{
    "version": "https:\/\/jsonfeed.org\/version\/1",
    "title": "Блог Start X: заметки с тегом фишин",
    "_rss_description": "как поведение людей влияет на безопасность Наши продукты • Дайджесты • Статьи • Список постов",
    "_rss_language": "ru",
    "_itunes_email": "",
    "_itunes_categories_xml": "",
    "_itunes_image": "",
    "_itunes_explicit": "",
    "home_page_url": "https:\/\/blog.startx.team\/tags\/fishin\/",
    "feed_url": "https:\/\/blog.startx.team\/tags\/fishin\/json\/",
    "icon": "https:\/\/blog.startx.team\/user\/userpic@2x.jpg?1687861408",
    "author": {
        "name": "Start X",
        "url": "https:\/\/blog.startx.team\/",
        "avatar": "https:\/\/blog.startx.team\/user\/userpic@2x.jpg?1687861408"
    },
    "items": [
        {
            "id": "135",
            "url": "https:\/\/blog.startx.team\/all\/digest-126\/",
            "title": "Антифишинг-дайджест №126 с 28 июня по 4 июля 2019 года",
            "content_html": "<p main>\r\n    <i>Представляем новости об актуальных технологиях фишинга и других атаках на человека c 28 июня по 4 июля 2019 года.<\/i>\r\n    <br \/>\r\n<\/p>\n<p aside style=\"opacity: 1; text-align: center;\">\r\n    <img src=\"\/pictures\/andrey2.jpg\" width=\"40%\" \/> <br \/>\r\n    <a href=\"mailto:digest@antiphish.ru\">Андрей Жаркевич<\/a><br \/> редактор<br \/><br \/>\r\n<img src=\"https:\/\/blog.antiphish.ru\/pictures\/artemy.png\" width=\"40%\"\/> <br \/>\r\n<a href=\"mailto:ab@antiphish.ru\">Артемий Богданов<\/a><br \/>технический директор<br \/><br \/>\r\n<img src=\"https:\/\/blog.antiphish.ru\/pictures\/svoldokhin_new.jpg\" width=\"40%\"\/> <br \/>\r\n<a href=\"mailto:sv@antiphish.ru\">Сергей Волдохин<\/a> <br \/>\r\nвыпускающий редактор\r\n<\/p>\n<style>\r\n    ._line {\r\n        margin: 1em 0;\r\n        height: 1px;\r\n        background: black;\r\n        background: -webkit-gradient(linear, 0 0, 100% 0, from(#fff), color-stop(20%, #d9d9d9), color-stop(80%, #d9d9d9), to(#fff));\r\n        width: 80%;\r\n    }\r\n<\/style>\n<h2>Сайты, почта и мессенджеры<\/h2>\n<p><a href=\"https:\/\/research.checkpoint.com\/operation-tripoli\/\">Социальная сеть Facebook с 2014 года использовалась для распространения троянов удаленного доступа (RAT) <\/a>.<\/p>\n<p><img src=\"https:\/\/blog.antiphish.ru\/pictures\/Libfig14-1.png\" \/><\/p>\n<p>Жертвами вредоносной кампании десятки тысяч пользователей из Ливии, Европы, США и Китая. Целью кампании было распространение вредоносных программ Houdini, Remcos и SpyNote.<\/p>\n<div class=\"e2-text-picture\">\n<div class=\"fotorama\" data-width=\"494\" data-ratio=\"0.71181556195965\">\n<img src=\"https:\/\/blog.startx.team\/pictures\/Livia-1.png\" width=\"494\" height=\"694\" alt=\"\" \/>\n<img src=\"https:\/\/blog.startx.team\/pictures\/Libfig12a.png\" width=\"492\" height=\"521\" alt=\"\" \/>\n<img src=\"https:\/\/blog.startx.team\/pictures\/Libfig12b.png\" width=\"498\" height=\"472\" alt=\"\" \/>\n<\/div>\n<\/div>\n<p>Киберпреступники использовали беспорядки в Ливии в качестве наживки:<\/p>\n<ol start=\"1\">\n<li>Создали фальшивую страницу главнокомандующего национальной армией Ливии и привлекли на неё более 11 тысяч подписчиков.<\/li>\n<li>Каждая публикация этого аккаунта сопровождалась ссылкой, которая якобы вела на ресурс с информацией о политике Ливии.<\/li>\n<li>Если пользователь переходил по этому URL, он попадал на мошенническую страницу, откуда под видом полезных документов загружалось вредоносное ПО для Windows и Android.<\/li>\n<\/ol>\n<h2>Атаки, уязвимости и утечки<\/h2>\n<p><a href=\"https:\/\/www.mimecast.com\/blog\/2019\/06\/exploit-using-microsoft-excel-power-query-for-remote-dde-execution-discovered\/\">Технология Microsoft Excel Power Query может применяться для запуска в системах пользователей вредоносного кода прямо из таблиц Excel<\/a>.<\/p>\n<div class=\"e2-text-picture\">\n<img src=\"https:\/\/blog.startx.team\/pictures\/power-query-image-2.jpg\" width=\"1560\" height=\"509\" alt=\"\" \/>\n<\/div>\n<p>Используя Power Query, атакующие могут внедрить вредоносный контент в отдельный источник данных, а затем загрузить его в электронную таблицу во время ее открытия. При этом вредоносный код не требует взаимодействия с пользователем и не обнаруживается антивирусными сканерами.<\/p>\n<p>Чтобы обойти запрос разрешения на получение данных от стороннего ресурса  в Office 2016, достаточно модифицировать заголовки HTTP-запросов. По содержимому поля Referer вредоносный сервер различит обращения антивирусного сканера и электронной таблицы, а затем передаст в ответ безобидный код или полезную нагрузку.<\/p>\n<div class=\"_line\"><\/div><p><a href=\"https:\/\/www.vpnmentor.com\/blog\/report-orvibo-leak\/\">В открытом доступе обнаружена база данных с конфиденциальными сведениями о  пользователях умных устройств Orvibo<\/a>. Любой желающий может получить доступ к более чем 2 млрд логов, сформированных IoT-устройствами.<\/p>\n<div class=\"e2-text-picture\">\n<div class=\"fotorama\" data-width=\"1366\" data-ratio=\"1.8310991957105\">\n<img src=\"https:\/\/blog.startx.team\/pictures\/orvibo-data.png\" width=\"1366\" height=\"746\" alt=\"\" \/>\n<img src=\"https:\/\/blog.startx.team\/pictures\/orvibo-server.png\" width=\"761\" height=\"304\" alt=\"\" \/>\n<\/div>\n<\/div>\n<p>В обнаруженных базах присутствуют:<\/p>\n<ul>\n<li>адреса электронной почты;<\/li>\n<li>пароли;<\/li>\n<li>коды для сброса аккаунта;<\/li>\n<li>точные координаты устройств;<\/li>\n<li>IP-адреса;<\/li>\n<li>имена и идентификаторы пользователей;<\/li>\n<li>фамилии владельцев оборудования;<\/li>\n<li>семейные идентификаторы;<\/li>\n<li>название IoT-приборов;<\/li>\n<li>данные о других подключенных устройствах;<\/li>\n<li>календарь пользователя.<\/li>\n<\/ul>\n<p>Обладая скомпрометированными данными, злоумышленники могут организовать широкий спектр атак, включая проникновение в жилище жертвы. При помощи кода для сброса аккаунта киберпреступники имеют возможность поменять не только пароль, но и электронный адрес пользователя, полностью перехватив управление устройством. Кроме того нападающие могут манипулировать видеокамерами, электронными замками, освещением и розетками.<\/p>\n<h2>Мобильная безопасность<\/h2>\n<p><a href=\"https:\/\/www.wandera.com\/mobile-security\/scary-granny-game-stealing-data\/\">В Google Play обнаружена вредоносная игра Scary Granny ZOMBYE Mod: The Horror Game 2019, которая похищает конфиденциальную информацию и показывает нежелательную рекламу<\/a>.<\/p>\n<div class=\"e2-text-picture\">\n<img src=\"https:\/\/blog.startx.team\/pictures\/e1561669160669.png\" width=\"1024\" height=\"307\" alt=\"\" \/>\n<\/div>\n<p>Приложение начинает вредоносную деятельность через два дня после установки, причём только в случае, если игра установлена на старые версии Android. В этом случае активируется модуль для похищения данных.<\/p>\n<div class=\"e2-text-picture\">\n<img src=\"https:\/\/blog.startx.team\/pictures\/Screen-Shot08.30-PMZom.png\" width=\"1024\" height=\"696\" alt=\"\" \/>\n<\/div>\n<p>Вредонос обеспечивает себе постоянное присутствие на устройстве, запрашивая у пользователей разрешение на выполнение после перезапуска смартфона или планшета. В результате даже после перезагрузки игра может отображать полноэкранные фишинговые уведомления, в которых сообщается о необходимости «обновить сервисы безопасности Google», авторизовавшись в учётной записи Google.<\/p>\n<p>Получив учетные данные, приложение похищает электронные адреса для восстановления аккаунта, телефонные номера, проверочные коды, даты рождения, токены и файлы cookie.<\/p>\n<div class=\"e2-text-picture\">\n<img src=\"https:\/\/blog.startx.team\/pictures\/Granny-is-Zombie.jpg\" width=\"1024\" height=\"498\" alt=\"\" \/>\n<\/div>\n<p>Также Scary Granny отображает рекламу, скрытую от пользователя под видом других приложений (в том числе Amazon, Facebook, Facebook Lite, HaGo, Hulu, Instagram, Messenger, Pinterest, Snapchat, TikTok или Zalo).<\/p>\n<h2>Вредоносное ПО<\/h2>\n<p><a href=\"https:\/\/securelist.ru\/sodin-ransomware\/94316\/\">Новый шифровальщик Sodin использует архитектурные особенности процессора для маскировки и распространяется по модели «Вымогатель как услуга»<\/a>.<\/p>\n<div class=\"e2-text-picture\">\n<img src=\"https:\/\/blog.startx.team\/pictures\/sodin_ransom_16.png\" width=\"808\" height=\"353\" alt=\"\" \/>\n<\/div>\n<ol start=\"1\">\n<li>Вредонос распространяется через уязвимости в Oracle WebLogic и MSP-провайдерах.<\/li>\n<li>Попав на компьютер, он повышает свои привилегии до максимальных, эксплуатируя уязвимость CVE-2018-8453 в win32k.sys.<\/li>\n<li>Для шифрования файлов жертвы Sodin использует гибридную схему: cодержимое файлов шифруется симметричным потоковым алгоритмом Salsa20, а ключи для него — асимметричным алгоритмом на эллиптических кривых.<\/li>\n<li>Зашифрованные файлы получают новое произвольное расширение, одинаковое для каждого случая заражения. Рядом с ними сохраняется текст с требованиями, а на рабочий стол устанавливаются сгенерированные зловредом обои.<\/li>\n<\/ol>\n<div class=\"e2-text-picture\">\n<img src=\"https:\/\/blog.startx.team\/pictures\/sodin_ransom_15.png\" width=\"743\" height=\"865\" alt=\"\" \/>\n<\/div>\n<div class=\"_line\"><\/div><p><a href=\"https:\/\/www.vice.com\/en_us\/article\/7xgame\/at-chinese-border-tourists-forced-to-install-a-text-stealing-piece-of-malware\">Китайские таможенники устанавливают на смартфоны туристов, въезжающих в страну, шпионскую программу, которая сканирует устройство на предмет экстремистского контента и передаёт информацию властям<\/a>.<\/p>\n<p>Телефоны изымаются для проверки, при этом туристов просят разблокировать устройство. Айфоны таможенники подключают к специальному устройству, сканирующему его контент. На Android-смартфоны устанавливается шпионская программа под названием BXAQ или F?ng c?i.<\/p>\n<p><img src=\"https:\/\/blog.antiphish.ru\/pictures\/1562065619503_commiuihome.png\" width=\"70%\" \/><\/p>\n<p>Программа собирает и отправляет на свой сервер контакты, SMS, историю звонков, записи в календаре и логины для некоторых приложений. Устройство сканируется на предмет наличия одного из более чем 73 тысяс файлов, связанных с экстремистским контентом.<\/p>\n<div class=\"_line\"><\/div><p><a href=\"https:\/\/www.welivesecurity.com\/2019\/06\/20\/loudminer-mining-cracked-vst-software\/\">Многоплатформенный майнер LoudMiner работает на macOS и Windows и маскируется под различные пиратские приложения для работы со звуком<\/a>. В качестве приманки могут использоваться программы Ableton Live, Nexus, Reaktor 6, Propellerhead Reason, Virtual Studio Technology и другие.<\/p>\n<div class=\"e2-text-picture\">\n<img src=\"https:\/\/blog.startx.team\/pictures\/LoudMinFig51.png\" width=\"776\" height=\"406\" alt=\"\" \/>\n<\/div>\n<p>Использование таких программ в качестве наживки обусловлено тем, что пользователь может долгое время не замечать присутствие майнера: программы для работы со звуком значительно увеличивают нагрузку на процессор, поэтому жертва может не обратить внимания, что на самом деле ее система майнит криптовалюту.<\/p>\n<p>Для майнинга используется виртуальная машина Tiny Core Linux, настроенная для запуска XMRig, а также способная поддерживать связь с C&C-сервером злоумышленников для получения своевременных обновлений и инструкций.<\/p>\n<div style=\"margin-top: 2em; padding: 2em; background-color: cornsilk; width: 80%; margin-bottom: 1em;\" class=\"wrapper\"><div class=\"castom-wrapper\"><div class=\"castom-img\"><p><a href=\"https:\/\/www.antiphish.ru\/\"><br \/>\n<img src=\"https:\/\/blog.antiphish.ru\/pictures\/af-logo-blue-200.png\" class=\"ico-antph\"><br \/>\n<\/a><\/p>\n<\/div><div class=\"castom-text\"><p><b>О компании «<a href=\"https:\/\/www.antiphish.ru\/\">Антифишинг<\/a>»<\/b><br \/>\n<br>Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.<\/p>\n<p>\r\n      Заполните <a href=\"https:\/\/www.antiphish.ru\/\">форму на сайте<\/a> или <a href=\"mailto:ask@antiphish.ru\">напишите нам<\/a>, чтобы обучить и проверить своих сотрудников.<\/p>\n<\/div><\/div><\/div><link href=\"\/\/cdn-images.mailchimp.com\/embedcode\/classic-10_7.css\" rel=\"stylesheet\" type=\"text\/css\">\r\n<div style=\"padding: 2em; border: 2px solid #1996D4; width: 80%;\" class=\"wrapper\">\r\n  <b>\r\n    <a href=\"tg:\/\/resolve\/?domain=antph\">Телеграм-канал Антифишинга<\/a>\r\n    <br>\r\n  <\/b>\r\n  <div class=\"castom-wrapper\">\r\n    <div class=\"castom-img\">\r\n      <a href=\"tg:\/\/resolve\/?domain=antph\">\r\n        <img src=\"https:\/\/blog.antiphish.ru\/pictures\/iconfinder_social-56_1591869.png\" style=\"max-width: 100%;\">\r\n      <\/a>\r\n    <\/div>\r\n    <div class=\"castom-text\">\r\n      <span>Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.<\/span>\r\n      <br><br>\r\n      <span>Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.\r\n      <\/span>\r\n    <\/div>\r\n  <\/div>\r\n<\/div>\r\n<br>\r\n<div style=\"padding: 2em; border: 2px solid #4CAF50; width: 80%;\" class=\"wrapper\">\r\n  <b>Оставайтесь в безопасности<\/b>\r\n  <p>Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.<\/p>\n<div id=\"mc_embed_signup\"><p><form action=\"https:\/\/antiphish.us12.list-manage.com\/subscribe\/post?u=5bc2379b1c3f318ccd3523105&amp;id=9663ee2d1b\" method=\"post\" id=\"mc-embedded-subscribe-form\" name=\"mc-embedded-subscribe-form\" class=\"validate\" target=\"_blank\" novalidate=\"\" style=\"padding: 0px;\"><\/p>\n<div id=\"mc_embed_signup_scroll\"><div class=\"mc-field-group\"><p><label for=\"mce-EMAIL\">Эл. почта: <\/label><br \/>\n<input type=\"email\" value=\"\" name=\"EMAIL\" class=\"required email\" id=\"mce-EMAIL\"><\/p>\n<\/div><div id=\"mce-responses\" class=\"clear\"><div class=\"response\" id=\"mce-error-response\" style=\"display:none\"><\/div><div class=\"response\" id=\"mce-success-response\" style=\"display:none\"><\/div><\/div><!-- real people should not fill this in and expect good things - do not remove this or risk form bot signups--><div style=\"position: absolute; left: -5000px;\" aria-hidden=\"true\"><p><input type=\"text\" name=\"b_5bc2379b1c3f318ccd3523105_9663ee2d1b\" tabindex=\"-1\" value=\"\"><\/p>\n<\/div><div class=\"clear\"><p><input type=\"submit\" value=\"Подписаться\" name=\"subscribe\" id=\"mc-embedded-subscribe\" class=\"button\"><\/p>\n<\/div><\/div><p><\/p>\n<p><\/form><\/p>\n<\/div><\/div><p><br \/><\/p>\n<script type=\"text\/javascript\" src=\"https:\/\/vk.com\/js\/api\/openapi.js?162\"><\/script>\n<!-- VK Widget --><div id=\"vk_groups\" class=\"vk_groups\" style=\"overflow:hidden\"><\/div><script type=\"text\/javascript\">\r\n  VK.Widgets.Group(\"vk_groups\", { mode: 1, width: \"400\", overflow: \"hidden\" }, 185030667);\r\n<\/script>\n",
            "date_published": "2019-07-04T17:09:21+03:00",
            "date_modified": "2020-07-24T16:12:35+03:00",
            "image": "https:\/\/blog.startx.team\/pictures\/Livia-1.png",
            "_date_published_rfc2822": "Thu, 04 Jul 2019 17:09:21 +0300",
            "_rss_guid_is_permalink": "false",
            "_rss_guid": "135",
            "_e2_data": {
                "is_favourite": false,
                "links_required": [
                    "system\/library\/jquery\/jquery.js",
                    "system\/library\/fotorama\/fotorama.css",
                    "system\/library\/fotorama\/fotorama.js"
                ],
                "og_images": [
                    "https:\/\/blog.startx.team\/pictures\/Livia-1.png",
                    "https:\/\/blog.startx.team\/pictures\/Libfig12a.png",
                    "https:\/\/blog.startx.team\/pictures\/Libfig12b.png",
                    "https:\/\/blog.startx.team\/pictures\/power-query-image-2.jpg",
                    "https:\/\/blog.startx.team\/pictures\/orvibo-data.png",
                    "https:\/\/blog.startx.team\/pictures\/orvibo-server.png",
                    "https:\/\/blog.startx.team\/pictures\/e1561669160669.png",
                    "https:\/\/blog.startx.team\/pictures\/Screen-Shot08.30-PMZom.png",
                    "https:\/\/blog.startx.team\/pictures\/Granny-is-Zombie.jpg",
                    "https:\/\/blog.startx.team\/pictures\/sodin_ransom_16.png",
                    "https:\/\/blog.startx.team\/pictures\/sodin_ransom_15.png",
                    "https:\/\/blog.startx.team\/pictures\/LoudMinFig51.png"
                ]
            }
        }
    ],
    "_e2_version": 3820,
    "_e2_ua_string": "E2 (v3820; Aegea)"
}