214 заметок с тегом

фишинг

Антифишинг-дайджест № 209 с 12 по 18 февраля 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

В канун дня святого Валентина зафиксировано более 400 фишинговых кампаний, посвященных празднику. Число новых доменов выросло на 29% по сравнению с прошлым годом и достигло 23 000. Около 2,3% из них (523) оказались вредоносными или подозрительными.

Примечательно, что этом году некоторые злоумышленники повторно использовали темы и страницы, оставшиеся от прошлых фишинговых кампаний. Например, среди мошеннических писем нашлось послание от бренда Pandora из фишинговой рассылки, разосланной в связи с «черной пятницей» в ноябре 2020 года.

В этом сообщении пользователю предлагали купить ювелирные изделия по сверхнизким ценам на сайте Pandora (www[.]Pcharms [.]Com). Мошенники дане не потрудились исправить год, поэтому страница называется «Официальный сайт Pandora 2020» вместо 2021. В имени отправителя использовалось название бренда, но адрес электронной почты не имел никакого отношения к Pandora.

Обнаружена фишинговая кампания, авторы которой перехватывают управление личными кабинетами у хостинг-провайдеров.

Схема атаки:

  1. Злоумышленники направляют клиенту хостинга письмо, в котором сообщают, что из-за попытки подозрительной покупки домена им пришлось временно заблокировать доступ. Чтобы вернуть контроль над учетной записью, получатель письма должен пройти по ссылке в личный кабинет.
  2. В теле письма нет ни упоминания названия провайдера, ни его логотипа. Имя фигурирует единственный раз — в поле имени отправителя. При этом оно не совпадает с почтовым доменом, хотя для убедительности в нем присутствует слово hosting.

3. Перейдя по ссылке, пользователь попадает на страницу входа в учетную запись, которая пытается имитировать аналог на настоящем сайте провайдера.

4. Если пользователь введёт учётные данные на этой странице, они попадут к злоумышленникам

5. После «логина» пользователь почему-то попадет на страницу с формой ввода данных банковской карты. Никакого объяснения причин, по которым нужно ввести эти данные, мошенники не приводят, видимо, надеясь на доверчивость пользователей. Разумеется, введённые платёжные сведения также будут направлены злоумышленникам.

Обнаружена массовая вымогательская кампания против жителей России, в ходе которой кибершантажисты угрожают опубликовать интимные или непристойные записи с веб-камеры жертвы, если она не согласится выплатить выкуп в криптовалюте.

Мошенники сообщают, что уже несколько месяцев ведут слежку через веб-камеры при помощи вредоносной программы, особенно во время, когда адресат якобы посещал сайты для взрослых. И если вымогателям не выплатят некую сумму, видеозаписи тех действий, которые адресат якобы совершал во время просмотра «клубнички», попадут в интернет. Подобные письма с запугиванием могут приходить по нескольку раз в месяц, некоторые из них также озаглавлены весьма пугающим образом, как «Последнее предупреждение».

Не смущает мошенников даже возраст своих потенциальных жертв. Так, неизвестный аферист вымогал 650 долларов США у 73-летней жительницы Челябинска, угрожая ей тем, что разместит в интернете интимные фото женщины, которые он якобы получил через веб-камеру.

Мобильная безопасность

Мошенники продают на Avito и Юле фальшивые приглашения в социальную сеть ClubHouse, а в PlayMarket уже обнаружены вредоносные подделки под мобильное приложение ClubHouse.

После вступления в ClubHouse Илона Маска и Марка Цукерберга на подключение к соцсети возник ажиотажный спрос. Но до сегодняшнего дня регистрация в сети возможна только по «инвайту» — приглашению от действующего участника ClubHouse. Причём приложение для соцсети имеется только для устройств Apple.

Взрыв популярности создал идеальные условия для мошенников, которые просят перевести деньги в обмен на инвайт, но ничего не гарантируют. Администрация Avito заблокировала объявления, содержащие в названии ClubHouse, но если искать по сочетанию «КлубХаус», поиск выдаст достаточно много предложений купить инвайты.

В Android-приложении для обмена файлами SHAREit обнаружены уязвимости, которые могут быть использованы для запуска вредоносного кода.

Основная проблема заключается в отсутствии надлежащих ограничений, касающихся того, кто может использовать код приложения. В результате вредоносные приложения, установленные на устройстве пользователя, или злоумышленники, выполняющие атаку типа man-in-the-middle, могут направлять вредоносные команды приложению SHAREit, используя его легитимные функции для запуска произвольного кода, перезаписи локальных файлов или «тихой» установки сторонних приложений.

Вторая уязвимость приложения — возможность проведения атак типа Man-in-the-Disk. Проблема связана с тем, что многие приложения могут использовать внешнее хранилище (External Storage) совместно с другими приложениями. В итоге данные могут быть удалены, отредактированы или подменены злоумышленниками.

Проблемы SHAREit до сих пор не исправлены, поскольку эксперты Trend Micro, обнаружившие проблему, не смогли связаться с разработчиками приложения. После трёх месяцев ожидания было принято решение обнародовать результаты исследований и предупредить общественность.

Атаки и уязвимости

Киберпреступная группировка ScamClub использовала уязвимость нулевого дня CVE-2021-1801 в браузерах на базе движка WebKit для показа вредоносной рекламы.

Целевая аудитория преступников — пользователи iOS. Именно их с помощью вредоносной рекламы перенаправляли на мошеннические сайты, где у жертв пытались выманить финансовую информацию. Обычно пользователям сообщали, что они выиграли подарочную карту от известного бренда.

Использованная ScamClub уязвимость позволяла вредоносному коду совершить побег из песочницы HTML-элемента iframe. Проблема заключалась в том, как Webkit работает с обработчиками событий JavaScript (event listeners). Уязвимости были подвержены Apple Safari и Google Chrome для iOS.

Уязвимость в Telegram позволяла удалённому злоумышленнику получить доступ к сообщениям пользователей в секретных чатах, а также к отправленным фото и видео.

Проблема присутствовала в iOS и Android, а также в версии мессенджера для macOS. Причиной уязвимости стала функция обработки анимированных стикеров в секретных чатах. Удалённый атакующий мог отправить пользователю специальный вредоносный стикер, позволяющий получить доступ к сообщениям, фото- и видеофайлам жертвы.

Ещё одна уязвимость обнаружена в Telegram для macOS и связана с механизмом самоуничтожения сообщений.

Опция «секретный чат» помимо шифрования всех сообщений позволяет участникам взаимодействия отправлять самоудаляемые сообщения, которые в заданный срок исчезают из чата у всех собеседников. Из-за ошибки в macOS-версии Telegram этот механизм работал некорректно: аудио- и видеосообщения исчезали с экрана, но их копии оставались в системе в виде файлов .mp4.

Инциденты

Американский филиал Kia Motors стал жертвой вымогателя DoppelPaymer. Проникнув в систему, преступники зашифровали важные файлы и выкрали конфиденциальную информацию.

ИТ-системы этого отделения компании внезапно стали недоступны по всему миру. Пострадала работа многих сервисов: мобильных приложений, основного веб-ресурса, внутренних сайтов и т. п.

При посещении официальной веб-площадки пользователям выдавалась информация о сбое в работе ИТ-систем Kia Motors.

За восстановление работы и удаление похищенной информации операторы DoppelPaymer потребовали у компании 404 биткоина (около 20 млн долларов США). Если выкуп не будет оплачен в течение 10 дней, сумма увеличивается до 600 биткоинов (~ 30 млн долларов США).

 86   6 дн   дайджест   фишинг

Антифишинг-дайджест № 208 с 5 по 11 февраля 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Новая фишинговая кампания использует азбуку Морзе для сокрытия вредоносных URL-адресов во вложениях.

Схема кампании:

  1. Фишинговая атака начинается с электронного письма, замаскированного под счёт-фактуру (invoice) и содержащего вложение, названное по шаблону «[название_компании]_invoice_[номер]._xlsx.hTML».

2. При просмотре вложения в текстовом редакторе можно увидеть, что в его составе есть JavaScript сценарий, который сопоставляет буквы и цифры с азбукой Морзе. Например, буква «a» отображается как «.-», а буква «b» — это «-...».

3. Скрипт вызывает функцию decodeMorse() для декодирования морзянки в шестнадцатеричную систему, а полученная таким образом шестнадцатеричная строка затем преобразуется в теги JavaScript, которые вставляются в HTML-страницу.

4. Эти скрипты в сочетании с HTML-вложением содержат ресурсы, необходимые для отображения поддельного файла Excel, в котором пользователю сообщат, что время его сессии якобы истекло, и нужно ввести пароль еще раз.

5. Если пользователь введет свои данные в предоставленную форму, они будут переданы на удаленный сайт, принадлежащий злоумышленникам. Для повышения убедительности мошенники используют сервис logo.clearbit.com, который внедряет логотипы компаний в форму для входа. Если логотип недоступен, используется общий логотип Office 365.

Мошенники эксплуатируют новую схема обмана граждан, выплачивающих ипотеку.

Схема атаки:

  1. Мошенники звонят потенциальной жертве и напоминают, что скоро ей необходимо оплатить очередной взнос по ипотеке.
  2. При этом у них имеется полная информация о банке, выдавшем ипотеку, дате и размере платежа.
  3. Во время разговора «сотрудник банка» интересуется, каким образом жертва вносит деньги в счёт погашения ипотеки, через банкомат, через мобильное приложение или в офисе банка.
  4. Если «клиент» сообщает, что посещает банк, разговор заканчивается.
  5. Если клиент гасит ипотеку через мобильное приложение, ему сообщают, что реквизиты для погашения изменились, но приложение доработать не успели, поэтому жертве будет выслана ссылка, по которой нужно перейти и провести платёж.
  6. Если жертва перечисляет деньги на сайте по этой ссылке, они попадают к злоумышленникам.
  7. Чтобы убедить жертву действовать быстрее, мошенники грозят ей штрафом за просрочку платежа при переводе по «старым» реквизитам.

Мошенники создают интернет-магазины на конструкторе Shopify для продажи поддельных карт вакцинации COVID-19 антипрививочникам.

Система здравоохранения США децентрализована, поэтому власти используют в качестве средства для отслеживания вакцинированных специальные бумажные карты с логотипом Центра по контролю и профилактике заболеваний США (CDC).

Но поскольку 13% американцев заявили, что они откажутся от вакцины, появился черный рынок карт для тех, кто категорически не согласен с политикой поголовной иммунизации.

«Аутентичные» карты продаются всего по 20 долларов США на доменах с именами, подобными covid-19vaccinationcards[...] com.

Атаки и уязвимости

Новая разновидность атаки на цепочку поставок позволила взломать 35 компаний, включая Microsoft, Amazon, PayPal, Apple, Tesla.

Публичный репозиторий с «вредоносными» пакетами.

Атака получила название dependency confusion (путаница зависимостей) или substitution attack (атака на замещение). Её суть заключается в том, что вредоносная программа из open-source репозиториев PyPI, npm и RubyGems автоматически распределяется по всей цепочке поставок, проникая во внутренние приложения компаний без участия пользователей.

Оказалось, что если пакет зависимостей, используемый приложением, существует как в общедоступном репозитории, так и в приватном репозитории, публичный пакет получит приоритет и будет использован без каких-либо действий со стороны разработчика. Также оказалось, что в случае с пакетами PyPI пакет с более высокой версией имеет приоритет независимо от того, где он расположен.

Создавая и публикуя в публичных репозиториях пакеты с теми же именами, как у пакетов, используемых внутри Microsoft, Apple, PayPal, Shopify, Netflix, Tesla и других компаний, удалось внедрить в их кодовую базу скрипты, которые автоматически извлекали идентифицирующую информацию с «зараженной» машины, а затем передавали их создателю.

Новый метод «Суперкуки» (Supercookie) позволяет следить за пользователем через VPN и в режиме инкогнито с помощью иконок сайтов (favicon).

Метод «суперкуки» использует файлы формата favicon, чтобы назначить специальный идентификатор посетителям определённого веб-сайта. Он работает даже в режиме «Инкогнито», который есть во всех современных браузерах. Избавиться от «суперкуки» нельзя даже полной очисткой кеша, перезапуском браузера и перезагрузкой системы. VPN или блокировщики рекламы тоже бессильны перед этим подходом.

Демонстрация работы метода «суперкуки».

Киберпреступники похищают конфиденциальные данные с компьютеров пользователей с помощью вредоносных расширений для браузера Google Chrome в системах Windows.

Для установки расширений не используется магазин приложений Chrome Web Store. Одно из таких расширений для Google Chrome получило имя «Forcepoint Endpoint Chrome Extension for Windows». Чтобы имитировать безопасность своего изделия, киберпреступники используют логотип компании Forcepoint, специализирующейся на кибербезопасности.

При атаке вредоносный код копируется в локальную папку пользователя, а затем вызывается непосредственно из браузера. Для этого в браузере Chrome имеется встроенная функция, которую можно включить в настройках расширений.

Мобильная безопасность

Неизвестные киберпреступники подменили популярное Android-приложение BarCode Scanner на вредоносную версию.

После обновления 4 декабря 2020 года Barcode Scanner стал незаметно запускать браузер по умолчанию и показывать рекламу других потенциально вредоносных приложений.

И хотя бесплатные приложения могут показывать рекламу, чтобы обеспечить источник доходов для разработчиков, ситуация с BarCode Scanner отличается. Вредоносный код, внедрённый в приложение, был подписан тем же сертификатом, что и «чистые» версии приложения ранее, а также тщательно скрыт, чтобы избежать обнаружения. Реклама же была чрезвычайно агрессивной и практически не давала пользователю возможности нормально пользоваться устройством.

Инциденты

Антивирусная компания Emsisoft стала жертвой утечки данных, в результате которой неизвестные лица получили доступ к базе данных, содержащей технические логи.

Инцидент произошёл из-за небезопасной конфигурации тестовой системы, база данных которой была доступна из интернета. Система использовалась для оценки и сравнительного анализа хранения и управления данными логов, которые генерируют продукты и сервисы Emsisoft.

Сообщается, что конфиденциальной информации в базе было немного: всего 14 адресов электронной почты, принадлежащие семи различным организациям. Однако БД хранила множество продакшен-логов, а расследование показало, что по меньшей мере один человек «получил доступ к некоторым или всем данным, содержащимся в этой базе данных».

Неизвестный хакер проник в систему управления очистными сооружениями города Олдсмар, штат Флорида и изменил химический состав воды.

Злоумышленник использовал TeamViewer на компьютере одного из сотрудников, с которого сумел перейти на другие системы. Ему удалось запустить программу управления очисткой воды и повысить до опасных значений уровень гидроксида натрия (NaOH) — каустической соды, которая используется в средствах для прочистки труб.

К счастью, атаку вовремя заметили, и оператор вернул значения в норму сразу после отключения хакера от системы.

 107   13 дн   дайджест   фишинг

Антифишинг-дайджест № 207 с 29 января по 4 февраля 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена мошенническая кампания, направленная на сообщества криптовалютных трейдеров в Discord.

Схема атаки

  1. Мошенники ищут жертв на криптовалютных серверах Discord и рассылают личные сообщения от имени «перспективной торговой площадки», которая якобы разыгрывает криптовалюту.
  2. Причины розыгрыша называются разные, но в итоге оказывается, что адресат был выбран получателем внушительной суммы в биткойнах или Ethereum.

3. В сообщении содержится подробная инструкция по получению подарка, ссылка для регистрации на криптобирже и код, по которому можно получить «выигранные» биткоины или эфиры.

4. По ссылке открывается сайт, имитирующий криптобиржу. Всё сделано на хорошем уровне и содержит привычные криптотрейдеру элементы торговой площадки — курсы валют, графики, биржевые стаканы, история торгов.

5. Для создания полного доверия жертвам предлагают настроить двухфакторную аутентификацию, чтобы никто не украл их монеты, а также включить защиту от фишинга, в точности как на настоящих биржах: в личном кабинете задается уникальный код, который затем будет указан во всех письмах от площадки в подтверждение того, что письмо пришло не от взломщика.

6. Чтобы закончить регистрацию и получить статус «Пользователь», жертве предлагают либо внести небольшой депозит в криптовалюте (сразу или позже), либо пройти проверку личности (она же Know Your Customer, или KYC). Процедура устроена точно также, как на сайтах легитимных криптобирж: нужно указать контактные данные и загрузить селфи с паспортом и листочком с адресом биржи, датой регистрации и подписью.

7. После завершения «регистрации» появляется возможность активировать ключ из сообщения в Discord и получить приз. Система принимает код, и на счете жертвы отображаются обещанные биткоины или эфиры.

8. Если жертва попытается вывести «призовые» с биржи на свой кошелек, они получат сообщение, что это нельзя сделать без пользовательского статуса, для присвоения которого нужно пополнить баланс на 0,02 BTC или эквивалент этой суммы в долларах США.

9. Если жертва выполнит это требования, она расстанется со своими деньгами и не получит никакого приза.

10. Помимо денег у преступника останутся личные данные наивного трейдера вместе с идентифицирующим селфи с документов

Популярность телеграм привела к тому, что стали массово встречаться кампании, в которых мошенники представляются рекламными менеджерами знаменитостей или крупных каналов и предлагают различные услуги по очень выгодным ценам.

В одной из таких кампаний мошенники пытались воспользоваться популярным каналом «Незыгарь», предложив известному предпринимателю «заблокировать» негативные упоминания о нём и его компании. Для этого они зарегистрировали электронную почту, отличающуюся от официального контакта «Незыгаря» лишь одной буквой:

nzgnzg@protonmail.com — оригинал
nzgnsg@protonmail.com — фальшивка

Авторы другой подобной кампании создали в телеграм фальшивый аккаунт продюсера Моргенштерна и Елены Темниковой и предлагали разместить рекламу в Instagram звезды всего по 10 тыс. рублей за два поста.

Новая мошенническая кампания по «выплате компенсаций» использует для рассылки фишинговых ссылок альбомы Google Фото.

Схема атаки

  1. В стандартном функционале Google Фото есть возможность делиться выбранным альбомом с фотографиями с другими пользователями. Когда приходит приглашение к просмотру такого альбома, в большинстве случаев оповещение об этом поступает в виде push-уведомления на телефоне, которое невозможно не заметить.
  2. Преступники размещают в разделе «Общие» новый альбом с одной фотографией, на которой указывается, что пользователю одобрена выплата на «Госуслугах» в размере 278 500 рублей. Объем «выплаты» может отличаться в большую или меньшую сторону, но это всегда некруглая сумма, что вызывает дополнительное доверие у людей.
  3. На фотографии есть комментарий, в котором прописана инструкция для получения выплаты. Для получения полного описания нужно перейти по ссылке со множеством переадресаций с одного сайта на другой.
  4. Далее жертве предлагается оплатить комиссию за перевод в размере 398 рублей через фальшивый платежный сервис, причем сделать это нужно максимально быстро, поскольку через 48 часов сумма якобы будет возвращена отправителю. Срочность — дополнительный инструмент давления на человека.
  5. Если человек вводит свои данные в шаблон для оплаты перевода, мошенники похищают данные его карты, а потом и средства со счета.

Авторы ещё одной целевой мошеннической кампании рассылают фишинговые письма, чтобы захватить перехватить управление популярными почтовыми рассылками.

Схема атаки

  1. Сотрудник компании получает сообщение с подтверждением оплаты подписки на услуги по рассылке писем. В нем содержится ссылка на чек, который якобы можно посмотреть и распечатать. Предполагается, что если получатель такого письма действительно является клиентом сервиса, он, скорее всего, захочет понять, что это за внезапная оплата.
  2. В гиперссылке спрятан адрес сервера злоумышленников. Кликнув на нее, человек попадает на сайт, достаточно убедительно имитирующий легитимную страницу входа провайдера e-mail рассылок.

3. Мошенники используют незашифрованное соединение, не поставили на форму капчу, однако невнимательный или просто уставший сотрудник вполне может не обратить на это внимание, в результате чего учётные данные попадут к злоумышленнику, который перехватит управление рассылкой.

Мобильная безопасность

Новый вредонос заражает Android-устройства через интерфейс отладки ADB и присоединяет их к ботнету для проведения DDoS-атак.

Заражение целевого устройства происходит в несколько стадий:

  1. Через ADB-интерфейс, принимающий подключения на TCP-порту 5555, на устройство проникает загрузчик.
  2. Загрузчик запускает скрипты со взломанного сервера.
  3. Скрипты скачивают основной модуль Matryosh в соответствии с архитектурой процессора устройства.
  4. Получив управление, бот выполняет команды управляющего сервера на запуск или остановку DDoS-атак.

Инциденты

Офис государственного аудитора штата Вашингтон стал жертвой киберинцидента, в результате которого произошла компрометация персональных данных более 1,6 млн человек.

Виновником инцидента стала программная уязвимость сервиса Accellion File Transfer Appliance (FTA), позволяющего организациям безопасно обмениваться конфиденциальными документами с пользователями за пределами своей организации. Компания Accellion подтвердила, что неавторизованное лицо получило доступ к файлам аудитора, воспользовавшись уязвимостью в сервисе передачи файлов.

Скомпрометированная информация содержала персональные данные жителей штата Вашингтон, подавших заявления о выплате страхового возмещения по безработице в 2020 году, а также другие данные от местных органов власти и государственных учреждений:

  • Полное имя;
  • Номер социального страхования;
  • Номер водительского удостоверения;
  • Государственный идентификационный номер;
  • Номер банковского счета;
  • Место работы.

Вредоносное ПО

Обнаружен шифровальщик-вымогатель Vovalex, который распространяется под видом нелегальной копии популярной утилиты CCleaner.

Для маскировки от обнаружения антивирусным ПО авторы вредоноса написали его на редко используемом языке программирования D. В остальном функциональность Vovalex вполне типична:

  • после запуска он открывает легитимную копию установщика CCleaner и помещает свою копию со случайным именем в директорию %Temp%;
  • далее вредоносная программа начинает шифровать файлы на компьютере жертвы, добавляя к ним расширение .vovalex;
  • после завершения шифрования на рабочий стол копируется записка с требованиями — README.VOVALEX.txt.

Сумма выкупа за расшифровку файлов — 0,5 XMR (криптовалюта Monero), что составляет около 70 долларов США по текущему курсу.

 149   20 дн   дайджест   фишинг
Ранее Ctrl + ↓