Угрозы дня: Feedify скомпрометирован, обфускация PowerShell, DDoS-атаки на IoT устройства

Сервис уведомлений Feedify был скомпрометирован с помощью вредоносного скрипта Magecart

Для того что бы на сайтах электронной коммерции можно было воспользоваться сервисом push уведомлений Feedify, владельцам сайтов нужно добавлять скрипт Feedify JavaScript на свои сайты. По сообщению Bleepingcomputer скрипт Feedify был скомпрометирован с помощью вредоносного кода MageCart, который используется для кражи данных кредитных карт и другой информации. На данный момент вредоносный код удален из скрипта Feedify. Вредоносный скрипт MageCart недавно использовался для взлома и кражи данных кредитных карт авиакомпании British Airways, тогда были украдены данные около 380 000 тыс. пользователей.

Magecart on Feedify. A customer engagement tool. According to there website 4000+ website use there tooling/code. Fixed today after I notified them.@ydklijnsma @GossiTheDog pic.twitter.com/K2czXkUoHD

— Placebo (@Placebo52510486) 11 сентября 2018 г.

Киберпреступники использовали фишинговую атаку для получения доступа к криптокошельку Jaxx

В течение, по крайней мере, недели длилась фишинговая атака по получению данных криптокошельков Jaxx. В данной атаке использовался фишинговый домен, копия исходной страницы оригинального сайта, а так же загрузка вредоносных программ, которые устанавливались во время установки оригинальных программ. С помощью вредоносных программ пересылались документы формата TXT, DOC и XLS и отображалось окно, сообщающее о технической проблеме, и предлагающая ввести секретную фразу для доступа к криптокошельку. Пол Бёрбейдж, исследователь вредоносных программ компании Flashpoint, сообщает о российской связи злоумышленников и проходившей фишинговой атаке, комментируя тем, что данные вредоносные программы продаются на российских подпольных форумах, фишинговый домен расположен на сервере российского VPS провайдера, а вредоносный файл для macOS был создан с помощью российской среды разработки DevelNext.

Отчет компании FireEye о фишинговых угрозах электронной почты

Согласно последнему отчету компании FireEye, фишинговая спуфинг атака пользуется большой популярностью у злоумышленников и данный вид атаки постоянно улучшается. В качестве атаки используются такие методы как: Фишинговое электронное письмо с именем и названием, которому доверяет жертва, Фишинговые доменные имена почтовых адресов, похожие на надежные адреса и к которым у потенциальной жертвы есть доверие. Отчет основан на анализе выборки из более полумиллиарда электронных писем полученных в первом полугодии 2018 года. FireEye обнаружил, что менее трети (32%) трафика электронной почты, считались «чистыми» и фактически доставлялись адресатам. В докладе также было сказано, что в 1 из каждых 101 электронных писем была обнаружена фишингвая атака.

Значительно возросло количество DDoS-атак на IoT устройства

Согласно отчету компании NexusGuard, оказывающей услуги по защите от DDoS-атак, количество атак "отказа в обслуживании" увеличилось на 29% по сравнению со вторым кварталом 2017 года, причем средний размер атаки увеличился на 543% и достигает 26,37 Гбит/с. Увеличение числа атак и их размеров объясняется тем, что нападающие собирают гигантские бот-сети с использованием небезопасных устройств IoT. Атакующие используют уязвимости в этих устройствах для быстрого создания больших бот-сетей, которые затем могут использоваться для выполнения целенаправленных атак, которые все труднее остановить. Например, ботнет Mirai Satori использовал более чем 280 000 IP-адресов, которых удалось обнаружить за 12-часовой период, а новый ботнет Anarchy смог собрать более 18 000 маршрутизаторов за один день. Эти бот-сети были созданы злоумышленниками, использующими уязвимости в маршрутизаторах, например, Huawei и D-Link.

Обфускация PowerShell с использованием SecureString

В ежемесячном бюллетене безопасности компании Cylance рассказывается о вновь набирающем популярность методе скрытия новых версий вредоносных программ. Согласно статье, новая тенденция скрытия вредоносных программ с помощью обфускации противоречит широко распространенному предположению в области информационной безопасности, в котором утверждается, что высоконадежное вредоносное ПО, сопряженно с эксплуатацией вредоносных приложений нулевого дня. В качестве примера приводится случай, в котором VBS скрипт загружает и запускает вредоносный файл с помощью системного приложения PowerShell. Во время этой операции используются многочисленные методы, в том числе такие как: разбиение строк через конкатенацию и присвоение переменных, метод строкового шифрования SecureString для шифрования некоторых строк с целью обойти продукты, использующие автоматические песочницы. Эффективность методов обфускации заключается в том, что с помощью изменения хеша известной вредоносной программы, можно обойти сигнатурное обнаружение антивирусной программы.