"Мир интернета"

[душман]

Российские хакеры атаковали ведущий финский медиаконцерн Sanoma

Хакерская группировка Pawn Storm предпринимала попытки получить доступ к конфиденциальной информации ведущего финского медиаконцерна Sanoma и международной экспертно-журналистской группы Bellingcat, занимающейся расследованием конфликта на востоке Украины.

Об этом сообщила финская государственная ТРК Yle со ссылкой на ИБ-эксперта Trend Micro Фейке Хакуеборда и главу Sanoma Кая Така-Ахо.
Как пояснил Хакуеборд, злоумышленники установили в Голландии поддельный сервер с адресом, похожим на адрес настоящего почтового сервера компании Sanoma (различие заключалось лишь в одном символе). По словам эксперта, атака, скорее всего, имела место в августе прошлого года, и сервер работал в течение нескольких недель до того, как был закрыт.
Злоумышленники пытались получить доступ к почте сотрудников компании и отправлять письма от их имени.
Руководство Sanoma провело расследование инцидента и не обнаружило каких-либо следов похищения информации. Тем не менее, полностью исключить возможность утечки Така-Ахо не может.  
Хакерская группировка Pawn Storm (также известна как Sofaty, APT28, Fancy Bear, Sednit и STRONTIUM) предположительно связана с правительством РФ. Ее жертвами становятся политические, военные и коммерческие организации по всему миру. В мае нынешнего года стало известно об атаках Pawn Storm на партию германского лидера Ангелы Меркель «Христианско-демократический союз».

[душман]

Неизвестные атаковали учетные записи пользователей TeamViewer

В последние несколько дней в Сети появилось значительное количество сообщений от зарубежных пользователей утилиты для удаленного доступа TeamViewer, утверждающих, что кто-то получил несанкционированный доступ к их компьютерам и серверам, браузерам, электронной почте, а также опустошил счета PayPal.

По всей видимости, злоумышленники взломали учетные записи жертв в TeamViewer и таким образом получили контроль над устройствами. Многие пострадавшие использовали белые списки и двухфакторную аутентификацию, однако это не спасло их учетные записи от взлома.
В ночь с 31 мая на 1 июня нынешнего года ресурс TeamViewer.com на несколько часов вышел из строя. Предположительно, проблема была связана с DNS-серверами. Спустя некоторое время сайт восстановил работу.
Компания TeamViewer опубликовала официальное заявление, датированное, как ни странно, 23-м мая, но относящееся к недавним событиям. Согласно сообщению, компьютерные системы не подвергались взлому, а в инциденте виноваты сами пользователи, использующие ненадежные учетные данные и одинаковые пароли на различных ресурсах.
Не исключено, что в атаках злоумышленники могли применить новый троян BackDoor.TeamViewer.49, маскирующийся под обновление для Adobe Flash Player. Это уже не первый случай, когда программа TeamViewer используется с неблаговидной целью. Как стало известно в марте нынешнего года, инструмент для удаленного доступа применялся для распространения вымогательского ПО Surprise.

[душман]

В Windows 10 появилась поддержка двух антивирусов

В новом билде Windows 10 появилась поддержка одновременной работы двух антивирусов: встроенного «Защитника Windows» и любого стороннего антивируса.

Корпорация Microsoft добавила в билд 14352 операционной системы Windows 10 поддержку двух антивирусов, работающих параллельно.
Начиная с Windows XP, компания встраивает в операционную систему интегрированный антивирус «Защитник Windows». Он с самого начала был и в Windows 10.
«Защитник Windows» позволяет запускать проверку дисков ПК или подключенных внешних накопителей вручную. Он также проверяет скачанные и исполняемые файлы на наличие вирусов и следит за непреднамеренным изменением системных настроек.
В билде 14352 также появилась новая функция, которая называется Limited Periodic Scanning («ограниченное периодическое сканирование»). При ее включении «Защитник Windows» будет время от времени сканировать диски ПК в фоновом режиме, сообщать об угрозах в случае их обнаружения или просто оповещать о том, что в такое-то время была выполнена проверка компьютера.
Напротив ползунка включения функции сказано, что «Защитник Windows» может проверять диски даже при работе сторонней антивирусной программы. То есть между ними не будет возникать конфликтов.
Ранее для того чтобы задействовать сторонний антивирус, работу «Защитника Windows» приходилось отключать.

[душман]

Хакеры трижды атаковали видеонаблюдение за ЕГЭ

Сайт видеонаблюдения за ЕГЭ smotriege.ru в этом году трижды атаковали хакеры.

Об этом заявила вице-президент «Ростелекома» Ольга Румянцева.«Было всего три попытки, 50 Гбит была последняя», — сказала топ-менеджер компании.
Последнюю DDoS-атаку отразили 30 мая во время обязательного экзамена по русскому языку — самого массового экзамена основной волны. Предыдущие два штурма сайта пришлись на 27 мая, на время экзаменов по литературе и географии.
По словам Румянцевой, на работоспособности сайта атаки не сказались.
Камеры «Ростелекома» установлены в более чем 59 тысячах аудиторий, они транслируют происходящее на экзаменах в режиме реального времени. В этом году их число увеличилось в 2,5 раза по сравнению с 2015 годом.

[душман]

Reg.ru открыл предзаказ на адреса в зоне .STORE

Российский регистратор и хостинг-провайдер Reg.ru открывает предзаказ на адреса в зоне .STORE.

Новая доменная зона будет интересна владельцам онлайн- и оффлайн-магазинов и облачных хранилищ, сообщили в Reg.ru.
Как отметили в провайдере, онлайн-торговля во всём мире развивается стабильно высокими темпами. В 2015 г. на интернет-магазины пришлось 6,7% оборота от общей розничной торговли. Их количество в мире по разным данным колеблется от 12 до 24 млн. До недавнего времени владельцам онлайн-магазинов приходилось искать свободные домены в крупнейших международных зонах .COM, .NET или в различных национальных зонах, в зависимости от страны, в которой представлен магазин.
Учитывая высокую насыщенность этих доменных зон, новому участнику рынка сложно зарегистрировать привлекательный для клиентов и запоминающийся адрес.
C открытием специализированных зон .SHOP, .MARKET, .SALE и других у онлайн-магазинов появились новые возможности позиционирования в онлайн-среде. Домен .STORE продолжает линию тематических «торговых» доменов. Он подойдёт для крупных ритейлеров, оффлайн- и онлайн-магазинов с самыми разными товарами, универмагов, торговых центров и бутиков. Кроме того, слово «store» обладает значением «склад» или «хранилище», поэтому на этом домене может расположиться сайт как участника рынка складской недвижимости, так и хостинг-провайдеров, поставщиков облачных услуг, производителей жёстких дисков и других цифровых хранилищ, считают в Reg.ru.
Домен .STORE выйдет в открытую регистрацию 14 июня, но уже сегодня любой желающий может сделать предзаказ понравившегося веб-адреса на сайте аккредитованного регистратора Reg.ru, указав его в своей заявке и оплатив годовую стоимость. В течение первых двух месяцев с момента открытой регистрации цена на домен .STORE будет снижена до 920 р. После 14 августа 2016 г. она составит 3682 р.
«Сегодня конкуренция в сегменте онлайн-торговли рынка весьма высока и для того, чтобы удержаться на рынке, нужны новые маркетинговые и бизнес-инструменты. Специализированные зоны смогут стать одним из решений этой проблемы. Домены в зонах .SHOP, .SALE, .STORE можно использовать как в качестве основного адреса сайта, так и в качестве зеркал и алиасов, для привлечения дополнительных аудиторий. Очевидно, что появление “торговых” доменных зон это не только событие на доменном рынке, но и новый этап в развитии e-commerce», — заявил генеральный директор Reg.ru Алексей Королюк.

[душман]

Роскомнадзор «пожизненно» заблокировал шесть пиратских ресурсов

Четыре online-кинотеатра и два торрент-трекера подверглись вечной блокировке в связи с незаконным распространением сериала «Озабоченные, или Любовь зла», права на который принадлежат телекомпании ТНТ.

По решению Мосгорсуда, Роскоманадзор на постоянной основе заблокировал доступ к ресурсам bigcinema.tv, allserails.tv, tushkan.net, tvgid.org, bigfangroup.org и riper.am.
Согласно расширенной версии антипиратского закона, ступившей в действие 1 мая 2015 года, распространяющий незаконный контент ресурс блокируется «навечно» в случае, если Мосгорсуд дважды удовлетворит иски о нарушении авторских прав, поданных одним и тем же правообладателем.
В общей сложности Реестр запрещенных ресурсов включает несколько десятков «пожизненно» заблокированных пиратских сайтов, в том числе крупнейшие торрент-трекеры Rutracker.org и Noname Club (Nnm-club.mе). В апреле нынешнего года к этому списку добавилась популярная интернет-библиотека Flibusta.net. Напомним, в минувшем марте представители Ассоциации защиты авторских прав в интернете (АЗАПИ) обратились к администрации мессенджера Telegram с требованием удалить бот Flibusta, нелегально распространявщий литературные произведения.

[душман]

Шотландский подросток взломал северокорейский аналог Facebook

Шотландский студент Эндрю МакКин взломал аналог социальной сети Facebook, запущенный в Северной Корее.

Молодому человеку удалось настолько быстро получить контроль над сайтом, что северокорейский клон популярной соцсети не просуществовал и дня после своего появления в интернете.
Сайт starcon.net.kp обнаружил директор центра интернет-анализа Dyn Research Даг Мэдори и разместил ссылку на него в своем микроблоге в Twitter. По словам специалиста, Starcon и Facebook схожи не только в плане дизайна, но и оформления строки поиска, списка друзей, а также формирования ленты новостей.
При создании ресурса использовалась платформа phpDolphin, позволяющая разработать сайт по шаблону Facebook.
Как рассказал МакКин, доступ к панели администратора удалось получить простым переходом по ссылке, размещенной внизу страницы. Студенту удалось подобрать логин и пароль, оказавшиеся довольно предсказуемыми - admin и password.
Доступ к панели администратора позволил МакКину получить полный контроль над соцсетью. Он мог беспрепятственно удалять или блокировать учетные записи, изменить название ресурса, просматривать электронные сообщения пользователей и выполнять прочие действия.
На момент написания новости ресурс starcon.net.kp уже исчез из Сети. Как полагает Даг Мэдори, соцсеть могла работать в тестовом режиме. В настоящее время неясно, причастно ли к проекту официальное правительство Северной Кореи, учитывая возможность доступа к соцсети пользователей из других стран.

[душман]

Личные данные 100 млн пользователей "ВКонтакте" украдены и выставлены на продажу

Персональные данные, названия учетных записей и пароли чуть более 100 млн пользователей российской социальной сети "ВКонтакте" украдены и выставлены на продажу.

Об этом сообщил американский онлайн-портал Motherboard.По его информации, хакер, действующий под псевдонимом Peace, получил доступ к именам пользователей соцсети, паролям, адресам электронной почты и номерам телефонов, которые были украдены в результате кибератаки на сайт в период между 2011 и 2013 годами.
Злоумышленник выставил данные на продажу за 1 биткоин (примерно $570) на одной из онлайн-платформ в так называемом теневом сегменте интернета. Хакер также сообщил, что в его распоряжении находится личная информация, принадлежащая еще около 70 млн пользователей "ВКонтакте", ее он пока продавать не намерен.
Как сообщает Motherboard, другой портал под названием LeakedSource, проверил выставленные на продажу данные и выяснил, что 92 из случайно выбранных 100 аккаунтов оказались действующими.
"ВКонтакте" является крупнейшей социальной сетью в русскоязычном сегменте интернета. Она была основана в 2006 году программистом Павлом Дуровым как социальная сеть для студентов вузов Санкт-Петербурга, однако уже осенью того же года стала общедоступной. Ее среднесуточная аудитория составляет около 65 млн посетителей.

[душман]

В России начнут отключать нецензурные домены

Согласно поправкам в «Правила регистрации доменных имен в зоне .ru и .рф», доменные имена, содержащие нецензурные слова, будут разделегированы.

Новые правила могут вступить в силу уже осенью текущего года, сообщают «Известия» со ссылкой на главу юридического департамента Координационного центра национального домена сети интернет (КЦ) Сергея Копылова.
В настоящее время пользователям запрещено регистрировать доменные имена со словами, «противоречащими общественным интересам, принципам гуманности и морали (в частности, слова непристойного содержания, призывы антигуманного характера, оскорбляющие человеческое достоинство либо религиозные чувства, и т.д.)».
Тем не менее, нецензурные домены в Рунете существуют. Как поясняет Копылов, сейчас регистрация доменных имен осуществляется автоматически, при этом они не подвергаются цензуре.
На данный момент у регистраторов нет права отключать такие домены. Единственная мера, которую они могут принять – внести их в стоп-лист. Это позволит запретить передачу интернет-адреса другому владельцу, но на работу самого домена никак не повлияет.
Подготовленные КЦ поправки дополнят список полномочий компетентных организаций, которые теперь смогут выявлять нецензурные домены и отключать их. Кроме прочего, КЦ намерен запретить повторную регистрацию доменов «пожизненно» заблокированных в России ресурсов.

[душман]

Обзор инцидентов безопасности за прошлую неделю

Прошлая неделя оказалась богатой самыми разнообразными инцидентами безопасности.  

Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 30 мая по 5 июня 2016 года.
В начале прошлой недели стало известно о масштабной утечке паролей от учетных записей в популярной соцсети MySpace. База данных содержит в общей сложности 427 484 128 хэшей паролей и 360 213 024 адресов электронной почты. Пароли были хэшированы при помощи алгоритма SHA1 без добавления соли, поэтому уже в скором времени 98-99% из них могут быть взломаны.
Последствия недавних утечек данных пользователей LinkedIn, MySpace и Tumblr не заставили себя долго ждать. Как сообщает ФБР, злоумышленники начали шантажировать жертв, требуя выкуп за сохранение молчания. В случае отказа платить преступники угрожают опубликовать компрометирующую пользователей информацию.
Российские избиратели, участвовавшие в праймериз Партии народной свободы (ПАРНАС), также стали жертвами утечки персональных данных. В открытом доступе оказались ФИО, номера телефонов, логины и пароли, указанные пользователями при регистрации на сайте «Волна перемен» для участия в выборах несистемной оппозиции.
Участники активистского движения Anonymous выложили в открытый доступ персональные данные около 5400 сотрудников Национальной полиции Испании. По заверению хакеров, помимо прочего, массив опубликованной информации содержит идентификационные номера, адреса электронной почты и хэши паролей полицейских. Атака была осуществлена с целью отомстить за троих участников Anonymous, суд над которыми проходит в Испании.
Не просуществовав и одного дня с момента запуска, северокорейский аналог Facebook был взломан шотландским студентом. По словам Эндрю МакКина, скомпрометировать starcon.net.kp не составило особого труда. Перейдя по размещенной внизу страницы ссылке, хакер получил доступ к панели администратора. Учетные данные оказались легко предсказуемыми – admin и password.
Как стало известно на прошлой неделе, хакеры эксплуатируют уязвимость нулевого дня в плагине Mobile Detector для Word Press. Проблема заключается в отсутствии каких-либо проверок во время загрузки файла. Удаленный пользователь может отправить HTTP POST или HTTP GET запрос к уязвимому сайту, указав ссылку на вредоносный файл и загрузить его на сервер.  
Как сообщил ИБ-эксперт Брайан Кребс, на русскоязычном форуме exploit.in выставлен на продажу за $90 тыс. эксплоит для ранее неизвестной уязвимости в Microsoft Windows. Согласно описанию, речь идет о локальном повышении привилегий в драйвере win32k.sys.
Эксперты компании FireEye сообщили о новом семействе вредоносного ПО Irongate для SCADA-систем, имеющем схожие черты с печально известным червем Stuxnet. В настоящее время вредонос неопасен, поскольку обнаруженные исследователями образцы разработаны специально для манипуляций с процессами в симулированной среде системы управления Siemens.
Исследователи из IBM X-Force предупредили о появившейся недавно угрозе информационной безопасности предприятий. По данным экспертов, киберпреступники взяли на вооружение новый способ вымогательства денег у компаний, получивший название «bug poaching». Хакеры находят уязвимость в корпоративной сети, эксплуатируют ее, похищают конфиденциальную информацию, а затем требуют от компании деньги за рассказ о том, как им это удалось.
Специалисты компании Microsoft уведомили о появлении нового вида вымогательского ПО ZCryptor с функциями сетевого червя. Вредонос способен самостоятельно копировать себя на сетевые и съемные устройства, что делает его первым саморазмножающимся шифровальщиком.

[душман]

Хорватские хакеры взломали официальный сайт Acunetix

В минувшую субботу, 4 июля, неизвестные хакеры взломали и осуществили дефейс главной станицы официального сайта разработчиков популярного web-сканера Acunetix.

Согласно размещенному сообщению, акция была осуществлена «просто ради смеха».Неизвестные также опубликовали на странице видео с выступлением премьер-министра Хорватии Тихомира Орешковича или Тимми, как назвали его хакеры. В результате инцидента сайт Acunetix более суток был недоступен. Сейчас ресурс работает в привычном режиме. Представители компании пока никак не прокомментировали ситуацию.
В настоящее время неясно, как атакующим удалось взломать сайт. По мнению эксперта в области информационной безопасности Эклавии Томара, в целях получения доступа к ресурсу злоумышленники могли проэксплуатировать уязвимости в устаревшей версии платформы WordPress, на базе которой работает Acunetix.
Как стало недавно известно, хакеры активно эксплуатируют уязвимость нулевого дня в популярном плагине для мобильных загрузок WP Mobile Detector. Эксплуатация проблемы позволяет злоумышленнику загрузить и выполнить произвольный файл на целевой системе.

[душман]

Незащищенные web-приложения представляют растущую угрозу безопасности

Компания High-Tech Bridge опубликовала отчет об основных киберугрозах за первое полугодие 2016 года.

По данным исследователей, свыше 60% web-сервисов или API для мобильных приложений содержат по крайней мере одну опасную уязвимость, позволяющую скомпрометировать базу данных. 35% уязвимых к XSS-атакам сайтов также уязвимы к SQL-инъекциям и XXE-атакам.
По сравнению с 2015 годом, в первой половине текущего года в 5 раз участились случаи эксплуатации опасных уязвимостей (например, позволяющих осуществить SQL-инъекцию) в ходе атак RansomWeb. Данный способ заключается в том, что злоумышленники шифруют базу данных и требуют выкуп за ее восстановление.
23% сайтов по-прежнему используют спорный протокол SSLv3 (в топ-5 стран входят США, Германия, Великобритания, Франция и Россия). 97% ресурсов используют протокол TLS 1.0 (в топ-5 стран входят США, Россия, Германия, Великобритания и Нидерланды). Совет по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC) ввел ограничение на использование данного протокола с июня 2018 года.
23% сайтов содержат уязвимость POODLE, и только 0,43% - Heartbleed. Конфигурация SSL/TLS соответствует требованиям PCI SSC у 24,3% ресурсов, и только у 1,38% сайтов соответствует рекомендациям Национального института стандартов и технологий США (NIST).
79,9% web-серверов имеют неправильно сконфигурированные или небезопасные заголовки HTTP. Все актуальные на сегодняшний день необходимые обновления и исправления установлены только на 27,8% web-серверов.
Web-приложения, защищенные межсетевыми экранами, в среднем содержат на 20% больше уязвимостей, чем незащищенные. Возможность обхода межсетевых экранов существует у 60% приложений.
Наиболее часто мошеннические домены встречаются среди доменов верхнего уровня .com и .org. Лидерами по количеству вредоносных и мошеннических сайтов являются США, Сингапур и Польша.

[душман]

Полиморфный банковский вирус Bolik — опасный наследник Zeus и Carberp

В июне 2016 г. вирусные аналитики компании «Доктор Веб» завершили исследование нового опасного вируса.

Он способен красть деньги со счетов клиентов российских банков, похищать конфиденциальную информацию и различными способами шпионить за своей жертвой. Вирус наследует некоторые технические решения широко известных банковских троянов Zeus (Trojan.PWS.Panda) и Carberp, при этом умеет распространяться без участия пользователя и заражать исполняемые файлы, сообщили в «Доктор Веб».
Помимо прочего, его крайне сложно вывести с зараженного компьютера: лечение может занимать несколько часов.
Вредоносная программа получила наименование Trojan.Bolik.1. По словам экспертов компании, ее важным отличием от других современных банковских троянов, таких как Zeus и Carberp, является способность самостоятельно распространяться без участия пользователя и заражать исполняемые файлы. Такие вредоносные программы называют полиморфными файловыми вирусами.
Умение распространяться самостоятельно и инфицировать программы можно назвать наиболее опасным свойством этого банкера, считают в «Доктор Веб». Функция самораспространения активируется по команде злоумышленников, после чего Trojan.Bolik.1 начинает опрашивать доступные для записи папки в сетевом окружении Windows и на подключенных USB-устройствах, ищет хранящиеся там исполняемые файлы и заражает их. При этом Trojan.Bolik.1 может инфицировать как 32-, так и 64-разрядные приложения.
Зараженные этим вирусом программы детектируются антивирусом Dr.Web под именем Win32.Bolik.1. Внутри каждой такой программы хранится в зашифрованном виде сам банковский троян Trojan.Bolik.1, а также другая необходимая вирусу информация. Если пользователь запустит на своем компьютере инфицированное приложение, вирус расшифрует трояна Trojan.Bolik.1 и запустит его прямо в памяти атакуемого компьютера, без сохранения на диск. При этом вирус имеет специальный встроенный механизм, позволяющий «на лету» изменять код и структуру собственной части, отвечающей за расшифровку Trojan.Bolik.1.
Таким образом вирусописатели пытаются затруднить обнаружение своего детища антивирусными программами. Кроме того, Win32.Bolik.1 пытается противодействовать антивирусам, умеющим пошагово выполнять вредоносные программы в специальном эмуляторе — в архитектуре вируса предусмотрены своеобразные «замедлители», состоящие из множества циклов и повторяющихся инструкций.
От Carberp Trojan.Bolik.1 унаследовал виртуальную файловую систему, которая хранится в специальном файле. Этот файл троян размещает в одной из системных директорий или в папке пользователя. Виртуальная файловая система позволяет вредоносной программе скрыто хранить на зараженном компьютере нужную ей для работы информацию. У Zeus Trojan.Bolik.1 позаимствовал механизм встраивания в просматриваемые пользователями веб-страницы постороннего содержимого, то есть реализацию технологии веб-инжектов. С ее помощью злоумышленники похищают у своих жертв логины и пароли для доступа к системам «банк-клиент» и другую ценную информацию.
Trojan.Bolik.1 ориентирован, прежде всего, на кражу информации у клиентов российских банков — об этом свидетельствуют характерные строчки в конфигурационном файле, передаваемом вирусу с управляющего сервера, указали в компании.
Основное назначение Trojan.Bolik.1 — кража различной ценной информации. Он может достичь этой цели разными способами. Например, контролировать данные, передаваемые и отправляемые браузерами Microsoft Internet Explorer, Chrome, Opera и Mozilla Firefox. Благодаря этому троян способен похищать информацию, которую пользователь вводит в экранные формы. Кроме того, в шпионский арсенал банкера входит модуль для создания снимков экрана (скриншотов) и фиксации нажатий пользователем клавиш (кейлоггер).
Также Trojan.Bolik.1 умеет создавать на зараженной машине собственный прокси-сервер и веб-сервер, позволяющий обмениваться файлами со злоумышленниками. Нужные файлы эта вредоносная программа может найти по заданной в специальной команде маске. Как и некоторые другие современные банковские трояны, Trojan.Bolik.1 в состоянии организовывать так называемые «реверсные соединения» — с их помощью киберпреступники получают возможность «общаться» с зараженным компьютером, находящимся в защищенной брандмауэром сети или не имеющим внешнего IP-адреса, то есть работающим в сети с использованием NAT (Network Address Translation).
Вся информация, которой Trojan.Bolik.1 обменивается с управляющим сервером, шифруется по сложному алгоритму и сжимается.
«Функциональные возможности Trojan.Bolik.1 выглядят поистине пугающими, а его внутренняя архитектура довольно-таки сложна и неоднозначна. Антивирус Dr.Web детектирует и удаляет все компоненты этого опасного вируса, однако в связи с некоторыми особенностями внутреннего устройства Trojan.Bolik.1 лечение зараженного компьютера может занять длительное время. Пострадавшим от действия этой вредоносной программы пользователям рекомендуется набраться терпения в процессе антивирусного сканирования ПК», — отметили в «Доктор Веб».

[душман]

В Firefox устранены 14 уязвимостей

Разработчик популярного браузера Mozilla Firefox выпустил новую версию, в которой было устранено 14 уязвимостей различной степени опасности.

3 уязвимости, помеченные как критические (CVE-2016-2818, CVE-2016-2815 и CVE-2016-2819) устраняют ошибки, связанные с повреждением памяти. Удаленный пользователь может с помощью специально сформированной страницы выполнить произвольный код на уязвимой системе.
5 уязвимостей высокой степени опасности позволяют злоумышленнику вызвать ошибку использования после освобождения при обработке DOM-объектов, вызвать переполнение буфера и ошибку использования после освобождения при обработке WebGL-данных, повысить свои привилегии на Windows-системе через приложение для обновления браузера, а также осуществить спуфинг- и clickjacking-атаки.
4 уязвимости средней опасности могут позволить злоумышленнику подменить адресную строку браузера, просмотреть список заблокированных плагинов с помощью псевдо-классов CSS и обойти CSP-политику с помощью Java-апплета. Также устранены уязвимости, связанные с некорректной реализацией Network Security Services (NSS).
Две уязвимости низкой степени опасности связанны с частичным обходим политики единства происхождения через data: URI и отображением некорректных иконок, демонстрирующих привилегии доступа.
SecurityLab рекомендует всем установить последнюю версию Firefox 47 с сайта производителя или через функционал автоматического обновления.

[душман]

Арестован хакер, похитивший более 1,5 млн рублей у сочинского банка

Сотрудники СУ УВД по г. Сочи завершили расследование уголовного дела в отношении 23-летнего жителя Свердловской области, обвиняемого в хищении 1,5 млн рублей у одного из банков Сочи.

Об этом сообщает пресс-служба УВД по г. Сочи.Как установило следствие, в 2013 году хакер инфицировал вредоносным ПО компьютерную систему сочинского финучреждения и получил доступ к реквизитам одного из расчетных счетов. Преступник передал информацию своему сообщнику, который перевел со взломанного счета на заранее открытые счета сумму в размере более 1,5 млн рублей.
В настоящее время свердловчанин арестован. Хакер обвиняется в совершении преступления предусмотренного ч. 5 ст. 33, ч.3 ст. 159.6 УК РФ «Пособничество при совершении мошенничества в сфере компьютерной информации». Материалы дела переданы в суд для дальнейшего рассмотрения. Если молодой человек будет признан виновным, ему грозит наказание в виде лишения свободы сроком до 5 лет.
Напомним, в начале июня нынешнего года сотрудники МВД и ФСБ задержали порядка 50 участников хакерской группировки, подозреваемых в хищении денежных средств со счетов компаний и финансовых организаций. Общий ущерб от деятельности злоумышленников оценивается в сумму, превышающую 1,7 млрд рублей.

[душман]

19% детских аккаунтов в соцсетях подвергаются взлому

Больше половины детей уже сталкивались с угрозами в соцсетях.

Это выяснила компания Eset, опросив 1200 родителей в России. Респонденты ответили на вопрос «С какими интернет-угрозами сталкивались в соцсетях ваши дети или младшие братья и сестры?», сообщили сегодня в Eset.
Выяснилось, что самая распространенная проблема — взлом аккаунта. 19% детей уже пострадали от «угонщиков», лишившись доступа к своей странице на время.
11% респондентов жаловались, что дети добавляют в друзья странных пользователей: поддельные аккаунты, спамеров и пр. Фейковые страницы могут быть как безобидным развлечением одноклассников, так и «рабочим инструментом» злоумышленников.
Еще 10% опрошенных лишились денег из-за детской невнимательности в соцсетях: маленькие пользователи по ошибке подписывались на платные игры и дорогие сервисы.
Некоторые пользователи в комментариях к опросу жаловались на спам, который дети получают в соцсетях. 6% опрошенных рассказали, что злоумышленники присылали вредоносные ссылки, а 3% респондентов сообщили, что их дети вступали в переписку с мошенниками.
Немало респондентов упомянули еще одну угрозу — кибербуллинг. С проблемой сетевой травли знакомы 3% детей.
Меньше трети опрошенных (всего 29%) сообщили, что в их семье дети никогда не сталкивались с проблемами в соцсетях.
19% респондентов назвали в комментариях другие проблемы соцсетей: доступность «взрослого» видео, рассылку спама, поиск и установку детьми фальшивых модов для компьютерных игр, а также «все перечисленные угрозы».

[душман]

Tinder заблокирует всех пользователей младше 18 лет

Приложение для знакомств Tinder планирует увеличить минимальный возраст своих пользователей.

На данный момент знакомиться с помощью сервиса могут лица старше 13 лет, но уже со следующей недели иметь аккаунты в приложении смогут только люди, достигшие 18-летнего возраста. Об этом в четверг, 9 июня, сообщает The Telegraph.
В компании объяснили свое решение о повышении минимального возраста «ответственностью перед пользователями». В приложении уже действуют ограничения, согласно которым лица младше 17 лет не могут общаться с совершеннолетними пользователями, однако Tinder все равно неоднократно подвергали критике.
В частности, компанию обвиняли в том, что она не обеспечивает соблюдение своих собственных возрастных ограничений. Кроме того, многие высказывались против того, чтобы разрешать знакомиться детям, не достигшим возраста согласия.
Всего будет заблокировано менее трех процентов аккаунтов. Из 50 миллионов человек, которые знакомятся с помощью приложения, 18 лет не достигли около трех миллионов пользователей.
Отмечается, что для доступа к Tinder используется аккаунт в Facebook, в котором пользователи могут умышленно указать неверные данные о возрасте. В социальной сети можно изменять дату рождения, при этом достоверность сведений не проверяется.

[душман]

В Сети продаются учетные данные 32 млн пользователей Twitter

Хакер, который ранее уже выкладывал базы с учетными данным пользователей LinkedIn, MySpace и Tumblr создал новый лот.

На этот раз жертвами утечки стали пользователи популярного микроблога Twitter.Российский хакер под ником Tessa88 выложил на продажу очередную базу учетных данных, содержащую 379 миллионов записей по цене в 10 биткоинов ($5820).
После удаления дубликатов и анализа полученных данных LeakedSource, общее количество похищенных учетных данных составило 32 888 300. В продаваемой базе хранятся имена пользователей, email адреса и пароли в открытом виде.
LeakedSource подтвердил достоверность продаваемых данных. По предварительным оценкам, утечка датируется 2014-2015 годами. Поскольку пароли в базе находятся в открытом виде, учетные данные пользователей скорее всего были собраны с помощью ботнета.

[душман]

Хакеры взломали корпоративный сайт Первого канала

Киберальянс хакеров FalconsFlame, Trinity и RUH8 взломал корпоративный сайт Первого канала российского телевидения.

Как сообщается на сайте группировки RUH8, при проведении атаки использовалась информация, опубликованная украинским порталом «Миротворец». Хакеры требуют от РФ выполнения минских соглашений.
В результате взлома хакеры получили доступ к базе данных с контактной информацией сотрудников телеканала и пообещали передать 3,3 тыс. записей (для начала) центру «Миротворец» для последующей публикации (без SMS-сообщений и аккредитации).
Участники RUH8 уже разместили архив размером 51,7 МБ с анкетными данными работников телеканала на своем ресурсе.
Напомним, в начале мая нынешнего года группировка RUH8 опубликовала в открытом доступе незавершенный доклад «Об основных направлениях государственной региональной политики в Российской Федерации». Ранее хакеры взламывали официальные порталы Государственной Думы РФ и органа законодательной власти Астраханской области.

[душман]

Обнаружен новый наследник вымогательского ПО TeslaCrypt

Исследователи компании ESET сообщили о появлении нового вымогательского ПО, пришедшего на смену известному шифровальщику TeslaCrypt.

По словам специалистов, семейство вымогателей Crisis способно шифровать файлы на жестких, съемных и сетевых дисках. Вредонос использует особые техники и сильные алгоритмы шифрования, что значительно усложняет восстановление документов.
Злоумышленники используют несколько подходов для распространения Crisis. В большинстве случаев вредоносное ПО кроется в приложениях к спам-письмам, содержащих файлы с двойным расширением. Также Crisis может распространяться под видом безобидных установщиков для различных легитимных приложений.
Инфицировав компьютер, вредонос создает запись в реестре и приступает к шифрованию всех файлов на устройстве, за исключением системных, добавляя расширение на .ID%variable%.%email_address%.xtbl. Далее Crisis отправляет список, содержащий имя компьютера и количество зашифрованных файлов (а также их форматы), на C&C-сервер злоумышленников.
Затем вымогатель помещает в системную папку Desktop текстовый файл, сопровождающийся изображением с требованием выкупа. За восстановление зашифрованных документов злоумышленники требуют от €400 до €900. Выплата осуществляется в биткойнах.

[душман]

«Бестелесный» троян Kovter прячется в реестре

Компания «Доктор Веб» рассказала об одном из представителей группы «бестелесных» троянов, который получил название Trojan.Kovter.297.

Трояны данной группы не присутствуют на инфицированном компьютере в виде отдельного файла, а работают непосредственно в оперативной памяти, используя для своего хранения различные контейнеры, например, системный реестр Windows, сообщили в «Доктор Веб».
Trojan.Kovter распространяется с помощью другого трояна — Trojan.MulDrop6.42771, специально созданного для установки на атакуемые компьютеры вредоносных приложений. Такая связка детектируется «Антивирусом Dr.Web» под именем Trojan.Kovter.297. Несмотря на кажущуюся простоту своего предназначения, Trojan.MulDrop6.42771 имеет довольно-таки сложную архитектуру, отметили в компании. Код трояна содержит множество случайных строк и вызовов функций, чтобы усложнить его анализ, а основная вредоносная библиотека скрыта в ресурсах Trojan.MulDrop6.42771 в виде картинки.
Этот троян умеет определять, не запущены ли на компьютере виртуальные машины и иные средства отладки, которые обычно используются вирусными аналитиками для исследования образцов вредоносного ПО, и при обнаружении таковых завершает свою работу. Кроме того, он может показывать на экране компьютера произвольные сообщения и отключать функцию контроля учетных записей пользователя Windows (User Accounts Control, UAC).
Trojan.MulDrop6.42771 может обеспечить собственную автозагрузку в системе семью разными способами, а для запуска полезной нагрузки вирусописатели предусмотрели целых шесть различных методов: Trojan.MulDrop6.42771 использует тот из них, который указан в его конфигурации. Кроме того, эта вредоносная программа умеет копировать себя в корневые папки всех подключенных к зараженной машине дисков, создавая там файл автозапуска autorun.inf, то есть, распространяться подобно червю, пояснили в «Доктор Веб».
Как уже упоминалось ранее, некоторые образцы Trojan.MulDrop6.42771 содержат «бестелесного» трояна семейства Trojan.Kovter. Обычно он запускается трояном-носителем, но обладает и собственным механизмом автозапуска. Эта вредоносная программа создает в системном реестре несколько записей: одна содержит само тело трояна в зашифрованном виде, вторая — скрипт для его расшифровки и загрузки в память компьютера. Имена этих записей включают специальные нечитаемые символы, поэтому стандартная программа regedit не может их показать.
Фактически Trojan.Kovter работает в оперативной памяти инфицированного компьютера, не сохраняя собственную копию на диске в виде отдельного файла, что в определенной степени затрудняет его поиск и удаление. С точки зрения вредоносных функций Trojan.Kovter можно отнести к категории рекламных троянов — он незаметно для пользователя запускает в фоновом режиме несколько экземпляров браузера Microsoft Internet Explorer, «посещает» с их помощью указанных злоумышленниками сайтов и накручивает количество просмотров рекламы, нажимая на рекламные ссылки и баннеры.
Таким образом злоумышленники получают прибыль от организаторов партнерских программ и рекламодателей, размещающих рекламу с оплатой за нажатия и переходы.
Несмотря на то, что Trojan.Kovter старается работать на инфицированной машине скрытно, сканирование компьютера «Антивирусом Dr.Web» позволяет избавиться от заражения, указали в «Доктор Веб». Пользователям рекомендуется не забывать о своевременном обновлении вирусных баз и регулярно проверять компьютер при возникновении подозрений о присутствии на нем вредоносного ПО.

[душман]

Mozilla создала фонд для проведения аудитов безопасности ПО

Производитель бразуера Firefox создал новый фонд Secure Open Source, предназначенный для спонсирования аудитов безопасности кода программного обеспечения.

Компания надеется таким образом избежать появления опасных уязвимостей в открытом ПО, как в случае с Heartbleed и Shellshock.
Первый взнос основателя составил $500 тысяч. Эти средства пойдут различным компаниям в качестве оплаты за аудиты безопасности исходного кода приложений. Также деньги из этого фонда будут выплачиваться разработчикам, которые поддерживают проекты и вносят исправления безопасности в код ПО, проверяют достоверность наличия ошибки в коде и корректность внесенных исправлений.
По задумке основателей, фонд проспонсирует аудиты кода для самых популярных библиотек и приложений с открытым исходным кодом.
Mozilla надеется, что другие компании и государственные учреждения присоединятся к инициативе и станут спонсорами проекта.
Secure Open Source является частью более обширной программы Mozilla Open Source Support, запущенной в октябре прошлого года с годовым бюджетом в $3 миллиона.

[душман]

Microsoft объявила вознаграждение за обнаруженные уязвимости в своих продуктах

На этой неделе компания Microsoft сообщила о старте новой программы вознаграждения за обнаруженные уязвимости в своих продуктах .NET Core и ASP.NET Core RC2 Beta.

Об этом сообщается на странице программы.Программа вознаграждения действует с 7 июня по 7 сентября 2016 года. Производитель обещает минимальное вознаграждение в размере 500 долларов США за обнаруженную уязвимость. Максимальное вознаграждение составит $15 тысяч.
Добавив продукты в программу вознаграждения, производитель очевидно рассчитывает получить максимальный отзыв от сообщества исследователей перед выпуском финальной версии.
Программа вознаграждения распространяется на .NET Core, ASP.NET Core RC2 Beta и все последующие версии этих приложений, включая RTM версию, если последняя будет выпущена во время активности программы вознаграждения. Исследователи, желающие принять участие в программе, могут отправлять отчеты об обнаруженных уязвимостях в .NET Core, ASP.NET Core RC2 Beta продуктах на платформах Windows, OS X и Linux.

[душман]

Утекшие учетные данные LinkedIn используются для распространения банковских троянов

Специалисты центра SANS ISC предупреждают о вредоносной кампании, направленной на пользователей из Европейских стран.

В ходе атак злоумышленники используют учетные данные, похищенные в результате взлома соцсети LinkedIn.
Напомним, в мае нынешнего года на подпольном форуме The Real Deal была выставлена на продажу продажу база данных, содержащая учетную информацию, в том числе адреса электронной почты и пароли 117 млн пользователей ресурса LinkedIn. Стоимость БД составляла всего 5 биткойнов (порядка $2,2 тыс.).
По всей видимости, злоумышленники решили воспользоваться предоставленной возможностью в своих целях. По словам исследователей SANS ISC, мошенники запустили фишинговую кампанию, в ходе которой рассылают электронные письма с прикрепленным документом Microsoft Word. Файл содержит вредоносный макрос, активация которого приводит к загрузке банковского трояна Zeus Panda.
Для усыпления бдительности пользователя в письме указываются его персональная информация, в частности имя, название компании и занимаемая должность.
За последние несколько недель на продажу были выставлены несколько баз данных, содержащих логины/пароли и другую информацию миллионов пользователей популярных социальных сетей. К примеру, на том же The Real Deal можно найти базы данных с учетной информацией подписчиков ресурсов MySpace, «ВКонтакте», Tumblr и Twitter.

[душман]

В Сети активизировался шифратор Crysis

Компания Eset предупредила о росте активности шифратора Win32/Filecoder.Crysis.

Вредоносная программа шифрует все типы файлов на жестких, съемных и сетевых дисках. Crysis использует сильные алгоритмы шифрования, что затрудняет восстановление данных, сообщили в Eset.
Эксперты компании обнаружили две схемы заражения шифратором. Чаще всего Crysis распространяется в приложении к спам-письмам — исполняемый файл скрывается при помощи двойного расширения. Вторая схема — маскировка под безвредные установщики легитимных приложений в интернете и совместно используемых сетях.
После заражения Crysis создает запись в реестре и шифрует все файлы, за исключением системных. Далее он отправляет на сервер атакующих имя компьютера и число зашифрованных файлов.
Когда вредоносные действия завершены, на рабочий стол загружается текстовый файл How to decrypt your files.txt («Как расшифровать ваши файлы») с требованием выкупа. Некоторые версии Crysis устанавливают в качестве обоев рабочего стола файл DECRYPT.jpg с тем же содержанием. Сумма выкупа составляет от 400 до 900 евро, оплата — в биткоинах.
В Eset напомнили базовые способы защиты от шифраторов: игнорировать спам-письма, не загружать программы на подозрительных площадках, регулярно делать резервные копии, использовать комплексное антивирусное ПО.

[душман]

Обзор инцидентов безопасности за прошедшую неделю

Прошедшая неделя выдалась весьма неспокойной с точки зрения инцидентов безопасности.

Большой резонанс вызвали крупные утечки данных пользователей «ВКонтакте» и Twitter, атаки Anonymous на крупные фондовые биржи, множественные SQL-инъекции на сайтах Еврокомиссии и Европарламента и многое другое. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 6 по 12 июня 2016 года.
Как стало известно, учетные записи свыше 100 млн пользователей «ВКонтакте» выставлены на продажу на черном рынке. Продает базу данных хакер под псевдонимом Peace. Ее стоимость составляет 1 биткойн (около 38 тыс. руб.). По словам продавца, взлом имел место в 2011-2013 годах.
В начале прошлой недели стало известно о компрометации учетных записей основателя Facebook Марка Цукерберга в соцсетях Instagram, Twitter, LinkedIn и Pinterest. Ответственность за инцидент взяла на себя хакерская группировка Ourmine. Не исключено, что для доступа к учетным записям злоумышленники использовали данные, утекшие в результате взлома социальной сети LinkedIn в 2012 году.
Как сообщают эксперты центра SANS ISC, мошенники используют похищенную информацию пользователей LinkedIn в рамках фишинговой кампании по распространению банковского трояна Zeus Panda.
Российский хакер под ником Tessa88 выложил на продажу базу учетных данных пользователей Twitter, содержащую 379 млн записей по цене в 10 биткойнов (около 380 тыс. руб.). После удаления дубликатов и анализа полученных данных LeakedSource общее количество похищенных учетных данных составило 32 888 300. В продаваемой базе хранятся имена пользователей, электронные адреса и пароли в открытом виде.
Злоумышленники могли скомпрометировать личные данные 388 тыс. пользователей форума uTorrent. Команда uTorrent расследует инцидент безопасности и рекомендует сменить пароли. Характер и объем похищенной информации пока неизвестен. В худшем случае злоумышленники сумели заполучить электронные адреса, хеши паролей и другие данные.
На прошлой неделе о себе снова напомнили активисты Anonymous. В рамках операции OpIcarus злоумышленники осуществили ряд DDoS-атак на крупные мировые фондовые биржи. Жертвами Anonymous стали биржи в Нью-Йорке, Лондоне, Турции, Греции, Панаме и на Филиппинах.
Киберальянс хакеров FalconsFlame, Trinity и RUH8 взломал корпоративный сайт Первого канала российского телевидения. Как сообщается на сайте группировки RUH8, при проведении атаки использовалась информация, опубликованная украинским порталом «Миротворец». Хакеры получили доступ к контактным данным сотрудников телеканала и пообещали передать 3,3 тыс. записей (для начала) центру «Миротворец» для последующей публикации.
Участники RUH8 уже разместили архив размером 51,7 МБ с анкетными данными сотрудников телеканала на своем ресурсе.
Исследователи компании ESET сообщили о появлении нового вымогательского ПО, пришедшего на смену известному шифровальщику TeslaCrypt. По словам специалистов, семейство вымогателей Crisis способно шифровать файлы на жестких, съемных и сетевых дисках. Вредонос использует особые техники и сильные алгоритмы шифрования, что значительно усложняет восстановление документов.
«Доктор Веб» предупредил о новом полиморфном банковском трояне Trojan.Bolik.1, способном похищать деньги со счетов клиентов российских банков и шпионить за пользователями. Вредонос использует функциональные возможности таких известных троянов, как Zeus и Carberp, однако умеет распространяться без участия пользователя путем заражения исполняемых файлов.
ИБ-эксперты компании Vulnerability Lab в рамках проекта Government Laboratory обнаружили множественные SQL-инъекции на сайтах Европейского парламента и Еврокомиссии, располагающиеся на официальном домене europa.eu. Уязвимости присутствовали в различных разделах на сайте Еврокомиссии, включая inspire.ec.europa.eu, ec.europa.eu/growth и ec.europa.eu/social.
Исследователи Trend Micro обнаружили новое модульное вредоносное ПО для POS-терминалов. В отличие от остальных троянов подобного типа FastPOS не сохраняет похищенные данные о кредитных картах, а немедленно отправляет их на C&C-сервер злоумышленников. По мнению специалистов, данная особенность вредоноса говорит о том, что он предназначен для атак на небольшие сетевые среды.

[душман]

«Доктор Веб» поможет расшифровать поврежденные трояном CryptXXX файлы

Специалисты «Доктор Веб» помогут расшифровать поврежденные трояном CryptXXX файлы, если они были зашифрованы до начала июня 2016 г.

Об этом сообщили в «Доктор Веб».Как известно, трояны-энкодеры представляют серьезную опасность для пользователей по всему миру — эти вредоносные программы шифруют хранящуюся на компьютере информацию и требуют выкуп за ее расшифровку. Trojan.Encoder.4393, также известная под именем CryptXXX, является типичным представителем многочисленной группы троянов-энкодеров. Этот шифровальщик имеет несколько версий и распространяется злоумышленниками по всему миру. С целью увеличить прибыль от своей незаконной деятельности вирусописатели организовали специальный сервис по платной расшифровке поврежденных CryptXXX файлов, выплачивающий определенный процент распространителям трояна.
Все копии CryptXXX обращаются на единый управляющий сервер, а предлагающие расшифровку сайты расположены в анонимной сети TOR. Успешностью партнерской программы, по всей видимости, отчасти и объясняется широта географии известных случаев заражения, а также высокая популярность CryptXXX среди злоумышленников, полагают в компании. Зашифрованные трояном файлы получают расширение .crypt, а файлы с требованиями вымогателей имеют имена de_crypt_readme.txt, de_crypt_readme.html и de_crypt_readme.png.
«Если вы стали жертвой этой вредоносной программы, и файлы на вашем компьютере были зашифрованы до начала июня 2016 года, существует возможность восстановить информацию. Успех этой операции зависит от ряда факторов и в значительной степени — от действий самого пользователя», — заявили в «Доктор Веб».
В частности, в компании советуют не пытаться удалить какие-либо файлы с компьютера или переустановить операционную систему, а также не пользоваться зараженным ПК до получения инструкций от службы технической поддержки «Доктор Веб».
«Если вы запустили антивирусное сканирование, не предпринимайте каких-либо действий по лечению или удалению обнаруженных вредоносных программ — они могут понадобиться специалистам в процессе поиска ключа для расшифровки файлов, — пояснили в компании.Постарайтесь припомнить как можно больше информации об обстоятельствах заражения: это касается полученных вами по электронной почте подозрительных писем, скачанных из интернета программ, сайтов, которые вы посещали».
Для расшифровки файлов, поврежденных в результате действия CryptXXX, необходимо воспользоваться специальной страницей сервиса на сайте антивирусной «Доктор Веб». Бесплатная помощь по расшифровке файлов оказывается только обладателям лицензии Dr.Web, у которых на момент заражения был установлен Dr.Web Security Space (для Windows), «Антивирус Dr.Web» для OS X или Linux не ниже версии 10 или Dr.Web Enterprise Security Suite (версии 6+).
Другие пострадавшие могут воспользоваться платной услугой Dr.Web Rescue Pack через форму запроса: плата взимается только если анализ покажет, что расшифровка возможна. Кроме того, воспользовавшиеся этой услугой клиенты получают бесплатную двухгодичную лицензию на продукт Dr.Web Security Space для одного ПК, указали в «Доктор Веб».

[душман]

В Adobe Flash Player обнаружена очередная уязвимость нулевого дня

Исследователи «Лаборатории Касперского» Костин Раю и Антон Иванов обнаружили критическую уязвимость в Adobe Flash Player для Windows, Mac, Linux и Chrome OS, позволяющую злоумышленникам выполнить произвольный код и получить полный контроль над уязвимой системой.

CVE-2016-4171 затрагивает Adobe Flash Player 21.0.0.242 и более ранние версии.По словам Раю, уязвимость активно эксплуатируется с марта текущего года сравнительно новой APT-группой, которую в ЛК назвали ScarCruft. В настоящее время она проводит несколько операций с эксплуатацией двух уязвимостей в Adobe Flash Player и одной - в Microsoft Internet Explorer.
Жертвы ScarCruft были обнаружены в ряде стран, в том числе в России, Непале, Южной Корее, Китае, Индии, Кувейте и Румынии.
Сейчас группировка проводит две масштабные кампании – Operation Daybreak и Operation Erebus. Operation Daybreak началась в марте 2016 года. В ходе операции злоумышленники эксплуатируют уязвимость нулевого дня в Adobe Flash Player (CVE-2016-4171). В рамках кампании Operation Erebus хакеры используют известную критическую уязвимость в Adobe Flash Player (CVE-2016-4117).
По мнению экспертов, ScarCruft также может эксплуатировать исправленную в апреле уязвимость в Microsoft Windows (CVE-2016-0147).
Исследователи ЛК предоставят больше подробностей о CVE-2016-4171 после ее исправления, которое будет выпущено в четверг, 16 июня.

[душман]

Microsoft выпустила 16 бюллетеней безопасности в рамках «вторника исправлений»

Во вторник, 14 июня, Microsoft выпустила 16 обновлений безопасности в рамках «вторника исправлений», устраняющих 39 уязвимостей в программном обеспечении компании.

Шесть критических бюллетеней исправляют проблемы, позволяющие удаленно выполнить произвольный код.
Бюллетени MS16-063, MS16-068, MS16-069, MS16-070, MS16-076 и MS16-071 устраняют в общей сложности 25 уязвимостей, позволяющих удаленно выполнить код. Ошибки затрагивают Internet Explorer 11 для Windows 7-10, Edge, движки VBscript и Jscript в Windows Vista и Server 2008/R2, Windows Server 2012 и Server 2012 R2, пакет Microsoft Office.
Отметим, бюллетень MS16-071 также устраняет ошибку в Microsoft Office, эксплуатация которой может привести к утечке данных.
Бюллетени MS16-073, MS16-074, MS16-080 исправляют в общей сложности семь уязвимостей, проэксплуатировав которые злоумышленник может удаленно выполнить произвольный код, повысить привилегии на системе или вызвать утечку информации. Данным проблемам подвержены Windows 8.1, Windows 10, Windows Vista, Windows Server 2008-2012.
Наконец, бюллетени MS16-075, MS16-077, MS16-079, MS16-081, MS16-081 устраняют ряд уязвимостей в Windows 7-10, Windows Server 2008/2012, Outlook Web Access, протоколе WPAD и сервере Windows SMB. Ошибки позволяют повысить привилегии на системе, раскрыть важные данные или осуществить DoS-атаку.

[душман]

Автора 27 миллионов спам-сообщений в Facebook приговорили к 2,5 годам тюрьмы

Американец Сэнфорд Уоллес, в 2008-2009 годах отправивший 27 миллионов спам-сообщений в Facebook, приговорен к 2,5 годам тюремного заключения.

Об этом сообщает «Би-Би-Си».Получивший прозвище «король спама» хакер взламывал аккаунты пользователей соцсети, после чего рассылал сообщения их друзьям. При этом многие распространяемые им ссылки позволяли получать доступ к еще большему числу профилей. В итоге он зарабатывал деньги, сохраняя данные людей для последующих спам-рассылок или перепродажи.
ФБР вычислило и арестовало Уоллеса в 2011 году, после чего он признался в совершенных преступлениях. Однако это не помогло ему избежать тюремного заключения и штрафа в 310 тысяч долларов.
В середине апреля 2016 года российские пользователи Facebook массово жаловались на вирус в соцсети. Под видом личных сообщений от своих друзей владельцы аккаунтов получали ссылки на страницы, имитирующие ролик на YouTube. При переходе по ним профиль оказывается взломанным. Ролики, на которые вели ссылки, имели порнографическое содержание.