Кейлоггер HawkEye вновь атакует промышленные предприятия

Исследователи из X-Force — подразделения IBM, занимающегося кибербезопасностью, — сообщили о вредоносных спам-кампаниях, в рамках которых преступники рассылают кейлоггер HawkEye на адреса сотрудников промышленных предприятий по всему миру.
Мошенники на протяжении уже двух месяцев распространяют ПО среди работников компаний, занимающихся логистикой, здравоохранением, маркетингом и сельским хозяйством. Преступников интересуют конфиденциальные и учетные данные, которые потом используются для кражи аккаунтов и атак на корпоративную электронную почту. Помимо прочего, HawkEye также может загружать на зараженные устройства вредоносное ПО.
В ходе апрельских и майских спам-кампаний злоумышленники распространяли HawkEye Reborn версий 8.0 и 9.0 в письмах якобы от лица банков и других легитимных организаций, но, по словам исследователей, размещали в них низкокачественные изображения и плохо отформатированный текст. Во вложении к письмам содержался архив с вредоносным файлом, сначала преобразованным из формата PDF в PNG, а затем в LNK. При распаковке он скрытно запускал кейлоггер и, чтобы отвлечь внимание, отображал поддельный счет-фактуру.
Для заражения устройства использовались несколько исполняемых файлов. Первый из них, mshta.exe, задействовал PowerShell-скрипт для подключения к размещенному на AWS C&C-серверу злоумышленников и загружал дополнительные фрагменты программы. Другой — gvg.exe — содержал AutoIt-сценарий, обеспечивающий автоматический запуск кейлоггера после перезагрузки системы.
За последние шесть лет вредонос получил множество дополнительных модулей, расширяющих возможности для слежки и кражи данных. Очередная версия кейлоггера, HawkEye Reborn 9, может собирать информацию из разных приложений и отправлять ее операторам, используя протоколы FTP, HTTP и SMTP.
По данным экспертов, в декабре 2018 года программа перешла другому хозяину и теперь распространяется на форумах в даркнете через посредников.
«Недавняя смена владельца и обновленный процесс разработки кейлоггера HawkEye Reborn демонстрируют, что эта угроза продолжит развиваться и совершенствоваться в будущем», — отметили исследователи из Cisco Talos.

Источник: https://threatpost.ru/hawkeye-attacks-industrial-enterprises/32824/

Вымогательское ПО с эксплоитом EternalBlue вызвало хаос в США

В течение трех недель жители города Балтимор (США) страдают от атак кибервымогателей. В результате атак компьютеры жертв оказались полностью заблокированными без возможности пользоваться электронной почтой и другими сервисами. У риелторов застопорились сделки по продаже недвижимости, коммунальные предприятия не могут получать оплату за услуги и т.д.
Как сообщает The New York Times, ключевым компонентом вредоносного ПО, вызвавшего хаос в Балтиморе, является нашумевший эксплоит EternalBlue для уязвимости в Windows. Эксплоит был разработан на деньги американских налогоплательщиков специалистами Агентства национальной безопасности США для использования в кибероперациях. В 2017 году EternalBlue был похищен группировкой The Shadow Brockers, и с тех пор пополнил арсенал киберпреступников со всего мира.
По словам экспертов, от вымогательского ПО пострадал не только Балтимор. Вредонос бушует в самых разных городах США, от Пенсильвании до Техаса, парализуя работу местных органов власти и способствуя росту цен. С точки зрения кибербезопасности, местные правительства являются «слабым звеном». Используемая ими компьютерная инфраструктура устарела и уязвима к кибератакам, а ресурсов на их отражение недостаточно.
Массовые атаки вымогательского ПО на Балтимор начались 7 мая нынешнего года и представляют собой классический случай вымогательства – за восстановление работы компьютеров злоумышленники требуют у жертв выкуп в размере $100 (в биткойнах). Местные правительственные организации отказались платить, и по состоянию на 25 мая с помощью обходных путей им удалось восстановить работу только некоторых сервисов.
Как отметили эксперты, без EternalBlue ущерб от вредоноса был бы не таким большим – именно благодаря эксплоиту АНБ он смог молниеносно распространиться по системам. Восстановление от атак влетит местным властям в копеечку. К примеру, подобная атака, имевшая место в Аллентауне в феврале 2018 года, на несколько недель вывела из строя муниципальные сервисы и причинила ущерб на $1 млн. Кроме того, властям теперь приходится тратить дополнительные $420 тыс. в год на усиление кибербезопасности.

Источник: https://www.securitylab.ru/news/499226.php

Фишеры взяли на вооружение push-уведомления на Android

Мошенники научились маскировать фишинговые сообщения на Android-устройствах под уведомления легитимных приложений. Новая техника, которая уже применяется в кибератаках, работает с применением API Notifications и Push.
Об угрозе репортер Bleeping Computer узнал от представителя Lookout — компании, обнаружившей новый трюк фишеров.
Вредоносный код на подконтрольных злоумышленникам веб-страницах отправляет посетителям уведомления о якобы пропущенном звонке. При внимательном изучении жертва атаки может заметить во всплывающем баннере неуместное упоминание Google Chrome как приложения, от которого на самом деле поступило сообщение. Однако, как утверждают специалисты, пользователи могут легко поддаться на уловку и автоматически кликнуть по уведомлению.
В качестве приманки организаторы кампаний традиционно обещают пользователям бесплатные iPhone и денежные выплаты. Мошенники также могут подменить в баннере значок браузера, чтобы фишинговое сообщение было похоже на сообщение о пропущенном вызове. Стоит отметить, что техника работает, только если посетитель сайта согласился получать от него уведомления.
Обнаруженная вредоносная активность нацелена только на Android-устройства, однако это не единственная уязвимая к атаке платформа. Если на iOS push-уведомления работают несколько иначе и на них уловка не проходит, то пользователи ПК тоже могут стать жертвой: десктопные браузеры Safari и Chrome поддерживают веб-уведомления, и, как показала проверка, злоумышленник может этим воспользоваться. Как и на мобильных устройствах, в баннере остается фавикон браузера, однако эффект неожиданности может сыграть на руку преступникам.
Эксперты призывают пользователей внимательно проверять наименование приложения, от которого поступают уведомления, и URL назначения.
Ранее мошенники нашли вредоносное применение легитимной функции Facebook, которая позволила им размещать публикации от лица пользователей. Преступники встроили цепочку команд в iframe-тег, в результате чего пост автоматически появлялся в хронике жертвы после «подтверждения возраста» на странице злоумышленников.

Источник: https://threatpost.ru/phishers-abuse-notifications-api-to-push-fake-messages-to-android-users/32817/

Киберпреступники смогли подделать удостоверение личности эстонцев

В Эстонии уязвимость в электронных системах удостоверения личности Smart-ID и Mobile-ID привела к утечке персональных и финансовых данных граждан. Как сообщает издание Postimees, инцидент имел место в феврале нынешнего года.
Smart-ID используется гражданами Эстонии для доступа к банковским счетам, а через них – к общественным электронным сервисам. У электронной системы уплаты налогов e-Tax Board есть даже функция быстрого доступа к приложению. Для Smart-ID не требуется особая SIM-карта, а сам сервис не использует SMS-протоколы, поэтому им можно пользоваться в роуминге.
Приложение разработано и продается в Эстонии и за рубежом компанией SK ID Solutions, которая также разрабатывает конкурирующее приложение Mobile-ID для Управления полиции и пограничной охраны и отвечает за создание цифровых сертификатов для ID-карт.
Февральские атаки базировались на привычке эстонцев использовать Mobile-ID для доступа к услугам, не проверяя, кто запрашивает их PIN1 или PIN2, а также совпадают ли проверочные коды в электронном сервисе и на экране их устройств. В данном случае злоумышленники разослали жертвам SMS-сообщения якобы от одного из эстонских банков с просьбой обновить свою информацию. В сообщении содержалась ссылка на фишинговый сайт, дизайн которого был полностью скопирован с официального сайта банка.
Фишинговый сайт запрашивал авторизацию с помощью Mobile-ID, в результате чего у злоумышленников в руках оказались PIN1 и PIN2, а также личные идентификационные коды жертв. С помощью кодов преступники смогли от имени жертв создать поддельные учетные записи Smart-ID.

Источник: https://www.securitylab.ru/news/499201.php

Создатели трояна GozNym призваны к ответу

Европол сообщил об успехе трансграничной операции по пресечению деятельности криминальной группировки, ответственной за создание и распространение банковского трояна GozNym. По оценкам, операторы зловреда пытались с его помощью украсть $100 млн у 41 тыс. жертв заражения, основную массу которых составляли юридические лица.
Преступники работали по модели «киберпреступление как услуга» (cybercrime as a service): за плату предоставляли доступ к копиям банкера и создали ряд сервисов для удобства их использования. ОПГ располагала собственными программистами, специалистами по обфускации кода и рассылке спама, а также широкой сетью дропов; клиентам предоставлялись услуги техподдержки.
Серверы для размещения файлов GozNym и хранения украденных им данных преступники арендовали у другой криминальной группировки — Avalanche. Через нее же осуществлялась регистрация доменов, которые затем всплывали в спам-кампаниях. Кроме владельцев GozNym, услугами Avalanche, по данным Европола, пользовались более 200 киберпреступников, которым она тоже предоставляла «пуленепробиваемый» хостинг. В конце 2016 года совместными усилиями десятков стран этот криминальный сервис был закрыт, а против его администратора возбуждено уголовное дело на Украине.
В ликвидации GozNym-сервиса принимали участие правоохранительные органы Болгарии, Германии, Молдавии и Украины, а также ФБР. Активную поддержку этой операции оказали Европол и Евроюст.
В США оглашены обвинения, выдвинутые против 10 членов ОПГ. Им инкриминируют преступный сговор, злоумышленное использование компьютерной техники, совершение мошеннических действий с использованием проводной связи, проведение мошеннических транзакций по банковским счетам и отмывание денег. Пять ответчиков, в том числе основной разработчик GozNym, проживают в России и недоступны для американского правосудия.
Болгарин Красимир Николов (Krasimir Nikolov), который специализировался на взломе банковских аккаунтов (с помощью краденых учетных данных) и выводе денежных средств со счетов, после ареста на родине был переправлен в США и уже сознался в совершении преступлений. Приговор ему будет вынесен 30 августа.
Главаря преступной группировки Александра Кононова и его первого помощника Марата Казанджяна вначале будут судить по месту жительства в Тбилиси. Эдуард Маланич, предоставивший криптор для GozNym, призван к ответу в Молдавии и тоже пока не может предстать перед американским судом. Среди ответчиков в США числится также 45-летний житель Украины Александр ван Хоф (Alexander Van Hoof) — владелец множества банковских счетов, на которые переводились краденые денежные средства.

Источник: https://threatpost.ru/goznym-criminal-network-members-face-trial/32670/