Ctrl + ↑ Позднее

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 22 по 28 декабря 2017 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Сайты и электронная почта

Минфин России предупреждает о мошеннических сайтах, на которых рекламируются несуществующие госпрограммы содействия инвестициям граждан в криптовалюту. Дизайн сайтов похож на дизайн настоящего сайта Минфина. На данных ресурсах даже могут использоваться фотографии руководства министерства.

Рекламно-аналитические агентства собирают данные о логинах и адресах электронной почты пользователей, используя недоработки диспетчеров паролей в браузерах:

Для сбора данных на сайтах создаются скрытые формы авторизации, в которые услужливо подставляют данные браузерные диспетчеры паролей.

Страница для демонстрации уязвимости
Видео-демонстрация

Мошенники использовали фальшивые рекламные объявления сервиса продажи и покупки недвижимости ЦИАН в Google, в результате чего пользователи перенаправлялись на сайт мошенников с поддельными новостями:

Обратите внимание: в рекламном блоке показывается подлинный адрес сайта ЦИАН, но реальный переход по ссылке уводит пользователя на мошеннический сайт. Google AdWords позволяет задать отдельно Display URL и Final URL, хотя правила запрещают использовать в них разные домены.

Вредоносное ПО и мобильная безопасность

Банковский троян Catelites Bot маскируется под системное приложение и крадёт данные о банковских счетах и картах пользователя. Для распространения вредоноса используется вредоносная реклама и фишинговые сайты с приложениями для Android.

После установки на экране появляется некое «Системное приложение»:

После запуска оно спрашивает права администратора, и, получив их, исчезает. Вместо него на устройстве появляются знакомые пользователю иконки Gmail, Google Play и Chrome:

Если пользователь не заметит подвоха и запустит одно из этих приложений, появится оверлей, запрашивающий данные банковской карты:

Catelites Bot умеет имитировать приложения 2200 различных банков и финансовых компаний. Как только пользователь запускает банковское приложение, его тоже перекрывает оверлей, с соответствующим интерфейсом. Малварь может перехватывать SMS-сообщения, отключать звук, следить за другими запущенными задачами и многое другое:

PIN-код для разблокировки телефона можно подобрать, используя информацию с акселерометра, гироскопа, датчика расстояния и других:

Во время ввода PIN-кода телефон по-разному перемещается в пространстве при нажатии 1,5 или 9. Нажатие 1 правым большим пальцем блокирует больше света, чем при нажатии 9. Это позволяет разработать приложение, которое будет собирать данные от датчиков и, используя компьютерное обучение, с высокой точностью определять введенные пользователем цифры.

Криптомайнинг

Мошенники распространяли пиратские версии дистрибутивов популярных программ с встроенным майнером NiceHash.

В качестве приманки были созданы множество похожих сайтов, с которых предлагалось бесплатно скачать Adobe Premiere Pro, Corel Draw и другие программы:

После запуска программы установки на компьютер скрыто копировались файлы майнера:

Файл system.exe содержит vbs-скрипт, запускающий работу майнера:

Digmine распространяется через Facebook Messenger, устанавливает на зараженные машины майнер Monero и вредоносное расширение для Chrome:

Digmine маскируется под видеофайл с именем video_xxxx.zip:

Архив содержит исполняемый скрипт, который при запуске «видео» связывается с управляющим сервером:

С управляющего сервера загружается майнер криптовалюты Monero XMRig и вредоносное расширение для Chrome. Чтобы установить расширение в Chrome не из Chrome Web Store, браузер запускается из командной строки.

После установки расширение получает доступ к профилю жертвы в Facebook Messenger и рассылает всем ее контактам файлы video_xxxx.zip. Для работы механизма распространения нужно, чтобы пользователь хранил в Chrome данные для автоматического входа в свой профиль Facebook.

Устройства

Акустическая атака может вывести из строя компьютеры или систему видеонаблюдения с жёсткими дисками:

Атака основана на том, что жёсткие диски запрограммированы останавливать операции чтения/записи при возникновении вибраций.

Если подобрать частоту, на которой появится усиливающий вибрацию резонанс, жёсткий диск прервёт работу, чтобы не потерять данные, записанные на магнитных пластинах с высокой плотностью.

Приложение для управления умными светильниками Xiaomi Yeelight cобирает информацию о MAC-адресе, SSID, доступных беспроводных сетях и паролях, а также содержимое журнала логов, и отправляет их на серверы Xiaomi в Китае:

При установке приложение сканировало доступные сети Wi-Fi и запрашивало разрешения, не связанные с выполняемыми задачами: аутентификацию аккаунтов, загрузку без уведомления, доступ к звонкам и данным геолокации и другие.

Уязвимость в умных колонках Sonos и Bose позволяет взломать их и воспроизвести любой звук с любой громкостью:

Для атаки к устройству должен быть прямой доступ из интернета. Такая конфигурация часто используется для организации хранилища файлов или игрового сервера.

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 15 по 21 декабря 2017 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Почта, сайты и социальные сети

Фейсбук запустил новую функцию для защиты от фишинга. Из интерфейса Фейсбука пользователь может посмотреть, отправлялись ли ему электронные письма, связанные с безопасностью и входом в аккаунт. Для этого нужно выбрать «Настройки» — «Безопасность и вход» — «Просмотреть последние письма от Facebook»:

Если письма «от Фейсбука», которое пришло вам на почту, нет в списке, скорее всего оно было отправлено мошенниками.

Специалисты Антифишинга сообщают о новой атаке на пользователей почты Мейл.Ру:

Пользователя пугают фальшивым «предупреждением безопасности» и «переполнением ящика», и затем предлагают ввести пароль от своей почты.

Для повышения доверия мошенники используют фишинговый сайт с https, однако не слишком заботятся о своей безопасности — в частности, оставляют возможность XSS-атаки через собственный сайт.

Также наши специалисты обнаружили новую фишинговую атаку на пользователей криптовалют:

  1. Жертве сообщают об обнаруженной «подозрительной активности» в его кошельке.
  2. Кошелек якобы заблокирован и для разблокировки предлагается пройти «верификацию».
  3. При переходе по ссылке из письма пользователь попадает на полную копию настоящего сайта, которая использует защищенное https-соединение и крадет ID и пароль от кошелька жертвы.

Для большей реалистичности мошенники использовали адрес фишингового сайта с двумя специальными символами, похожими на букву с:

bloćkćhain.info

Запрос на блокировку домена уже отправлен регистратору.

Кошелек мошенников: https://blockchain.info/address/1DdKyHM9LQvayV4iJZPPSR9LMVhVY5QXBb

Стали известны подробности атаки на дочерний банк ВЭБа «Глобэкс» с выводом средств через SWIFT.

По предварительным данным, к атаке причастна группировка Cobalt. Согласно отчету Group-IB, во всех исследованных ранее случаях вектором проникновения этой группы были электронные письма с вредоносными вложениями:

Атаку удалось остановить лишь частично, было утеряно несколько десятков миллионов рублей.

Умные устройства

Ещё в шести популярных умных игрушка обнаружены опасные уязвимости, с помощью которых злоумышленники могут собирать персональные данные, шпионить за детьми и общаться с ними от имени родителей.

Обнаружился способ вызвать локальный отказ в обслуживании у банкоматов Cбербанка с помощью пятикратного нажатия Shift на клавиатуре:

Эта комбинация клавиш включает режим залипания клавиш Windows и останавливает работу пакетного файла, управляющего работой банкомата:

Вредоносное ПО

Новый вариант трояна Loki распространяется с помощью вредоносных скриптлетов в документах MS Excel.

  1. Для рассылки вредоносных файлов используются фишинговые письма.
  2. После открытия файла Excel жертве предлагается обновить внешние ссылки рабочей книги, которые указывают на вредоносные скриптлеты и загружают вредоносное ПО.
  3. Благодаря использованию внешних ссылок сам документ совершенно безобиден и не определялся антивирусами как вредоносный. Через две недели после первого появления на VT файл определяли как вредоносный всего 12 антивирусов из 59:

Вредонос Triton атакует промышленные системы управления и объекты критической инфраструктуры, оснащённые контроллерами систем инструментальной безопасности (Safety Instrumented System, SIS) от Schneider Electric.

Такие контроллеры нужны для мониторинга различных процессов на фабриках и предприятиях и для безопасного восстановления или завершения работы оборудования в случае возникновения сбоев или потенциально опасных ситуаций.

  1. Первичный вектор проникновения не раскрывается.
  2. Атакующий получает удаленный доступ к рабочим станциям под управлением Windows, отвечающим за работу с системами инструментальной безопасности.
  3. Triton маскируется под легитимное ПО для Triconex SIS, предназначенное для рабочих станций.
  4. Вредонос задействует проприетарный протокол TriStation.
  5. Если на зараженной машине имеются файлы конфигурации SIS, Triton пытается перепрограммировать контроллеры.

В итоге вредонос либо останавливает весь производственный процесс, либо вынуждает оборудование работать в небезопасном состоянии, что может нанести физический ущерб оборудованию и работающим с ним людям.

Мобильная безопасность

Функцию распознавания лиц Windows Hello удалось обмануть с помощью распечатанной на принтере фотографии:

Для атаки оказалось достаточно преобразовать фотографию в ИК-спектр и распечатать на лазерном принтере в низком разрешении. Если включить функцию усиленной защиты от спуфинга на устройстве, потребуется фото с более высоким разрешением. А если заклеить инфракрасный датчик устройства, обмануть Windows Hello можно и с помощью чёрно-белого фото.

Администрация Instagram удалила рекламу китайского производителя кроссовок Kaiwei Ni, который использовал нарисованный на экране волос для накрутки переходов на свою страницу.

Посмотрите на баннер с экрана смартфона:

Криптомайнинг

Модульный троян Loapi ворует деньги своих жертв, заваливает их рекламой и майнит криптовалюту Monero.

Троян распространяется через сеть сайтов, рекламирующих защитные решения для мобильных устройств и приложения для взрослых. Заразиться им можно при переходе по ссылке в SMS-спаме или рекламном объявлении:

После установки и запуска малварь запрашивает права администратора устройства выводя окно запроса прав до тех пор, пока пользователь не согласится:

Главная проблема для жертв заключается в том, что майнинг происходит так интенсивно, что смартфон может перегреться и физически выйти из строя:

Loapi имеет модульную структуру и может на лету менять функциональность по команде от управляющего сервера, самостоятельно загружая и устанавливая нужные дополнения:

Вдохновлённые ростом курса криптовалют сотрудники компаний используют служебное оборудование для майнинга:

  1. ФСБ задержала одного из системных администраторов центра, который майнил криптовалюту на рабочем месте. Для этого он создал криптовалютную майнинговую ферму и подключил ее к электрической сети аэропорта.
  2. Осенью 2017 из аппарата совета министров Крыма уволены два чиновника, которые в здании правительства подпольно установили программное обеспечение для «майнинга» биткоинов.
  3. В «Транснефти» были случаи добычи криптовалюты на служебном оборудовании, рассказал бывший министр внутренних дел России, вице-президент «Транснефти» по безопасности Владимир Рушайло, выступая на экспертном совете компании по кибербезопасности.
О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 8 по 14 декабря 2017 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Почта, сайты

Согласно исследования «Лаборатории Касперского», фишинговые сайты в массовом порядке переезжают на домены с HTTPS. Благодаря бесплатным сертификатам от Let’s Encrypt сделать это легко. Но даже EV SSL — платные сертификаты с расширенной проверкой — не спасают положение.

Злоумышленники могут создать поддельные компании, в именах которых содержатся слова, связанные с безопасностью, например, «Identity Verified». Если создать сайт такой компании и получить для него EV SSL-сертификат, в адресной строке будет отображаться зелёный замок и слова «Identity Verified»:

Мобильная и десктопная версии Safari полностью скрывают URL и отображают лишь название компании, полученное из EV SSL-сертификата, поэтому пользователям Apple практически невозможно распознать фишинговый сайт:

Вредоносное ПО

Новая версия бэкдора OceanLotus для macOS получила название HiddenLotus из-за использования инновационной техники маскировки.

Бэкдор распространяется через приложение Lê Thu Hà (HAEDC).pdf, замаскированное под файл Adobe Acrobat. Приложение эксплуатирует функцию карантина, которая запрашивающую подтверждение у пользователя при открытии любых файлов, загруженных из интернета.


При попытке открыть исполняемый файл на экране появляется всплывающее предупреждение.

HiddenLotus действительно имеет расширение .pdf, но буква «d» в расширении заменена строчной римской цифрой D (число 500).

macOS распознает бэкдор как файл с неизвестным расширением и предлагает выбрать приложение для запуска файла или найти его в Mac App Store. Из-за римской цифры в расширении .pdf система не находит программу для открытия файла и считает его приложением, несмотря на отсутствие расширения .app.

Вымогатель Spider атакует пользователей с помощью фишинговых писем, содержащих вредоносные документы MS Office на боснийском языке.

Документ содержит обфусцированный код на VBA, запускающий Powershell-скрипт, после запуска которого загружается, расшифровывается и запускается исполняемый модуль вредоноса.

Файлы Spider располагаются в папке

%APPDATA%/Spider

Исполняемый файл enc.exe шифрует файлы пользователя по алгоритму AES и добавляет к ним расширения «.spider».

Закончив работу, он выводит требование выкупа, причём жертве даётся 96 часов (четверо суток) на то, чтобы заплатить выкуп в биткоинах для получения ключа для расшифровки:

Вымогатели заботятся о своих жертвах, подробно разъясняя, как использовать Tor и как купить биткоины для оплаты выкупа. Для особо непонятливых имеется даже ссылка на видеоруководство.

После оплаты выкупа жертва сможет расшифровать свои файлы с помощью полученного от злоумышленников ключа и программы dec.exe.

Мобильная безопасность

Приложение PinMe позволяет отслеживать точное местоположение мобильного устройства, даже если на нём выключен GPS.

Множество датчиков, которыми оснащены современные телефоны, позволяют собирать данные, сверив которые с информацией из внешних источников, например с топографическими картами, прогнозом погоды и IP-адресами общедоступных сетей Wi-Fi, можно получить точное местоположение пользователя.

Получая информацию от гироскопов, акселерометров и датчиков высоты, PinMe определяет способ передвижения владельца смартфона.

Криптомайнинг

Разработчики блокировщика рекламы AdGuard обнаружили, что несколько популярных онлайновых видеоплееров майнят криптовалюту Monero. Среди уличённых в майнинге сайты Openload, Streamandgo, Rapidvideo.com, OnlineVideoConverter.com.

Прежде, чем смотреть любимый сериал в онлайне, убедитесь, что ваш компьютер параллельно не занимается майнингом: хотя бы посмотрите загрузку процессора через диспетчер задач.

Добыча цифрового золота привлекает всё больше участников. Многие даже злоупотребляют своим положением, чтобы намайнить как можно больше.

В кофейнях Starbucks в Буэнос-Айресе ноутбуки пользователей, подключившихся к бесплатному Wi-Fi использовались для добычи криптовалюты Monero без ведома владельцев.

Виновником произошедшего оказался интернет-провайдер, установивший точки доступа Wi-Fi в кофейнях. Он не только предоставлял интернет, но и внедрял майнинговый скрипт на страницы сайтов, которые просматривали посетители.

Умные устройства

Оружейные сейфы Vaultek VT20i содержат уязвимость BlueSteal, которая позволяет дистанционно открыть его с помощью подбора пароля или перехвата кода открытия.

Мобильное приложение, с помощью которого можно управлять сейфом, нужно предварительно «спарить» с сейфом. При этом код спаривания аналогичен коду, открывающему сейф, а количество попыток ввода комбинации не ограничено. Задействовав брутфорс во время «спаривания» устройств, можно вычислить PIN-код сейфа простым перебором.

Также выяснилось, что после спаривания с приложением сейф не проверяет корректность полученного PIN-кода, поэтому достаточно передать ему команду открытия с привязанного смартфона с любым PIN-кодом. Сам PIN-код передается в формате обычного текста и никак не защищен.

Видео: демонстрация взлома сейфа

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Ctrl + ↓ Ранее