Исследователи из компании Avanan, занимающейся вопросами безопасности электронной почты, обнаружили новую фишинговую кампанию. Злоумышленники с помощью уведомлений голосовой почты Microsoft Voicemail пытаются заставить жертву открыть вложения HTML, перенаправляющие на фишинговые web-страницы.
По словам исследователей, операторы кампании рассылали потенциальным жертвам электронные письма, замаскированные под оповещения голосовой почты Microsoft Office 365. Сообщения в письмах предлагали жертве открыть вложение для прослушивания голосового сообщения. Для большей правдоподобности в письме также отображался номер звонившего и длина аудиозаписи.
Жертвы перенаправлялись на фишинговые страницы с помощью метаэлемента HTML со значением атрибута http-equiv «Обновить», а контента — «1». В отличие от ранее обнаруженных кампаний, использующих мета-обновления атак через промежуточный URL-адрес, в рамках данных атак используется само вложение HTML для запуска перенаправления. Исследователи назвали такой метод «MetaMorph Obfuscation».
Злоумышленники создали поддельную страницу «Система управления голосовой почтой», которая открывает окно авторизации «Проверка подлинности пользователя голосовой почты». Таким образом жертвы вводили адрес электронной почты и пароль их учетной записи Microsoft, которые отправлялись на сервер преступников.
Positive Technologies проводит опрос по APT атакам.

Источник: https://www.securitylab.ru/news/500491.php

Житель Бруклина Джейсон Миккель Элкок (Jason Mickel Elcock), также известный как Prezzi, был приговорен к 57 месяцам тюремного заключения за серию хищений учетных записей, охватывающую более десяти лет. С помощью персональных данных и финансовой информации жертв злоумышленнику удалось украсть более $1,1 млн у банков и интернет-магазинов.
В период с 2008 по 2018 год, Джейсон вместе с Шошаной Марией Макгилл (Shoshana Marie McGill) и другими соучастниками участвовали в мошеннической схеме по обману банков и розничных продавцов интернет-магазинов. Они использовали украденные персональные данные, информацию о банковских счетах, а также данные кредитных и дебетовых карт десятков тысяч людей и предприятий для личной финансовой выгоды
Преступники признались во взломах некоторых почтовых учетных записей своих жертв, онлайн-банков и хранилищ паролей. Злоумышленники использовали украденную информацию для открытия кредитов на имена жертв, перевода денег с банковских счетов, создания и обналичивания поддельных чеков и покупки различных товаров и услуг в интернет-магазинах. Преступники также меняли пароли взломанных учетных записей и удаляли уведомления об активности для сокрытия преступной деятельности.
По окончании тюремного заключения Джейсон Элкок будет находиться под надзором в течение трех лет и обязан возместить ущерб в размере $1 111 893.

Источник: https://www.securitylab.ru/news/500495.php

Android-устройства могут поставляться со встроенным вредоносным ПО и бэкдорами из-за недостаточного контроля и проверки. По словам исследователя Мэдди Стоун (Maddie Stone) из Google Project Zero, злоумышленники пользуются этой возможностью для размещения вредоносного кода прямо на стадии разработки и заражения таким образом цепочки поставок.
Сертифицированные устройства Android, поставляющиеся с предварительно установленными приложениями Google, используют утвержденные образы сборки для мобильной операционной системы. Они проходят тщательное тестирование перед выпуском потребителям, проверяющее соблюдение модели безопасности и разрешений Android, а также наличие последних обновлений ОС.
Однако большинство поставщиков Android используют более дешевую версию операционной системы Google — AOSP (Android Open-Source Project). Защиту от вредоносных приложений в таком случае обеспечивает встроенный Google Play Protect (GPP). Злоумышленники видят возможность в этой схеме, ведь достаточно убедить одного производителя включить вредоносный код среди предустановленных приложений и заражение способно охватить тысячи пользователей.
В качестве примера Стоун привел ботнет Chamois , использующийся для мошенничества через SMS, клики, установки приложений. Вредонос распространялся в виде SDK сторонним разработчикам, которые принимали его за рекламную библиотеку и невольно включали в свое приложение. Операторам Chamois удалось заразить около 7,4 миллиона устройств в марте 2018 года. Пользователи видели на своих телефонах предустановленное приложение, которое могло загружать бэкдор Chamois, троян Snowfox и ПО для кликфрода.

Источник: https://www.securitylab.ru/news/500403.php

Группировка Cloud Atlas обновила средство доставки бэкдора, с помощью которого она шпионит за высокопоставленными целями в Восточной Европе и Центральной Азии. Благодаря использованию полиморфного вредоносного ПО преступникам удается обходить системы безопасности.
Кто такие Cloud Atlas:
Впервые вредоносные кампании группировки Cloud Atlas, также известной как Inception, зафиксировали эксперты «Лаборатории Касперского» в 2014 году. Ее атаки направлены на государственные, финансовые, религиозные организации, предприятия авиакосмической отрасли.
Аналитики связывают этих преступников с другой известной группировкой — Red October. Об их родстве говорит совпадение некоторых целей и технические особенности кибератак.
На всем протяжении своей деятельности Cloud Atlas использует одну схему. Первоначальное заражение происходит через целевой фишинг, цель которого — убедить жертву открыть вредоносный документ Word. Этот файл в свою очередь доставляет на компьютер бэкдор. Его важная особенность заключается в том, что код полезной нагрузки не пишется напрямую на диск, а выполняется через специально созданный и зашифрованный скрипт Visual Basic.
В октябре 2018 года аналитики обнаружили в атаках группировки имплантат, который они назвали PowerShower. Этот PowerShell-скрипт выполняет роль валидатора и скачивает на зараженную машину несколько модулей полезной нагрузки. В числе таких компонентов:
Средство копирования иотправки на удаленный сервер файлов *.txt, *.pdf, *.xls, *.doc.
Шпионский модуль дляопределения активных процессов на компьютере, имени пользователя и домена Windows.
Похититель паролей набазе утилиты с открытым кодом LaZagn.
Характерные особенности кампаний Cloud Atlas в 2019 году:
Начиная с апреля 2019 года участники Cloud Atlas стали применять новый имплантат — написанное на Visual Basic HTML-приложение. Именно оно отвечает за активацию PowerShower и основного бэкдора.
Главная задача обновления — обмануть системы обнаружения вторжений по индикаторам компрометации. Преступники добиваются этой цели благодаря полиморфной природе используемых компонентов — код меняется от атаки к атаке, что приводит и к изменению хешей.
Приложение, которое размещено на удаленном сервере, последовательно доставляет в атакованную систему три файла:
Полиморфный бэкдор VBShower, который выполняет функции валидатора вместо PowerShower.
Лончер бэкдора.
Специально созданный файл с данными о компьютере, получаемыми от
Чтобы скрыть свое присутствие, последний удаляет все файлы в папках %APPDATA%\..\Local\Temporary Internet Files\Content.Word\ и %APPDATA%\..\Local Settings\Temporary Internet Files\Content.Word\. Сделав это и закрепившись на компьютере через системный реестр, он отправляет на удаленный сервер файл с данными о зараженном компьютере и ждет полезную нагрузку.
По словам экспертов Kaspersky, финальной целью злоумышленников остается доставка инсталлятора для PowerShower или все того же бэкдора, который Cloud Atlas использует с начала своей деятельности. Аналитики заключают, что, несмотря на простые методы, преступники все же достигают своих целей.
Ранее специалисты предупредили о новом продвинутом зловреде в арсенале группировки Hidden Cobra. Сетевой шлюз Electricfish создает канал для передачи данных между жертвой и злоумышленниками, позволяя выгружать данные из закрытых инфраструктур.

Источник: https://threatpost.ru/cloud-atlas-gears-up-with-new-vbshower-backdoor/33777/

На пользователей в Израиле была направлена новая мошенническая кампания, в рамках которой использовался SMS-фишинг. Злоумышленники от имени легитимных организаций отправляли SMS-сообщения с целью убедить жертву загрузить вредоносное приложение, перейти по ссылке или предоставить личную информацию, такую ​​как данные банковского счета или кредитной карты.
По словам исследователей из Check Point, сообщения поступали от одного из крупнейших банков Израиля и содержали следующий текст: «Здравствуйте, сэр. В вашем аккаунте обнаружена подозрительная активность. Авторизируйтесь для подтверждения своего аккаунта». При переходе по ссылке в SMS жертва попадает на поддельную web-страницу банка, принадлежащую легитимному, но скомпрометированному сайту. В этом случае любая введенная информация раскрывается злоумышленникам, включая логин, пароль, имя, фамилию, адрес электронной почты, идентификационный номер, имя владельца кредитной карты, номер кредитной карты, дату истечения срока ее действия и cvv.
За последние два года было выявлено более 50 аналогичных кампаний, нацеленных на клиентов израильских банков. По данным исследователей, в 2018 году ежемесячно регистрировалось более миллиона новых фишинговых сайтов. Кампании были нацелены на многие сектора, включая электронную коммерцию, финансовые учреждения, платежные сервисы, почтовых провайдеров, службы доставки, online-сервисы и многое другое.
Пользователям рекомендуется в целях безопасности опасаться подозрительных SMS-сообщений и устанавливать приложения только из надежных источников.

Источник: https://www.securitylab.ru/news/500405.php