Пример СИ | Фишинг-атаки на биржу Codex.

Основатель криптовалютной биржи Codex и CEO Attic Lab Сергей Васильчук едва не стал жертвой фишинговой атаки, которую злоумышленники пытались провести под видом сотрудника редакции ForkLog.

8 августа Сергей Васильчук получил в Telegram сообщение от пользователя с ником Vlad Artemov, представившегося сотрудником редакции ForkLog (здесь и далее орфография и пунктуация авторская):

Добрый вечер, Сергей! Меня зовут Влад Артемов и я представляю интересы компании ForkLog. Ваши контакты мне были любезно предоставлены Вашим саппортом. Мы бы хотели разместить пост с обзором вашего сайта на нашем новостном ресурсе. ForkLog — самое крупное русскоязычное интернет-издание о криптовалютах и блокчейне, что гарантирует успех нашим клиентам. Хотелось бы обсудить с Вами детали нашей статьи — я с радостью отвечу на все Ваши вопросы в любое удобное для Вас время. С Уважением, Артем, команда ForkLog

Обратите внимание, что злоумышленник в одном письме представился сразу двумя именами.

Однако, по словам Васильчука, он не придал особого значения этому сообщению, так как в этот момент маркетинговый отдел его компании действительно взаимодействовал с ForkLog по ряду публикаций. В конечном итоге он ответил «нашему сотруднику»:

Влад приветствую, я знаю Forklog с тех пор когда Каплан еще сам был. У нас есть группа , в которой человек 5 из Форклога и там же наш CMО

Спустя сутки, 9 августа, Влад-Артем прислал ответное сообщение:

Добрый вечер, Сергей! Мы все обсудили с Александром. Я отправлю Вам ссылку на онлайн просмотр статьи о Вашей компании по готовности. Благодарю Вас за сотрудничество.

13 августа он написал следующее:

Здравствуйте, Сергей! Напишите, пожалуйста, когда вы будете за компьютером, чтобы Вам было удобно принять ссылку на онлайн просмотр. Я смогу отправить сегодня в любое, удобное для Вас время.

Васильчук продолжил игнорировать сообщения от Влада-Артема, ожидая, когда CMO Codex даст ему отмашку, однако «новичок» не сдался и 16 августа начал давить на жалость и перешел в активную стадию атаки:

Сергей, мне была поставлена задача получить именно Ваше одобрение. После того, как Вы просмотрите, я смогу отправить и Александру. Возможно так проверяют стажера — на выполение поставленного задания. Я надеюсь на Ваше понимание.

Вот ссылка на онлайн просмотр: https://forklo*****s.com И вот Ваш id для просмотра: 1703fc35dd531259e71f99aa4caa595c777b3261

Решающий момент

«В это время я находился в ожидании рейса, решил посмотреть, что там «бедняга» сочинил, размышляя о странностях кадровой политики ForkLog. Открываю ссылку, вижу какую-то странную страницу с предложением «ввести хеш для расшифровки документа»… Ввожу, и тут браузер начинает запрашивать у меня не совсем характерные операции.

Тут мое терпение заканчивается, решаю высказать свое негодование ForkLog, что приводит меня в чувство, я заново анализирую всю историю от начала до конца и понимаю, что такое поведение нетипично для редакции, которую я знаю с самых истоков. Спрашиваю у настоящего ForkLog о необычном стажере, и ответ ставит все на свои места. Быстро отключаю ноутбук от интернета, закрываю браузер и сообщаю о произошедшем ответственным за безопасность биржи Codex. В течение считанных минут информация доносится до бирж Kuna и Hacken, которые также незамедлительно принялись за анализ инцидента, за что выражаю им огромную благодарность».

Технические подробности атаки

Скрипт эксплуатирует developer friendly подход MacOS и невнимательность жертвы. Под видом расшифровки документа он устанавливает бэкдор в системные службы операционной системы и ждет команд с удаленного сервера.

«Наш специалист по безопасности исследовал этого трояна и я пришел в ужас от его потенциальных возможностей — злоумышленник получал полный контроль над машиной, включая управления такими системными службами, как KeyChain… Другими словами — получал доступ к паролям и даже сертификатам, не говоря о файловой системе, почте и мессенджерах», — отметил Васильчук.

Внутреннее расследование показало, что для атаки использовалось ранее известное решение EmPyre с открытым исходным кодом. EmPyre — клиент-серверная платформа, написанная на Python и позволяющая (в данном случае с помощью AppleScript) установить в систему агент-имплант.

Весь процесс атаки можно описать следующим образом:

1. Жертва переходит на фишинговый сайт, где ей предлагается выполнить действие, для которого необходим запуск скрипта AppleScript, являющегося «загрузчиком» и состоящего из двух стадий;
2. Во время второй стадии из сервера (193.187.174.229) загружается «сборщик информации», необходимой для создания уникального (!) для каждой атакуемой системы агента;
3. Загрузчик обращается к серверу, получая код агента, генерируемый для каждой атакуемой системы отдельно. Серверу передается следующая информация о системе: версия ядра, логин текущего пользователя, IP-адреса сетевых интерфейсов, PID загрузчика;
4. Агент устанавливает в системе Listener, который обращается к серверу за очередью дальнейших команд.

Среди «предопределенных» команд можно выделить следующие:

• Дамп всех данных любого из браузеров (история, сессии, учетные данные и т.д.);
• Постоянный перехват данных буфера обмена;
• Keylogger;
• Скриншотинг;
• Дамп OS X Keychain и хешей паролей к нему;
• Дамп iMessage;
• Доступ к веб-камере;
• Загрузка фейкового скринсейвера, запрашивающего логин/пароль к системе жертвы.

Платформа также позволяет атакующей стороне реализовать и свой набор модулей, предоставляя для этого API.

Примечательно также то, что все общение клиент-сервер происходит в зашифрованном (AES) виде на уровне отправляемых пакетов. Также каждое сообщение имеет HMAC-подпись.

Агент имеет в своей реализации режим работы «только в рабочие часы», а также функцию самоуничтожения, которая может быть задана как датой заранее, так и командой с управляющего сервера.

Имплант в системе может быть обнаружен присутствием файла ~/.Trash/.mac-debug-data(по умолчанию).

«Признаюсь честно, меня эта ситуация испугала, — говорит Сергей Васильчук. — Я осознал, насколько недооценивал угрозу социального инжиниринга, и понял, насколько уязвимы внешне «неприступные» современные IT-системы. Я не стал жертвой, так как вовремя среагировал, но наживку все-таки проглотил».

Social Engineering - Канал посвященный психологии, социальной инженерии, профайлингу, НЛП, Хакингу, Анонимности и безопасности в сети интернет, Даркнету и все что с ним связано. Добро пожаловать ;-)

S.E.Book - Литература социального инженера.

@Social_Engineering_bot - Бот обратной связи.

1. Социальная Инженерия | Фишинг в Андроид | Читаем Whatsapp.
2. Наведение на мысль.
3. Exploiting / PWN.
4. Создаём Evil архив | WinRAR Path Traversal
5. НЛП. Как противостоять манипуляциям?