197 заметок с тегом

фишинг

Представляем новости об актуальных технологиях фишинга и других атаках на человека с 9 по 15 октября 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мобильная безопасность

Новый Android-вымогатель MalLocker.B блокирует смартфон и требует у жертвы выкуп, утверждая, что пользователь посещал сайты с детской порнографией.

Вредонос скрывается внутри приложений, которые распространяются через различные форумы и сторонние сайты. Подобно многим другим мобильным вымогателям, MalLocker не шифрует файлы пользователя, а лишь блокирует доступ к телефону.

Проникнув на устройство, MalLocker захватывает экран и от имени МВД.РФ сообщает, что жертва должна оплатить штраф за нарушение закона.

Для блокировки экрана MalLocker злоупотребляет уведомлением о входящем звонке. Эта функция, активируется во время получения входящих вызовов и отвечает за отображение подробной информации о вызывающем абоненте. Малварь использует ее для отображения окна, которое полностью закрывает весь экран. Вторая функция, которую использует вредонос срабатывает, когда пользователь хочет перевести приложение в фоновый режим и переключиться на другое приложение. Она запускается при нажатии кнопок Home или Recents. Используя эту функцию, MalLocker удерживает записку с требованием выкупа на переднем плане, не позволяя пользователю переключиться на другое приложение.

Атаки и уязвимости

В Bluetooth-стеке Linux обнаружены критические уязвимости BleedingTooth, которые можно использовать для запуска произвольного кода и доступа к конфиденциальной информации.

Всего уязвимостей три:

  1. CVE-2020-12351 — наиболее опасная уязвимость, получившая оценку в 8,3 из 10 баллов по шкале CVSS. Проблема может быть использована удаленным злоумышленником, которому известен Bluetooth MAC-адрес устройства. Отправив вредоносный пакет l2cap, злоумышленник может вызвать состояние «отказа в обслуживании» или выполнить произвольный код с привилегиями ядра, обеспечив проведение атаки zero-click без взаимодействия с пользователем.
  2. CVE-2020-12352 — уязвимость раскрытия информации в стеке. Оценка опасности — 5,3 из 10 баллов по шкале CVSS. Зная Bluetooth MAC-адрес жертвы, злоумышленник может получить информацию о стеке ядра, содержащую различные указатели, которые можно использовать для прогнозирования структуры памяти и для обхода защиты KASLR (рандомизация размещения адресного пространства ядра).
  3. CVE-2020-24490 — уязвимость переполнения буфера кучи, которая может быть использована для вызова состояния «отказа в обслуживании» или выполнения произвольного кода с привилегиями ядра.

Уязвимы для BleedingTooth только устройства, оснащенные чипами Bluetooth 5 и находящиеся в режиме сканирования.

Клиент Центра обновления Windows можно использовать для выполнения вредоносного кода на системе в рамках метода Living off the Land (LoL).

Wuauclt.exe — служебная программа, которая предоставляет пользователям частичный контроль над некоторыми функциями агента обновления Windows из командной строки. Она позволяет проверять наличие новых обновлений и устанавливать их без использования пользовательского интерфейса Windows.

Оказалось, что используя эту программу, можно запустить из командной строки любой DLL-модуль, используя следующие параметры:

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

Такой вариант запуска вредоносной DLL позволяет обойти антивирусную защиту, контроль приложений и даже проверку цифровой подписи.

Умные устройства

Детские умные часы Xplora 4 содержат скрытые функции, которые можно активировать, отправив зашифрованную SMS.

Умные часы Xplora 4.

Для использования этого бэкдора необходимо знать номер телефона целевого устройства и его заводской ключ шифрования. Злоумышленник с физическим доступом к устройству может получить эти сведения с помощью специальных инструментов.

«Бэкдор не является уязвимостью. Это набор намеренно разработанных функций, которые включают удаленную съемку фотографий, отправку данных о местоположении и прослушивание телефонных разговоров через встроенный микрофон и активируются при получении специальной SMS-команды на устройство».

специалисты компании Mnemonic

Обнаружение скрытого кода связано с тем, что при разработке гаджета были учтены пожелания родителей, которые хотели получить возможность связаться с детьми в чрезвычайной ситуации и получить изображение местоположения в случае похищения. Компания-разработчик включила эти функции в прототип, но в коммерческой версии по соображениям конфиденциальности решила их спрятать.

Легитимный домен фитнес-гаджетов Fitbit можно использовать для загрузки вредоносных приложений на носимые устройств компании.

С помощью социальной инженерии злоумышленники могут заставить жертву загрузить и установить вредоносное приложение, позволяющее похищать данные о ее здоровье, собранные датчиками устройств Fitbit и смартфонов. Причём использовать для размещения такой программы можно официальный магазин приложений Fitbit Gallery.

Вредоносное приложение может похищать такие данные, как тип и местоположение устройства, пол, возраст, рост, вес и пульс пользователя, а также календарь. Программный интерфейс Fitbit позволяет сделать вредоносный циферблат с функциями примитивного сетевоuj сканера, который может получать доступ к внутренним сетевым объектам и службам.

Инциденты

Компания Software AG стала жертвой кибератаки с использованием шифровальщика Clop, в результате которой файлы были зашифрованы и похищены.

Из-за инцидента компания была вынуждена закрыть свои внутренние системы. Сообщается, что служба поддержки и внутренние коммуникации были переведены в автономный режим, но основные сервисы, ориентированные на клиентов, включая облачные сервисы, не пострадали.

За расшифровку и удаление украденных данных преступники потребовали выкуп в размере 23 млн долларов США, однако Software AG отказалась платить вымогателям. Те, чтобы надавить на руководство компании, начали публиковать похищенную информацию в Даркнете. Среди публикаций — сканированные документы, удостоверяющие личность сотрудников компании, включая паспортные данные, а также внутренняя электронная почта и финансовая информация:

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






дайджестфишинг

Представляем новости об актуальных технологиях фишинга и других атаках на человека со 2 по 8 октября 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошеннические кампании

Новая мошенническая схема эксплуатирует бренд Zoom, чтобы заманить пользователей на мошеннические сайты.

Схема атаки:

  1. Жертва получает письмо от официального сервиса Zoom, в котором указано, что ей положена компенсация за COVID-19. В письме содержится ссылка на сайт мошенников:

2. Для отправки письма с официального адреса Zoom мошенники используют тот факт, что при регистрации Zoom предлагает пользователю заполнить профиль — указать «Имя» и «Фамилию», предоставляя возможность вставить до 64-х символов в каждое поле. После регистрации Zoom предлагает новому клиенту пригласить до десяти новых пользователей, указав их почтовый адрес. Мошенники вводят адреса потенциальных жертв, которым приходит официальное уведомление от имени команды сервиса видеоконференций (no-reply@zoom[.]us), но с содержанием, которое составили интернет-аферисты.

3. Если жертва перейдёт по ссылке, она попадёт на один из мошеннических ресурсов: «Официальный компенсационный центр», «Экспресс-лотерея», «Банк-онлайн (Вам поступил денежный перевод)», «Гранд опрос» или «Фонд финансовой поддержки потребителей»

4. На сайте жертве предлагали ввести 4 или 6 последних цифр номера ее банковской карты, после чего рассчитывали «компенсацию» в сумме от 30 000 до 250 000 рублей.

5. Чтобы получить эти деньги, жертва должна оплатить небольшую сумму «за юридическую помощь в заполнении анкеты» — около 1 000 рублей.

6. Если пользователи вводили данные карты на мошенническом ресурсе, они попадали к преступникам, которые списывали с них все деньги.

Мошенники похищают учётные данные пользователей Windows 7, предлагая им бесплатное обновление до Windows 10.

Схема атаки:

  1. Жертва получает качественно оформленное письмо, в котором расписываются преимущества Windows 10 и предлагается для обновления перейти на специальный сайт:

2. Если жертва переходит по ссылке, ей предлагается сначала ввести свои данные в форму для входа в учётную запись Microsoft:

3. После того, как жертва ввёдет учётные данные, они отправляются злоумышленникам, а наивного пользователя перенаправляют на официальную страницу Microsoft, сообщающую об окончании поддержки Windows 7:

Киберпреступники похитили у американской компании 15 млн долларов США, используя только электронную почту. Проведение BEC-кампании заняло четыре недели.

Схема кампании:

  1. Злоумышленники скомпрометировали учётную запись пользователя и получили доступ его почтовому ящику, содержавшему переписку о переводе денежных средств.
  2. С помощью сервиса электронной почты Microsoft Office 365 киберпреступники подделали домены двух сторон, участвовавших в транзакции. Использование Microsoft Office 365 позволило им сделать письма не вызывающими подозрений и способными обходить защитные решения.
  3. Через регистратора доменов GoDaddy злоумышленники зарегистрировали два домена, очень похожие на домены, принадлежащие настоящим компаниям-участникам переписки.
  4. В течение четырех недель киберпреступники отслеживали письма высшего руководства атакуемой компании. Когда дело дошло до обсуждения перевода денег, они «вклинились» в беседу с поддельного домена, похожего на домен одной из сторон переговоров, и предоставили подложные банковские реквизиты.
  5. Чтобы скрыть кражу, преступники перевели деньги на счета в зарубежных банках и запутали след. Кроме того они создали правила фильтрации, согласно которым письма с определенных электронных адресов попадали в скрытую папку, в результате владельцы почтовых ящиков не видели писем с обсуждением перевода денег.

Атаки и уязвимости

Неизвестные киберпреступники проводят бесфайловые атаки, внедряя вредоносный код в легитимную службу регистрации ошибок Windows (Windows Error Reporting, WER) для обхода обнаружения.

Вредоносный документ из фишингового письма.

Этапы атаки:

  1. Жертва получает фишинговое письмо с вредоносным документом в zip-архиве, якобы содержащим требование компенсации для работника.
  2. После открытия документа управление получал вредоный макрос CactusTorch VBA, загружающий полезную нагрузку .NET непосредственно в память атакуемого Windows-устройства.
  3. Далее происходила инъекция шелл-кода в процесс WerFault.exe, относящийся к системной службе WER. Такая атака не оставляла никаких следов на жёстком диске компьютера.
  4. Внедрённый код запускался в новом потоке WER, проходил несколько антианалитических проверок, чтобы узнать, отлаживается ли он, работает ли на виртуальной машине или в песочнице.
  5. Если все проверки проходили успешно, вредоносное ПО расшифровало и загружало в новом потоке WER финальный shell-код, который затем выполнялся в новом потоке.
  6. После этого загружалась и вводилась в новый процесс WER финальная полезная нагрузка, хранящаяся на взломанном сайте в виде поддельного фавикона.

В популярных антивирусных решениях обнаружен ряд уязвимостей, которые позволяют злоумышленникам повысить свои привилегии, помогая вредоносным программам закрепиться на скомпрометированных системах.

Самыми опасными проблемами:

  • возможность удалять файлы из произвольных мест,
  • возможность удалить содержимое любого файла на компьютере.

Проблемы связаны с установленными по умолчанию списками избирательного управления доступом (Discretionary Access Control Lists, DACL) для папки «C:\ProgramData» в Windows, которые используются приложениями для хранения данных для пользователей без дополнительных разрешений.

Список антивирусов и уязвимостей:

  1. Kaspersky — CVE-2020-25045 , CVE-2020-25044 и CVE-2020-25043;
  2. McAfee — CVE-2020-7250 и CVE-2020-7310;
  3. Symantec — CVE-2019-19548;
  4. Fortinet — CVE-2020-9290;
  5. Checkpoint — CVE-2019-8452;
  6. Trend Micro — CVE-2019-19688, CVE-2019-19689 , CVE-2019-19690 , CVE-2019-19691 и CVE-2019-19692;
  7. Avira — CVE-2020-13903;
  8. Microsoft — CVE-2019-1161.

Умные устройства

Умный пульт дистанционного управления XR11 для телеприставок содержит уязвимости, которые могут превратить его в шпионское устройство.

Смарт-устройство получают абоненты компании Xfinity, которая принадлежит американской телекоммуникационной корпорации Comcast. С его помощью они могут отдавать телеприставкам голосовые команды. Заменив прошивку вредоносной, хакеры могут инициировать постоянное включение микрофона и слушать всё происходящее рядом с пультом.

Демонстрация замены прошивки на вредоносную. После её установки пульт получает имя WarezTheRemote:

Уязвимость стала результатом двух факторов:

  1. Соединение между пультом и приставкой шифруется, однако прошивка не проверяет, что на ответ на зашифрованный запрос также зашифрован, что позволяет отправлять вредоносные ответы в незашифрованном виде.
  2. Каждые 24 часа пульт автоматически проверяет наличие доступных обновлений прошивки, отправляя приставке соответствующий запрос. Подделав ответ от приставки, можно сообщить пульту о наличии обновлений прошивки и подсунуть вместо легитимной вредоносную.

Мужской пояс верности Cellmate содержит многочисленные проблемы с безопасностью, что позволяет хакерам удаленно блокировать и открывать его. При этом возможности ручного управления для «аварийного» открывания или физического ключа для Cellmate не предусмотрено.

Основная проблема Cellmate заключается в его программном интерфейсе (API), который используется для связи между гаджетом и специальным мобильным приложением. API оказался открыт любому желающему и не защищен паролем, а из-за этого кто угодно может захватить контроль над устройством любого пользователя. Это позволяет не только удаленно управлять Cellmate, но и получить доступ к личной информации жертвы, включая данные о местоположении и пароли.

После изучения десяти умных электрических розеток от TP-Link, Hive, Hictkon, Meross и Ajax Online выяснилось, что в девяти продуктах содержится 13 уязвимостей, в том числе три высокоопасных и три критических.

Смарт-розетка Hictkon.

Среди обнаруженных проблем присутствуют, например, такие:

  • в смарт-розетках Hictkon с двойными USB-портами активное подключение расположено слишком близко к чипу для мониторинга электрического тока, что может вызвать электрическую дугу и спровоцировать пожар;
  • уязвимости в розетках TP-Link Kasa позволяют злоумышленникам получать полный контроль над розеткой и подачей тока на подключенное к ней устройство. Кроме того, TP-Link Kasa раскрывает электронные адреса, использовавшиеся для настройки розетки;
  • уязвимости в розетках Meross Smart Plug WiFi Socket позволяют злоумышленникам бесплатно пользоваться интернетом жертвы, мониторить посещаемые сайты и компрометировать другие устройства, подключенные к «умному дому».
О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






дайджестфишинг

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 25 сентября по 1 октября 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошеннические кампании

Мошенники используют официальный пресс-релиз Facebook для хищения учётных записей и персональной информации пользователей социальной сети.

Facebook выделил 100 млн долларов США на поддержку компаний, пострадавших от пандемии. Для получения поддержки достаточно подать заявку. Именно этим и воспользовались киберпреступники.

Этапы кампании:

  1. Среди новостей пользователь натыкается на фальшивый пост якобы от CNBC, частично повторяющий официальный пресс-релиз Facebook.
  2. В посте указано, что для подачи заявки на грант нужно перейти по ссылке.
  3. Если пользователь перейдёт по ссылке, на мошенническом сайте у него запросят учётные данные от Facebook, а затем потребуют заполнить анкету для «верификации»
  4. Анкета содержит множество обязательных для заполнения полей, в том числе номер социального страхования (для граждан США), фото паспорта и других документов с двух сторон
  5. Заполнив анкету, жертва в перспективе лишается своего аккаунта в Facebook, а злоумышленники получают возможность для мошеннических действий от имени доверчивого гражданина.

Уязвимости

Многофакторную аутентификацию (MFA) TikTok можно обойти, поскольку функция включена только для мобильной версии приложения, но не работает в веб-версии сервиса.

Такая реализации MFA в TikTok позволяет злоумышленникам обойти функции безопасности, авторизовавшись в учетной записи с помощью скомпрометированных учетных данных на сайте, а не в приложении программу.

Однако из-за особенностей TikTok проблема не так опасна из-за ограниченных возможностей, доступных в web-панели, поскольку она не позволяет даже изменить пароль. Единственное, что может сделать злоумышленник — опубликовать видеоролик от имени жертвы или произвести мошеннические действия.

Умные устройства

Эксперт взломал умную кофемашину Smarter и заставил её требовать выкуп.

Чтобы просьба была более убедительной, устройство-вымогатель постоянно включало очень шумные нагреватель воды, кофемолку и зуммер:

Добиться такого результата позволило

  • отсутствие шифрования во всех компонентах кофемашины,
  • наличие в устройстве незащищённой точки доступа Wi-Fi, к которой мог подключиться любой желающий для первоначальной конфигурации устройства.

Изучив прошивку устройства, эксперт написал Python-скрипт, устанавливающий на устройство вредоносную прошивку. Первоначально он планировал заставить кофемашину майнить криптовалюту, но из-за слабости встроенного процессора отказался от этого и превратил её во вредоносного монстра.

Инциденты

Неизвестные злоумышленники взломали компьютерные системы Министерства иностранных дел Великобритании и похитили сотни секретных документов, относящихся к пропагандистским программам в Сирии.

Утечку обнаружили, когда в открытом доступе появились несколько документов, описывающих действия подрядчиков в рамках программы пропаганды: запуск радиостанций, англо- и арабоязычных журналов, газет и других печатных материалов для поддержки оппозиции в стране.

Британские власти заявляют, что сложность атаки и лёгкость, с которой она была проведена, может означать причастность к ней государственных хакеров.

Швейцарский производитель часов Swatch Group отключил свои IT-системы из-за кибератаки.

«Swatch Group немедленно оценила и проанализировала характер атаки, приняла соответствующие меры и внесла необходимые исправления. Ситуация вернется в норму как только будет возможно.»

Представители компании

Американская компания Universal Health Services (UHS) стала жертвой вымогателя Ryuk.

Атака началась в ночь с 26 на 27 сентября. Компьютеры стали перезагружаться один за другим, на экранах зараженных машин появилось сообщение с требованием выкупа. ИТ-персонал медицинских учреждений попросил отключить компьютеры во избежание дальнейшего распространения угрозы.

По данным экспертов, системы UHS были инфицированы через фишинговые письма, содержащие троян Emotet, устанавливающий другой троян — TrickBot, который собирает информацию в скомпрометированных системах и используется операторами Ryuk для запуска обратной оболочки. Получив доступ к системе, злоумышленники с помощью PSExec или PowerShell Empireзапускают вымогательское ПО.

В результате инцидента многие больницы UHS были вынуждены перейти на работу без использования ИТ-систем. Некоторым пациентам пришлось отказать в помощи, а кого-то перенаправили в другие больницы, поскольку клиники UHS не могли выполнить лабораторные исследования.

Согласно официальному заявлению компании, больницы UHS пытаются вернуться в строй и восстановить данные из резервных копий. Отдельно подчеркивается, что сведения о пациентах и сотрудниках не были похищены.

Заражение затронуло больницы и медицинские центры UHS в Северной Каролине и Техасе. Также сообщается о проблемах в Аризоне, Флориде, Джорджии, Пенсильвании и Калифорнии.

Французская транспортная компания CMA CGM пострадала от атаки шифровальщика.

Атака затронула ряд периферийных серверов компании, из-за чего пришлось отключить внешний доступ к приложениям, чтобы остановить распространение угрозы. В настоящее время ведутся восстановительные работы и расследование инцидента. Клиентам рекомендуется связываться с местными отделениями CMA CGM напрямую, поскольку ИТ-системы могут не работать.

По сведениям ZDNet атака коснулась и китайских отделений CMA CGM в Шанхае, Шэньчжэне и Гуанчжоу. Журналисты указывают, что компания стала жертвой шифровальщика Ragnar Locker, хотя официальных подтверждений этому пока нет.

Неизвестные злоумышленники взломали криптовалютный обменник KuCoin и опустошили горячие кошельки ресурса, содержавшие Bitcoin и токены ERC-20 на общую сумму в 150 млн долларов США.

Инцидент произошёл 26 сентября 2020 года, когда сотрудники биржи заметили крупные транзакции по выводу средств с горячих кошельков. Проведенный аудит выявил кибератаку и недостачу средств. Компания заявляет, что холодные кошельки инцидент не затронул, и весь ущерб будет покрыт из страхового фонда биржи.

«Атака, скорее всего, была делом рук кого-то из сотрудников или партнеров биржи, так как злоумышленник каким-то образом заполучил приватные ключи от горячих кошельков.»

Джонни Лю(Johnny Lyu), глава KuCoin

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






дайджестфишинг
Ctrl + ↓ Ранее