Поиск

Исследователи безопасности из компании Check Point, обнаружили новую кампанию по распространению вредоносной рекламы, в ходе которой заражается порядка 40 тыс. устройств каждую неделю. Как полагают специалисты, операторы данной кампании объединились с рекламной сетью и реселлерами для перенаправления жертв на мошеннические сайты, распространяющие вымогательское ПО, банковские трояны и другие вредоносы. Данная схема получила название Master134 по аналогии с адресом главного С&C-сервера кампании. Согласно докладу, изначально мошенники взламывают сайты WordPress. Исследователи обнаружили более 10 тыс. сайтов, скомпрометированных в ходе данной кампании. На всех взломанных сайтах работает система управления контентом WordPress версии 4.7.1, в которой существует критическая уязвимость, позволяющая злоумышленникам удаленно выполнить код. Взломав сайт, атакующие размещают на нем рекламные объявления, перенаправляющие пользователей на портал Master134. Роль сервиса Master134 заключалась в том, чтобы продвигать рекламные места в рекламной сети AdsTerra под учетной записью издателя. Данные рекламные места затем скупались злоумышленниками для перенаправления жертв на вредоносные ресурсы. По словам исследователей, почти все рекламные места покупались через реселлера AdsTerra. В числе покупателей значатся операторы наборов эксплоитов (RIG, Magnitude, GrandSoft, FakeFlash), систем распределения трафика (Fobos, HookAds, Seamless, BowMan, TorchLie, BlackTDS, Slyip) и мошеннических сайтов, маскирующихся под техподдержку. «Похоже, что сотрудничество между различными группами злоумышленников успешно поддерживается через сторонние рекламные сети, самой крупной из которых является AdsTerra», - отметили специалисты. «Основываясь на наших выводах, мы предполагаем, что злоумышленники платят Master134 напрямую. Master134 затем платит рекламной сети, чтобы перенаправить трафик и, возможно, даже скрыть его происхождение», - добавили они.

Google добавит в Chrome три новые функции безопасности, которые будут блокировать скрытое перенаправление на сайты, осуществляющееся без ведома и согласия пользователя. Об этом сообщается в блоге компании. Первая из трех функций появится в обновлении Chrome 64, запланированном к выходу в конце января 2018 года. С выпуском версии Chrome 64, Google начнет блокировать попытки перенаправления, инициированные кодом в iframe, встроенном в страницы. Как правило, большинство владельцев интернет-сайтов не используют iframe при создании своих ресурсов, обычно плавающие фреймы попадают на сайт через рекламу, в том числе вредоносные рекламные баннеры. Теперь при каждой попытке редиректа будет появляться соответствующее уведомление. Разработчики также намерены в добавить Chrome механизм блокировки tab-under-поведения страниц. Tab-under - способ накрутки трафика, при котором браузер открывает новую страницу в текущей вкладке, из которой происходил переход, а изначальную страницу дублирует в новой вкладке. Tab-under используется не только злоумышленниками, но и обычными рекламодателями в целях обхода встроенного блокировщика всплывающих окон в Chrome, что позволяет им открывать многочисленные вкладки для продвижения товаров, услуг или сайтов. Новый функционал появится в версии Chrome 65, выпуск которой запланирован на март 2018 года. Предупреждения о попытках перенаправления будут отображаться внутри web-страницы. Помимо выше указанного, Google представила функцию Abusive Experiences Report – черный список сайтов, использующих вводящие в заблуждение элементы интерфейса (например, ссылки на сторонние сайты, замаскированные под кнопки Play и другие элементы, фальшивые кнопки загрузки, и пр.), которые перенаправляют пользователей на сторонние сайты без их согласия. С 9 ноября зарегистрированные владельцы сайтов начнут получать предупреждения о подобных элементах, которые будут отображаться в разделе Abusive Experiences Report в учетной записи Google Console.

«Доктор Веб» объявил об обнаружении рассылки спама с набором вредоносных модулей, позволяющих шпионить за пользователем и похищать конфиденциальную информацию. Массовая рассылка вредоносных вложений по электронной почте — один из самых популярных методов распространения троянцев. Злоумышленники стараются составить текст сообщения таким образом, чтобы получатель самостоятельно открыл приложенный к письму файл, что приведет к заражению компьютера. В течение последних нескольких дней по электронной почте активно распространяются сообщения с темой «Оплату произвели» от имени некоей компании ООО «Глобальные Системы». Письма содержат следующий текст (оригинальные синтаксис и орфография сохранены): Добрый день! Мы произвели оплату 6 апреля, но по какой то причине ответа от вас не получили. Просим в кратчайшие сроки обработать платеж и предоставить услуги, так как у нас сроки сильно поджимают. Копию платежки и других документов высылаем в прикрепленном архиве. Просьба проверить правильность указанных реквизитов в платежке. Может где то была допущена ошибка и деньги не поступили к вам на счет. В связи с этим такая задержка. С уважением, ООО «Глобальные Системы». К письму прилагается архив с именем Платежка от ООО Глобальные Системы 6 апреля 2017 года.JPG.zip размером более 4 МБ. Он содержит исполняемый файл с расширением .JPG[несколько десятков пробелов].exe, добавленный в вирусную базу Dr.Web под именем Trojan.MulDrop7.24844. Если пользователь попытается открыть это «изображение», программа запустится на выполнение. Приложение представляет собой упакованный контейнер, который создан с использованием возможностей языка Autoit. В момент старта эта программа проверяет, что она запущена в единственном экземпляре, а затем сохраняет на диск библиотеку для обхода системы контроля учетных записей пользователя (UAC, User Account Control) в 32- и 64-разрядных версиях Windows и несколько других файлов. Затем Trojan.MulDrop7.24844 регистрирует себя в автозагрузке: в Windows XP — путем модификации системного реестра, в более современных версиях Windows — при помощи Планировщика задач. Также троянец пытается извлечь и сохранить в текстовом файле пароли из браузеров Google Chrome и Mozilla Firefox. Один из компонентов, который Trojan.MulDrop7.24844 запускает на зараженном компьютере, — приложение для удаленного администрирования, детектируемое Антивирусом Dr.Web как Program.RemoteAdmin.753. Другой компонент троянца также представляет собой зашифрованный Autoit-контейнер с именем xservice.bin, извлекающий на диск два исполняемых файла. Эти программы являются 32- и 64-разрядной версиями утилиты Mimikatz, которая предназначена для перехвата паролей открытых сессий в Windows. Файл xservice.bin может быть запущен с различными ключами, в зависимости от которых он выполняет на инфицированном компьютере те или иные действия. Также это приложение активирует кейлоггер, записывающий в файл информацию о нажатых пользователем клавишах, и создает в момент запуска снимок экрана. Троянец открывает злоумышленникам удаленный доступ к зараженной машине по протоколу RDP (Remote Desktop Protocol). Для этого он скачивает с сервера Github и устанавливает на инфицированном компьютере программу Rdpwrap с параметрами, обеспечивающими ее запуск в скрытом режиме. Она детектируется Антивирусом Dr.Web как Program.Rdpwrap. Затем Trojan.MulDrop7.24844 с помощью ранее сохраненной на диске утилиты Mimikatz пытается получить пароль от учетной записи текущего пользователя, который сохраняется в системном реестре. Этот пароль в дальнейшем используется для организации связи с зараженным ПК. В результате такого несанкционированного подключения злоумышленники могут получить полный контроль над атакованным компьютером. Сигнатура Trojan.MulDrop7.24844 добавлена в вирусную базу Dr.Web, поэтому троянец не представляет опасности для наших пользователей. Специалисты компании «Доктор Веб» призывают владельцев устройств, работающих под управлением Microsoft Windows, проявлять бдительность и не открывать подозрительные вложения в электронных письмах.