Основы Интернет - технологий.

Ботнет из MikroTik’ов

Об­наружен бот­нет, в который вхо­дят 13 тысяч устрой­ств MikroTik. Он экс­плу­ати­рует проб­лемы в нас­трой­ках DNS-записей, что­бы обхо­дить защиту и дос­тавлять мал­варь, исполь­зуя спу­финг при­мер­но 20 тысяч доменов.

По информа­ции спе­циалис­тов ком­пании Infoblox, зло­умыш­ленни­ки исполь­зуют неп­равиль­ные нас­трой­ки DNS SPF (Sender Policy Framework) — механиз­ма, который опре­деля­ет сер­веры, име­ющие пра­во отправ­лять пись­ма от име­ни домена.

Пер­вые вре­донос­ные рас­сылки были замече­ны еще в кон­це нояб­ря 2024 года. Некото­рые вре­донос­ные пись­ма мас­кирова­лись под сооб­щения от тран­спортной ком­пании DHL Express, содер­жали фаль­шивые инвой­сы и ZIP-архи­вы, внут­ри которых скры­валась мал­варь.

Так, в архи­ве содер­жался jаvascript, собирав­ший и запус­кавший PowerShell-скрипт. Этот скрипт соеди­нял­ся с управля­ющим сер­вером ата­кующих.

«Про­ана­лизи­ровав заголов­ки спам‑писем, мы наш­ли мно­жес­тво доменов и IP-адре­са SMTP-сер­веров. Тог­да‑то и ста­ло ясно, что мы рас­кры­ли огромную сеть из 13 тысяч заражен­ных устрой­ств MikroTik, явля­ющих­ся частью круп­ного бот­нета», — объ­ясня­ют в Infoblox.

Эк­спер­ты выяс­нили, что DNS-записи SPF для при­мер­но 20 тысяч доменов были нас­тро­ены с опци­ей +all, которая поз­воляла любому сер­веру отправ­лять пись­ма от их име­ни.

«Фак­тичес­ки это дела­ет SPF-запись бес­полез­ной, ведь такая нас­трой­ка откры­вает дорогу спу­фин­гу и мас­совой рас­сылке несан­кци­они­рован­ных писем», — пишут спе­циалис­ты, отме­чая, что безопас­нее исполь­зовать опцию -all, которая раз­реша­ет отправ­ку толь­ко с кон­крет­ных сер­веров.

Точ­ный спо­соб зараже­ния устрой­ств пока оста­ется неясен, но спе­циалис­ты под­чер­кну­ли, что в бот­нет вхо­дят устрой­ства с раз­ными вер­сиями про­шивок, вклю­чая самые све­жие.

Бот­нет исполь­зует заражен­ные устрой­ства в качес­тве SOCKS4-прок­си для про­веде­ния DDoS-атак, рас­сылки фишин­говых писем, извле­чения дан­ных, а так­же для мас­киров­ки вре­донос­ного тра­фика.

«Хотя в бот­нет вхо­дят все­го 13 тысяч устрой­ств, исполь­зование их в качес­тве SOCKS-прок­си поз­воля­ет десят­кам и даже сот­ням тысяч ском­про­мети­рован­ных машин исполь­зовать их для дос­тупа к сети, что зна­читель­но уве­личи­вает потен­циаль­ный мас­штаб опе­раций это­го бот­нета», — пре­дуп­режда­ют в Infoblox.

Член комите­та Гос­думы по инфор­мпо­лити­ке Антон Нем­кин заявил, что поч­товый сер­вис Gmail может быть небезо­пасен для хра­нения на нем кон­фиден­циаль­ной информа­ции, и приз­вал рос­сий­ских поль­зовате­лей перехо­дить на оте­чес­твен­ные ана­логи, пос­коль­ку неиз­вес­тно, какие анти­рос­сий­ские шаги зарубеж­ные сер­висы пред­при­мут в даль­нейшем.

«Мно­гие по‑преж­нему хра­нят там (в Gmail) важ­ные дан­ные, нес­мотря на проб­лемы со вхо­дом и двух­фактор­ной аутен­тифика­цией, которые уже сей­час фик­сиру­ются в Рос­сии. Это по фак­ту раз­вязыва­ет руки мошен­никам и дела­ет Gmail край­не небезо­пас­ным для хра­нения любой кон­фиден­циаль­ной информа­ции.

По­лити­ка Google, которой он при­дер­жива­ется пос­ледние годы, пла­номер­но ведет к тому, что количес­тво сбо­ев в работе ИТ‑гиган­та в Рос­сии будет рас­ти — по его же ини­циати­ве. Так­же будет рас­ти и количес­тво проб­лем с безопас­ностью, вплоть до невоз­можнос­ти исполь­зовать сер­висы, к которым успе­ли при­вык­нуть поль­зовате­ли», — заявил Нем­кин.

Identity Check

Google анон­сирова­ла новую защит­ную фун­кцию «Про­вер­ка лич­ности» (Identity Check) для Android, которая защитит важ­ные нас­трой­ки устрой­ства с помощью биомет­ричес­кой аутен­тифика­ции, если поль­зователь находит­ся вне доверен­ного мес­та.

Но­вая фун­кция вхо­дит в ком­плекс мер по защите от краж, наряду с пред­став­ленной в прош­лом году Theft Detection Lock, которая теперь рас­простра­няет­ся на все новые модели Android-устрой­ств.

Identity Check тоже приз­вана уси­лить защиту от краж и будет тре­бовать биомет­ричес­кой аутен­тифика­ции для дос­тупа к кри­тичес­ки важ­ным нас­трой­кам акка­унта и устрой­ства, ког­да устрой­ство находит­ся вне доверен­ных мест.

За­щита Identity Check будет рас­простра­нять­ся на самые раз­ные дей­ствия, вклю­чая:

• сброс нас­тро­ек до завод­ских;
  


• изме­нение биомет­ричес­ких дан­ных (таких как отпе­чаток паль­ца или раз­бло­киров­ка по лицу);
  


• отклю­чение фун­кции Find My Device;
  


• добав­ление или уда­ление акка­унта Google;
  


• дос­туп к опци­ям для раз­работ­чиков;
  


• авто­запол­нение паролей в при­ложе­ниях из Google Password Manager (за исклю­чени­ем Chrome);
  


• изме­нение PIN-кода, гра­фичес­кого клю­ча или пароля бло­киров­ки экра­на;
  


• отклю­чение фун­кций защиты от кра­жи.
  

На стар­те фун­кция Identity Check будет дос­тупна толь­ко поль­зовате­лям Google Pixel под управле­нием Android 15 и Samsung Galaxy под управле­нием One UI 7.

На­пом­ним, что фун­кци­ональ­ность Theft Detection Lock защища­ет лич­ные и кон­фиден­циаль­ные дан­ные поль­зовате­лей в слу­чае кра­жи или потери устрой­ства. Авто­мати­чес­кая бло­киров­ка экра­на работа­ет на осно­ве ИИ и встро­енных сен­соров. Она бло­киру­ет экран, если обна­ружи­вает рез­кое дви­жение, свя­зан­ное с попыт­кой кра­жи (нап­ример, ког­да вор вых­ватыва­ет устрой­ство из рук вла­дель­ца).

Ра­нее фун­кция была дос­тупна толь­ко на устрой­ствах Google Pixel, но теперь Google рас­простра­няет Theft Detection Lock на все телефо­ны под управле­нием Android 10 и более поз­дних вер­сий. Эта фун­кция может появить­ся даже на устрой­ствах, для которых боль­ше не выходят обновле­ния безопас­ности.

Так­же спе­циалис­ты Google сооб­щили, что тес­но сот­рудни­чают с GSMA и работа­ют над соз­дани­ем новых сис­тем для борь­бы с кра­жами мобиль­ных устрой­ств, но более под­робная информа­ция об этом будет опуб­ликова­на поз­же.

• В пери­од с октября по декабрь 2024 года Telegram стал чаще пре­дос­тавлять пра­воох­ранитель­ным орга­нам дан­ные о поль­зовате­лях.
  


• По ста­тис­тике про­екта, который куриру­ет сот­рудник Human Rights Watch Эть­ен Менье (Etienne Maynier), в этом воп­росе с боль­шим отры­вом лидиру­ет Индия: в 2024 году Telegram выпол­нил 14 641 зап­рос из этой стра­ны и рас­крыл пра­воох­раните­лям дан­ные 23 535 поль­зовате­лей.
  


• Вто­рое мес­то занима­ет Гер­мания, где было выпол­нено 945 зап­росов и рас­кры­ты дан­ные 2237 человек. На треть­ем мес­те — США, где Telegram выпол­нил 900 зап­росов, которые в общей слож­ности зат­ронули 2253 поль­зовате­ля.
  


• Рез­кий рост рас­кры­тия поль­зователь­ских дан­ных свя­зыва­ют с арес­том Пав­ла Дурова (который был задер­жан во Фран­ции в августе 2024 года). Так­же вско­ре пос­ле арес­та Дурова у плат­формы из­менились Terms of Service и Privacy Policy.
  

Двойной кликджекинг

Не­зави­симый ИБ‑иссле­дова­тель Паулос Йибе­ло (Paulos Yibelo) рас­ска­зал о новой раз­новид­ности клик­дже­кин­га (clickjacking) и дал этим ата­кам наз­вание DoubleClickjacking. Зло­умыш­ленни­ки могут обма­ном вынудить поль­зовате­лей совер­шить нуж­ные дей­ствия с помощью двой­ных кли­ков мыши, тем самым обхо­дя сущес­тву­ющую защиту.

Тер­мином clickjacking обыч­но обоз­нача­ют ситу­ации, ког­да зло­умыш­ленни­ки соз­дают вре­донос­ные стра­ницы, где обма­ном вынуж­дают посети­телей нажимать на скры­тые или замас­кирован­ные эле­мен­ты. Обыч­но такие ата­ки осу­щест­вля­ются путем наложе­ния на стра­ницу скры­того iframe, соз­данно­го хакера­ми. При­чем вре­донос­ная стра­ница про­екти­рует­ся таким обра­зом, что­бы кноп­ки и ссыл­ки скры­того iframe сов­падали с нуж­ными ссыл­ками и кноп­ками целевой стра­ницы.

Обыч­но зло­умыш­ленни­ки зав­лека­ют поль­зовате­лей на такие сай­ты, а затем вынуж­дают клик­нуть по ссыл­ке или кноп­ке (нап­ример, для получе­ния некой наг­рады или прос­мотра кар­тинки). Но ког­да человек нажима­ет на стра­ницу, на самом деле он нажима­ет на ссыл­ки и кноп­ки скры­того iframe, что потен­циаль­но может при­вес­ти к выпол­нению вре­донос­ных дей­ствий, вклю­чая, к при­меру, авто­риза­цию OAuth-при­ложе­ний.

В пос­ледние годы раз­работ­чики бра­узе­ров внед­рили ряд защит­ных фун­кций, которые пре­дот­вра­щают боль­шинс­тво подоб­ных атак. Нап­ример, не поз­воля­ют переда­вать cookie меж­ду сай­тами или уста­нав­лива­ют опре­делен­ные огра­ниче­ния (X-Frame-Options или frame-ancestors) для ресур­сов, которые могут содер­жать iframe.

Од­нако Йибе­ло рас­ска­зал о новом типе таких атак, где исполь­зуют­ся двой­ные кли­ки. Так, зло­умыш­ленник соз­дает сайт, на котором отоб­ража­ется безобид­ная на пер­вый взгляд кноп­ка‑при­ман­ка (нап­ример, «Наж­мите здесь» для прос­мотра филь­ма).

Ког­да посети­тель нажима­ет на эту кноп­ку, соз­дает­ся новое окно, которое зак­рыва­ет исходную стра­ницу и содер­жит дру­гую при­ман­ку, нап­ример про­сит решить CAPTCHA для про­дол­жения. Тем вре­менем jаvascript на исходной стра­нице в фоновом режиме изме­няет стра­ницу на дру­гой сайт, на котором поль­зователь и дол­жен совер­шить какое‑то дей­ствие.

CAPTCHA в наложен­ном окне пред­лага­ет посети­телю дваж­ды клик­нуть на какой‑либо эле­мент стра­ницы, что­бы решить задачу. При этом стра­ница отсле­жива­ет события mousedown и, обна­ружив таковое, быс­тро зак­рыва­ет овер­лей, в резуль­тате чего вто­рой клик уже при­ходит­ся на кноп­ку авто­риза­ции или ссыл­ку на ранее скры­той под овер­леем стра­нице.

В ито­ге поль­зователь слу­чай­но кли­кает по кноп­ке, что может исполь­зовать­ся для уста­нов­ки пла­гина, под­клю­чения OAuth-при­ложе­ния к учет­ной записи жер­твы или под­твержде­ния зап­роса мно­гофак­торной аутен­тифика­ции.

Ис­сле­дова­тель объ­ясня­ет, что такие ата­ки обхо­дят все сущес­тву­ющие средс­тва защиты от клик­дже­кин­га, пос­коль­ку DoubleClickjacking не исполь­зует iframe и не пыта­ется передать cookie на дру­гой домен. Вмес­то это­го дей­ствия осу­щест­вля­ются непос­редс­твен­но на легитим­ных сай­тах.

Йибе­ло утвер­жда­ет, что ата­ка пред­став­ляет угро­зу прак­тичес­ки для всех сай­тов в интерне­те, и прик­ладыва­ет к сво­ему отче­ту демонс­тра­цион­ные ви­део, в которых DoubleClickjacking при­меня­ется для зах­вата акка­унтов Shopify, Slack и Salesforce.

Ху­же того, спе­циалист пишет, что ата­ка может исполь­зовать­ся и про­тив бра­узер­ных рас­ширений.

«Нап­ример, я соз­дал PoC для популяр­ных бра­узер­ных крип­товалют­ных кошель­ков, и тех­ника DoubleClickjacking исполь­зует­ся для авто­риза­ции web3-тран­закций и dApps или отклю­чения VPN, что­бы рас­крыть IP-адрес, — объ­ясня­ет Йибе­ло. — Это мож­но реали­зовать даже на мобиль­ных телефо­нах, поп­росив жер­тву тап­нуть два раза».

Для защиты от это­го типа атак Йибе­ло пред­лага­ет исполь­зовать jаvascript, который мож­но добавить на стра­ницу для отклю­чения важ­ных кно­пок и ссы­лок вплоть до завер­шения жес­та. Это дол­жно пре­дот­вра­тить авто­мати­чес­кое нажатие на кноп­ку авто­риза­ции при отклю­чении вре­донос­ного овер­лея.

Так­же иссле­дова­тель пред­лага­ет исполь­зовать спе­циаль­ный HTTP-заголо­вок, который огра­ничит или заб­локиру­ет быс­трое перек­лючение меж­ду окна­ми во вре­мя двой­ного кли­ка.

• Ис­сле­дова­тели Positive Technologies изу­чили рынок дар­кне­та и про­ана­лизи­рова­ли цены на нелегаль­ные услу­ги и товары, а так­же зат­раты зло­умыш­ленни­ков на про­веде­ние атак.
  


• Са­мый дорогой тип вре­донос­ного ПО — это шиф­роваль­щик, чья меди­анная сто­имость сос­тавля­ет 7500 дол­ларов США (при этом встре­чают­ся пред­ложения и за 320 тысяч дол­ларов).
  


• Ор­ганиза­ция популяр­ного сце­нария фишин­говых атак с исполь­зовани­ем шиф­роваль­щика обхо­дит­ся начина­ющим кибер­прес­тупни­кам минимум в 20 тысяч дол­ларов США.
  


• Ес­ли под­готов­ка к ата­ке начина­ется с нуля, хакеры арен­дуют вы­делен­ные сер­веры, при­обре­тают под­писку на VPN-сер­висы и дру­гие инс­тру­мен­ты, что­бы соз­дать защищен­ную и ано­ним­ную управля­ющую инфраструк­туру. Рас­ходы так­же вклю­чают покуп­ку ис­ходно­го кода мал­вари или готово­го вре­доно­са по под­писке, прог­рамм для его заг­рузки в сис­тему жер­твы и мас­киров­ки от средств защиты.
  

• За­то чис­тая при­быль хакеров от успешной ата­ки может в сред­нем в 5 раз пре­вышать зат­раты на ее под­готов­ку.
  

Проблема Google OAuth

Эк­спер­ты Trufflesecurity обна­ружи­ли проб­лему в фун­кции Google OAuth «Вой­ти с помощью Google». Баг поз­воля­ет зло­умыш­ленни­кам, регис­три­рующим домены прек­ратив­ших свое сущес­тво­вание ком­паний, получить дос­туп к кон­фиден­циаль­ным дан­ным акка­унтов их быв­ших сот­рудни­ков.

Ис­ходно иссле­дова­тели уве­доми­ли Google об этой ошиб­ке еще 30 сен­тября 2024 года, одна­ко тог­да спе­циалис­ты Google отнесли проб­лему к катего­рии «мошен­ничес­тво и зло­упот­ребле­ния», не сог­ласив­шись, что уяз­вимость свя­зана с OAuth. Толь­ко пос­ле того как Дилан Эйри (Dylan Ayrey), гла­ва и соос­нователь Trufflesecurity, пуб­лично рас­ска­зал об этой проб­леме на ShmooCon в декаб­ре прош­лого года, Google наз­начила иссле­дова­телям воз­награж­дение в раз­мере 1337 дол­ларов США и пов­торно откры­ла тикет.

В нас­тоящее вре­мя проб­лема по‑преж­нему оста­ется неис­прав­ленной и при­год­ной для экс­плу­ата­ции. При­чем пред­ста­вите­ли Google заяви­ли СМИ, что поль­зовате­лям прос­то нуж­но сле­довать передо­вым прак­тикам безопас­ности и «над­лежащим обра­зом зак­рывать домены», а люди поп­росту забыва­ют уда­лять сто­рон­ние SaaS-сер­висы.

В сво­ем отче­те Эйри рас­ска­зыва­ет, что «OAuth-логин Google не защища­ет от ситу­ации, ког­да кто‑то покупа­ет домен зак­рывше­гося стар­тапа и исполь­зует его для пов­торно­го соз­дания email-акка­унтов быв­ших сот­рудни­ков».

Ко­неч­но, само по себе соз­дание email’ов не дает новым вла­дель­цам дос­туп к пре­дыду­щим сооб­щени­ям на ком­муника­цион­ных плат­формах, одна­ко такие учет­ные записи мож­но исполь­зовать для пов­торно­го вхо­да в такие сер­висы, как Slack, Notion, Zoom, ChatGPT.

Для демонс­тра­ции такой ата­ки иссле­дова­тель при­обрел ста­рый домен и получил дос­туп к SaaS-плат­формам, где в ито­ге нашел кон­фиден­циаль­ные дан­ные из HR-сис­тем (налого­вые докумен­ты, стра­ховую информа­цию и номера соци­аль­ного стра­хова­ния), а так­же смог вой­ти в раз­личные сер­висы от чужого име­ни (вклю­чая ChatGPT, Slack, Notion, Zoom).

Изу­чив базу сай­та Crunchbase в поис­ках уже зак­рывших­ся стар­тапов с заб­рошен­ными домена­ми, Эйри обна­ружил 116 481 под­ходящий для таких атак домен. То есть могут сущес­тво­вать мил­лионы учет­ных записей сот­рудни­ков обан­кро­тив­шихся ком­паний, домены которых теперь дос­тупны для покуп­ки.

Эк­сперт объ­ясня­ет, что в Google OAuth есть claim «sub», приз­ванный обес­печить уни­каль­ный и неиз­меня­емый ID для каж­дого поль­зовате­ля и слу­жащий для иден­тифика­ции поль­зовате­лей, нев­зирая на воз­можную сме­ну домена или адре­са элек­трон­ной поч­ты. Одна­ко обыч­но коэф­фици­ент несо­ответс­твия sub сос­тавля­ет лишь 0,04%, что вынуж­дает такие сер­висы, как Slack и Notion, пол­ностью игно­риро­вать его и полагать­ся исклю­читель­но на claim’ы элек­трон­ной поч­ты и домена.

Со­ответс­твен­но, claim элек­трон­ной поч­ты при­вязан к email-адре­су поль­зовате­ля, а claim домена — к вла­дению кон­крет­ным доменом. В ито­ге оба могут быть унас­ледова­ны новыми вла­дель­цами домена, которые могут выдать себя за быв­ших сот­рудни­ков некой ком­пании на SaaS-плат­формах.

В качес­тве решения этой проб­лемы спе­циалис­ты пред­лага­ют Google внед­рить неиз­меня­емые иден­тифика­торы, а имен­но уни­каль­ный и пос­тоян­ный ID поль­зовате­ля и уни­каль­ный ID рабочей сре­ды, при­вязан­ный к кон­крет­ной орга­низа­ции.

SaaS-про­вай­деры так­же могут при­нять допол­нитель­ные защит­ные меры, нап­ример исполь­зовать перек­рес­тные про­вер­ки для дат регис­тра­ции доменов, внед­рить при­нуди­тель­ное одоб­рение дос­тупа к учет­ным записям на уров­не адми­нис­тра­тора или исполь­зовать вто­рич­ные фак­торы для про­вер­ки лич­ностей.

• В Рос­комнад­зоре (РКН) рас­ска­зали, что в 2024 году сис­тема «Антифрод» про­вери­ла око­ло 158 мил­лиар­дов вызовов и пре­дот­вра­тила поч­ти 606 мил­лионов звон­ков с под­менных номеров. За 2023 год сис­тема про­вери­ла око­ло 102,4 мил­лиар­да вызовов и пре­дот­вра­тила более 756,7 мил­лиона ана­логич­ных звон­ков.
  


• По информа­ции РКН, на сегод­ня к «Антифро­ду» под­клю­чено 1162 телеко­мопе­рато­ра, которые кон­тро­лиру­ют 99,6% номер­ной емкости. При­чем за про­шед­ший 2024 год к сис­теме при­соеди­нилось более 600 опе­рато­ров телефон­ной свя­зи.
  


• Как отме­тили пред­ста­вите­ли «Мегафо­на», количес­тво звон­ков с под­меной номера ста­ло падать: в янва­ре 2024 года было заб­локиро­вано 36 мил­лионов таких звон­ков, а в декаб­ре этот показа­тель сни­зил­ся до 6 мил­лионов.
  

Воровство через NFC

Спе­циалис­ты FACCT пре­дуп­редили, что Android-мал­варь, экс­плу­ати­рующая воз­можнос­ти опен­сор­сно­го при­ложе­ния NFCGate и NFC, уже похити­ла у кли­ентов рос­сий­ских бан­ков не менее 40 мил­лионов руб­лей. Иссле­дова­тели прог­нозиру­ют рост подоб­ных атак на 25–30% еже­месяч­но.

На­пом­ним, что мы уже не раз рас­ска­зыва­ли (1, 2) о бан­ков­ском тро­яне NGate, который впер­вые попал в поле зре­ния ИБ‑экспер­тов осенью 2023 года, ког­да начали появ­лять­ся сооб­щения об ата­ках на кли­ентов круп­ных чеш­ских бан­ков.

Мал­варь NGate пред­став­ляет собой вре­донос­ную модифи­кацию опен­сор­сно­го при­ложе­ния NFCGate, в 2015 году соз­данно­го сту­ден­тами Дарм­штадтско­го тех­ничес­кого уни­вер­ситета и пред­назна­чен­ного для отладки про­токо­лов переда­чи NFC-дан­ных. При­ложе­ние под­держи­вает мно­жес­тво фун­кций, но наиболь­ший инте­рес для зло­умыш­ленни­ков пред­став­ляет воз­можность зах­вата NFC-тра­фика при­ложе­ний и переда­ча его на уда­лен­ное устрой­ство, которым может выс­тупать или сер­вер, или непос­редс­твен­но смар­тфон ата­кующе­го.

Как ранее объ­ясня­ли спе­циалис­ты ком­пании «Док­тор Веб», бан­кер уже нес­коль­ко месяцев ата­кует рос­сий­ских поль­зовате­лей. Прес­тупни­ки модифи­циро­вали код NFCGate, добавив к нему интерфей­сы с айден­тикой финан­совых орга­низа­ций, и вклю­чили режим рет­ран­сля­ции NFC-дан­ных. Кро­ме того, в сос­тав при­ложе­ния вклю­чена биб­лиоте­ка nfc-card-reader, которая поз­воля­ет хакерам уда­лен­но получать номер кар­ты и срок ее дей­ствия.

Как теперь сооб­щили ана­лити­ки FACCT, в декаб­ре 2024-го и янва­ре 2025 года было зафик­сирова­но не менее 400 атак на кли­ентов рос­сий­ских бан­ков, а сред­няя сум­ма спи­сания сос­тавля­ла око­ло 100 тысяч руб­лей.

Ата­ки на рос­сий­ских поль­зовате­лей про­ходят в два эта­па. Вна­чале все выг­лядит как рядовое телефон­ное мошен­ничес­тво. Жер­тву убеж­дают в необ­ходимос­ти уста­нов­ки спе­циаль­ного мобиль­ного при­ложе­ния под пред­логом «защиты» бан­ков­ской кар­ты, взло­ма лич­ного кабине­та «Госус­луг», прод­ления догово­ра сотовой свя­зи, замены медицин­ско­го полиса, опла­ты услуг ЖКХ, тре­бова­ний безопас­ности, под­твержде­ния лич­ности и так далее.

Внеш­не такое при­ложе­ние будет похоже на легитим­ное при­ложе­ние бан­ка или госс­трук­туры, но на самом деле явля­ется мал­варью на осно­ве NFCGate. Так, спе­циалис­ты обна­ружи­ли более 100 уни­каль­ных образцов мал­вари, замас­кирован­ной под при­ложе­ния популяр­ных гос­серви­сов, ЦБ РФ, Федераль­ной налого­вой служ­бы и так далее. Наз­вания фей­ковых при­ложе­ний приз­ваны вызывать доверие поль­зовате­ля: «Защита карт ЦБ РФ», «ЦБРе­зерв+», «Госус­луги Верифи­кация», «Сер­тификат Безопас­ности».

Пос­ле уста­нов­ки вре­донос­ного при­ложе­ния на устрой­ство жер­твы зло­умыш­ленни­ку пос­тупа­ет сиг­нал о готов­ности к обме­ну дан­ными. Тог­да мал­варь пред­лага­ет жер­тве прой­ти верифи­кацию, для которой яко­бы нуж­но при­ложить бан­ков­скую кар­ту к обратной сто­роне смар­тфо­на.

Ког­да поль­зователь прик­ладыва­ет кар­ту к NFC-модулю, дан­ные момен­таль­но переда­ются на смар­тфон зло­умыш­ленни­ка. В некото­рых слу­чаях при­ложе­ние так­же пред­лага­ет ввес­ти PIN-код кар­ты, и эта информа­ция тоже отправ­ляет­ся прес­тупни­ку.

Пос­ле это­го, если зло­умыш­ленник уже находит­ся воз­ле бан­комата и его смар­тфон при­ложен к NFC-дат­чику, оста­нет­ся толь­ко ввес­ти получен­ный от жер­твы PIN-код, что­бы похитить средс­тва с кар­ты.

Но кра­жа может про­изой­ти не сра­зу: NFCGate поз­воля­ет сох­ранить дан­ные бан­ков­ской кар­ты жер­твы и вос­про­извести их поз­же, нап­ример для токени­зации кар­ты и покуп­ки в магази­не. Если поль­зователь не заб­локиру­ет кар­ту пос­ле пер­вого инци­ден­та, хакеры могут спи­сывать день­ги неод­нократ­но.

Спе­циалис­ты FACCT рас­ска­зыва­ют, что изу­чили сер­верную инфраструк­туру зло­умыш­ленни­ков, поз­воля­ющую осу­щест­влять при­ем и хра­нение укра­ден­ных дан­ных. Так­же уда­лось обна­ружить сер­верное ПО, которое поз­воля­ет собирать уни­каль­ные вре­доно­сы на осно­ве NFCGate под кон­крет­ные ата­ки.

Ис­сле­дова­тели выяс­нили, что прес­тупни­ки намере­ны в бли­жай­шее вре­мя добавить мал­вари новые фун­кции, которые поз­волят перех­ватывать SMS и push-уве­дом­ления, пос­тупа­ющие на устрой­ства жертв. Кро­ме того, похоже, зло­умыш­ленни­ки собира­ются рас­простра­нять мал­варь на осно­ве NFCGate по модели Malware-as-a-Service («Вре­донос‑как‑услу­га»).

• 
  Ис­сле­дова­тели перех­ватили кон­троль над 4000 бэк­доров
  


• 
  Баг в UEFI Secure Boot дела­ет сис­темы уяз­вимыми для бут­китов
  


• 
  Суд зап­ретил рос­сий­ским телека­налам судить­ся с Google
  


• 
  Уяз­вимос­ти поз­воляли отсле­живать все перед­вижения вла­дель­цев Subaru
  


• 
  18 000 скрипт‑кид­ди зараже­ны бэк­дором через бил­дер XWorm RAT
  


• 
  Фаль­шивая CAPTCHA в Telegram вынуж­дает запус­кать вре­донос­ные скрип­ты
  


• 
  Cloudflare помога­ет опре­делить мес­тополо­жение поль­зовате­лей
  


• 
  Фаль­шивый Homebrew заража­ет сти­лером машины под управле­нием macOS и Linux
  


• 
  Кра­улер OpenAI ChatGPT мож­но исполь­зовать для DDoS-атак
  


• 
  Вре­донос­ная рек­лама в Google помога­ет уго­нять акка­унты Google Ads
  

• При­над­лежит ком­пании Meta, деятель­ность которой приз­нана экс­тре­мист­ской и зап­рещена на тер­ритории РФ.