LetsCall: разрушительная тройная атака, которая оставит вас без защиты, денег и доверия к окружающим

В последние годы голосовое телефонное мошенничество или же «вишинг» достаточно приелся, поэтому мало кто на него ведётся. Любой звонок с неизвестного номера большинство абонентов воспринимают с опаской, а в случае намёка на мошенничество — бросают трубку. Однако недавно исследователи из компании ThreatFabric обнаружили новую и крайне продвинутую операцию вишинга, которая получила название LetsCall. Она представляет из себя готовую для использования платформу и может быть использована любыми злоумышленниками, так как является чем-то вроде мошеннической франшизы, содержащей подробные инструкции и все необходимые инструмента для совершения злонамеренных действий. Преступники, стоящие за LetsCall, применяют трёхступенчатую тактику, чтобы обокрасть своих жертв и лишить их всякой возможности для возврата средств. Начинается атака с загрузки вредоносного приложения-загрузчика с поддельного сайта Google Play. Как именно злоумышленники побуждают жертву перейти на эту страницу, исследователи выяснить не смогли. Однако после установки загрузчик запрашивает все необходимые разрешения для запуска следующего этапа атаки. Второй этап представляет из себя загрузку мощного шпионского приложения, осуществляемую в фоновом режиме из приложения-загрузчика. Шпион способен перенаправлять пользователя на фишинговые страницы при попытке доступа к определённым банковским ресурсам, позволяет хакерам похищать данные с устройства жертвы, а также подключать заражённое устройство к сети P2P-VoIP, используемой злоумышленниками. Именно на этом этапе хакеры могут перехватить учётные данные жертвы, используемые для входа в сервисы онлайн-банкинга, благодаря фишинговой странице киберпреступников, имитирующей дизайн легитимного сайта банка. На третьей стадии на устройство жертвы устанавливается ещё одно дополнительное приложение, расширяющее возможности вышеупомянутого шпиона. Приложение поддерживает функцию совершения телефонных звонков, а также возможность перенаправлять исходящие вызовы с устройства жертвы прямиков в колл-центр злоумышленников. Этап перехвата звонков имеет свой набор настраиваемых команд. Некоторые из них относятся к манипуляции с адресной книгой, например, создание и удаление контактов в телефонной книге. Другие команды относятся к созданию, изменению и удалению фильтров, которые определяют, какие звонки должны быть перехвачены приложением, а какие — проигнорированы. Кроме того, вредонос третьего этапа также содержит предзаписанные аудиосообщения, имитирующие распределительный автоответчик банковских сервисов. «Здравствуйте, это Hana Bank. Нажмите #1 для осуществления денежного перевода в Hana Bank, #2 для денежного перевода в другой банк и #3 для получения сведений о транзакции. Для доступа к другим услугам нажмите #6», — сообщает одно из аудиосообщений, хранящихся прямо в приложении хакеров. После чего, в зависимости от доступности операторов, жертву может соединить с мошенниками или сбросить. Для обеспечения маршрутизации голосового трафика в LetsCall используются такие технологии, как VoIP и WebRTC. Злоумышленники также применяют протоколы STUN и TURN, включая серверы Google STUN, чтобы обеспечить высокое качество звонков и обойти ограничения NAT и брандмауэра. Как предполагают исследователи ThreatFabric, группа злоумышленников LetsCall состоит из Android-разработчиков, дизайнеров, фронтенд- и бэкенд-разработчиков, а также операторов колл-центра, специализирующихся на голосовых социально-инженерных атаках. То, что выгодно отличает LetsCall от других видов голосового фишинга, — это использование продвинутых техник уклонения. Все три вредоносных APK-файла, устанавливаемые в ходе операции используют различные методы обфускации, на которые не реагирует антивирусные программы, установленные на устройстве жертвы. Сочетая заражение смартфонов с техниками вишинга, мошенники могут похищать средства с карт своих жертв и даже оформлять на них микрозаймы, которые нужно будет выплачивать несмотря на факт мошенничества. Подобные финансовые организации часто недооценивают серьёзность подобных нарушений и практически никогда не проводят необходимые расследования, чтобы решить вопрос в пользу пострадавшего. В настоящее время LetsCall используется для атак на жителей Южной Кореи, однако эксперты не обнаружили никаких технических ограничений для распространения кампании и на другие страны. Так как инструментарий для совершения атак передаётся в полном виде тому, кто оплатил доступ к нему, местным злоумышленникам останется лишь адаптировать его для использования в своей стране и найти несколько «операторов колл-центра» для дальнейшей обработки жертв. Столь продвинутая и замороченная форма вишинга подчёркивает постоянную эволюцию криминальных тактик и способность злоумышленников использовать любые технологии в корыстных целях. Группа, ответственная за LetsCall, демонстрирует сложные знания в области безопасности Android и технологий маршрутизации голоса. Чтобы не стать жертвой подобной атаки, всегда устанавливайте приложения только из официальных магазинов, от известных издателей, а перед загрузкой проверяйте оценку приложения, отзывы пользователей и запрашиваемые разрешения.

Источник: https://www.securitylab.ru/news/539792.php

Анонимный сбор данных в Fedora: инновация или вторжение в приватность?

Команда разработчиков Fedora, одного из самых популярных дистрибутивов Linux, предложила новую идею, которая может вызвать споры в сообществе. Они хотят включить в Fedora Workstation функцию, которая будет собирать анонимные данные об использовании системы. Эта функция, названная Display Systems Metrics, будет работать через GNOME Usage, приложение для мониторинга ресурсов компьютера. Она будет отправлять на сервера Red Hat статистику о том, какие разрешения экрана, частоты обновления и типы подключений используют пользователи Fedora Workstation. Эти данные помогут разработчикам улучшить поддержку различных дисплеев и видеокарт. Команда уверяет, что сбор данных будет полностью добровольным и анонимным. Пользователи смогут в любой момент отключить эту функцию в настройках системы. Также они смогут просмотреть, какие данные отправляются, и почему они нужны. Кроме того, команда обещает, что не будет собирать никаких личных данных, таких как IP-адреса, идентификаторы устройств или информацию о других приложениях. Но не все в сообществе Linux одобряют эту идею. Некоторые считают, что это нарушение приватности пользователей и противоречит философии свободного программного обеспечения. Они также опасаются, что Red Hat может использовать эти данные в коммерческих целях или передать их третьим сторонам. Red Hat – это крупная компания, которая занимается разработкой и поддержкой Linux и других продуктов на его основе. В 2018 году она была куплена корпорацией IBM за 34 миллиарда долларов.

Источник: https://www.securitylab.ru/news/539796.php

Стали известны подробности о том как РКН тестировал “отключение” России от Интернета

Эксперты узнали подробности учений РКН по отключению рунета от международного интернета, которые проходили в ночь с 4 на 5 июля. Специалисты по сетевой безопасности рассказали, что проверка касалась только мобильных сетей в Центральном федеральном округе и длилась около 40 минут, а не два часа, как было заявлено. Целью теста было выявление зависимостей российских сервисов от внешних ресурсов. Во время учений наблюдался снижение трафика, которое затронуло двух мобильных операторов РФ. РКН блокировал часть международного трафика для определения устойчивости рунета. Источники в мобильных компаниях подтвердили проведение учений по инициативе РКН. Они сообщили, что выбрали время с минимальной активностью пользователей и получили небольшое количество жалоб. Учения проводились только на мобильных сетях связи в Центральном федеральном округе с трёх до пяти часов утра. Абоненты «Ростелекома» и Tele2 в Москве и Подмосковье испытывали проблемы с доступом к интернету во время теста, который продолжался около 40 минут. В МТС, «Вымпелкоме», «Ростелекоме», Tele2 и Минцифры отказались комментировать ситуацию. В «Мегафоне» и Роскомнадзоре не ответили на запросы СМИ. Представитель РКН напомнил , что закон об устойчивости рунета предусматривает проведение учений не реже одного раза в год. Он сообщил, что учения прошли успешно, но не уточнил, какие задачи ставились перед организаторами. В Правительстве Санкт-Петербурга также подтвердили, что в городе тестировался суверенный интернет, но без нарушений работы сети. Они объяснили, что для обеспечения стабильности рунета при его изоляции от международной сети используются дублирующий реестр доменных имён и автономная система DNS-серверов.

Источник: https://www.securitylab.ru/news/539800.php

Кибер-саботаж в Калифорнии: Вода в городе оказалась в руках хакера

Рэмблер Галло, житель города Трейси (Калифорния), обвинен в умышленном повреждении компьютера после того, как он якобы проник в сеть очистительной станции воды Дискавери-Бей. Очистительная станция обслуживает системы водоснабжения и канализации для 15 тысяч жителей города Дискавери-Бей. Галло был сотрудником частной компании из Массачусетса (Компания А), которая заключила контракт с Дискавери-Бей на эксплуатацию городской очистительной станции сточных вод. Согласно пресс-релизу, опубликованному Министерством юстиции США, Галло умышленно удалил основную операционную и мониторинговую систему для очистительной станции и затем выключил серверы, на которых работали эти системы. “В обвинительном заключении утверждается, что, будучи сотрудником Компании А, Галло установил программное обеспечение на свой личный компьютер и на частную внутреннюю сеть Компании А, которое позволило ему получить удаленный доступ к компьютерной сети очистительной станции воды Дискавери-Бей. Затем, в январе 2021 года, после того, как Галло уволился из Компании А, он якобы получил доступ к компьютерной системе станции удаленно и передал команду на удаление программного обеспечения, которое было основным узлом компьютерной сети станции и которое защищало всю систему очистки воды, включая давление, фильтрацию и химический состав воды”, – говорится в сообщении Минюста. “В обвинительном заключении Галло предъявлено одно обвинение в передаче программы, информации, кода и команды для нанесения ущерба защищенному компьютеру, согласно 18 U.S.C. §§ 1030(a)(5)(A) и ©(4)(B)(i).” Галло грозит до 10 лет тюрьмы и штраф в размере 250 тысяч долларов, а также суд может назначить дополнительный срок под надзором, дополнительные штрафы и возмещение ущерба, если это будет целесообразно. В марте 2023 года администрация Байдена объявила, что она сделает обязательными для штатов проведение кибербезопасных аудитов общественных систем водоснабжения. Системы водоснабжения являются критической инфраструктурой, которая все больше подвергается риску кибератак со стороны как киберпреступных организаций, так и государств-акторов, сообщило Агентство по охране окружающей среды США. В июне 2021 года в отчете, опубликованном NBC News, сообщалось, что злоумышленники попытались скомпрометировать неизвестную очистительную станцию воды, которая обслуживает залив Сан-Франциско, атака произошла 15 января. Хакеры получили доступ к системам на станции, используя аккаунт TeamViewer бывшего сотрудника, и попытались манипулировать программным обеспечением, используемым для очистки питьевой воды. В феврале 2021 года шериф Пинелласа сообщил, что злоумышленники попытались повысить уровень гидроксида натрия в 100 раз в водоснабжении Олдсмара. Сценарий, описанный шерифом Пинелласа Бобом Гуальтьери, вызывает тревогу: злоумышленник попытался повысить уровень гидроксида натрия, также известного как щелочь, в 100 раз в водоснабжении Олдсмара. В марте 2021 года Министерство юстиции США предъявило обвинение Уайатту А. Травничеку , из округа Эллсворт, штат Канзас, за доступ и вмешательство в компьютерную систему округа Эллсворт по сельскому водоснабжению. Травничек получил доступ к компьютерной системе общественной системы водоснабжения 27 марта 2019 года без разрешения. Травничек работал на округ Эллсворт по сельскому водоснабжению около года, он удаленно мониторил план, получая доступ к компьютерной системе Post Rock. Получив доступ к общественной системе водоснабжения, мужчина якобы совершил злонамеренные действия, которые остановили процессы на объекте, влияющие на процедуры очистки и дезинфекции. В мае 2021 года WSSC Water подверглась атаке программы-вымогателя, нацеленной на часть их сети, в которой работают второстепенные бизнес-системы. В октябре 2021 года совместный бюллетень по кибербезопасности, опубликованный ФБР, АНБ, CISA и Агентством по охране окружающей среды, выявил еще три атаки, предпринятые бандами программ-вымогателей на очистные сооружения США (WWS) в этом году. Об атаках стало известно публично, они произошли в марте, июле и августе 2021 года соответственно. Три объекта, пораженные операторами программ-вымогателей, расположены в штатах Невада, Мэн и Калифорния. Во всех атаках программа-вымогатель зашифровывала файлы на зараженных системах, а в одном из инцидентов безопасности злоумышленники скомпрометировали систему, используемую для управления промышленным оборудованием SCADA.

Источник: https://www.securitylab.ru/news/539802.php

CISA потребовала от федеральных агентств и частных компаний немедленно исправить критическую уязвимость в драйвере Arm Mali GPU

CISA потребовала от федеральных агентств немедленно устранить уязвимость в драйвере Arm Mali GPU, которая активно эксплуатируется злоумышленниками и была исправлена в последних обновлениях безопасности Android. Уязвимость (отслеживается как CVE-2021-29256) представляет собой ошибку использования освобожденной памяти, которая может позволить атакующим получить привилегии root или доступ к конфиденциальной информации на целевых устройствах Android, путем выполнения неправильных операций с памятью GPU. “Непривилегированный пользователь может выполнять неправильные операции с памятью GPU, чтобы получить доступ к уже освобожденной памяти и может получить привилегию root и/или раскрыть информацию”, – говорится в рекомендации Arm. “Эта проблема исправлена в драйвере ядра GPU Bifrost и Valhall r30p0 и исправлена в драйвере ядра Midgard r31p0. Пользователям рекомендуется обновиться, если они подвержены этой проблеме”. В этом месяце Google исправила еще две уязвимости безопасности, которые помечены как эксплуатируемые в атаках. CVE-2023-26083 – это уязвимость средней степени опасности, связанная с утечкой памяти в драйвере Arm Mali GPU, которая использовалась в декабре 2022 года в рамках цепочки эксплойтов, доставляющих шпионское ПО на устройства Samsung. Третья уязвимость, отслеживаемая как CVE-2023-2136 и оцениваемая как критическая, – это ошибка переполнения целого числа, обнаруженная в Skia от Google, библиотеке 2D-графики с открытым исходным кодом для нескольких платформ. Отметим, что Skia используется с веб-браузером Google Chrome, где она была исправлена в апреле как уязвимость нулевого дня. Федеральные агентства обязаны защитить устройства Android в течение 3 недель Агентствам федеральной гражданской исполнительной ветви США (FCEB) было дано до 28 июля, чтобы защитить свои устройства от атак, нацеленных на уязвимость CVE-2021-29256, добавленную сегодня в список известных эксплуатируемых уязвимостей CISA. Согласно обязательной оперативной директиве (BOD 22-01), выпущенной в ноябре 2021 года, федеральные агентства обязаны тщательно оценивать и устранять любые уязвимости безопасности, указанные в каталоге KEV CISA. Хотя каталог в основном ориентирован на федеральные агентства США, также настоятельно рекомендуется частным компаниям приоритетно исправлять все уязвимости, перечисленные в каталоге CISA. “Такие типы уязвимостей являются частыми векторами атак для злонамеренных киберакторов и представляют собой серьезную угрозу для федеральной среды”, – предупредила сегодня CISA. На этой неделе агентство предупредило , что злоумышленники, стоящие за операцией по распространению вредоносного ПО TrueBot, эксплуатируют критическую уязвимость удаленного выполнения кода (RCE) в программном обеспечении Netwrix Auditor для первоначального доступа к сетям целей.

Источник: https://www.securitylab.ru/news/539804.php