Новости безопасности #20/02

Блокировка вымышленного лицевого счёта в ЦБ / REG.RU запустил сервис проверки SSL-сертификатов / Скам-проекты BNB42 и Baby Musk / Mars Stealer крадет данные из криптокошельков / Трояны и другие вредоносные Android-приложения / Выпущен бесплатный дешифратор от вымогателей Maze, Sekhmet и Egregor

Блокировка вымышленного лицевого счёта в ЦБ

Телефонные мошенники теперь звонят под соусом блокировки фейкового лицевого счёта в Банке России. По словам представителей кредитной организации ВТБ, которые зафиксировали обзвоны, это новый сценарий телефонного мошенничества.

Дозвонившись какому-либо гражданину, злоумышленники начинают пугать того блокировкой единого лицевого счёта в Центральном банке России. В качестве причины называют некую подозрительную операцию.

В ходе разговора мошенники пытаются под любыми предлогами выведать информацию о финансовом состоянии собеседника. Получив такие сведения, преступники используют их в последующих атаках.

При этом звонящие также пугают граждан блокировкой всех средств на едином лицевом счёте в ЦБ, который по факту выдуман. Чтобы разблокировать счёт, потенциальной жертве предлагают направить заявку в любой из банков, в котором она обслуживается.

Как отметили в ВТБ, собрав все данные, мошенники используют их для получения доступа в мобильный банк, оформления кредита или вывода средств.

Источник

REG.RU запустил сервис проверки SSL-сертификатов

REG.RU создали русскоязычный чекер для проверки SSL-сертификатов. Это дополнительный бесплатный инструмент, который поможет оценить безопасность сайта — проверить наличие и вид SSL (Secure Sockets Layer). Такой сертификат защищает передачу данных между браузером пользователя и сайтом.

Сервис создан не только как инструмент для владельцев сайтов, но и для обычных пользователей: отсутствие или использование бесплатного SSL-сертификата могут быть одним из признаков мошеннических сайтов. Сервис позволяет в один клик получить эту информацию.

Чтобы, проверить SSL-сертификат, достаточно ввести адрес интересующего сайта и кликнуть «Проверить».‎ Сервис выдаст информацию о виде сертификата, удостоверяющем центре, который его выдал, и сроке действия.

Если SSL отсутствует, то чекер предложит владельцам сайтов подобрать сертификат, исходя из специфики интернет-проекта.

Проверить SSL-сертификат: https://www.reg.ru/ssl-certificate/check-ssl/

Скам-проекты BNB42 и Baby Musk

Создатели платформы BNB42 вывели из проекта токены BNB на $2,7 млн. Площадка предлагала криптоинвесторам доходность 20% в день. В данный момент сайт проекта недоступен, а похищенные средства были отправлены на сервис спутывания транзакций Tornado Cash.

Разработчики платформы BNB42, предлагавшие криптоинвесторам доходность 20% в день, вывели из смарт-контракта проекта 6,5 тыс. токенов Binance Coin ($2,7 млн с учетом актуального курса на 15 февраля). Об этом в Twitter сообщил криптоаналитик Дмитрий Фомин. По его словам, в данный момент сайт платформы недоступен.

Ранее неизвестному пользователю удалось за три месяца заработать более $3 млн при помощи «мемного» токена Shibnobi (SHINJA).

Источник

Коин Baby Musk, названный в честь Илона Маска, пережил обвал курса практически на 100%. Судя по сообщениям, проект оказался скамом, а инвесторы столкнулись с видом мошенничества «rug-pull» (выдергивание коврика).

В рамках этой мошеннической схемы разработчики проекта сначала устраивают ему активную рекламу, а затем внезапно отказываются от него, уходя с рынка со всеми привлеченными деньгами инвесторов. Такой вид скамов также известен как «honeypot» (лакомый кусочек). Мошенники часто пользуются им, играя на такой слабости розничных инвесторов, как страх упустить выгодную возможность (FOMO). Они позволяют инвесторам покупать токены, но не дают возможности их продавать по мере роста цены актива.

Людей манит растущий курс коина, но как только он достигает уровня, устраивающего организаторов проекта, те устраивают дамп цены просто покидают рынок, оставляя инвесторов у разбитого корыта, с обесценившимися монетами. Похоже, именно это произошло с владельцами токенов Baby Musk.

Это еще один новый скам в длинном списке мошенничеств, с которыми столкнулся крипторынок за последнее время. Так, одним из самых громких примеров подобных историй является хайповый коин SQUID по мотивам популярного сериала Netflix «Игра в кальмара». Курс этой монеты в считанные дни взлетел более чем на 28 000%, после чего обвалился к нулю, в то время как создатели проекта обогатились на $12 млн.

Источник

Mars Stealer крадет данные из криптокошельков

На русскоязычных хакерских форумах активно рекламируется Windows-троян, облегчающий кражу криптовалюты. Анализ образца Mars Stealer показал, что это усовершенствованная версия инфостилера Oski, свернувшего свои операции полтора года назад.

Новобранец Mars Stealer, как и Oski, обладает функциями даунлоудера и снабжен кастомным грабером. Он умеет собирать информацию о зараженной системе, а также извлекать сохраненные данные из трех десятков браузеров, почтового клиента Thunderbird и 11 криптокошельков, не считая производные Bitcoin Core. Примечательно, что Outlook в списке целевых программ не значится, а у Oski он присутствовал.

От предшественника и других аналогов Mars Stealer отличают малые размеры (всего 95 Кбайт), а также повышенный интерес к браузерным плагинам для двухфакторной аутентификации (четыре 2FA-расширения и менеджер паролей Trezor) и работы с криптой (почти 40 наименований).

Собранную информацию вредонос отсылает на командный сервер, используя SSL-соединения. Строки кода Mars Stealer зашифрованы по RC4 и Base64, чтобы затруднить анализ. С той же целью троян использует функцию Sleep и проверяет наличие эмулятора Windows Defender. Защитить зловреда от обнаружения помогают техники сокрытия вызовов API и функция самоудаления (с помощью cmd.exe).

В тех случаях, когда временная характеристика вредоносного файла расходится с системным временем / датой больше чем на месяц, Mars Stealer завершает свой процесс. То же происходит, когда выясняется, что жертва по умолчанию использует язык страны бывшего СНГ (русский, белорусский, казахский, узбекский, азери). В настоящее время преемника Oski детектирует подавляющее большинство антивирусов из коллекции VirusTotal (60 из 69 по состоянию на 2 февраля).

Источник

Трояны FluBot и TeaBot атакуют пользователей Android по всему миру

Эксперты зафиксировали новые кампании киберпреступников, распространяющих вредоносные программы FluBot и TeaBot. Злоумышленники используют типичные приёмы смишинга (СМС-фишинг) и вредоносные Android-приложения в атаках на пользователей из Австралии, Германии, Польши, Испании и Румынии.

В СМС-сообщениях операторы кампаний прибегают уж совсем к избитым схемам. Пользователь получает приблизительно следующий текст: «Это ты на этом видео?». Также встречаются фейковые обновления браузера и якобы уведомления от голосовой почты.

После проникновения на мобильное устройство жертвы вредоносная программа берёт в оборот список контактов, чтобы рассылать похожие злонамеренные СМС-сообщения. FluBot был довольно активен в 2021 году и теперь, судя по всему, перенёс тот же темп и на 2022-й.

Другой банковский троян — TeaBot — с декабря 2021 года не раз был замечен в официальном магазине Google Play Store. По словам исследователей из Bitdefender, TeaBot распространяется со следующим софтом:

  • QR Code Reader – Scanner App – 100 000 загрузок.
  • QR Scanner APK – 10 000 загрузок.
  • QR Code Scan – 10 000 загрузок.
  • Smart Cleaner – 1 000 загрузок.
  • Weather Cast – 10 000 загрузок.
  • Weather Daily – 10 000 загрузок.

В период между 6 декабря 2021 года и 17 января 2022-го специалисты Bitdefender проанализировали 17 разных версий TeaBot.

Источник

Android-зловред Dark Herring проник на 105 млн смартфонов, украл $100 млн

В ходе киберкампании, нацеленной на пользователей мобильных устройств, злоумышленникам удалось обогатиться на сотни миллионов долларов. А всё благодаря 470 вредоносным Android-приложениям, размещённым в официальном магазине Google Play Store.

Каждая из этих злонамеренных программ устанавливала на девайсы пользователей зловред, известный под именем Dark Herring. Команда Zimperium, наблюдавшая за активностью кибергруппы, оценила сумму ущерба в сотни миллионов долларов — около 15 долларов (1 194 руб.) на каждую жертву.

К счастью, на сегодняшний день Google уже удалила 470 опасных приложений из Play Store, однако это не значит, что угроза полностью миновала. В сторонних магазинах приложений этот софт всё ещё доступен.

Расчёт киберпреступников был на то, что лишние 15 долларов, добавленные к ежемесячным расходам на сотовую связь, вряд ли бросятся в глаза рядовому пользователю. Стоит учитывать, что в оборот злоумышленников попали более ста аккаунтов, которые и сложили в итоге такую крупную сумму прибыли.

Согласно отчёту Zimperium, вредоносное приложение Dark Herring было обнаружено более чем на 105 млн Android-устройств. Исследователи впервые обратили внимание на кампанию в марте 2020 года, вплоть до ноября операторы зловреда беспрепятственно обкрадывали владельцев смартфонов.

Специалисты Zimperium считают, что за Dark Herring стоит относительно новая киберпреступная группировка, использующая нестандартный подход и интересную инфраструктуру. Аналитики также привели диаграмму, на которой видно, под какую категорию мобильных приложений злоумышленники предпочитали маскировать свой софт:

Источник

Выпущен бесплатный дешифратор от вымогателей Maze, Sekhmet и Egregor

Специалисты компании Emsisoft выпустили дешифратор, помогающий расшифровать файлы после работы программ-вымогателей Maze, Sekhmet и Egregor. Несмотря на то что эти семейства шифровальщиков сейчас не проявляют активности, остались жертвы их прошлых атак, которые до сих пор не смогли вернуть важную информацию.

Создать программу для расшифровки экспертам помог слив мастер-ключа, которым поделились на форуме BleepingComputer. Некий пользователь под ником Topleak сообщил, что принял решение выложить ключи от семейств Egregor, Maze, Sekhmet.

«Каждый архив содержит соответствующие ключи, номера директорий соотносятся с идентификаторами в конфиге. В папке «OLD» лежат ключи для старой версии Maze. Что бы там ни говорили, это запланированная утечка, которая никак не связана с недавними арестами и прочим. Исходный код M0yv добавил в качестве приятного бонуса», — пишет Topleak.

Используя ключи из утечки, компания Emsisoft разработала дешифратор, для работы которого потребуются записки от вымогателей с требованием выкупа.

M0yv, о котором упомянул топикстартер, представляет собой вредоносную программу, поэтому администраторам BleepingComputer пришлось удалить опубликованную ссылку.

Дешифратор: https://www.emsisoft.com/ransomware-decryption-tools/maze-sekhmet-egregor

Источник