Поиск

«Лаборатория Касперского» предупреждает о том, что в России наблюдается масштабная кампания по заражению Android-устройств опасной вредоносной программой под названием Asacub. Названный зловред — это троян, главной задачей которого является кража данных банковских карт жертвы. Кроме того, Asacub может выполнять ряд других функций. В частности, программа способна отправлять злоумышленникам информацию о заражённом устройстве и список контактов, звонить на определённые номера, отправлять SMS-сообщения с указанным текстом на указанный номер, закрывать определённые приложения и пр. Схема распространения зловреда выглядит следующим образом. Пользователь получает SMS со знакомого номера с тем или иным текстом и предложением перейти по указанной ссылке. При переходе на такой сайт открывается страница загрузки трояна с инструкциями по его установке. Как уже было отмечено, сообщения приходят со знакомого номера. Более того, троян обращается к жертвам по имени. Достигается это за счёт того, что сообщения рассылаются со смартфона предыдущей жертвы и в них автоматически подставляются те имена, под которыми номера записаны в телефонной книге на заражённом аппарате. В настоящее время количество российских пользователей Android, которым приходят сообщения от зловреда, достигает 40 тыс. в сутки.

«Лаборатория Касперского» рассказала о новой вредоносной программе семейства Rakhni, атакующей российских пользователей компьютеров под управлением операционных систем Windows. Первые образцы вредоносного ПО, классифицированные как Trojan-Ransom.Win32.Rakhni, были обнаружены ещё в 2013 году. Новая версия зловреда получила обозначение Trojan-Downloader.Win32.Rakhni — это загрузчик, имеющий любопытную особенность. Программа распространяется по электронной почте под видом различных вложений. Загрузчик представляет собой исполняемый файл, написанный на языке программирования Delphi. Для усложнения анализа все строки зловреда зашифрованы с помощью простого подстановочного шифра. Особенностью зловреда является то, что основная функциональность определяется параметрами системы жертвы. Выбор делается между шифрованием файлов с целью получения выкупа и организацией майнинга для скрытой добычи криптовалют. Решение о загрузке того или иного компонента зависит от наличия папки %AppData%\Bitcoin. Если эта папка есть, зловред скачает модуль шифрования. Если папки нет, а у компьютера более двух логических процессоров, будет скачан майнер. Если же этой папки нет и на машине доступен только один логический процессор, загрузчик сразу переходит к компоненту-червю для дальнейшего распространения через компьютерную сеть.

ESET открыла новый Android-троян HeroRat, который управляет зараженными устройствами и крадет данные с помощью бота в Telegram. HeroRat – RAT-троян (Remote Administration Tool) для удаленного управления скомпрометированными устройствами. Авторы предлагают его в аренду по модели Malware-as-a-Service (вредоносное ПО в качестве услуги). Доступны три комплектации (бронзовая, серебряная и золотая), которые различаются набором функций и ценой – 25, 50 и 100 долларов соответственно.Исходный код вредоносной программы продается за 650 долларов. Предусмотрен видеоканал техподдержки. HeroRat ищет жертв через неофициальные магазины Android-приложений, социальные сети и мессенджеры. Атакующие маскируют троян под приложения, обещающие биткоины в подарок, бесплатный мобильный интернет или накрутку подписчиков в соцсетях. В Google Play данной угрозы не обнаружено. Большинство заражений зафиксировано в Иране. Когда пользователь установит и запустит вредоносное приложение, на экране появится всплывающее окно. В нем сообщается, что программа не может работать на устройстве и будет удалена. В ESET наблюдали образцы с сообщениями на английском и персидском языках (в зависимости от языковых настроек). После «удаления» иконка приложения исчезнет, а троян продолжит работу скрытно от пользователя. Операторы HeroRat управляют зараженными устройствами через Telegram с помощью бота. Троян позволяет перехватывать и отправлять сообщения, красть контакты, совершать вызовы, записывать аудио, делать скриншоты, определять местоположение устройства и менять настройки. Для управления функциями предусмотрены интерактивные кнопки в интерфейсе Telegram-бота – пользователь получает набор инструментов в соответствии с выбранной комплектацией. Передача команд и кража данных с зараженных устройств реализована в рамках протокола Telegram – эта мера позволяет противодействовать обнаружению трояна.

Компания ESET обнаружила новую вредоносную программу, атакующую пользователей компьютеров под управлением операционных систем Windows: зловред получил название BackSwap. Главная задача трояна — кража средств с банковских счетов жертв. Причём механизм атаки реализован с применением довольно оригинальной тактики, позволяющей обходить продвинутые механизмы защиты. Эксперты говорят, что обычно банковские трояны внедряют в процессы браузера вредоносный код, с помощью которого отслеживается посещение сайтов финансовых организаций. В ходе атаки происходит изменение НТТР-трафика или перенаправление жертвы на фишинговый сайт. Это сложная задача, поскольку антивирусные продукты и защитные механизмы браузера распознают такое внедрение кода. BackSwap действует иначе. Зловреду не требуется внедрение кода в процессоры браузера. Троян идентифицирует работу с онлайн-банком с помощью событий Windows в цикле ожидания сообщений. После этого вредоносный код внедряется в веб-страницу через консоль разработчика в браузере или в адресную строку. «Так, чтобы внедрить скрипт в адресную строку, BackSwap имитирует нажатие комбинаций клавиш: CTRL+L для выбора адресной строки, DELETE для очистки поля, CTRL+V для вставки вредоносного скрипта и ENTER для его выполнения. Когда процесс завершён, адресная строка будет очищена, чтобы скрыть следы компрометации», — объясняет ESET. Подобная схема позволяет обойти защитные механизмы и усыпить бдительность жертвы. Атака может осуществляться в различных браузерах, включая Google Chrome и Mozilla Firefox.

Исследователи кибербезопасности из «Лаборатории Касперского» обнаружили вредоносную кампанию по распространению банковского трояна Buhtrap через ряд российских новостных сайтов (название изданий не раскрывается). По данным ЛК, большинство зараженных пользователей находились в России. Попытки заражения были также зафиксированы в Украине и Казахстане. Как выяснили специалисты, злоумышленники внедрили вредоносный скрипт на главные страницы сайтов ряда крупных новостных изданий. При посещении зараженного сайта жертва перенаправлялась на подконтрольный злоумышленикам сервер, после чего на ее компьютере выполнялся эксплоит для браузера Internet Explorer, известный под названием VBScript Godmode. Для загрузки скрипта с сайтов использовался HTTPS, затрудняя тем самым обнаружение и анализ вредоноса различными защитными решениями. По словам экспертов, сам скрипт является лишь загрузчиком и после запуска он проверяет наличие файла «06d488» в папке %TEMP%. Если файл отсутствует, скрипт загружает и запускает основной модуль, а именно банковский троян Buhtrap, позволяющий злоумышленникам получить полный контроль над зараженной системой. Конечной целью операторов банковского трояна является хищение денег со счетов юридических лиц, поэтому злоумышленники в основном атакуют компьютеры финансовых работников различных организаций. В августе минувшего года данное вредоносное ПО распространялось по аналогичной схеме через популярные у бухгалтеров и юристов сайты. Исследователи порекомендовали специалистам по безопасности обратить особое внимание на защиту рабочих станций сотрудников финансовых отделов, в частности, установить последние обновления, запретить запуск утилит удаленного администрирования и установить защитные решения.

Исследователи кибербезопасности из компании Forcepoint сообщили о новой вредоносной кампании, нацеленной на организации по всему миру. В ходе атак злоумышленники используют новый опасный троян Qrypter. Данное вредоносное ПО, часто ошибочно принимаемое за кроссплатформенный бэкдор Adwind, существует уже несколько лет и было разработано группой под названием QUA R&D, предлагающей его по модели «вредоносное-ПО-как-услуга» (Malware-as-a-Service, MaaS). Qrypter, также известный как Qarallax, Quaverse, QRAT и Qontroller, представляет собой троян для удаленного доступа на основе Java, который использует серверы C&C-серверы на основе Tor. Он был впервые описан в июне 2016 года, после того как его использовали в атаке на швейцарских пользователей, обращавшихся за визой США. Вредоносная программа распространяется с помощью электронных писем. Несмотря на то, что количество писем сравнительно небольшое, Qrypter продолжает набирать известность. В общей сложности 3 вредоносные кампании, зафиксированные в феврале 2018 года, затронули 243 организации, отметили эксперты. Оказавшись на системе, Qrypter запускает два файла VBS в папке %Temp%, каждый из которых имеет произвольное имя файла. Данные скрипты предназначены для сбора информации о межсетевом экране и антивирусных решениях, установленных на компьютере. Qrypter предоставляет злоумышленникам широкий спектр возможностей: подключение к удаленному рабочему столу, доступ к web-камерам, манипулирование файловой системой, установка дополнительных файлов и управление диспетчером задач. Аренда трояна на месяц стоит $80. В качестве возможных способов оплаты указаны PerfectMoney, Bitcoin-Cash и Bitcoin. Помимо этого, можно приобрести трехмесячную или годовую подписку по сниженной цене. На одном из Bitcoin-адресов, связанных с платежами за подписки на Qrypter, в общей сложности находилось 1,69 BTC (порядка $13,3 тыс. на момент написания новости). Однако, это лишь один из адресов, которые используют авторы вредоносного ПО, то есть означает, что их заработок может быть намного выше. Разработчики Qrypter оказывают поддержку своим клиентам через форум Black&White Guys, на котором в настоящее время насчитывается более 2300 зарегистрированных участников. Основываясь на сообщениях на форуме, исследователи смогли выяснить, как работает QUA R&D. Группа регулярно создает темы, в которых убеждает пользователей в том, что их продукты не обнаруживаются антивирусными решениями. «Уверенность в том, что их продукт невозможно обнаружить, является одним из основных приоритетов для группы и потенциально объясняет, почему даже спустя почти два года Qrypter остается в значительной степени незамеченным для поставщиков антивирусного ПО», - отметили исследователи. Помимо взаимодействия с клиентами, форум также используется для привлечения потенциальных реселлеров, которые получают коды на скидки для повышения популярности Qrypter. Помимо этого, более старые версии трояна предлагаются бесплатно, а стратегия QUA R&D также включает в себя взлом продуктов конкурентов.

«Лаборатория Касперского» обнаружила новую вредоносную программу, появление которой, возможно, говорит о готовящейся масштабной кибератаке в финансовой сфере. Зловред носит имя Mezzo. Этот троян способен подменять реквизиты в файлах обмена между бухгалтерскими и банковскими системами. Mezzo распространяется с помощью сторонних программ-загрузчиков. Основной интерес для зловреда представляют текстовые файлы популярного бухгалтерского ПО, созданные менее двух минут назад. После обнаружения таких документов троян ждёт, последует ли открытие диалогового окна для обмена информацией между бухгалтерской системой и банком. Если это произойдёт, зловред может подменить реквизиты счёта в файле непосредственно в момент передачи данных. В противном случае — если диалоговое окно так и не будет открыто — Mezzo подменяет весь файл поддельным. Анализ говорит о том, что Mezzo может быть связан с другим трояном — CryptoShuffler, который охотится за криптовалютами. Таким образом, новый зловред теоретически может применяться для кражи реальных и цифровых денег. «Лаборатория Касперского» подчёркивает, что сейчас Mezzo просто отправляет собранную с заражённого компьютера информацию на сервер злоумышленникам. Это может говорить о том, что киберпреступники подготавливают почву для будущей кампании.

Исследователи безопасности из компании Trend Micro обнаружили новое вредоносное ПО FakeBank, позволяющее злоумышленникам перехватывать SMS-сообщения, содержащие коды безопасности банка, а затем использовать их для сброса паролей в банковских учетных записях жертв. Целью вредоноса являются преимущественно пользователи из России. По словам исследователей, вредоносное ПО маскируется под набор приложений для управления SMS/MMS. Вредоносная программа перехватывает SMS-сообщения для последующего хищения средств пользователей. Целями FakeBank являются в основном клиенты российских банков, в том числе «Сбербанка», «Лето Банка» и «ВТБ24». Помимо этого, случаи заражения данным ПО были зафиксированы в Китае (17% от общего количества), Украине (2%), Румынии (1%), Германии (1%) и ряде других стран. Как пояснили специалисты, после установки на мобильное устройство FakeBank заменяет стандартную программу управления SMS-сообщениями, а затем скрывает ее значок, препятствуя таким образом удалению. Вредоносная программа может также позвонить по определенному номеру телефона, отправить SMS-сообщение и похитить журналы вызовов и списки контактов. Исследователи также обнаружили, что FakeBank похищает данные пользователей, в том числе информацию о номерах телефонов, установленных банковских приложениях, балансе на банковских картах и информацию о местоположении, после чего отправляет данные на C&C-сервер. Вредонос также не дает пользователям открывать настройки устройства и легитимное приложение целевого банка, тем самым мешая изменять привязку банковских карт к номеру телефона. По данным экспертов, большинство C&C-серверов FakeBank расположены в Польше и России. Большая часть из них зарегистрирована компанией Wuxi Yilian LLC, которая ранее была связана с другими мошенническим доменами.

Официальный сайт украинского разработчика программного обеспечения для бухгалтерского учета Crystal Finance Millennium (CFM) был использован неизвестными хакерами для распространения одной из разновидностей банковского трояна ZeuS. Об этом сообщили исследователи безопасности из компании Cisco Talos. По словам специалистов, данный инцидент схож со взломом серверов компании «Интеллект-сервис» летом 2017 года, в ходе которого в бухгалтерское ПО M.e.doc был внедрен бэкдор, позволивший осуществить атаки с использованием вымогательского ПО NotPetya. Однако, в отличие от NotPetya, данная версия ZeuS распространялась не через уязвимый сервер, а через сайт компании CFM с помощью загрузчика вредоносного ПО, который жертва получала в виде вложения по электронной почте. Атака произошла в августе 2017 года, однако исследователи только сейчас обнародовали информацию о масштабах атаки и связанных с ней жертв. Как пояснили эксперты, злоумышленники распространяли вредонос посредством электронных писем, содержащих ZIP-архив с файлом JavaScript, который действовал как загрузчик. Один из доменов, используемый для размещения вредоносной полезной нагрузки, был связан с web-сайтом CFM, который ранее также использовался для распространения вымогательского ПО PSCrypt. В ходе атаки применялась версия ZeuS 2.0.8.9. Оказавшись на системе вредоносная программа проверяет, находится ли она в песочнице, если да - активирует перманентный спящий режим. В противном случае вредонос создает запись реестра для обеспечения исполнения при каждом запуске системы. Далее вредоносное ПО пытается подключиться к различным C&C-серверам, один из которых не был зарегистрирован, когда эксперты начали расследование инцидента. Зарегистрировав данный домен, исследователи смогли более детально изучить механизмы взаимодействия вредоноса с серверами. Как выяснили исследователи, большинство инфицированных систем были расположены в США и Украине. Больше всего зараженных систем зафиксировано у провайдера «Укртелеком». В общей сложности специалисты обнаружили 11 925 626 попыток связаться с сервером от 3 216 уникальных IP-адресов. «Злоумышленники все чаще пытаются злоупотреблять доверительными отношениями между организациями и производителями программного обеспечения в качестве средства достижения своих целей. Поскольку организации внедряют более эффективные средства контроля для защиты своих сетевых сред, злоумышленники соответственно продолжают совершенствовать свои методы», - заключили эксперты.

Эксперты по кибербезопасности из «Лаборатории Касперского» обнаружили новый Android-троян Loapi, способный вызвать физическую поломку устройства путем перегрева. По словам исследователей, Loapi является усовершенствованной версией трояна Podec, обнаруженного в 2015 году. Вредонос распространяется через рекламные баннеры и замаскирован под антивирус или приложение «для взрослых». После установки Loapi требует у пользователя права администратора, а при попытке отозвать права – закрывает окно настроек и блокирует экран. Помимо этого, если пользователь попытается установить антивирус, троян объявит данное приложение вредоносным и потребует его удалить. Loapi обладает модульной структурой, позволяющей связываться с C&C-сервером и устанавливать дополнительные вредоносные модули не прерывая работу. В настоящее время троян может показывать нежелательные рекламные объявления, подписывать пользователей на платные сервисы, осуществлять с помощью инфицированного устройства DDoS-атаки, а также майнить криптовалюту Monero. Как пояснили эксперты, именно майнинг является наиболее опасной функцией Loapi. Из-за длительной работы процессора на максимальной мощности зараженное устройство перегревается и выходит из строя. В ходе исследования через двое суток после заражения у тестового смартфона от перегрева вздулась батарея. Вредонос распространяется посредством сторонних источников и в офицальном Google Play Store замечен не был. Эксперты рекомендуют устанавливать приложения только из официального сервиса Google Play.

Сложный банковский троян Terdot, разработанный на базе печально известного вредоноса Zeus, получил новые возможности, позволяющие отслеживать и модифицировать публикации пользователей в Facebook и Twitter, а также перехватывать электронные сообщения. Троян активен с середины 2016 года и в основном атакует пользователей в США, Канаде, Великобритании, Германии и Австралии. Вредонос обладает рядом функций, включая возможность осуществлять атаки «человек посередине», внедрять код в web-сайты, похищать информацию из браузеров, в том числе логины/пароли и данные кредитных карт. Как обнаружили исследователи из компании Bitdefender, новая версия трояна получила расширенные возможности, позволяющие шпионить практически за всей online-активностью жертв. Теперь вредоносная программа может эксплуатировать учетные записи пользователей в соцсетях для кражи данных и собственного распространения. Как пояснили исследователи, при получении соответствующих инструкций вредоносное ПО публикует в аккаунтах ссылки на свои копии. Кроме того, вредонос способен похищать учетные данные и файлы cookie. Операторы трояна используют данную информацию в различных целях, например, для перепродажи доступа к учетной записи. Примечательно, Terdot атакует различные соцсети, за исключением пользователей «ВКонтакте», что может говорить о восточноевропейском происхождении его операторов. Троян распространяется с помощью фишинговых писем, содержащих ссылку на документ PDF, при переходе по которой на компьютер пользователя загружается вредоносное ПО. Оказавшись на системе, Terdot внедряется в процессы браузера для перехвата трафика, а также может загружать дополнительное шпионское ПО для извлечения данных и их отправки на C&C-серверы. Появление дополнительной возможности мониторинга соцсетей и электронной почты выводит опасность трояна на новый уровень, по сути превращая его в мощный инструмент для шпионажа, который сложно обнаружить и удалить из системы, отмечают специалисты.

Пока биткоин ставит новые рекорды стоимости, сетевые злоумышленники ищут способы нажиться на владельцах криптовалютных кошельков. «Лаборатория Касперского» предупреждает о появлении вредоносной программы, созданной специально для кражи криптоденег. Зловред получил название CryptoShuffler. Он охотится за такими валютами, как Bitcoin, Ethereum, Zcash, Dash, Monero и другими. По оценкам, преступникам уже удалось похитить средства, эквивалентные примерно $140 тыс. Троян CryptoShuffler эксплуатирует человеческую невнимательность и особенности схемы перевода криптовалют. Дело в том, что для перечисления средств с одного криптокошелька на другой пользователю необходимо указать идентификационный номер получателя. Он состоит из множества символов, поэтому запомнить его практически невозможно. В итоге операция выполняется функцией «копировать — вставить». И именно здесь кроется опасность. После проникновения на компьютер CryptoShuffler начинает следить за буфером обмена устройства, ища там адреса криптовалютных кошельков. Большинство из них имеют стандартный вид с фиксированной длиной и заранее заданным началом, а поэтому обнаружить требуемую последовательность символов не составляет особого труда. При появлении в буфере обмена адреса криптокошелька зловред подменяет его на свой собственный. В результате, если пользователь на замечает подлога, деньги отправляются напрямую злоумышленникам.

На прошлой неделе эксперты по безопасности компании Forcepoint заявили о добавлении в последней версии вредоносного ПО Trickbot функции, позволяющей красть деньги со счетов пользователей ресурса Coinbase. В июне вышло большое обновление Trickbot, в котором была добавлена возможность нацелить троян на счета PayPal и страницы входа нескольких известных CRM. Спустя месяц команда TrickBot добавила самораспространяющийся компонент, позволяющий банковскому трояну заражать соседние компьютеры по протоколу SMB. И вот, в августе, было выпущено еще одно обновление. Исследователи безопасности обнаружили в конфигурационных файлах трояна фунционал, позволяющий выводить в браузере поддельную форму входа при посещении Coinbase.com. Coinbase - одна из самых крупных современных интернет-площадок для хранения криптовалюты. С помощью трояна мошенники могут похищать денежные средства из скомпрометированных учетных записей. Данная версия TrickBot была обнаружена на прошлой неделе в небольшой спам-кампании. Троян маскировался под документы Canadian Imperial Bank of Commerce (CIBC) и был предположительно ориентирован в первую очередь на канадских пользователей. Trickbot - это новое вредоносное ПО, появившееся осенью 2016 года. Эксперты сходятся во мнении, что у Trickbot и банковского трояна Dyre один разработчик.

Eset предупреждает о новой спам-атаке. Мошенники рассылают письма с «билетами в США», распространяя таким образом троян Win32/PSW.Fareit для кражи паролей из браузеров и почтовых приложений. Потенциальная жертва получает по электронной почте уведомление от лица авиакомпании Delta Air Lines. В письме сообщается, что билет в Вашингтон успешно оплачен и его можно скачать по ссылке. Перейдя по ссылке, пользователь может загрузить документ Microsoft Office, содержащий вредоносный макрос. Если жертва игнорирует сообщение безопасности и включает макрос, стартует процесс заражения трояном PSW.Fareit. Троян PSW.Fareit предназначен для кражи логинов и паролей, сохраненных в веб-браузерах Internet Explorer, Google Chrome, Mozilla Firefox и др., а также в приложениях для работы с электронной почтой Windows Live Mail и Mozilla Thunderbird. Различные версии этой вредоносной программы известны с 2012 года, но она по-прежнему активно используется кибермошенниками. Троян отправляет украденные пароли на удаленный сервер атакующих, а затем удаляется из системы, стирая все следы активности. Далее эти пароли могут быть использованы для взлома веб-сервисов пользователя. Eset рекомендует игнорировать спам, не переходить по подозрительным ссылкам и защитить компьютеры и мобильные устройства комплексным антивирусным ПО.

Eset обнаружила новую вредоносную программу, нацеленную на геймеров. Троян Joao распространяется вместе с играми разработчика Aeria Games, доступными на неофициальных площадках. Joao предназначен для загрузки и запуска в зараженной системе другого вредоносного кода. Троян имеет модульную архитектуру – специалисты Eset обнаружили компоненты для удаленного доступа, шпионажа и проведения DDoS-атак. На момент исследования Joao распространялся вместе с клиентом популярной онлайн-игры Grand Fantasia. Eset заблокировала сайт, с которого осуществлялась загрузка зараженной версии игры, и сообщила об инциденте в компанию Aeria Games. Некоторые другие игры этого разработчика ранее также использовались для распространения вредоносных программ. Но в настоящее время сайты, раздающие троян, неактивны, либо опасный контент удален. Троян Joao запускается на компьютере жертвы в фоновом режиме одновременно с игровым приложением, чтобы избежать подозрений пользователя. Инфицированная версия игры отличается только наличием «лишнего» файла mskdbe.dll в установочной папке. После запуска Joao отправляет на удаленный сервер злоумышленников сведения о компьютере жертвы, включая имя устройства, версию операционной системы, информацию об учетной записи пользователя и привилегиях. Далее атакующие могут выбрать дополнительные компоненты Joao для установки в зараженной системе. Чтобы избежать заражения Joao, Eset рекомендует геймерам: загружать игры с официальных площадок; устанавливать обновления, которые выпускают издатели игр; использовать комплексное антивирусное решение и не выключать его во время игры. Антивирусные продукты Eset детектируют угрозу, как Win32/Joao (Win64/Joao).

«Лаборатория Касперского» сообщает о том, что в России активно распространяется новая модификация вредоносной программы под названием Neutrino. Зловред атакует POS-терминалы и крадёт данные банковских карт. Основная часть атак пришлась именно на нашу страну. Кроме того, троян проявляет активность в Алжире, Казахстане, Украине и Египете. Нужно отметить, что оригинальная версия Neutrino уже достаточно давно известна антивирусным компаниям. С момента своего появления вредоносная программа неоднократно меняла свои функции и методы распространения. Новая модификация зловреда является довольно необычной. На этот раз троян охотится за данными банковских карт, которые проходят через заражённые платёжные терминалы. Любопытно, что, попав в операционную систему POS-терминала, Neutrino не сразу начинает активность. Троян приступает к сбору информации, выждав некоторое время. Эксперты полагают, что таким образом он, скорее всего, пытается обойти защитные технологии, запускающие подозрительный код в изолированной виртуальной среде, так называемые «песочницы», с коротким периодом работы. Эксперты говорят, что Neutrino в очередной раз служит подтверждением тому, что кибеугрозы постоянно эволюционируют. Новые версии известных зловредов становятся сложнее, а их функциональность расширяется. Пользователи, информацию о банковских картах которых украл зловред Neutrino, рискуют потерять свои деньги.

Специалисты «Лаборатории Касперского» сообщили о новом вредоносном ПО для смартфонов, которое незаметно для своих жертв подписывает их на различные платные сервисы. Троян, получивший название Xafekopy, осуществляет подписку посредством кликов по ссылкам или SMS-сообщений. В первом случае вредонос даже способен обходить CAPTCHA. В ходе анализа Xafekopy исследователи обнаружили ряд сходных черт между трояном и рекламным вредоносным ПО Ztorg. В частности обе программы используют JavaScript-файлы и ряд методов с одинаковыми названиями. При этом код у троянов разный. Как полагают эксперты, разработчики троянов могли купить либо украсть файлы один у другого. Авторами Xafekopy являются китайскоязычные хакеры. В настоящее время общее число случаев инфицирования Xafekopy превысило 3,8 тыс. Троян нацелен преимущественно на пользователей в России и в Индии - за последний месяц на эти страны пришлось 25% и 61% случаев заражения соответственно. Отмечается, что для этих регионов даже существуют отдельные модификации трояна. Российская версия Xafekopy может заходить на ресурсы четырех крупнейших в РФ операторов связи и получать подтверждение подписки на платные сервисы. Троян распространяется через рекламные сети под видом полезных приложений, при этом в его исполняемых файлах действительно есть какой-нибудь «полезный функционал». Таким образом магазинам приложений и модераторам рекламных сетей становится сложнее идентифицировать программу как вредоносную. Злоумышленники используют и другой способ распространения Xafekopy - через рекламный троян Ztorg, способный незаметно для пользователя устанавливать и запускать рекламируемые приложения.

Как сообщили эксперты Fox-IT и Palo Alto Networks, русские кибершпионы разработали новое поколение троянов с целым набором инновационных техник. В частности, Kazuar получил собственный API, позволяющий хакерам в случае необходимости изменять направление трафика между ним и C&C-сервером. Вредонос разработан с помощью программной платформы .NET Framework и представлен в трех вариантах – для Windows, Mac и Linux. Исследователи Palo Alto проанализировали Windows-версию, она-то и была названа Kazuar. Эксперты Fox-IT обнаружили Mac-версию, получившую название Snake. Вариант для Linux пока еще не попал в поле зрения исследователей, однако, по словам специалистов Palo Alto, исходный код Kazuar указывает на ее существование. Обе компании считают, что вредонос разработан российской киберпреступной группировкой Turla, связываемой с самой продолжительной за всю историю кибершпионской кампанией. Вредоносное ПО является заменой трояну Uroburos, уничтоженному в 2014 году исследователями G Data. Для кибершпионских групп замена обнаруженных ИБ-специалистами инструментов новыми является привычной практикой. Как и большинство других троянов, Kazuar обращается за командами к C&C-серверу по вшитому адресу. В основном получаемые вредоносом команды такие же, как и у остальных троянов, однако одна из них отличается. Команда remote запускает web-сервер на зараженном хосте, предоставляя API для удаленных соединений. Другими словами, Kazuar способен изменять привычный поток подключения к C&C-серверу. Вместо того, чтобы инфицированный хост пинговал сервер для новых команд, атакующий может когда угодно пинговать систему жертвы и отправлять вредоносу инструкции. Данный подход имеет два больших преимущества. Во-первых, атакующий по желанию может мигрировать на другой C&C-сервер, а во-вторых, таким образом Kazuar способен обходить некоторые решения безопасности. Использовался ли вредонос в реальных атаках, пока неизвестно.

Компания Eset обнаружила на Google Play новую вредоносную программу. Троян Android/Charger.B крадет пароли от мобильных приложений банков и социальных сетей, с его помощью можно атаковать почти любое приложение, сообщили в Eset. Троян маскируется под приложение-фонарик Flashlight LED Widget. После установки и запуска программа запрашивает права администратора устройства и разрешение открывать окна поверх других приложений. Далее троян отправляет на командный сервер злоумышленников информацию об устройстве, включая список установленных приложений, и фотографию владельца, сделанную фронтальной камерой. Если зараженное устройство находится в России, Украине или Беларуси, троян деактивируется. В Eset предполагают, что атакующие таким образом пытаются избежать уголовного преследования в своей стране. Когда жертва запускает интересующее злоумышленников приложение (например, мобильный банк или соцсеть), на экране появится поддельное окно для ввода данных. Логины, пароли или данные банковских карт, введенные в фишинговом окне, будут отправлены злоумышленникам. В ходе исследования специалисты Eset наблюдали перехват паролей Commbank, NAB и Westpac Mobile Banking, а также Facebook, Instagram и Google Play. Опасность трояна в том, что атакующие могут перенацелить его почти на любое приложение, указали в компании. Кроме того, троян может блокировать экран устройства, выводя сообщение о загрузке обновлений. В Eset предполагают, что эта функция используется при краже средств со счета. Злоумышленники удаленно блокируют смартфон, чтобы жертва не заметила подозрительную активность и не смогла принять меры. Для профилактики заражения в Eset рекомендуют загружать приложения только на официальных площадках, предварительно изучив оценки и отзывы пользователей. Подозрительные запросы разрешений (например, права администратора для приложения-фонарика) — повод отказаться от установки софта. Антивирусные продукты Eset NOD32 детектируют новый троян как Trojan.Android/Charger.B.

Специалисты Eset предупредили о росте активности трояна Sathurbot. Зловред использует для распространения торренты и объединяет зараженные компьютеры в ботнет. Сеть Sathurbot действует с июня 2016 г. и насчитывает 20 тыс. зараженных устройств, рассказали в компании Eset. Операторы Sathurbot распространяют троян через скрытые страницы с торрентами, которые размещают на скомпрометированных сайтах. Пользователь попадает на такие страницы из поисковой выдачи, когда пытается найти пиратский фильм или софт. Загрузив торрент, пользователь обнаруживает в нем «инсталлятор для кодека». Это исполняемый файл, после запуска которого в систему загружается Sathurbot. Далее троян обращается к управляющему серверу, получает команды и выполняет их в зараженной системе. Sathurbot может загружать и запускать другие вредоносные программы. Специалисты Eset наблюдали установку Boaxxe, Kovter и Fleercivet, но не факт, что операторы трояна ими ограничатся. Другая функция Sathurbot предназначена для компрометации WordPress-сайтов. Троян получает от управляющего сервера список из 5 тыс. общеупотребимых слов и использует их в качестве поисковых запросов в Google, Bing и «Яндексе», объединяя в фразы случайным образом. Затем программа пополняет словарный запас — она выбирает по 2-4 новых слова с сайтов, оказавшихся на первых страницах поисковой выдачи. Новые слова используются для второго раунда поиска. Далее Sathurbot изучает сайты, полученные на втором этапе. Зловред выясняет, какие из них работают на базе WordPress, обращаясь для этого к адресу имядомена/wp-login.php. Обнаружив WordPress-сайт, троян сообщает об этом на второй управляющий сервер злоумышленников. Второй сервер предназначен для компрометации сайтов путем перебора паролей. Он направляет на зараженные компьютеры в составе ботнета данные для авторизации на найденных WordPress-сайтах. Каждый бот из 20 тыс. пытается авторизоваться только один раз — это позволяет избежать блокировки. Через скомпрометированные сайты злоумышленники распространяют вредоносные торренты. Часть компьютеров в составе ботнета участвует в раздаче торрентов, часть — только подбирает учетные данные к WordPress-сайтам. По информации Eset, пользователи антивирусных продуктов Eset NOD32 защищены от данной угрозы.

Компания Talos исследовала работу шпионского трояна Rokrat, который использует для поддержания своей инфраструктуры ресурсы «Яндекса», Twitter и Mediafire. Эксперты компании Talos заявили, что облачные сервисы «Яндекса» и Twitter используются для хостинга вредоносных командных серверов и передачи данных недавно обнаруженной вредоносной программой Rokrat, используемой в шпионских целях. Как поясняется в публикации Talos, Rokrat представляет собой вредоносный инструмент удаленного администрирования (Remote Administration Tool - RAT), который используется в новой кампании, направленной против пользователей из Южной Кореи. Атака на пользователей начинается с рассылки фишинговых писем с вложенными документами в формате HWP. Это формат крайне популярного в Южной Корее текстового редактора Hangul, поддерживающего корейский алфавит. HWP-документ содержал встроенный объект EPS (Encapsulated PostScript) с эксплойтом для известной уязвимости CVE-2013-0808, которая, в свою очередь, используется для загрузки двоичного файла, имитирующего изображение в формате jpg. Этот исполняемый файл и является RAT-инструментом. Rokrat уходит в «спящий» режим, если оказывается в среде Windows XP. Кроме того, он целенаправленно ищет в системе процессы, связанные с системами виртуализации и мониторинга. Если Rokrat обнаруживает один из этих процессов, или подвергается воздействию программ отладки, или запущен не из-под HWP-документа, он начинает генерировать большое количество «пустого» HTTP-трафика к Amazon и Hulu, очевидно, чтобы сбить с толку исследователей и сформировать фальшивые индикаторы заражения. Rokrat способен делать снимки экрана и оснащен функциями кейлоггера.Для связи зараженных ПК с командной инфраструктурой Rokrat использует ресурсы известных глобальных сервисов. В частности, исследователи Talos обнаружили семь «зашитых» в код трояна API-токенов Twitter, четыре токена «Яндекса» и один аккаунт хостингового сервиса Mediafire. Twitter используется для хостинга командного сервера и получения Rokrat команд от своих операторов. Серверы Яндекс и Mediafire - как для хостинга командных серверов, так и для передачи данных. Как указывают эксперты Talos, использование этих сервисов чрезвычайно затрудняют блокировку, - это легитимные и очень популярные платформы, хотя, конечно, обращение из Южной Кореи к «Яндексу» - довольно странное явление. Представители «Яндекса» в течение 21 часа не смогли ответить на вопросы, связанные с использованием их инфраструктуры для работы Rokrat. Первейшая задача любого шпиона - оставаться незамеченным насколько возможно долго. Это же касается и кибершпионов и их инструментов. Функции, обеспечивающие скрытность Rokrat, указывает на высокую мотивацию и если не высокий профессионализм, то, по крайней мере, повышенную изобретательность его создателей, - говорит Дмитрий Гвоздев, генеральный директор компании «Монитор безопасности». В данном случае весьма настораживает тот факт, что киберпреступники столь успешно используют легитимные платформы для сокрытия управляющих серверов и передачи украденных данных».

Специалисты Malwarebytes обнаружили новую вредоносную рекламную кампанию, ориентированную на посетителей сайтов «для взрослых». В ходе кампании, нацеленной преимущественно на пользователей в Канаде и Великобритании, злоумышленники распространяют банковский троян Ramnit, который в минувшем году возобновил свою активность. Согласно сообщению исследователей, преступники используют вредоносные PopUnder-баннеры (реклама, автоматически появляющаяся при открытии некоторых сайтов, при нажатии на кнопку «закрыть» рекламная страница появляется в новом окне браузера), принадлежащие рекламной сети ExoClick, для перенаправления пользователей на ресурс, содержащий набор эксплоитов Rig, загружающий на компьютеры жертв троян Ramnit. Эксперты Malwarebytes проинформировали администрацию ExoClick о вредоносной рекламе и подозрительные баннеры уже удалены из сети, так же как и аккаунт злоумышленника их распространявшего. Летом 2016 года разработчики вредоносного ПО Ramnit выпустили вторую версию трояна, которую использовали в атаках на шесть крупных банков в Великобритании. Помимо хищения учетных данных для сервисов интернет-банкинга, Ramnit может собирать пароли из браузеров и других приложений. Напомним, в феврале 2015 года в ходе совместной операции правоохранительных органов ряда стран была пресечена деятельность ботнета Ramnit, инфицировавшего более 3 млн компьютеров по всему миру.

Eset объявила о том, что ее эксперты обнаружили новый троян-загрузчик, нацеленный на смартфоны и планшеты на базе Android. Как рассказали в компании, установившие программу пользователи могут лишиться средств на банковском счете. Троян предназначен для загрузки и исполнения других вредоносных программ, включая банковское ПО для кражи средств в системах мобильного банкинга. Загрузчик распространяется через скомпрометированные сайты и соцсети и маскируется под обновление для Adobe Flash Player. После установки на планшет или смартфон загрузчик сохраняется под видом сервиса Saving Battery («Экономия заряда батареи») и запрашивает расширенные права в системе. Получив необходимые разрешения, троян устанавливает контакт с удаленным сервером и загружает в систему другие вредоносные программы. «Исследованные образцы трояна позволяли атакующим загружать банковское ПО для кражи средств со счета жертвы, – комментирует Лукаш Стефанко, вирусный эксперт Eset. Но достаточно минимально изменить код, чтобы перенастроить загрузчик на распространение шифраторов или шпионских программ». Признак заражения – наличие в меню «Спец. возможности» (Accessibility) сервиса Saving Battery. Чтобы избавиться от загрузчика, необходимо установить надежное решение для мобильной безопасности или удалить вредоносное ПО вручную (Настройки – Диспетчер приложений – Flash-Player). Если загрузчик уже получил права администратора устройства, перед удалением их необходимо отключить (Настройки – Безопасность – Flash-Player). «К сожалению, удаление загрузчика не поможет избавиться от вредоносных приложений, которые он уже установил», – говорит Лукаш Стефанко. Eset рекомендует загружать приложения и обновления ПО только на легитимных площадках, проверяя URL, обращать внимание на запросы разрешений и прав приложений, установить надежное антивирусное ПО. Eset NOD32 Mobile Security для Android детектирует новый загрузчик как Android/TrojanDownloader.Agent.JI.

Вирусные аналитики компании «Доктор Веб» исследовали нового банковского трояна, угрожающего пользователям операционной системы Microsoft Windows. Эта вредоносная программа создана вирусописателями на основе исходных кодов другого опасного «банкера» — Zeus (Trojan.PWS.Panda) — и получила наименование Trojan.PWS.Sphinx.2. Основное предназначение трояна заключается в выполнении веб-инжектов, сообщили в «Доктор Веб». Троян встраивает в просматриваемые пользователем веб-страницы постороннее содержимое — например, поддельные формы для ввода логина и пароля, информация из которых передается злоумышленникам. Потенциальная жертва обычно не замечает подмены: URL интернет-ресурса в адресной строке браузера и оформление сайта остаются прежними, поддельная форма или текст добавляется на веб-страницу прямо на зараженном компьютере. При этом банковские трояны могут обворовывать клиентов множества кредитных организаций, поскольку данные для выполнения веб-инжектов они получают с управляющего сервера. Если пользователь зайдет на банковский сайт, адрес которого имеется в конфигурации троянца, тот встроит в веб-страницу заранее сформированный злоумышленниками контент. При запуске Trojan.PWS.Sphinx.2 встраивается в работающий процесс программы «Проводник» (explorer.exe) и расшифровывает конфигурационный блок, в котором скрыт адрес управляющего сервера и ключ для шифрования принимаемых и отправляемых данных. Trojan.PWS.Sphinx.2 имеет модульную архитектуру: по запросу троян скачивает с сервера злоумышленников дополнительные плагины. Два из используемых банкером модулей предназначены для выполнения веб-инжектов в 32- и 64-разрядных версиях Windows, еще два — для запуска на зараженной машине VNC-сервера, с помощью которого киберпреступники могут подключаться к зараженному компьютеру. Кроме того, Trojan.PWS.Sphinx.2 скачивает и сохраняет на инфицированном компьютере набор утилит для установки корневого цифрового сертификата — киберпреступники используют его для организации атак по технологии MITM (Man in the middle, «человек посередине»). Кроме того, в составе трояна имеется так называемый граббер — функциональный модуль, перехватывающий и передающий на удаленный сервер информацию, которую пользователь вводит в формы на различных сайтах. Примечателен оригинальный способ автоматического запуска трояна на инфицированной машине: для этого используется сценарий на языке PHP и приложение-интерпретатор этого языка. Сценарий запускается с помощью ярлыка, который банкер помещает в папку автозагрузки. Всю необходимую для своей работы информацию троян хранит в зашифрованном виде в системном реестре Windows. Модули сохраняются в отдельном файле со случайным расширением, который тоже зашифрован. Антивирус Dr.Web детектирует и удаляет трояна Trojan.PWS.Sphinx.2, поэтому он не представляет опасности для пользователей продукта, подчеркнули в «Доктор Веб».

Новые модификации вредоносного ПО Carbanak используют ряд сервисов Google (Google Apps Script, Google Sheets и Google Forms) для хостинга своей C&C-инфраструктуры, сообщают эксперты компании Forcepoint Security Labs.По данным исследователей, злоумышленники рассылают спам-сообщения с прикрепленным вредоносным RTF-документом, содержащим OLE объект с файлом VBScript. При открытии документа пользователям предлагается разблокировать контент двойным щелчком мыши. После осуществления данного действия на экране отображается диалоговое окно для запуска unprotected.vbe, однако в действительности на компьютер будет загружен банковский троян Carbanak.Предыдущие версии Carbanak связывались с C&C-сервером для получения дальнейших указаний и отправляли похищенную информацию на другой web- или FTP-сервер. Однако новая модификация действует иначе. Оказавшись на системе, вредонос генерирует уникальный идентификатор для каждой жертвы, а затем пингует Google Apps Script, сообщая ID инфицированного компьютера. Google Apps Script предоставляет вредоносу URL Google Spreadsheet и Google Forms, которые нужно использовать для данной жертвы.В Google Spreadsheet хранится конфигурация и команды, которые вредоносная программа должна выполнить, а Google Forms используется для выгрузки похищенной информации.Исследователи Forcepoint совместно с Google уже ведут работу по прекращению операции Carbanak. Группировка Carbanak продолжает искать новые техники для уклонения от обнаружения. Эксплуатация Google в качестве независимого C&C-канала, вероятнее всего, будет более действенным методом, чем использование свежесозданных доменов или доменов без репутации, отмечают эксперты.