in2security

Маскировать вирусы под антивирусы – история некогда весьма популярная, однако сейчас встречающаяся все реже. Поэтому обнаружив сайт security-kaspersky.ru, настойчиво предлагающий скачать файл с названием file.iso, мы не могли пройти мимо. Все-таки фишинг под сайт антивирусной компании, да еще и с вредоносным содержимым – это интересно. Скачиваемый образ не детектится антивирусами. Чист он и по данным Virustotal. Внутри он содержит 4 файла: Документ Word «Приказ.doc» со статусом невидимого файла. Ярлык с таким же именем, что и документ Word. PowerShell скрипт Популярный SSH-клиент PuTTY. Ярлык представляет собой следующую строку: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -exec bypass -w h -file z.ps1 То есть по факту запускается powershell-скрипт из образа. Сам скрипт предельно прост: $a=[char]1055+[char]1088+[char]1080+[char]1082+[char]1072+[char]1079+[char]46+[char]100+[char]111+[char]99+[char]120 Start-Process $a Start-Process putty.exe Если расшифровать первую строку, оказывается, что там написано: «Приказ.doc». То есть скрипт сперва открывает документ, а потом запускает PuTTY. Возникает логичное предположение, что либо файл DOC, либо PuTTY на самом деле являются вредоносными файлами. Но нет, их анализ показывает, что никакого вредоносного пейлоада они в себе не несут. Документ из архива содержит всего одну строку: You are hacked. GG. Вывод: похоже, что наши надежды найти закамуфлированный под антивирус троян не оправдались и мы имеем дело с банальной шуткой какого-нибудь script-kiddie, не поленившегося создать под это дело целый фейковый сайт. Впрочем, сама схема вполне работоспособна, если бы в PowerShell скрипте были бы другие строки, с его помощью можно было бы натворить дел.

Отличный пример сайта, созданного для атаки на конкретного пользователя, а если быть точнее, для взлома конкретного почтового ящика. В данном случае используется негативная мотивация: «Кто-то заходил в ваш ящик, скорее введите пароль и завершите злонамеренное подключение!». Для того, чтобы еще сильнее запугать жертву применяется любопытный ход – якобы украинский IP-адрес, еще бы, ведь украинские хакеры у всех на слуху. Хотя если мы посмотрим whois, то увидим, что адрес не имеет к Украине никакого отношения. Спасем неизвестного владельца почты и поскорее отправим домен на блокировку. UPD: Ресурс заблокирован.

В дополнение к предыдущему посту. Те же самые хакеры выложили в открытый доступ SQL-дамп Битрикс Вакансии размером 1.8 гигабайта и содержащий 1 миллион строк. База содержит ФИО, желаемую должность, статус обработки резюме, сведения о ресурсе, через который пришел соискатель и прочую служебную информацию.

На популярном даркнет-форуме появилось сообщение о взломе Битрикс24. Согласно размещенным злоумышленниками сведениям, в их руки попало примерно 20 гигабайт информации, включая базы данных и скрипты. Стоит отметить, что за взломом стоят те же люди, что до этого выкладывали базы пользователей Портала Госуслуг. Выставленная на продажу база содержит 4 миллиона строк и охватывает период с 2014 по 2022 годы. Размещенный семпл содержит ссылки на ресурсы, использующие данную CRM, адреса электронной почты и хэши паролей. Стоимость выставленных на продажу сведений публично не оглашается. Даже если в итоге окажется, что база неактуальна, мы бы настоятельно рекомендовали всем пользователям Битрикс24 поменять пароли.

Мошенники любят ссылаться на несуществующие нормативные документы. Еще бы, ведь с их помощью можно водить за нос доверчивых людей куда эффективнее. Разве поспоришь, например, с Указом Президента, тем более если речь в нем идет о социальных выплатах? Перед вами яркий представитель такого явления. Сайт http://www.kremlln.ru, выдающий себя за официальный ресурс Президента, создан с одной лишь целью: для публикации фейкового указа. Создатели сайта не поленились даже сделать PDF с соответствующим текстом. В целом фейковая страница выглядит вполне достоверно, что неудивительно, ведь она полностью скопирована с официального сайта Кремля. Но, как всегда, дьявол кроется в деталях. Номер фейкового указа – 146-РП, а такой номер может быть только у Распоряжения Президента, но никак не у указа. В общем, за копирование 5, а за делопроизводство – 2!

Водил меня Серёга на выставку Ван Гога… Что-то неделя не слишком богата на события. Придется пройтись по старым темам. Вот, например, дейтинг-скам. Мы неоднократно рассказывали о фейковых сайтах театров и кинотеатров. Но ведь есть еще и выставки! Так что, если ваша подруга из Tinder-а надела лабутены и зовет вас на выставку Ван Гога, чью картину «Подсолнухи» сегодня облили томатным супом, не доверяйте ей, обманет, не моргнув глазом. Сайт https://vistavka-monreo.ru – отличается от прочих вариантов скама лишь контекстом. Зато тут есть выставки на любой вкус, хоть Ван Гог, хоть проектирование будущего. Ну а если вы не верите в то, что это фейк, обратите внимание на еще один домен владельца этого сайта: https://3ds-merchew.ru. Он предназначен для формирования фейковых платежных форм для возврата денег, чтобы обмануть незадачливого Ромео еще раз.

Сейчас в ходу такие услуги, о которых еще недавно никто бы и не подумал. Так, в Telegram активно распространяются предложения за деньги проверить, есть ли человек в списках на мобилизацию, или и вовсе удалить его из мифической базы на госуслугах. Попробуем разобраться, как работают такие объявления, и кто стоит за ними, в нашей новой статье: https://telegra.ph/Vestochki-povestochki-10-04

Квинтэссенция фишингового многостаночника: домен blablacar, в заголовке и футере – NordVPN – контент – Telegram Premium. Как и в случае с проверкой на призыв «приятным» бонусом будет еще и деанон пользователя Telegram и администратора канала. Впрочем, возможно, это и является главной целью сайта. Фишинговая форма логина осталась в наследство от схемы с NordVPN, так что возможно кто-то просто внедрил в готовый шаблон дополнительную форму сбора персональных данных.

Похоже, что мошенники решили трактовать фразу «Голосовать рублем» дословно. Как иначе объяснить появление фейкового сайта конкурса «Мисс Россия» https://miss-russian.ru/? Для того, чтобы отдать голос за понравившуюся девушку, надо просто ввести данные банковской карты… Контент фейкового сайта украден с оригинального ресурса: http://www.missrussia.ru/, а вот полноценно скопировать шаблон мошенники не потянули, поэтому фейковый сайт выглядит попроще. Интересно, а исход голосования зависит от того, сколько денег спишут с карты в пользу одной из кандидаток?

За последние 5 дней мы зафиксировали массовое появление объявлений с предложениями «эвакуации из России». Стоимость подобных услуг колеблется в диапазоне от 5 до 120 тысяч рублей. Злоумышленники предлагают варианты на любой кошелек, равно как и схемы покидания России, начиная от пешего перехода в сопредельную безвизовую страну и заканчивая пакетом документов для получения убежища в странах дальнего зарубежья. Классическим примером фейкового сайта, предлагающего услуги эвакуации, является ресурс https://pegasus-transfer.ru. Дизайн сайта скопирован с ресурса https://na-granicy.ru. На сайте вам предложат обратиться за помощью к менеджеру в Telegram, который пообещает пересечение границы с Грузией даже тем, у кого на руках повестка. Только вот сперва придется оплатить бронь места в автобусе, а потом – переслать скан паспорта. Вот и вся магия. Вы перечисляете 5000 рублей на карту и ждете, когда вам пришлют геолокацию автобуса. А мошенники гуляют на ваши деньги со сканом вашего паспорта.

Иногда атаки или утечки можно спрогнозировать, проанализировав предваряющую их активность. Следы подготовки могут быть самыми разными, например массовое появление подозрительно схожих с атакуемой компанией доменов. И если в случае с DNS фишинг в отношении клиентов гипермаркета вряд ли как-либо связан с утечкой данных, то в ситуации, когда в течение последних дней один за другим появляются домены: login-rosseti.ru loginrosseti.ru email-rosseti.ru 1c-rosseti.ru rs-mail.ru подразделению информационной безопасности ПАО «Россети» явно стоит обеспокоиться, так как подобные домены с легкостью могут быть использованы для атак не на клиентов, а на сотрудников компании, что в свою очередь грозит возможностью компрометации внутренних данных. Как видите, в наши дни мониторинг внешних угроз – это отнюдь не прихоть, а необходимость, которая позволяет заранее подготовиться к отражению атаки и предупредить возможные неприятности.

А вот так выглядят данные из новой базы клиентов DNS. Предыдущая утечка DNS произошла в 2013 году, так что теперь база проапдейтилась сразу за 9 лет.

В сети выложили файл размером 6.6 гигабайт, который, согласно описанию, содержит данные 16 миллионов покупателей гипермаркета электроники DNS. По факту база включает в себя как сведения покупателей, зарегистрированных на сайте, так и тех, кто совершал покупку без регистрации. Последним присваивается идентификатор формата: «Пришелец-…..». Ключевые сведения: ФИО, номер телефона и адрес электронной почты. Стоит отметить, что в последнее время сеть DNS подвергалась значительному количеству фишинговых атак. В даркнете активно распространяются скрипты для скама от имени гипермаркета. Даже сейчас мы фиксируем как минимум 5 действующих фишинговых ресурсов, нацеленных на клиентов сети: dndshop.ru dsndshop.ru ddnshop.ru ddnshops.ru sdnsshops.ru

На фоне новостей о прекращении функционирования «Северного потока» мошенники, ранее предлагавшие инвестиции в газовую отрасль, переключились на другие направления. За последние дни мы зафиксировали появление более 500 сайтов на едином шаблоне, предлагающих инвестиции в самые разные отрасли и компании, начиная от Microsoft (https://investments-in-europe.info/) или Tesla (https://speeduply.info/) и заканчивая казахскими и азербайджанскими банками (http://www.kapitalinvst.info/, https://nagezuu.com/). Не обошли стороной мошенники и платежную систему «МИР», создав целый ряд фейковых ресурсов (https://invest-mir.info/). Основной целью подобных сайтов является привлечение жертв на фейковые форекс-биржи, на которых они гарантированно потеряют деньги. Тот факт, что с 1 октября неквалифицированные инвесторы не смогут покупать иностранные ценные бумаги, выпущенные эмитентами из недружественных стран, ничуть не мешает распространению данной схемы. Ведь под оберткой торговли акциями, людей привлекают на сайты, предназначенные для торговли валютой… Ссылки на подобные ресурсы в основном распространяются в социальных сетях и по электронной почте. Акцент делается на людей, далеких от инвестиций и желающих открыть для себя рынок ценных бумаг. Неквалифицированные инвесторы в целом являются уязвимой аудиторией. В данном же случае мошенники нацелены на тех, у кого в принципе отсутствует опыт биржевой торговли, тех, кто слабо представляет её принципы и не способен адекватно оценивать риски и не может отличить реального брокера от мошенников.

Астрологи объявили нынешнюю неделю неделей мобилизации, поэтому писать о чем-то кроме неё получается плохо. Ну так значит продолжим писать о новов мобилизационном фишинге и скам-схемах. Сайт http://betabase.ru используется для взлома Telegram под предлогом проверки на мобилизацию. Вводите ФИО, телефон, код из СМС… УПС… Параллельно происходит и деанон пользователя Telegram, удобно, не правда ли? Так что помните, что никаких сервисов проверки на призыв в природе не существует и берегите свои данные.

Работодатели быстро прикинули, что отсрочка от мобилизации – это весомый аргумент, который перевешивает и заработную плату, и возможность отдохнуть в Турции. Теперь на сайтах по поиску работы стали появляться вот такие объявления. В первую очередь такой прием, конечно, себе на вооружение взяли оборонные ведомства. И в отличие от тех предложений «откосить», что мы освещали ранее, тут возможность вполне реальная. Главное успеть занять заветную должность, ну и приносить пользу родному ВПК, естественно!

Ни дня без мобилизационных мошенничеств. На этот раз в нашем обзоре схема «Помощь для каждого гражданина: программа «Za Наших». В зависимости от выбранного банка вам предложат ввести либо логин и пароль, либо номер карты, либо ФИО и так далее, в зависимости от механизма авторизации в личном кабинете, а потом код из СМС. Ну а после ввода кода вы останетесь не только без выплат, но и без денег на счетах и возможно с кредитом. В лучших традициях современных мошенников за автоматизацию отвечает специально обученный биоробот, который вручную будет вводить ваши данные на сайте банка и ждать от вас заветный код. Такой вот лоутек. Характерно, что сайт https://gosyslugi2022.co/?id=77855 откроется только по ссылке вот такого вида, которая содержится в рассылках. Если вы попытаетесь зайти по домену, вас отправит прямиком на Гугл – классический вариант защиты от обнаружения.

И снова утечка. На этот раз выложили данные сотрудников концерна «Уралхим. База содержит 5.5 тысяч строк и включает в себя информацию о ФИО, подразделении, должности, корпоративной почте, адресе офиса и так далее. Признаков компрометации паролей не выявлено. В то же время эти данные будут весьма востребованы злоумышленниками, осуществляющими фишинговые рассылки от имени концерна, тем более что за последние годы случаи таких рассылок, равно как и появления соответствующих фишинговых сайтов, уже фиксировались. Так что, если вы покупаете минеральные удобрения и прочую химию, будьте предельно аккуратны и тщательно проверяйте контрагентов.

Давненько у нас не было фейковых сайтов силовых структур. И вот домен F-SB.RU, который редиректит на FSB.WORLD. Помимо него владельцу принадлежит еще полсотни доменов, редиректящих на этот ресурс. Логику в них найти сложно. Это и домены типа калекеломаетдвериколлектор.рф или zelensky.su, активноерадио.рф или инстаграмчик.рф, нетвойне.рф или суньвынь.рф/ В целом, биполярочка выглядит примерно так. В настоящее время форма сбора персональных данных уже недоступна, уступив место ссылке на сообщество в VK: https://vk.com/fsb.world (которая тоже работает через раз). Номер, указанный на сайте, находится вне зоны доступа сети. Напишите, для чего по вашему мнению может быть создан подобный сайт. Вариант: «досадить владельцу телефонного номера» можно не предлагать, он и так вполне очевиден.

Тем временем в сети активно распространяются скам-скрипты для заработка на тех, кто желает избежать мобилизации. Схемы предельно просты и могут быть использованы как в рамках обзвона (что более эффективно), так и в варианте почтовых рассылок. Представьте, вам поступает звонок от военкома (с использованием подмены номера, конечно), который предлагает вам перевести вас из первой очереди мобилизации во вторую. Согласитесь, первое желание – бросить все и перевести ему деньги. Но мы же живем в правовом государстве, так что включаем холодный рассудок и посылаем мнимого военкома в зону боевых действий. В случае с е-мейлом все еще проще… Давно вы последний раз получали электронное письмо из военкомата?