Представляем новости об актуальных технологиях фишинга и других атаках на человека c 7 по 13 февраля 2020 года и приглашаем принять участие в Антифишинг-тренингах для инженеров и специалистов по продажам. Информация о мероприятиях — в  конце выпуска.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Банковский троян Anubis атакует пользователей Android-устройств и распространяется с помощью фишинговых писем.

Письма содержат ссылку, при нажатии на которую на устройство загружается APK-файл, замаскированный под счёт-фактуру.

Если пользователь запустит загруженный файл, ему будет предложено включить «Google Play Protect», но фактически вместо этого пользователь отключит сервис защиты и выдаст вредоносному приложению все необходимые разрешения.

Anubis способе похитить финансовую информацию более чем из 250 банковских и шопинг-приложений. Для этого он сканирует устройство и подменяет окно авторизации в легитимных программах на фишинговое, через которое и похищает платёжные данные жертвы.

Кроме хищения информации вредонос умеет:

• делать скриншоты;
• отключать и менять административные настройки;
• отключать защиту Google Play Protect;
• записывать звук;
• звонить и отправлять SMS;
• считывать контакты из адресной книги;
• получать команды от операторов через Telegram и Twitter;
• предоставлять удалённый доступ к устройству через VNC;
• записывать нажатия клавиш и многое другое.

Мошенники похищают учётные данные пользователей, используя фишинговые письма с «информацией о коронавирусе».

Кампания начинается с получения письма от имени Центра по контролю и профилактике заболеваний. В адресе отправителя содержится домен, похожий на настоящий (cdc-gov.org вместо cdc.gov). В тексте письма пользователю предлагается перейти на страницу, где якобы содержится информация о недавних случаях заболевания в регионе проживания адресата. Ссылка на первый взгляд ведет на официальный сайт CDC — cdc.gov.

Перейдя по ссылке, пользователь попадает на мошеннический сайт, имитирующий интерфейс Microsoft Outlook. Сайт запрашивает адрес электронной почты и пароль. Если пользователь введёт эти данные, они попадут к злоумышленникам.

Атаки и уязвимости

В предустановленной на компьютерах Dell утилите SupportAssist обнаружена уязвимость CVE-2020-5316, эксплуатация которой позволяет выполнять произвольный код с привилегиями администратора.

Обнаруженная проблема состоит в том, что утилита загружала DLL из папки, разместить файлы в которую мог пользователь без прав администратора. Таким образом, злоумышленник мог подменить легитимную библиотеку SupportAssist на вредоносную, а приложение выполняло вредоносный код с правами NT AUTHORITY\System.

Разработана система TextFooler, которая может обманывать модели искусственного интеллекта, использующие технологии распознавания речи. В будущем такие системы помогут бороться со спамом и отвечать на нецензурную речь.

TextFooler — это состязательная система, созданная для атак на модели ИИ с использованием технологий распознавания речи. Для этого система заменяет некоторые слова в предложениях, сохраняя смысл и грамматику, а затем с их помощью атакует модель ИИ, чтобы определить, как она обрабатывает измененный текст. Для этого TextFooler ищет важные слова, имеющие максимальную смысловую нагрузку для конкретной модели ИИ, а затем подбирает для них оптимальные синонимы.

На сегодняшний день TextFooler успешно обманывает три ИИ-модели распознавания речи, среди которых языковая модель BERT от Google. Для обмана оказалось достаточно изменить всего 10% текста в предложении.

Мобильная безопасность

В Android обнаружена критическая уязвимость CVE-2020-0022, которая позволяет злоумышленнику незаметно выполнить произвольный код с привилегиями демона Bluetooth.

Для атаки нужно знать Bluetooth MAC-адрес целевого устройства, который в ряде случаев можно определить через MAC-адрес Wi-Fi. В случае успешной атаки злоумышленник сможет похитить личные данные жертвы, а также потенциально проэксплуатировать ошибку для распространения через Bluetooth вредоносного ПО.

Умные устройства

Драйвера графических планшетов Wacom собирают информацию об используемых приложениях, установленных на компьютерах под управлением macOS или Windows.

Если пользователь соглашается с политикой приватности, которая отображается при установке, драйвер при помощи Google Analytics начнет отслеживать все приложения, которые пользователь открывает на своем устройстве.

Чтобы отключить сбор данных, нужно в настройках конфиденциальности Wacom Desktop Center выключить опцию «Участвовать в программе Wacom Experience».

Инциденты

В открытом доступе обнаружена база данных косметической компании Estee Lauder, содержащая более 440 млн записей.

Данные в базе были связанны с промежуточным программным обеспечением, которое использует компания Estee Lauder, в том числе управление данными, сервисы приложений, обмен сообщениями, аутентификация и управление API. Информация о платежах или сведения о сотрудниках в базе не хранились.

Кредитный брокер «Альфа-Кредит», который собирает заявки на кредит и оказывает помощь в получении банковских займов оставил в открытом доступе незащищенную базу данных MongoDB, содержащую персональную информацию клиентов.

Обнаруженная база состоит из двух «коллекций»:

• alpha_config_db (42 МБ) — 35 787 записей;
• stav_credit (9 МБ) — 8 279 записей.

Каждая запись включает дату подачи заявки, запрашиваемую сумму кредита и срок кредитования, канал привлечения, ФИО, электронную почту, номер телефона, дату рождения, город и регион.

Более 1,2 млн идентификационных номеров налогоплательщиков Дании находились в открытом доступе почти пять лет из-за ошибки в работе сервиса TastSelv Borger.

Сервис TastSelv позволяет налогоплательщикам в Дании просматривать и изменять свои налоговые декларации, годовые отчеты и платить налоги. Проблема содержалась в сервисе Tastselv Borger. Когда пользователи выбирали опцию «Исправить контактную информацию», ошибка в приложении приводила к отправке персональных идентификаторов на серверы Google и Adobe в виде части web-адреса.

Из-за уязвимости веб-приложения Elector данные почти 6,5 млн избирателей Израиля, в том числе Нетаньяху и других ведущих политиков, находились в открытом доступе.

База данных содержала имена, адреса, серии и номера документов, а также сведения о политических предпочтениях. Любой пользователь мог получить доступ к информации через web-браузер без использования каких-либо инструментов, поскольку API, предназначавшийся только для администраторов приложения, был доступен для внешних запросов, а пароли от учетных записей администратора хранились в открытом виде на сайте программы.

Вредоносное ПО

Новая версия трояна Emotet пытается распространяться через доступные сети Wi-Fi.

Для обнаружения ближайших Wi-Fi сетей вредонос использует wlanAPI на уже зараженной машине. Обнаружив доступную сеть, Emotet пытается с помощью перебора подобрать учетные данные, чтобы проникнуть в неё. В случае успеха поиск Windows-машин, доступных для заражения продолжается в новой сети.

1. Антифишинг. Тренинг по продажам продукта

Количество участников ограничено. Зарегистрируйтесь сейчас. Участие в тренинге бесплатное.

2. Антифишинг. Тренинг для продуктовых менеджеров и технических специалистов

Количество участников ограничено. Зарегистрируйтесь сейчас. Участие в тренинге бесплатное.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 31 января по 6 февраля 2020 года.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Зафиксирована новая фишинговая атака против активистов, журналистов и политиков.

Атака начиналась с письма от имени журналиста издания The Wall Street Journal, в котором сообщалось, что «журналист» проводит серию интервью с выходцами из Ирана, добившимися успехов в других странах, и хотел бы задать несколько вопросов жертве. Вопросы к интервью будут высланы позже.

Если жертва отвечала согласием, ей отправлялась ссылка на «вопросы», размещённые на Google Sites. Чтобы загрузить вопросы, требовалось нажать кнопку «Загрузка».

Когда жертва делала это, её перенаправляли на очередную страницу, где нужно было ввести SMS-код для двухфакторной аутентификации в учётной записи Google для подтверждения личности. После ввода кода мошенники получали доступ к учётной записи жертвы в Google.

Помимо перехвата учётных записей преступники внедряли на устройства жертвы вредоносное ПО.

В настольной версии мессенджера WhatsApp обнаружены уязвимости CVE-2019-18426, с  помощью которых злоумышленники могли похитить файлы с компьютеров под управлением Windows или macOS.

• одна из уязвимостей позволяла провести XSS-атаку путем отправки специально сформированного сообщения. Когда жертва просматривала вредоносное сообщение, атакующий мог выполнить произвольный код в контексте домена WhatsApp.
• другая проблема заключалась в неправильно настроенной политике безопасности контента (Content Security Policy, CSP) на домене WhatsApp, позволявшей загружать вредоносные XSS-нагрузки с помощью iframe с подконтрольного злоумышленнику сайта.

Умные устройства

Уязвимость CVE-2020-6007 в умных лампочках Philips Hue позволяет злоумышленнику проникнуть в сеть дома или офиса через беспроводное подключение и заразить ее вымогательским или шпионским ПО.

Проблема связана с реализацией протокола Zigbee и может привести к переполнению буфера в компоненте «bridge», который принимает удаленные команды, отправляемые на лампочку с других устройств.

Эксплуатация данной уязвимости Преступник может осуществлять атаку на расстоянии более 100 метров, имея при себе лишь ноутбук и антенну.

Сценарий атаки:

1. Используя уязвимость, злоумышленник взламывает лампочку.
2. Устройство становится недоступным в приложении для управления, заставляя его отправить команды компоненту bridge для повторного обнаружения устройства.
3. Bridge обнаруживает взломанную лампочку, после чего пользователь заново добавляет её в свою сеть.
4. Злоумышленник вызывает переполнение буфера в куче и устанавливает вредоносное ПО, которое затем может использовать для проникновения в сеть и удаленного взлома других устройств.

Разработана атака на автопилот автомобилей Tesla, которая заставляет его менять поведение автомобиля на дороге.

Для проведения атаки оказалось достаточно обычного проектора стоимостью около 300 долларов США и растущего у дороги дерева, на которое проецировалось изображение дорожного знака. Как только «знак» оказывался в поле зрения автопилота, автомобиль изменял скорость в соответствии с указанным ограничением.

Для второго варианта атаки на поверхность дороги перед Теслой с помощью дрона проецировалось изображение лежащего человека. При появлении очертаний человеческой фигуры автопилот принимал её за реального человека и притормаживал, но окончательно не останавливал движение, проезжая сквозь изображение.

Видео: демонстрация атак

Инциденты

В результате нескольких кибератак компания хакерам удалось похитить из компании NEC более 27 тыс. файлов, среди которых были документы, связанные с контрактами Минобороны Японии.

Взлом произошел в декабре 2016 года, но по заявлению NEC компрометацию обнаружили лишь в июне 2017 года, когда сотрудники компании заметили подозрительный зашифрованный трафик, исходящий от одной из внутренних систем. Агентство по закупкам, технологиям и логистике, работающее на министерство обороны, заявило об отсутствии критичного ущерба.

Злоумышленники использовали официальный API Twitter, чтобы сопоставить телефонные номера пользователей с их именами в Twitter.

Источником проблемы была функция программного интерфейса соцсети, позволявшая новым пользователям находить в Twitter знакомых, добавляя номера телефонов и сопоставляя их с известными учетными записями Twitter.

Для атак была создана целая сеть фейковых учётных записей, с которых выполнялись запросы. Атаки коснулись лишь пользователей, разрешивших другим пользователям находить себя по номеру телефона.

Примечательно, что в Twitter узнали о происходящем только после публикации издания TechCrunch, в которой рассказывалось, как ИБ-эксперт использовал API Twitter для сопоставления 17 млн телефонных номеров с публичными именами пользователей.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 24 по 30 января 2020 года.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Инциденты

Выставлены на продажу данные более 30 млн банковских карт клиентов американской розничной сети Wawa. Утечка произошла в результате заражения POS-терминалов компании вредоносным ПО.

Представители Wawa заявляют, что злоумышленники похитили только сведения о картах, а PIN-коды, номера CVV2 и персональные данные держателей карт скомпрометированы не были. Однако в образцах похищенных данных, которые продавцы базы предлагают для ознакомления, номера CVV2 все же встречаются.

Похищенные данные продаются по цене около 17 долларов США за одну американскую карту, и по 210 долларов США за карту, выпущенную в других странах.

Компанию-разработчика антивируса Avast уличили в сборе и продаже пользовательских данных другим компаниям. Среди покупателей собранных сведений — Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Cond? Nast, Intuit.

1. Сбор данных производился через уязвимости в расширениях Avast для браузеров.
2. Собираемые сведения включали поисковые запросы в Google, GPS-координаты, просмотры видео и постов на YouTube, Facebook и Instagram, данные о посещениях указанных заказчиком сайтах, информацию о посещениях LinkedIn.
3. Собранные данные уходили «дочке» Avast — компании Jumpshot, которая продавала их другим компаниям.
4. Собираемые пользовательские данные настолько детализированы, что клиенты могут «видеть» даже отдельные клики, которые пользователи делают во время сессий, причем с точностью до миллисекунды.

Видео: реклама компании Jumpshot

Согласно заявлению Avast Jumpshot располагал данными 100 миллионов пользователей.

Зафиксирована утечка информации о покупателях сети продуктовых магазинов «Красное и белое». В открытом доступе опубликован массив данных, содержащий более 4 млн записей.

Каждая запись содержит

• ФИО
• дату рождения
• телефон

Помимо опубликованной базы всего за 15 тыс. рублей неизвестный продавец предлагает купить более полную версию клиентской базы «Красного и белого», содержащую более 17 млн записей.

Вредоносное ПО

Хакерская группировка Indonesian Cyber Army использует вредоносное ПО, распространяемое по модели «фишинг как услуга», для атак на пользователей платёжных систем PayPal и American Express.

Вредонос, которым пользуются злоумышленники, называется 16Shop. Это наиболее функциональный инструмент среди распространяемых в Даркнете. Изначально он был разработан для атак на пользователей Apple, но затем его адаптировали и для других целей. 16Shop распространяется по платной лицензии, подобно легитимному ПО. Покупатели получают инструкции по установке и использованию, а также регулярные обновления.

Среди возможностей 16Shop:

• ухода от детектирования защитными решениями;
• сбор конфиденциальной информации жертв: логинов и паролей, е-мейлов, данных банковских карт.

Умные устройства

В некоторых моделях электрических самокатов обнаружены уязвимости, которые могут привести к утечкам конфиденциальной информации и создать угрозу безопасности владельца устройства.

Некоторые самокаты обмениваются со смартфоном владельца различными данными по каналу Bluetooth Low Energy. Передаваемые по этому каналу данные легко перехватить с помощью доступных средств, подобных Ubertooth и WireShark. А поскольку производители устройств собирают аналитические данные о владельцах, отслеживая местоположение и информацию о средстве передвижения, перехват этих данных позволяет создать на их базе индивидуальный профиль человека, включающий предпочтительный маршрут, личные интересы, домашний и рабочий адреса.

Кроме перехвата информации злоумышленники могут провести атаки на GPS-системы самокатов, направив владельцев по ложному маршруту, а также вызвать отказ управляющих систем устройства (DoS).

Мобильная безопасность

По данным отчёта ИБ-компании Upstream в 2019 году в Google Play выявлено более 98 тыс. вредоносных приложений, установленных на 43 млн Android-устройств.

Большая часть таких программ показывает назойливую рекламу, накручивает клики и переходы по ссылкам, но есть и более опасные разновидности, которые подписывают своих жертв на платные сервисы, крадут данные банковских карт и учётные сведения для систем онлайн-банкинга.

Практически все выявленные вредоносы работают по единой схеме:

1. Проникновение на устройство любым способом.
2. Получение разрешений. Примечательно, что как правило, жертва сама предоставляет вредоносному ПО больше разрешений, чем требуется для работы.
3. Вредоносная деятельность: получение и выполнение команд от управляющих серверов.
4. Сокрытие от пользователя. Для этого применяются различные трюки от маскировки под полезные программы до удаления иконок приложения.

Атаки и уязвимости

Уязвимость в платформе для проведения видеоконференций Zoom позволяла без приглашения присоединяться к чужим разговорам и получать доступ ко всем данным и файлам, которыми обмениваются участники.

Причина уязвимости связана с алгоритмом создания идентификаторов звонка — адресов для виртуальных конференцзалов, по которым участники конференций могут присоединиться к нужному разговору. Этот идентификатор состоит из 9-11 случайных чисел, что позволяет заранее сгенерировать список таких чисел, а затем быстро проверить, имеются ли в системе разговоры с таким адресом. Если идентификатор оказывался действительным, а конференция не защищена паролем, злоумышленник мог получить к ней доступ и следить за всем происходящим.

Учитывая характер уязвимости, она не могла использоваться для целевых атак против конкретной компании, однако позволяла с ненулевой вероятностью найти интересную конференцию и возвращаться в неё снова и снова, пока владелец не установит пароль.

Новая спекулятивная атака CacheOut (CVE-2020-0549) может привести к утечке данных из процессоров Intel.

CacheOut относится к классу уязвимостей Microarchitectural Data Sampling (MDS), к которому также относятся ранее выявленные уязвимости RIDL, Fallout и ZombieLoad. Атака позволяет злоумышленнику обойти аппаратную защиту во многих процессорах Intel и выбрать, какие данные нужно похитить.

Возможности CacheOut:

• нарушение изоляции процессов путем восстановления ключей AES и текста для жертв, работающих с OpenSSL;
• создание эксплойтов для полной отмены рандомизации ASLR ядра Linux и восстановления секретных Stack Canary ядра Linux;
• эффективное нарушение изоляции между виртуальными машинами, работающими на одном физическом ядре;
• нарушение конфиденциальности SGX и доступ к содержимому защищенного анклава.

Злоумышленники воспользовались уязвимостью CVE-2019-18187 в Trend Micro OfficeScan для хищения документов из компании Mitsubishi Electric.

Уязвимость позволяла загружать произвольные файлы и производить удалённое выполнение кода. Используя её, неизвестные хакеры проникли во внутреннюю сеть Mitsubishi Electric и похитили 200 Мб файлов.

Trend Micro исправила ошибку ещё в октябре 2019 года

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.