FinCERT-20171027-ИР


Чтобы посмотреть этот PDF файл с форматированием и разметкой, скачайте его и откройте на своем компьютере.

ФинЦЕРТ Банка
России

ИР
-
201710
27





Email
:
fincert
@
cbr
.
ru

M
-
VA
:
BA
-
LOKIBOT
-
201710
27
-
01
:i


Б
анковский Android
-
троян LokiBot превраща
ется

в
вымогателя при попытке
удаления
.


Описание угрозы

Обнаружен
а

н
овая версия банковского

Android
-
троян
а

LokiBot
, отображающий

поддельные окна пов
ерх окон легитимных приложений (как банковских приложений, так и
популярных сервисов

S
kype, Outlook или WhatsApp).
Если пол
ьзователь
попытается

удалить (
отозвать привилегии
)
,
то вредоносное ПО
переключается в режим
вымогательского ПО
.

На что направлена

Мобильные устройства

на базе ОС
Android


версий
4.0 и выше

Способ реализации

Данное вредоносное ПО
LokiBot обладает

функционалом
:



о
ткрытие бр
аузера на мобильном устройстве;



з
агрузка URL и установка SOCKS5 прокси (для

перенаправления исходящего
трафика);



автоматического

отвечает на SMS
-
сообщения;



о
тправляет сообщения на все номера в списке контактов (данная функция
используется для рассылки спама и инфицирования других жертв);



о
тображает фальшивые уведомления якобы от

легитимных приложений (для
того, чтобы заставить пользователя открыть банковское приложение, поверх
которого LokiBot отобразит подложное окно, куда жертва и введет свои данные).

Во время установки он запрашивает права администратора

устройства в Android
.

Если
пол
ьзователь
впоследствии
попытается отозвать привилегии,

то

троян переключается в
режим вымогательского ПО.


ФинЦЕРТ Банка
России

ИР
-
201710
27





Email
:
fincert
@
cbr
.
ru

Дата выявления /
публикации

24
.
10
.2017

Базовые меры по
противодействию



П
ерезагруз
ка

устройств
а

в безопасном режиме, отз
ы
в прав
администратора и удал
ение

инфицированно
го

LokiBot приложени
я;



Использование антивируса и своевременное его обновление;



Отключение возможности установки из недоверенных источников в настройках
безопасности;



По возможности избегать получения root
-
прав на уст
ройство, если в нем нет
потребности;



Установка только официальные версии приложений из Google Play Market;



Отслеживание

запущенных процессов в системе
.

Ссылки на источники

http://www.securitylab.ru/news/489306.php



(на англ.)

Прочая информация

Веб
-
панель
командного сервера

имеет несколько интересных функций. Она
предоставляет встроенный построитель
/конфигуратор

пакетов android
-
приложений (apk)
,
который позволяет настраивать значок, имя, дату сборки и URL
командного сервера
, что
делает тривиальны
м создание множества различных образцов, ориентированных на разные
группы пользователей

и
также автоматически генерирует сер
тификат для подписания
каждого apk
-
файла
.

Помимо создания
apk
, злоумышленник также может настраивать
вид, размер и
параметры отображения
ок
он лже
-
приложений
, которые будут показаны жертвам, и
выполнять расширенные поиски по всем собранным данным, таким как журналы, история
и геолокация.

Этап выкупа

(функция блокировки и шифрования)

автоматически активируе
тся, когда

ФинЦЕРТ Банка
России

ИР
-
201710
27





Email
:
fincert
@
cbr
.
ru

пользователь пытается

удалить или отозвать административные полномочия у вредоносной
программы, также вымогательская функция
может быть активирован
а

с командного
сервера
при помощи отправки команды «Go_Crypt».

Как только функция вымогателя актив
ируется, он начинает поиск всех файлов и
каталогов в основном общем или внешнем хранилище (
чаще всего на SD
-
карты
) и
шифрует их с помощью AES. Ключ генерируется случайным образом при заполнении по
умолчанию AES/ECB/PKCS5 и 128
-
битном размере ключа. Однако
из
-
за ошибки в коде
вредоносного ПО,
функция шифрования
не срабатывает, т.к. исходный файл
переименовывается и не
зашифров
ывается, т
аким образом, жертвы не потеряют свои
файлы, они
будут
только переименованы.

Несмотря на то, что шифровани
е фалов на устройс
тве

не срабатывает
, блокир
овка

экрана по
-
прежнему
функционирует
и блокирует экран жертвы,
с использованием
административных разрешений, полученных при первом запуске вредоносного ПО
.
При
блокировке отображае
тся на экране

фраза
«Ваш телефон заблокирован
за

просмотр
детской порнографии»
.

За разблокировку предлагается заплатить выкуп в размере $70
-

$100.


Так же, как Svpeng, CryEye, DoubleLocker, ExoBot и другие Android
-
семейства, LokiBot
продается на подпольных форумах. Его стоимость
составляет

около

$2 тыс. в биткойнах
.






ФинЦЕРТ Банка
России

ИР
-
201710
27





Email
:
fincert
@
cbr
.
ru

PC
-
VI:OTH
-

OSX_
PROTON
_
ELTIM
A
-
20171027
-
02
:i


выявила
распространение
троян
ской программы Proton

вместе с приложениями
компании
-
разработчика Eltima

для macOS(
OSX
)
.


Описание угрозы

Специалисты компании
ESET выявил
и

кибератак
у

на пользователей macOS.
Злоумышленники

взломали сайт компании
-
разработчика Eltima и распространяли
зараженные троян
ской программой

Proton версии популярных приложений:
мультимедийного плеера Elmedia
Player и менеджера закачек Folx

для OSX
.

В

зараженных

Pr
oton

ом

версиях
Elmedia
Player и Folx (для

OSX
)

были заложены

функции для кражи данных, включая информацию о пользователе и операционной системе,
список установленных приложений, данные браузеров, номера криптовалютных кошельков,
данные связки ключей macOS
, сохраненные логины и пароли.

На что направлена

macOS

Способ реализации

Для атаки злоумышленники
создали подписанную действующим сертификатом (в
настоящее время сертификат отозван Apple) оболочку вокруг легитимного приложения
Elmedia Player и
троян
ской
программы

Proton. После скачивания с сайта Eltima оболочка
запускает настоящий медиаплеер, а затем выпол
няет в системе код
вредоносного ПО

Proton.
Данное вредоносное ПО

выводит на экран поддельное окно авторизации, чтобы получить
права администратора.

Дата выявления /
публикации

2
3
.
10
.2017

Базовые меры по
противодействию



проверить систему на предмет компрометации. На заражение указывает присутствие
любого из следующих файлов или каталогов:

-

/tmp/Updater.app/


ФинЦЕРТ Банка
России

ИР
-
201710
27





Email
:
fincert
@
cbr
.
ru

-

/Library/LaunchAgents/
com.Eltima.UpdaterAgent.plist

-

/Library/.rand/

-

/Library/.rand/updateragent.app/
.

Ссылки на источники

-
ataka/



Прочая информация

Proton


троянская программа

для удаленного доступа
класса
Remote Access Trojan

(
RAT)

для
macOS
, которая

продавал
а
с
ь

на подпо
льных форумах с марта 2017 года
.

Подобная схема
атаки
уже использовалась ранее для распространения вредоносного ПО для macOS.


OTH:
OTH
-
SECUREDROP_
-

201710
27
-
03
:i


Уязвимость в сервисе Secu
reDrop приводит к утечке данных
.


Описание угрозы

В
сервисе

для

анонимизации
и
нформаторов SecureDrop устранена серьезная
уязвимость, позволявшая

атакующим перехватывать коммуникации между журналистами
и
информаторами.

На что направлена

SecureDrop 0.3

Способ реализации

О
шибка связана с конфигурационной логикой в процессе установки, в результате
которой три пакета
-

tor, ntp и tor keyring
-

устанавливаются без должной проверки
криптографических подписей. Пакеты передаются по протоколу HTTP, что позволяет
злоумышленнику с д
оступом к сети осуществить атаку «человек посередине»,
подключиться к се
рверу и удаленно выполнить код
.

Эксплуатация ошибки возможна только во время инсталляции SecureDrop. Как
отмечается, для проведения атаки
злоумышленник
ам потребуются значительные ресурсы

ФинЦЕРТ Банка
России

ИР
-
201710
27





Email
:
fincert
@
cbr
.
ru

для того, чтобы вести наблюдение за объектом, определить момент установки версии
SecureDrop 0.3, осуществить атаку «человек посередине» и своевременно подменить
установочные файлы вредоносными. В настоящее время у команд
ы SecureDrop нет
информации о случаях эксплуатации данной уязвимости злоумышленн
иками.

Дата выявления /
публикации

25
.
10
.2017

Базовые меры по
противодействию



Обновление
SecureDrop

до версии
SecureDrop 0.4.4
.

Ссылки на источники

http://www.securitylab.ru/news/489274.php


https://nakedsecurity.sophos.com/2017/10
/22/office
-
dde
-
attack
-
works
-
in
-
outlook
-
too
-
heres
-
what
-
to
-
do/

(на англ.)

Прочая информация

Уязвимость затрагивает версию SecureDrop 0.3. Более ранние

версии проблеме не
подвержены.


PC
-
OTH:
OTH
-
CVE_2017_18826
-
201710
2
7
-
0
4
:i


У
язвимость в протоколе DDE теперь можно п
роэксплуатировать через Outlook
.


Описание угрозы

Исследователи безоп
асности из компании Sophos Labs

обнаружили уязвимость в
DDE

и
соответственно возможность

осуществлять
атаки с помощью
почтового клиента Microsoft

Outlook
. При получении электронных писем
и приглашений на мероприятия в формате
RTF

(
Rich

Text

Format
),
возможная эксплуатация
критическ
ой уязвимости

CVE
-
2017
-
11826,
котор
ая
использует
функцию динамического обмена данными (Dynamic Data
Exchange, DDE)

и

зат
рагивает документы Word и Excel
.


ФинЦЕРТ Банка
России

ИР
-
201710
27





Email
:
fincert
@
cbr
.
ru

На что направлена

ПК


Способ реализации

Если ранее для успешной атаки злоумышленникам нужно было заставить пользователя
открыть вредоносное вложение, то в данном случае вредоносный код помещен
непосредственно в тело
письма, что упрощает задачу атакующему.

Стоит отметить
,

что

предотвратить атаку можно
отказавшись от отображения
содержимого письма в Word/Excel
нажав опцию «Нет» в
о

всп
лывающем диалоговом

окн
е
.

Также предотвратить атаку можно посредством просмотра пи
сьма
в формате простого
текста.

Дата выявления /
публикации

23
.
10
.2017

Базовые меры по
противодействию



обновление Microsoft Office до современной версии (или установка соответствующих
патчей в предыдущие версии).



Использование антивируса и своевременное его
обновление;



Не открывать письма
, пришедшие

из недостоверных источников;



Использование спам фильтров в электронной почте;



Минимизация привилегий пользователя, работающего на ПК (неиспользование
локального админист
ратора при повседневной работе)

Ссылки на
источники

http://www.securitylab.ru/news/489274.php


https://nakedsecurity.sophos.com/2017/10/22/office
-
dde
-
attack
-
works
-
in
-
outlook
-
too
-
heres
-
what
-
to
-
do/

(на англ.)

Прочая информация

Отсутствуют
.



ФинЦЕРТ Банка
России

ИР
-
201710
27





Email
:
fincert
@
cbr
.
ru

Дополнительная информация:

П
одробный анализ шифровальщика
-
вымогателя Bad Rabbit

от Лаборатории Касперского
:

https://habrahabr.ru/company/kaspersky/blog/340944/

Дайджест информационной безопасности № 1
23

за период с
13 по 27 октября 2017 года
:

https://rvision.pro/blog
-
posts/digest
-
123/

Н
овый

цикл

статей

о

Security Operations Center:

https://habrahabr.ru/company/solarsecurity/blog/340386/

О
бзор инцидентов
безопасности за период с
16

по
22

октября
2017 года
:

http
://
www
.
securitylab
.
ru
/
news
/489272.
php

В Android появится

функция шифрования DNS трафика
:

http://www.securitylab.ru/news/489270.php

Обзор кибератак с 1
6

по

30 сентября 2017 года (на англ.)
:

http://www.hackmageddon.com/2017/10/18/16
-
30
-
september
-
2017
-
cyber
-
attacks
-
timeline/




Приложенные файлы

  • pdf 8910493
    Размер файла: 478 kB Загрузок: 0

Добавить комментарий