Представляем новости об актуальных технологиях фишинга и других атаках на человека c 25 по 31 октября 2019 года.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Организаторы фишинговой атаки против пользователей Steam похищают учётные записи игроков через фальшивые магазины артефактов.

Копии оригинальных магазинов выполнены очень качественно, на них есть предупреждения о cookie и используется https-подключение:

При нажатии на любую кнопку или ссылку у пользователя запрашиваются учётные данные Steam:

Мошеннический сайт проверяет корректность логина и пароля с помощью оригинальных сервисов Steam.

После ввода действительных учётных данных Steam Guarg пришлёт пользователю код для двухфакторной аутентификации, который также необходимо ввести на мошенническом сайте:

Как только жертва введёт его, он отправится злоумышленникам, которые получат полный контроль над аккаунтом.

Инциденты

Банк UniCredit сообщил об утечке данных 3 млн пользователей.

Как именно произошла утечка, пока не сообщается. Сообщается, что скомпрометирован один файл от 2015 года, в котором содержатся сведения об итальянских клиентах UniCredit:

• имена,
• информация о городах проживания,
• номера телефонов,
• адреса электронной почты.

По заявлению банка записи не содержали никаких других личных данных или банковских реквизитов, которые могли бы позволить злоумышленникам получить доступ к учетным записям клиентов и проводить несанкционированные транзакции.

Данные 1,3 млн банковских карт индийских банков выставлены на продажу на подпольной торговой площадке.

• Информация о каждой карте в наборе оценивается в 100 долларов, то есть общая стоимость базы данных составляет примерно 130 миллионов долларов.
• Это одна из самых больших и дорогих баз данных, выгруженных на черный рынок.
• Более 98% записей в базе принадлежат индийским банкам, ещё 1% — колумбийским банкам.
• Предположительно, информация о картах была похищена либо при помощи скиммеров, установленных в банкоматах, либо через вредоносное ПО для PoS-терминалов.

Злоумышленники захватили контроль над инфраструктурой Йоханнесбурга и потребовали выкуп в размере 4 биткоинов — около 35 тыс. долларов США.

Примечательно, что контроль над сетью города был захвачен с помощью десятков бэкдоров, а не шифровальщика.

Преступники захватили контроль на DNS и Active Directory и похитили конфиденциальные финансовые данные. Если власти города не выплатят выкуп, злоумышленники угрожают опубликовать их в открытом доступе. Если же выкуп заплатят, хакеры обещают уничтожить похищенное и объяснить ИТ-персоналу города, какие уязвимости в системах необходимо устранить.

Latest update by MMC for Finance, cllr @FunzelaZA after @CityofJoburgZA detected a network breach in its systems last week. ^KO@HermanMashaba @JoburgFinance pic.twitter.com/1aGWcHKYZj

— Leader of Executive Business: City Of Johannesburg (@LOEB_COJ) October 28, 2019

Власти Йоханнесбурга отказались платить выкуп и планируют восстановить ИТ-инфраструктуру города своими силами.

В открытом доступе обнаружена база Elasticsearch с данными об учетных записях 7,5 млн пользователей Adobe Creative Cloud.

В базе можно было найти адреса email, Adobe ID, информацию о стране проживания пользователя и о том, какие продукты Adobe тот использует, а также сведения о дате создания учетной записи, дату последнего входа в систему, статус подписки и оплаты и отметку о принадлежности аккаунта сотруднику Adobe. Утечка не коснулась паролей и финансовой информации.

Представители Adobe признали вину в случившемся и обещали пересмотреть процессы разработки, чтобы подобные ситуации не возникали.

Мобильная безопасность

В системном приложении Tags для Android обнаружена уязвимость, которая позволяет использовать манипуляции с NFC-метками для различных вредоносных действий.

Приложение Tags обрабатывает сигналы от NFC-меток. Обнаружив в радиусе действия другой NFC-чип, программа предлагает пользователю произвести какое-то действие, например, перейти по ссылке или совершить звонок. Используя уязвимость, киберпреступник самостоятельно выводить такие сообщения:

Оригинальное и модифицированное сообщение о найденном NFC-теге

Это позволяет провести два варианта атаки:

• открытие диалогового окна без обнаружения NFC-метки;
• изменение содержания оригинального сообщения.

Таким образом хакер получает возможность направить пользователя на фишинговый сайт или заставить позвонить на платный номер.

Эксплуатация уязвимости требует установки вредоносного приложения и взаимодействия с жертвой атаки, поэтому Google не считает угрозу критической и не планирует исправлять ошибку в версиях Android ниже 10.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 18 по 24 октября 2019 года.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

«Умные» устройства

Злоумышленники могут использовать голосовые помощники Alexa и Google Home, чтобы подслушивать разговоры или обманом узнавать у пользователей конфиденциальную информацию.

Фишинговые и шпионские векторы атак связаны с функциями Amazon и Google, которые предоставляются разработчикам приложений для настройки команд голосового помощника и его ответов. Выяснилось, что добавление последовательности «?. » (U+D801, точка, пробел) в команду может вызывать длительные периоды молчания, в течение которых помощник останется активен.

Если сообщить пользователю о фиктивном сбое приложения, добавив к сообщению «?. », возникнет длительная пауза, и когда через несколько минут пользователю будет направлено новое фишинговое сообщение, жертва с лёгкостью поверит, что оно никак не связано с предыдущими.

Подслушивание разговоров пользователя Google Home:

Фишинг с помощью Amazon Alexa:

Фишинг с помощью Google Home:

Подслушивание разговоров пользователя Amazon Alexa

Приложение для удалённой разблокировки, запуска двигателя и определения местоположения автомобиля Mercedes-Benz раскрывало данные аккаунтов и машин, принадлежащих другим людям.

Автолюбители, столкнувшиеся с этой ситуацией, заявили, что приложение для подключённых машин производителя Mercedes-Benz отображало информацию других людей. В результате они смогли просмотреть имена, недавнюю активность, телефонные номера и другие данные владельцев автомашин.

«В течение непродолжительного времени в нашем приложении MercedesMe отображалась некорректная информация. Отображаемая информация представляла собой кэшированную копию, а не реальные данные. Финансовая информация была не видна, а взаимодействовать и определять местонахождение транспортного средства было нельзя. Узнав о сбое, мы отключили систему, установили причину и исправили проблему»

представитель компании Донна Боланд (Donna Boland).

В приложении для умных чёткок Click to Pray eRosary обнаружена уязвимость, которая позволяла получить доступ к чужой учётной записи с использованием е-мейла владельца.

При регистрации пользователь чёток должен указать только свой электронный адрес. Вместо указания пароля приложение при каждой авторизации отправляло на этот электронный ящик PIN-код. Проблема заключалась в том, что сам PIN-код также отправлялся через сеть. Злоумышленник мог легко его узнать, всего лишь проанализировав трафик.

Имея доступ к учетной записи жертвы, атакующий мог узнать её пол, возраст, рост, вес, дату рождения, сколько раз она молилась, количество пройденных шагов в день, а также получить доступ к фотографии профиля. Злоумышленник также мог удалить учетную запись и получить доступ к следующей, созданной жертвой.

Атаки и уязвимости

В беспроводных клавиатурах Fujitsu LX390 обнаружены две опасные уязвимости, эксплуатация которых позволяет перехватить введённые пароли, если мошенник находится рядом.

Клавиатура передаёт нажатия клавиш по радиоканалу без использования шифрования. Это позволяет проанализировать и модифицировать содержимое пакетов на расстоянии до 45 метров.

Уязвимость CVE-2019-18201 даёт возможность проанализировать передачу и определить, какие клавиши были нажаты на клавиатуре.
Уязвимость CVE-2019-18200 позволяет внедрить в поток передаваемых данных нужные нажатия клавиш (атака keystroke injection) и установить вредоносное ПО.

В антивирусе Avira 2019 обнаружена опасная уязвимость, эксплуатация которой позволяла обойти защиту и повысить привилегии путем загрузки произвольной неподписанной DLL-библиотеки.

Причина уязвимости в том, что системная служба Avira ServiceHost при запуске пытается загрузить из своего каталога отсутствующую библиотеку Wintrust.dll. Если разместить в этом каталоге любую библиотеку с таким именем, она будет загружена и выполнена с привилегиями NT AUTHORITY/SYSTEM. Это позволяет злоумышленникам обойти защиту антивирусного ПО, загрузить и выполнить вредоносную полезную нагрузку в контексте подписанного процесса Avira, обеспечение постоянное присутствие в системе.

Уязвимость в защитном ПО Trend Micro Anti-Threat Toolkit позволяет запускать вредоносные приложения на компьютерах под управлением Windows, если исполняемый файл называется cmd.exe или regedit.exe.

Для эксплуатации уязвимости злоумышленнику достаточно сохранить файл с именем cmd.exe или regedit.exe на компьютере жертвы, чтобы Anti-Threat Toolkit выполнил его.

Spidey Bot превращает мессенджер Discord для Windows в средство для шпионажа и кражи информации.

Discord — бесплатный мессенджер с поддержкой VoIP и видеоконференций. Функциональность движка Electron, на базе которого сделан Discord, основана на HTML, CSS и JavaScript, что позволяет злоумышленникам модифицировать ключевые файлы и вынудить клиента заниматься вредоносной активностью.

Spidey Bot добавляет вредоносный JavaScript в файлы

%AppData%\Discord\[version]\modules\discord_modules\index.js 
%AppData%\Discord\[version]\modules\discord_desktop_core\index.js.

Затем вредонос завершает работу Discord и перезапускает программу для вступления изменений в силу.

После запуска вредоносный JavaScript использует команды Discord API и функции JavaScript для сбора информации о пользователе, которая затем передаётся злоумышленнику через веб-хук Discord. В числе этих данных

• Discord-токен пользователя;
• часовой пояс жертвы;
• разрешение экрана;
• локальный IP-адрес;
• публичный IP-адрес (WebRTC);
• информация о пользователе, в том числе имя пользователя, адрес электронной почты, номер телефона;
• данные о том, хранит ли жертва платежную информацию;
• user agent браузера;
• версия Discord;
• первые 50 символов из буфера обмена жертвы.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 11 по 17 октября 2019 года.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мобильная безопасность

Сканер отпечатка пальцев Samsung Galaxy S10 позволяет любому разблокировать устройство, если на экран смартфона наклеена гелевая защитная плёнка.

Проблему обнаружила женщина, которая после покупки защитной пленки за ?2.70 смогла разблокировать свой телефон пальцем, отпечатка которого она не сохраняла. После этого ее муж смог сделать то же самое.

Дело в том, что, когда защитная пленка расположена над ультразвуковым сканером отпечатков пальцев, он находится в прямом контакте с дисплеем, но клей, используемый для фиксации плёнки, создает очень тонкий зазор, который сбивает функциональность сканера. Сканер использует ультразвук для считывания рельефа поверхности пальца, но зазоры между пленкой и дисплеем искажают звуковые волны.

Чтобы решить эту проблему, производители разработали гелевую пленку, которая запоминает отпечатки пальцев пользователя для гарантированной разблокировки устройства. Однако в результате доступ к телефону с такой плёнкой может получить любой.

Мошеннический сайт маскируется под официальный сайт с джейлбрейками для устройств Apple.

Мошеннический сайт устанавливает на устройство жертвы файл конфигурации .mobileconfig. Этот файл создаёт на экране устройства ярлык, при нажатии на который запускается браузер без элементов пользовательского интерфейса:

В окне браузера отображается замаскированная под обычное приложение страница, которая с помощью анимацию JavaScript и CSS имитирует процесс джейлбрейка устройства.

Когда анимация заканчивается, сайт просит пользователя установить игровой автомат под названием «POP! Slots» и за неделю достичь в нём восьмого уровня якобы для завершения процесса джейлбрейка и разблокировки устройства:

С помощью этой «легенды» жертвами могут предложить установить несколько легитимными приложений, размещенными в App Store. Так мошенническая схема используется для заработка операторов сайта и их партнеров, которые разрабатывают эти игры и покупают себе такую «рекламу».

Вредоносное ПО

Мошенническая рекламная кампания в США, Италии и Японии используется для заражения пользователей macOS.

Атака начинается с того, что вредоносная реклама перенаправляет жертву на сайт, который показывает реалистичное, оформленное под системное сообщение о необходимости срочно установить обновление ПО, как правило Adobe Flash Player:

Если пользователь согласится на установку обновления, на его компьютер будут установлены два вредоноса: OSX/Shlayer и OSX/Tarmac.

Shlayer — это загрузчик для рекламного ПО. Задачи, которые решает Tarmac, пока не выяснены за исключением того, что он собирает информацию о системе, отправляет её на управляющий сервер и ожидает поступления команд.

Вредоносная программа Attor нацелена на русскоязычных сотрудников дипломатических миссий и правительственных учреждений, имеет модульную структуру и предназначена для похищения информации.

Командный сервер Attor размещен в защищенном пространстве сети TOR. Центральный компонент зловреда — диспетчер — отвечает за загрузку и установку плагинов, определяющих функциональность каждого конкретного экземпляра программы. Плагины хранятся на диске в закодированном и сжатом виде и расшифровываются непосредственно в памяти целевой машины при помощи открытого ключа RSA, встроенного в диспетчер. Такой механизм затрудняет анализ вредоноса.

Среди плагинов Attor имеются

• модуль записи звука;
• компонент для загрузки файлов;
• кейлоггер и программа перехвата буфера обмена;
• утилита для создания скриншотов;
• монитор устройств;
• прокси-сервер;
• установщик полезной нагрузки;
• TOR-клиент.

Наибольший интерес представляет модуль мониторинга, который создаёт цифровой отпечаток подключенных к компьютеру модемов, мобильных телефонов и жестких дисков. Программа отправляет устройствам AT-команды и копирует номера IMEI, идентификаторы IMSI и другие метаданные. И хотя современные смартфоны тоже поддерживают AT-команды, вредоносный модуль игнорирует подключения через USB, начиная работу только после получения сигнала через COM-порт. Предположительно, такое поведение связано с тем, что целевая группа использует для связи устаревшие модели телефонов.

Авторы новой вредоносной кампании распространяют бэкдоры и ПО для майнинга криптовалюты в аудиофайлах в формате WAV.

К каждому WAV-файлу прилагается загрузчик для декодирования и выполнения вредоносного контента, незаметно вплетенного в аудиоданные. Загрузчик используется для извлечения из аудиофайла криптовалютного майнера XMRig и кода Metasploit для установки обратной оболочки. Примечательно, что некоторые аудиофайлы с вредоносной начинкой нормально воспроизводятся без проблем с качеством, а во время проигрывания других слышен лишь белый шум.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.