Security Week 11: трояни на iOS без джейлбрейка, витік в American Express, крадіжка учеток Steam

На цьому тижні відбулося наступне:
— Дослідники Palo Alto розкрили досить складну з технічної точки зору, але діючу схему протягування шкідливих програм на айфони і айпади без використання джейлбрейка. Хоча методу не судилося стати масовим, він ще раз показує, що захист у Apple хороша, але якщо її все-таки пробити, то далі ніяких проблем у зловмисника не буде.
— У American Express вкрали дані через підрядника. Деталі компанія не розкриває, але судячи по всьому пішли і номери кредитних карт. Скарбничка з історіями про злом контрагентів вже переповнилась і скоро лопне.
— Експерти «Лабораторії» поділилися інформацією про методи крадіжки ігрових акаунтів, насамперед у Steam. Незважаючи на гадану несерйозність даного напрямку, на перепродажі крадених «ніштяків» заробляють великі гроші.
Попередні випуски доступні по тегу. Бонус до сьогоднішнього випуску — неймовірні стокові фото киберженщины з качаном.

Шкідливе ПО для iOS: джейлбрейк не потрібен, лежить було в App Store, атакує жителів Китаю
Новость. Исследование Palo Alto.

Які можливості є у власника пристрою на базі iOS, якщо він хоче встановити додаток в обхід магазину додатків? Варіантів не так вже й багато — небудь джейлбрейк пристрою (тобто досить складна операція, що вимагає мінімальних технічних навичок), або встановлення програми з допомогою корпоративного сертифіката. Як з'ясували дослідники з Palo Alto, є і третій спосіб — установка програми через iTunes. Точніше використовується механізм, який по ідеї дозволяє просто купити і завантажити додаток з магазину на комп'ютер, і потім записати його на телефон під час синхронізації. Як з'ясувалося, цей метод навчилися експлуатувати, щоб пропхати на невзломанные айфони шкідливе ПО.

Технологія вийшла досить складна. Не «складна як Stuxnet», а в сенсі необхідності великої кількості кроків для досягнення мети. Ще в 2014 році китайським користувачам айфонів пропонувалося встановити утиліту, яка виконує якісь сервісні завдання: джейлбрейк, переустановка легітимною прошивки, «почистити реєстр» і все таке. Спочатку функціональність програми цим і обмежувалася, але в минулому році вона почала підкидати користувачам самий справжній троян. Ця функціональність була реалізована у вигляді програми для iOS, яка, на хвилиночку, організаторам атаки вдалося протягти в App Store.



Як? Дуже просто: додаток прикидывалось каталогом красивих картинок, але при запуску відправляла запит на сервер. В залежності від розташування йому показувались різні речі: якщо він був будь-якій іншій країні, крім Китаю, то демонструвалися ті самі картинки. Якщо користувач з Китаю — йому показувався сторонній магазин додатків, в якому можна було встановити на пристрій піратські програми та ігри. В «обмін» у користувача крали його особисті дані, наприклад — логін і пароль від аккаунта iTunes. Такий трюк дозволив обійти перевірку Apple при подачі додатки: під час такої перевірки сервер завжди міг видавати команду на демонстрацію картинок.

Ну ок, знайшли шкідливий додаток, видалили, все добре. Не зовсім. Як з'ясувалося, апп можна ставити без попиту при синхронізації з комп'ютером, експлуатуючи той самий механізм трансферу програм. І не обов'язково, щоб програма була в App Store, необхідно тільки, щоб вона хоч коли там була. Це пояснює досить дивний момент, що додаток було розміщено розробником в американському магазині додатків, хоча спрямоване воно ніби на китайську аудиторію. Тобто у Китаї його отримували по інших каналах.



Виходить, що тут мова йде не тільки про одиничному факті завантаження трояна в App Store. А про експлуатацію «обхідного методу» завантаження додатків, яка можлива прямо зараз, незважаючи на блокування додатків. Якщо ви живете не в Китаї або навіть якщо ви в Китаї, але не користуєтеся сумнівним софтом, то проблем немає. Питання в тому, що якщо (або коли) в iOS знайдеться дійсно серйозна дірка, не факт, що у Apple будуть технічні можливості зупинити шкідливі програми, які змогли нею скористатися. Захист у iOS хороша, але вона, по суті, являє собою красивий і міцний паркан. Як бачите, паркан взагалі не обов'язково ламати, досить обійти. А ось після цього практично ніякого захисту немає.

У American Express вкрали дані через підрядника
Новость.

У емітента кредитних і дебетових карт вкрали дані! Який жах! Терміново виходимо в кеш. У компанії American Express цього тижня стався серйозний інцидент, але не такий. Новина скоріше про те, як не треба розкривати інформацію про витоках. AmEx розповсюдила лист своїм клієнтам, повідомивши їх про витік даних, але на сайті компанії знайти його неможливо. У самому листі майже не розкриваються деталі. Неназваний підрядник був зламаний ще три роки тому, в процесі витекли номери рахунків, дата закінчення терміну дії картки, імена і прізвища — загалом достатньо для масового фроду.



Оцінити масштаб катастрофи складно, і небажання AmEx розкривати деталі навряд чи додасть спокою клієнтам. Швидше за все була зламана торгова точка — тобто повторилася історія з Target і іншими великими компаніями, у яких забрали дані. Злом підрядників або контрагентів — це нова головний біль великих компаній. Майже у всіх випадках партнери мають більш широкий доступ до внутрішньої інформації компанії, або як мінімум користуються великою довірою, що і експлуатують кіберзлочинці.

Steam Stealer поширюється по партнерській програмі, краде облікові записи і призводить до реальних збитків
Новость. Исследование «Лабораторії»



Наші дослідники провели детальний аналіз безпеки популярної ігрової платформи Steam і знайшли кілька цікавих нововведень. За офіційними даними від Steam, в середньому можна викрасти 77 тисяч акаунтів кожен місяць. Мета зловмисників зрозуміла — доступ до особистих даних у записі, включаючи (можливо) дані кредитної карти, можливість перепродажу як ігрових досягнень, так і самих облікових записів. За нашими оцінками, за одну учетку Steam на чорному ринку дають до 15 доларів. Як це робиться, показано на прикладі трояна Steam Stealer.



По ньому можна оцінити якісь нові тенденції в індустрії вірусонаписання. Традиційно такі трояни поширюються на форумах, на підроблені сайти «скачай гру безкоштовно» або разом з легальними ігровими утилітами — різними програмами для скріншотів, конференц-зв'язку (вибачте, тимспика) та іншого. З новенького можна додати спроби поширення у вигляді розширень для браузерів, підробку сайтів азартних ігор, поширення через троянців віддаленого доступу (спочатку ламаємо систему взагалі, а потім завантажуємо інструмент для крадіжки облікового запису). Крадіжка ігрових учеток дійсно може вважатися авангардом технологій для атак на користувачів. Адже тут злочинцям доводиться мати справу зовсім не з домогосподарками, а з цілком просунутими користувачами, яких ввести в оману набагато складніше. Але тим не менш можливо.

Що ще сталося:
Резонансне исследование Trend Micro про злом інтимних іграшок.

Malwertising або впровадження шкідливого коду в рекламні банери — один з найпростіших способів «заразити» великий сайт, який безпосередньо не зламаєш. Як з'ясувалося, троян-шифрувальник TeslaCrypt один час распространялся на таких сайтах як AOL.com та інших майданчиках з мільйонним трафіком.

Важливий патч для OpenSSH, знайшли вразливість функції X11Forwarding.

Через злом ЦБ Бангладешу намагалися вкрасти дуже багато грошей, але все вкрасти не встигли — завадила помилка в платіжному дорученні.

Давнину:
«Victor-2442»

Дуже небезпечний резидентний вірус. Стандартно вражає .COM і .EXE-файли. У 9, 11, 13 та 15 годин з системного часу знищує випадково вибрані файли. Містить тексти: ".*.*", «COMEXE», «Victor V1.0 The Incredible High Performance Enhanced Virus versions available soon. This program was imported from USSR. Thanks to Ivan.». Перехоплює int 21.

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 93.

Disclaimer: Дана колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.