Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Целью недавно обнаруженной фишинговой кампании была загрузка на компьютеры сразу трех бесфайловых вредоносов для удаленного доступа: Pandora hVCN, BitRAT и AveMaria, он же Warzone RAT.

Схема кампании

1. Поддельные письма оформлены как уведомление о проведенных платежах и содержат вложение в формате .xlam с вредоносным макросом.

2. Если при открытии файла получатель проигнорирует предупреждение Microsoft Excel и разрешит запуск активного контента, на компьютер со стороннего сервера загрузится файл HTML с обфусцированным JavaScript кодом.

3. В ходе выполнения JavaScript-кода на компьютер загружается полезная нагрузка — файл mainpw.dll весом 7,58 Мбайт с PowerShell-кодом, разделенным на три сегмента. Загрузка содержимого каждого из них в оперативную память осуществляется одинаково — по методу process hollowing.

Краткая характеристика вредоносных файлов:

• Троян AveMaria умеет искать файлы на диске, похищать данные из браузеров, почтовых клиентов и менеджеров паролей, регистрировать клавиатурный ввод, загружать и запускать дополнительный файлы. С его помощью можно получить доступ к зараженному устройству по RDP, через VPN или удаленный шелл, повысить привилегии в системе, перехватить управление веб-камерой.
• Инструмент удаленного администрирования Pandora hVCN написан на C# и является коммерческим продуктом. Он обладает функциями, позволяющими похищать учетные данные из Chrome, Microsoft Edge, Firefox, Outlook, Foxmail и других популярных продуктов, а также поддерживает команды, необходимые для удаленного управления устройством — такие как запуск процесса, создание снимка экрана, имитация нажатия клавиш, перемещение курсора по экрану.
• Вредонос BitRAT активно продвигается на хакерских форумах и теневых торговых площадках. Он открывает доступ к системе по RDP и через SOCKS-прокси, крадет информацию из браузеров и буфера обмена, регистрирует клавиатурный ввод, получает доступ к веб-камере и микрофону, генерирует DDoS-атаки, загружает и запускает криптомайнер (XMRig).

В недавней кампании, ориентированной на жителей Великобритании, злоумышленник от лица службы доставки Великобритании Evri уведомлял клиентов фирмы через SMS о недоставленной посылке и предлагал перейти по фишинговой ссылке, чтобы изменить время доставки и отследить посылку.

Схема действий мошенника:

1. Официальный сайт компании находится по адресу evri.com, поэтому мошенник 29 мая зарегистрировал домен evri-xxxxxxx.com, чтобы все выглядело правдоподобно.
2. Ссылка ведет на фишинговый сайт компании Evri с формой ввода личных данных пользователя. После ввода персональных данных пользователю нужно ввести платежные данные, чтобы оплатить небольшую сумму за повторную доставку.
3. После ввода данных происходит проверка платежа, после чего фишинговый сайт незаметно переводит пользователя на главную страницу настоящего сайта компании, не проведя оплату.

Злоумышленники используют платформу анонимных блогов Telegraph для проведения фишинговых атак.

Они создают на платформе целевые фишинговые страницы или формы входа на сайт для кражи учетных данных.

В сервисах электронной почты платформа не отмечается как опасная или подозрительная, и злоумышленники пользуются этим для проведения фишинговых кампаний. Фишинговые письма приходили с украденных аккаунтов электронной почты, поэтому мошенники смогли обойти черные списки и спам-листы.

Целью фишинга являлось мошенничество с криптовалютой или кража учетных данных. В некоторых случаях злоумышленники требовали выкуп за конфиденциальность личных данных жертвы. Мошенники предлагали несколько вариантов оплаты непосредственно на платформе Telegraph.

BBC раскрыла подробности кампании с двойным мошенничеством, в результате которой продовольственный банк в Великобритании лишился 50 000 фунтов стерлингов.

Атака состояла из двух частей: Разберем обе части атаки:

1. Фальшивое сообщение от службы тестирования и отслеживания Национальной службы здравоохранения Англии. Жертве отправляется SMS-сообщение, с предупреждением о том, что она находилась в тесном контакте с человеком, у которого был положительный результат теста на COVID-19. В сообщении мошенники просили оплатить ПЦР. Когда-то требование оплаты могло быть тревожным сигналом, но не с тех пор, как в Великобритании закончилось бесплатное тестирование. Платеж жертвы использовался как ступенька к более серьезной атаке.
2. Звонок из фальшивого банка. Второй частью атаки стал звонок злоумышленников попечителям продовольственного банка. Выяснив данные карты в ходе первой атаки, мошенники сумели выяснить, какому банку она принадлежит. Специалисты предполагают, что злоумышленники получили нужную информацию по первым 4-6 цифрам банковского идентификационного номера. Вооружившись этой информацией, злоумышленники узнали, за какой банк им нужно себя выдавать. Заботясь о возврате продуктов, жертвы передали данные банковского счета. Мошенники два дня опустошали счет в банке и украли более 63 000 долларов.

Телефонные мошенники стали использовать в качестве подмены номера при звонках жертвам телефоны обычных граждан.

Уязвимость сетей сотовой связи позволяет подменять CallerID, проще говоря, номер звонящего абонента. Мошенники используют этот трюк, чтобы не попасть в черные списки спамеров. Они набрать номер из случайных цифр или выбрать любой из «утекшей» базы данных. Технически можно звонить даже с несуществующих номеров.

В итоге виновным в мошенничестве будет считаться абонент, номер которого использовали для вымогательства. Ему самому придется доказывать свою непричастность к преступлению.

«Если такая мошенническая атака будет успешна, то пострадавший, надзор и правоохранители будут предъявлять претензии к абоненту, с номера которого поступали звонки», — подтверждают эксперты.

Если пострадавший от звонка мошенников напишет заявление в полицию, номер попадает в «черные списки». Банк России в мае отчитался о блокировке 90 тыс. мошеннических номеров, но неизвестно, сколько среди них честных абонентов.

Детализация звонков станет доказательством невиновности и подтвердить, что абонент сам стал жертвой мошенников, однако процедура «вычеркивания» из черных списков пока не утверждена.

Застраховаться от подобной ситуации практически невозможно, поскольку мошенники могут набрать номер произвольно или взять из любой доступной базы.

Атаки и уязвимости

В компоненте Поиск Windows (Windows Search) обнаружена новая уязвимость нулевого дня, которая позволяет злоумышленники открыть окно, содержащее хранящиеся удалённо исполняемые файлы вредоносных программ.

Проблема кроется в обработке URI-протокола “search-ms“, который позволяет приложениям и HTML-ссылкам запускать настраиваемый поиск на устройстве. Чаще всего поисковые запросы ищут файлы на устройстве, однако Поиск Windows можно заставить обратиться к файловым ресурсам на удалённых хостах. Для этого применяются настраиваемые заголовки.

Злоумышленники могут воспользоваться этим для вредоносных атак с помощью фишинговых писем, замаскированных под обновления безопасности. Они могут настроить удаленный общий ресурс Windows для хостинга вредоносного ПО, замаскированного под обновления безопасности, а затем добавить search-ms URI в фишинговое вложение или письмо.

Однако заставить пользователя нажать на подобную URL-ссылку не так-то просто, поскольку при попытке это сделать появится предупреждение.

В Microsoft Office обнаружена уязвимость нулевого дня, получившую имя Folinia. Её можно использовать через обычное открытие документа Word, применяя его для выполнения вредоносных команд PowerShell через Microsoft Diagnostic Tool (MSDT).

Folinia открывает новый вектор атак с использованием Microsoft Office, поскольку работает без повышенных привилегий, позволяет обойти Windows Defender и не требует активации макросов для выполнения двоичных файлов или сценариев.

Первые атаки с использованием уязвимости начались еще в апреле 2022 года, и в качестве приманок для своих жертв хакеры использовали фальшивые приглашения на интервью и сексуальное вымогательство.

ИБ-специалисты изучили найденный вредоносный документ и успешно воспроизвели проблему на Office 2013, 2016, Office Pro Plus апрельской версии и версии Office 2021 со всеми патчами.

Исследователи продемонстрировали атаку GhostTouch — «первую бесконтактную атаку на емкостные сенсорные экраны».

GhostTouch использует электромагнитные помехи, чтобы «касаться» экрана без реального физического прикосновения к нему. Для имитации касаний и свайпов используются электромагнитные сигналы. Это позволяет дистанционно управлять целевым устройством.

Атака работает на расстоянии до 40 мм от цели и основывается на том факте, что емкостные сенсорные экраны чувствительны к электромагнитным помехам.

Исследователи использовали электростатическую установку и усилитель для генерации сильного импульсного сигнала, который затем передавался на антенну и создавал электромагнитное поле на сенсорном экране устройства, тем самым заставляя электроды, которые сами действуют как антенны, улавливать электромагнитные помехи.

Видео: атака GhostTouch для ответа на звонок.

Такие атаки могут использоваться для разблокировки телефона, подключения к вредоносной сети Wi-Fi, скрытых нажатий на вредоносные ссылки, ответов на телефонные звонки на устройстве жертвы.

В кафе, библиотеках или конференц-залах люди могут класть свой смартфон лицевой стороной на стол. Злоумышленник может встроить атакующее оборудование под стол и запускать атаки удаленно.

Для атак GhostTouch оказались уязвимы многие популярные модели смартфонов: Galaxy A10s, Huawei P30 Lite, Honor View 10, Galaxy S20 FE 5G, Nexus 5X, Redmi Note 9S, Nokia 7.2, Redmi 8 и iPhone SE 2020 года.

Новая атака позволяет злоумышленникам захватить чужую учетную запись в WhatsApp, получив доступ к личным сообщениям и списку контактов.

Для атаки требуется всего несколько минут, номер телефона жертвы и немного социальной инженерии.

Схема атаки

1. Злоумышленнику нужно убедить жертву позвонить на номер, который начинается с MMI-кода, который оператор связи использует для активации переадресации вызовов. В зависимости от оператора, код MMI может включить перенаправление всех вызовов на другой номер или лишь в тех случаях, когда линия занята или абонент недоступен. Как правило, такие коды начинаются со звездочки (*) или решетки (#), и их поддерживают все основные операторы связи.
2. Когда злоумышленник убедил жертву переадресовывать звонки на свой номер, он запускает процесс регистрации WhatsApp на своем устройстве, выбирая вариант получения одноразового кода с помощью голосового вызова.
3. Получив код, хакер может зарегистрировать учетную запись WhatsApp жертвы на своем устройстве и включить двухфакторную аутентификацию, которая не позволит настоящему владельцу аккаунта восстановить доступ.
4. Во время атаки на целевое устройство будут приходить текстовые сообщения, информирующие о регистрации WhatsApp на другом устройстве. Но пользователь может не придать этому значения, если злоумышленник прибегнет к социальной инженерии и вовлечет жертву в телефонный разговор, пока получает одноразовый пароль от мессенджера.

Для защиты от атак такого типа достаточно включить двухфакторную аутентификацию в WhatsApp.

Инциденты

В открытый доступ выложена часть базы данных образовательного портала «GeekBrains» (gb.ru).

Источник утверждает, что полная база данных содержит 6 млн строк, но в выложенном образце всего 105,798 строк, содержащих:

🌵 имя
🌵 адрес эл. почты (86,8 тыс. уникальных)
🌵 телефон (84,5 тыс. уникальных)

Проверка случайных записей из этой базы через функцию восстановления пароля на сайте gb.ru показывает, что логины из этих записей — действительные. 😭

В публичном хранилище Amazon S3 обнаружена база данных турецкого лоукостера Pegasus Airlines, которая содержит личную информацию членов экипажа вместе с исходным кодом и данными о полетах.

Всего в хранилище находилось около 23 млн файлов объемом 6,5 ТБ. Более трех миллионов файлов содержали конфиденциальные данные о полетах:

• схемы и ревизии полетов;
• страховые документы;
• подробную информацию о проблемах, обнаруженных в ходе предполетных проверок;
  информацию о сменах экипажа.

Более 1,6 млн файлов содержали персональную информацию об экипажах самолетов, включая фотографии и подписи. В архиве также был найден исходный код ПО EFB компании, а также секретные ключи и пароли к нему.

EFB — это инструменты управления информацией, предназначенные для оптимизации производительности труда экипажа авиакомпании путем предоставления необходимых справочных материалов на время полета.

Используя данные утечки, злоумышленники могли получить доступ к очень важной информации, подделать конфиденциальные данные о полетах и секретные файлы, с помощью паролей и секретных ключей, найденных хранилище.

Вымогатели LockBit 2.0 успешно атаковали завод Foxconn в Мексике и угрожают выложить украденную информацию в сеть 11 июня.

Атакованный завод Foxconn расположен в Тихуане и считается критически важным центром поставок электроники для американского штата Калифорния.

Компания Foxconn заверила, что воздействие на ее общую деятельность будет минимальным, а восстановление будет проходить в соответствии с заранее разработанным планом. Фабрика постепенно возвращается к нормальной работе. Перебои в работе предприятия будут устранены путем корректировки производственных мощностей. Атака окажет незначительное влияние на общую деятельность компании.

Хакерская группировка Hive провела атаку на системы государственного управления Коста-Рики, которая привела к отключению IT-инфраструктуры здравоохранения и усложнила медицинское обслуживание тысяч людей.

По данным правительства, 30 из 1500 серверов управления социального обеспечения (Social Security Agency, SSA) были заражены программами-вымогателями.

За расшифровку систем вымогатели требуют 5 млн долларов США в биткоинах.

Вымогатели BlackCat/ALPHV атаковали австрийскую федеральную землю Каринтия и заблокировали тысячи рабочих станций, вызвав перебои в работе государственных служб.

Сайт и служба электронной почты Каринтии временно не работают. Правительство не может выдавать новые паспорта и штрафовать за нарушение правил дорожного движения. Кроме того, атака BlackCat не дала завершить COVID-тестирование в регионе.

За разблокировку компьютерных систем вымогатели требуют 5 млн долларов США.

Представитель государства Герд Курат заявил, что требования злоумышленников не будут выполнены. По его словам, в настоящее время нет доказательств похищения каких-либо данных из государственных систем. Курат добавил, что сейчас целью государственных специалистов является восстановление рабочих станций с помощью резервных копий.

Неизвестный хакер получил доступ к базе данных компании Verizon, содержащей полные имена, адреса электронной почты, корпоративные ID и номера телефонов сотен сотрудников.

Издание Vice Motherboard сообщает, что на прошлой неделе с редакцией связался анонимный хакер, который заявил, что скомпрометировал Verizon. Он утверждал, что получил доступ к вышеупомянутым данным, обманом убедив сотрудника предоставить ему удаленный доступ к своему корпоративному компьютеру. После этого злоумышленник смог воспользоваться внутренним инструментом Verizon, который показывает информацию о сотрудниках, и написал скрипт для сбора информации из базы данных.

Злоумышленник заявил, что хотел бы получить от Verizon вознаграждение в размере 250 000 долларов США за проведенную им «проверку безопасности».

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Мошенники выдают себя за жертв физического насилия в приложениях для знакомств по типу Tinder и Grindr, тем самым завоевывая доверие пользователей, и заманивают их на поддельные сервисы с платной регистрацией и подпиской на «услуги».

Схема кампании

1. Мошенники регистрируют в приложении поддельного пользователя с привлекательным фото. В ходе переписки с потенциальной «парой» этот пользователь рассказывает душещипательную историю о том, как бывший партнер избивал ее/его, и в качестве подтверждений присылает жуткие фотографии.

2. Якобы для того, чтобы убедиться, что потенциальная пассия также не является абьюзером, «жертва насилия» просит зайти на сайт GDAH (Gender Discrimination and Harassment Safety Global) и подтвердить свои данные.

3. Сайт представляет собой лендинговую страницу с кнопками «Регистрация» и «Вход». В процессе регистрации страница запрашивает данные банковской карты и просит заплатить 1,99 доллара США за регистрацию.

4. Сайт декларирует, что на нем можно ввести имя интересующего человека, и сервис проверит его наличие в известных официальных базах данных насильников. Так это или нет, неизвестно, поскольку, прежде чем воспользоваться сервисом, нужно заплатить за регистрацию.

Мошенники используют фейковые видео с Илоном Маском и других известными сторонниками криптовалюты для рекламы платформы BitVex, которая ворует депонированные средства.

Эта мошенническая криптовалютная платформа заявляет, что принадлежит Илону Маску, который якобы создал сайт, где каждый может получать до 30% прибыли от своих криптовалютных депозитов.

Кампания по раскрутке BitVex началась ранее в этом месяце: злоумышленники создавали новые или взламывали существующие аккаунты на YouTube и размещали поддельные видео с Илоном Маском, Кэти Вуд, Брэдом Гарлингхаусом, Майклом Сэйлором и Чарльзом Хоскинсоном. Журналисты говорят, что десятки YouTube-каналов были взломаны для продвижения этой аферы.

В таких роликах знаменитости якобы дают интервью и рассказывают про BitVex, но на самом деле эти видео модифицированы. Это дипфейки, где голос человека подделан и наложен на видеоряд, взятый из других источников.

Видео: Фальшивый Маск рекламирует мошеннический сайт и говорит, что вложил в платформу 50 млн долларов.

Посетителям предлагают зарегистрировать на BitVex (bitvex[.]org или bitvex[.]net) учетную запись для доступа к платформе. После входа в систему на сайте отобразится панель инструментов, где можно вносить на счет различные криптовалюты, выбрать инвестиционный план или вывести средства.

На панели инструментов будут отображаться недавние снятия различных криптовалют, чтобы сайт выглядел законным, как показано ниже. На самом деле эти цифры генерируются с помощью JavaScript, случайным образом выбирая сумму и одну из пяти криптовалют (Cardano, Ethereum, Bitcoin, Ripple или Binance Coin). При каждом обновлении страницы такие «выводы» будут разными.

Обнаружена новая вредоносная кампания на основе PDF-файлов с необычной цепочкой заражения.

Схема кампании

1. Мошенники рассылали письма с обещанием оплаты получателю. Письма содержали PDF-файл «Счет-фактура».

2. При открытии PDF-файла Adobe Reader предлагал пользователю открыть содержащийся внутри DOCX-файл, что уже необычно и может запутать жертву. Преступники назвали вложенный документ «проверенным», поэтому в окне «Открыть файл» говорится: «Файл был проверен». Это сообщение может заставить получателя поверить в подлинность и безопасность файла.

3. Если пользователь откроет DOCX в Microsoft Word и разрешит макросы, с удаленного ресурса загрузится и откроется RTF-файл.

4. RTF-документ называется «f_document_shp.doc» и содержит искаженные OLE-объекты, которые не поддаются анализу. По словам экспертов, кампания пытается использовать старую уязвимость Microsoft Equation Editor (CVE-2017-11882) для запуска произвольного кода.

5. Шеллкод в RTF с помощью этой уязвимости загружает и запускает Snake Keylogger, модульный инструмент для кражи личных данных с высокой устойчивостью и уклонением от защиты.

Атаки и уязвимости

В Zoom обнаружены несколько уязвимостей, которые могли использоваться для компрометации других пользователей путём отправки специально созданных XMPP-сообщений без взаимодействия с жертвой.

Уязвимости, набравшие от 5,9 до 8,1 балла по шкале CVSS, были обнаружены в феврале 2022 года и объединены под общим названием «XMPP Stanza Smuggling»:

• CVE-2022-22784 (CVSS: 8,1) — некорректный парсинг XML в клиенте Zoom для конференций;
• CVE-2022-22785 (CVSS: 5,9) — некорректное ограничение cookie сессий в клиенте Zoom для конференций;
• CVE-2022-22786 (CVSS: 7,5) — даунгрейд пакета обновлений в Windows-клиенте Zoom для конференций;
• CVE-2022-22787 (CVSS: 5,9) — недостаточная проверка имени хоста во время переключения сервера в клиенте Zoom для конференций.

Использование этих проблем позволяло вынудить уязвимый клиент замаскировать пользователя Zoom, подключиться к вредоносному серверу и даже загрузить вредоносное обновление, что в итоге позволяло выполнить произвольный код.

Расширение Screencastify для Chrome, предназначенное для захвата и обмена видео с сайтов, содержит уязвимость межсайтового скриптинга (XSS), позволяющую произвольным сайтам заставлять пользователей непреднамеренно включать свои камеры.

Расширение предоставляет screencastify.com достаточно привилегий для записи видео через web-камеру пользователя и получения результата. Никакого взаимодействия с пользователем не требуется, а видимые индикаторы происходящего практически отсутствуют. Можно даже скрыть свои следы. Для этого достаточно удалить видео с Google Диска и использовать другое сообщение для закрытия вкладки с расширением после завершения записи.

Неисправленная уязвимость в PayPal обманом заставляет пользователей совершать транзакции злоумышленников в один клик.

Такой вид атаки называется кликджекингом и использует невидимую оверлейную страницу или HTML-элемент, отображаемый поверх видимой страницы. Кликнув на легитимную страницу, пользователи на самом деле нажимали на контролируемый злоумышленниками невидимый элемент.

Уязвимость обнаружена в конечной точке « http://www.paypal[.]com/agreements/approve" ;, которая предназначена для соглашений о списании средств без распоряжения владельца. Конечная точка должна принимать только billingAgreementToken, но оказалось, что ей можно передавать токены другого типа и с помощью этого красть деньги со PayPal-счета жертвы. Таким образом, злоумышленник может загрузить чувствительную к атаке конечную точку paypal.com в Iframe, а когда жертва кликнет на любое место на странице, деньги будут отправлены на счет злоумышленника.

Уязвимость также может быть использована для пополнения баланса или оплаты подписки на сервисы, принимающие платежи PayPal.

Инциденты

General Motors сообщила, что в прошлом месяце стала жертвой хакерской атаки типа credential stuffing.

В результате была раскрыта информация о некоторых клиентах. Кроме того, хакеры сумели обменять чужие бонусные баллы на подарочные карты.
Злоумышленники предположительно получили доступ к следующей информации автовладельцев:

• имени и фамилии;
• адресу электронной почты;
• почтовому адресу;
• имени пользователя и номеру телефона для зарегистрированных членов семьи, связанных с аккаунтом;
• последнюю известную и сохраненную информацию о местоположениях;
• данным о пакете подписки OnStar (если активно);
• аватарам и фотографиям членов семьи (если загружены);
• изображению профиля;
• информации о поиске и местах назначения.

Также хакеры могли узнать историю пробега автомобиля, историю его обслуживания, информацию об экстренных контактах, настройки точки доступа Wi-Fi (включая пароли) и многое другое. В компании подчеркивают, что учетные записи, к счастью, не содержат дату рождения, номер социального страхования, номер водительского удостоверения, информацию о банковской карте или счете.

Неизвестные злоумышленники скомпрометировали учетную запись в Twitter, принадлежащую известному цифровому художнику и автору NFT Beeple (настоящее имя Майк Винкельманн).

Beeple знаменит тем, что в 2021 году продал через аукционный дом Christie’s NFT-произведение «Everydays: The First 5000 Days» по рекордной цене 69,3 млн долларов США.

Пока учетная запись Beeple находилась под контролем злоумышленников, хакеры объявили о внеплановом минтинге для коллекции в сотрудничестве с домом моды Louis Vuitton, а также о «дополнительном» арте, который Beeple якобы не публиковал ранее.

В итоге мошенники успели собрать около 270 000 долларов США в ETH и похитили 45 NFT на сумму около 165 000 долларов США.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Group-IB предупреждает о новых мошеннических схемах для кражи денег, данных банковских карт и учетных записей Apple под предлогом оплаты и использования сервисов Apple Store, Apple Pay и iTunes.

В качестве наживки мошенники используют прекращение работы в России системы бесконтактных платежей Apple Pay и сложности с оплатой в сервисах Apple Store и iTunes.

Например, в одной из схем они предлагают пользователям пополнить счет в Apple Store и iTunes с помощью специальных виртуальных карт на суммы в 1000 рублей, 2500 рублей, 5 000 рублей, 5 500 рублей и 6 000 рублей.

Владельцы этого «сервиса» уверяют, что карты App Store & iTunes Gift Card дают возможность пополнить счет аккаунта и приобрести «любой виртуальный контент в абсолютно всех цифровых магазинах Apple в России»: приложения и игры в App Store, музыку и фильмы в iTunes Store, книги в iBook Store. Якобы для совершения покупки кода необходимо ввести лишь электронную почту, а при оплате — данные банковской карты. Однако, поскольку форма оплаты является фишинговой, все данные и деньги попадут в карман злоумышленников.

В другом случае мошенники предлагают владельцам iPhone вернуть возможность расплачиваться за товары и услуги с помощью Apple Pay. Для этого жертве отправляют фишинговую ссылку на «сервис iCloud» и, если пользователь ввел на фальшивом ресурсе данные Apple ID, преступники могут получить доступ к iCloud, App Store, Apple Music, iMessage, FaceTime.

Третья схема ориентирована на людей, по какой-либо причине лишившихся «яблочного смартфона». Мошенники отправляют им SMS или сообщения в мессенджере от имени «техподдержки Apple Inc» или «сервиса iCloud». Как правило, в таком сообщении говорится, что iPhone был включен и «локатор» обнаружил его местонахождение.

Ссылка ведет на фишинговый ресурс, замаскированный под официальное приложение Find My iPhone, которое позволяет найти местоположение пропавшего телефона или удаленно стереть всю важную информацию. Хотя сообщение выглядит правдоподобно, URL-адрес не соответствует сайту компании: icloud.com и фейковый icioud.com.

Для просмотра данных о геолокации владельцу украденного смартфона якобы необходимо ввести идентификатор Apple ID, а если он это сделает, злоумышленники получат доступ к облачным сервисам Apple, в том числе к фото, документам, сообщениям жертвы.

Если жертва не реагирует на SMS-сообщения, с ней попробуют связаться через мессенджеры, от имени бота техподдержки Apple и также пытаются обманом выманить код для разблокировки устройства.

За два года эксперты CERT-GIB обнаружили в зоне RU 5283 фишинговых доменов, нацеленных на российских пользователей, а всего в мире — не менее 176 000 потенциально вредоносных доменов.

Мобильная безопасность

Разработано вредоносное ПО для iPhone, которое может работать даже на выключенном устройстве.

В смартфонах Apple применяются технологии Bluetooth, NFC и Ultra Wide Band (UWB), которые позволяют устройству обмениваться данными даже в выключенном состоянии и вне операционной системы с использованием режима низкого энергопотребления (low-power mode, LPM).

В частности, работа UWB позволяет владельцам смартфонов определять местоположение потерянных или украденных iPhone.

Потенциальный злоумышленник может модифицировать прошивку устройства и использовать LPM для запуска вредоносного ПО.

Атаки и уязвимости

Новая разновидность relay-атак с помощью Bluetooth Low Energy (BLE) позволяет обойти все существующие средства защиты и аутентификации на целевых устройствах.

BLE используется во многих продуктах, от электроники (ноутбуки, мобильные телефоны, умные замки, системы контроля доступа), до автомобилей, включая Tesla Model 3 и Model Y.

Такой тип атак подразумевает, что злоумышленник может перехватывать и манипулировать связью между двумя сторонами, например, между брелоком для авто и самим транспортным средством.

Продукты, которые полагаются на BLE для аутентификации на основе близости, защищены от известных методов relay-атак благодаря проверкам точного количества задержек (latency), а также шифрованию на уровне канала. Новый инструмент для атак работает на канальном уровне с задержкой 8 мс, что находится в пределах допустимого диапазона 30 мс для ответа GATT (Generic ATTtribute Profile).

Для запуска подобной атаки требуется около 10 секунд, и ее можно повторять бесконечно. Так как Tesla Model 3 и Model Y используют систему входа на основе BLE, предложенный экспертами метод может использоваться для разблокировки и запуска этих автомобилей.

Исследователи рассказывают, что они протестировали свой метод на Tesla Model 3 2020 года с использованием iPhone 13 mini и приложением Tesla версии 4.6.1-891. Атака показала успешную разблокировку и управление автомобилем, когда iPhone находился за пределами зоны действия BLE. Так, в ходе эксперимента удалось связать автомобиль с iPhone через два ретранслятора, один из которых находился в семи метрах от телефона, а другой — в трех метрах от автомобиля. Общее расстояние между телефоном и автомобилем составило 25 метров.

Исследователи уведомили о результатах своих изысканий инженеров Tesla, но им ответили, что «relay-атаки являются известным недостатком систем пассивного входа».

Инциденты

Бразильская компания Americanas.com сообщил о многомиллионном ущербе от кибератак группировки Lapsus$.

Americanas потеряла 923 млн бразильских долларов (183 млн долларов США) из-за двух кибератак19-20 февраля, заморозивших ее коммерческие операции. Физические магазины продолжали работать, а логистическое подразделение доставляло заказы, сделанные после инцидентов.

Операции начали постепенно возобновляться с 23 февраля, а уже 24 восстановились полностью. По словам компании, никакого другого ущерба, помимо остановки online-сервисов, зафиксировано не было.

Кибервымогательская группировка Conti угрожает свергнуть новое правительство Коста-Рики за неуплату выкупа.

Conti терроризирует Коста-Рику с апреля 2022 года, атакуя министерства, фонды, институты и электроэнергетические компании . В мае ситуация стала критической, и правительство страны ввело чрезвычайное положение.

Изначально за ключ для восстановления зашифрованных файлов хакеры требовали 10 млн долларов США. Однако на прошлых выходных они опубликовали на своем сайте утечек два сообщения, увеличив сумму выкупа, которую должна заплатить Коста-Рика, до 20 млн долларов США и пригрозив свергнуть правительство нового президента Родриго Чавеса.

К настоящему времени из 670 ГБ похищенных у страны данных Conti уже опубликовала 97%.

С момента начала кибератак прошло уже более трех недель, но Коста-Рика все еще не может оправиться, в основном из-за ущерба, причиненного системам Министерства финансов. На прошлой неделе правительству пришлось уведомить своих граждан о необходимости подсчитывать налоги вручную и платить лично в местных банках, поскольку цифровая система вышла из строя.

Машиностроительный гигант Parker Hannifin сообщил, что личные данные сотрудников и их родственников могли быть скомпрометированы после взлома сетей компании.

Взломанные системы были отключены 14 марта 2022 года после обнаружения инцидента. В ходе расследования было установлено, что неизвестные получили доступ к ИТ-системам Parker Hannifin в период с 11 по 14 марта. 12 мая компания начала уведомлять потенциальных жертв утечки, среди которых нынешние и бывшие сотрудники, их родственники и члены групповых планов медицинского обслуживания Parker.

Parker Hannifin заявила, что утечка данных включает в себя имена людей в сочетании с одним или несколькими номерами социального страхования, даты рождения, домашние адреса, а также номера водительских прав, паспортов США, банковских счетов и маршрутные номера, учетные данные для входа в Интернет и идентификационные номера членов плана медицинского страхования.

На сайт с картой утекших данных пользователей «Яндекс.Еды» добавлены данные утечек СДЭКа, Avito, Wildberries, «Билайна», ВТБ, Pikabu, ГИБДД и других источников.

Среди информации, которую предоставляет сайт — адреса, номера телефонов, VIN-номера автомобилей, суммы заказов и другие данные пользователей сервисов.

После обновления на сайте появились списки публичных людей и объединенная информация по ним. Forbes отмечает, что в эти списки попали номера телефонов и адреса Ксении Собчак, Петра Дерипаски (сына бизнесмена Олега Дерипаски) и еще около 30 человек.