Новости информационной безопасности

unbreakable

Модератор
В арсенале банковского трояна Retefe появился эксплоит EternalBlue

Банковский троян Retefe взял на вооружение эксплоит EternalBlue, ранее использовавшийся вымогательским ПО WannaCry.
В арсенале банковского трояна Retefe появился эксплоит EternalBlue, ранее использовавшийся в атаках вымогательского ПО WannaCry. Главными объектами новой вредоносной кампании стал ряд финансовых учреждений в Швейцарии,сообщилиисследователи из компании Proofpoint.
Разработанный Агентством национальной безопасности США и впоследствииобнародованныйхакерской группировкой The Shadow Brokers эксплоит EternalBlue эксплуатирует уязвимость в сетевом протоколе Windows Server Message Block (SMB) для распространения по зараженной сети. Именно использование эксплоита EternalBlue обусловило столь быстрое распространение вымогательского ПО WannaCry. После публикации в открытом доступе эксплоит был вскоре взят на вооружение киберпреступниками, а теперь используется для кражи учетных данных и наличных денег в швейцарских банках операторами вредоносного ПО Retefe.
Вредонос Retefe активен с 2013 года, но не так известен, как другие банковские трояны, например, Dridex. В основноми троян атакует банки в Великобритании, Швейцарии, Австрии, Швеции и Японии. В отличие от других банковских троянов, Retefe перенаправляет трафик через прокси-серверы, размещенные в сети Tor. На прокси размещаются фишинговыестраницы, замаскированные под страницы авторизации целевых банков. Retefe, как правило, распространяется с помощью фишинговых писем, содержащих вредоносные документы Microsoft Office. При исполнении файла запускается команда PowerShell, которая загружает вредоносную полезную нагрузку.
По словам исследователей, в данном случае полезная нагрузка содержит код эксплоита EternalBlue, загружающий скрипт PowerShell, который, в свою очередь, устанавливает Retefe. В этой версии эксплоита отсутствует модуль, отвечающий за дальнейшее распространение вредоносного ПО по зараженной сети, как в случае с атаками WannaCry. По мнению экспетов, операторы Retefe могут пока просто экспериментировать с EternalBlue и в дальнейшем использовать его для полномасштабных атак.

Подробнее: http://www.securitylab.ru/news/488715.php
 

unbreakable

Модератор
Обзор инцидентов безопасности за прошлую неделю

Краткий обзор главных событий в мире ИБ за период с 18 по 24 сентября 2017 года.
Киберпреступникам не ведом покой – днем и ночью они трудятся, зарабатывая «грязные» деньги с помощью вредоносных программ, фишингаи пр. На прошлой неделе хакеры проявили необычайную активность. Предлагаем ознакомиться с кратким обзором главных инцидентов безопасности, имевших место в период с 18 по 24 сентября 2017 года.
На прошлой неделе исследователи безопасности зафиксировали целый ряд вредоносных кампаний. К примеру, эксперты компании FireEyeраскрылиподробности о деятельности иранской кибершпионской группировки APT 33. Жертвами хакеров стали авиакомпании в США и Саудовской Аравии, а также один из южнокорейских конгломератов. Основными целями хакеров являлись предприятия аэрокосмической промышленности, энергетического сектора и военные объекты. С помощью фишинга и инструментов DropShot злоумышленники распространяли усовершенствованную версию червя Shamoon – ShapeShift.
Специалисты ESETобнаружиликампанию по распространению новой версии вредоносного ПО FinFisher, также известного как FinSpy. Жертвами вредоноса стали пользователи в семи странах. По мнению экспертов, в двух случаях к атакам были причастны крупные интернет-провайдеры.
Исследователи Trend Microзафиксировалиновую массовую спам-рассылку с вымогательским ПО Locky. Количество вредоносных писем уже преодолело отметку в несколько миллионов. По данным экспертов, основными целями атак злоумышленников стали пользователи в Чили, Японии, Индии и США. На долю России в среднем пришлось 6% от общего количества атак.
Среди вредоносных кампаний, раскрытых на прошлой неделе, также стоит упомянуть атаки на пользователей Mac. С помощью заранее полученных учетных данных жертвы злоумышленники авторизуются в ее учетной записи iCloud, удаленно блокируют компьютер, используя функцию Find My iPhone, итребуютвыкуп за восстановление доступа.
После выхода 14 сентября инновационного инструмента Coinhive, позволяющего монетизировать сайты за счет майнинга криптовалюты, киберпреступники стали активноиспользоватьего в своей деятельности. Исследователи безопасности обнаружили целый ряд взломанных сайтов, тайпсквоттинговых доменов и ресурсов, маскирующихся под техподдержку, со встроенным Coinhive. Когда жертва попадает на такой сайт, Coinhive использует мощности процессора ее компьютера для майнинга криптовалюты Monero.
Большой резонанс на прошлой неделевызвалосообщение о бэкдоре в популярной утилите CCleaner от компании Avast. Не позднее 11 сентября на серверы производителя были загружены инфицированные версии CCleaner 5.33 и CCleaner Cloud 1.07.3191. Встроенный в утилиту бэкдор собирал, шифровал и отправлял на сервер злоумышленников информацию об имени компьютера, установленном программном обеспечении и запущенных процессах.
Взломавшие CCleaner злоумышленники также пыталисьатаковатькрупнейшие технологические компании, включая Cisco, Singtel, HTC, Samsung, Sony, Gauselmann, Intel, VMWare, O2, Vodafone, Linksys, Epson, MSI, Akamai, DLink, Oracle (Dyn), Microsoft и Google (Gmail). Как полагают эксперты, к атакам причастна китайская киберпреступная группировка Axiom, также известная как APT 17, DeputyDog, Tailgater Team, Hidden Lynx, Voho, Group 72 или AuroraPanda.
Еще одним громким событием на прошлой неделесталвзлом Комиссии по ценным бумагам и биржам США. Сам инцидент имел место еще в прошлом году, однако сейчас стали появляться свидетельства использования похищенной у регулятора информации для осуществления незаконных сделок. Причиной утечки является уязвимость в электронной системе подачи заявок EDGAR.
На прошлой неделе о себе снова напомнили активисты Anonymous. На этот раз участники Anonymous Greeceатаковалигреческий правительственный сайт по продаже недвижимости должников банков. Согласно заявлению активистов, это только начало, и греческому правительству следует готовиться к дальнейшим атакам.
Еще одной группировкой, снова давшей о себе знать после продолжительного затишья, стала Phantom Squad. Организация известна своими угрозами осуществить масштабную DDoS-атаку, если ей не будет уплачен выкуп. На этот раз злоумышленникиугрожают30 сентября атаковать сайты компаний, если те не заплатят им по 0,2 биткойна (приблизительно $720).
Говоря о вымогательстве, нельзя не упомянуть новое вымогательское ПО nRansomware. В отличие от других программ-вымогателей nRansomwareтребуетот жертв не деньги, а фотографии интимного характера.
Исследователи безопасности из Kromtechобнаружилиутечку более полумиллиона записей компании SVR Tracking, специализирующейся на отслеживании местоположения автомобилей. База данных хранилась на незащищенном облачном сервере Amazon S3. В ней содержалась информация о 540 642 учетных записях клиентов, включая адреса электронной почты, хэши паролей, IMEI GPS-трекеров, номерные знаки, идентификационные номера транспортных средств (VIN) и пр.
22 сентября сотрудники компании Adobeопубликовалив открытом доступе закрытый PGP-ключ. Утечку обнаружил исследователь по безопасности Юхо Нурминен (Juho Nurminen). Ключ был опубликован в блоге PSIRT. Сообщение содержало закрытый и открытый PGP-ключи.

Подробнее: http://www.securitylab.ru/news/488716.php
 

    маска

    очки: 9.999
    Нет комментариев

unbreakable

Модератор
Вредонос Necurs обзавелся новым функционалом и теперь делает снимки экрана

Программа-загрузчик собирает информацию об инфицированном компьютере, делает снимок экрана и загружает вымогательское ПО Locky.
Исследователи безопасности из компании Symantecобнаружилиновую версию загрузчика Necurs, получившую ряд редких для подобных программ функций, в частности, способность делать скриншоты на инфицированном устройстве.
Necurs – общее название вредоносного ПО и ботнета из зараженных устройств. Вредонос относится к типу программ-загрузчиков и выполняет 3 основные функции: установка на целевое устройство, сбор информации о зараженном хосте и загрузка дополнительного вредоносного ПО, в частности, программы-вымогателя Locky.
Necurs распространяется посредством спам-писем, рассылаемых с инфицированных устройств или взломанных web-серверов. Загрузчик Necurs часто остается проигнорированным, однако в новой версии исследователи обнаружили две дополнительные возможности - скрипт Powershell, способный делать снимки экрана на инфицированном устройстве и загружать их на удаленный сервер, а также функцию сообщения об ошибках, которая отправляет информацию о проблемах операторам вредоносного ПО. Данные функции типичны для вредоносного ПО, однако подобный функционал впервые появился в загрузчике.Как полагают исследователи, появление функции захвата экрана может говорить о намерении операторов Necurs собирать больше информации об инфицированных компьютерах. На основании данной информации злоумышленники могут определить более перспективные цели, например, выявлять компьютеры, подключенные к корпоративным сетям.
В последнее время исследователи наблюдают повышенную активность ботнета Necurs. Помимо Locky, ботнет также распространяет банковский троян Trickbot.

Подробнее: http://www.securitylab.ru/news/489184.php
 

unbreakable

Модератор
Хакеры атакуют предприятия морской и оборонной промышленности США и Западной Европы

Вредоносная кампания в основном ориентирована на организации из США и Западной Европы.
Исследователи безопасности из Proofpointсообщилио росте активности хакерской группировки Leviathan, регулярно проводящей кампании по распространению вредоносного ПО с целью хищения конфиденциальных данных у компаний и организаций, связанных с кораблестроением и военно-морским флотом.
Группировка активна по меньшей мере с 2014 года и проявляет наибольший интерес к сфере судостроения, военным подрядчикам, исследовательским институтам, а также к правительственным и юридическим организациям. Кампания в основном ориентирована на организации из США и Западной Европы, однако ряд целей находится в районе Южно-Китайского моря.
Распространяемые в ходе вредоносной кампании в сентябре текущего года фишинговыеписьма содержали вредоносные документы Microsoft Excel и Word, замаскированные под вакансии, резюме и военную документацию.
Злоумышленники эксплуатировали уязвимость CVE-2017-8759, позволяющую внедрить вредоносный код для выполнения скриптов Visual Basic, содержащих команды PowerShell и установить вредоносное ПО. Как отметили исследователи, вредоносная кампания началась через несколько дней после обнаружения данной уязвимости. Это свидетельствует о готовности хакеров оперативно осваивать новые методы осуществления атак.
Скомпрометировав систему, злоумышленники устанавливали бэкдор Orz, также известный как Core, способный собирать информацию, загружать и обновлять файлы, а также выполнять команды. Атакующие также использовали троян NanHaiShu, позволяющий отправлять информацию с инфицированного устройства на C&C-серверы.
В августе текущего года Leviathan провела вредоносную кампанию, направленную на ряд оборонных подрядчиков. Фишинговые сообщения, содержавшие вредоносный URL, были замаскированы под документы компаний, занимающихся строительством военных кораблей, подводных лодок и других морских судов. В ходе кампании была проэксплуатирована уязвимость CVE-2017-0199, позволяющая удаленно выполнить код и получить полный контроль над зараженной системой.
Ранее стало известно о взломесети австралийского военного подрядчика хакерской группировкой ALF. В ходе атаки было похищено порядка 30 ГБ секретной военной документации о боевых самолетах, бомбах и военно-морских судах.

Подробнее: http://www.securitylab.ru/news/489191.php
 

unbreakable

Модератор
ESET обнаружила первый шифратор для Android с функцией блокировки экрана

Эксперты ESET обнаружили первый шифратор с функцией блокировки экрана, атакующий смартфоны и планшеты на базе Android. Шифратор DoubleLocker построен на базе мобильного банковского трояна для Android-устройств. Тем не менее, у него отсутствуют функции, предназначенные для сбора банковских данных пользователей. Вместо этого DoubleLocker оснащен двумя инструментами для вымогательства: он может изменить PIN-код устройства на произвольный, а также шифрует найденные данные. Такое сочетание функций в экосистеме Android наблюдается впервые.DoubleLocker распространяется «классическим» способом, как и его предок-банкер – преимущественно под видом Adobe Flash Player через скомпрометированные сайты.После запуска на устройстве пользователя приложение предлагает активировать вредоносную службу специальных возможностей под названием Google Play Service. Получив необходимые для работы разрешения, DoubleLocker активирует права администратора и устанавливает себя как лаунчер по умолчанию. «Самоустановка в качестве лаунчера по умолчанию повышает сохранность вредоносного ПО на устройстве, – комментирует Лукас Стефанко, вирусный аналитик ESET, обнаруживший DoubleLocker. – Каждый раз, когда пользователь нажимает кнопку «Домой», вымогатель активируется и снова блокирует экран планшета или смартфона».После выполнения на устройстве DoubleLocker использует два веских аргумента, чтобы убедить пользователя оплатить выкуп.Во-первых, он изменяет PIN-код планшета или смартфона, что препятствует использованию устройства. В качестве нового PIN задается случайное значение, код не хранится на устройстве и не отправляется куда-либо вовне, поэтому пользователь или специалист по безопасности не сможет его восстановить.Во-вторых, DoubleLocker шифрует все файлы в основном хранилище устройства. Он использует алгоритм шифрования AES и добавляет расширение .cryeye.Сумма выкупа составляет 0,0130 биткоина (около 4000 рублей), в сообщении злоумышленников подчеркивается, что оплата должна быть произведена в течение 24 часов. Если выкуп не будет перечислен, данные останутся зашифрованными.«DoubleLocker – еще одна причина установить качественное решение для безопасности мобильного устройства и регулярно создавать резервные копии», – подчеркивает Лукас Стефанко. Продукты ESET детектируют вредоносную программу как Android/DoubleLocker.Более подробная информация о вредоносной программе и рекомендации по удалению – в блоге ESET на Хабрахабр.Требование выкупа DoubleLocker:

ESET обнаружила первый шифратор для Android с функцией блокировки экрана
 

unbreakable

Модератор
ESET представляет анализ шифратора Bad Rabbit и рекомендации по защите корпоративных сетей

Вирусная лаборатория ESET исследовала схему распространения шифратора Win32/Diskcoder.D (Bad Rabbit). Злоумышленники, стоящие за кибератакой 24 октября, использовали скомпрометированные сайты, популярные в России и некоторых других странах, затронутых эпидемией.По данным ESET, Win32/Diskcoder.D – модифицированная версия Win32/Diskcoder.C, более известного как Petya/NotPetya. В новой вредоносной программе исправлены ошибки в шифровании файлов. Теперь шифрование осуществляется с помощью DiskCryptor – легитимного ПО с открытым исходным кодом, предназначенного для шифрования логических дисков, внешних USB-накопителей и образов CD/DVD, а также загрузочных системных разделов диска.Ключи генерируются с использованием CryptGenRandom и защищены жестко закодированным открытым ключом RSA 2048. Файлы зашифрованы с расширением .encrypted. Как и прежде, используется алгоритм AES-128-CBC.Для распространения Diskcoder.D злоумышленники скомпрометировали популярные сайты, внедрив в них вредоносный JavaScript. Среди скомпрометированных площадок – сайты «Фонтанки», «Новой газеты в Санкт-Петербурге» и «Аргументов недели».Атаке шифратора Diskcoder.D подверглись российские СМИ, а также транспортные компании и государственные учреждения Украины. Статистика атак в значительной степени соответствует географическому распределению сайтов, содержащих вредоносный JavaScript.
Когда пользователь заходит на зараженный сайт, вредоносный код передает информацию о нем на удаленный С&С-сервер. Далее логика на стороне сервера может определить, представляет ли посетитель сайта интерес, и при необходимости добавляет на страницу новый контент. В ESET наблюдали, как на скомпрометированном сайте появляется всплывающее окно с предложением загрузить обновление для Flash Player. В настоящее время связь вредоносной программы с удаленным сервером отсутствует.Нажав на кнопку «Install/Установить», пользователь инициирует загрузку исполняемого файла, который в свою очередь запускает в системе шифратор Win32/Filecoder.D. Далее файлы жертвы будут зашифрованы, и на экране появится требование выкупа в размере 0,05 биткоина (около 17 000 рублей).Заразив рабочую станцию в организации, шифратор может распространяться внутри корпоративной сети через протокол SMB. В отличие от своего предшественника Petya/NotPetya, Bad Rabbit не использует эксплойт EthernalBlue – вместо этого он сканирует сеть на предмет открытых сетевых ресурсов. На зараженной машине запускается инструмент Mimikatz для сбора учетных данных. Предусмотрен жестко закодированный список логинов и паролей.Более подробная информация об атаке, список скомпрометированных сайтов и индикаторы заражения в блоге ESET на Хабрахабре.Антивирусные продукты ESET детектируют шифратор как Win32/Diskcoder.D. Угроза добавлена в базы данных вирусных сигнатур с обновлением 16295 24 октября в 15-10 по московскому времени, ранее блокировалась современными эвристическими и облачными технологиями защиты. Добавление вирусной сигнатуры позволит защитить даже тех пользователей, которые используют устаревшие версии продуктов ESET.
Рекомендации ESET по профилактике заражения:1. Создать в директории Windows следующие файлы, установив для них права «только для чтения». Kill Switch предотвратит шифрование, даже если система будет заражена:· C:/Windows/infopub.dat· C:/Windows/cscc.dat2. Заблокировать доменные адреса и IP, которые использовались для распространения вредоносного ПО. Полный список приведен в блоге ESET на Хабрахабр.3. Обновить операционную систему и программное обеспечение, включая антивирусные решения.4. Настроить пароль в конфигурации антивирусного продукта, чтобы предотвратить его отключение злоумышленниками в ходе атаки.5. Убедиться в наличии актуальных резервных копий сетевых узлов и данных.6. Сменить все пароли корпоративной сети на сложные, чтобы предотвратить подбор по словарю.7. Уменьшить поверхность атаки и защитить системы, отключив или ограничив все ненужные сервисы и программное обеспечение (WMI, SMB, RDP).8. Просканировать сеть на предмет незащищенных учетных записей со слабыми паролями.
Dr.Web® — инновационные технологии антивирусной безопасности. Комплексная защита от интернет-угроз.
 

unbreakable

Модератор
Троян Silence атакует российские банки

Первые атаки с использованием трояна Silence были зафиксированы в июле 2017 года, новая волна атак продолжается по сегодняшний день.
Эксперты «Лаборатории Касперского»сообщилио новой целевой атаке, направленной на финансовые организации. В основном это российские банки, однако исследователи также обнаружили случаи инфицирования компьютерных систем финучреждений Армении и Малайзии.
Первые атаки с использованием трояна Silence были зафиксированы в июле нынешнего года. Новая волна атак продолжается по сегодняшний день. Атакующие получают доступ к внутренней банковской сети, в течение длительного времени изучают ее внутреннюю инфраструктуру и производят запись с экранов компьютеров сотрудников банка. После анализа того, как используется внутрибанковское ПО, злоумышленники осуществляют перевод денежных средств.
Как отмечают эксперты, подобная техника успешно использовалась группировкой Carbanak и рядом других хакерских организаций. Инфицирование осуществляется через электронные письма с вредоносными вложениями. Кроме того, злоумышленники используют инфраструктуру уже зараженных финансовых учреждений для рассылки новым жертвам вредоносных сообщений с реально существующих электронных адресов сотрудников.
Вредоносное вложение представляет собой документ формата CHM (Microsoft Compiled HTML Help - проприетарный формат справочных файлов Microsoft). По сути, это набор HTML-страниц, упакованный в сжатом виде в один файл. Формат является интерактивным и может использовать технологию Javascript для перенаправления пользователя на внешний URL (для этого достаточно просто запустить этот файл). Когда жертва открывала вредоносное вложение, автоматически исполнялся вложенный в CHM start.htm. Данный файл содержал вредоносный код Javascript, который загружал и запускал VBS-скрипт, а тот в свою очередь загружал файл-дроппер.
В рамках исследования эксперты выявили несколько основных модулей трояна Silence, предназначенных для различных целей (контроль и управление, запись с активности экрана, связь с C&C-сервером). Все они запускаются как службы Windows.
Кроме того, на ряде инфицированных компьютеров была обнаружена программа Winexesvc. Сама по себе она не является вредоносной, но может использоваться киберпреступниками как инструмент пост-эксплуатации после успешного заражения. Winexesvc является аналогом известной программы psexec, позволяющей выполнять удаленные команды консоли Windows.

Подробнее: http://www.securitylab.ru/news/489432.php
 

unbreakable

Модератор
Обзор инцидентов безопасности за прошлую неделю

Краткий обзор главных событий в мире ИБ в период с 23 по 29 октября 2017 года.
Последние две недели оказались довольно неспокойными как для общественности, так и для ИБ-экспертов. Если неделей ранее широкий резонанс вызвали серьезные уязвимости в протоколе WPA2, ставящие под угрозу практически все существующие на данный момент сети Wi-Fi, то самым громким событием минувшей недели стала новая волна атак с использованием вымогательского ПО Bad Rabbit, затронувшая средства массовой информации, государственные ведомства и компании в ряде стран мира, в основном в России и Украине. Предлагаем вашему вниманию краткий обзор главных событий в мире ИБ в период с 23 по 29 октября 2017 года.
24 октября нынешнего года российские и украинские организацииподверглисьатаке шифровальщика Bad Rabbit. Вредонос атаковал три российских СМИ (в том числе «Интерфакс» и «Фонтанку») и российские банки из топ-20, а также ряд украинских компаний и государственных ведомств. По данным исследователей компании Group-IB, Bad Rabbitраспространялсяпосредством метода drive-by download (некоторые эксперты сообщали, что применялся метод watering hole), для доставки вредоносного ПО использовалось несколько популярных информационных сайтов в России и Украине. Как полагают специалисты, за атаками NotPetya и Bad Rabbit может стоять одна и та же хакерская группировка, не исключено, что речь идет о группе Black Energy. Каквыяснилиисследователи безопасности из Cisco Talos и F-Secure, для распространения Bad Rabbit использовалась модифицированная версия эксплоита EternalRomance, похищенного группировкой The Shadow Brokers у группы Equation Group, предположительно связанной с Агентством национальной безопасности США. Спустя два дня после начала атак несколько ИБ-экспертовсообщилио прекращении операции Bad Rabbit.
Активисты Anonymous продолжают атаки на испанские правительственные ресурсы в знак протеста против действий испанских властей, направленных на урегулирование каталонского кризиса. В этот раз атакеподвергсясайт официального издания испанского правительства Boletín Oficial del Estado (BOE).
На прошедшей неделе хакеры под псевдонимами str0ng и n3tr1xвзломалиофициальный блог одной из самых популярных JavaScript-библиотек - jQuery. Злоумышленники взломали учетную запись одного из разработчиков и осуществили дефейс блога. По всей видимости, для компрометации аккаунта использовался пароль, похищенный в результате утечки данных. К слову, это не единичный случай на минувшей неделе, когда злоумышленники использовали утекшие пароли для доступа к учетной записи.К примеру, неизвестный хакервзломалучетную запись Coinhive в CloudFlare, что позволило ему модифицировать DNS-серверы компании и заменить легитимный код JavaScript, встроенный в тысячи web-сайтов, вредоносной версией. По всей видимости, для доступа к учетной записи атакующий использовал старый пароль, утекший в результате взлома платформы Kickstarter в 2014 году.
Минувшая неделя не обошлась без сообщений об утечках данных. В частности, бермудская консалтингово-юридическая компания Applebyпредупредиласвоих клиентов о возможной масштабной утечке конфиденциальной информации. По имеющимся данным, утечка затронула ряд богатейших людей Великобритании.
На прошедшей неделе Азиатско-Тихоокеанский сетевой информационный центр (Asia-Pacific Network Information Center, APNIC)принесизвинения владельцам сетей за утечку своей базы данных, помимо прочего, содержащей ненадежно хешированные пароли. Любой желающий мог загрузить БД, внести в нее изменения или взломать блоки IP-адресов.
На прошлой неделе также стало известно о хакерскойатакена престижную клинику пластической хирургии London Bridge Plastic Surgery (LBPS), в результате которой злоумышленникам удалось похитить персональные медицинские данные знаменитостей, в том числе снимки интимной пластики. Ответственность за атаку взяла на себя группировка The Dark Overlord, ранее уже заявлявшая о причастности ко взломам ряда медицинских центров и школ в США, а также компрометации компьютерной сети Netflix. Как утверждают хакеры, в их распоряжении имеются «терабайты» данных, в том числе сведения о королевской семье.
В минувшее воскресенье в СМИ появилась информация о том, что служба безопасности лондонского аэропорта Хитроупроводитрасследование возможной утечки данных после того, как безработный мужчина нашел на улице Лондона флеш-накопитель, содержавший незащищенные сведения о системе безопасности воздушной гавани. «Флешка» содержала 76 папок с картами, видеороликами и документами, связанными с обеспечением безопасности крупнейшего лондонского аэропорта и проведения антитеррористических мероприятий. Некоторые данные были помечены как конфиденциальные, но доступ к ним никак не был защищен.

Подробнее: http://www.securitylab.ru/news/489400.php

 

unbreakable

Модератор
Хакеры из Fancy Bear использовали блогохостинг Blogger для фишинговых атак

Хакеры рассылали поддельные письма с инструкциями сменить пароль к почтовому ящику Gmail в связи со взломом учетной записи.
Хакерская группировка Fancy Bear, подозреваемая в связях с российским правительством, эксплуатировала принадлежащий Google сервис Blogger (blogspot[.]com) для фишинговыхатак на экспертно-журналисткую группу Bellingcat.
Первые атаки Fancy Bear, также известной как Pawn Storm, APT28, Sofacy, Sednit, Strontium и Tsar Team, на журналистов Bellingcat были замечены в 2015 году. Они производились в рамках кампании, направленной на организации, расследующие предполагаемую причастность РФ к крушению малайзийского пассажирского авиалайнера на Востоке Украины в июле 2014 года.
В недавних атаках,зафиксированныхспециалистами компании ThreatConnect, хакеры рассылали поддельные письма с инструкциями сменить пароль к почтовому ящику Gmail в связи со взломом учетной записи. Также письма содержали приглашения для просмотра общих папок в сервисе Dropbox.
Сообщения включали ссылки на поддомен сервиса Blogger, перенаправлявший пользователей на фишинговую страницу. Как полагают исследователи, хакеры эксплуатировали Blogger для обхода спам-фильтров.
Как стало известно ранее, группировка такжепыталасьвзломать почтовые ящики украинских политиков, российских оппозиционеров и американских военных подрядчиков. В общей сложности под прицел хакеров попали учетные записи электронной почты 4,7 тыс. пользователей Gmail по всему миру.
Google Blogger - сервис для ведения блогов, с помощью которого любой пользователь может бесплатно создать свой блог, не прибегая к программированию и не заботясь об установке и настройке программного обеспечения.

Подробнее: http://www.securitylab.ru/news/489538.php
 

unbreakable

Модератор
Обзор инцидентов безопасности за прошлую неделю

Краткий обзор главных событий в мире ИБ за период с 30 октября по 5 ноября 2017 года.
С точки зрения кибербезопасности прошедшая неделя оказалась весьма беспокойной. В частности, увеличилось число инцидентов, связанных с майнингом криптовалюты. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 30 октября по 5 ноября 2017 года.
Начало прошлой недели ознаменовалось очередными обвинениями в адрес «русских хакеров». Шведский телеканал SVTсообщилоб атаках на пользователей по всему миру с применением неназванного вымогательского ПО. Подробности об атаке журналисты не привели, однако сообщили, что в одной лишь Швеции фишинговыевредоносные письма получили 1,6 млн человек.
Какпоказываютнедавние исследования, вымогательское ПО может использоваться не только по своему прямому назначению (для получения выкупа от жертв), но также для сокрытия кибершпионских операций. К примеру, программы-вымогатели ONI и MBR-ONI использовались в ходе кампании против ряда японских организаций с единственной целью – уничтожить следы хакеров.
На прошлой неделе появились новые сведения о деятельности киберпреступной группировки Fancy Bear (APT 28), часто связываемой с российскими спецслужбами. По данным Associated Press, хакерыпыталисьвзломать электронные ящики украинских политиков, российских оппозиционеров и американских военных подрядчиков. В распоряжении информагентства оказался список объектов для атак, основная часть которых находилась в США, Украине, России, Грузии и Сирии. Список датируется периодом с марта 2015 года по май 2016 года.
Помимо прочего, стали известны новые подробности о причастности «русских хакеров» ко взлому Национального комитета Демократической партии США в 2016 году. Напомним, виновной в атаке считается все та же Fancy Bear. Как сообщило издание Wall Street Journal, ФБРсобралодоказательства о причастности ко взлому шести представителей российских властей.
Как стало известно на прошлой неделе, мошенникизарегистрировали250 доменных имен от лица компании Trump Organization. В 2013 году хакерам удалось получить доступ к учетной записи Trump Organization в сервисе GoDaddy, используемой организацией для регистрации доменных имен. Мошенники зарегистрировали множество теневых поддоменов, используемых ими для распространения вредоносного ПО.
Помимо русских, на прошлой неделе о себе дали знать северокорейские хакеры. Как сообщило информагентство Reuters, в апреле прошлого года киберпреступникивзломалибазу данных южнокорейской судостроительной компании Daewoo Shipbuilding & Marine Engineering и похитили чертежи военных кораблей. Утечка была обнаружена подразделением Минобороны Южной Кореи, специализирующимся на расследовании киберпреступлений. Вывод о причастности КНДР основывается на использовании в данной атаке методов взлома, применявшихся и в других атаках, с которыми связывают северокорейских хакеров.
Говоря об утечках, стоитупомянутьутечку данных абонентов всех крупнейших операторов связи Малайзии. Инцидент, в результате которого неизвестные похитили информацию более 46 млн малазийцев, имел место в 2014-2015 годах.
Хакерская группировка The Dark Overlord, ранее взявшая на себя ответственность за компрометацию компьютерной сети Netflix и утечку данных клиентов престижной лондонской клиники пластической хирургии,пригрозилаопубликовать клиентскую базу данных голливудской студии звукозаписи Line 204. Список клиентов студии включает Apple, Netflix, Funny or Die, ABC, HBO, Hulu и пр. Хакеры пригрозили опубликовать похищенные данные, если Line 204 не выполнит их требования.
Эксперты «Лаборатории Касперского»сообщилио новых целевых атаках на финансовые организации. В основном это российские банки, однако жертвами хакеров также стали некоторые банки в Армении и Малайзии. В атаках используется троян Silence, распространяемый посредством вредоносных электронных писем.
Как уже упоминалось выше, прошедшая неделя ознаменовалась рядом инцидентов, связанных с майнингом криптовалюты. В начале недели стало известно о трех приложениях в Google Play,содержащихскрытые майнеры Monero. Как только пользователь открывал приложение, майнер начинал использовать ресурсы его устройства для добычи криптовалюты.
Скрытый майнер Monero такжебыл обнаруженна сайте D-Link. При каждом открытии страницы загружался отдельный домен со скрытым элементом iframe, содержащий скрипт для генерирования криптовалюты непосредственно в браузере пользователя.
Помимо скрытого майнинга за счет чужих ресурсов исследователи безопасности рассказали еще об одной проблеме. По данным «Лаборатории Касперского», троян CryptoShufflerворуеткриптовалюту прямиком из кошельков. Целью вредоноса являются Bitcoin, Ethereum, Zcash, Dash, Dogecoin и другие криптовалюты.
Киберпреступники научились воровать криптовалюту не только из кошельков. Как сообщают специалисты из Bitdefender, злоумышленники умеют похищать монеты еще до их попадания в кошелек. Киберпреступникисканируютинтернет в поисках оборудования для майнинга Ethereum, работающего под управлением ethos с заводскими учетными данными SSH. С помощью этих данных они получают доступ к оборудованию и заменяют адрес Ethereum-кошелька его владельца на свой собственный. В результате вся полученная криптовалюта отправляется не владельцу оборудования, а киберпреступникам.

Подробнее: http://www.securitylab.ru/news/489541.php
 

unbreakable

Модератор
Мошенники выманивают у пользователей Windows деньги за несуществующее ПО

Злоумышленники предлагают пользователю купить несуществующее ПО Windows Defender Essentials за $25.

Исследователь безопасности из компании Malwarebytes Питер Арнтц (Pieter Arntz) обнаружил новую мошенническую схему, в рамках которой мошенники используют сообщение об ошибке и поддельное приложение Troubleshooter for Windows, чтобы обманом заставить пользователя купить несуществующее ПО Windows Defender Essentials за $25. В качестве метода оплаты пользователям предлагается использовать PayPal, сообщает издание Bleeping Computer.

По словам исследователей, поддельное приложение распространяется через взломанный установщик стороннего ПО. Приложение отображает на экране пользователя сообщение, что «Windows столкнулась с непредвиденной ошибкой» и на компьютере «отсутствуют файлы реестра .dll, что приводит к сбою в работе компьютера». Жертве предлагается нажать «Далее» для диагностики и устранения проблемы.

При выборе данной опции на экране отобразится список несуществующих проблем и сообщение о невозможности их устранения стандартными средствами Windows. Также на экране появится «рекомендуемая» ссылка на страницу, где пользователю предлагается купить несуществующее приложение Windows Defender Essentials стоимостью в $25. Для оплаты предлагается использовать PayPal.

При запуске установщика на компьютер пользователя загружается 4 исполняемых файла: BSOD.exe (поддельное предупреждение о сбое), troubleshoot.exe (фальшивый инструмент для устранения неполадок), scshtrv.exe (делает снимок экрана жертвы) и adwizz.exe (показывает рекламные объявления).

Как отметили исследователи, существет простой способ обмануть вредонос. Для этого на экране с реквизитами PayPal необходимо нажать Ctrl + O для открытия диалогового окна и ввести адрес http:/ /hitechnovation.com/thankyou.txt. После этого программа посчитает, что жертва заплатила и выключится.

Подробнее: https://www.securitylab.ru/news/489947.php
 

unbreakable

Модератор
ESET: мобильный банковский троян BankBot замаскировался под игры в Google Play
ESET предупреждает о новой кампании по распространению мобильного банковского трояна BankBot в Google Play.

На протяжении 2017 года специалисты ESET находили в Google Play вредоносные приложения, замаскированные под легитимные. Например, в феврале мобильные банкеры предлагались под видом погодных приложений, а в сентябре – под видом игры Jewels Star Classic. Как правило, такие подделки удаляют в течение нескольких дней, но за это время они успевают заразить тысячи пользовательских устройств.

В октябре и ноябре 2017 года в ESET обнаружили новые способы распространения мобильного банкера BankBot. Злоумышленники разместили в Google Play приложения, предназначенные для скрытой загрузки трояна на устройства пользователей.

На первом этапе кампании в Google Play появились приложения-фонарики Tornado FlashLight, Lamp For DarkNess и Sea FlashLight с вредоносными функциями. На втором этапе – приложения для игры в пасьянс и софт для очистки памяти устройства.






После первого запуска загрузчик сверяет установленные на устройстве программы с закодированным списком из 160 банковских мобильных приложений. Обнаружив одно или несколько совпадений, он запрашивает права администратора устройства. Далее, через два часа после активации прав, стартует загрузка мобильного трояна BankBot – его установочный пакет замаскирован под обновление Google Play.

Все обнаруженные загрузчики скачивают одну и ту же версию BankBot с hxxp://138.201.166.31/kjsdf.tmp. Загрузка возможна только в том случае, если на устройстве пользователя разрешена установка приложений из неизвестных источников. Если эта опция не включена, на экране появится сообщение об ошибке и атака не сможет быть продолжена.

После установки BankBot действует типичным для мобильных банкеров образом. Когда пользователь открывает целевое банковское приложение, троян подгружает поддельную форму ввода логина и пароля. Введенные данные будут отправлены злоумышленникам и использованы для несанкционированного доступа к банковскому счету жертвы.

Рекомендации ESET по профилактике заражения:

- загружать ПО только из Google Play, поскольку большинство вредоносных программ распространяется через сторонние площадки

- проверять отзывы пользователей и рейтинг приложения – вредоносные программы размещаются в магазине на протяжении непродолжительного времени и не успевают набрать много скачиваний

- отключить возможность установки приложений из неизвестных источников

обращайте внимание на запросы прав администратора устройства или активации службы специальных возможностей

- использовать надежное антивирусное ПО

Исследование вредоносной кампании совместно выполнили специалисты ESET, Avast и SfyLabs.
 

unbreakable

Модератор
В ноутбуках HP снова обнаружен кейлоггер

Подробнее: https://www.securitylab.ru/news/490193.php
Проблемный код присутствовал в файле SynTP.sys, являющемся частью драйвера Synaptics Touchpad.

Компания HP выпустила обновление для драйверов в сотнях моделей ноутбуков, удаляющее код для отладки, который мог использоваться злоумышленниками как кейлоггер. Проблемный код присутствовал в файле SynTP.sys, являющемся частью драйвера Synaptics Touchpad.

Проблему обнаружил исследователь безопасности под псевдонимом ZwClose. «Регистрация нажатий клавиш отключена по умолчанию, однако ее можно включить, внеся изменения в значения реестра», -пояснилисследователь. Речь идет о модификации ключа реестра HKLM\Software\Synaptics\%ProductName% HKLM\Software\Synaptics\%ProductName%\Default. С его помощью злоумышленники могут активировать функцию кейлоггера и следить за жертвами, используя «родные» инструменты системы и оставаясь незамеченными для решений безопасности. Нужно лишь обойти контроль учетных записей пользователя (UAC) при модифицировании реестра ключа.

Как пояснил ZwClose, сканированные коды кейлоггер сохраняет в WPP. Инструмент WPP разработан Microsoft и предназначен для отладки и трассирования кода в процессе разработки. Исследователь сообщил HP о своей находке, и компания выпустила исправление.

Напомним, в продуктах HP кейлоггер обнаруживается уже не в первый раз. В мае нынешнего года встроенный кейлоггер былвыявленв 20 моделях ноутбуков производства компании. В конце прошло месяца производитель также былобвиненв скрытой установке на свои устройства шпионского ПО.

Подробнее: https://www.securitylab.ru/news/490193.php
 

В Краснодаре хакера осудили за продажу вредоносного ПО

Подробнее: https://www.securitylab.ru/news/490186.php
Злоумышленник создал две вредоносные программы, за которые ему заплатили 6,8 тыс. рублей.

Прикубанским районным судом города Краснодара осужден 42-летний житель Самарской области, обвиненный в разработке и распространении вредоносного ПО,сообщаетпресс-служба прокуратуры Краснодарского края.

Согласно материалам дела, хакер прибыл в Краснодарский край из Самарской области, где стал на дому заниматься разработкой программного обеспечения.

Хакер размещал в интернете объявления, предлагая свои услуги по разработке программ. По одному из объявлений к нему обратился гражданин с просьбой разработать и продать вредоносное ПО, позволяющее уничтожать и блокировать компьютерную информацию, а также нейтрализовать средства защиты и незаконно получать доступ к данным. В итоге злоумышленник создал две вредоносные программы, за которые ему заплатили 6,8 тыс. рублей.

В момент передачи программ хакер был задержан сотрудниками Управления ФСБ по Краснодарскому краю. В ходе судебного заседания вирусописатель был признан виновным по ч. 2 ст. 273 УК РФ (создание, использование и распространение вредоносных компьютерных программ) и приговорен к 1 году и 3 месяцам лишения свободы. Приговор пока не вступил в законную силу.

Подробнее: https://www.securitylab.ru/news/490186.php
 

    J._Hetfield

    очки: 9.999
    Нет комментариев

unbreakable

Модератор
Разработчики Linux и Windows исправляют серьезную уязвимость в процессорах

Уязвимость позволяет получить из памяти ядра конфиденциальные данные.

Разработчики Linux и Windows вынуждены срочно переписывать части ядер в связи с серьезной ошибкой в проектировании процессоров Intel, выпущенных за последнее десятилетие. Уязвимость также затрагивает ARM64.

Подробности об аппаратной проблеме не раскрываются до публикации исправлений, которых следует ожидать в середине текущего месяца с выходом плановых бюллетеней безопасности. Исследователь Brainsmoke ужепредставилPoC-эксплоит, способный читать закрытую память ядра при запуске непривилегированного процесса.

Уязвимость связана с тем, что при спекулятивном выполнении кода чипы производства Intel не проверяют безопасность инструкций, позволяющих читать сегменты памяти. Таким образом, любое приложение может получить доступ к памяти ядра и прочитать конфиденциальные данные (например, ключи шифрования и пароли). Особо опасна уязвимость для систем виртуализации, поскольку с ее помощью злоумышленник может получить доступ к памяти за пределами гостевой системы.

Разработчики предложили временное решение проблемы – полностью разделили память ядра и память пользовательского ПО. Тем не менее, из-за этого все время нужно менять указатели на память, поэтому производительность программ значительно уменьшается. Попытка обхода проблемы на компьютерах с процессорами Intel чревата уменьшением производительности ПО на 5-30% и даже на 63% при выполнении определенных задач. На машинах с более новыми процессорами падение производительности при применении исправления не так заметно благодаря PCID/ASID.

Согласно официальномупресс-релизуIntel, уязвимость затрагивает процессоры не только ее производства. Проблеме также подвержены чипы и устройства от других производителей.

Подробнее: https://www.securitylab.ru/news/490634.php
 
Последнее редактирование:

unbreakable

Модератор
Банковский троян ZeuS распространялся через сайт украинского разработчика ПО

Большинство инфицированных систем были расположены в США и Украине.

Официальный сайт украинского разработчика программного обеспечения для бухгалтерского учета Crystal Finance Millennium (CFM) был использован неизвестными хакерами для распространения одной из разновидностей банковского трояна ZeuS. Об этомсообщилиисследователи безопасности из компании Cisco Talos.

По словам специалистов, данный инцидент схож совзломомсерверов компании «Интеллект-сервис» летом 2017 года, в ходе которого в бухгалтерское ПО M.e.doc был внедрен бэкдор, позволивший осуществить атаки с использованием вымогательского ПО NotPetya. Однако, в отличие от NotPetya, данная версия ZeuS распространялась не через уязвимый сервер, а через сайт компании CFM с помощью загрузчика вредоносного ПО, который жертва получала в виде вложения по электронной почте.

Атака произошла в августе 2017 года, однако исследователи только сейчас обнародовали информацию о масштабах атаки и связанных с ней жертв. Как пояснили эксперты, злоумышленники распространяли вредонос посредством электронных писем, содержащих ZIP-архив с файлом JavaScript, который действовал как загрузчик. Один из доменов, используемый для размещения вредоносной полезной нагрузки, был связан с web-сайтом CFM, который ранее также использовался для распространения вымогательского ПО PSCrypt. В ходе атаки применялась версия ZeuS 2.0.8.9.

Оказавшись на системе вредоносная программа проверяет, находится ли она в песочнице, если да - активирует перманентный спящий режим. В противном случае вредонос создает запись реестра для обеспечения исполнения при каждом запуске системы. Далее вредоносное ПО пытается подключиться к различным C&C-серверам, один из которых не был зарегистрирован, когда эксперты начали расследование инцидента. Зарегистрировав данный домен, исследователи смогли более детально изучить механизмы взаимодействия вредоноса с серверами.

Как выяснили исследователи, большинство инфицированных систем были расположены в США и Украине. Больше всего зараженных систем зафиксировано у провайдера «Укртелеком». В общей сложности специалисты обнаружили 11 925 626 попыток связаться с сервером от 3 216 уникальных IP-адресов.

«Злоумышленники все чаще пытаются злоупотреблять доверительными отношениями между организациями и производителями программного обеспечения в качестве средства достижения своих целей. Поскольку организации внедряют более эффективные средства контроля для защиты своих сетевых сред, злоумышленники соответственно продолжают совершенствовать свои методы», - заключили эксперты.

Подробнее: https://www.securitylab.ru/news/490663.php
 

unbreakable

Модератор
В 2017 году число управляющих серверов IoT-ботнетов возросло вдвое

Наиболее распространенными в 2017 году оказались серверы, управляющие вредоносным ПО Pony.

В 2017 году количество C&C-серверов, используемых для управления IoT-ботнетоввыросло в два раза – с 393 (в 2016 году) до 943. Такие данные приводит некоммерческая организация SpamHaus, чья деятельность направлена на противодействие распространению спама, вредоносного ПО, а также фишингуи подобным видам киберпреступности.

СогласноотчетуSpamHaus, в минувшем году организация проиндексировала более 9,5 тыс. управляющих серверов ботнетов, что на 32% больше по сравнению с предыдущим годом. Данная цифра включает IP-адреса управляющих серверов не только IoT-ботнетов, но и сетей, включающих другие типы устройств, спам-сетей, банковских троянов или серверов, на которые киберпреступники отправляют данные, собранные с помощью фишинга или инфостилеров. Большинство IP-адресов (6,6 тыс. или 68%) связаны с индивидуальными серверами, приобретенными у хостинг-компаний исключительно для проведения вредоносных кампаний. Остальные IP-адреса – это C&C-серверы, размещенные на взломанных сайтах, указывается в отчете.

Наиболее распространенными в 2017 году оказались серверы, управляющие вредоносным ПО Pony – трояном, предназначенным для кражи информации (например, паролей) с инфицированных устройств и загрузки дополнительных вредоносов. На втором месте разместились управляющие серверы IoT-ботнетов, на третьем – вымогательского ПО Loki.

Организация также создала «черный список» доменных имен на случай, если злоумышленники решат скрыть C&C-серверы под общими доменами. Как пояснили аналитики, обычно преступники предпочитают использовать доменные имена и арендованные VPS вместо IP-адресов и взломанных серверов.

«Для хостинга управляющих серверов ботнетов киберпреступники обычно предпочитают использовать доменные имена, которые регистрируют исключительно для данной цели. Это предоставляет им возможность запустить новый VPS сервер, загрузить пакет для управления ботнетом и немедленно восстановить с ним связь, если бывший хостинг-провайдер отключит управляющий сервер», - указывается в докладе.

По данным организации, злоумышленники обычно используют домены в зонах .com и .pw. Почти четверть всех доменов была зарегистрирована через американского администратора Namecheap.

VPS (Virtual Private Server) – виртуальный сервер, для обеспечения работы которого используется виртуализация на базе операционной системы.

Подробнее: https://www.securitylab.ru/news/490708.php
 
В России на 70% увеличилось число кибератак в новогодние праздники

Рост количества атакованных пользователей обусловлен появлением в 2017 году множества новых разновидностей вредоносного ПО

Исследователь безопасности из «Лаборатории Касперского» Денис Легезо сообщил об увеличении количества кибератак на компьютеры россиян в период новогодних праздников по сравнению с предыдущим годом. Число атак с 30 декабря 2017 года по 8 января 2018 года выросло на 70% по сравнению с аналогичным периодом в 2016-2017 годах.

Как отметил эксперт в интервью информагентству RNS, рост количества атакованных пользователей обусловлен появлением в 2017 году множества новых разновидностей вредоносного ПО. С 2016 года количество ежедневно фиксируемых «ЛК» вредоносных образцов увеличилось на 11,5% и составило порядка 360 новых вредоносов в день.

В то же время Легезо отметил, что сравнивая показатели за период с 30 декабря по 8 января с предыдущими неделями декабря 2017 года нельзя говорить о каком-либо «всплеске атак в праздничные дни». В указанный период количество кибератак практически не изменилось.

«В течение новогодних каникул "отдыхали" и киберпреступники: никаких серьезных происшествий в области информационной безопасности, имеющих целенаправленный или массовый характер, зафиксировано не было. Последняя в уходящем году фишинговаярассылка была обнаружена в конце декабря, до 9 января на цифровых рубежах уровень критичности угроз оценивался "ниже среднего"», - добавили в пресс-службе компании по кибербезопасности Group-IB.

Подробнее: https://www.securitylab.ru/news/490716.php
 

    AddAll

    очки: 9.999
    Нет комментариев

unbreakable

Модератор
Новое опасное вредоносное ПО OSX/MaMi атакует пользователей Mac

В настоящее время большинство популярных антивирусов не способны обнаружить вредонос.

Исследователь безопасности из компании Objective-see Патрик Уордл (Patrick Wardle)сообщило новом опасном вредоносном ПО, названном OSX/MaMi, предназначенном для компьютеров под управлением macOS. По словам эксперта, пока что данное ПО остается невидимым для большинства популярных антивирусов.

OSX/MaMi представляет собой неподписанный 64-битный исполняемый файл Mach-O. Программа несколько напоминает вредонос DNSChanger,заразившиймиллионы компьютеров по всему миру в 2012 году.

DNSChanger изменяет параметры DNS-сервера на зараженных компьютерах, позволяя злоумышленникам маршрутизировать интернет-трафик через вредоносные серверы и перехватывать конфиденциальную информацию.

Впервые об OSX/MaMi стало известно из сообщения одного из пользователей форума Malwarebytes, рассказавшего о неизвестном вредоносном ПО, заразившем компьютер его друга. Программа тайно изменила настройки DNS на зараженном компьютере на адреса 82.163.143.135 и 82.163.142.137. Прочитав данное сообщение, Уордл проанализировал вредоносное ПО и выяснил, что оно действительно очень схоже по принципу работы с DNS Hijacker, однако данный вредонос также способен использовать решения безопасности компьютера для установки нового корневого сертификата, позволяя OSX/MaMi перехватывать зашифрованный трафик.

«Установив новый корневой сертификат и захватив DNS-серверы, злоумышленники могут выполнять множество вредоносных действий, например, осуществлять атаки «человек посередине» (для кражи учетных данных или размещения нежелательной рекламы) или для внедрения майнеров криптовалюты в скрипты web-страниц», - пояснил исследователь.

Помимо этого, вредонос также имеет функции создания снимков экрана, симулирования нажатий и передвижений мыши, загрузки файлов, автоматического запуска при старте ОС и выполнения команд. В настоящее время программа находится на ранних стадиях разработки и большинство описанных выше функций в неактивны.

Мотивы авторов вредоноса и способ его распространения в настоящее время неизвестны. Как предположил Уордл, злоумышленники могут использовать хорошо известные методы, такие как вредоносные электронные письма, фальшивые оповещения безопасности, а также методы социальной инженерии.

Для того чтобы проверить, заражен ли компьютер данным вредоносным ПО, пользователю необходимо зайти в терминал через приложение «Системные настройки» и проверить настройки DNS, в частности на предмет наличия адресов 82.163.143.135 и 82.163.142.137.

Согласно данным сканера VirusTotal, в настоящее время ни один из 59 популярных антивирусов не способен обнаружить OSX/MaMi.

Уордл такжеопубликовалинструмент под названием LuLu, позволяющий заблокировать подозрительный трафик и предотвратить хищение данных.

Подробнее: https://www.securitylab.ru/news/490781.php
 

unbreakable

Модератор
Новое опасное вредоносное ПО OSX/MaMi атакует пользователей Mac

В настоящее время большинство популярных антивирусов не способны обнаружить вредонос.

Исследователь безопасности из компании Objective-see Патрик Уордл (Patrick Wardle)сообщило новом опасном вредоносном ПО, названном OSX/MaMi, предназначенном для компьютеров под управлением macOS. По словам эксперта, пока что данное ПО остается невидимым для большинства популярных антивирусов.

OSX/MaMi представляет собой неподписанный 64-битный исполняемый файл Mach-O. Программа несколько напоминает вредонос DNSChanger,заразившиймиллионы компьютеров по всему миру в 2012 году.

DNSChanger изменяет параметры DNS-сервера на зараженных компьютерах, позволяя злоумышленникам маршрутизировать интернет-трафик через вредоносные серверы и перехватывать конфиденциальную информацию.

Впервые об OSX/MaMi стало известно из сообщения одного из пользователей форума Malwarebytes, рассказавшего о неизвестном вредоносном ПО, заразившем компьютер его друга. Программа тайно изменила настройки DNS на зараженном компьютере на адреса 82.163.143.135 и 82.163.142.137. Прочитав данное сообщение, Уордл проанализировал вредоносное ПО и выяснил, что оно действительно очень схоже по принципу работы с DNS Hijacker, однако данный вредонос также способен использовать решения безопасности компьютера для установки нового корневого сертификата, позволяя OSX/MaMi перехватывать зашифрованный трафик.

«Установив новый корневой сертификат и захватив DNS-серверы, злоумышленники могут выполнять множество вредоносных действий, например, осуществлять атаки «человек посередине» (для кражи учетных данных или размещения нежелательной рекламы) или для внедрения майнеров криптовалюты в скрипты web-страниц», - пояснил исследователь.

Помимо этого, вредонос также имеет функции создания снимков экрана, симулирования нажатий и передвижений мыши, загрузки файлов, автоматического запуска при старте ОС и выполнения команд. В настоящее время программа находится на ранних стадиях разработки и большинство описанных выше функций в неактивны.

Мотивы авторов вредоноса и способ его распространения в настоящее время неизвестны. Как предположил Уордл, злоумышленники могут использовать хорошо известные методы, такие как вредоносные электронные письма, фальшивые оповещения безопасности, а также методы социальной инженерии.

Для того чтобы проверить, заражен ли компьютер данным вредоносным ПО, пользователю необходимо зайти в терминал через приложение «Системные настройки» и проверить настройки DNS, в частности на предмет наличия адресов 82.163.143.135 и 82.163.142.137.

Согласно данным сканера VirusTotal, в настоящее время ни один из 59 популярных антивирусов не способен обнаружить OSX/MaMi.

Уордл такжеопубликовалинструмент под названием LuLu, позволяющий заблокировать подозрительный трафик и предотвратить хищение данных.

Подробнее: https://www.securitylab.ru/news/490781.php
 

unbreakable

Модератор
Более полумиллиона пользователей загрузили вредоносные расширения для Google Chrome

Расширения позволяли злоумышленникам отправлять вредоносные команды в браузеры пользователей в виде кода JavaScript.

Исследователи кибербезопасности из компании ICEBRGобнаружиличетыре новых вредоносных расширения для браузера Google Chrome, доступных через официальный интернет-магазин Chrome.

По словам исследователей, расширения позволяли злоумышленникам отправлять вредоносные команды в браузеры пользователей в виде кода JavaScript, однако хакеры не использовали весь функционал, ограничившись загрузкой нежелательных страниц и рекламных объявлений.

Вредоносный функционал обнаружен в следующих расширениях: Change HTTP Request Header, Nyoogle - Custom Logo for Google, Lite Bookmarks, and Stickies - Chrome's Post-it Notes. На момент написания новости расширение Nyoogle все еще доступно в официальном магазине Chrome. В общей сложности расширения загрузили более 500 тыс. пользователей.

Исследователи уведомили о своей находке Национальный центр кибербезопасности Нидерландов (NCSC-NL), Компьютерную команду экстренной готовности США (US-CERT) и команду Google Safe Browsing Operations.

В настоящее время неясно, созданы ли расширения одними и теми же злоумышленниками, однако по словам исследователей, в них используются аналогичные тактики, методы и процедуры.

Подробнее: https://www.securitylab.ru/news/490824.php
 

unbreakable

Модератор
Краткий обзор главных событий в мире ИБ за период с 22 по 28 января 2018 года.

Прошедшая неделя оказалась довольно насыщенной событиями: в их числе хищение внушительной суммы средств у одной из крупнейших японских криптовалютных бирж Coincheck, хакерская атака на канадскую транспортную компанию Metrolinx, утечка данных более 100 тыс. клиентов канадского оператора связи Bell, появление нового IoT-ботнетаи пр. Об этих и других инцидентах расскажет наш краткий обзор за период с 22 по 27 января 2018 года.

Самым резонансным событием прошлой недели стал взлом японской криптовалютной биржи Coincheck ихищение58 млрд иен ($533 млн) в криповалюте NEM (XEM). На сегодняшний день это самая масштабная кража средств за всю историю криптовалютных бирж. Как сообщается, руководство биржи не придавало значения советам об использовании технологии MultiSi. Речь идет о системе из нескольких ключей-паролей, которые нужны для снятия денег со счета. Помимо этого, счета клиентов хранились не на изолированном от интернета компьютере.

Злоумышленники продолжают эксплуатировать тему криптовалют с целью заставить пользователей загрузить на свои устройства вредоносное ПО. В частности, исследователи в области безопасностивыявилиновую мошенническую схему, в рамках которой преступники распространяют вымогательское ПО под видом кошелька для криптовалюты Spritecoin. После установки программа-вымогатель шифрует файлы на компьютере жертвы и требует выкуп в размере 0,3 Monero. Примечательно, если жертва все же заплатит выкуп, на ее компьютер будет установлено дополнительное вредоносное ПО, способное собирать данные, анализировать изображения и активировать web-камеру.

Экспертырассказалио появлении нового IoT-ботнета Hide 'N Seek (HNS), включающего порядка 14 тыс. устройств, в основном IP-камер. В отличие от остальных IoT-ботнетов, появившихся за последние несколько недель, HNS не имеет отношения к Mirai и больше похож на Hajime. По словам исследователей, HNS – вторая после Hajime ботсеть с пиринговой архитектурой. Однако, если у Hajime в основе P2P-архитектуры лежит протокол BitTorrent, то у HNS она базируется на кастомизированном P2P-механизме.

Как сообщили СМИ на прошлой неделе, от действий хакеров пострадали сразу две крупные канадские компании – Metrolinx и Bell Canada. В частности, транспортное предприятие Metrolinx сталожертвойсеверокорейских хакеров, инфицировавших компьютеры компании вредоносным ПО, запущенным через Россию. В результате инцидента ни одна система скомпрометирована не была, утечка данных также не имела место. В целях безопасности подробности атаки не разглашаются. Во втором случае хакерыпохитилиперсональные данные более 100 тыс. клиентов телекоммуникационной компании Bell Canada, включая сведения об именах, адресах электронной почты, номерах телефонов и регистрационных номерах. Финансовая информация клиентов оператора в результате инцидента не пострадала.

Минувшая неделя не обошлась и без громких обвинений в адрес РФ. Министр обороны Великобритании Гэвин Уильямсонзаявило том, что в настоящее время Россия якобы изучает британскую критическую инфраструктуру, в частности, как она связана с электростанциями на материке. Это нужно для осуществления атак с целью посеять в стране «панику» и «хаос», отметил министр. В беседе с The Sunday Times источники издания в британской разведке отметили, что в своем заявлении министр мог использовать засекреченные сведения, полученные от союзников Великобритании, а также назвали слова Уильямсона «дилетантскими», так как «никто никогда не заходил так далеко в количественных оценках потенциального риска смерти людей в случае разрушительной атаки на британскую инфраструктуру со стороны России или любой другой враждебно настроенной страны».

В конце недели издание deVolkskrantопубликоваломатериал, в котором утверждалось, что сотрудники нидерландской разведки порядка 2,5 лет шпионили за российской хакерской группировкой Cozy Bear (она же APT29), подозреваемой в атаке на серверы Демократической партии США во время предвыборной кампании в 2016 году. Агенты AIVD проникли в компьютерную сеть Cozy Bear и в период с 2014 по 2017 годы передавали полученную информацию Агентству национальной безопасности (АНБ) и Федеральному бюро расследований (ФБР) США. Как утверждает издание, переданные ФБР данные стали одной из причин, по которой в США было инициировано расследование по поводу предполагаемого вмешательства РФ в президентскую гонку.

Подробнее: https://www.securitylab.ru/news/491099.php
 
Хакеры украли 8 млн рублей у почтамта в Башкортостане

Злоумышленник перевели средства на свои телефоны, после чего обналичили их с помощью электронных платежных систем.

Прокуратура Республики Башкортостан обвинила 34-летнего жителя Перми и 35-летнего жителя Казани в хищении 8 млн рублей у Туймазинского почтамта. Об этомсообщаетпресс-служба ведомства по региону.

Согласно материалам дела, осенью 2015 года хакеры вместе с сообщниками разработали план по хищению крупной денежной суммы у почтамта г. Туймазы. Затем они взломали компьютер учреждения и перевели более 8 млн рублей на свои телефоны, после чего обналичили их с помощью электронных платежных систем.

Злоумышленники обвиняются в преступлении, предусмотренном ч. 4 ст. 159.6 УК РФ (мошенничество в сфере компьютерной информации, совершенное в особо крупном размере).

В настоящее время уголовное дело направлено в Туймазинский межрайонный суд для рассмотрения по существу. На денежные средства в сумме свыше 680 тыс. рублей, находящиеся на банковских счетах одного из обвиняемых, наложен арест.

Напомним, ранее в Ростове местного жителяприговорилик условному сроку в виде полутора лет лишения свободы за разработку вредоносного ПО, предназначенного для хищения средств и обхода паролей.

Подробнее: https://www.securitylab.ru/news/491068.php
 
Сверху