Search the Community
Showing results for tags 'заражения'.
-
Украинские власти и предприятия обеспокоены заявлением местной фирмы по безопасности ISSP Labs. Сообщается о взломе ещё одного производителя программного обеспечения для бухгалтерского учета. Серверы производителя были использованы для распространения вредоносных программ. Инцидент почти идентичен тому, как 27 июня этого года началась вспышка заражения вредоносной программой NotPetya. Тогда хакеры взломали серверы компании Intellect Services и заменили пакеты обновлений бухгалтерской программы MEDoc вредоносным ПО. Эксперты упоминают по меньшей мере три различных вида вымогательского ПО распостраняемых с серверов производителя (XData, NotPetya и клон WannaCry). На этот раз, согласно двум отчетам от ISSP Labs, хакеры обошли защиту серверов Crystal Finance Millennium (CFM), еще одного разработчика программного обеспечения для бухгалтерского учета. Хакерам не удалось проникнуть в системы обновления ПО от CFM, но они смогли получить доступ к web-сайту компании и использовать его для распостранения вредоносных программ. По словам директора отдела глобальных исследований и анализа «Лаборатории Касперского» Костина Раю, злоумышленники взломали серверы компании в районе 18 августа. За это время группа отправила фишинговые письма множеству целей. Письма содержали ZIP-архив, в котором присутствовал файл JavaScript. Когда пользователи распаковывали архив и запускали JS-файл, скрипт загружал файл под названием load.exe с web-сервера CFM. В последствии файл load.exe загружал программу-вымогатель Purge, подвид целого семейства вымогательского ПО Globe. Данная программа занимает 9-е место в списке лучшего вымогательского ПО за второй квартал 2017 г. Еще в октябре прошлого года Emsisoft выпустила бесплатный дешифратор для данной версии Globe, но нет никаких гарантий, работы дешифратора с более новыми версиями. Обеспокоенность украинских властей обусловленна обнаружением вредоноса на сервере украинской компании именно в канун Дня независимости. В свое время, вспышка заражения NotPetya также произошла 27 июня, за день до Дня Конституции Украины. Многие фирмы по безопасности связали NotPetya с российской кибер-шпионской группой TeleBots. ESET и другие эксперты, заявлявшие, что TeleBots решили распространить NotPetya за день до государственного праздника, чтобы максимизировать ущерб. Украинские власти и местные компании опасались второй атаки TeleBots, после того, как узнали о взломе серверов CFM. По словам представителей сервиса MalwareHunter, опасения напрасны. Сейчас В Украине затишье касательно заражения вымогательским ПО, за исключением нескольких случаев заражения программой PSCrypt. На момент написания этой статьи поставщик веб-хостинга CFM уже вмешался и отключил web-сайт компании для предотвращения распространения вредоносного файла.
-
Исследователи из компании MalwarebytesLab обнаружили вредоносную кампанию, в рамках которой злоумышленники используют необычный формат URL для перенаправления на страницу, содержащую набор эксплоитов Rig, который, в свою очередь, загружает на компьютер жертвы вредоносное ПО Smoke Loader. Как поясняется в блоге компании, при анализе вредоносного трафика исследователи обращают внимание на ряд аспектов, в том числе на имена хост-узлов и IP-адреса, используемые в атаках. Имя хоста может отображаться как доменное имя (например, http://example.com/), полное доменное имя (http://test.example.com/) или IP-адрес (http://127.0.0.1/). IP-адрес представляет собой серию из 32 двоичных бит (единиц и нулей). Человеку прочесть двоичный IP-адрес очень сложно, поэтому 32 бита группируются по четыре 8-битных байта, в так называемые октеты. Для облегчения понимания каждый октет IP-адреса представлен в виде своего десятичного значения (значение каждого из четырех октетов находится в диапазоне от 0 до 255). Октеты разделяются десятичной точкой. Однако в ряде случаев октеты могут не разделяться точками http://2130706433/).С одним из таких случаев столкнулись специалисты MalwarebytesLab. В ходе анализа цепочки заражения Rig исследователи обнаружили имя хоста в формате http://1760468715, который Internet Explorer и Google Chrome без труда преобразовывали в более привычный IP-адрес (104.238.158.235). Исследователи выявили ряд скомпрометированных сайтов, переадресовывавших пользователей на URL http://1760468715, откуда происходило перенаправление на страницу, содержащую Rig. Как полагают эксперты, путем использования не самого распространенного формата URL злоумышленники пытались усложнить идентификацию или обойти IP-фильтры.
-
- преступники
- используют
-
(and 6 more)
Tagged with: