Эксперт обнаружил новую фишинговую кампанию и несколько дыр на сервере хакеров

Тема в разделе "Новости IT | Hi-Tech", создана пользователем Dobroe_Utro, 10 июл 2016.

  1. Dobroe_Utro

    Dobroe_Utro Публикатор

    Регистр:
    12 май 2016
    Сообщения:
    179
    Репутация:
    44
    Баллы:
    30
    Пол:
    Мужской
    пециалисты Internet Security Center заметили появление новой, достаточно странной фишинговой кампании. Мошенники предлагают пользователям авторизоваться на сайте: ввести свои данные нужно в безымянную форму, отображаемую поверх размытого изображения неизвестного документа Office. Расследование привело исследователей к бразильскому серверу, который совсем не похож на сторонний взломанный ресурс, как это обычно бывает с C&C серверами фишинговых сайтов.

    О странной фишинговой компании и уязвимом сервере хакеров рассказал специалист ISC Ксавье Мертенс (Xavier Mertens). Он пишет, что новая кампания атакует пользователей посредством классических фишинговых писем, к которым приложено размытое изображение некоего документа. Чтобы просмотреть «документ» в нормальном виде пользователям предлагают пройти по ссылке в конце письма.

    Ссылка ведет на сайт злоумышленников, который вызвал у эксперта искреннее недоумение. Совершенно неясно, на какие именно данные нацелились операторы этой кампании. Страница сайта использует в качестве фона всю ту же нечеткую картинку с документом, а поверх нее отображается форма ввода логина (email) и пароля. Какие именно данные должна вводить жертва, от какого сервиса, совершенно неясно.

    «Странность в том, что абсолютно непонятно, какие учетные данные нужны [злоумышленникам]: учетные записи Google, Microsoft или логины и пароли от корпоративных аккаунтов? — пишет Мертенс. — Секрет успеха эффективного фишинга заключается в том, чтобы взять жертву за руку и “заставить” ее добровольно раскрыть конкретные данные».

    Также вскоре исследователь понял, что сервер атакующих сконфигурирован неверно. Это позволило Мертенсу получить доступ ко всем файлам на хостинге и изучить их. Эксперт пишет, что для создания размытого изображения документа, атакующие просто использовали картинки в низком разрешении (примерно 300х200 пикселей) и нарочито растягивали их до больших размеров. На изображение наложена JS-форма ввода логина и пароля, но при этом атакующие проверяют легитимность введенного адреса почты. Если жертва попытается скормить сайту несуществующий или откровенно поддельный email, в ответ сервер сообщит об ошибке.

    Если жертва ввела адрес настоящего почтового ящика, то на почтовый адрес самих злоумышленников будут переданы следующие данные о доверчивом пользователе: email, пароль, информация GeoIP, данные user-agent, FQDN и IP-адрес.

    Однако на этом атака не заканчивается. Вторая страница фишингового сайта (phone.php), на которую переходит пользователь после ввода учетных данных, запрашивает номер телефона. Если жертва предоставит и эту информацию, данные также будут отправлены на почту злоумышленников. Мертенс пишет, что операторы кампании используют два почтовых ящика для получения украденных данных: один на Gmail, второй на Inbox.ru.

    Продолжив изучение, специалист обнаружил и забавную низкоуровневую уязвимость: на сервере присутствовал PHP-скрипт imp.php, который занимается созданием копий материалов в новых директориях. Имя директории основывается на комбинации случайных чисел, конвертированных в base64 и хешированных. Если автоматизировать обращения к этому скрипту, можно утопить файловую систему сервера в тысячах новых и новых директорий.