SCAM-Research + Советы по безопасности

Навигация:

Для того, чтобы заразить целевую машину необходимо обязательно скачать какой-то «.exe» файл и выполнить его от администратора

Нет, не нужно. И, кстати, никто больше не доставляет вирусы таким способом.

• Эксплоит браузера
• Уязвимость в расширении

• Через уязвимость в мессенджере (Discord/Telegram), к примеру — открытие картинки
• Уязвимость в приложении (к примеру, WinRAR CVE-2023-40477)

• Через выполнение JS-скрипта внутри «.PDF»

От: *** (Richard M. Smith)
To:	 <***>
Тема: Файлы Adobe PDF могут использоваться в качестве носителей вирусов
Date:	 Tue, 7 Aug 2001 11:44:20 -0400

Здравствуйте,

Это интересное событие.  Zulu, вирусописатель из Южной
Америки, похоже, обнаружил, что файлы Adobe PDF могут использоваться для переноса компьютерных вирусов.
компьютерных вирусов.  Подробности приведены в прилагаемом описании.
Его маленькая хитрость использует PDF-файл для обхода новой функции безопасности Outlook, которая автоматически удаляет опасные вложения файлов.
Outlook, которая автоматически удаляет опасные вложения.  С помощью
Эта функция безопасности удаляет все вложения с VBScript, поскольку они
поскольку они могут быть компьютерными вирусами.  Однако с помощью трюка Zulu вредоносный
VBScript-файл может быть спрятан в PDF-файле, который Outlook считает безопасным.
считает безопасным.

Я не верю, что положения DCMA о борьбе с исследованиями в области безопасности и обратным проектированием
положения DCMA, но, учитывая недавние действия Adobe в отношении Дмитрия Склярова, я считаю, что это не так.
против Дмитрия Склярова, я рекомендую проявлять некоторую осторожность всем, кто изучает эту потенциальную проблему безопасности в Adobe Acc.
с этой потенциальной проблемой безопасности в Adobe Acrobat Reader.  A
возможно, будет разумно поговорить с юристом.

Еще один интересный вопрос - могут ли электронные книги в формате Adobe также выступать в качестве носителей компьютерных вирусов?
в качестве носителей компьютерных вирусов.

Ричард М. Смит
технический директор, Privacy Foundation
http://***

Червь на языке VBScript. Он использует OUTLOOK для отправки себя в файле PDF (portable document format).
PDF (portable document format) файл (впервые
использование этого типа файлов).
При открытии с помощью Acrobat он показывает изображение с мелкой игрой.
Показ решения этой
игры заключается в двойном щелчке на аннотации к файлу, который после
после предупреждения будет запущен файл VBS,
VBE или WSF (в зависимости от версии червя).
VBScript-файл создаст и покажет JPG-файл с решением игры, а также попытается отобразить его на экране.
игры и попытается
найти PDF-файл для его распространения. Это необходимо, поскольку при
используется ссылка, Acrobat
создаст файл VBS, VBE или WSF во временном каталоге Windows и
и запустит этот файл,
поэтому этот файл VBScript не знает пути к распространяемому PDF-файлу.
Затем он запустит код распространения, используя способ использования OUTLOOK, не встречавшийся ранее ни в одной программе.
не встречавшийся ранее ни в одном
червя (подробности распространения можно найти в разделе возможностей этого
файла).
Пароль для изменения параметров безопасности PDF-файла имеет следующий вид
"OUTLOOK.PDFWorm".
Этот червь предназначен для проверки концепции, он имеет плохие возможности распространения
возможности распространения, только
необходимые для того, чтобы называться червем. Кроме того, поскольку аннотации к файлам доступны только
доступны только в полной
Акробат, этот червь не будет работать в Acrobat Reader.

Особенности:

- Использует расширение PDF, не встречавшееся ранее ни в одном вирусе/черве.
- OUTLOOK распространяется с использованием нового кода, а не классического кода Мелиссы и его вариаций, таких как
его вариации, как
  например, от Freelink.
  Этот новый метод позволяет получить адреса получателей всех писем
в любой папке OUTLOOK
  и из всех записей адресной книги (но при этом берутся первые три
адреса каждого контакта, а не
  только первый, как в большинстве червей OUTLOOK).
  Этот новый метод основан на возможности получения контактов из
папки OUTLOOK вместо того, чтобы
  а не использовать объекты, предназначенные для чтения адресных книг. Таким образом, код будет
заглянет во все папки OUTLOOK
  и если элементы в них являются письмами или контактами, то он получит эти адреса.
получит эти адреса.
  Тема, тело и имя вложения будут выбраны из некоторого случайного набора
вариантов. Кроме того, программа
  ограничение количества писем до 100.
  Программа будет запущена только один раз на каждом компьютере, так как она использует реестр
для проверки того, был ли он
  уже запущен.
- Хорошая социальная инженерия. Я даже думаю, что этот PDF-файл будет
вручную отправят многие из
  пользователей, которые не устают посылать глупые шутки :).
- Чтобы найти PDF-файл, если установлен Word, он будет использовать его для поиска.
поиск, если Word не установлен

 установлен, он будет искать файл с помощью кода VBScript, ища его по
многих общих путях и
  всех подкаталогах этих путей. Оба метода будут искать PDF
файлы, размер которых
  схожим с размером оригинальной копии червя.
- Использует кодировку скриптов (в версиях 1.1 и 1.2).
- При запуске VBScript-файл показывает JPG-файл, поэтому он будет показывать то, что ожидает пользователь.
что ожидает пользователь.

Общая информация:

Я начинал другой проект, гораздо более крупный и с хорошими возможностями по распространению
возможностями. Но этот проект
сильно затянулся из-за проблем со временем, поэтому я решил попробовать сначала с файлами PDF
файлами, а затем
продолжить работу с другим червем, когда у меня появится время.
Я увидел четыре возможности:

- Использование JavaScript с методом "mailMsg".
  Это сработает только в полной версии Acrobat.
  Используя метод "mailMsg" (который использует MAPI), я мог бы послать сообщение электронной почты, когда
сообщение по электронной почте, когда
  открытии документа (действие открытия страницы).
  Но проблема заключалась в том, что я не мог получить адреса электронной почты, на которые можно было бы отправить сообщение.
отправить сообщение.
- Используя меню Acrobat.
  Это работает только в полной версии Acrobat.
  Я мог бы использовать пункт меню "Отправить почту...", вызывая его при
открытии документа (открытие страницы
  действие). При этом будет открываться окно почтового клиента по умолчанию с
уже добавленным вложением
  добавленным вложением.
  Здесь проблема заключалась в том, как передать необходимые ключи для отправки
сообщение, которое уже было
  открыто в этом окне.


- Используя действие open file.
  Оно будет работать в Acrobat и в Acrobat Reader. При этом выводится предупреждение.
  Создав действие открытия файла при открытии документа, я мог бы
запустить любой файл с любым
  кодом внутри него.
  Но проблема заключалась в том, что у меня не было файла для запуска. Этот метод может работать
для трояна, запускающего
  "FORMAT.COM", но не для червя.
- Использование аннотации к файлу.
  Этот способ работает только в полной версии Acrobat. При этом выводится
предупреждение.
  Создав файловую аннотацию с моим файлом, встроенным в PDF-файл, я
Я могу запустить свой код.
  Acrobat создаст встроенный файл во временном каталоге и
запустит файл
  оттуда.
  При этом возникали две проблемы. Первая заключалась в знании пути к PDF-файлу.
решалась поиском
  файла на жестком диске, поскольку поиск в имени задачи дал бы только
даст только имя файла, а не
  полный путь. Другая проблема заключается в том, что невозможно открыть
аннотацию к файлу
  автоматически при открытии PDF-файла, поскольку для этого не предусмотрено никаких действий.
для этого, и, похоже что нет возможности получить файл с помощью JavaScript-кода, поэтому необходимо, чтобы
необходимо, чтобы пользователь вручную дважды щелкал по аннотации к файлу. Эта последняя проблема
не была решена.

В общем, суть эксплуатации всех вышеперечисленных уязвимостей заключается в доставке на целевую машину бинарного файла (исполняемого файла) или dll-библиотеки (Windows).

Это можно сделать через:

• Выполнение JS-скрипта в зараженном расширении браузера, у которого есть на это соответствующее разрешение (таких около 17 000)
• Выполнение Curl-запроса в Linux/Mac
• Выполнение JS/VBS/PS1/BAT/CMD скрипта в Windows, который не обязательно загружать напрямую, он может работать в фоновом режиме.

Уже созданы целые группы с жертвами, в которых собрались пользователи различных операционных систем, пользователи «антидетект-браузеров» и обычные мультиаккеры, не использовавшие никаких скриптов.

Я так понял, что никто ничего не понял и не нашёл связи между пользователями Mac/Windows/Linux. Искать связь нужно было не в системе, а в посещаемых общих сайтах.

Как оказалось, секрет аферы заключался в безобидном сайте проверки активности в сети zkSync Era (их может быть несколько, так что это еще не конец истории).

Пообщавшись с несколькими жертвами, я собрал примерно четыре разных трояна:

Суть доставки довольно проста: делается запрос на удаленный сервер и загружается зараженная dll-библиотека для замены системных выборочных библиотек:

• User32.dll
• scrobj.dll

Это может быть абсолютная любая служба, системный процесс или даже компонент вашего «антидетект-браузера» с 1000+ аккаунтов

Также были подозрения, что активировав Windows через сторонний KMS-сервер, можно было подцепить вирус. Это не так, поскольку для активации используется встроенная служба Windows, которая просто посылает запрос на валидацию на сторонний kms-сервер. Но я не говорю о случаях, когда пользователь скачивает *.exe-файл kms-активатора, это уже другая история.

Универсального способа защиты как такового не существует, особенно от неграмотного пользователя.
Но стоит отметить, что это не просто троян, а хорошо организованное мошенничество с помощью полезного инструмента

Но по многочисленным просьбам ещё раз перечислим то чего нельзя делать на рабочей машине (операционная система значения не имеет):

• Хранить приватные ключи в Google-таблицах, будучи авторизированным в браузере с аккаунта.
• Хранить приватные ключи в избранном в Telegram
• Хранить приватные ключи в заметках VK
• Хранить приватные ключи в открытом виде в txt-файле
• Устанавливать взломанный софт с ноунейм-сайтов
• Скачивать торренты
• Использовать Яндекс-браузер
• Открывать .PDF от ноунеймов (и не только)
• Ставить левые расширения рядом с криптокошельком
• Использовать простой пароль для открытия криптокошелька
• Открывать RAR-архивы без проверки на вирусы
• Скачивать файлы через Discord или любой другой мессенджер
• Переходить на неизвестные сайты
• Использовать «антидетект-браузер» (были прецеденты утечки БД и поддельных расширений в магазине)
• Не пользоваться закрытым софтом для прогона аккаунтов, если вы не понимаете как он работает или не уверены в авторе.
• Не пользоваться открытым софтом для прогона аккаунтов, если вы в нем не уверены.

• Если вы обычный пользователь, то стоит использовать антивирус
• Не используйте учетную запись root/администратора
• Используйте VPN, желательно свой (устанавливается одной командой)
• Используйте Cloudflare DNS (DNS over HTTPS) в браузере, либо альтернативный метод фильтрации загружаемого контента
• Блокировщик рекламы среди расширений я не советую, также лучше использовать фильтрацию DNS-запросов (к примеру, Adguard ) желательно в настройках самого роутера (можно и Яндекс DNS, но лучше нет, вместо да)

• Проверять куда переходите предварительно через virustotal.com
• Не подключать кошелёк к неизвестным сайтам (банально, но всё же)
• Не арендовать VPS-сервера от СНГ-провайдеров (не стоит рисковать)
• Диверсификация ваших приватников, браузеров и устройств (тоже банально, но для некоторых не очевидно)

• Проверяем, чтобы на всех почтах стояла 2FA + верификация по телефону
• В браузере отключаем чтение буфера обмена — chrome://settings/content/clipboard
• Не используем расширения, которые по умолчанию добавлены в магазин AdsPower
• Не используем один и тот же пароль для социальных сетей и Metamask'а в AdsPower.
• Не используйте незнакомые расширения и с долей сомнения относитесь к приложениям, которыми пользуетесь всю жизнь. Яркий пример Lightshot, который вшил троян в последнюю версию, либо его заразил другой файл..
• Если храните приватные ключи на Mac, шифруйте папку через «Дисковую утилиту»
• Установите трекер на каждый 10й кошелёк с помощью бота
• Подготовьте скрипт, который бы начал выводить все ваши средства на ОКХ в случае дрейна

• Как защитить свои Telegram и Discord?
• Самый большой анти-скам гайд. Тебя не обманут!
• 6 способов, с помощью которых сайт может атаковать ваш Metamask
• Система безопасности криптоактивов
• Мастхев статья про безопасность в крипте
• КРИПТО-БЕЗОПАСНОСТЬ: изучаем самые важные основы-основ и готовимся к твоему спокойному и безопасному старту в крипте.
• Безопасность в крипте
• БЕЗОПАСНОСТЬ В КРИПТЕ!
• Safe Your Wallet