Search the Community
Showing results for tags 'жертв'.
-
Специалисты по кибербезопасности из компании Sophos обнаружили новый метод мошенничества, позволяющий обманом заставить жертву посетить какой-либо сайт с помощью функции совместного использования URL в «Google Картах». По словам исследователей, функция совместного использования URL-адресов в «Google Картах» не является официальной и не имеет механизма блокировки подозрительных ссылок, чем и пользуются мошенники. В зафиксированном исследователями случае, злоумышленники использовали URL, созданный с помощью сервиса goo.gl, наряду с адресом «Google Карт». Жертвы перенаправлялись на страницу с российским доменом, на которой размещалась реклама средства для похудения, ориентированная на англоязычных пользователей. Подобное использование функции «Google Карт» стало возможно из-за уязвимости открытой переадресации, затрагивающей сервис maps.app.goo.gl, пояснили эксперты. Еще одно преимущество функции совместного использования URL-адресов в «Google Картах» заключается в том, что в отличие от сервиса goo.gl, «Карты» не собирают аналитику, а настройка URL не требует использования консоли Google. Вместо этого злоумышленник может добавить адрес вредоносного сайта в конец созданного «Картами» URL.
-
- хакеры
- перенаправляют
-
(and 6 more)
Tagged with:
-
Бельгийская федеральная полиция и «Лаборатория Касперского» провели кибероперацию, результатом которой стало создание утилиты для восстановления файлов, закодированных новыми версиями вымогателя Cryakl. Вредоносная программа Cryakl, также известная как «Фантомас», атакует пользователей ещё с 2014 года. Сначала зловред распространялся через вложения-архивы в письмах, якобы отправленных арбитражным судом в связи с правонарушениями. Позже письма стали приходить и от других инстанций, в частности, от ТСЖ. В процессе шифрования файлов Cryakl создаёт длинный ключ, который отправляет на командный сервер. Без таких ключей восстановить файлы, испорченные зловредом, практически невозможно. За восстановление данных злоумышленники требуют выкуп. В ходе проведённой кибероперации бельгийской полиции удалось обезвредить несколько командных серверов, на которые заражённые машины отправляли ключи. Специалисты «Лаборатории Касперского», в свою очередь, проанализировали полученные данные и извлекли ключи для дешифровки закодированных файлов. Функции для восстановления данных, зашифрованных новыми версиями зловреда Cryakl, уже добавлены в дешифратор RakhniDecryptor, доступный на сайте проекта No More Ransom. Добавим, что проект No More Ransom существует с июля 2016 года. Он помог бесплатно расшифровать файлы, приведённые в негодность вымогателями, десяткам тысяч людей и лишил злоумышленников как минимум 10 млн евро потенциальной прибыли.
-
- жертв
- шифровальщика
-
(and 5 more)
Tagged with:
-
Предприимчивые спамеры придумали, как получать от своей деятельности еще большую прибыль. Владельцы спам-сервиса All Base теперь берут деньги не только у своих клиентов за рассылку большого объема писем, но также у их жертв за ее прекращение. Сервис All Base работает в даркнете и специализируется на рассылке спама пользователям Jabber/XMPP. В основном сервис рассылает рекламу нелегальных товаров (наркотиков, похищенных данных и форумов кардеров). Именно он использовался в ходе масштабных спам-кампаний, зафиксированных в последние несколько месяцев. В течение многих лет Jabber считался сравнительно свободным от спама, однако за последний год с появлением множества сервисов по рассылке нежелательной корреспонденции спам появился и здесь. В последние три месяца стремительно набрал обороты новый сервис All Base, ставший лидером по рассылке спама в XMPP. All Base «спамит» пользователей на уровне, недоступном для конкурентов. В отличие от конкурирующего сервиса XSender, у его операторов нет строгой политики не присылать слишком много спама за сутки. В некоторых случаях пользователи за один день получали от All Base полторы сотни рекламных писем. Для того чтобы воспользоваться услугой сервиса, заказчик должен ввести на главной странице All Base свой XMPP ID и текст рекламного сообщения, а потом перевести 0,04 биткойна (около $100) на биткойн-кошелек операторов. Свою базу данных жертв владельцы All Base собрали по всему интернету и чатам IRC, где пользователи открыто выкладывали свои XMPP ID. Тем, кто хочет убрать свой идентификатор из списка сервиса, нужно заплатить 0,01 биткойна ($25), однако нет никаких гарантий, что All Base действительно перестанет слать спам.
-
Исследователи из компании MalwarebytesLab обнаружили вредоносную кампанию, в рамках которой злоумышленники используют необычный формат URL для перенаправления на страницу, содержащую набор эксплоитов Rig, который, в свою очередь, загружает на компьютер жертвы вредоносное ПО Smoke Loader. Как поясняется в блоге компании, при анализе вредоносного трафика исследователи обращают внимание на ряд аспектов, в том числе на имена хост-узлов и IP-адреса, используемые в атаках. Имя хоста может отображаться как доменное имя (например, http://example.com/), полное доменное имя (http://test.example.com/) или IP-адрес (http://127.0.0.1/). IP-адрес представляет собой серию из 32 двоичных бит (единиц и нулей). Человеку прочесть двоичный IP-адрес очень сложно, поэтому 32 бита группируются по четыре 8-битных байта, в так называемые октеты. Для облегчения понимания каждый октет IP-адреса представлен в виде своего десятичного значения (значение каждого из четырех октетов находится в диапазоне от 0 до 255). Октеты разделяются десятичной точкой. Однако в ряде случаев октеты могут не разделяться точками http://2130706433/).С одним из таких случаев столкнулись специалисты MalwarebytesLab. В ходе анализа цепочки заражения Rig исследователи обнаружили имя хоста в формате http://1760468715, который Internet Explorer и Google Chrome без труда преобразовывали в более привычный IP-адрес (104.238.158.235). Исследователи выявили ряд скомпрометированных сайтов, переадресовывавших пользователей на URL http://1760468715, откуда происходило перенаправление на страницу, содержащую Rig. Как полагают эксперты, путем использования не самого распространенного формата URL злоумышленники пытались усложнить идентификацию или обойти IP-фильтры.
-
- преступники
- используют
-
(and 6 more)
Tagged with:
-
Eset объявила о выпуске новой версии бесплатной программы для восстановления файлов, зашифрованных вымогателем Crysis. Как рассказали в компании, утилитой могут воспользоваться пользователи, файлы которых зашифрованы со следующими расширениями: .xtbl, .crysis, .crypt, .lock, .crypted и .dharma. Crysis – типичная программа-вымогатель, которая шифрует файлы и требует выкуп за восстановление доступа. Она распространялась различными способами, включая вложения в спам-письмах и рекламу в соцсетях. Система телеметрии Eset фиксировала рост числа обнаружений Crysis с мая 2016 года. 14 ноября 2016 года мастер-ключи для расшифровки были опубликованы на сайте BleepingComputer.com. На тот момент продукты Eset NOD32 детектировали различные версии Crysis в 123 странах, около 5% обнаружений пришлось на Россию. Обновленную утилиту для расшифровки файлов можно скачать на сайте Eset.