Новости информационной безопасности

Тема в разделе "Компьютерная безопасность", создана пользователем unbreakable, 1 сен 2012.

  1. В арсенале банковского трояна Retefe появился эксплоит EternalBlue

     
  2. Обзор инцидентов безопасности за прошлую неделю

     
  3. Вредонос Necurs обзавелся новым функционалом и теперь делает снимки экрана

     
  4. Хакеры атакуют предприятия морской и оборонной промышленности США и Западной Европы

     
  5. ESET обнаружила первый шифратор для Android с функцией блокировки экрана

     
  6. ESET представляет анализ шифратора Bad Rabbit и рекомендации по защите корпоративных сетей

     
  7. Троян Silence атакует российские банки

     
  8. Обзор инцидентов безопасности за прошлую неделю

     
  9. Хакеры из Fancy Bear использовали блогохостинг Blogger для фишинговых атак

     
  10. Обзор инцидентов безопасности за прошлую неделю

     
  11. Мошенники выманивают у пользователей Windows деньги за несуществующее ПО

    Злоумышленники предлагают пользователю купить несуществующее ПО Windows Defender Essentials за $25.

    Исследователь безопасности из компании Malwarebytes Питер Арнтц (Pieter Arntz) обнаружил новую мошенническую схему, в рамках которой мошенники используют сообщение об ошибке и поддельное приложение Troubleshooter for Windows, чтобы обманом заставить пользователя купить несуществующее ПО Windows Defender Essentials за $25. В качестве метода оплаты пользователям предлагается использовать PayPal, сообщает издание Bleeping Computer.

    По словам исследователей, поддельное приложение распространяется через взломанный установщик стороннего ПО. Приложение отображает на экране пользователя сообщение, что «Windows столкнулась с непредвиденной ошибкой» и на компьютере «отсутствуют файлы реестра .dll, что приводит к сбою в работе компьютера». Жертве предлагается нажать «Далее» для диагностики и устранения проблемы.

    При выборе данной опции на экране отобразится список несуществующих проблем и сообщение о невозможности их устранения стандартными средствами Windows. Также на экране появится «рекомендуемая» ссылка на страницу, где пользователю предлагается купить несуществующее приложение Windows Defender Essentials стоимостью в $25. Для оплаты предлагается использовать PayPal.

    При запуске установщика на компьютер пользователя загружается 4 исполняемых файла: BSOD.exe (поддельное предупреждение о сбое), troubleshoot.exe (фальшивый инструмент для устранения неполадок), scshtrv.exe (делает снимок экрана жертвы) и adwizz.exe (показывает рекламные объявления).

    Как отметили исследователи, существет простой способ обмануть вредонос. Для этого на экране с реквизитами PayPal необходимо нажать Ctrl + O для открытия диалогового окна и ввести адрес http:/ /hitechnovation.com/thankyou.txt. После этого программа посчитает, что жертва заплатила и выключится.

    Подробнее: https://www.securitylab.ru/news/489947.php
     
  12. ESET: мобильный банковский троян BankBot замаскировался под игры в Google Play
    ESET предупреждает о новой кампании по распространению мобильного банковского трояна BankBot в Google Play.

    На протяжении 2017 года специалисты ESET находили в Google Play вредоносные приложения, замаскированные под легитимные. Например, в феврале мобильные банкеры предлагались под видом погодных приложений, а в сентябре – под видом игры Jewels Star Classic. Как правило, такие подделки удаляют в течение нескольких дней, но за это время они успевают заразить тысячи пользовательских устройств.

    В октябре и ноябре 2017 года в ESET обнаружили новые способы распространения мобильного банкера BankBot. Злоумышленники разместили в Google Play приложения, предназначенные для скрытой загрузки трояна на устройства пользователей.

    На первом этапе кампании в Google Play появились приложения-фонарики Tornado FlashLight, Lamp For DarkNess и Sea FlashLight с вредоносными функциями. На втором этапе – приложения для игры в пасьянс и софт для очистки памяти устройства.



    [​IMG]


    После первого запуска загрузчик сверяет установленные на устройстве программы с закодированным списком из 160 банковских мобильных приложений. Обнаружив одно или несколько совпадений, он запрашивает права администратора устройства. Далее, через два часа после активации прав, стартует загрузка мобильного трояна BankBot – его установочный пакет замаскирован под обновление Google Play.

    Все обнаруженные загрузчики скачивают одну и ту же версию BankBot с hxxp://138.201.166.31/kjsdf.tmp. Загрузка возможна только в том случае, если на устройстве пользователя разрешена установка приложений из неизвестных источников. Если эта опция не включена, на экране появится сообщение об ошибке и атака не сможет быть продолжена.

    После установки BankBot действует типичным для мобильных банкеров образом. Когда пользователь открывает целевое банковское приложение, троян подгружает поддельную форму ввода логина и пароля. Введенные данные будут отправлены злоумышленникам и использованы для несанкционированного доступа к банковскому счету жертвы.

    Рекомендации ESET по профилактике заражения:

    - загружать ПО только из Google Play, поскольку большинство вредоносных программ распространяется через сторонние площадки

    - проверять отзывы пользователей и рейтинг приложения – вредоносные программы размещаются в магазине на протяжении непродолжительного времени и не успевают набрать много скачиваний

    - отключить возможность установки приложений из неизвестных источников

    обращайте внимание на запросы прав администратора устройства или активации службы специальных возможностей

    - использовать надежное антивирусное ПО

    Исследование вредоносной кампании совместно выполнили специалисты ESET, Avast и SfyLabs.
     
  13. В ноутбуках HP снова обнаружен кейлоггер

    Подробнее: https://www.securitylab.ru/news/490193.php
    Проблемный код присутствовал в файле SynTP.sys, являющемся частью драйвера Synaptics Touchpad.

    Компания HP выпустила обновление для драйверов в сотнях моделей ноутбуков, удаляющее код для отладки, который мог использоваться злоумышленниками как кейлоггер. Проблемный код присутствовал в файле SynTP.sys, являющемся частью драйвера Synaptics Touchpad.

    Проблему обнаружил исследователь безопасности под псевдонимом ZwClose. «Регистрация нажатий клавиш отключена по умолчанию, однако ее можно включить, внеся изменения в значения реестра», -пояснилисследователь. Речь идет о модификации ключа реестра HKLM\Software\Synaptics\%ProductName% HKLM\Software\Synaptics\%ProductName%\Default. С его помощью злоумышленники могут активировать функцию кейлоггера и следить за жертвами, используя «родные» инструменты системы и оставаясь незамеченными для решений безопасности. Нужно лишь обойти контроль учетных записей пользователя (UAC) при модифицировании реестра ключа.

    Как пояснил ZwClose, сканированные коды кейлоггер сохраняет в WPP. Инструмент WPP разработан Microsoft и предназначен для отладки и трассирования кода в процессе разработки. Исследователь сообщил HP о своей находке, и компания выпустила исправление.

    Напомним, в продуктах HP кейлоггер обнаруживается уже не в первый раз. В мае нынешнего года встроенный кейлоггер былвыявленв 20 моделях ноутбуков производства компании. В конце прошло месяца производитель также былобвиненв скрытой установке на свои устройства шпионского ПО.

    Подробнее: https://www.securitylab.ru/news/490193.php
    --- Сообщения объединены, 10 дек 2017 ---

    В Краснодаре хакера осудили за продажу вредоносного ПО

    Подробнее: https://www.securitylab.ru/news/490186.php
    Злоумышленник создал две вредоносные программы, за которые ему заплатили 6,8 тыс. рублей.

    Прикубанским районным судом города Краснодара осужден 42-летний житель Самарской области, обвиненный в разработке и распространении вредоносного ПО,сообщаетпресс-служба прокуратуры Краснодарского края.

    Согласно материалам дела, хакер прибыл в Краснодарский край из Самарской области, где стал на дому заниматься разработкой программного обеспечения.

    Хакер размещал в интернете объявления, предлагая свои услуги по разработке программ. По одному из объявлений к нему обратился гражданин с просьбой разработать и продать вредоносное ПО, позволяющее уничтожать и блокировать компьютерную информацию, а также нейтрализовать средства защиты и незаконно получать доступ к данным. В итоге злоумышленник создал две вредоносные программы, за которые ему заплатили 6,8 тыс. рублей.

    В момент передачи программ хакер был задержан сотрудниками Управления ФСБ по Краснодарскому краю. В ходе судебного заседания вирусописатель был признан виновным по ч. 2 ст. 273 УК РФ (создание, использование и распространение вредоносных компьютерных программ) и приговорен к 1 году и 3 месяцам лишения свободы. Приговор пока не вступил в законную силу.

    Подробнее: https://www.securitylab.ru/news/490186.php
     
  14. #3454 unbreakable, 9 янв 2018
    Последнее редактирование: 9 янв 2018
    Разработчики Linux и Windows исправляют серьезную уязвимость в процессорах

    Уязвимость позволяет получить из памяти ядра конфиденциальные данные.

    Разработчики Linux и Windows вынуждены срочно переписывать части ядер в связи с серьезной ошибкой в проектировании процессоров Intel, выпущенных за последнее десятилетие. Уязвимость также затрагивает ARM64.

    Подробности об аппаратной проблеме не раскрываются до публикации исправлений, которых следует ожидать в середине текущего месяца с выходом плановых бюллетеней безопасности. Исследователь Brainsmoke ужепредставилPoC-эксплоит, способный читать закрытую память ядра при запуске непривилегированного процесса.

    Уязвимость связана с тем, что при спекулятивном выполнении кода чипы производства Intel не проверяют безопасность инструкций, позволяющих читать сегменты памяти. Таким образом, любое приложение может получить доступ к памяти ядра и прочитать конфиденциальные данные (например, ключи шифрования и пароли). Особо опасна уязвимость для систем виртуализации, поскольку с ее помощью злоумышленник может получить доступ к памяти за пределами гостевой системы.

    Разработчики предложили временное решение проблемы – полностью разделили память ядра и память пользовательского ПО. Тем не менее, из-за этого все время нужно менять указатели на память, поэтому производительность программ значительно уменьшается. Попытка обхода проблемы на компьютерах с процессорами Intel чревата уменьшением производительности ПО на 5-30% и даже на 63% при выполнении определенных задач. На машинах с более новыми процессорами падение производительности при применении исправления не так заметно благодаря PCID/ASID.

    Согласно официальномупресс-релизуIntel, уязвимость затрагивает процессоры не только ее производства. Проблеме также подвержены чипы и устройства от других производителей.

    Подробнее: https://www.securitylab.ru/news/490634.php
     
  15. Банковский троян ZeuS распространялся через сайт украинского разработчика ПО

    Большинство инфицированных систем были расположены в США и Украине.

    Официальный сайт украинского разработчика программного обеспечения для бухгалтерского учета Crystal Finance Millennium (CFM) был использован неизвестными хакерами для распространения одной из разновидностей банковского трояна ZeuS. Об этомсообщилиисследователи безопасности из компании Cisco Talos.

    По словам специалистов, данный инцидент схож совзломомсерверов компании «Интеллект-сервис» летом 2017 года, в ходе которого в бухгалтерское ПО M.e.doc был внедрен бэкдор, позволивший осуществить атаки с использованием вымогательского ПО NotPetya. Однако, в отличие от NotPetya, данная версия ZeuS распространялась не через уязвимый сервер, а через сайт компании CFM с помощью загрузчика вредоносного ПО, который жертва получала в виде вложения по электронной почте.

    Атака произошла в августе 2017 года, однако исследователи только сейчас обнародовали информацию о масштабах атаки и связанных с ней жертв. Как пояснили эксперты, злоумышленники распространяли вредонос посредством электронных писем, содержащих ZIP-архив с файлом JavaScript, который действовал как загрузчик. Один из доменов, используемый для размещения вредоносной полезной нагрузки, был связан с web-сайтом CFM, который ранее также использовался для распространения вымогательского ПО PSCrypt. В ходе атаки применялась версия ZeuS 2.0.8.9.

    Оказавшись на системе вредоносная программа проверяет, находится ли она в песочнице, если да - активирует перманентный спящий режим. В противном случае вредонос создает запись реестра для обеспечения исполнения при каждом запуске системы. Далее вредоносное ПО пытается подключиться к различным C&C-серверам, один из которых не был зарегистрирован, когда эксперты начали расследование инцидента. Зарегистрировав данный домен, исследователи смогли более детально изучить механизмы взаимодействия вредоноса с серверами.

    Как выяснили исследователи, большинство инфицированных систем были расположены в США и Украине. Больше всего зараженных систем зафиксировано у провайдера «Укртелеком». В общей сложности специалисты обнаружили 11 925 626 попыток связаться с сервером от 3 216 уникальных IP-адресов.

    «Злоумышленники все чаще пытаются злоупотреблять доверительными отношениями между организациями и производителями программного обеспечения в качестве средства достижения своих целей. Поскольку организации внедряют более эффективные средства контроля для защиты своих сетевых сред, злоумышленники соответственно продолжают совершенствовать свои методы», - заключили эксперты.

    Подробнее: https://www.securitylab.ru/news/490663.php
     
  16. В 2017 году число управляющих серверов IoT-ботнетов возросло вдвое

    Наиболее распространенными в 2017 году оказались серверы, управляющие вредоносным ПО Pony.

    В 2017 году количество C&C-серверов, используемых для управления IoT-ботнетоввыросло в два раза – с 393 (в 2016 году) до 943. Такие данные приводит некоммерческая организация SpamHaus, чья деятельность направлена на противодействие распространению спама, вредоносного ПО, а также фишингуи подобным видам киберпреступности.

    СогласноотчетуSpamHaus, в минувшем году организация проиндексировала более 9,5 тыс. управляющих серверов ботнетов, что на 32% больше по сравнению с предыдущим годом. Данная цифра включает IP-адреса управляющих серверов не только IoT-ботнетов, но и сетей, включающих другие типы устройств, спам-сетей, банковских троянов или серверов, на которые киберпреступники отправляют данные, собранные с помощью фишинга или инфостилеров. Большинство IP-адресов (6,6 тыс. или 68%) связаны с индивидуальными серверами, приобретенными у хостинг-компаний исключительно для проведения вредоносных кампаний. Остальные IP-адреса – это C&C-серверы, размещенные на взломанных сайтах, указывается в отчете.

    Наиболее распространенными в 2017 году оказались серверы, управляющие вредоносным ПО Pony – трояном, предназначенным для кражи информации (например, паролей) с инфицированных устройств и загрузки дополнительных вредоносов. На втором месте разместились управляющие серверы IoT-ботнетов, на третьем – вымогательского ПО Loki.

    Организация также создала «черный список» доменных имен на случай, если злоумышленники решат скрыть C&C-серверы под общими доменами. Как пояснили аналитики, обычно преступники предпочитают использовать доменные имена и арендованные VPS вместо IP-адресов и взломанных серверов.

    «Для хостинга управляющих серверов ботнетов киберпреступники обычно предпочитают использовать доменные имена, которые регистрируют исключительно для данной цели. Это предоставляет им возможность запустить новый VPS сервер, загрузить пакет для управления ботнетом и немедленно восстановить с ним связь, если бывший хостинг-провайдер отключит управляющий сервер», - указывается в докладе.

    По данным организации, злоумышленники обычно используют домены в зонах .com и .pw. Почти четверть всех доменов была зарегистрирована через американского администратора Namecheap.

    VPS (Virtual Private Server) – виртуальный сервер, для обеспечения работы которого используется виртуализация на базе операционной системы.

    Подробнее: https://www.securitylab.ru/news/490708.php
    --- Сообщения объединены, 10 янв 2018 ---
    В России на 70% увеличилось число кибератак в новогодние праздники

    Рост количества атакованных пользователей обусловлен появлением в 2017 году множества новых разновидностей вредоносного ПО

    Исследователь безопасности из «Лаборатории Касперского» Денис Легезо сообщил об увеличении количества кибератак на компьютеры россиян в период новогодних праздников по сравнению с предыдущим годом. Число атак с 30 декабря 2017 года по 8 января 2018 года выросло на 70% по сравнению с аналогичным периодом в 2016-2017 годах.

    Как отметил эксперт в интервью информагентству RNS, рост количества атакованных пользователей обусловлен появлением в 2017 году множества новых разновидностей вредоносного ПО. С 2016 года количество ежедневно фиксируемых «ЛК» вредоносных образцов увеличилось на 11,5% и составило порядка 360 новых вредоносов в день.

    В то же время Легезо отметил, что сравнивая показатели за период с 30 декабря по 8 января с предыдущими неделями декабря 2017 года нельзя говорить о каком-либо «всплеске атак в праздничные дни». В указанный период количество кибератак практически не изменилось.

    «В течение новогодних каникул "отдыхали" и киберпреступники: никаких серьезных происшествий в области информационной безопасности, имеющих целенаправленный или массовый характер, зафиксировано не было. Последняя в уходящем году фишинговаярассылка была обнаружена в конце декабря, до 9 января на цифровых рубежах уровень критичности угроз оценивался "ниже среднего"», - добавили в пресс-службе компании по кибербезопасности Group-IB.

    Подробнее: https://www.securitylab.ru/news/490716.php
     
  17. Новое опасное вредоносное ПО OSX/MaMi атакует пользователей Mac

    В настоящее время большинство популярных антивирусов не способны обнаружить вредонос.

    Исследователь безопасности из компании Objective-see Патрик Уордл (Patrick Wardle)сообщило новом опасном вредоносном ПО, названном OSX/MaMi, предназначенном для компьютеров под управлением macOS. По словам эксперта, пока что данное ПО остается невидимым для большинства популярных антивирусов.

    OSX/MaMi представляет собой неподписанный 64-битный исполняемый файл Mach-O. Программа несколько напоминает вредонос DNSChanger,заразившиймиллионы компьютеров по всему миру в 2012 году.

    DNSChanger изменяет параметры DNS-сервера на зараженных компьютерах, позволяя злоумышленникам маршрутизировать интернет-трафик через вредоносные серверы и перехватывать конфиденциальную информацию.

    Впервые об OSX/MaMi стало известно из сообщения одного из пользователей форума Malwarebytes, рассказавшего о неизвестном вредоносном ПО, заразившем компьютер его друга. Программа тайно изменила настройки DNS на зараженном компьютере на адреса 82.163.143.135 и 82.163.142.137. Прочитав данное сообщение, Уордл проанализировал вредоносное ПО и выяснил, что оно действительно очень схоже по принципу работы с DNS Hijacker, однако данный вредонос также способен использовать решения безопасности компьютера для установки нового корневого сертификата, позволяя OSX/MaMi перехватывать зашифрованный трафик.

    «Установив новый корневой сертификат и захватив DNS-серверы, злоумышленники могут выполнять множество вредоносных действий, например, осуществлять атаки «человек посередине» (для кражи учетных данных или размещения нежелательной рекламы) или для внедрения майнеров криптовалюты в скрипты web-страниц», - пояснил исследователь.

    Помимо этого, вредонос также имеет функции создания снимков экрана, симулирования нажатий и передвижений мыши, загрузки файлов, автоматического запуска при старте ОС и выполнения команд. В настоящее время программа находится на ранних стадиях разработки и большинство описанных выше функций в неактивны.

    Мотивы авторов вредоноса и способ его распространения в настоящее время неизвестны. Как предположил Уордл, злоумышленники могут использовать хорошо известные методы, такие как вредоносные электронные письма, фальшивые оповещения безопасности, а также методы социальной инженерии.

    Для того чтобы проверить, заражен ли компьютер данным вредоносным ПО, пользователю необходимо зайти в терминал через приложение «Системные настройки» и проверить настройки DNS, в частности на предмет наличия адресов 82.163.143.135 и 82.163.142.137.

    Согласно данным сканера VirusTotal, в настоящее время ни один из 59 популярных антивирусов не способен обнаружить OSX/MaMi.

    Уордл такжеопубликовалинструмент под названием LuLu, позволяющий заблокировать подозрительный трафик и предотвратить хищение данных.

    Подробнее: https://www.securitylab.ru/news/490781.php
     
  18. Новое опасное вредоносное ПО OSX/MaMi атакует пользователей Mac

    В настоящее время большинство популярных антивирусов не способны обнаружить вредонос.

    Исследователь безопасности из компании Objective-see Патрик Уордл (Patrick Wardle)сообщило новом опасном вредоносном ПО, названном OSX/MaMi, предназначенном для компьютеров под управлением macOS. По словам эксперта, пока что данное ПО остается невидимым для большинства популярных антивирусов.

    OSX/MaMi представляет собой неподписанный 64-битный исполняемый файл Mach-O. Программа несколько напоминает вредонос DNSChanger,заразившиймиллионы компьютеров по всему миру в 2012 году.

    DNSChanger изменяет параметры DNS-сервера на зараженных компьютерах, позволяя злоумышленникам маршрутизировать интернет-трафик через вредоносные серверы и перехватывать конфиденциальную информацию.

    Впервые об OSX/MaMi стало известно из сообщения одного из пользователей форума Malwarebytes, рассказавшего о неизвестном вредоносном ПО, заразившем компьютер его друга. Программа тайно изменила настройки DNS на зараженном компьютере на адреса 82.163.143.135 и 82.163.142.137. Прочитав данное сообщение, Уордл проанализировал вредоносное ПО и выяснил, что оно действительно очень схоже по принципу работы с DNS Hijacker, однако данный вредонос также способен использовать решения безопасности компьютера для установки нового корневого сертификата, позволяя OSX/MaMi перехватывать зашифрованный трафик.

    «Установив новый корневой сертификат и захватив DNS-серверы, злоумышленники могут выполнять множество вредоносных действий, например, осуществлять атаки «человек посередине» (для кражи учетных данных или размещения нежелательной рекламы) или для внедрения майнеров криптовалюты в скрипты web-страниц», - пояснил исследователь.

    Помимо этого, вредонос также имеет функции создания снимков экрана, симулирования нажатий и передвижений мыши, загрузки файлов, автоматического запуска при старте ОС и выполнения команд. В настоящее время программа находится на ранних стадиях разработки и большинство описанных выше функций в неактивны.

    Мотивы авторов вредоноса и способ его распространения в настоящее время неизвестны. Как предположил Уордл, злоумышленники могут использовать хорошо известные методы, такие как вредоносные электронные письма, фальшивые оповещения безопасности, а также методы социальной инженерии.

    Для того чтобы проверить, заражен ли компьютер данным вредоносным ПО, пользователю необходимо зайти в терминал через приложение «Системные настройки» и проверить настройки DNS, в частности на предмет наличия адресов 82.163.143.135 и 82.163.142.137.

    Согласно данным сканера VirusTotal, в настоящее время ни один из 59 популярных антивирусов не способен обнаружить OSX/MaMi.

    Уордл такжеопубликовалинструмент под названием LuLu, позволяющий заблокировать подозрительный трафик и предотвратить хищение данных.

    Подробнее: https://www.securitylab.ru/news/490781.php
     
  19. Более полумиллиона пользователей загрузили вредоносные расширения для Google Chrome

    Расширения позволяли злоумышленникам отправлять вредоносные команды в браузеры пользователей в виде кода JavaScript.

    Исследователи кибербезопасности из компании ICEBRGобнаружиличетыре новых вредоносных расширения для браузера Google Chrome, доступных через официальный интернет-магазин Chrome.

    По словам исследователей, расширения позволяли злоумышленникам отправлять вредоносные команды в браузеры пользователей в виде кода JavaScript, однако хакеры не использовали весь функционал, ограничившись загрузкой нежелательных страниц и рекламных объявлений.

    Вредоносный функционал обнаружен в следующих расширениях: Change HTTP Request Header, Nyoogle - Custom Logo for Google, Lite Bookmarks, and Stickies - Chrome's Post-it Notes. На момент написания новости расширение Nyoogle все еще доступно в официальном магазине Chrome. В общей сложности расширения загрузили более 500 тыс. пользователей.

    Исследователи уведомили о своей находке Национальный центр кибербезопасности Нидерландов (NCSC-NL), Компьютерную команду экстренной готовности США (US-CERT) и команду Google Safe Browsing Operations.

    В настоящее время неясно, созданы ли расширения одними и теми же злоумышленниками, однако по словам исследователей, в них используются аналогичные тактики, методы и процедуры.

    Подробнее: https://www.securitylab.ru/news/490824.php
     
Загрузка...