости и эксплойты

Обнаружена разновидность вымогателя Locky, которая скрывается внутри документа MS Word, вложенного в PDF.

Для распространения используется почтовая рассылка с PDF-вложением:

Внутри PDF-документа находится вложенный документ, который Adobe Reader предлагает открыть:

При открытии документа в «Ворде» пользователя убеждают отключить защищенный режим просмотра:

Если пользователь сделает это, запустится VBA-макрос, который загрузит и запустит шифровальщик.

Антивирус Webroot начал определять системные файлы Windows как троян W32.Trojan.Gen и переносить некоторые из них в карантин, выводя систему из строя. Вскоре разработчик исправил проблему, однако многие пользователи так и остались с сотнями, а то и тысячами файлов в карантине.

Кроме того, антивирус принял Facebook за фишинговый сайт и заблокировал к нему доступ. Отдел по связям с общественностью Webroot в ответ на жалобы по поводу странного поведения антивируса присылал пользователям ссылку на презентацию, посвященную вымогателям.

Зловред RawPOS похищает данные водительского удостоверения, которое в США является самым распространенным способом подтверждения личности. Пока карта прокатывается на терминале, RawPOS модифицирует строку с регулярным выражением, чтобы получить возможность собирать расширенный спектр данных, а также сканирует процессы в системе, чтобы обнаружить в коде строки, содержащие «track data».

В менеджере паролей LastPass исправлена уязвимость, позволяющая обойти механизм двухфакторной аутентификации. Закрытые криптографические ключи LastPass хранились в виде QR-кода по URL-адресу, созданному на основе пароля. Атакующему, которому известен пароль, достаточно было вычислить URL, получить код двухфакторной аутентификации и открыть чужой LastPass.

Киберпреступники до сих пор эксплуатируют уязвимость, используемую еще в атаках с применением червя Stuxnet. Эксплойт осуществляется с помощью специально созданных файлов .lnk, которые обрабатываются с ошибкой в ходе отображения иконок в Windows Explorer.

Сайты, мессенджеры и почта

Мошенники, рассылающие СМС от имени банков, используют все более продвинутые технологии: например, номера 8-800 и автоматические автоответчики, которые имитируют некие «службы финансовой безопасности» платежных систем:

Майкрософт исправила уязвимость в Skype, которая могла привести к выполнению произвольного кода, похитить учётные данные и аварийно завершить мессенджер. Ошибка была вызвана некорректным кодом во встроенном в Skype браузере Internet Explorer:

Выпущено обновление «Гугл Хрома», в котором исправлена уязвимость с отображением фишинговых сайтов.

Теперь адреса в Punycode URL не читаются как легитимные ресурсы.