Полезные знания Обзор событий по кибербезопасности

[fenix]

Баги на NFT маркетплейсе
OpenSea

Исследователи из компании Check Point рассказали о критических уязвимостях, которые им удалось обнаружить на крупнейшем в мире NFT-маркетплейсе OpenSea. Чтобы похитить чужую криптовалюту, злоумышленнику нужно было просто вынудить пользователя кликнуть на вредоносное NFT-изображение.

OpenSea — это крупнейшая торговая площадка, где можно продавать и покупать NFT (невзаимозаменяемые токены) и другие активы. Объем ее транзакций только в августе 2021 года составил 3,4 миллиарда долларов США.
Эксперты Check Point решили провести исследование OpenSea, заметив в сети множество сообщений о бесплатных NFT, которые якобы раздавали пользователям. Вскоре исследователям удалось связаться с жертвой мошенников, которая сообщила, что ее криптовалютный кошелек был взломан, а незадолго до этого она взаимодействовала с одним из таких бесплатных airdrop’ов.

Дело в том, что для учетной записи OpenSea требуется сторонний криптовалютный кошелек из списка поддерживаемых платформой. Одно из наиболее популярных решений — MetaMask, который и выбрали исследователи. Связь с кошельком устанавливается практически при любом действии: даже если просто полайкать какой-то NFT, это запускает запрос входа в кошелек.

Стоит объяснить, что на OpenSea любой может продавать цифровое искусство в виде файлов размером до 40 Мб с любым из следующих расширений: JPG, PNG, GIF, SVG, MP4, WEBM, MP3, WAV, OGG, GLB, GLTF. Зная об этом, эксперты Check Point загрузили на OpenSea изображение SVG, содержащее вредоносный код JavaScript. При нажатии на него, чтобы открыть в новой вкладке, обнаружилось, что файл выполняется в поддомене storage.opensea.io. Тогда исследователи добавили iFrame к изображению для загрузки HTML-кода, который будет внедрять запрос window.ethereum, необходимый для установления связи с Ethereum-кошельком жертвы.

В итоге, разбираясь в проблеме, специалисты сумели выявить критические уязвимости в OpenSea, доказав, что вредоносные NFT могут быть использованы для взлома чужих учетных записей и кражи криптовалюты. Оказалось, что для успешной эксплуатации уязвимостей маркетплейса требовалось выполнить следующие простые шаги.

• Хакер создает и дарит жертве вредоносный NFT.
• Жертва просматривает вредоносный NFTи видит всплывающее окно, где у нее запрашивают подключение к криптовалютному кошельку (такие всплывающие окна часто встречаются на платформе при различных других действиях);
• Жертва кликает на кнопку подключения к своему кошельку, чтобы выполнить действие с подаренным NFT, и в итоге предоставляет доступ к кошельку злоумышленнику;
• Чтобы похитить средства, хакер выводит еще одно всплывающее окно, которое также связано со storage-доменом OpenSea. Если пользователь вовремя не заметит в этом всплывающем окне примечание о транзакции и кликнет по нему, злоумышленник сможет похитить криптовалюту. Увы, такие запросы часто появляются как «системное уведомление», и пользователи, скорее всего, одобрят транзакцию, даже не прочитав сообщение.

Исследователи сообщили разработчикам OpenSea о проблемах 26 сентября 2021 года. Менее чем через час проблема была устранена, и эксперты подтверждают, что все векторы атак в настоящее время закрыты.

 

[fenix]

7-Eleven собрала биометрические данные 1,7 млн человек без их согласия

7-Eleven проводила исследование, в ходе которого клиенты заполняли опросники на планшетах со встроенными камерами.

Австралийский комиссар по информации обнаружил , что оператор крупнейшей сети небольших магазинов 7-Eleven нарушал приватность своих клиентов, собирая биометрическую информацию без их согласия.

С июня 2020-го по август 2021 года компания 7-Eleven проводила исследование, в ходе которого клиенты заполняли опросники на планшетах со встроенными камерами. Эти планшеты, установленные в 700 магазинах, захватывали изображения лиц участников опроса два раза - в процессе заполнения и после.
Узнав об этом в июле прошлого года, Управление австралийского комиссара по информации (Office of the Australian Information Commissioner, OAIC) инициировало расследование.
Как было установлено в ходе расследования, полученные изображения лиц хранились на планшете в течение 20 секунд, а затем загружались на защищенный сервер в инфраструктуре Microsoft Azure на территории Австралии. Изображения хранились на сервере в виде алгоритмического представления в течение семи дней, что позволяло 7-Eleven выявлять и исправлять любые проблемы, а также повторно обрабатывать ответы на вопросы.
Как уже упоминалось, изображения загружались на сервер в виде алгоритма или так называемых "отпечатков лица", которые затем сопоставлялись с другими "отпечатками", чтобы отсеивать ответы, кажущиеся 7-Eleven неправдивыми.
Компания также использовала персональную информацию с целью создания демографического профиля участвовавших в опросе клиентов.
По уверению 7-Eleven, участники исследования были осведомлены о том, что компания могла получать их фотографии и биометрические данные, поскольку об этом сообщается на ее web-сайте, где, собственно, и проводился опрос.

По состоянию на март 2021 года в опросе приняли участие порядка 1,6 млн человек.
Австралийский комиссар по информации и конфиденциальным данным Анджелина Фальк (Angelene Falk) установила, что столь масштабный сбор чувствительной биометрической информации нарушает законодательство Австралии в области защиты персональных данных и не является необходимым для улучшения обслуживания покупателей в магазинах.

Согласно австралийским законам, организациям запрещено собирать персональную информацию граждан без их согласия.
По словам Фальк, изображения, на которых отчетливо видно лицо человека, является его персональной информацией, и любое алгоритмическое представление этого лица также является персональной информацией. Хотя представители 7-Eleven и заявили, что уведомили участников опроса о сборе их биометрических данных, они не предоставили никаких сведений о том, как эти данные будут храниться и использоваться. Другими словами, считает Фальк, компания не получала от пользователей никакого согласия.
Комиссар обязала 7-Eleven прекратить сбор изображений лиц и их отпечатков в рамках механизма обратной связи с клиентами. Кроме того, компания должна уничтожить все собранные "отпечатки лиц".

 

[fenix]

23.10.21

В даркнете появилась база пользователей CoinMarketCap. Утекло 3.1 млн учеток. Администрация ресурса уже признала утечку. Говорят, что слили только e-mail, без паролей.

Пользователи уже сообщают, что на почту сыпется фишинг.

 

[fenix]

Новая атака на Acer

Тайваньского производителя железа, компанию Acer взломали второй раз за последние недели.

Ответственность за атаку взяла на себя та же хак-группа, что совершила первую атаку на прошлой неделе.

Злоумышленники утверждают, что уязвимы и другие региональные подразделения компании.

Напомню, что о первой атаке стало известно на прошлой неделе, когда хак-группа Desorden заявила, что похитила более 60 гигабайт данных у Acer.
Объявление о продаже информации появилось на известном хакерском форуме RAID.

По словам продавца, дамп был получен после взлома индийских серверов компании и содержал корпоративные, финансовые и аудиторские документы, сведения о миллионах клиентах, а также учетные данные розничных продавцов и дистрибьюторов Acer.

В доказательство своих слов злоумышленники предоставили образцы украденных данных, а также видеоролик, где демонстрируются остальные файлы.

Представители Acer в итоге подтвердили факт взлома и отметили, что атака затронула лишь местную систему послепродажного обслуживания в Индии. Но, как оказалось, уязвимым для злоумышленников было не только индийское подразделение компании.

Журналисты Bleeping Computer рассказывают, что с ними связались представители Desorden и заявили, что 15 октября 2021 года они также взломали тайваньское подразделение Acer и похитили информацию о продуктах и сотрудниках компании.

Хакеры говорят, что провели атаку, чтобы доказать, что Acer по-прежнему уязвима. Хакеры предоставили изданию скриншоты внутреннего тайваньского портала Acer, а также файлов CSV, содержащих учетные данные сотрудников. «Мы не просили отдельной оплаты за взлом тайваньского филиала. Это должно доказать нашу точку зрения о том, что Acer пренебрегает кибербезопасностью», — говорят злоумышленники.

Хотя сотрудники Acer уже отключили уязвимый тайваньский сервер, хакеры утверждают, что другие серверы в Малайзии и Индонезии все еще уязвимы.

Представители Acer подтвердили журналистам, что хак-группа не лжет, и взлом действительно имел место. На этот раз подчеркивается, что утечка затронула только данные сотрудников, но не информацию клиентов.

 

[fenix]

RedLine стал основным поставщиком украденных данных на форумы дарквеба

Продажа большинства украденных учётных данных распределилась между двумя основными форумами дарквеба, а главным поставщиком скомпрометированных паролей стала вредоносная программа RedLine Stealer. Такую статистику представили специалисты Recorded Future. Похищающий информацию зловред RedLine впервые попался на глаза экспертам в марте 2020 года. Фактически он представлял собой часть семейства программ, основная цель которых — собрать на компьютере жертвы как можно больше данных, а затем отправить их операторам. Потом такие данные выставляются на продажу на одной из соответствующих площадок. Продавец создаёт пост, описывает БД, называет свою цену и предоставляет часть базы для ознакомления. В силу своих функциональных возможностей RedLine может воровать учётные данные из браузеров, FTP-клиентов, почтовых клиентов, мессенджеров и VPN. Помимо этого, вредонос способен извлекать файлы cookie и данные банковских карт, переписки и информацию о криптовалютных кошельках. Изначально RedLine — разработка программиста, известного под псевдонимом REDGlade. С марта 2020 года зловред продаётся на нескольких форумах в дарквебе. Почти сразу RedLine получил массу положительных отзывов, после чего появились его пиратские версии.

Для просмотра ссылки необходимо нажать Вход или Регистрация

 

[fenix]

Evil Corp обзавелась новым шифровальщиком и требует у жертв $40 миллионов

В новых вымогательских атаках ОПГ Evil Corp замечен неизвестный ранее зловред — Macaw Locker.

Судя по сходству кода, это очередной член семейства шифровальщиков криминальной группы, пытающейся скрыться от зоркого ока властей США путем ребрендинга своего Орудия.

На настоящий момент известны лишь две жертвы Macaw Locker: лидер американского рынка телевещания Sinclair Broadcast Group и техногигант Olympus, который еще не вполне оправился от атаки BlackMatter.

В одном случае хакеры потребовали за дешифратор $28 млн, в другом — $40 миллионов. О родстве новобранца с другими шифровальщиками Evil Corp репортер BleepingComputer узнал от эксперта Emsisoft Фабиана Возара (Fabian Wosar). Тот разобрал код Macaw Locker и пришел к выводу, что новый вредонос мало чем отличается от своих предшественников. К зашифрованным файлам зловред добавляет расширение .macaw и в папках с такими объектами оставляет записку с требованием выкупа (macaw_recover.txt). Для каждой жертвы создается уникальный ID, а на сайте в сети Tor — отдельная страница с чатом для ведения переговоров о выкупе.

По некоторым данным, кибергруппа Evil Corp, она же TA505, Indrik Spider и CHIMBORAZO, объявилась в интернете в 2007 году. Начинала она как рядовой участник чужих партнерских программ, а затем обзавелась собственным зловредом — банкером Dridex.

Это приобретение было столь успешным, что на его основе был создан ботнет, который сдавался в аренду другим распространителям вредоносных программ. С появлением шифровальщиков владельцы Dridex перепрофилировали его для проведения вымогательских операций — стали сами использовать троян в качестве загрузчика таких программ. Вначале это был Locky, затем в арсенале Evil Corp появились Jaff, Hades, BitPaymer.

В 2019 году деятельность энергичной ОПГ привлекла внимание властей США, после этого имена используемых ею зловредов стали сменяться чаще. Из последних творений одиозной группы больше всего шуму наделал WastedLocker; ее также считают ответственной за операции DoppelPaymer и Sidoh.

 

[fenix]

Группа Carbanak нанимает ИТ-спецов для проведения атак под видом пентеста

Киберпреступная группировка FIN7 придумала интересную схему: злоумышленники создают фиктивные компании, работающие в сфере кибербезопасности, а затем проводят реальные атаки под видом тестирований на проникновение (пентест).

FIN7, также известная под именем Carbanak, занимается финансово ориентированными киберкампаниями, в ходе которых преступники пытаются украсть как можно больше денег. С 2015 года группировка заражает банкоматы специально разработанными вредоносными программами.

В своих новых операциях Carbanak решила привлекать ничего не подозревающих и добропорядочных ИТ-специалистов. Тем не менее киберпреступники сработали не до конца чисто, что выдало их намерения. Например, участники группы утверждали, что их компания базируется в Великобритании, однако страница с ошибкой 404 на «официальном» сайте содержала русский язык.

Раздел «О компании» утверждал, что созданная FIN7 организация якобы связана с легитимной Convergent Network Solutions. Исследователи из Gemini Advisory отметили, что преступники предлагают специалистам от 800 до 1200 долларов в месяц.

В основном группировку интересовали программисты, пишущие на C++, PHP и Python, а также системные администраторы Windows и эксперты по обратному инжинирингу.

Всё было стандартно: собеседование, после которого стороны подписывали договор и соглашение о неразглашении. Далее шёл условный испытательный срок, в ходе которого соискатель имел возможность ознакомиться с задачами.

Однако со временем становилось понятно, что фиктивная компания привлекает сотрудников для киберпреступной деятельности.

 

[fenix]

Хакеры взломали соцсеть Трампа до ее запуска

Соцсеть экс-президента США Дональда Трампа Truth Social, о создании которой он объявил накануне, подверглась хакерской атаке. Об этом пишет The New York Times (NYT).

Злоумышленники утверждают, что через несколько часов после объявления о создании TRUTH Social они смогли получить доступ к бета-версии платформы.

Киберпреступники создали фейковые учетные записи от имени Трампа и его бывшего помощника Стива Бэннона.

На фальшивой странице экс-президента США они разместили фотографию испражняющейся свиньи и нецензурные высказывания в адрес основателя Twitter Джека Дорси.

Разработчикам пришлось удалить эти учетные записи и закрыть доступ к сайту. Его официальный релиз был запланирован на 2022 год.

Хакеры предпочли скрыть свои личности, однако утверждают, что связаны с группировкой Anonymous. По их словам, взлом соцсети был частью их "войны против ненависти". Кроме того, они хотели развлечься.

 

[fenix]

Белый хакер получил 2 млн долларов за найденную уязвимость в блокчейн-сети Polygon

Вознаграждение стало рекордным в истории DeFi-сектора.

Эксперт по безопасности обнаружил в решении второго уровня Polygon критическую уязвимость, которая могла привести к убыткам на $850 млн. Проект выплатил исследователю рекордное вознаграждение $2 млн.

Проект Polygon запустил баунти-программу в сентябре и на нее обратил внимание специалист по кибербезопасности Гехард Вагнер. Он отметил, что Polygon использует для защиты транзакций между своими сетями и Ethereum систему защиты Plasma, которую, по его мнению, сложно надежно реализовать.

Вагнер подробно рассказал о том, как обнаружил уязвимость в «мосте» Plasma Bridge. Эксперт назвал уязвимость «баг удвоения расходов». С помощью ошибки в коде злоумышленник мог бы вывести сумму, в 223 раза превышающую первоначальную стоимость токенов. Внесение каждых $200 тыс. могло бы принести потенциальному хакеру $44,6 млн.

В случае эксплуатации уязвимости потери протокола могли составить $850 млн.
Разработчики Polygon согласились выплатить максимальную награду за обнаружение уязвимости в размере $2 млн., что стало крупнейшим вознаграждением за поиск ошибок за всю историю DeFi.

Также разработчики Polygon подтвердили, что баг присутствовал в основной сети. Вагнер предположил, что проблема возникла «из-за использования стороннего кода без его полного понимания». Он подчеркнул, что решение разработчиков оказалось «не слишком утонченным», но со своей задачей справилось.

 

[fenix]

Провайдеры электронной почты подверглись DDoS-атакам с целью вымогательства

Как минимум три провайдера электронной почты в разных уголках мира подверглись мощным DDoS-атакам. В частности, инцидент затронул поставщиков защищенных сервисов электронной почты Runbox (Норвегия), Posteo (Германия) и Fastmail (Австралия).

Как сообщили представители Posteo в своем блоге, злоумышленники связались с ними и потребовали деньги за прекращение атаки.

"Мы не заплатили сумму, которую они потребовали. Компании ни при каких обстоятельствах не должны позволять преступникам себя шантажировать, в противном случае они станут для них еще более привлекательной жертвой. К тому же, DDoS-атаки обычно не прекращаются, даже если заплатить", - говорится в блоге Posteo.

В Fastmail и Runbox не сообщили, потребовали ли злоумышленники выкуп за прекращения атаки. Тем не менее, похоже, что за ними стоят те же киберпреступники, что и за атакой на немецкого провайдера, и требования выкупа все же имели место. Об этом порталу The Record сообщил осведомленный источник.

В настоящее время все три сервиса восстановили свою работу.

Одновременно с Runbox, Posteo и Fastmail DDoS-атакам также подверглись британский поставщик сервиса VoIP-телефонии Voipfone и провайдер игровых серверов Sparked, однако ответственность за них лежит на других киберпреступниках.

Несмотря на то, что кибератаки с использованием вымогательского ПО затмили вымогательство с помощью DDoS-атак, киберпреступники по-прежнему активно пользуются этим методом. К примеру, в прошлом месяце попытки вымогательства с помощью DDoS-атак были зафиксированы в отношении ряда интернет-провайдеров и финансовых организаций по всему миру, в том числе в России , Великобритании, США и Новой Зеландии. Некоторые из них были осуществлены с использованием ботнета Meris .

 

[fenix]

Хакерская группировка Nobelium

Хакерская группировка Nobelium, которая считается организатором нашумевшей кибератаки на американского производителя ПО SolarWinds, продолжает атаковать организации, связанные с глобальными цепочками поставок IT.

Как сообщил вице-президент Microsoft Тим Берт в блоге корпорации, с мая нынешнего года Nobelium осуществляет атаки на реселлеров и прочих поставщиков технологических сервисов, предоставляющих услуги развертывания и управления облачными сервисами для того, чтобы через них получить доступ к IT-сетям их клиентов.

По словам Берта, с мая группировка атаковала более чем 140 реселлеров и провайдеров, 14 из них хакерам удалось скомпрометировать.

В период с 1 июля по 19 октября нынешнего года Microsoft зафиксировала более 22 тыс. атак Nobelium на 609 своих клиентов, однако большая часть нападений была неуспешной.

В отличие от прошлогодней кампании, в недавних атаках Nobelium не эксплуатировала уязвимости в программном обеспечении, а прибегла к хорошо известным методам, таким как фишинг и техника Password Spraying (распыление паролей), для кражи учетных данных.

Microsoft также выпустила отчет с техническими подробностями новой кампании и рекомендациями по обеспечению защиты от атак.

 

[fenix]

Уязвимость в биллинговом ПО BillQuick активно используется в вымогательских атаках

Специалисты в области кибербезопасности предупредили об уязвимости в различных версиях популярного биллингового решения BQE Software BillQuick, которую уже взяли на вооружение операторы вымогательского ПО.

Проблема, получившая идентификатор CVE-2021-42258, представляет собой уязвимость внедрения SQL-кода, с помощью которой атакующие могут удаленно выполнить код на уязвимой системе.

По сообщению специалистов компании Huntress Labs, эта уязвимость эксплуатировалась в вымогательской атаке на некую американскую инжиниринговую компанию, в частности, для получения начального доступа к системам жертвы. Хотя производитель уже устранил CVE-2021-42258, еще восемь уязвимостей, обнаруженных в ходе расследования, все еще остаются неисправленными.

CVE-2021-42258 связана с процессом формирования запросов запросы к базе данных SQL в BillQuick Web Suite 2020, позволяющим злоумышленникам внедрить вредоносный SQL-код через форму авторизации приложения, удаленно запустить командную строку на системе Windows и выполнить код с повышенными правами (BillQuick работает с привилегиями системного администратора).

«Хакеры постоянно в поиске легкой добычи и уязвимостей, которые можно проэксплуатировать, – и они не всегда копаются в крупных ‘мейнстримных’ приложениях типа Office. Иногда, инструмент продуктивности или даже аддон может стать дверью, через которую хакеры получат доступ к окружению, и смогут выполнить следующий шаг», - предупредили эксперты.

 

[fenix]

Клоны NPM-пакета с 8 млн загрузок в неделю добывают Monero и крадут пароли

Злоумышленники взломали npm-аккаунт автора проекта UAParser.js и опубликовали три вредоносных обновления, загружающих криптомайнер и крадущего пароли трояна. Чистые версии пакета уже доступны, замену рекомендуется произвести незамедлительно.

Библиотека с открытым исходным кодом UAParser.js, выполняющая разбор HTTP-заголовка User-Agent, очень популярна. Ее используют более 1200 проектов, в том числе продукты Microsoft, Amazon, Google, Facebook, Mozilla, Apple, Dell, IBM, Siemens, Oracle, HP, MongoDB, Slack и ProtonMail. Этот npm-пакет насчитывает около 8 млн загрузок в неделю; в октябре его уже скачали более 24 млн раз.

В конце прошлой недели в NPM появились три вредоносных обновления пакета UAParser.js — 0.7.29, 0.8.0 и 1.0.0. Автор проекта полагает, что его учетную запись в репозитории взломали, и сетует, что не смог отозвать публикацию опасных фальшивок из-за политик этого хранилища.

Проведенный в BleepingComputer анализ показал, что при установке на машину зараженной версии UAParser.js сценарий preinstall.js проверяет тип используемой ОС и запускает либо шелл-скрипт Linux, либо bat-файл Windows.

На Linux-устройствах зловред проверяет также местоположение жертвы; если она проживает в России, на Украине, в Белоруссии или Казахстане, выполнение сценария прекращается. В остальных случаях происходит загрузка и запуск майнера XMRig (файла jsextension), который во избежание обнаружения использует лишь 50% мощности CPU.

На Windows-машины тоже загружается криптомайнер (сохраняется под именем jsextension.exe). Кроме этого, bat-файл скачивает вредоносную библиотеку sdd.dll (сохраняется как create.dll) — трояна, способного красть пароли из браузеров, мессенджеров, клиентов email, FTP, VNC, а также диспетчера учетных данных Windows. По мнению экспертов, что это некий вариант хорошо известного DanaBot.

Разработчики UAParser.js за несколько часов вернули контроль над проектом и выпустили чистые версии 0.7.30, 0.8.1 и 1.0.1. Согласно алерту на сайте GitHub, тем, кто установил вредоносный пакет, рекомендуется как можно скорее произвести обновление и проверить систему на наличие подозрительной активности. Все пароли, ключи и сертификаты безопасности следует заменить, используя другой компьютер.

Исследователи полагают, что создатель вредоносных фальшивок — тот же человек, который неделей ранее выложил в NPM аналогичные клоны UAParser.js. Зловредные пакеты быстро обнаружили и удал

 

[fenix]

Авторы macOS-трояна WizardUpdate добавили функции ухода от детектирования

Специалисты Microsoft обнаружили новый образец вредоносной программы для macOS, известной под именем WizardUpdate (также её называют UpdateAgent или Vigram). В последней на данный момент версии авторы усовершенствовали техники ухода от обнаружения и укрепления зловреда в системе.

По словам экспертов корпорации из Редмонда, вредоносная программа распространяется с помощью непреднамеренной загрузки (Drive-by download) и маскируется под безопасный и легитимный софт. Хотя в январе аналитики Confiant сообщали о распространении WizardUpdate под видом установщиков Flash.

Впервые об этом зловреде стало известно в ноябре 2020 года, тогда он мог лишь извлекать и передавать операторам информацию о заражённой системе. Однако с тех пор авторы WizardUpdate значительно усовершенствовали свой софт.

Например, достаточно взглянуть на образцы зловреда, которые датируются уже этим месяцем:

WizardUpdate разворачивает дополнительные пейлоады, загружаемые из облачной инфраструктуры;
собирает полную историю загрузок macOS с помощью строки LSQuarantineDataURLString;
обходит защиту Gatekeeper, удаляя пометки «в карантин» у загруженных пейлоадов;
модифицирует файлы PLIST;
использует существующие профили для выполнения команд;
выдаёт обычным пользователям права администратора.

«UpdateAgent использует облачную инфраструктуру для хранения дополнительных вредоносных нагрузок. Кроме того, теперь вредонос может обходить Gatekeeper, специально созданный для запуска лишь проверенного и надёжного софта», — пишет Microsoft.

 

[fenix]

Microsoft рассказала о фишинговом наборе, похожем на монстра Франкенштейна

Microsoft предупредила о мощной фишинговой кампании, в ходе которой злоумышленники пытаются добраться до учётных данных сотрудников организаций. Эти атаки отличаются использованием фишингового набора, состоящего из пяти различных компонентов, принадлежащих другим похожим наборам.

На активность фишеров обратила внимание команда Microsoft 365 Defender Threat Intelligence. Впервые новый набор для фишинга попался экспертам на глаза в декабре 2020 года, а позже исследователи присвоили ему имя TodayZoo.

«Злоумышленники могут подобрать для себя наиболее подходящие и эффективные компоненты подобных наборов, поскольку сегодня чёрные онлайн-рынки буквально изобилуют самыми разными вредоносными инструментами. Потом киберпреступники связывают эти тулзы, создавая свой кастомный фишинговый набор. Именно так появился на свет TodayZoo», — пишет команда Microsoft.

Как правило, наборы для фишинга продаются в дарквебе за единовременный платёж. Злоумышленник получает архив, содержащий изображения, скрипты и HTML-страницы. Всё это позволяет ему создать специальные электронные письма, замаскированные под легитимные уведомления, и заманить жертву на веб-страницу, которая соберёт его учётные данные.

В кампании TodayZoo злоумышленники пытаются выдать себя за сотрудников Microsoft. Жертвам объясняют, что им необходимо поменять пароль, так как он может быть скомпрометирован, либо представляют письма как уведомления от факса или сканера.

Интересно, что сам фишинговый набор заимствует код аж у пяти других наборов: Botssoft, FLCFood, Office-RD117, WikiRed и Zenfo. По словам специалистов, этот «монстр Франкенштейна» наглядно демонстрирует развитие инструментов для фишинга.

 

[fenix]

Android-вредонос Joker использует имя Игры в кальмара для распространения

Антивирусная компания ESET зафиксировала новую порцию печально известной вредоносной программы для Android, использующей имя популярного южнокорейского веб-сериала «Игра в кальмара» (Squid Game). Об атаках зловреда, который размещается в Google Play Store, рассказал Лукаш Стефанко.

Речь идёт об уже давно известном Joker, который любит подписывать пользователей на платные сервисы. Помимо этого, злонамеренный софт может перехватывать СМС-сообщения, список контактов и передавать оператору хранящуюся на устройстве информацию.

Злоумышленники загрузили Android-троян как минимум 5 тысяч раз, прежде чем защитные функции официального магазина приложений обнаружили известного нарушителя. Тем не менее, как отметил Лукаш Стефанко, в настоящее время зловред всё ещё можно скачать — осталось более 200 копий приложения.

В этот раз авторы Joker используют тему сериала «Игра в кальмара». Чтобы заинтересовать потенциальных жертв, вредоносная программа обещает установить на заставку смартфона картинку из южнокорейского сериала.

Пользователям стоит учитывать, что официального приложения Squid Game на данный момент не существует, поэтому любая спекуляция на этой теме в Google Play Store — заранее подозрительная или мошенническая схема.

Поскольку киберпреступники часто пользуются именами нашумевших игр, сериалов, фильмов и сервисов, ESET призывает владельцев смартфонов крайне внимательно относиться к тому, что они устанавливают на устройство.

 

[fenix]

RCE-уязвимость в BillQuick помогла хакерам запустить в сеть шифровальщика

При разборе вымогательской атаки на инжиниринговую компанию эксперты Huntress обнаружили, что точкой входа в сеть послужила критическая уязвимость в веб-приложении BillQuick. Проблема позволяет без аутентификации получить закрытые данные сотрудников, использующих биллинговую систему, и выполнить любую команду на бэкенд-сервере базы данных.

Уязвимость CVE-2021-42258 классифицируется как возможность SQL-инъекции; такие ошибки грозят удаленным исполнением кода. Компания BQE Software, разработчик BillQuick Web Suite, уже устранила опасную проблему, выпустив обновление 22.0.9.1 (PDF), и работает над исправлением восьми других ИБ-ошибок, также выявленных Huntress. Платформу BillQuick, по оценке производителя, используют более 400 тыс. клиентов в разных странах.

Эксплойт уязвимости, по словам исследователей, тривиален: достаточно лишь пройти на страницу входа и ввести неприемлемый знак в поле Username — например, апостроф («'»).

Поскольку обработчик ошибок для этой страницы выдает полную трассировку, злоумышленник также имеет шанс получить не только шифрованные пароли и разрешения на доступ сотрудников, но также информацию о коде на стороне сервера.

Более того, атака SQLi позволяет запустить в Windows-системе подпроцесс командной оболочки и добиться исполнения стороннего кода. Эту возможность обеспечивает тот факт, что BillQuick взаимодействует с базой данных на уровне системного администратора.

 

[fenix]

10 млн пользователей Android поразила мошенническая кампания UltimaSMS

Крупная мошенническая кампания, в которой задействовано 151 приложение для Android, подписывает владельцев мобильных устройств на платные сервисы без их ведома. В общей сумме эти приложения загрузили более 10 миллионов раз.

На активность мошенников обратили внимание эксперты антивирусной компании Avast, они же присвоили ей имя — «UltimaSMS». Также специалисты уведомили Google о вредоносных приложениях, размещённых в официальном магазине Play Store.

Несмотря на то что Google достаточно оперативно удалила весь подозрительный софт, мошенники успели заработать миллионы долларов за счёт платных подписок и доверчивых пользователей.

Как мы уже отметили выше, в схеме использовалось 151 злонамеренное приложение. Эти программы злоумышленники маскировали под игры, сторонние клавиатуры, сканеры QR-кодов, фото- и видеоредакторы, блокировщики спамерских звонков, фильтры для камеры и многое другое.

Как только софт попадал на устройство жертвы, он сразу перехватывал такие данные, как местоположение, IMEI, язык операционной системы. Для доступа к функциям приложения предлагали ввести телефонный номер и адрес электронной почты.

 

[fenix]

Mozilla заблокировала вредоносные аддоны Firefox, загруженные 455 тыс. раз

Mozilla заблокировала вредоносные расширения для браузера Firefox, которые, к сожалению, успели установить около 455 тысяч пользователей. Оказалось, что злонамеренные аддоны блокировали обновления интернет-обозревателя с помощью API proxy.

Подозрительные расширения назывались Bypass и Bypass XM, их задача состояла в том, чтобы перенаправлять веб-запросы и блокировать загрузку апдейтов Firefox. Для этого задействовались API.

«Чтобы оградить наших пользователей от странного поведения этих аддонов, мы заблокировали их установку до тех пор, пока разработчики не будут корректно использовать API proxy», — объясняют ситуацию представители Mozilla. — «С версии Firefox 91.1 браузер учитывает важные запросы вроде проверки обновлений, чтобы пользователи могли как можно быстрее получать необходимые патчи».

Помимо этого, разработчики интернет-обозревателя предусмотрели защиту от некорректного использования API proxy в будущем — Proxy Failover. Это системный аддон, который невозможно отключить, а его основная задача — блокировать любые сторонние манипуляции с механизмом обновления Firefox.

Интересно, что специалисты BleepingComputer указали на ещё одну интересную особенность расширений Bypass и Bypass XM. На деле аддоны не только используют API proxy, но и задействуют обратный прокси для обхода ограничений платных сайтов.

 

[fenix]

Авторы вымогателя Conti теперь продают доступ к взломанным организациям

Создатели программы-вымогателя Conti немного поменяли схему давления на атакованные организации. Специальный блог, созданный для публикации данных жертв, теперь используется для продажи доступа к взломанным системам.

Таким образом, другие киберпреступники могут приобрести все данные, необходимые для проникновения в сеть той или иной организации (которая была ранее атакована Conti). Дальше злоумышленники могут использовать этот доступ по своему усмотрению.

Как пишет Брайан Кребс, на текущий момент непонятно, что именно подтолкнуло операторов Conti к смене стратегии. Ещё более странно, что преступники заранее сообщают о продаже доступа, ведь это послужит тревогой для взломанных организаций.

«Я вот думаю, а не планируют ли они свернуть свои операции, а перед этим — продать доступ к скомпрометированным сетям? Но со стороны выглядит глупо: оповещать о продаже данных для доступа, таким образом предупреждая жертву о дальнейших взломах», — высказал своё мнение Фабиан Уосар из Emsisoft.

Возможно, причина кроется в последних мерах американских и европейских законодателей, которые поставили цель — ликвидировать как можно больше киберпреступных группировок, распространяющих шифровальщики. Например, правоохранители уже добрались до операторов REvil.

Но в случае Conti возможна и другая подоплёка: например, злоумышленники хотят задействовать дополнительный рычаг давления, который поможет склонить жертв к переговорам.