Поиск

«Лаборатория Касперского» предупреждает о том, что в России наблюдается масштабная кампания по заражению Android-устройств опасной вредоносной программой под названием Asacub. Названный зловред — это троян, главной задачей которого является кража данных банковских карт жертвы. Кроме того, Asacub может выполнять ряд других функций. В частности, программа способна отправлять злоумышленникам информацию о заражённом устройстве и список контактов, звонить на определённые номера, отправлять SMS-сообщения с указанным текстом на указанный номер, закрывать определённые приложения и пр. Схема распространения зловреда выглядит следующим образом. Пользователь получает SMS со знакомого номера с тем или иным текстом и предложением перейти по указанной ссылке. При переходе на такой сайт открывается страница загрузки трояна с инструкциями по его установке. Как уже было отмечено, сообщения приходят со знакомого номера. Более того, троян обращается к жертвам по имени. Достигается это за счёт того, что сообщения рассылаются со смартфона предыдущей жертвы и в них автоматически подставляются те имена, под которыми номера записаны в телефонной книге на заражённом аппарате. В настоящее время количество российских пользователей Android, которым приходят сообщения от зловреда, достигает 40 тыс. в сутки.

Исследователи кибербезопасности из «Лаборатории Касперского» обнаружили вредоносную кампанию по распространению банковского трояна Buhtrap через ряд российских новостных сайтов (название изданий не раскрывается). По данным ЛК, большинство зараженных пользователей находились в России. Попытки заражения были также зафиксированы в Украине и Казахстане. Как выяснили специалисты, злоумышленники внедрили вредоносный скрипт на главные страницы сайтов ряда крупных новостных изданий. При посещении зараженного сайта жертва перенаправлялась на подконтрольный злоумышленикам сервер, после чего на ее компьютере выполнялся эксплоит для браузера Internet Explorer, известный под названием VBScript Godmode. Для загрузки скрипта с сайтов использовался HTTPS, затрудняя тем самым обнаружение и анализ вредоноса различными защитными решениями. По словам экспертов, сам скрипт является лишь загрузчиком и после запуска он проверяет наличие файла «06d488» в папке %TEMP%. Если файл отсутствует, скрипт загружает и запускает основной модуль, а именно банковский троян Buhtrap, позволяющий злоумышленникам получить полный контроль над зараженной системой. Конечной целью операторов банковского трояна является хищение денег со счетов юридических лиц, поэтому злоумышленники в основном атакуют компьютеры финансовых работников различных организаций. В августе минувшего года данное вредоносное ПО распространялось по аналогичной схеме через популярные у бухгалтеров и юристов сайты. Исследователи порекомендовали специалистам по безопасности обратить особое внимание на защиту рабочих станций сотрудников финансовых отделов, в частности, установить последние обновления, запретить запуск утилит удаленного администрирования и установить защитные решения.

Исследователи безопасности из компании Trend Micro обнаружили новое вредоносное ПО FakeBank, позволяющее злоумышленникам перехватывать SMS-сообщения, содержащие коды безопасности банка, а затем использовать их для сброса паролей в банковских учетных записях жертв. Целью вредоноса являются преимущественно пользователи из России. По словам исследователей, вредоносное ПО маскируется под набор приложений для управления SMS/MMS. Вредоносная программа перехватывает SMS-сообщения для последующего хищения средств пользователей. Целями FakeBank являются в основном клиенты российских банков, в том числе «Сбербанка», «Лето Банка» и «ВТБ24». Помимо этого, случаи заражения данным ПО были зафиксированы в Китае (17% от общего количества), Украине (2%), Румынии (1%), Германии (1%) и ряде других стран. Как пояснили специалисты, после установки на мобильное устройство FakeBank заменяет стандартную программу управления SMS-сообщениями, а затем скрывает ее значок, препятствуя таким образом удалению. Вредоносная программа может также позвонить по определенному номеру телефона, отправить SMS-сообщение и похитить журналы вызовов и списки контактов. Исследователи также обнаружили, что FakeBank похищает данные пользователей, в том числе информацию о номерах телефонов, установленных банковских приложениях, балансе на банковских картах и информацию о местоположении, после чего отправляет данные на C&C-сервер. Вредонос также не дает пользователям открывать настройки устройства и легитимное приложение целевого банка, тем самым мешая изменять привязку банковских карт к номеру телефона. По данным экспертов, большинство C&C-серверов FakeBank расположены в Польше и России. Большая часть из них зарегистрирована компанией Wuxi Yilian LLC, которая ранее была связана с другими мошенническим доменами.

Официальный сайт украинского разработчика программного обеспечения для бухгалтерского учета Crystal Finance Millennium (CFM) был использован неизвестными хакерами для распространения одной из разновидностей банковского трояна ZeuS. Об этом сообщили исследователи безопасности из компании Cisco Talos. По словам специалистов, данный инцидент схож со взломом серверов компании «Интеллект-сервис» летом 2017 года, в ходе которого в бухгалтерское ПО M.e.doc был внедрен бэкдор, позволивший осуществить атаки с использованием вымогательского ПО NotPetya. Однако, в отличие от NotPetya, данная версия ZeuS распространялась не через уязвимый сервер, а через сайт компании CFM с помощью загрузчика вредоносного ПО, который жертва получала в виде вложения по электронной почте. Атака произошла в августе 2017 года, однако исследователи только сейчас обнародовали информацию о масштабах атаки и связанных с ней жертв. Как пояснили эксперты, злоумышленники распространяли вредонос посредством электронных писем, содержащих ZIP-архив с файлом JavaScript, который действовал как загрузчик. Один из доменов, используемый для размещения вредоносной полезной нагрузки, был связан с web-сайтом CFM, который ранее также использовался для распространения вымогательского ПО PSCrypt. В ходе атаки применялась версия ZeuS 2.0.8.9. Оказавшись на системе вредоносная программа проверяет, находится ли она в песочнице, если да - активирует перманентный спящий режим. В противном случае вредонос создает запись реестра для обеспечения исполнения при каждом запуске системы. Далее вредоносное ПО пытается подключиться к различным C&C-серверам, один из которых не был зарегистрирован, когда эксперты начали расследование инцидента. Зарегистрировав данный домен, исследователи смогли более детально изучить механизмы взаимодействия вредоноса с серверами. Как выяснили исследователи, большинство инфицированных систем были расположены в США и Украине. Больше всего зараженных систем зафиксировано у провайдера «Укртелеком». В общей сложности специалисты обнаружили 11 925 626 попыток связаться с сервером от 3 216 уникальных IP-адресов. «Злоумышленники все чаще пытаются злоупотреблять доверительными отношениями между организациями и производителями программного обеспечения в качестве средства достижения своих целей. Поскольку организации внедряют более эффективные средства контроля для защиты своих сетевых сред, злоумышленники соответственно продолжают совершенствовать свои методы», - заключили эксперты.

Сложный банковский троян Terdot, разработанный на базе печально известного вредоноса Zeus, получил новые возможности, позволяющие отслеживать и модифицировать публикации пользователей в Facebook и Twitter, а также перехватывать электронные сообщения. Троян активен с середины 2016 года и в основном атакует пользователей в США, Канаде, Великобритании, Германии и Австралии. Вредонос обладает рядом функций, включая возможность осуществлять атаки «человек посередине», внедрять код в web-сайты, похищать информацию из браузеров, в том числе логины/пароли и данные кредитных карт. Как обнаружили исследователи из компании Bitdefender, новая версия трояна получила расширенные возможности, позволяющие шпионить практически за всей online-активностью жертв. Теперь вредоносная программа может эксплуатировать учетные записи пользователей в соцсетях для кражи данных и собственного распространения. Как пояснили исследователи, при получении соответствующих инструкций вредоносное ПО публикует в аккаунтах ссылки на свои копии. Кроме того, вредонос способен похищать учетные данные и файлы cookie. Операторы трояна используют данную информацию в различных целях, например, для перепродажи доступа к учетной записи. Примечательно, Terdot атакует различные соцсети, за исключением пользователей «ВКонтакте», что может говорить о восточноевропейском происхождении его операторов. Троян распространяется с помощью фишинговых писем, содержащих ссылку на документ PDF, при переходе по которой на компьютер пользователя загружается вредоносное ПО. Оказавшись на системе, Terdot внедряется в процессы браузера для перехвата трафика, а также может загружать дополнительное шпионское ПО для извлечения данных и их отправки на C&C-серверы. Появление дополнительной возможности мониторинга соцсетей и электронной почты выводит опасность трояна на новый уровень, по сути превращая его в мощный инструмент для шпионажа, который сложно обнаружить и удалить из системы, отмечают специалисты.

На прошлой неделе эксперты по безопасности компании Forcepoint заявили о добавлении в последней версии вредоносного ПО Trickbot функции, позволяющей красть деньги со счетов пользователей ресурса Coinbase. В июне вышло большое обновление Trickbot, в котором была добавлена возможность нацелить троян на счета PayPal и страницы входа нескольких известных CRM. Спустя месяц команда TrickBot добавила самораспространяющийся компонент, позволяющий банковскому трояну заражать соседние компьютеры по протоколу SMB. И вот, в августе, было выпущено еще одно обновление. Исследователи безопасности обнаружили в конфигурационных файлах трояна фунционал, позволяющий выводить в браузере поддельную форму входа при посещении Coinbase.com. Coinbase - одна из самых крупных современных интернет-площадок для хранения криптовалюты. С помощью трояна мошенники могут похищать денежные средства из скомпрометированных учетных записей. Данная версия TrickBot была обнаружена на прошлой неделе в небольшой спам-кампании. Троян маскировался под документы Canadian Imperial Bank of Commerce (CIBC) и был предположительно ориентирован в первую очередь на канадских пользователей. Trickbot - это новое вредоносное ПО, появившееся осенью 2016 года. Эксперты сходятся во мнении, что у Trickbot и банковского трояна Dyre один разработчик.

Специалисты SophosLabs предупредили о вредоносной кампании по распространению нового банковского Android-трояна, получившего название Invisible Man. Вредонос распространяется под видом обновления Flash Player. Invisible Man разработан на базе банковского вредоносного ПО Svpeng, которое впервые было замечено в 2015 году. Что интересно, троян не атакует российских пользователей Android-устройств. Оказавшись на системе, Invisible Man первым делом проверяет язык на устройстве, и если это русский, все процессы прекращаются. В противном случае троян запрашивает разрешение на использование службы Accessibility Service (обеспечивает доступ к событиям, возникающим в пользовательском интерфейсе). Получив доступ, троян устанавливается под видом дефолтного SMS-приложения для того, чтобы получить контроль над экраном устройства. Далее вредонос начинает отображать фальшивые окна банковских приложений поверх настоящих и собирает вводимые пользователем банковские учетные данные. По словам экспертов, деятельность трояна распространяется не только на банковские приложения, но и другие программы, в том числе приложение Google Play Store.

Специалисты Malwarebytes обнаружили новую вредоносную рекламную кампанию, ориентированную на посетителей сайтов «для взрослых». В ходе кампании, нацеленной преимущественно на пользователей в Канаде и Великобритании, злоумышленники распространяют банковский троян Ramnit, который в минувшем году возобновил свою активность. Согласно сообщению исследователей, преступники используют вредоносные PopUnder-баннеры (реклама, автоматически появляющаяся при открытии некоторых сайтов, при нажатии на кнопку «закрыть» рекламная страница появляется в новом окне браузера), принадлежащие рекламной сети ExoClick, для перенаправления пользователей на ресурс, содержащий набор эксплоитов Rig, загружающий на компьютеры жертв троян Ramnit. Эксперты Malwarebytes проинформировали администрацию ExoClick о вредоносной рекламе и подозрительные баннеры уже удалены из сети, так же как и аккаунт злоумышленника их распространявшего. Летом 2016 года разработчики вредоносного ПО Ramnit выпустили вторую версию трояна, которую использовали в атаках на шесть крупных банков в Великобритании. Помимо хищения учетных данных для сервисов интернет-банкинга, Ramnit может собирать пароли из браузеров и других приложений. Напомним, в феврале 2015 года в ходе совместной операции правоохранительных органов ряда стран была пресечена деятельность ботнета Ramnit, инфицировавшего более 3 млн компьютеров по всему миру.

Вирусные аналитики компании «Доктор Веб» исследовали нового банковского трояна, угрожающего пользователям операционной системы Microsoft Windows. Эта вредоносная программа создана вирусописателями на основе исходных кодов другого опасного «банкера» — Zeus (Trojan.PWS.Panda) — и получила наименование Trojan.PWS.Sphinx.2. Основное предназначение трояна заключается в выполнении веб-инжектов, сообщили в «Доктор Веб». Троян встраивает в просматриваемые пользователем веб-страницы постороннее содержимое — например, поддельные формы для ввода логина и пароля, информация из которых передается злоумышленникам. Потенциальная жертва обычно не замечает подмены: URL интернет-ресурса в адресной строке браузера и оформление сайта остаются прежними, поддельная форма или текст добавляется на веб-страницу прямо на зараженном компьютере. При этом банковские трояны могут обворовывать клиентов множества кредитных организаций, поскольку данные для выполнения веб-инжектов они получают с управляющего сервера. Если пользователь зайдет на банковский сайт, адрес которого имеется в конфигурации троянца, тот встроит в веб-страницу заранее сформированный злоумышленниками контент. При запуске Trojan.PWS.Sphinx.2 встраивается в работающий процесс программы «Проводник» (explorer.exe) и расшифровывает конфигурационный блок, в котором скрыт адрес управляющего сервера и ключ для шифрования принимаемых и отправляемых данных. Trojan.PWS.Sphinx.2 имеет модульную архитектуру: по запросу троян скачивает с сервера злоумышленников дополнительные плагины. Два из используемых банкером модулей предназначены для выполнения веб-инжектов в 32- и 64-разрядных версиях Windows, еще два — для запуска на зараженной машине VNC-сервера, с помощью которого киберпреступники могут подключаться к зараженному компьютеру. Кроме того, Trojan.PWS.Sphinx.2 скачивает и сохраняет на инфицированном компьютере набор утилит для установки корневого цифрового сертификата — киберпреступники используют его для организации атак по технологии MITM (Man in the middle, «человек посередине»). Кроме того, в составе трояна имеется так называемый граббер — функциональный модуль, перехватывающий и передающий на удаленный сервер информацию, которую пользователь вводит в формы на различных сайтах. Примечателен оригинальный способ автоматического запуска трояна на инфицированной машине: для этого используется сценарий на языке PHP и приложение-интерпретатор этого языка. Сценарий запускается с помощью ярлыка, который банкер помещает в папку автозагрузки. Всю необходимую для своей работы информацию троян хранит в зашифрованном виде в системном реестре Windows. Модули сохраняются в отдельном файле со случайным расширением, который тоже зашифрован. Антивирус Dr.Web детектирует и удаляет трояна Trojan.PWS.Sphinx.2, поэтому он не представляет опасности для пользователей продукта, подчеркнули в «Доктор Веб».