Представляем новости об актуальных технологиях фишинга и других атаках на человека c 16 по 22 февраля 2017 года.

Компания «Антифишинг» подготовила статистику поведения сотрудников в российских компаниях. Показано, какие группы сотрудников наиболее уязвимы и какие шаблоны фишинговых атак наиболее эффективны:

В проверенных организациях на рабочих местах сотрудников находились устаревшие приложения или операционные системы с уязвимостями. Для некоторых из них существуют публичные эксплойты, то есть организация может быть взломана без дополнительных действий со стороны пользователя:

Презентация (ПДФ, 292 КБ) опубликована на сайте IX Уральского форума.

Андрей Жаркевич
редактор, руководитель службы ИТ

Смартфоны, банкоматы и «умные» устройства

Федеральное сетевое агентство Германии запретило линейку «умных» кукол «Моя подруга Кайла». Куклы записывают разговоры детей и передают их производителю в США. Ведомство назвало игрушку «шпионским устройством» и рекомендовало родителям как можно скорее избавиться от нее.

Русская служба Би-би-си убедилась, что в интернете можно приобрести доступ к десяткам тысяч камер наблюдения. Особенно популярны на этом «рынке» публичные дома, сауны, гостиницы: клиенты этих заведений в большинстве случаев даже не догадываются, что становятся объектами скрытой видеосъемки с помощью слабозащищенных устройств:

Исследователи компании ESET предупредили о вредоносном ПО для Андроид-устройств, которое распространяется под видом приложения PornHub:

В Google Play приложения эротического характера запрещены, поэтому любители контента «для взрослых» пытаются скачать такие программы из интернета. После установки программа запускает процесс «проверки на вирусы», блокирует устройство и требует выкуп в размере 100 долларов.

Сайты, социальные сети и почта

Лаборатория Касперского опубликовала отчёт о спаме и фишинге в 2016 году. По данным отчета, 17% российских пользователей подвергались фишинговым атакам (шестое место в мире):

Согласно отчету, 47% всего фишинга направлено на финансовый сектор — против клиентов банков, платежных систем и онлайн-магазинов. Приводится подробный обзор основных тем фишинга и технических приемов, которые использовали мошенники в 2016 году.

Компьютеры в десятках организаций в Украине оказались заражены сложным вредоносным ПО, которое позволяет хакерам не только красть данные, но и подслушивать разговоры жертвы. Похищено более 600 гигабайт данных приблизительно у 70 организаций-жертв, включая важные инфраструктурные компании, новостные СМИ и научно-исследовательские организации.

Хакеры распространяют вредоносное ПО с помощью фишинговых писем, к которым приложены документы Microsoft Office c макросами:

Универсальный вредоносный модуль BugDrop загружает и выполняет различные плагины на зараженных машинах. Все украденные данные загружаются на Dropbox.

В США наблюдается повышенная мошенническая активность, связанная с периодом подачи налоговых деклараций по форме W-2:

С помощью фишинга мошенники похищают формы с именами людей, адресами, номерами социального страхования и данными о доходах, а затем продают их в DarkNet — например, для получения кредитов от имени жертвы.

Исследователи сообщают о новой программе-вымогателе для macOS. Программа загружается на компьютер по протоколу BitTorrent под видом пиратского активатора для Adobe Premiere и Microsoft Office:

После запуска любого «активатора» файлы пользователя шифруются. Главная проблема состоит в том, что расшифровать их потом не сможет даже автор вируса.

В этом году Google планирует включить поддержку SMTP STS — расширения почтового протокола, которое обеспечивает конфиденциальность переписки и подлинность серверов, участвующих в обмене по шифрованным каналам. Ожидается, что SMTP STS позволит полностью исключить возможность фишинговой атаки с подменой отправителя.

Исследователи предупреждают о новой серии атак, в которых распространяется вредоносная программа TeamSpy. Жертве приходит письмо с поддельного адреса с предложением загрузить zip-архив, который якобы содержит факс-сообщение. Если пользователь загружает архив и открывает вложенный .exe-файл, TeamSpy оказывается запущен на компьютере. Далее с помощью DLL-hijacking программа выполняет вредоносные действия от имени легитимных приложений.

Создатели крипто-вымогателей нашли способ, который заставляет жертв платить чаще. Они притворяются специалистами, готовыми помочь в борьбе с вирусом за вознаграждение, меньшее, чем выкуп, который требует программа-вымогатель.

В Infosec Institute опубликована большая статья о видах программ-вымогателей и правилах поведения в различных ситуациях, связанных с такими программами. Авторы отмечают необходимость обучения каждого пользователя правильным действиям, указывая, что именно неграмотные пользователи являются причиной большинства успешных атак.

Специалисты компании Dell SecureWorks описали мошенническую схему «CEO fraud»: мошенники отправляют сотрудникам электронные письма от имени их руководителей с указанием срочно перечислить денежные средства на указанные реквизиты.

Роскомнадзор сообщает о фальшивой рассылке писем от имени собственных должностных лиц. В письмах говорится о проведении внеплановых проверок на предмет выполнения требований федерального закона «О персональных данных». Сообщения не содержат вредоносного кода, но информация в них не соответствует действительности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 9 по 15 февраля 2017 года.


По данным Лаборатории Касперского, 75% вымогательского ПО в 2016 году создано русскоговорящими разработчиками. По мнению специалистов, причина в большом количестве высококвалифицированных программистов в России и странах СНГ.

При этом всё больше программ-вымогателей используют модель «Вымогатель-как-Сервис» — некоторые преступники предпочитают сдавать созданный врендоносный софт в аренду:

Андрей Жаркевич
редактор, руководитель службы ИТ

Смартфоны, банкоматы и «умные» устройства

Эксперты компании ZScaler предупреждают об очередной трансформации вредоносной программы Marcher — теперь она маскируется под сверхпопулярную iOS-игру Super Mario Run, разработчики которой так и не выпустили версию для Андроид.

При установке Marcher запрашивает права на телефонные звонки и отправку СМС-сообщений:

Вредоносная программа похищает данные банковской карты клиента и учётные записи популярных систем онлайн-банкинга:

По данным компании Group-IB, фишинг и вредоносные программы для устройств на базе Андроид — самые распространенные способы кражи денежных средств с банковских карт. C использованием Андроид-троянов за прошлый год было похищено 348 миллионов рублей.

Отдел «К» УМВД РФ по Ярославской области сообщает, что фальшивая игра Pokemon Go используется для кражи денег у жителей Ярославской области. Под видом игры жертвы устанавливали на свои смартфоны вредоносную программу. В результате этого мошенники могли получить доступ к СМС и информации о банковских картах.

Сайты, социальные сети и почта

Национальное подразделение по киберпреступлениями полиции Нидерландов, Европейский центр по борьбе с киберпреступностью Европола, Лаборатория Касперского и Intel Security создали сайт «No More Ransom» для помощи жертвам троянцев-вымогателей.

В разделе «Утилиты для расшифровки» можно скачать дешифровальщик для большинства видов вымогателей:

Сайт Change.org всё чаще используется злоумышленниками для распространения пиратского контента и вредоносных программ:

На странице с петицией публикуется ссылка, по которой якобы можно посмотреть новый фильм. Перейдя по ссылке, пользователь вместо фильма скачивает вредоносную программу:

Исследователи Palo Alto Networks сообщают об уникальном загрузчике для множества вирусов, который написан на Visual Basic для Microsoft Office. Для распространения загрузчика используются фишинговые письма, с вложенным вредоносным документом с макросом:

Код макроса сильно обфусцирован и содержит оригинальный механизм обхода системы контроля учётных записей (UAC) Windows.

По мнению специалистов, загрузчик универсальный и предназначен для использования во множестве разных атак.

По данным отчета Webroot CyberSecurity, в 2017 году растет интенсивность фишинговых атак. В качестве основных целей злоумышленников выступают уже не банки, а технологические компании, в первую очередь Google, Yahoo и Apple:

Отмечается также, что фишинговый сайт живёт в среднем не более 15 часов.

По данным Sophos Lab, жертвы вымогателей становятся все более беспомощными, поскольку некоторые злоумышленники не только шифруют данные пользователей, но и похищают их для дальнейшей монетизации, уничтожают и используют в последующих атаках.

Методы преступников становятся всё более изощренными, они действуют агрессивно, продуманно и организованно.
— Джеймс Лин, глава подразделения исследований в области безопасности

Вредоносная программа DynA-Crypt не только шифрует файлы, похищает пароли и контакты жертвы, но и по непонятной причине удаляет папки, из которых украдены данные.

Обучение

По мнению операционного директора компании PhishMe, единственная возможность остановить злоумышленников, использующих фишинг  — обучить пользователей так, чтобы они стали первой и самой эффективной линией защиты.

Руководитель службы кибербезопасности Сбербанка Сергей Лебедь рассказал о запуске обучающей игры «Агент кибербезопасности». Игра должна научить правильному хранению паролей, выявлению фишинга и другим навыкам в области безопасности.
Игра была разработана после того, как около 80% сотрудников Сбербанка открыли имитированные фишинговые письма «от Германа Оскаровича Грефа».

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 1 по 8 февраля 2017 года.


По данным PricewaterhouseCoopers, за 2016 году фишинг стал главным вектором цифровых атак, о нем заявили 43% финансовых учреждений.

Андрей Жаркевич
редактор, руководитель службы ИТ

Смартфоны, банкоматы и «умные» устройства

Телевизоры Vizio с 2014 года собирали данные о своих пользователях: IP-адреса, ближайшие точки доступа, сведения о местоположении и просмотренных видео. За это нарушение федеральная торговая комиссия США оштрафовала производителя на 2,2 миллиона долларов.

Арестована группировка киберпреступников, заражавших банкоматы вредоносным ПО. Преступники рассылали сотрудникам банков фишинговые письма, получали доступ во внутреннюю сеть банка, заражали банкоматы и несанкционированно получали наличные деньги. Таким способом им удалось похитить 3 миллиона 200 тысяч долларов.

Десятки iOS-приложений, работающих с конфиденциальными данными, уязвимы к атакам «человек посередине» с перехватом TLS-трафика. Эти приложения содержат код, позволяющий принимать самоподписанные сертификаты. В результате злоумышленник может подменить сертификат сервера и перехватить данные, пока пользователь уверен в том, что соединение защищено. Большая часть таких атак производится через сети Wi-Fi.

Используйте мобильный интернет, когда платите по карте или заходите в интернет-банк.

Сайты, социальные сети и почта

Опубликована информация о новой спам-кампании с вложениями формата .lnk. В письме содержится zip-архив, внутри которого находится ярлык — .lnk-файл, запускающий PowerShell и загружающий вымогатель Locky и троянец для клик-фрода Kotver.

Мы уже описывали такие атаки: Опасные вложения

Разведслужба Норвегии считает, что хакерская группировка APT29 причастна к фишинговым атакам на девять почтовых ящиков норвежских государственных служащих. Группировку также обвиняют во вмешательстве в выборы президента США, где хакеры использовали вредоносные почтовые вложения.

Исследователи обнаружили новую фишинговую атаку, направленную против стран-членов НАТО. Начиная с нового года хакеры рассылают документ MS Word с заголовком «Заявление генерального секретаря НАТО после заседания Совета Россия-НАТО» / «Statement by the NATO Secretary General following a meeting of the NATO-Russia Council», в котором содержится текст оригинального пресс-релиза с сайта. В документ внедрены объекты OLE и Adobe Flash, также содержащие в себе внедрённые объекты. Вредоносный код чрезвычайно сложен для изучения, распознаёт запуск под отладчиком и в песочнице. Из-за его многоуровневой вложенности специалисты назвали его «Шпионской матрёшкой». Шпионский модуль собирает информацию о системе и передаёт её преступникам.

Google пытался засудить россиянина Виталия Попова, который владеет доменом ?oogle.com. Буква «?» в имени домена — это unicode-символ 0262, которого нет на клавиатуре. Примечательно, что еще в ноябре 2016 года специалисты компании Analytics Edge сообщали о рассылках спама в поддержку Трампа с адреса secret.?oogle.com.

Использование Unicode-символов в именах доменов регламентируется стандартом Internationalized Domain Names in Applications (IDNA). В рамках стандарта допускается использование в именах доменов символов национальных алфавитов, причём допускается смешивать в одном имени символы из разных языков. Это даёт злоумышленникам богатые возможности для фишинга.

Старайтесь не кликать по ссылкам, а набирать адрес сайта на клавиатуре.

Новые версии вымогателей Locky и Sage используют общую инфраструктуру для доставки вредоносного кода пользователям. Первые версии вирусов использовали фишинговое письмо, содержащее архив с именем типа «sindy_hot_2016_sex_party_in_the_club.zip». В архиве содержался скрипт, загружающий исполняемый файл вируса.

Современные версии фишинговых писем сообщают об отмене финансовой транзакции и возврате денег, и предлагают просмотреть вложенный документ. Архив, содержащий Locky, содержит также загрузчик для Sage, а архив с Sage — для Locky.

Forbes сообщает о случаях, когда аферисты с помощью социальной инженерии получали сведения о доходах сотрудников крупных организаций. Например, сотрудница ресторанной сети отправила мошенникам налоговые декларации 4 тысяч своих сотрудников в ответ на поддельное письмо «от основателя компании Скотта Вайза». Налоговые декларации содержат все личные данные, включая номер социального страхования и доход сотрудника, поэтому мошенники смогут использовать их для получения фиктивных налоговых возвратов.

Эксперты ProofPoint сообщают, что после заключения американско-китайского соглашения о кибербезопасности китайские хакеры переключили внимание на другие страны, в том числе на Россию и Беларусь. Для атак используется ZeroT — новый загрузчик вредоносных программ в виде файла справки в формате .chm, который загружает PlugX — инструмент удалённого доступа к системе:

Файл справки написан на русском языке, внутри него находится OLE-объект, содержащий исполняемый файл svchost.exe:

Атакующие также рассылают документы MS Word с темой письма «Федеральная целевая программа 2017-2020 гг.»:

В интернете стали массово появляться клоны сайтов страховых компаний по продаже электронных полисов ОСАГО. Деньги списываются со счёта клиента, иногда он даже получает на почту PDF-файл с поддельным полисом ОСАГО.

Исследователи опубликовали анализ нового макровируса для MS Word, который работает на macOS:

Жертва получает по электронной почте документ MS Word с именем «U.S. Allies and Rivals Digest Trump’s Victory — Carnegie Endowment for International Peace.docm», при открытии которого появляется запрос на запуск макросов. Если разрешить макросы, распаковывается и запускается скрипт-загрузчик на Python, который скачивает с сайта атакующего основную часть вируса. После установки вирус получает доступ к веб-камере, сохраняет и передает хакерам всё, что пользователь вводил с клавиатуры, историю браузера и другую информацию.

Платежные системы

Сотрудница волгоградского банка продала знакомому кодовые слова одиннадцати клиентов, со счетов которых злоумышленник украл более 4 миллионов рублей.

Трое жителей посёлка Жешарт республики Коми осуждены за компьютерное мошенничество. Осенью 2014 года они приобрели вредоносную программу, которая распространялась через СМС. Программа устанавливалась на смартфоны жертв и похищала с их банковских счетов небольшие суммы, а СМС-уведомления о списании средств удаляла. В общей сложности преступники похитили 250 тысяч рублей у 34 человек.