Представляем новости об актуальных технологиях фишинга и других атаках на человека c 10 по 16 апреля 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты и почта

Жертвами фишинговых атак, брендированных под COVID-19, стали несколько медицинских организаций Канады.

Кампания начиналась с вредоносного письма с поддельного адреса Всемирной организации здравоохранения. В письмах был вложен RTF-документ, который при открытии загружал на компьютер вымогательское ПО EDA2.

После запуска вымогателя загружал с управляющего сервера изображение с уведомлением о заражении, а затем передавал сведения о компьютере для генерации ключа шифрования файлов системы.

Хроника пандемии

Федеральная земля Северный Рейн-Вестфалия на западе Германии прекратила выплату экстренной помощи бизнесу из-за кибермошенников.

Мошенники массово создавали поддельные сайты с именами похожими на официальный сайт soforthilfe-corona.nrw[.]de. На фальшивых сайтах также предлагалась экстренная помощь предприятиям в условиях пандемии коронавирусной инфекции, но в действительности персональные данные посетителей, подавших заявку, попадали к преступникам.

По данным отчёта Федеральной торговой комиссии США ущерб от мошенничества на теме пандемии в период с начала 2020 го 15 апреля составил более 13 млн долларов США.

В пятёрку самых доходных видов мошенничества вошли:

• туризм и отдых — 4,949 млн долларов США;
• онлайн-шопинг  — 1,484 млн долларов США;
• фальшивые деловые предложения — 1,222 млн долларов США;
• фальшивые рассылки от государственных организаций — 1,182 млн долларов США;
• вредоносные сообщения в мессенджерах  — 78 тыс. долларов США.

Обнаружены несколько вредоносных приложений для Android, эксплуатирующие тему пандемии COVID-19.

Объединяет все эти приложения тот факт, что они созданы с помощью пентестерского инструментария Metasploit Framework. «Собрать» подобный вредонос может за 15 минут любой человек, обладающий хотя бы базовыми знаниями. Для этого достаточно настроить Metasploit, выбрать эксплуатируемую уязвимость, полезную нагрузку и нажать «Enter».

Приложения дают своим операторам доступ к звонкам, SMS, календарю, файлам, контактам, микрофону и камере жертвы.

По данным Group-IB 65% фишинговых писем, связанных с темой коронавируса, содержат во вложении различные типы шпионского ПО.

Второе место по популярности занимают бэкдоры, которые содержались в 31% мошеннических писем, а на шифровальщики пришлось около 4%.

Мошеннические письма были написаны на русском, так и на английском языках от имени авторитетных международных организаций, связанных со здравоохранением (ВОЗ, ЮНИСЕФ), а также и крупных российских и международных компаний. Рассылки были направлены как в коммерческий, так и в государственный секторы России и СНГ.

Атаки и уязвимости

Неустановленные злоумышленники предлагают к продаже две свежих уязвимости в Zoom.

• Ошибка в Win-версии позволяет удалённо выполнить произвольный код, однако требует, чтобы злоумышленник участвовал в звонке вместе с целью. Продавец хочет получить за информацию об этой уязвимости 500 тысяч долларов США.
• Ошибка в macOS-версии менее опасна поскольку не допускает удалённое выполнение кода.

Уязвимость в сервисе TikTok позволяет подменять любые видео на чужих страницах.

Причина уязвимости состоит в том, что для ускорения обмена данных TikTok использует сети доставки контента (Content Delivery Networks, CDN), которые для большей производительности используют HTTP. В результате пользователи сервиса оказываются уязвимы для атаки «человек посередине»: злоумышленники могут изменять контент во время загрузки и подменять опубликованные пользователем ролики на любые другие.

Видео: размещение спама на официальной странице ВОЗ в TikTok

Инциденты

Португальская энергетическая компания Energias de Portugal (EDP) стала жертвой атаки шифровальщика Ragnar Locker, в результате которой похищено и зашифровано более 10 Тб конфиденциальных данных.

Среди украденной информации:

• база данных менеджера паролей KeePass;
• учётные данные пользователей;
• заметки сотрудников компании;
• сведения о счетах, транзакциях и клиентах.

Преступники угрожают опубликовать украденную информацию и уведомить об этом всех клиентов и партнеров EDP. За молчание компания должна заплатить выкуп в размере 1580 биткоинов (около 11 млн долларов США).

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

В предыдущей публикации мы рассказали о том, как мошенники используют темы фальшивых компенсаций.

Мошенничество на теме COVID-19. Часть 1. Несуществующие компенсации

В сегодняшнем выпуске разберём ещё несколько способов атак, связанных с вирусом и использующих социальную инженерию:
— «Проверьтесь, возможно вы заражены»;
— «Плати выкуп или заразим твою семью»;
— Фальшивые тесты и вакцины;
— Маски, которых нет;
— Вредоносные информеры;
— Антивирус от коронавируса.

Андрей Жаркевич
автор

«Проверьтесь, возможно, вы заражены»

Жертва получает письмо от имени ближайшей клиники. В письме сообщается, что зафиксирован контакт получателя с больным коронавирусом, поэтому нужно срочно провериться.

Для проверки нужно заполнить, распечатать и принести в больницу прикреплённую к письму таблицу Excel. При её открытии на компьютер устанавливается вредоносное ПО, которое похищает криптовалюту и учётные данные жертвы.

Вектор: страх в квадрате. Человек уже боится заражения, и ему сообщают, что оно, возможно произошло. Нужно как можно скорее пройти тест, чтобы принять меры.

«Плати выкуп, или заразим всю семью»

Организаторы мошеннической кампании угрожают заразить пользователей и их семьи коронавирусом COVID-19, если они не заплатят выкуп в размере 4 тыс. долларов США.

Для убедительности в письмо добавляют логин и пароль пользователя, полученный из общедоступных баз скомпрометированных учётных записей, и сообщают, что скрыться невозможно.

Вектор: страх в квадрате. К абстрактному страху заболеть случайно прибавляется ужас от мысли, что неизвестные преступники, от которых не скрыться, целенаправленно заразят всю семью.

Фальшивые вакцины

Уже закрытый мошеннический сайт CoronavirusMedicalkit(.)com предлагал всем желающим бесплатно заказать вакцину от коронавируса, оплатив лишь стоимость пересылки в размере 4,95 долларов США. Для большей убедительности использовались фотографии зала заседаний Всемирной организации здравоохранения и её сотрудников.

Вектор: страх. Несмотря на заявления официальных органов о том, что вакцина от коронавируса появится не раньше чем через несколько месяцев, сторонники теории заговора охотно верят, что государство их обманывают, поэтому нужно позаботиться о себе самим. Тем более, что вакцина раздаётся бесплатно.

Фальшивые тесты

Фишинговый сайт vaccinecovid-19[.]com предлагал приобрести тест на заражение коронавирусом всего за 19 тыс. рублей.

Вектор: страх. Некоторые люди настолько боятся заразиться, что готовы заплатить любые деньги, чтобы не мучиться от неизвестности. Сводки новостей с растущим количеством заболевших лишь усиливают это намерение.

Фальшивые сайты и приложения, информирующие о распространении COVID-19

Мобильный вымогатель CovidLock изображает из себя приложение для отслеживания в реальном времени вспышек коронавируса более чем в 100 странах. После установки и запуска он блокирует смартфон и требует выкуп.

Вектора: страх и любопытство. Приложение обещает показывать заражения, которые происходят рядом с пользователем — на его улице и в его доме. Люди готовы дать вредоносу любые разрешения, чтобы уберечь себя и свою семью.

Мошенники сделали клон сайта университета Джона Хопкинса на домене Corona-Virus-Map[.]com. На клоне в реальном времени отображаются данные о заражении коронавирусом, полученные с оригинального ресурса. Для более оперативного получения сведений предлагается скачать приложение. Вместо полезной программы на компьютер загружается инфостилер AZORult, который похищает данные банковских карт и криптокошельков, а также сохранённые в браузерах учётные данные.

Вектора: страх и любопытство. Людям страшно и любопытно одновременно, поэтому они хотя получать оперативную информацию об угрозе и о том, как её избежать.

Полный абсурд

Совершенно нелепо выглядит сайт, предлагающий скачать и установить Corona Antivirus, который «поможет защититься от нового коронавируса COVID-19». Всё, что делает «антивирус» — устанавливает на компьютер жертвы бэкдор BlackNET, открывающий преступникам полный доступ к системе.

Вектор: страх. Очевидно, создатели сайта рассчитывают, что для спасения от пандемии пригодятся любые средства, в том числе и компьютерный антивирус.

Как противостоять цифровым атакам

Главный инструмент всех мошенников — простые эмоции. Они стараются вызвать их у жертвы, рассчитывая на немедленную реакцию, пока не включилось критическое мышление. Если выдержать даже небольшую паузу, угроза окажется не такой уж неминуемой, а предложение — не настолько привлекательным, как в первый момент.

От вашего спокойствия и внимательности зависит ваша цифровая безопасность.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 3 по 9 апреля 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошеннические кампании

Эксплуатируя тему пандемии, мошенники выманивают данные банковских карт, предлагая приобрести дорогостоящие медицинские маски OxyBreath Pro со скидкой 50%.

Кампания организована предельно просто.

1. В поисках надёжной маски OxyBreath Pro люди попадают на сайт Official Store Finder, который предлагает найти лучший магазин для покупки:

2. После нажатия кнопки «Поиск» выводится результат — единственный магазин с максимальным рейтингом, причём он предлагает скидку 50%:

3. После перехода на сайт магазина предлагается указать данные банковской карты и личные данные для доставки маски:

4. Введённые на сайте данные отправляются злоумышленникам, заказанный товар не доставляется.

В рамках новой кампании на теме COVID-19 мошенники обзванивают граждан, обещая отсрочки по выплате кредитов, компенсации и пособия, а также диагностику заражения коронавирусной инфекцией.

В ходе разговора преступники просят гражданина сообщить данные банковской карты и пароль из СМС. Особо впечатлительным жертвам предлагается даже самостоятельно перевести деньги злоумышленникам.

Кроме звонков преступники используют электронные письма, содержащие ссылки на фишинговые сайты. Стиль и оформление таких писем максимально напоминает официальные уведомления от Минздрава, Роспотребнадзора, Банка России и ВОЗ.

Группировка DarkHotels атакует китайские правительственные учреждения и их сотрудников, используя 0day-уязвимости в Internet Explorer и Firefox CVE-2020-0674 и CVE-2019-17026.

Схема атаки выглядит следующим образом:

1. Атака начинается с фишинговой рассылки, содержащей вредоносный документ MS Word, эксплуатирующий уязвимость в редакторе формул CVE-2017-11882:

2. Когда жертва откроет документ, редактор формул выполнит код, который откроет страницу, эксплуатирующую уязвимость в браузере:

3. После загрузки страницы выполняется шеллкод, который устанавливает на компьютер вредоносное ПО —  фальшивое обновление для VPN-клиента Sangfor VPN, которое сотрудники китайских государственных органов используют для подключения к рабочим сетям.

Обнаружена кампания по распространению установочного файла сервиса видеоконференцсвязи Zoom, содержащего криптовалютный майнер.

Для распространения вредоносного файл используется сеть мошеннических сайтов. После запуска фальшивый дистрибутив запускает оригинальный установщик Zoom, параллельно извлекая файлы майнера. Для затруднения обнаружения антивирусами первые 5 байт файла содержат нули, которые затем меняются на оригинальное содержимое.

Сотрудники и подрядчики NASA, работающие из дома, в два раза чаще нажимают на вредоносные ссылки, которые присылают им по электронной почте или в текстовых сообщениях.
Согласно официальным данным с начала апреля 2020 года в космическом агентстве

• удвоилось количество фишинговых атак по электронной почте;
• экспоненциально выросло количество вредоносных атак на системы;
• вдвое больше стало попыток заблокировать или смягчить активность систем, предотвращающих доступ к вредоносным сайтам.

Атаки и уязвимости

В браузере Safari обнаружены уязвимости, которые дают удалённому злоумышленнику доступ к камере и микрофону устройства Apple, данным о местоположении, а в некоторых случаях к паролям.

Amazing, 7 zero-days!

Just visiting a site — not only malicious but any 'legit site unknowingly loading bad ads' as well — over #Safari browser could have let remote hackers secretly access your #iPhone or macbook camera or microphone.

Read ? https://t.co/MHccw4kZV2#infosec pic.twitter.com/WrV33L6qYh

— The Hacker News (@TheHackersNews) April 3, 2020

Всего зафиксированы семь уязвимостей в браузере Apple и движке Webkit: CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 и CVE-2020-9787.
Совместное использование трёх из них позволяет злоумышленникам выдавать вредоносный сайт за легитимный и получать разрешение на доступ к микрофону и камере, предоставляемое только доверенным доменам. Всё, что для этого требуется — заманить пользователя на сайт, имитирующий сервис для конференцсвязи Skype, Zoom или Google Meet, либо показать вредоносную рекламу на вполне добропорядочном ресурсе.

В утилите HP Support Assistant обнаружено 10 уязвимостей, который позволяют киберпреступникам скомпрометировать целевую систему.

Среди уязвимостей присутствуют

• пять локальных ошибок повышения привилегий,
• две ошибки произвольного удаления файлов,
• три ошибки удаленного выполнения произвольного кода.

Удалённое выполнение кода:

Это позволяет злоумышленнику разместить вредоносный файл на системном разделе, а затем выполнить его с системными привилегиями с помощью подписанного процесса HP. Файл будет выполнен, даже если проверка подписи не удалась, а злоумышленник сможет затем записатьб вредоносную нагрузку в любое место системы.

В мессенджере Telegram обнаружена ошибка, которая позволяет ввести в заблуждение пользователя и подтолкнуть его неосознанно поделиться геолокацией и номером телефона.

Схема атаки:

1. В Telegram создаётся бот, в котором могут использоваться кнопки. При этом текст на кнопках может быть любой:

2. После нажатия на кнопку пользователь получает предупреждение что сейчас его контакт будет отправлен боту:

3. Стандартный текст предупреждения в окне можно изменить на что-то не вызывающее подозрений путём создания своего файла локализации для мессенджера на translation.telegram.org :

4. Пользователя под каким-либо предлогом убеждают установить «ядовитый» файл локализации.

5. После нажатия в кнопке в боте пользователь видит безобидное сообщение, подтверждает действие и отправляет боту номер телефона и геолокацию.

Обнаружен новый вектор атаки, позволяющий злоумышленнику манипулировать файлом PowerPoint для загрузки и установки вредоносного ПО при наведении курсора мыши на ссылку в презентации.

Усиливая безопасность файлов Office, Microsoft в 2017 году запретила использовать выполнение программы в качестве действия для ссылки в презентации. Однако если вместо «Выполнить программу» использовать действие «Перейти по гиперссылке», атакующий может запустить исполняемый файл с удаленного WebDAV-сервера

Разработан высокоэффективный и недорогой способ обхода систем аутентификации по отпечатку пальца с помощью 3D-принтера и клея.

Для обхода потребовалось

1. Получить отпечаток пальца с поверхности, к которой он прикасался
2. Распечатка слепка отпечатка на 3D-принтере
3. Заполнение слепка недорогим клеем для ткани. После засыхания клеевая масса использовалась в качестве замены пальца.

Тестирование рукотворного отпечатка с оптическими, ёмкостными и ультразвуковыми сканерами показало, что в 80% случаев подделка успешно проходит верификацию, причём ультразвуковые сканеры поддавались чаще.

Сканер Apple MacBook Pro принял подделку в 95% попыток, в то время как устройства на Windows 10, использующие Windows Hello, ни разу не поддались на обман.

Мобильная безопасность

Более 12 тысяч Android-приложений содержат мастер-пароли, секретные ключи доступа и недокументированные команды.

Используя эти скрытые механизмы, злоумышленники могут получить несанкционированный доступ к учёным записям пользователей, а при наличии физического доступа к устройству, на которое установлено одно из таких приложений установлено, разблокировать телефон и  запустить на нём код с повышенными привилегиями.

Примеры:

• Приложение для блокировки экрана с 5 млн установок использует ключ доступа для сброса паролей произвольных пользователей, чтобы иметь возможность разблокировать экран и войти в систему.
• Приложение для потокового вещания с 5 млн установок содержит ключ доступа для входа в интерфейс администратора, с помощью которого злоумышленник может изменить настройки приложения и разблокировать дополнительные функции.
• Популярное приложение для перевода с 1 млн установок содержит секретный ключ, который позволяет отключить плату за расширенную функциональность и удалить рекламу.

Инциденты

Неизвестные загрузили тысячи записанных видеозвонков Zoom на видеохостинги YouTube и Vimeo.

Cреди опубликованных видео записи психотерапевтических сеансов, школьных занятий, приёмов врачей и корпоративных совещаний. Большинство роликов хранились в облачном хранилище Zoom без пароля.

Причина инцидента состоит в том, что сервис Zoom присваивает видеоконференциям открытые идентификаторы и не шифрует подключение, поэтому используя online-поиск можно найти несколько тысяч подобных записей.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.