Представляем новости об актуальных технологиях фишинга и других атаках на человека c 3 по 9 июля 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Противодействие дипфейкам

Разработан алгоритм защиты изображения от использования в качестве основы дипфейков.

Алгоритм накладывает на изображение или видео невидимый фильтр, и если кто-то попытается использовать нейронную сеть для модификации этих файлов, они либо останутся без изменений, либо станут полностью искаженными, поскольку фильтр изменяет пиксели таким образом, что видео и изображения становятся непригодными для изготовления дипфейков.

Видео: демонстрация работы алгоритма

Умные устройства

Выяснилось, что пассивное отслеживание трафика IP-камеры видеонаблюдения позволяет злоумышленникам получить конфиденциальную информацию о владельце устройства.

С помощью мониторинга трафика камер видеонаблюдения можно даже установить, находится ли кто-то дома. Используя относительно простые программные средства, злоумышленник может определять, когда камера загружает движение в доме, и отличать один тип движения от другого, например, сидение от бега. Для этого не придётся изучать сам видеоконтент, достаточно лишь зафиксировать частоту, с которой камера загружает видео через интернет.

Уязвимости и атаки

Уязвимость на сайте интернет-провайдера Дом.ру даёт посторонним доступ в личный кабинет, позволяя похитить конфиденциальную информацию.

Страница с рекламой Дом.ру

Описание уязвимости

1. Интернет-провайдер Дом.ru перехватывает http-трафик пользователя и, время от времени, переадресует его на свою рекламную страницу вместо целевой.
2. В теле рекламной страницы содержится ссылка для настройки или отписки от рекламных уведомлений, которая ведет на личный кабинет пользователя.
3. Эта ссылка открывает полный доступ к личному кабинету пользователя без ввода логина и пароля и позволяет делать это из любой точки мира.
4. При переходе по ссылке открывается полный доступ к личному кабинету

Личный кабинет абонента Дом.ру

Среди данных, к которым потенциально может получить доступ злоумышленник:

• ФИО полностью
• Адрес проживания с точностью до квартиры
• Полный номер банковской карты, если карта была добавлена в кабинет, маскированный всего двумя звездочками
• Маскированный четырьмя звездочками номер телефона, который легко привязать к существующей базе телефонов по городу, имени
• Баланс счета клиента
• Телевизионные предпочтения владельца личного кабинета — пакеты каналов и дополнительных услуг.

Разработан способ точного определения местонахождения операторов беспилотных летательных аппаратов путём анализа путей их полёта с помощью нейросети.

Обычный способ определения расположения операторов беспилотников предполагает использование радиочастотных методов, использующих множество датчиков вокруг зоны полета. Данные, полученные с датчиков затем обрабатывают и с помощью триангуляции устанавливают, где находится оператор. Однако эта задача чрезвычайно сложно решаема из-за множества других сигналов Wi-Fi, Bluetooth и IoT-устройств в воздухе, которые искажают сигналы дронов.

Однако анализ траекторий полёта дронов выявил, что поведение беспилотника в воздухе различается в зависимости от того, каким образом оператор наблюдает за ним — как внешний наблюдатель или через встроенную камеру. В результате обучения нейросеть смогла определять местоположение оператора с точностью 78%.

Инциденты

Киберпреступники использовали защищенный файлообменный сервис Firefox Send для хранения и распространения вредоносного ПО.

Сервис был запущен в марте 2019 года и позволял безопасно хранить и обмениваться файлами, которые хранились на портале send.firefox.com в зашифрованном виде, причём пользователи могли устанавливать период хранения и количество разрешенных загрузок перед их исчезновением. Эти возможности привлекли операторов вредоносного ПО, которые стали использовать Firefox Send для хранения вредоносного ПО, ссылка на которое рассылалась в фишинговых письмах.

Количество вредоносного ПО, загружаемого с сервиса, стало настолько большим, что компания закрыла его.

Специализирующаяся на атаках с компрометацией деловой переписки группировка Cosmic Lynx провела в 2019 году более 200 BEC-атак, направленных на кражу денег у крупных компаний в 46 странах мира.

Пример фишингового письма Cosmic Lynx

• Участники Cosmic Lynx маскируются под руководителей фиктивной азиатской фирмы, якобы предлагающей юридические консультации по вопросам приобретения и слияния компаний.
• В письмах злоумышленники эксплуатируют тему пандемии COVID-19, предлагая жертве «посмотреть за пределы кризиса» и купить активы проблемных компаний по выгодной цене.
• Если преступникам удается выманить деньги у жертвы, средства отправляются на счета в Гонконге, Венгрии, Португалии и Румынии, где их выводят из банков «денежные мулы» —  люди, которые получают деньги на свой банковский счет, а затем либо переводит деньги по назначению, либо снимают и передают преступникам наличные.

Бразильская электроэнергетическая компания Light S.A. стала жертвой вымогателя Sodinokibi (REvil), операторы которого потребовали выкуп в размере 14 млн долларов США.

Компания подтвердила факт кибератаки, однако не представила никаких подробностей. Анализ образца вредоносного ПО позволил выяснить данные о его операторах, идентификатор вредоносной кампании и адрес сайта, через который жертвы должны получить дальнейшие инструкции. По информации на этой странице до 19 июня жертва должна была заплатить вымогателям 106 870,19 XMR (Monero) — сумму, эквивалентную 14 млн долларов США.

Вредоносное ПО

Новое вымогательское ПО Avaddon загружается на атакуемую систему с помощью макросов Excel 4.0.

• Для распространения Avaddon использует фишинговые письма от Инспекции по защите труда, адресованные представителям малого бизнеса.
• В теме письма указано, что адресата ожидают штрафы и судебные иски за нарушения ограничительных норм для работников во время карантина.
• К письму приложен ZIP-архив с названием «Официальное уведомление».
• Внутри архива находится документ Excel 4.0 с макросами, до сих пор совместимыми с современным ПО, где вместо них уже используется код VBA.
• После запуска макросы загружали Avaddon непосредственно на систему без использования загрузчика-посредника.
• Получив управление, вредонос шифровал все файлы с использование сильной криптографии и требует выкуп.

Вымогатель Snake (EKANS) атакует промышленные системы управления, похищает и шифрует информацию, а затем требует от компаний выкуп. Недавно от атаки этого шифровальщика пострадала компания Honda.

Особенность Snake состоит в том, что он тщательно готовит почву для своей работы, не полагаясь на случайности:

• удаляет запущенные процессы из заранее подготовленного списка, включая процессы, связанные с ICS,
• изолирует зараженные машины, добавляя с помощью netsh блокировку нежелательных подключений в правила брандмауэра Windows, чтобы никто не помешал процессу шифрования файлов.
• перед началом шифрования удаляет теневые копии, чтобы максимально затруднить восстановление данных.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 26 июня по 2 июля 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошенничество

Авторы кампании против владельцев сайтов используют в качестве приманки DNSSec — расширение протокола DNS, позволяющее с помощью криптографической защиты минимизировать риск атак, связанных с подменой DNS-адреса.

1. Владелец сайта получает письмо, в котором сообщается, что его ресурса имеется обновление, позволяющее защитить его с помощью DNSSec. В письме содержится ссылка, по которой можно загрузить обновление.

2. После перехода по ссылке жертва попадает на фишинговый сайт, который брендируется в зависимости от хостинг-провайдера:

3. Фишинговая страница убедительна, на ней даже работает кнопка «Помощь»

4. Если ввести логин и пароль для доступа в админку своего сайта, данные будут направлены преступникам, а жертве продемонстрируют имитацию процесса обновления, после чего переадресуют её на страницу с сообщением 404 Not found.

Мобильная безопасность

Новая версия Android-вредоноса FakeSpy распространяется с помощью фишинговых SMS-сообщений.

1. Фишинговое сообщение маскируется под обычное уведомление о доставке от локальной почтовой службы и содержит ссылку, по которой пользователь должен перейти, чтобы узнать подробности:

2. Перейдя по ссылке, пользователь попадает на фишинговый сайт, который предлагает ему загрузить APK-файл с приложением.

3. Если жертва скачивает и устанавливает файл, получивший управление FakeSpy похищает и передаёт преступникам её банковские реквизиты, персональные данные и личную переписку в мессенджерах.

4. Чтобы создать доверие, вредонос маскируется под цвета и оформление локальных почтовых служб в соответствии со страной пребывания пользователя.

Из официального магазина Google Play удалено 25 вредоносных приложений, похищавших учётные данные пользователей Facebook.

Приложения были созданы одной группой разработчиков и имели довольно разнообразную «официальную» функциональность: шагомеры, графические редакторы, видеоредакторы, обои, фонарики, файловые менеджеры и мобильные игры, однако все они содержали код, который определял, какое приложение запустил пользователь. Если обнаруживалось, что это Facebook, приложение накладывала фальшивую страницу входа в социальную сеть поверх реального приложения Facebook.

Если жертва не замечала подлога и вводила учётные данные, вредонос пересылал их сервер преступников, размещённый на домене airshop[.]pw.

Сайты

В рамках новой вредоносной кампании киберпреступники внедряли код для хищения данных банковских карт в EXIF-метаданные значков сайтов (favicon) и загружали его на страницы скомпрометированных интернет-магазинов.

Вредоносный скрипт внедрялся внутри поля Copyright EXIF-метаданных файла favicon.ico:

Скиммер похищал содержимое полей ввода, включая имена пользователей, платежный адрес, данные кредитных карт и пр. Похищенная информация кодировалась в Base64, а затем преобразовывалась в изображение и отправлялась на сервер преступников.

Уязвимости и атаки

Обнаруженные в macOS уязвимости позволяют обходить механизм защиты конфиденциальности TCC (Transparency, Consent and Control), блокирующий неавторизованным приложениям доступ к системным файлам.

Система TCC запрашивает разрешение пользователя на доступ к фотографиям для Adobe Lightroom

Из-за ошибок в реализации защиты вредоносное ПО, например, может получить доступ к файлам в ~/Library/Safari, обычно доступным только для Safari, Finder и приложений, которым были даны специальные разрешения. Для этого нужно создать копию приложения в другом месте на диске, а затем изменить двоичные ресурсы копии. При этом у копии будут такие же права доступа к файлам, что и у исходного приложения, хотя внутри будет содержаться совершенно другой исполняемый код.

Используя эту технику, обойти TCC может любое загруженное из интернета приложение.

В Windows Codecs Library обнаружены уязвимости CVE-2020-1425 и CVE-2020-1457, используя которые злоумышленник может запустить на компьютере произвольный код.

Для эксплуатации уязвимостей достаточно специально подготовленной картинки. Если открыть её в в приложении, которое использует Windows Codecs Library, атакующий получит возможность собрать информацию о системе, запустить произвольный код и перехватить контроль над устройством. ­

Microsoft уже выпустила исправления для уязвимостей в библиотеке кодеков и  распространяет их через Windows Store.

Инциденты

Операторы вымогателя Maze продолжают рапортовать о проникновении в сети крупных компаний. На этой неделе их жертвой стала компания Xerox.

Xerox Corporation Allegedly Struck by Maze Ransomware — Data Encrypted!! (Blog Link) https://t.co/u2S9gE67LL

— Cyble (@AuCyble) June 30, 2020

По заявлению киберпреступников им удалось похитить и зашифровать более 100 Gb файлов. Если Xerox заплатит выкуп, они готовы предоставить расшифровщик и удалить похищенные данные со своих дисков.

В качестве подтверждения инцидента к публикации приложены скриншоты:

Руководство Калифорнийского университета в Сан-Франциско (UCSF) сообщило об уплате выкупа в размере 1,14 млн долларов США за восстановление данных, зашифрованных в ходе атаки вымогателя NetWalker в начале июня 2020 года.

Изначально хакеры потребовали 3 млн долларов США, однако руководство университета, сославшись на убытки от пандемии коронавируса, попросили преступников ограничиться 780 тыс долларов. Преступники не согласились, после чего торг продолжился. В итоге через несколько дней переговоров университет перевёл 116,4 биткоина — 1,14 млн долларов США — на электронные кошельки Netwalker и получил программу для расшифровки данных .

Вредоносное ПО

Вымогатель EvilQuest, атакующий устройства под управлением macOS, не только шифрует файлы, но и устанавливает кейлоггер и реверс-шелл, обеспечивая злоумышленникам полный контроль.

#macOS #ransomware impersonating as Google Software Update program with zero detection.

MD5:
522962021E383C44AFBD0BC788CF6DA3 6D1A07F57DA74F474B050228C6422790 98638D7CD7FE750B6EAB5B46FF102ABD@philofishal @patrickwardle @thomasareed pic.twitter.com/r5tkmfzmFT

— Dinesh_Devadoss (@dineshdina04) June 29, 2020

EvilQuest распространяется через опубликованный на торрент-трекерах пиратский софт. В частности, экземпляры вредоноса обнаружили в пиратских версиях диджейского ПО Mixed In Key и в инструменте для защиты macOS Little Snitch.

Зашифровав все файлы, вымогатель оставляет файл с вымогательским сообщением:

А чтобы пользователь точно понял, что его файлы зашифрованы, дополнительно выводит модальное окно и зачитывает написанный на нём текст вслух, используя средства операционной системы:

«Противодействие социальной инженерии: взгляд психолога»

Открыта регистрация на вебинар, который пройдет 9 июля в 11 часов по Москве.

О вебинаре

Киберпреступники активно используют в атаках социальную инженерию. Это создаёт риски в сфере информационной безопасности для любой компании. Проблему уязвимости людей к воздействию уловок мошенников можно и нужно решать системно, но что мы знаем о реальных причинах этой проблемы?

Ольга Лимонова, психолог, руководитель исследований, Антифишинга ответит на следующие вопросы:

• Почему психологически успешны и как работают цифровые атаки на людей.
• Как с помощью классификации и модели Антифишинга понятно и наглядно разбирать атаки.
• Как максимально эффективно выстроить процесс обучения и тренировки сотрудников.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 19 по 25 июня 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошенничество

Организаторы двух новых мошеннических кампаний внимательно отслеживают происходящие в мире события и используют актуальные инфоповоды.

Авторы первой кампании воспользовались тем, что во многих организациях проводят обучающие мероприятия для сотрудников, посвящённые безопасному поведению во время пандемии. Они разослали всем сотрудникам письмо с оповещением о тренинге «COVID-19 для сотрудников: Сертификация рабочих мест в сфере здравоохранения».

Для регистрации требовалось пройти по ссылке в письме и ввести cвои учётные данные. Если пользователь выполнял «регистрацию», его данные попадали к злоумышленникам.

В рамках второй кампании пользователи получали письма с предложением конфиденциально высказать своё мнение относительно движения «Black Lives Matter». Письма содержали вложение, при открытии которого выводилось предложение обновить MS Office.

Если пользователь соглашался, на его компьютер устанавливался вредонос TrickBot.

Организаторы фишинговой кампании против пользователей Office 365 не стали размениваться на мелочи. Для рассылки вредоносных сообщений они взломали почтовый сервер Оксфордского университета, а переадресацию на фишинговые ресурсы проводили через серверы Adobe Campaingn, принадлежащие компании Samsung.

Схема атаки

Атака начиналась с фишингового письма, содержащего уведомление о получении голосового сообщения:

Если пользователь нажимал на кнопку «Прослушать сообщение», его переадресовывало на фишинговый сайт, предлагающий ввести логин и пароль для входа в Office 365:

Использование настоящих SMTP-серверов Оксфорда обеспечило злоумышленникам успешное прохождение проверки репутации домена отправителя, а кроме того, располагая доступом к серверу, они могли создать любое количество вполне легитимных адресов электронной почты для рассылки фишинговых писем.

Мошенники атакуют клиентов банковской холдинговой компании Wells Fargo,
рассылая им письма от имени команды безопасности банка. С помощью поддельных приглашений календаря злоумышленники заманивают жертв на фишинговые страницы, где выманивают их банковские и другие данные.

В письме указано, что получателю необходимо обновить свои ключи безопасности, в противном случае его счет будет заблокирован. Для этого пользователь должен следовать «инструкциям», представленным в файле .ics.

WFargo-image.png

В описании мероприятия указана ссылка, ведущая на страницу Sharepoint с еще одной ссылкой, на которую жертва должна нажать якобы для того, чтобы обезопасить свой счет.

Ссылка ведет на поддельную страницу Wells Fargo, запрашивающую у пользователя его учетные данные, PIN-код, номер счета и другую конфиденциальную информацию.

Уязвимости и атаки

В гибридных процессорах AMD APU обнаружены три опасные уязвимости SMM Callout Privilege Escalation, с помощью которых злоумышленник может выполнить произвольный код и получить контроль над прошивкой.

Все уязвимости затрагивают технологию System Management Mode (SMM) — режим, ответственный за конфигурации процессора и чипсета, код производителя материнской платы и защищенные операции.

Источник уязвимости — отсутствие проверки адреса буфера назначения при вызове SmmGetVariable () в обработчике SMI 0xEF. Из-за отсутствия проверки злоумышленник может записать данные в защищенную память SMRAM и выполнить код.

Киберпреступники научились использовать сервис Google Analytics для кражи данных кредитных карт со скомпрометированных сайтов интернет-магазинов.

Атака использует тот факт, что значительное количество владельцев сайтов использует для сбора аналитики сервис Google, поэтому его сайт разрешён в правилах Content Security Policy (CSP), определяющих, на какие сайты может передаваться информация, вводимая посетителями.

Преступники получают свой собственный код отслеживания Google Analytics и внедряют его на скомпрометированный сайт вместе с вредоносным сценарием. Поскольку CSP разрешает передачу сведений сервису Google, внедрённый сценарий может передавать данные платёжных карт покупателей и другие сведения в личный кабинет злоумышленника в Google Analytics.

Инциденты

Операторы вымогателя Maze сообщили об успешной атаке на компанию LG Electronics.

В опубликованном пресс-релизе киберпреступники предупреждают, чтобы компания не пыталась восстановить данные из резервной копии. В доказательство реальности взлома к пресс-релизу прилагаются три скриншота со списком файлов прошивков и исходных кодов продуктов, а также sql-дамп одной из баз данных компании.

На хакерских форумах появилась база с данными нескольких миллионов пользователей мессенджера Телеграм. Объём базы составляет примерно 900 Мб.

Пресс-служба Telegram подтвердила существования базы, отметив, что сбор информации происходит через встроенную функцию импорта контактов при регистрации пользователей:

Такие базы обычно содержат соответствия «номер телефона — идентификатор пользователя в Telegram». Они собираются через злоупотребление встроенной функцией импорта контактов при регистрации пользователя. К сожалению, ни один сервис, позволяющий пользователям общаться с контактами из своей телефонной книги, не может полностью исключить подобный перебор.

Сотрудники пресс-службы также подчеркнули, что большинство слитых аккаунтов уже неактуальны, а меры, предпринятые компанией в 2019 году, помогают не светить свой номер.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.