Rose debug info
---------------

Блог компании Антифишинг

как поведение людей влияет на безопасность

Наши продуктыДайджестыСтатьиСписок постов

Антифишинг-дайджест № 279 с 24 по 30 июня 2022 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Организаторы новой мошеннической кампании притворяются международной службой экспресс-доставки DHL, а вместо ссылки на фишинговый сайт используют QR-код.

Схема кампании

1. Атака начинается с письма якобы от DHL. В адресе, с которого пришло сообщение, — случайный набор слов, ничем не похожих на название международной службы доставки. В теле письма имеется логотип компании, номер заказа, пусть и ненастоящий, и предполагаемая дата получения посылки.

2. В самом сообщении говорится, что заказ прибыл на почту, но курьер не смог доставить его лично. При этом вместо ссылки, по которой нужно перейти, чтобы решить вопрос, используется QR-код.

3. Использование QR-кода заставляет пользователя открыть фишинговый сайт на маленьком экран мобильного гаджета, где признаки фальшивки будут меньше бросаться в глаза. Из-за нехватки пространства в мобильных браузерах URL-адреса видны не полностью, а в Safari с недавних пор адресная строка переехала в нижнюю часть экрана, куда многие еще не привыкли смотреть.

4. На мобильном сайте жертве сообщают, что доставка придет в течение одного-двух дней, и чтобы получить посылку, просят ввести имя, фамилию и адрес с почтовым индексом. Такую информацию служба доставки действительно может запросить, это подозрений не вызывает.

5. На следующей странице жертву просят поделиться реквизитами банковской карты, включая CVV-код с обратной стороны, — якобы для оплаты доставки. Конкретную сумму злоумышленники не называют — говорят лишь, что стоимость будет зависеть от региона, и заверяют, что деньги не спишутся, пока не придет посылка.

6. Собранные платежные данные продаются на подпольных форумах, и уже покупатели списывают данные с карт доверчивых получателей посылок. Для этого используются сервисы, которые не используют дополнительную проверку платежа с помощью 3DSecure.

В России появилась новая мошенническая схема с использованием бренда AliExpress.

Схема кампании:

  1. Злоумышленники присылают в мессенджеры потенциальных жертв предложения о работе на маркетплейсе, обещая заработок от 5 тыс. до 30 тыс. рублей в день.
  2. Соискатель должен открыть личный кабинет на стороннем фишинговом) сайте (в каких-то случаях с логотипом AliExpress, в каких-то без) и перевести туда 500 рублей.
  3. После этого он получает список товаров, которые должен купить на эти деньги якобы для раскрутки продавцов на маркетплейсе. «Работодатели» обещают вернуть эти деньги и заплатить 4% комиссии от стоимости покупки и на первый раз средства действительно возвращают.
  4. Затем новому «работнику» предлагается внести на счет уже 2 тыс. рублей, но стоимость товаров, которые предлагается купить, превышает этот депозит Зачастую разница составляет 6 тыс. рублей.
  5. После этого мошенники предлагают увеличить баланс, чтобы восполнить разрыв, ведь деньги все равно вернутся, убеждают они жертв. Естественно, никакого возврата не происходит, и злоумышленники исчезают.

Эксперты сообщают, что таким образом свои деньги отдают злоумышленникам 5—7% получателей «предложений о работе».

ВТБ зафиксировал новый сценарий телефонного мошенничества с применением методов социальной инженерии. Под видом сотрудников мобильных операторов мошенники заставляют клиента настроить переадресацию СМС, чтобы потом получить доступ в онлайн-банк.

Схема кампании:

  1. Мошенники обзванивают клиентов под видом службы поддержки сотовых операторов и сообщают якобы о взломе личного кабинета абонента или телефона.
  2. Для «предотвращения» распространения личных данных злоумышленники просят набрать на телефоне специальную USSD-команду, состоящую из комбинации цифр и символов, которая вводится при звонке, и номера телефона.
  3. Таким образом абонент самостоятельно меняет настройки своей сим-карты и устанавливает переадресацию СМС и звонков на номер мошенника.
  4. Затем абоненту снова могут позвонить и сообщить об устранении проблемы со взломом. В реальности злоумышленники получают коды из сообщений и могут похитить деньги со счетов в банке, получив доступ в личный кабинет банка.

Киберполиция Украины сообщила о разоблачении мошенников, которые обманом заработали около 100 миллионов гривен (более 3,3 миллиона долларов США).

По данным правоохранительных органов, девять человек создали и администрировали более 400 фишинговых веб-сайтов, с помощью которых получали банковские данных украинцев.

Схема действий преступников:

  1. Фишинговые ресурсы были замаскированы под порталы европейских организаций, предлагающих финансовую помощь стране.
  2. Размещённые на сайтах формы ввода отправляли информацию злоумышленникам. Именно так утекали данные банковских карт, логины и пароли от онлайн-банкинга.
  3. Получив все нужные сведения, киберпреступники могли переводить деньги жертв на свои счета и совершать другие несанкционированные транзакции.

Всего преступники обманули более 5 тысяч украинцев.

Атаки и уязвимости

В утилите UnRAR была обнаружена уязвимость, которая может позволить удаленному злоумышленнику выполнить произвольный код.

Уязвимость обхода пути в версиях UnRAR для Unix CVE-2022-30333 может активироваться при извлечении вредоносного RAR-архива.
Если RAR-архив содержит символическую ссылку в виде прямой или обратной косой черты (например, «..\. .\. .\tmp/ shell»), уязвимость позволяет обойти проверку и извлечь архив за пределы целевого каталога в любое место файловой системы.

Уязвимость также позволяет киберпреступнику преобразовать обратную косую черту «\» в прямую «/», чтобы RAR-архив, созданный в Windows, можно было извлечь в Unix-системе, изменяя символическую ссылку в пути файла «../. ./. ./tmp/shell».

Новая техника атак позволяет обойти многофакторную аутентификацию при входе в украденные учетные записи Microsoft

Техника получила название WebView2-Cookie-Stealer и состоит из исполняемого файла WebView2, который при запуске открывает в приложении форму входа на легитимный сайт. Дело в том, что Microsoft Edge WebView2 позволяет встроить в нативные приложения браузер с полной поддержкой HTML, CSS и JavaScript, используя Microsoft Edge (Chromium) для рендеринга. Используя эту технологию, приложения могут загружать любой сайт внутри самого приложения и отображать его так, будто он открыт в Microsoft Edge.

WebView2 позволяет разработчику напрямую обращаться к файлам cookie и внедрять JavaScript на страницы, загружаемые приложением, что делает его отличным инструментом для перехвата нажатий клавиш и кражи аутентификационных cookie.

В коде для демонстрации атаки исполняемый файл открывает легитимную форму входа Microsoft с помощью встроенного элемента WebView2. Эта форма входа выглядит точно так же, как при использовании браузера и не содержит ничего подозрительного (опечатки, странные доменные имена и так далее).

Но поскольку приложение WebView2 может внедрять JavaScript на страницу, все данные, что вводит пользователь, автоматически отправляются на сервер злоумышленника. При этом похитить можно любые файлы cookie, отправленные удаленным сервером после входа пользователя в систему, включая и cookie для аутентификации.

Инциденты

Группа хакеров Killnet провела DDoS-атаки на несколько норвежских сайтов , в том числе сайт полиции, портал входа в систему банка и сайты нескольких госучреждений.

В результате атак стали недоступны несколько веб-порталов Норвегии. Нанесенный ущерб на данный момент неизвестен. Атака произошла после того, как правительство Норвегии нарушило Договор о Шпицбергене, заблокировав доставку зимних запасов через материковую Норвегию из России в шахтерский поселок Баренцбург на Шпицбергене, население которого в основном состоит из русских и украинцев.

Вымогательская группировка RansomHouse опубликовала на своем сайте информацию о  взломе AMD, утверждая, что похитила у компании 450 Гб данных.

Хакеры сообщили, что сеть AMD взломали их «партнеры» около года назад. Хотя на сайте группировки говорится, что данные были украдены 5 января 2022 года, злоумышленники объясняют, что на самом деле это дата, когда они потеряли доступ к сети AMD.

Представитель группы сообщил, что RansomHouse не обращались к AMD с требованием выкупа, поскольку продажа украденных данных другим организациям и злоумышленникам оказалась более выгодным делом. Хакеры утверждают, что среди похищенных данных была исследовательская и финансовая информация. По их словам, пока они еще анализируют похищенное, чтобы определить ценность украденного.

Группировка не предоставила никаких доказательств своих заявлений, кроме нескольких файлов, содержащих информацию, предположительно полученную из Windows-домена AMD. Эти данные включают файл CSV, содержащий список более чем из 70 000 устройств, которые, по-видимому, можно найти во внутренней сети AMD, а также список предполагаемых корпоративных учетных данных со слабыми паролями, такими как «password», «P@ssw0rd», «amd!23» «Welcome1».

Хакерская группа Killnet взяла на себя ответственность за масштабные DDoS-атаки, от которых в последние дни страдают сайты правительственных учреждений Литвы.

Хакеры пишут, что это ответ на действия литовских властей, которые недавно ввели запрет на транзит подсанкционных грузов в Калининградскую область.

Как сообщает литовское правительство, потоки вредоносного трафика нарушили работу Национальной сети безопасной передачи данных, которая является «одним из важнейших стратегических компонентов Литвы по обеспечению национальной безопасности в киберпространстве» и «предназначена для работы во время кризисов или войн, обеспечивая непрерывность деятельности критически важных учреждений».

Представители Killnet в своем Telegram-канале сообщают об успешных атаках на всю сетевую инфраструктуру Литвы, включая ресурсы, принадлежащие налоговой инспекции, полиции, судам, порталы электронных государственных услуг, сайты аэропортов и АЗС, сети местных провайдеров, мобильных операторов и так далее.

По заявлениям группировки, за 39 часов удалось добиться «изоляции 70% всей сетевой инфраструктуры Литвы».

По статистике компании StormWall с 10 июня 2022 года количество DDoS-атак на российские университеты увеличилось в восемь раз по сравнению с июнем 2021 года.

Эксперты отмечают, что мощность последних DDoS достигала 300 тысяч RPS (requests per second, запросов в секунду). Этот показатель в 15 раз превышает мощность, зафиксированную в июне 2021. При этом большинство атак шло по HTTP.

В StormWall отметили, что 70% зафиксированных DDoS-атак шли со стороны Европы, 20% — из США и лишь 10% оказались внутренними. Специалисты считают, что такой мощный скачок спровоцирован хактивистами из Украины, которые стараются сорвать приёмную кампанию.

Параллельно злоумышленники направили поток DDoS на сайт Госуслуг, чтобы сорвать возможность подать документы через этот госпортал. Аналитики StormWall считают, что атаки продлятся до середины августа, то есть вплоть до окончания работы приёмных комиссий.

Крупнейший в Великобритании жилищно-строительный кооператив Clarion стал жертвой кибератаки, нарушившей работу его IT-систем.

Clarion, обслуживающий 125 тыс. домов, сообщил на своем сайте, что обратился за помощью в восстановлении своих систем к ИБ-компании, но пока рано говорить, пострадали ли какие-либо данные. Также сложно сказать, сколько времени уйдет на восстановление систем. Характер кибератаки не раскрывается.

На прошлой неделе сотрудники Clarion обнаружили сбой в работе некоторых систем. Атака затронула ряд телефонных линий, и компания рекомендовала своим арендаторам не связываться с ней по телефону, за исключением случаев, если требуется экстренная починка.

Китайский техногигант Tencent сообщил о фишинговой атаке с использованием QR-кодов.

Согласно сообщению компании, хакеры распространяли через принадлежащий Tencent мессенджер QQ фишинговые QR-коды, которые якобы предлагали бесплатные игровые аккаунты. Пользователей, которые сканировали коды, просили пройти аутентификацию, используя данные своих QQ-аккаунтов. Получив данные жертв, злоумышленники меняли логин и пароль, после чего начали рассылать со украденных аккаунтов рекламу с непристойными и порнографическими материалами.

Tencent уже устранила уязвимость и вернула украденные аккаунты пользователям. Компания серьезно занялась расследованием, начала собирать доказательства преступной деятельности хакеров и обратилась за помощью к ведомствам по защите прав и интересов пользователей.

Группировка Vice Society провела кибератаку на Медицинский университет Инсбрука, которая привела к серьезным сбоям в работе IT-систем и утечке данных.

Австрийский университет сообщил об отключении IT-систем 20 июня, ограничив доступ к онлайн-серверам и компьютерным системам. 21 июня специалисты университета начали сброс паролей учетных записей всех студентов и сотрудников. Университет также призвал всех создать новые учетные данные вручную. Затем университет восстановил свои онлайн-сервисы и вернул работу основного сайта, который ранее был отключен.

26 июня Vice Society добавила Медицинский университет Инсбрука на свой сайт утечек данных, обнародовав большой список документов, предположительно украденных во время кибератаки.

Проверка подтвердила, что документы подлинные и содержат бланки университета, подписи преподавателей и другие элементы подлинности.

Одна из крупнейших сталелитейных компаний Ирана была вынуждена остановить производство из-за кибератаки.

Иранское правительство не признало нарушения и не обвинило какую-либо конкретную группу в нападении на государственную компанию Khuzestan Steel Co. и двух других крупных производителей стали Ирана. Анонимная хакерская группа взяла на себя ответственность за инцидент, заявив, что атака была направлена ​​против трех крупнейших сталелитейных компаний Ирана в ответ на «агрессию Исламской Республики».

Группа, назвавшая себя «Gonjeshke Darande», поделилась видеозаписью с заводского цеха Khuzestan Steel Co., на которой было видно, как часть тяжелого оборудования на линии по производству стальных заготовок вышла из строя и вызвала массовый пожар.

«Эти компании находятся под международными санкциями и продолжают свою деятельность, несмотря на введенные ограничения», — заявили хакеры.

Вымогательская атака нарушила работу одного из крупнейших ритейлеров Бразилии Fast Shop и привела к временному закрытию интернет-магазина.

Кибератака затронула основной веб-сайт Fast Shop, мобильные приложения и систему онлайн-заказов, которые ритейлер отключил в качестве меры реагирования на инциденты. Атака не затронула физические магазины.

Подписчики аккаунта Fast Shop в Twitter узнали о ситуации немного раньше, когда злоумышленник захватил аккаунт компании и объявил об утечке данных. По словам киберпреступника, он в течение 72 часов активно вымогал деньги у Fast Shop после того, как:

  • получил доступ к базам данных фирмы в AWS , Azure , GitLab и в облаке IBM ;
  • похитил исходный код сайта и приложения;
  • скомпрометировал конфиденциальные пользовательские и корпоративные данные.

Злоумышленник якобы использовал украденную информацию, чтобы шантажировать Fast Shop публикацией данных и получить выкуп. Сообщения злоумышленника были удалены, когда администраторы Fast Shop восстановили контроль над скомпрометированной учетной записью Twitter.

По заявлениям Fast Shop, данные клиентов и «вся информационная база фирмы» не были скомпрометированы. Fast Shop порекомендовала клиентам сбросить свои пароли, если они используют те же учетные данные на других веб-сайтах.

 57   4 дн   дайджест   фишинг

Антифишинг-дайджест № 278 с 17 по 23 июня 2022 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена новая спам-кампания, в ходе которой злоумышленники заражают системы жертв вредоносным ПО Matanbuchus.

Схема действий преступников

1. Злоумышленники маскируют вредоносные электронные письма под ответ на якобы отправленное жертвой письмо, добавляя в строку темы «Re:».

2. В вредоносном письме содержится ZIP-архив с HTML-файлом, генерирующим второй ZIP-архив. Этот второй архив извлекает MSI-пакет, подписанный действительным цифровым сертификатом, выданным компании Westeast Tech Consulting удостоверяющим центром DigiCert.

3. Запуск MSI-установщика инициирует обновление каталога шрифтов для Adobe Acrobat, которое завершается сообщением об ошибке с целью отвлечь внимание жертвы от происходящего на фоне.

4. В фоновом режиме в две разные папки загружаются две DLL-библиотеки Matanbuchus (main.dll), создается запланированная задача для сохранения постоянства на системе после перезагрузок и устанавливается соединение с управляющим сервером.

5. В итоге Matanbuchus загружает с управляющего сервера Cobalt Strike, обеспечивая хакерам возможности для дальнейших атак.

Обнаружена новая фишинговая кампания, нацеленная на американские военные организации, разработчиков ПО для обеспечения безопасности и участников производственных цепочек поставок, здравоохранения и фармацевтики.

Целью злоумышленников являются корпоративные учетные данные Microsoft Office 365 и Outlook.

Схема кампании

1. Злоумышленники используют почтовые сервисы в Японии для рассылки своих сообщений и подменяют адрес отправителя, притворяясь сотрудниками компании-жертвы.

2. Электронные письма содержат HTML-вложение, в названии которого используется символ музыкальной ноты, маскирующий файл под аудиосообщение. На самом деле файл содержит обфусцированный JavaScript-код, который перенаправляет жертву на фишинговый сайт.

3. Формат URL-адреса создается так, чтобы создать впечатление, что сайт является официальным поддоменом компании.

4. Перед тем как оказаться на сайте, жертва проходит проверку CAPTCHA, которая на самом деле служит для обхода антифишинговых систем. Как только пользователи проходят этот этап, они перенаправляются на настоящую фишинговую страницу, которая похищает учетные записи Microsoft Office 365.

В LinkedIn фиксируется большое количество мошеннических атак на владельцев криптовалют с использованием схемы «Разделка свиньи».

Атаки типа «Разделка свиньи» (The Pig-Butchering Scam) начинается с  «откармливания» жертвы обещаниями больших и легких денег. После того, как жертва поверила и инвестировала свои средства, мошенник пропадает. Одной из ключевых особенностей этой атаки является имитация случайного общения.

Признаки подобных атак:

  • Неизвестный пользователь пишет без причины. Беседа в конечном итоге переходит к разговору о криптовалюте, причем собеседник утверждает, что может помочь заработать большие деньги на определенных инвестициях;
  • Жертва переходит на инвестиционный портал. Дальше жертва инвестирует собственные деньги или мошенник сам отправляет деньги для инвестиций;
  • Киберпреступник убеждает жертву переводить средства на свой сайт. Как только жертва выполнит перевод, мошенник пропадает вместе с деньгами.

Атаки и уязвимости

В оборудовании для поддержки операционных технологий (OT), которое используется в различных средах критической инфраструктуры, обнаружен целый набор уязвимостей, получивший название Icefall.

Набор Icefall затрагивает устройства 10-ти поставщиков, в числе которых Honeywell, Motorola, Omron, Siemens, Emerson, JTEKT, Bentley Nevada, Phoenix Contract, ProConOS, Yokogawa. Недостатки позволяют злоумышленнику:

  • удаленно выполнить код ;
  • скомпрометировать учетные данные ;
  • изменить прошивки и конфигурации;
  • обойти аутентификацию.

Злоумышленник также может использовать Icefall, чтобы:

  • создать ложную тревогу;
  • изменить заданные значения потока;
  • нарушить операции SCADA ;
  • выключить систему аварийного отключения и пожарной безопасности.

Под угрозой находятся энергетические компании и фирмы по транспортировке газа.

В криптокошельках MetaMask и Phantom обнаружена уязвимость CVE-2022-32969 (Demonic), которая позволяет злоумышленникам узнавать секретные фразы для восстановления доступа к криптовалютным кошелькам и  похищать хранящиеся в них средства и NFT-токены.

Уязвимость возникла из-за того, что Google Chrome и Mozilla Firefox кэшируют данные, вводимые пользователем в текстовые поля (кроме паролей), чтобы восстановить их на случай аварийного завершения работы. Поскольку для ввода сид-фразы такие расширения для браузера, как Metamask, Phantom и Brave используют поля, не предназначенные для ввода пароля, она сохраняется на диск в текстовом виде.

Злоумышленник или вредоносное ПО с доступом к компьютеру может похитить сид-фразу и импортировать криптокошелек на другое устройство. Для атаки требуется физический или удаленный доступ к компьютеру.

В службе облачного хранилища MEGA выявили несколько критических уязвимостей, которые можно использовать для нарушения конфиденциальности и целостности пользовательских данных.

Виды уязвимостей в MEGA

Используя уязвимости, злоумышленник может внедрять вредоносные файлы, которые проходят все проверки подлинности клиента.

Например, для одного варианта атаки злоумышленнику нужно подделать 512 попыток входа в систему. После этого он получит закрытый RSA ключ пользователя и сможет расшифровать сохраненный контент.

Инциденты

В результате кибератаки британская служба доставки Yodel задержала доставку посылок и показала проблемы с отслеживанием заказов.

Компания не раскрыла никаких подробностей о киберинциденте, но сообщила, что платежная информация клиентов в безопасности. По словам клиентов Yodel, курьерская служба не работала в выходные, а информации о некоторых посылках нет как минимум четыре дня.

По мнению ИБ-специалиста Кевина Бомонта Yodel стала жертвой вымогательского ПО.

В ночь с 16 на 17 июня злоумышленниками была предпринята попытка взлома персонального аккаунта одного из редакторов «Интерфакса», ответственного за администрирование телеграм-каналов агентства

В результате в телеграм-каналах было размещено сообщение, к которому агентство «Интерфакс» не имеет никакого отношения. Действия злоумышленников были пресечены в течение трех минут, провокационное сообщение удалено. Атака была предпринята только в отношении телеграм-аккаунта; внутренняя сеть агентства и клиентские сервисы затронуты не были.

Служба безопасности «Интерфакса» изучает произошедшее. В настоящее время известно, что атака происходила с зарубежных ip-адресов.

Вице-президент «Ростелекома» по информационной безопасности Игорь Ляпунов сообщил, что киберпреступники проводят атаки на федеральные и региональные государственные порталы «Госуслуги».

По его словам, администраторы веб-ресурса «фиксируют десятикратный рост нагрузки». В пике количество запросов дошло до 340 тысяч в секунду.
Как отметил Ляпунов, кибератаки идут с половины десятого утра 23 июня, но поскольку госсайты находятся под защитой «Ростелекома», «каких-то серьёзных эффектов нет».

Японский производитель автомобильных шлангов Nichirin сообщил о кибератаке с использованием вымогательского ПО на дочернюю компанию в США. В результате инцидента ему пришлось отключить компьютеризированное управление производственными процессами

Американское подразделение Nichirin было вынуждено переключиться на ручное производство и доставку, чтобы продолжить снабжать своих клиентов необходимыми деталями.

В настоящее время компания оценивает потенциальное влияние кибератаки на своих клиентов и обещает сообщить больше информации, как только она появится.

На официальном сайте Nichirin также опубликовано предупреждение о возможных поддельных письмах, разосланных с ее электронного почтового адреса. Компания настоятельно не рекомендует открывать какие бы то ни было вложенные в эти письма файлы.

 87   11 дн   дайджест   фишинг

Антифишинг-дайджест № 277 с 10 по 16 июня 2022 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Киберпреступники рассылают фишинговые электронные письма от имени популярных криптоплатформ Binance, Celo и Trust Wallet, чтобы украсть учетные данные и криптовалюту жертвы.

Криптовалютные фишинговые кампании можно разделить на три категории:

  • Сбор криптовалютных учетных данных,
  • Перевод криптовалюты,
  • Кража товаров, номинированных в криптовалюте (NFT).

Существует множество приложений и платформ DeFi — например, криптовалютные биржи, — которые люди могут использовать для управления своей криптовалютой. Эти платформы часто требуют ввода имен пользователей и паролей, которые и становятся целью для финансово мотивированных группировок.

Схема кампании

В марте 2022 года была зафиксирована рассылка от взломанного адреса электронной почты криптовалютной биржи. В письме сообщалось об утечке данных и предлагалось сменить пароль После нажатия на кнопку встроенной формы, которая предлагала пользователям «Установить новый пароль», происходило перенаправление на целевую страницу для сбора учетных данных.

На фальшивой странице криптовалютной биржи Celo была размещена форма, предлагавшая ввести фразу восстановления (seed). Поле запроса также включало пример строки слов, демонстрирующий использование фразы из 12-24 слов для восстановления и доступа к криптовалютным ключам.

В случае, если пользователи сообщали это значение на портале сбора учетных данных, субъекты могли использовать это значение для доступа к счету жертвы и перевести средства на свои кошельки.

Мобильная безопасность

В Google Play Store обнаружено рекламное и вредоносное ПО для кражи информации.

По крайней мере пять из этих приложений до сих пор доступны в магазине и насчитывают более двух миллионов загрузок:

  • PIP Pic Camera Photo Editor: 1 000 000 загрузок, малварь, которая маскируется под ПО для редактирования изображений, а на самом деле ворует учетные данные пользователей Facebook (Заблокирован в России, принадлежит компании Meta, признанной экстремистской организацией, запрещенной на территории РФ.);
  • Wild & Exotic Animal Wallpaper: 500 000 загрузок, рекламный троян, который подменяет свою иконку и имя на SIM Tool Kit, а также добавляет себя в список исключений, чтобы не экономить заряд батареи;
  • ZodiHoroscope — Fortune Finder: 500 000 загрузок, крадет учетные данные Facebook*, обманом заставляя пользователей вводить их (якобы для отключения рекламы в приложении);
  • PIP Camera 2022: 50 000 загрузок, под видом фильтров для камеры угоняет аккаунты Facebook*;
  • Magnifier Flashlight: 10 000 загрузок, рекламная малварь, которая показывает видео и статические рекламные баннеры.

Пользователи Instagram все чаще становятся жертвами «модифицированных» версий приложения, в которые встроено вредоносное ПО.

Мошенники заманивали жертв, обещая приложение, которое разблокирует дополнительные функции Instagram с помощью «доступа» к API социальной сети.

Схема кражи учетных данных:

  1. Жертва устанавливает приложение;
  2. Вводит имя пользователя и пароль Instagram в появившемся окне;
  3. Учетные данные попадают к злоумышленнику.

Хакеры обманывают жертв, убеждая их в том, что учетные данные необходимо предоставить для проверки через API Instagram.

Умные устройства

Новая уязвимость в системе безопасности автомобилей Tesla позволяет угнать электрокар за 130 секунд.

Источник уязвимости — функция добавления новой NFC ключ-карты для запуска и разблокировки автомобиля. После обновления, вышедшего в августе 2021 года, владельцы Tesla получили возможность управлять своими автомобилями сразу после разблокировки с помощью ключ-карты, которая является одним из трех способов разблокировки авто (два других способа — это брелок и мобильное приложение).

У новой функции обнаружилась странная особенность: она не только позволяет автомобилю автоматически заводиться в течение 130 секунд после разблокировки, но и переводит его в состояние, позволяющее принимать совершенно новые ключи, без необходимости аутентификации и без какой-либо индикации на дисплее авто.

Официальное приложение Tesla не позволяет регистрировать новые ключи, если оно не подключено к учетной записи владельца, однако эксперт обнаружил, что автомобиль охотно обменивается сообщениями с любым другим устройством Bluetooth Low Energy (BLE), находящимся поблизости. В итоге он создал собственное приложение под названием Teslakee, которое использует VCSec, как и официальное приложение Tesla.

Чтобы добавить автомобилю собственный ключ, нужно просто находиться неподалеку от авто во время 130-секундного окна после разблокировки NFC ключ-картой. После этого вор может использовать свой ключ, чтобы открыть, завести и заглушить автомобиль в любое время. Ни на дисплее авто, ни в настоящем приложении Tesla при этом не будет отображаться никаких сообщений о случившемся.

В контроллерах доступа HID Mercury обнаружены уязвимости, используя которые можно удаленно взламывать двери.

В общей сложности обнаружено восемь уязвимостей. Семь из них — критические. Они могут быть использованы для RCE-атак , инъекций произвольных команд, DoS-атак, подмены информации и записи произвольных файлов. Большинство этих уязвимостей можно использовать без авторизации, но для их эксплуатации требуется прямое подключение к целевой системе.

Атаки и уязвимости

Новая side-channel атака Hertzbleed на процессоры Intel и AMD позволяет похищать криптографические ключи, наблюдая за изменениями частоты ЦП посредством DVFS (dynamic voltage and frequency scaling, «динамическое масштабирование частоты и напряжения»).

Атака возможна благодаря тому, что на современных x86 процессорах Intel (CVE-2022-24436) и AMD (CVE-2022-23823) динамическое масштабирование частоты зависит от энергопотребления и обрабатываемых данных. Так, DVFS представляет собой функцию регулирования энергопотребления, которая используется в современных процессорах, чтобы система не превышала ограничения по температуре и мощности при высоких нагрузках, а также чтобы снижать энергопотребление при низких нагрузках.

Представители Intel сообщили, что проблема затрагивает все ее процессоры и может быть использована в сложных атаках удаленно. Такие атаки не потребуют взаимодействия с пользователем и могут проводиться злоумышленниками с низкими привилегиями.

Представители AMD пишут, что Hertzbleed влияет на ряд продуктов компании, включая дектопные и мобильные продукты, Chromebook и серверные процессоры, использующие микроархитектуру Zen 2 и Zen 3.

Компания Cloudflare сообщила о новой рекордной DDoS-атаке, проведенной с небольшого, но мощного ботнета из 5067 устройств.

По информации Cloudflare, пиковая мощность атаки составила 26 млн запросов в секунду (request-per-second, RPS), и она была нацелена на одного из клиентов компании, использующих бесплатный тарифный план. Предполагается, что злоумышленник использовал взломанные серверы и виртуальные машины, поскольку атаку удалось проследить до поставщиков облачных услуг.

Отчет компании гласит, что этот небольшой ботнет сгенерировал более 212 млн HTTPS-запросов менее чем за 30 секунд. Атака исходила от устройств в 121 стране мира, среди которых были Индонезия, США, Бразилия и Россия. Около 3% активности и вовсе пришлось на узлы Tor.

Чипы Apple M1 уязвимы перед спекулятивной атакой PACMAN.

Проблема носит аппаратный характер и связана с аутентификацией указателя (pointer authentication), позволяя злоумышленнику выполнить произвольный код на уязвимом устройстве.

Pointer authentication — защитная функция, добавляющая к указателям криптографическую подпись, называемую pointer authentication code (PAC). Она позволяет операционной системе обнаруживать и блокировать неожиданные изменения, которые в противном случае могли бы привести к утечке данных или компрометации.

Атака PACMAN позволяет удаленно обойти аутентификацию указателя в ядре из userspace, по сути, давая атакующему полный контроль над чужой машиной.

Для реализации такой атаки злоумышленникам сначала понадобится найти уязвимость в памяти, связанный с ПО на устройстве жертвы. Необходимо, чтобы эта ошибка была заблокирована PAC, то есть имела возможность перерасти в более серьезную проблему.

Эксплойт не требуют физического доступа к машине, поэтому уязвимость может эксплуатироваться удаленно. Аппаратные уязвимости M1 нельзя исправить программно, поэтому уязвимость затрагивает все существующие и будущие устройства на базе чипа M1 и других ARM архитектур.

Инциденты

В даркнете опубликованы данные сервиса онлайн-образования «Яндекс.Практикум».

В доступном фрагменте базы данных ровно 300 тыс. строк, содержащих:

  • 🌵 имя/фамилия
  • 🌵 имя пользователя
  • 🌵 адрес эл. почты (299,908 уникальных адреса)
  • 🌵 телефон (246,424 уникальных номера)
  • 🌵 Яндекс ID

В открытом доступе обнаружена открытая база данных Elasticsearch, содержащая 18,5 ГБ журналов подключений VPN-сервиса BeanVPN.

База данных содержит более 25 млн. записей диагностической информации пользователей, в том числе:

  • ID пользовательских устройств;
  • ID сервисов Play Service;
  • IP-адреса;
  • временные метки подключений.

Информация может быть использована для деанонимизации пользователей BeanVPN и определения их приблизительного местоположения с помощью баз данных сервиса GeoIP. Идентификатор Play Service позволяет определить адрес электронной почты пользователя, который привязан к сервисам Google.

Кибервымогатели BlackCat требуют выкуп в размере 4,5 млн евро с Пизанского университета.

После успешной атаки преступники проникли в сеть, похитили секретные документы университета и зашифровали все файлы. Выкуп для восстановления доступа они требуют заплатить до 16 июня, в противном случае угрожают опубликовать все жизненно важные данные учебного заведения.

Хакеры успешно атаковали немецких поставщиков электроэнергии Entega и Mainzer Stadtwerke.

Преступники нарушили работу сайта компании Entega и получили доступ к электронным ящикам сотрудников. Руководство утверждает, что критически важная инфраструктура не пострадала, а данные клиентов не попали в руки злоумышленников.

Mainzer Stadtwerke тоже уведомила клиентов об атаке. Согласно заявлению компании, критически важная инфраструктура не пострадала и перебоев с поставками не ожидается.

Обе пострадавшие компании пользовались услугами поставщика IT-решений Count+Care.

Как сообщает издание Südwestrundfunk, в связи с хакерской атакой возможны некоторые задержки и отмены автобусных и трамвайных рейсов. На момент публикации дайджеста сайты всех трех компаний не работают.

Компания Group-IB сообщила, что в мае и в начале июня в даркнете было опубликовано рекордное количество баз данных российских компаний — более 50.

Для сравнения в апреле их было 32, а в марте всего —16. Среди жертв, чьи базы попали в открытый доступ, оказались компании, относящиеся к интернет-сервисам доставки, медицине, телекому, интернет-ритейлу, онлайн-образованию, строительству.

Общее количество строк в 19 наиболее крупных утечках последних полутора месяцев составило 616,6 млн. Практически все базы включают имена клиентов, их телефоны, адреса, даты рождения, а некоторые также содержат хешированные пароли, паспортные данные, подробности заказов или результаты медицинских анализов. Актуальность большинства баз — весна этого года.

По мнению экспертов департамента Threat Intelligence Group-IB, кроме очевидных причин утечек — действия инсайдеров и увеличения количества кибератак после 24 февраля, проблема такого огромного числа инцидентов — в недостаточной защищенности цифровых активов.

 112   18 дн   дайджест   фишинг
Ранее Ctrl + ↓