Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружены вредоносные бот-сети, операторы которых привлекают подростков для распространения вредоносного ПО.

Схема вовлечения подростков в преступную деятельность

1. В популярных среди подростков пабликах публикуются призывы стать членами партизанских кибердружин.
2. Чтобы примкнуть к бот-сети, молодые люди должны установить у себя вредоносное ПО. В некоторых случаях за установку предлагается небольшое вознаграждение.
3. На стороне преступников работают хорошие психологи, так как попадание в аудиторию часто безупречное.
4. Дети и подростки начинают с того, что пробуют свои силы в буллинге, краже и взломе аккаунтов в соцсетях или на других площадках
5. Далее в закрытых чатах, ботах в Telegram или на теневых форумах они изучают различные мошеннические схемы, получают готовые решения, программное обеспечение для DDoS-атак или фишинга. Чтобы подогреть интерес, админы делятся информацией о выплатах для участников схемы.

Тяга к знаниям и экспериментам не всегда доводит юных любителей ИТ до успеха. Некоторые подростки выводят из строя собственные компьютеры, пытаясь запустить свою же вредоносную программу. Более того, молодёжь любит хвастаться, поэтому записывает на видео свои «подвиги» и выкладывает всё это в Сеть, выдавая себя правоохранительным органам.

Обнаружена новая вредоносная кампания, в которой используется PowerShell-бэкдор замаскированный под процесс обновления Windows.

Схема кампании

1. Атака неизвестной группировки начинается с Word-документа, который 25 августа 2022 года был выгружен в сеть из Иордании. Метаданные документа говорят о том, что хакеры нацелены в первую очередь на пользователей LinkedIn.
2. Если жертва откроет документ, то с помощью вшитого в файл макрокода
   на компьютере будет создан файл updater.vbs, который будет добавлен в расписание, имитируя часть процесса обновления.
3. При выполнении этого скрипта создается и выполняется PowerShell-скрипт Script1.ps1, который подключается к серверу управления и получает команды, которые будут выполнены вторым скриптом temp.ps1.

Из-за ошибки в скрипте исследователи смогли реконструировать команды, отправляемые сервером. Среди них были команды для запуска whoami, перечисления файлов в определенных папках, извлечения списка запущенных процессов и удаления файлов из общих папок пользователей.

По словам Томера Бара, руководителя команды исследователей в SafeBreach, за незаметным вредоносом и его инфраструктурой стоит крайне хорошо подготовленная группировка, которая уже атаковала около 100 жертв.

Обнаружена мошенническая кампания, нацеленная на американских учащихся, желающих зарегистрироваться в Федеральной программе помощи студентам, чтобы украсть их личную информацию, платежные реквизиты и денежные средства.

Федеральная помощь студентам (Federal Student Aid) позволяет уменьшить сумму кредита для студентов от 10 до 20 тыс. долларов США. Программа предназначена только для студентов с доходом менее 125 тыс. долларов США.

Злоумышленники создают фишинговые веб-сайты, которые имитируют форму заявки, рассылают фишинговые электронные письма или SMS с «правом на получение льгот», а также пытаются использовать несколько каналов мошенничества против людей. Киберпреступники предлагают доступ к Федеральной программе, связываясь с потенциальными жертвами по телефону, электронной почте, через SMS-сообщения и другими способами.

Мошенники обманом заставляют студентов оплатить «услуги» или просто собирают информацию о жертвах, которую они затем могут использовать в других мошеннических схемах.

Сообщается, что в США насчитывается 45 млн заемщиков по студенческим кредитам, общий размер долга в совокупности составляет 1,6 трлн долларов США.

В новых фишинговых кампаниях злоумышленники проводят спуфинг Google Переводчика и используют особую JavaScript-технику для обхода сканеров электронной почты.

Фишеры задействуют обфускацию своих сайтов, чтобы как пользователи, так и шлюзы безопасности считали их легитимными. Помимо этого, используется социальная инженерия, с помощью которой получателя убеждают в том, что на фишинговое письмо надо ответить как можно скорее.

Схема кампании

1. В фишинговых письмах злоумышленники настоятельно рекомендуют получателю подтвердить доступ к своей учётной записи, поскольку он якобы пропускает важные электронные письма. Пользователю даётся 48 часов на просмотр уведомлений, после чего они будут удалены.

2. Ссылка из письма ведёт жертву на веб-страницу аутентификации, грамотно замаскированную под сервис Google Переводчик. В левом верхнем углу есть соответствующий логотип, а чуть правее — выпадающий список доступных для перехода языков.

3. Там жертву ждало частично заполненное поле для аутентификации, где оставалось только ввести пароль, соответствующий адресу электронной почты.

Мобильная безопасность

Мобильная операционная система Apple iOS 16 содержит уязвимость, аналогичную Android, из-за которой данные пользователя сливаются за пределы активного VPN-туннеля даже в том случае, если режим Lockdown включен.

Как сообщают эксперты, подход новой версии ОС к VPN-трафику не не зависит от того, включен режим Lockdown или нет. Как правило, когда пользователь включает VPN, операционная система закрывает все текущие интернет-соединения и затем переустанавливает их через VPN-туннель. В случае с iOS 16 сессии и соединения, работавшие до включения VPN, не завершаются. Это значит, что они могут отправлять данные в обход туннеля. В результате пользователь будет считать, что его информация защищена, а на деле она может остаться незашифрованной и попасть в руки провайдеров и других третьих лиц.

Также оказалось, что iOS 16 взаимодействует с определенными сервисами Apple за пределами активного VPN-туннеля и сливает DNS-запросы без ведома пользователей.

Атаки и уязвимости

Содержимое зашифрованных сообщений, отправляемых через Microsoft Office 365, можно частично или полностью определить из-за использования слабого блочного шифра.

Содержимое изображения, которое было извлечено из «защищенного» шифрованием сообщения Office 365.

Организации используют шифрование сообщений в Office 365 для отправки и получения внутренних и внешних электронных писем, чтобы обеспечить конфиденциальность содержимого. Однако эта функция шифрует данные с использованием режима Electronic Code Book (ECB), что позволяет при определенных условиях прочесть сообщение.

Основная проблема ECB заключается в том, что при использовании одного и того же ключа повторяющиеся области данных открытым текстом в итоге дают одинаковый результат шифрования, что создает определенный паттерн.

Таким образом, «благодаря» использованию ECB, содержимое зашифрованных сообщений Office 365 нельзя расшифровать напрямую, но можно получить структурную информацию об этих сообщениях. То есть злоумышленник, который сумеет собрать несколько зашифрованных сообщений, может обнаружить паттерны, которые могут привести к тому, что части сообщений постепенно станут читаемыми без использования ключа шифрования.

Автоугонщики во Франции научились менее чем за минуту угонять автомобили марок Peugeot и Toyota, используя модифицированную колонку JBL, чтобы обойти их защиту.

Cфальсифицированное устройство продается в даркнете за 5000 евро. К модифицированной колонке и цифровому ключу JBL также прилагается обучающее видео на YouTube, в котором показывается, как ей пользоваться, подключая колонку к автомобильному динамику с помощью USB-кабеля. Сообщается, что это устройство также может быть использовано для взлома автомобилей Lexus.

macOS-версия популярного сервиса для видеоконференций Zoom содержит опасную уязвимость, позволяющую условному хакеру подключиться и контролировать соответствующие приложения.

По шкале CVSS проблема получила 7,3 балла из 10, а её причина — в некорректной конфигурации порта отладки, который Zoom открывает в операционной системе macOS.

В официальном уведомлении Zoom разработчики описывают уязвимость следующим образом:

«macOS-версия клиента Zoom содержит неправильную конфигурацию порта отладки. Локальный порт открывается в том случае, если включён режим рендеринга контекста — API Zoom Apps Layers. Злоумышленник может использовать порт отладки для подключения и контроля приложений в Zoom-клиенте».

Инциденты

Конфиденциальная информация клиентов компании Microsoft могла быть раскрыта из-за неправильно настроенного сервера, доступного через интернет.

В компании подчеркивают, что утечка произошла из-за некорректной настройки некоего эндпойнта, который «не используется в экосистеме Microsoft». В итоге раскрыта оказалась такая информация, как имена, email-адреса, содержимое писем, названия компаний и номера телефонов, а также файлы, связанные с бизнесом между затронутыми клиентами и Microsoft или авторизованным партнером Microsoft.

Утечка потенциально затронула конфиденциальную информацию более чем 65 тыс. компаний из 111 стран мира. Данные хранились в файлах, датированных периодом с 2017 по 2022 год.

Среди утекших данных были «Proof-of-Execution и Statement-of-Work документы, информация о пользователях, заказы/офферы продуктов, детали проектов, личные данные и документы, которые могут раскрывать интеллектуальную собственность». Также были обнаружены детали работы партнерской экосистемы, счета-фактуры, детали проектов, прайс-листы продуктов клиентов, внутренние комментарии для клиентов, стратегии продаж и документы, связанные с активами клиентов, а также многое другое.

Сообщается также, что на сервере Microsoft было 2,4 Тб данных, содержащих конфиденциальную информацию, включая более 335 000 электронных писем, 133 000 проектов и 548 000 пользователей.

GPS-помехи неустановленной причины повлияли на движение самолетов в США.

Причину загадочных помех GPS расследует Федеральное авиационное управление (Federal Aviation Administration). Из-за них пришлось закрыть одну взлетно-посадочную полосу в международном аэропорту Даллас/Форт-Уэрт и перенаправить некоторые самолеты в другие районы.

Впервые о помехах стало известно 17 октября, когда FAA предупредил пилотов персонал и авиадиспетчеров о помехах на 40-мильной полосе воздушного пространства возле аэропорта Даллас/Форт-Уэрт. В тот же день Командный центр системы управления воздушным движением сообщил, что в регионе «наблюдаются аномалии GPS, которые сильно влияют на полеты в Даллас/Форт-Уэрта и из него, а также соседних аэропортов. Кроме того, некоторым аэропортам пришлось использовать устаревшие навигационные системы, которые предшествовали GPS.

Из-за помех пилоты не могли получить точные показания и совершить посадку, а самолеты на земле также смогли уловить точные сигналы GPS.

Телекоммуникационная компания Verizon уведомила некоторых клиентов о том, что их учетные записи были скомпрометированы, а телефонные номера могли быть украдены мошенниками посредством подмены SIM-карт.

В период с 6 по 10 октября 2022 года злоумышленники неизвестным образом получили последние четыре цифры номеров кредитных карт клиентов Verizon, возможно, используя онлайн-сервисы Verizon, и использовали их, чтобы получить контроль над учетными записями. Затем мошенники могли получить доступ к личной информации в аккаунте и выполнить подмену SIM-карты (SIM Swapping, SIM-свопинг). По данным Verizon, затронуты около 250 клиентов с предоплаченными аккаунтами.

Оператор заверил клиентов, что, если произойдет подмена SIM-карты, Verizon отменит ее. Кроме того, Verizon заявила, что предотвратила дальнейший несанкционированный доступ к учетным записям клиентов с использованием последних четырёх цифр кредитной карты, привязанной к профилю. Verizon заявила, что полные номера кредитных карт клиентов не были раскрыты.

Вымогательская группировка LockBit взломала крупного DIY-ритейлера Kingfisher.

Хакеры заявили, что похитили 1,4 ТБ данных компании, включая личные данные сотрудников и клиентов. Компания признала, что злоумышленники получили доступ к ее IT-системам, но отрицает заявленный хакерами объем украденных данных.

Сейчас Kingfisher работает с независимыми ИБ-специалистами над оценкой последствий кибератаки. Согласно заявлению представителя компании, злоумышленники просто не могли похитить 1,4 ТБ данных с указанных ими серверов, подтверждая это отчетами специалистов.

Операторы вымогательского ПО LockBit 3.0 атаковали японскую компанию Oomiya, которая специализируется на проектировании микроэлектроники и системного оборудования.

Партнеры Lockbit 3.0 заявили, что украли данные Oomiya, и грозятся слить их в сеть до 20 октября, если компания не заплатит выкуп. Однако на данный момент вымогатели даже не опубликовали образцы якобы украденных документов.

Этот инцидент может сильно повлиять на другие организации, поскольку Oomiya является частью цепочек поставок в нескольких крупных компаниях по всему миру, которые находятся в сферах автомобилестроения, здравоохранения, связи, производства полупроводников.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Фишинговая кампания BazarCall доставляет на компьютеры жертв загрузчик BazarLoader, который затем используется для установки вредоносного ПО.

Схема действий преступников

1. Кампания BazarCall начинается с фишингового электронного письма,

2. В письме получателю сообщается о плате, взимаемой с его учетной записи за покупку продукта или подписку и сообщается, что жертва может позвонить по номеру телефона, чтобы запросить отмену списания.

3. Жертве предлагается предоставить реквизиты для выставления счета для «проверки». После этого мошенник заявляет, что в системе нет совпадающих записей и что письмо, полученное жертвой, является спамом.

4. Затем «агент службы поддержки» информирует жертву о том, что спам-письмо могло привести к заражению ее машины вредоносным ПО, предлагая соединить пользователя с техническим специалистом.

5. Затем другой мошенник звонит жертве и направляет ее на веб-сайт, где они загружают вредоносное ПО, маскирующееся под антивирусное программное обеспечение.

6. Вредоносное ПО используется для финансового мошенничества или добавления в систему дополнительных вредоносных программ.

Обнаружен ряд фальшивых сайтов для взрослых, распространяющих вымогательскую малварь, которая, имитируя шифрование, уничтожает информацию на компьютерах жертв.

Неизвестно, как именно операторы этой кампании рекламировали свои сайты, но все они используют имена хостов, связанные с эротическими фотографиями: nude-girlss.mywire[.]org, sexyphotos.kozow[.]com и sexy-photo[.]online.

Схема кампании:

1. На сайтах посетителям автоматически предлагают загрузить исполняемый файл с именем SexyPhotos.JPG.exe, который маскируется под изображение в формате JPG.

2. Если пользователь попытается открыть его, приняв на изображение, фальшивая программа-вымогатель развернет в системе четыре исполняемых файла (del.exe, open.exe, windll.exe и windowss.exe), а также файл avtstart.bat в каталоге %temp%, а после запустит их.

3. Batch-файл закрепляется в системе, копируя все четыре исполняемых файла в папку автозагрузки Windows. Затем выполняется файл windowss.exe, сбрасывая в систему три дополнительных файла, включая windows.bat, который выполняет переименование файлов жертвы.

4. В результате файлы пользователя переименовываются по единому шаблону, например, Lock_1.fille, Lock_2.fille и так далее. Хотя содержимое пострадавших файлов при этом не изменяется и не шифруется, у жертв нет возможности выяснить их первоначальные имена.

5. Вместе с этим в системе появляются записки с требованием выкупа (файлы Readme.txt). В этом послании злоумышленники требуют 300 долларов в биткоинах в течение трех дней, угрожая потом удвоить эту сумму до 600 долларов на семь дней, а затем вообще удалить все файлы жертвы со своего сервера.

6. Эксперты считают, что такая умышленная порча данных — вовсе не случайность. Судя по всему, вредонос был задуман именно как вайпер (wiper, от английского to wipe — «стирать»), то есть он намеренно уничтожает данные своих жертв. Дело в том, что после фальшивого шифрования малварь пытается запустить файл dell.exe, но из-за ошибки именования (которая приводит к удалению dell.exe), этот шаг не срабатывает как должно. Если же исправить ошибку и запустить исполняемый файл, содержимое дисков от A до Z (кроме диска C:\) будет удалено.

В ходе новой мошеннической кампании злоумышленники имитируют проблемы с Windows и обманом вынуждают русскоязычных пользователей перезвонить им. Затем, во время телефонного разговора, они убеждают жертв перевести деньги или выдать конфиденциальные данные.

В сентябре зафиксировано более 40 500 попыток перехода российских пользователей на фишинговые ресурсы, эксплуатирующие тему продуктов Microsoft. На одних сайтах пользователям предлагали скачать операционную систему Windows 10 или Windows 11, на других злоумышленники пытались выманить данные для входа в учетную запись (адрес электронной почты и пароль) в сервисах Microsoft, в том числе Outlook. Если человек вводил эти данные на фальшивом ресурсе, они доставались злоумышленникам.

Одна из мошеннических схем:

1. Человек заходит на сомнительный ресурс или его перенаправляют туда из спам-письма.
2. После этого на экране появлялся баннер с сообщением: «Windows заблокирован из-за подозрительной активности». Якобы на устройстве пользователя обнаружена угроза — шпионский троян.
3. В том же сообщении человека просят немедленно связаться с технической поддержкой по указанному на сайте телефону, чтобы избежать «полной неисправности компьютера».
4. На самом деле злоумышленники просто показывают жертве баннер в полноэкранном режиме. Так они пытаются убедить человека, что у него действительно заблокирован компьютер.
5. Если жертва звонит в «техническую поддержку», у нее запрашивают номер телефона и другие данные, а затем обещают перезвонить.
6. После этого жертве перезванивает уже другой мошенник, якобы чтобы помочь справиться с заражением. Он направляет пользователя на сайт, где тот загружает малварь, маскирующуюся под антивирусное ПО.

Обнаружена новая фишинговая кампания и связанная с ней сеть фишинговых веб-сайтов, нацеленных на итальянцев, которые пользуются услугами онлайн-банкинга.

Целью таких сайтов является сбор контактных данных жертв. Собрав все нужные данные, злоумышленники переходили к следующему этапу своей кампании — телефонно-ориентированным атакам (TOAD). TOAD — продвинутая техника социальной инженерии, суть которой заключается в том, что злоумышленник звонит жертве после того, как соберет о ней всю необходимую информацию.

Схема действий мошенников:

1. Звонящий, представляется работником службы поддержки банка и предлагает пользователю установить мобильное приложение и предоставить ему все запрошенные разрешения.
2. Приложение — троян, открывающий злоумышленнику удаленный доступ к устройству жертвы или позволяющий проводить различные финансовые махинации.
3. В одном из случаев преступники использовали Cobybara — троян для смартфонов, впервые обнаруженный в ноябре 2021 года и используемый для проведения оверлей-атак.

Мобильная безопасность

Специалисты Mullvad VPN обнаружили, что трафик на Android «утекает» за пределы VPN-туннелей, когда устройство подключается к сети Wi-Fi, даже если активны функции Block connections without VPN или Always-on VPN .

За пределы VPN-туннелей утекает такая информация, как исходные IP-адреса, запросы DNS, трафик HTTPS и, вероятно, трафик NTP.

Хотя такое поведение в Android является нормальным, мало кто знает об этой особенности ОС из-за неточного описания функциональности VPN Lockdown в официальной документации.

Аналитики Mullvad VPN объясняют, что в настройках Android есть опция для блокировки сетевых подключений, если пользователь не использует VPN. Эта функция предназначена для предотвращения случайной утечки реального IP-адреса пользователя, если VPN-соединение прерывается или внезапно обрывается. Однако работе этой функции зачастую мешают особые случаи, к примеру, идентификация на порталах авторизации (например, Wi-Fi в отеле), и проверки, которые должны быть проверены, прежде чем пользователь сможет войти в систему, или при использовании функций разделенного туннелирования.

По этой причине Android «сливает» некоторые данные при подключении к новой сети Wi-Fi, независимо от того, включен ли параметр Block connections without VPN.

Инциденты

В результате взлома кредитного протокола Mango на Solana хакеру удалось похитить более 100 млн долларов США.

Злоумышленник использовал депозит на сумму 5 млн USDC для манипуляций с ценой нативного токена MNGO через открытие крупной маржинальной позиции в бессрочных свопах. Из-за низкой ликвидности на оптовом рынке цена актива кратковременно подскочила с 0,038 до 0,91 доллара США — приблизительно на 2295%.

Увеличение стоимости залога в MNGO позволило хакеру занять и вывести из протокола средства в нескольких монетах.

В рамках мер безопасности компания отключила депозиты и собирается заморозить средства третьих лиц.

Toyota принесла извинения за утечку данных 296 019 клиентов с 2017 года.

Утечка включает в себя адреса электронной почты и уникальные номера, которые Toyota присваивает каждому клиенту. Источник утечки — приложение T-Connect, созданное специально для клиентов Toyota. Оно позволяет пользователям открывать свои автомобили, пользоваться навигатором, отслеживать местоположение и состояние транспортного средства.

По словам представителей Toyota, 15 сентября компания заметила часть исходного кода приложения на GitHub, который был опубликован в декабре 2017 года. Этот исходный код содержал в себе ключ доступа к серверу данных, который позволял любому пользователю получить доступ к адресам электронной почты и уникальным номерам клиентов, хранящимся на сервере.

Кардерский даркнет-ресурс BidenCash бесплатно опубликовала огромный дамп, содержащий информацию о 1 221 551 банковской карте. Загрузить данные может любой желающий.

Сайт BidenCash был запущен весной 2022 года и почти сразу заявил о себе аналогичной акцией: операторы BidenCash решили бесплатно раздать всем желающим CSV-файл, содержащий имена, адреса, номера телефонов, адреса электронной почты и номера банковских карт, и таким образом прорекламировать свою платформу. Тогда специалисты сообщали, что в дампе можно найти данные примерно 6600 банковских картах, и около 1300 из них — это новые и действительные карты.

Чтобы обеспечить более широкий охват, мошенники рекламируют новый бесплатный дамп с картами даже в открытом интернете и на других хакерских и кардерских форумах. Как сообщают исследователи компании Cyble, суммарно дамп содержит информацию о 1,2 млн карт со всего мира, со сроком действия между 2023 и 2026 годами. Большинство, похоже, принадлежат пользователям из США.

Хакеры прервали выпуск новостей государственного телеканала Ирана и показали изображение верховного руководителя Исламской Республики аятоллы Сейида Али Хаменеи. Лидер был объят языками пламени, а на его лице находилась мишень.

Кроме того, протестующие показали фотографии девушек, погибших во время митингов. Видео сопровождалось строчками: «Кровь нашей молодежи — на ваших руках. Женщины, жизнь, свобода».

Хакерскую акцию протеста организовала группа Эдалат-е Али (Правосудие Али) — хактивисты призывают свергнуть правительство и режим, а также не прекращать массовые протесты до тех пор, пока не добьются правосудия.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Зафиксирована целевая атака на российские организации, в ходе которой злоумышленники разослали несколько сотен вредоносных писем, якобы касающихся темы частичной мобилизации.

Схема действий преступников:

1. В поддельных сообщениях говорится, что в связи с неполучением повестки с указанным номером человека призывают срочно явиться в назначенное место и время. Более подробная информация якобы указана в повестке в формате PDF, которую необходимо скачать по ссылке.
2. Письмо тщательно подготовлено и выглядит правдоподобно: содержит ссылки на статьи УК РФ, геральдику и стилистику соответствующего ведомства. В тексте злоумышленники угрожали возможными штрафами и уголовной ответственностью.
3. Ссылка ведёт на архив с исполняемым скриптом с расширением WSF. Если открыть файл, то он для отвода глаз скачает и отобразит в браузере PDF-документ, имитирующий отсканированную повестку, но параллельно создаст файл AnalysisLinkManager.exe во временной папке и запустит его.
4. Используемое вредоносное ПО и техники имеют множество сходств с активностью группы XDSpy. В частности, с версиями прошлых лет совпадают исходный код вредоносного WSF-скрипта и способы запуска, а также частично названия файлов.
5. Цели XDSpy — шпионаж, кража документов и других файлов, а также данных для доступа к корпоративным почтовым ящикам.

Обнаружена фишинговая кампания, направленная на кражу банковских реквизитов клиентов KFC и McDonald’s в Саудовской Аравии, ОАЭ и Сингапуре.

Схема действий мошенников

1. Преступники используют домен, выдающий себя за Google Play Store и отображающий вредоносное браузерное приложение для Chrome.

2. При переходе по вредоносному URL-адресу и пользователь попадает на поддельную страницу Google Play с приложением «KFC Saudi Arabia 4+».

3. После установки в браузере Chrome создается ярлык для приложения. При запуске KFC Saudi Arabia 4+ открывает окно приложения Chrome, которое загружает вредоносный сайт (на данный момент не работает).

4. Второй фишинговый веб-сайт, ориентированный на клиентов KFC, выдает всплывающее окно для заполнения данных пользователя, когда жертва пытается оформить заказ.

5. Форма предлагала пользователю указать местоположение с помощью API Google Maps. Кроме того, фишинговый сайт принимал только данные платежных карт, которые удовлетворяли алгоритму Луна, чтобы гарантировать, что данные карты действительны.

6. После отправки данных карты пользователь должен был ввести одноразовый пароль, полученный по SMS. После ввода пароля жертва попадала на другой сайт, имитирующий McDonald’s.

Фишинговая кампания северокорейской группировка Lazarus использует технику атак BYOVD — bring your own vulnerable driver («принеси свой уязвимый драйвер») и злоупотребляет драйвером Dell.

С помощью заведомо уязвимых драйверов вредоносное ПО преодолевает защиту, поскольку большинство драйверов автоматически имеют доступ к ядру ОС. Таким способом хакеры развертывают Windows-руткит в системах своих жертв.

По данным исследователей, эта целевая фишинговая кампания Lazarus началась осенью 2021 года, и ее подтвержденными жертвами стали эксперт в сфере аэрокосмической отрасли в Нидерландах и политический журналист из Бельгии.

Цели получали по почте фиктивные предложения о работе, якобы от лица компании Amazon, а при открытии таких документов загружался удаленный шаблон с жестко заданного адреса. После этого происходило заражение машины жертвы с использованием вредоносных загрузчиков, дропперов и кастомных бэкдоров.

Популярный китайский YouTube-канал использовался для распространения троянизированной версии установщика браузера Tor. Исследователи назвали эту кампанию OnionPoison и сообщают, что все ее жертвы находятся в Китае.

Схема кампании

1. Жертвы OnionPoison находили видео с вредоносной ссылкой через поиск на YouTube. Ролик появлялся в первой строке поисковой выдачи по запросу «Tor浏览器» («браузер Tor» на китайском языке).
2. Описание видео содержало две ссылки: одна для перехода на официальный сайт Tor, а другая — для скачивания вредоносного установочного пакета, размещенного в китайском облачном файлообменнике. Так как оригинальный Tor запрещен в Китае, пользователям приходилось переходить в облачный сервис, чтобы скачать браузер.
3. Зараженная версия браузер сохраняла всю историю посещения сайтов и данные, вводимые в формы.
4. Одна из библиотек в пакете была заражена шпионским ПО, которое собирало персональные данные пользователей и отправляло их на управляющий сервер хакеров. Также шпионская программа предоставляла злоумышленникам контроль над зараженным компьютером, позволяя выполнять shell-команды.

5. DLL-библиотека второго этапа атака собирала следующую информацию о системе жертвы:

• GUID дискового тома операционной системы;
• GUID компьютера;
• имя компьютера;
• региональные настройки компьютера;
• имя текущего пользователя;
• MAC-адреса сетевых карт.

6. После сбора информации о системе, DLL начинает передавать сигнальные сообщения командному серверу каждые две минуты. Тело каждого сигнального сообщения содержит JSON-объект с собранной информацией. Сигнальные сообщения отправляются в виде POST-запросов по адресу https://torbrowser[.]io/metrics/heartbeat либо https://tor-browser[.]io/metrics/heartbeat.
7. Тело запроса DLL зашифровывает с помощью псевдослучайного ключа по алгоритму AES-128 (ECB), который затем зашифровывает с помощью открытого ключа RSA, указанного в конфигурации.
8. В отличие от большинства стилеров, модули OnionPoison не занимались автоматическим сбором паролей, cookie-файлов или данных кошельков пользователей. Вместо этого они воровали данные, которые позволяют узнать многое о личности жертвы: историю браузера, идентификаторы учетных записей в социальных сетях и данные сетей Wi-Fi.

ФБР предупреждает о росте мошенничества с криптовалютой под названием «Разделка свиней», в ходе которого злоумышленники крадут криптовалюту у ничего не подозревающих инвесторов.

Схема действий преступников

1. Разделка свиней ( The Pig-Butchering Scam ) — это новая афера с использованием социальной инженерии, когда мошенники связываются с жертвами («свиньями») в соцсетях и входят в доверие в процессе продолжительной переписки, предлагая дружбу или романтическое общение. Иногда мошенники выдают себя за настоящих друзей жертвы.

2. В какой-то момент переписки мошенники предлагают жертве инвестировать в криптовалюту на поддельных платформах. Как правило, на таких сервисах показаны огромные прибыли и обещания больших процентов. Главная цель этих мошеннических сайтов состоит в том, чтобы заставить жертву инвестировать постоянно растущие суммы и ничего не снимать.

3. Когда жертва пытается обналичить свои инвестиции, сайт требует, чтобы пользователь сначала заплатил подоходный налог, дополнительные сборы за обработку, международные транзакционные издержки и т. д.

4. В итоге, мошенник прекращает общение и закрывает фальшивую криптобиржу, или жертва сдается, осознав, что ее обманули. Мошенничество может длиться месяцами, когда жертва уже отдает мошенникам огромные суммы средств, от тысяч до миллионов долларов.

В схеме могут использоваться криптовалютные банкоматы. Потери жертв составляют от десятков тысяч до миллионов долларов США.

Признаки атаки The Pig-Butchering Scam:

• 🚩 С вами связывается незнакомец или человек, с которым вы давно не общались;
• 🚩 URL-адрес инвестиционной платформы не совпадает с официальным сайтом популярной биржи, но очень похож. Поддельный адрес отличается только малозаметными опечатками;
• 🚩 Загруженное инвестиционное приложение помечается антивирусом как потенциально опасное;
• 🚩 Обещанные размеры прибыли от инвестиций слишком большие.

Мобильная безопасность

Новое шпионское ПО для Android под названием RatMilad маскируется под генератор виртуальных номеров NumRent и используется для слежки и кражи данных пользователей.

После установки приложение запрашивает сомнительные разрешения, а затем использует их для загрузки вредоносной полезной нагрузки RatMilad.

После установки на устройство жертвы RatMilad крадет следующие данные:

• Основная информация об устройстве (модель, марка, buildID, версия Android);
• MAC-адрес устройства;
• Список контактов;
• СМС;
• Журналы вызовов;
• Имена учетных записей и разрешения;
• Список установленных приложений и разрешения;
• Данные буфера обмена;
• GPS-данные о местоположении;
• Информация о SIM-карте (номер, страна, IMEI, регион);
• Список файлов и их содержимое.

Украденные данные могут быть использованы для доступа к частным корпоративным системам, шантажа жертвы и других злонамеренных целей.

Атаки и уязвимости

Новый метод фишинга с использованием функции Chrome Application Mode позволяет злоумышленнику создавать фишинговые формы входа в систему, которые трудно отличить от обычной страницы входа.

Chrome Application Mode позволяет создавать веб-приложения с внешним видом рабочего стола, подходящим для ChromeOS. Режим приложения позволяет веб-сайтам запускаться в отдельном окне, в котором не отображается строка URL-адреса и панели инструментов браузера, а на панели задач Windows отображается значок веб-сайта вместо значка Chrome.

Чтобы провести атаку с использованием этого метода, злоумышленник должен сначала убедить пользователя запустить ярлык Windows, который запускает фишинговый URL-адрес с помощью функции Chromium App Mode.

Одним из наиболее часто используемых методов является отправка по электронной почте LNK ярлыков в ISO архивах для распространения QBot , BazarLoader , BumbleBee и других вредоносных программ. Кроме того, открытие браузера по фишинговому URL-адресу позволяет избежать обнаружения средствами безопасности, установленных на компьютере жертвы.

Киберпреступник также может использовать HTML-файл, внедрив параметр «-app», чтобы указать на фишинговый сайт и распространить файлы среди целей.

Инциденты

Один из самых ожидаемых релизов игровой индустрии — Overwatch 2 — не смог достойно запуститься из-за массированных DDoS-атак на серверы разработчиков.

Злоумышленники специально запустили атаку в в день выхода знаменитого проекта от Blizzard Entertainment. В результате у геймеров, которые пытались зайти на серверы, наблюдались проблемы со стабильной связью. Например, их регулярно «выбрасывало» из игры, из-за чего сам геймплей становился невыносимым.

После первого «раунда» киберпреступники решили подготовить ещё одну волну DDoS, о которой сообщил один из руководителей проекта Overwatch — Аарон Келлер. Не успевшие оклематься от первой волны серверы так и не смогли выйти из ступора ко второй волне.

Хакерская группировка Vice Society начала публиковать в сети информацию, похищенную у второго по величине школьного округа в США, LAUSD (Los Angeles Unified School District, Объединенный школьный округ Лос-Анджелеса).

Атака на LAUSD произошла в начале сентября 2022 года, и тогда представители округа сообщали, что их ИТ-системы поверглись атаке вымогателей. LAUSD насчитывает более 1400 школ и образовательных центров, в которых работает более 73 000 человек и учатся около 640 000 детей (от детского сада до 12 класса). К округу относятся как сам Лос-Анджелес, так и еще 31 муниципалитет.

На прошлой неделе власти объявили, что не намерены платить злоумышленникам выкуп, так как выплата не гарантирует восстановления данных, и государственные средства лучше потратить на самих учащихся и их образование.

После этого заявления хак-группа Vice Society, стоящая за атакой на LAUSD, начала публиковать украденные данные на своем «сайте для утечек». Также хакеры пишут, что Агентство по кибербезопасности и защите инфраструктуры США (CISA), которое помогало окружным властям справиться с атакой, лишь впустую тратило их время, поэтому пора «потратить репутацию CISA».

Хакеры заявляли, что им удалось похитить у LAUSD более 500 Гб данных. Как сообщают СМИ, хакеры уже обнародовали более 300 000 файлов, среди которых можно обнаружить данные с пометками «Секретно и конфиденциально», «Паспорт», «Инцидент».

Крупнейшая австралийская телекоммуникационная компания Telstra сообщила, что стала жертвой утечки данных.

Нарелль Девайн, директор по информационной безопасности компании в Азиатско-Тихоокеанском регионе, заявила, что «никакого взлома систем Telstra не было, и данные о счетах клиентов не были затронуты».

Согласно данным компании, взлом был совершен с помощью сторонней платформы под названием Work Life NAB, которая не используется компанией, а утечка данных, размещенных в Интернете, касалась «уже неактуальной программы поощрения сотрудников Telstra».
Telstra отметила, что ей стало известно о нарушении на прошлой неделе, а похищенная информация включала имена, фамилии и адреса электронной почты, использованные для регистрации в программе в 2017 году.

Компания не сообщила, сколько сотрудников было затронуто этой проблемой, однако в докладе агентства Reuters, со ссылкой на внутреннюю электронную почту, разосланную Telstra, приводится цифра в 30 000 человек.

Тайваньский производитель карт памяти и накопителей ADATA стал жертвой группировки RansomHouse. Хакеры утверждают, что им удалось заполучить 1 ТБ данных компании.

И хотя злоумышленники не уточняют, какая именно информация попала им в руки, сообщение на сайте RansomHouse намекает на то, что украденные данные могут быть связаны с исследованиями и разработками компании.

На данный момент ADATA не отвечает на запросы СМИ и перенаправляет пользователей на американскую версию сайта. Однако неясно, связано ли это с возможной атакой.

В открытый доступ попал частичный дамп магазина электроники «DNS» (dns-shop.ru). 🔥

Частичный дамп содержит 16 524 282 записи с данными покупателей:

• 🌵 имя/фамилия (не для всех)
• 🌵 адрес эл. почты (7,7 млн уникальных адресов)
• 🌵 телефон (11,4 млн уникальных номеров)
• 🌵 имя пользователя

Судя по информации из дампа он был получен не ранее 19.09.2022.

Группа хакеров получила файлы Министерства обороны, содержащие конфиденциальную информацию о здоровье 68-летнего президента Андреса Мануэля Лопеса Обрадора.

Сообщается, что взлом провела группа хакеров, называющих себя «Ara Camaya», а в опубликованных документах значилось, что у главы государства подагра и гипотиреоз.

Президент Мексики на пресс-конференции заявил, что опубликованная в местных СМИ информация о взломе Министерства обороны является подлинной, и подтвердил информацию о своих проблемах со здоровьем.