Обзор инцидентов безопасности за период с 4 по 10 февраля 2019 года

image

Теги: обзор, информационная безопасность

Коротко о главных событиях минувшей недели.

Киберпреступники не устают проявлять чудеса изобретательности, задействуя различные легитимные приложения и функции для мошеннических целей. К примеру, специалисты компании Agari обнаружили несколько группировок, использующих легитимную функцию почтового клиента Google Gmail для незаконного получения пособия по безработице, подачи поддельных налоговых деклараций и обхода пробных периодов в online-сервисах. Речь идет о свойстве Gmail игнорировать точки в электронных адресах. Данная функция была задействована в недавней мошеннической кампании, направленной на кражу данных банковских карт пользователей Netflix.

Сервисы Google активно используют и фишеры. Недавно эксперт компании Akamai Лэрри Кэшдоллар (Larry Cashdollar) заметил фишинговую кампанию, в ходе которой злоумышленники пытались скрыть адрес фишинговой страницы с помощью приложения «Google Переводчик».

Мошенники из фальшивых служб техподдержки придумали новый вид заработка без единого звонка. По данным специалистов Symantec, злоумышленники начали распространять потенциально нежелательные приложения, причем в некоторых случаях они были замаскирированы под собственный антивирус компании - Norton. Для большей реалистичности мошенники внедряют JavaScript и HTML коды, благодаря которым процесс «сканирования» выглядит как настоящий.

Разработчики MyEtherWallet (MEW) предупредили о фишинговой кампании, направленной на пользователей криптовалютного кошелька. Злоумышленники рассылают жертвам электронные письма и просят у них закрытый ключ или мнемоническую фразу. В письмах мошенники сообщают о якобы произошедшей недавно утечке данных и хитростью выманивают у пользователей конфиденциальные данные.

Неизвестные взломали учетную запись разработчиков криптовалюты Denarius на GitHub и внедрили в Windows-клиент проекта инфостилер AZORult. Взлом стал возможен из-за того, что главный разработчик проекта Карсен Клок (Carsen Klock) установил в учетной записи на GitHub старый пароль, который также использовал для других сервисов. Из-за оплошности разработчика злоумышленникам удалось получить доступ к аккаунту и загрузить вредоносную версию Windows-клиента Denarius.

Крупнейшая электроэнергетическая компания ЮАР Eskom допустила утечку данных своих клиентов, проигнорировав сообщения о проблеме от исследователя безопасности. Эксперт опубликовал в Twitter несколько скриншотов с данными пользователей, обнаруженными им в открытом доступе после того, как компания не отреагировала на его предупреждения.

Исследовательская группа JASK Special Ops раскрыла подробности атак группировки Outlaw на Linux-серверы с целью майнинга криптовалюты Monero. Злоумышленники атакуют организации с помощью DoS-атак и брутфорса SSH, а скомпрометированные серверы добавляются в состав ботнета Outlaw.

Киберпреступники внедрили в легитимное приложение для обхода блокировки сайтов Psiphon Android-шпион Triout и распространяют его через сторонний магазин приложений. Triout был впервые обнаружен исследователями компании Bitdefender в августе прошлого года. Тогда фреймворк распространялся вместе с приложением для взрослых, однако теперь он заражает устройства через инструмент для обхода блокировок Psiphon.

На минувшей неделе неизвестные атаковали Федеральный парламент Австралии. Согласно заявлению представителей парламента, властям пока не удалось обнаружить свидетельства утечки данных в ходе инцидента. Атаку удалось пресечь на ранних стадиях, в ее организации подозреваются киберпреступники из Китая. Расследование инцидента продолжается.

Специалисты компании Check Point обнаружили новую вредоносную кампанию, в рамках которой злоумышленники эксплуатируют уязвимость в фреймворке ThinkPHP для заражения Linux-серверов новым бэкдором SpeakUp и внедрения майнеров для добычи криптовалюты Monero. Бэкдор SpeakUp содержит написанный на Python скрипт, который используется для распространения вредоноса по локальной сети. Скрипт сканирует сети на предмет открытых портов, взламывает системы с помощью списка определенных логинов и паролей, а также может использовать один из семи имеющихся в наличии эксплоитов для перехвата управления непропатченными системами.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.