Представляем новости об актуальных технологиях фишинга и других атаках на человека c 13 по 19 апреля 2017 года.

Андрей Жаркевич
редактор, руководитель службы ИТ

Пользователи браузеров Chrome, Firefox и Opera уязвимы перед практически необнаружимыми фишинговыми атаками:

Нет, это не настоящий сайт Apple.

На самом деле это xn-80ak6aa92e.com.

Браузеры имеют стандартную защиту от подобных омограф-атак, но она не срабатывает, если все символы набраны из одного иностранного языка, например:

x = "арр?е"
x.decode("utf-8")
>u'\u0430\u0440\u0440\u04cf\u0435'
>All Cyrillic (http://www.fileformat.info/info/unicode/char/0435/index.htm).

В результате браузеры отображают Punycode URL так, что все (например, кириллические) буквы читаются как легитимный ресурс apple.com.

Уязвимость исправлена в Chrome начиная с версии 58, для Firefox можно применить исправление конфигурации:

about:config 
network.IDN_show_punycode -> true.

Для русскоязычных пользователей Internet Explorer плохие новости. Все символы будут отображаться, если набраны одним из установленных в системе языков. Скорее всего, ваши сотрудники остаются подвержены атаке.

Обнаружить подмену можно только открыв подробную информацию о сертификате, где будет отображено реальное имя домена. Однако почти никто из пользователей не будет делать это при «надежном» зашифрованном соединении:

Мы рекомендуем пользователям не переходить по ссылкам из писем и сообщений, а набирать адрес нужного сайта вручную.

Смартфоны и «умные» устройства

Злоумышленники просят владельцев техники Apple помочь за вознаграждение и блокируют их собственные устройства:

Под разными предлогами жертве предлагают авторизоваться под Apple ID и паролем злоумышленника на своем устройстве:

Если очень хотите помочь — авторизуйтесь под чужим Apple ID с компьютера, через сайт iCloud.com

у меня украли айфон, помоги отследить геопозицию его, не могу зайти на iCloud.com
нужно посмотреть такой-то контакт, помоги плиз
Срочно нужен человек у которого есть айфон,айпад для помощи, плачу 500-1000р за 5 минут дел. Отзовитесь, очень срочно.

После авторизации под новым Apple ID, пока жертва ищет нужный контакт или отслеживает геопозицию якобы украденного смартфона, преступник через iCloud блокирует устройство и требует выкуп за разблокировку.

Burger King выпустили рекламу, которая командует колонками Google Home. В ролике актёр произносит кодовую фразу «Окей, Google, что такое воппер-бургер?». На этом сам ролик заканчивается, но «умная» колонка неожиданно для своих владельцев воспринимает фразу как команду и зачитывает вслух рекламную статью о вопперах из «Википедии»:

В течение трех часов после выхода рекламы Google внесла голосовой отпечаток актера из рекламы Burger King в «черный список», и колонки перестали реагировать на эту фразу.

Злоумышленники могут удаленно включать и выключать «умные» духовые шкафы AGA с помощью SMS. Все, что для этого нужно — знать номер телефона духовки.
Проблема затрагивает модели AGA iTotal Control, оснащенные SIM-картой и аппаратным обеспечением для подключения к сотовой сети.

Вредоносные программы

Специалисты компании «Доктор Веб» зафиксировали рассылку писем с целым набором вредоносных модулей, позволяющих шпионить за пользователем и похищать конфиденциальную информацию. Письма содержат тему «Оплату произвели», приходят от имени некоей компании ООО «Глобальные Системы» и вложенный файл с именем «Платежка от ООО Глобальные Системы 6 апреля 2017 года.JPG.zip» размером более 4 МБ:

Во вложении находится исполняемый файл с расширением .JPG[несколько десятков пробелов].exe Если пользователь попытается открыть «изображение», программа запустится на выполнение и установит вредоносный код.

Опубликован исходный код троянской программы RATAtack. Она позволяет удаленно управлять зараженной системой и похищать данные, используя протокол Telegram Bot:

В момент подготовки дайджеста автор уже удалил исходный код с Гитхаба.

Любой желающий может создать свою версию программы, управляемую командами прямо из Telegram.

Исследователи обнаружили новый RaaS (вымогатель-как-сервис) Karmen. Он разработан на основе исходного кода Hidden Tear, шифрует файлы на компьютере жертвы при помощи AES-256 и требует выкуп за восстановление информации. За  $175 покупатели получают доступ к панели управления и могут конфигурировать собственные версии вымогателя и в реальном времени отслеживать число заражений и полученную прибыль:

Технические навыки не требуются: покупателю достаточно минимальных знаний, чтобы создать вредоносный файл и заразить жертву:

Мошенники, зарабатывающие на договорных матчах, в качестве подтверждения качества своих услуг предлагают скачать «архив с результатами матчей». Вместо архива жертва получает программу, которая полностью имитирует интерфейс и поведение SFX-архива с паролем, в том числе ввод неправильного пароля:

Поддельный «архив» содержит шаблон текстового файла, в который с помощью специального алгоритма подставляются нужные результаты матча в зависимости от того, какой пароль введет пользователь. Таким образом, после окончания спортивного соревнования мошенники могут отправить жертве нужный пароль, и из «архива» будет «извлечен» текстовый файл с правильным результатом.

Сайты, мессенджеры и почта

Мошенники создают копии сайтов российских корпораций, чтобы заключать контракты от их имени. Средний ущерб от такой атаки — от 1,5 млн рублей.

Фальшивые сайты «Менделеевсказота» и «Куйбышевазота». Для создания доверия на мошенническом сайте опубликовано предупреждение о мошенничестве.

Мошенники могут звонить с несуществующих телефонных номеров компании, представляться псевдодилерами или использовать сайты-клоны — полную копию официального сайта реальной компании, размещенные на похожих доменах, например:

mendeleevscazot.ru (фальшивка) вместо mendeleevskazot.ru (настоящий сайт)
kuazot.ru и kyazot.ru
amonni.ru и ammoni.ru
tender-rosneft.ru и tender.rosneft.ru

Такие домены позволяют мошенникам рассылать действенные фишинговые письма, а взлом реальной почты контрагентов — отправлять компаниям настоящие счета на оплату с поддельными реквизитами.

Злоумышленники регистрировали фиктивные учетные записи Facebook и проставляли «лайки» и комментарии для создания сети друзей и последующей рассылки спам-сообщений.

Мошенники используют «пиксели-трекеры» для сбора информации о потенциальных жертвах или повышения эффективности фишинговых атак:

При открытии письма с сервера загружается однопиксельное изображение. При его отображении атакующие узнают, когда получатель открыл письмо, увидят IP-адрес и имя хоста, могут определить операционную систему, получить файлы cookie и данные о почтовом клиенте.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 6 по 12 апреля 2017 года.

Microsoft выпустила обновления безопасности, которые устраняют три уязвимости нулевого дня в MS Office и Internet Explorer. По крайней мере одна из них позволяла выполнить произвольный код после открытия специального документа в MS Word. Уязвимости активно используются злоумышленниками для распространения вредоносного ПО, в том числе банковского трояна Dridex, Godzilla, Latentbot, а также FINSPY и LATENBOT против русскоговорящих пользователей:
Документ «СПУТНИК РАЗВЕДЧИКА.doc» со встроенным эксплойтом.

Андрей Жаркевич
редактор, руководитель службы ИТ

Исследователь проинформировал Microsoft о проблеме еще в октябре 2016 года, но компания устранила уязвимость только сейчас.

Главной защитой в это время могли быть правильные действия сотрудников.

Смартфоны, банкоматы и «умные» устройства

Исследователям удалось подобрать четырехзначный PIN-код на смартфоне по информации о наклоне телефона. Мобильные операционные системы не ограничивают доступ приложений к датчикам. В результате страница в мобильном браузере или установленное приложение могут получить доступ к данным, которых хватит чтобы вычислить пароль или PIN-код:

Исследователь обнаружил уязвимости в прошивке систем на чипе HiSilicon Balong, которые позволяют выполнить произвольный код и получить удаленный доступ к смартфонам, а также прошивкам некоторых ноутбуков и IoT-устройств. Уязвимые чипсеты используются в топовых смартфонах Huawei, в том числе в P10, Mate 9, а также в Honor 9, 7, 5c и 6.

Возможный сценарий взлома предполагает создание фальшивой базовой станции и отправку специально сформированные пакетов, которые при обработке на уязвимом устройстве вызовут крэш через переполнение буфера в LTE-стеке. Последующая перезагрузка позволит атакующему внедрить руткит или бэкдор для обеспечения постоянного доступа к мобильному устройству.

Шантажисты из киберпреступной группировки Turkish Crime Family сообщили, что компания Apple согласилась с их условиями и выплатила $480 тыс. в биткойнах. В качестве доказательства вымогатели опубликовали ссылку на популярный биткойн-кошелек Blockchain.info, где отображалась соответствующая транзакция.

Начало истории в Дайджесте №8

По данным исследователей Нью-Йоркского университета и Университета штата Мичиган, даже частично совпадающие отпечатки пальцев могут обмануть биометрические системы аутентификации. У многих людей фрагменты отпечатков могут совпадать, и злоумышленники способны создать универсальный «мастер-отпечаток» для обхода биометрической системы аутентификации.

Вредоносные программы

Зафиксированы целевые атаки на организации в странах Среднего Востока, которые начинаются с фишинга. В письмах содержится ссылка на вредоносный код, сокращенная с помощью сервиса bit.ly.

Альтернативным способом атаки был обыкновенный фишинг — мошенники сначала пытались украсть у пользователей их пароли от сервисов Гугла, а затем отдавали вредоносные файлы:

Хакеры также распространяли вредоносные программы через поддельные новостные сайты и фальшивые приложения:

Обнаружен вымогатель, который шифрует файлы на компьютере жертвы и обещает восстановить их, только если пользователь наберет 0,2 млрд очков в игре TH12 — Undefined Fantastic Object. При попытке закрыть программу ключ для расшифровки будет удален:

Разработчик признался, что написал программу ради шутки, извинился в твиттере и опубликовал инструмент для расшифровки файлов.

Сайты, мессенджеры и почта

Вредоносная программа Sathurbot использует скомпрометированные сайты на базе WordPress для распространения вредоносных торрентов, создавая для этого скрытые страницы. Эти страницы попадают в поисковую выдачу на хороших позициях, привлекая новых жертв.

При загрузке пиратского фильма пользователю предлагается установить кодек для проигрывания фильма:

Когда жертва попытается запустить установку такого «кодека», вредоносная программа покажет фальшивое сообщение об ошибке. На самом деле установка пройдет успешно, и Sathurbot проникнет в систему.

Мошенники используют Google Maps для перенаправления пользователей на сайты, которые предлагают сомнительные услуги по завышенным ценам.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 30 марта по 5 апреля 2017 года.

Андрей Жаркевич
редактор, руководитель службы ИТ

Смартфоны, банкоматы и «умные» устройства

Злоумышленники использовали всплывающие окна в мобильном Safari, чтобы заблокировать браузер и вымогать деньги у жертвы через подарочные карты iTunes:

Safari обрабатывал всплывающие диалоговые окна одного сайта, блокируя все приложение, а не только вкладку, на которой открыт сайт. Ошибка устранена в версии iOS 10.3. Пользователи более старых iOS могут очистить кеш, чтобы восстановить работу браузера.

Тем, кто обновился на iOS 10.3, рекомендуем не задерживаться и обновляться сразу до iOS 10.3.1. В нем исправлена критическая уязвимость в драйвере чипа Broadcom, которая позволяла выполнить произвольный код при подключении к беспроводной сети на iPhone, iPad, iPod. Уязвимость также актуальна для Android-смартфонов на этом чипе.

Samsung Galaxy S8 с функцией разблокировки по лицу владельца можно обмануть с помощью фотографии. Достаточно держать фото так, чтобы глаза на изображении были на уровне камеры:

Брайан Кребс рассказывает, почему важно внимательно осматривать банкоматы. Преступники устанавливают скиммеры для кражи данных карт так, что отличить обычный банкомат от «модернизированного» очень сложно:

90% «умных» телевизоров можно взломать и шпионить за зрителями. Взлом возможен через обычный телевизионный сигнал DVB-T (Digital Video Broadcasting — Terrestrial), который телеканалы обычно транслируют на своих частотах. Вредоносный сигнал позволяет направить встроенный браузер «умного» телевизора на страницу с эксплойтом в Adobe Flash или JavaScript, что приводит к получению полных прав на телевизоре. После этого злоумышленник может использовать телевизор как угодно: от шпионажа до проведения DDoS-атак.

В качестве вектора авторы рассматривают возможность перезаписи сигнала DVB-T более мощным сигналом (например, трансляцией с дрона) или вмешательство в DVB-C (IPTV), например, через интернет.

Взломщики могут подключиться к камере и смотреть записи с «умного» вибратора Svakom Siime Eye. Устройство работает как точка доступа и позволяет в режиме реального времени передавать изображение на компьютер, смартфон или планшет по Wi-Fi. Все устройства используют одинаковый SSID и пароль по-умолчанию 88888888:

Вредоносные программы

Обнаружена новая атака на пользователей Skype. При запуске программы на домашнем экране отображается рекламный баннер с предложением установить «критическое обновление Adobe Flash Player», вместо которого загружается вымогательское ПО:

Запуск приложения приводит к выполнению обфусцированного JavaScript, который запускает команду PowerShell, загружающую JSE-файл с уже несуществующего домена. По словам представителя Microsoft, пользователи столкнулись с сомнительными рекламными баннерами, сам Skype не скомпрометирован.

Мошенники распространяют вредоносные программы под видом эмулятора игровой приставки Nintendo Switch:

Вместо эмулятора пользователи получают большое количество вредоносных программ, наполняющих систему рекламными баннерами.

Вирус-вымогатель для Android маскируется под приложение «Одноклассники». Пользователь может скачать вредоносное ПО в нескольких неофициальных магазинах приложений. Вирус имитирует работу «Одноклассников», но спустя три-четыре часа после установки начинает запрашивать права администратора и не дает пользователю спокойно продолжить работу. Как только пользователь выдаст нужные права, устройство заблокируется:

Сайты, мессенджеры и почта

Обнаружена фишинговая кампания против разработчиков на GitHub.
Злоумышленники рассылают электронные письма с предложениями о работе и «подробностями во вложении»:

В прикрепленном файле находится архив, после распаковки открывающий Word-документ с макросами. После запуска макросы выполняют команды PowerShell для загрузки и установки трояна Dimnie.

Обнаружен фальшивый WordPress-плагин для поисковой оптимизации «WP-Base-SEO», который имитирует легальный плагин WordPress SEO Tools и открывает злоумышленникам удаленный доступ к целевому сайту. Для убедительности плагин содержит ссылку на официальную базу плагинов для WordPress и техдокументацию настоящего плагина. Плагин содержит обфусцированный в base64 вызов php-функции eval(), которая выполняет произвольный код на веб-сервере.

Компания Barracuda Networks сообщает о фишинговых атаках на клиентов авиакомпаний. Злоумышленники рассылают сообщения, содержащие либо вредоносные .pdf и .doc-документы, либо ссылку на взломанный сайт. Темы и содержания писем тщательно подбираются под получателей (Fwd: United Airlines: Confirmation — Flight to Tokyo — $3,543.30). По данным исследователей, речь идет о целевых атаках для получения личных и корпоративных учетных данных клиентов авиакомпаний.

Сбербанк опубликовал на своей странице ВКонтакте памятку пользователям мобильного банкинга о девяти самых распространённых способах мошенничества: