"Мир интернета"

[душман]

«Доктор Веб» обнаружил в Google Play трояна-похитителя логинов и паролей пользователей «ВКонтакте»

Специалисты компании «Доктор Веб» обнаружили в каталоге Google Play нового трояна.

Эта вредоносная программа, получившая имя Android.PWS.Vk.3, ворует у пользователей логины и пароли от учетных записей социальной сети «ВКонтакте», сообщили в «Доктор Веб».
Троян Android.PWS.Vk.3 прячется в приложении «Музыка из ВК», которое распространяется злоумышленниками через каталог Google Play от имени разработчика MixHard. Вирусные аналитики «Доктор Веб» проинформировали компанию Google об этой вредоносной программе, однако на момент публикации данного материала Android.PWS.Vk.3 был все еще доступен для загрузки.
По данным компании, троян представляет собой полноценный аудиоплеер, который позволяет прослушивать музыку, размещенную в социальной сети «ВКонтакте». Чтобы получить доступ к заявленному функционалу, пользователям необходимо войти в свою учетную запись, введя логин и пароль. Однако здесь владельцев мобильных устройств ждет неприятный сюрприз: вредоносное приложение втайне от них отправляет введенные данные на управляющий сервер, в результате чего злоумышленники фактически получают полный доступ к аккаунтам жертв и могут распоряжаться ими по своему усмотрению.
Специалисты «Доктор Веб» установили, что авторы Android.PWS.Vk.3 уже пытались продавать взломанные учетные записи на различных подпольных хакерских форумах. Кроме того, киберпреступники могут использовать украденные аккаунты и самостоятельно, например, для накрутки популярности различных групп и сообществ в сети «ВКонтакте».
Ранее вирусописатели уже распространяли этого трояна через Google Play, в частности, под именами Music for VK и Music VK (разработчик Dobrandrav), однако в настоящее время эти версии удалены из каталога. В общей сложности Android.PWS.Vk.3 успело загрузить не менее 12 тыс. пользователей, отметили в компании.
Создатели трояна предположительно имеют собственную группу в социальной сети «ВКонтакте», насчитывающую более 44 600 подписчиков, в которой среди прочего всем участникам предлагается установить Android.PWS.Vk.3 на мобильные устройства.
Кроме того, в каталоге Google Play авторы Android.PWS.Vk.3 разместили еще одно приложение-плеер, которое в настоящее время не содержит явного вредоносного функционала. Эта программа называется «Музыка и видео для ВК» и распространяется злоумышленниками от имени разработчика Gomunkul.
Несмотря на то, что сейчас этот плеер не выполняет вредоносных действий, он может стать полноценным трояном сразу после того, как вирусописатели изменят в нем всего лишь один параметр и выпустят соответствующее обновление программы. В результате приложение станет настойчиво предлагать пользователям установить некий плагин, необходимый для его работы, при этом сам плагин имеет тот же сертификат безопасности, что и троян Android.PWS.Vk.3, подчеркнули в компании.
На данный момент этот программный модуль не несет в себе какого-либо функционала, однако злоумышленники могут с легкостью обновить его и добавить в него любые функции, в том числе и вредоносные, полагают в «Доктор Веб».
В настоящее время указанный плеер установило более 1 млн пользователей, и каждый из них рискует в любой момент стать жертвой вирусописателей. Поскольку эта программа представляет потенциальную опасность для владельцев Android-смартфонов и планшетов, она была добавлена в вирусную базу под наименованием Android.Click.123.
В «Доктор Веб» рекомендуют использовать только официальные Android-приложения для работы с социальными сетями, а также установить антивирус для предотвращения заражения мобильных устройств. Троян Android.PWS.Vk.3 и потенциально опасная программа Android.Click.123 детектируются и удаляются антивирусными продуктами Dr.Web для Android.

[душман]

Adobe исправила в Flash Player 36 уязвимостей

Как и было обещано ранее, в четверг, 16 июня, компания Adobe выпустила обновления безопасности для Flash Player.

В общей сложности исправлено 36 уязвимостей, в том числе активно эксплуатируемая хакерами CVE-2016-4171. Последней версией медиапроигрывателя для Windows, macOS и ChromeOS является Flash Player 22.0.0.192, а для Linux – Flash Player 11.2.202.626. Flash Player с расширенной поддержкой был обновлен до версии 18.0.0.360.
Уязвимости CVE-2016-4144 и CVE-2016-4149 связаны с ошибкой при обработке шрифтов и позволяют выполнить код. С помощью CVE-2016-4142, CVE-2016-4143, CVE-2016-4145, CVE-2016-4146, CVE-2016-4147 и CVE-2016-4148 злоумышленник может вызвать ошибку использования после высвобождения и выполнить код. CVE-2016-4135, CVE-2016-4136, CVE-2016-4138 позволяют вызвать переполнение буфера и выполнить код.
Эксплуатируя уязвимость CVE-2016-4139, злоумышленник может обойти политику единства происхождения и раскрыть информацию, а CVE-2016-4140 – выполнить код.
Эксплуатация CVE-2016-4122, CVE-2016-4123, CVE-2016-4124, CVE-2016-4125, CVE-2016-4127, CVE-2016-4128, CVE-2016-4129, CVE-2016-4130, CVE-2016-4131, CVE-2016-4132, CVE-2016-4133, CVE-2016-4134, CVE-2016-4137, CVE-2016-4141, CVE-2016-4150, CVE-2016-4151, CVE-2016-4152, CVE-2016-4153, CVE-2016-4154, CVE-2016-4155, CVE-2016-4156, CVE-2016-4166 и CVE-2016-4171 может вызывать повреждение памяти и привести к выполнению кода.
Напомним, о CVE-2016-4171 стало известно на этой неделе. Как сообщили эксперты «Лаборатории Касперского», данная критическая уязвимость эксплуатируется APT-группой ScarCruft с марта нынешнего года.

[душман]

В России впервые навечно заблокировали сайт из-за «пиратского» ПО

Мосгорсуд по жалобе компании «1С» заблокировал пожизненно торрент-трекер dark-os.com.

Эта информация следует из картотеки Antizapret.info.Блокировка осуществлена на основании решения Мосгорсуда. С иском в Мосгорсуд обратилась компания «1С», обвинившая трекер в незаконном размещении созданных компанией программ: «1С:Предприятие», «1С:Бухгалтерия», «1С:Государственные и муниципальные услуги», «1С:Экзаменатор», «1С:Консолидация», «1С:Конструктор курсов» и «1С:Налогоплательщик».
Напомним, с 1 мая 2015 г. в России вступила в силу расширенная редакция «антипиратского» закона. Она позволяет владельцам прав на все виды контента (кроме фото) обращаться в Мосгорсуд с целью блокировки доступа к ресурсам, нарушающим их права.
Получив жалобу правообладателя, Мосгорсуд рассматривает ее в оперативном порядке и выносит определение о прекращении нарушения прав заявителя на данном ресурсе. После этого Роскомнадзор предоставляет ресурсы три дня на удаление спорного контента, в противном случае сайт попадает в Реестр запрещенных сайтов.
В России впервые пожизненно заблокирован интернет-ресурс, размещающий пиратские копии ПО.Со своей стороны, правообладатель обязан в течение двух недель подать полноценный иск в Мосгорсуд против данного ресурса. Согласно расширенной редакции «антипиратского» закона, если один и тот же правообладатель выиграл два иска к одному и тому же ресурсу, то доступ к нему блокируется на постоянной основе.
В отличие от блокировки на основе определения, которая может быть отменена Роскомнадзрором в случае прекращения нарушения авторских прав на данном ресурсе, постоянная блокировка на основе решения Мосгорсуда отмене не подлежит.
«1С» была первой ИТ-компанией, воспользовавшейся год назад возможностями «антипиратского» закона: она подавала жалобу на тот же трекер dark-os.com. Всего с того момента «1С» подала в Мосгорсуд семь жалоб на различные торрент-трекеры, включая torrentino.com, torrents.com, alltorrents.net и russ-tracker.ru.
Теперь же «1С» стала первой ИТ-компанией, добившейся блокировки доступа к пиратскому ресурсу на постоянной основе. Кроме нее есть еще несколько владельцев прав на ПО, которые преследуют пиратов по аналогичной процедуре.
Так, по жалобе интернет-магазина Softkey Мосгорсуд блокировал доступ к французскому файлообменному хостингу dl.free.fr. Причиной стало размещение на данном хостинге программы Reg Orginizer, предназначенной для работы с реестром Windows. Эксклюзивные права на распространение данной программы принадлежат Sofkey.
Ранее компания «Эргосоло» судилась с торрент-трекерами, незаконно размещающими созданную известным психологом Владимиром Шахиджаняном программу «Соло на клавиатуре», предназначенную для обучения ускоренному вводу текстов.

[душман]

Роскомнадзор будет блокировать сайты с детским порно без суда

Роскомнадзор и Координационный центр развития национальных доменов сети Интернет подписали соглашение о противодействии правонарушениям в сети, дающее Роскомнадзору право в досудебном порядке отключать сайты с детской порнографией.

Документ был подписан в рамках Петербургского международного экономического форума, говорится в сообщении ведомства.
В рамках своих полномочий Роскомнадзор будет выявлять сайты, систематически нарушающие законодательство по линии распространения детской порнографии и направлять запросы аккредитованному регистратору о возможности разделегирования доменного имени.
Регистратор, в свою очередь, должен своевременно рассмотреть его и сообщить о вынесенном решении ведомству.
Отмечается, что в случае принятия решения о приостановке делегирования соответствующего доменного имени в доменах .РФ/.RU, Роскомнадзор будет осуществлять дальнейший мониторинг возможности доступа к нему. При противоположном решении Роскомнадзор оставляет за собой право принять вынесенное решение или дополнительно произвести анализ доменного имени/контента, запросить у владельца ресурса или у жалобщика дополнительные сведения и данные, а также вновь направить сообщение регистратору.

[душман]

Уральскими хакерам удалось ограбить сразу три банка

Кировградский городской суд Свердловской области возбудил уголовное производство против Вадима Шарапова и Евгения Томилова.

Два местных хакера из Кировградска могут быть осуждены на 4 года лишения свободы за хищение с помощью вредоносных программ около 2,6 млн руб. со счетов банков Хакассии, Татарстана и Тыва. Подсудимые не признают свою вину.
Хакеры обвиняются сразу по нескольким статьям. Ст. 159.6 УК РФ предусматривает наказание за мошенничество, касающееся компьютерных данных, ст. 272 УК РФ – за незаконный доступ к компьютерным данным и ст. 273 УК РФ – за использование вредоносных программ. Пока не известна дата судебного заседания, однако дело о взломе банковских счетов уже было передано на рассмотрение судье Татьяне Букреевой.
По словам сотрудников ГУ МВД по Свердловской области кражу денежных средств клиентов в одном из банков Хакассии начали осуществлять еще в марте 2015 года. Тогда было открыто производство по незаконному похищению средств, однако личность злоумышленника так и не была установлена. Как заявляет начальник пресс-службы ГУ МВД по Свердловской области полковник Валерий Горелых, оперативная работа сотрудников помогла определить причастность к делу жителей Екатеринбурга и Кировграда.
Во время обыска имущества подозреваемых было обнаружено более 600 тыс. рублей, компьютерная техника, телефоны, 200 сим-карт, 100 банковских карт, жесткие диски и флеш-накопители.
Согласно уголовному делу, с ноября 2014 по март 2015 года один из обвиняемых, Вадим Шарапов, имеющий знания в работе с компьютерными программами, получил незаконный доступ к банковским данным клиентов республики Тыва, Хакассии и Татарстана. Евгений Томилов снимал переведенные на банковские карты подставных лиц деньги в банкоматах Екатеринбурга и Кировграда. Следствие выявило хищение денег из трех банков на сумму более чем 2,6 млн руб.

[душман]

Злоумышленники распространяют TeamViewer, содержащий бэкдор

Недавно стало известно о компрометации большого количества рабочих станций, использующих TeamViewer для удаленного управления доступом.

Изначально предполагалось, что причиной взлома компьютеров стала утечка данных компании TeamViewer, однако в компании опровергли эти слухи. Представители разработчика обвинили пострадавших пользователей в использовании небезопасных паролей.
Исследователи антивирусной компании Trend Micro обнаружили в Сети распространение инсталлятора TeamViewer, в состояв которого входит бэкдор. Злоумышленники использовали спам рассылки для установки устаревшей версии TeamViewer на компьютеры жертв в Италии. Не исключено, что именно таким образом пользовательские системы были взломаны.
В обнаруженной специалистами Trend Micro атаке использовался TeamViewer версии 6.0.17222.0, выпущенный еще в декабре 2010 года. В состав приложения входила подлинная версия инструмента для удаленного доступа совместно с одноименной системной библиотекой avicap32.dll (определяется как BKDR_TEAMBOT.DLL по классификации TrendMicro).
Приложение устанавливается в директорию %APPDATA%\Div или %APPDATA%/Addins на системе и может использоваться для получения полного контроля над компьютером жертвы. Библиотека, входящая в состав поддельного дистрибутива TeamViewer, является бэкдором с возможностями кейлогера. Учитывая особенности ОС Windows при подключении динамических библиотек, установленная таким образом библиотека активировалась при запуске устаревшей версии TeamViewer.
По информации Trend Micro, злоумышленники в течение месяца собирали логины и пароли пользователей на инфицированных системах.

[душман]

Эстонский хакер признал свою вину в хищении личных данных военных США

20-летний гражданин Эстонии Ардит Феризи полностью признал свою вину в ходе судебного заседания в штате Вирджиния.

Подсудимый сознался в хищении личных данных 1351 сотрудника оборонного и федеральных ведомств США и передаче этой информации членам террористической организации ДАИШ, запрещенной на территории РФ.
Похищенная информация содержала имена, email-адреса, пароли, расположение и номера телефонов военнослужащих и сотрудников федеральных ведомств.
Феризи грозит до 20 лет тюремного заключения за сотрудничество с вражеским государством. Еще 5 лет хакер может получить за взлом федеральных серверов и кражу конфиденциальных данных.
Согласно материалам следствия Феризи передал похищенную информацию члену ДАИШ Юнейду Хуссейну.
Подсудимый использовал учетную запись под ником KHS для осуществления своей онлайн-деятельности. KHS является аббревиатурой от Kosova Hacker’s Security, в прошлом хакерской группировки, подозреваемой во взломе более 20000 web-сайтов.
По данным ФБР, Феризи был организатором этой группировки.Расследование взлома федерального сервера позволило ФБР определить IP-адрес, с которого осуществлялась атака. Этот же IP адрес использовался злоумышленником для доступа к его учетным записям в Facebook и Twitter.
Собранных улик оказалось достаточно для определения личности и объявления в розыск злоумышленника. Феризи был арестован в Малайзии в октябре 2015 года, а затем экстрадирован в США.
Объявление заключительного приговора эстонскому хакеру назначено на 16 сентября. После отбытия наказания в американской тюрьме Феризи будет депортирован в Эстонию без права возврата на территорию США.

[душман]

Обзор инцидентов безопасности за прошлую неделю

Похоже, киберпреступникам не ведом покой – они с завидным упорством похищают данные, уводят средства с денежных счетов, создают и распространяют вредоносное ПО и многое другое.

Предлагаем ознакомиться с кратким отчетом о главных событиях в мире ИБ с 13 по 19 июня 2016 года.
Большую огласку на прошлой неделе получила кибератака на серверы Национального комитета Демократической партии США. По данным ИБ-компании CrowdStrike, привлеченной к расследованию инцидента, взлом осуществлялся двумя отдельными группировками Cozy Bear, также известной как CozyDuke или APT 29, и Fancy Bear (Sofacy или APT 28). По всей видимости, кибератаки осуществлялись с целью шпионажа. Свидетельства сотрудничества между двумя группами обнаружены не были.
Несмотря на доказательства причастности к атаке шпионских группировок, ответственность за нее взял на себя «хакер-одиночка» Guccifer 2.0. В качестве доказательства он опубликовал часть похищенных документов. Остальные файлы злоумышленник предоставил ресурсу Wikileaks для последующей публикации. Выложнные Guccifer 2.0 документы включают досье кандидата в президенты США Дональда Трампа, материалы по предвыборной стратегии кандидата на пост президента Хиллари Клинтон, документы, касающиеся внешней политики США, а также список спонсоров Демократической партии.
Активисты «Анонимного интернационала» в очередной раз напомнили о себе, опубликовав порцию документов из архива переписки пресс-секретаря правительства РФ Натальи Тимаковой. На этот раз группировка разместила в открытом доступе личные фотографии Тимаковой и ее супруга.
Начало прошлой недели ознаменовалось очередной крупной утечкой данных. В этот раз на торговой площадке The Real Deal были выставлены на продажу учетные данные 51 млн пользователей популярного в 2000-е годы музыкального файлообменника iMesh. БД состоит из 51 310 759 записей, каждая из которых включает адреса электронной почты, логины, пароли, IP-адреса и сведения о стране проживания пользователя. Предположительно, информация была похищена в результате взлома iMesh, произошедшего 22 сентября 2013 года.
Жертвами утечки данных также оказались 7 618 пользователей центра сертификации Let’s Encrypt. Причиной инцидента стала ошибка в автоматизированной системе, использующейся для новостной рассылки проекта. В результате ошибки к электронному письму был прикреплен список адресов электронной почты, принадлежащих другим подписчикам Let’s Encrypt. Таким образом почтовые ящики части пользователей сервиса стали известны другим адресатам.
На прошлой неделе стало известно о многочисленных попытках получения несанкционированного доступа к учетным записям пользователей GitHub. В ходе атак злоумышленники использовали логины и пароли из баз данных, похищенных в результате взломов различных online-сервисов.
Помимо всего вышеперечисленного, в Сеть также утекли персональные данные 45 млн пользователей свыше 1100 сайтов. Пострадавшие ресурсы и форумы предположительно принадлежат канадской компании VerticalScope. Утекшая база данных содержит логины, зашифрованные пароли, адреса электронной почты и IP-адреса.
На прошлой неделе не обошлось без сообщений о новых образцах вредоносного ПО. К примеру, эксперты компании «Доктор Веб» обнаружили в Google Play вредоносное приложение, маскирующееся под музыкальный плеер для соцсети «ВКонтакте». Вредонос распространяется под названиями «Музыка из ВК» (разработчик MixHard), «Music for VK» и «Music VK» (разработчик Dobrandrav). Для доступа к списку песен он запрашивает учетные данные пользователя, которые затем отправляются на сервер злоумышленников.
Компания Trend Micro сообщила о появлении вымогательского ПО для «умных» телевизоров. Если быть точнее, Frantic Locker (FLocker), ранее использовавшийся для блокировки экрана Android-устройств, теперь оптимизирован под Smart TV. Вредонос распространяется через зараженные сайты или SMS-сообщения.
«Лаборатория Касперского» рассказала о торговой online-площадки xDedic, предлагающей любому желающему недорого приобрести доступ к более 70 тыс. взломанных серверов по всему миру.
Завершилась неделя атакой на Децентрализованную автономную организацию (ДАО), в результате которой неизвестные злоумышленники похитили цифровую валюту Ethereum на сумму в $50 млн.

[душман]

PornHub запустил сервис для слабовидящих

Один из крупнейших в мире порноресурсов Pornhub запустил сервис для слабовидящих пользователей.

На сайте появился раздел Described Videos («Видео с описаниями»), в котором собраны ролики со специальной озвучкой. Об этом сообщает CNN.Аудиодорожка, в которой описывается происходящее на экране, наложена на оригинальное звуковое сопровождение видео. Комментарии для слабовидящих зрителей записывают профессиональные актеры.Вице-президент PornHub Кори Прайс заявил, что это нововведение стало началом масштабной кампании, в рамках которой порноресурс будет стремиться сделать свой контент доступным для всех категорий пользователей.Всего подобным образом было озвучено около 50 фильмов. В PornHub пояснили, что выбирали ролики, пользующиеся у посетителей сайта наибольшей популярностью. Отмечается также, что проект стал частью социальной программы Pornhub Cares, проводимой порноресурсом.Созданием контента для слабовидящих пользователей занимаются и другие крупные порталы. В 2015 году Netflix добавил тифлокомментирование к некоторым популярным шоу, а Twitter и Facebook внедрили функцию описания изображений, прикрепленных к постам.

[душман]

Обнаружен новый вымогатель, написанный на JavaScript

Использование нестандартных языков программирования для создания вредоносного ПО является дополнительным бонусом для вирусописателей.

Исследователи из Bleeping Computer обнаружили новый вид вымогательского ПО, написанный 100% на JavaScript. Новый вымогатель получил название RAA.Ранее исследователи уже наблюдали похожие решения, разработанные на NodeJS, новый вредонос не поставляется на систему в виде исполняемого файла, а является обычным JavaScript-сценарием.По умолчанию JavaScript не содержит средств шифрования данных, поэтому вирусописатели используют функционал библиотеки CryptoJS для шифрования файлов на системе с помощью алгоритма AES.В настоящий момент RAA поставляется на систему жертвы через спам-рассылку. Вредонос маскируется под документ Word. Пример названия файла: mgJaXnwanxlS_doc_.js.После запуска JS сценария, вредонос начинает шифровать файлы на диске. Злоумышленники требуют примерно $250 выкупа за возобновления доступа к файлам.К зашифрованным файлам добавляется расширение .locked. Вредонос шифрует файлы с расширениями .doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar, .csv.Вредонос также устанавливает на систему шпионское ПО Pony, предназначенное для кражи паролей пользователей.

[душман]

В ГД внесен законопроект о введении штрафов за доступ к запрещенным сайтам

Правительство внесло на рассмотрение Госдумы законопроект, который обяжет операторов связи платить штрафы за неисполнение обязанностей по ограничению доступа к запрещенным сайтам.

Согласно поправкам в Кодекс об административных правонарушениях (КоАП), сумма штрафа для должностных лиц составит 3-5 тысяч рублей, для лиц, осуществляющих предпринимательскую деятельность без образования юрлица — 10-30 тысяч рублей, на юрлиц — 50-100 тысяч рублей.
Протоколы о нарушении будет составлять Роскомнадзор, а решение о применении штрафных санкций по отношению к операторам-нарушителям будет принимать суд. Примечательно то, что нарушителями также будут считаться те операторы, которые не возобновили доступ к сайту, ранее попавшему в "черный список", но позднее исключенному из него.
Согласно текущему законодательству, провайдеры обязаны блокировать доступ к запрещенным сайтам. В октябре прошлого года Минкомсвязи разработало законопроект, устанавливающий ответственность провайдеров за неисполнения данного обязательства.

[душман]

Apple устранила критическую уязвимость в AirPort

Компания Apple выпустила бюллетень безопасности, уведомляющий о необходимости обновления прошивки на устройствах Apple AirPort.

Согласно описанию уязвимости в бюллетене, ошибка CVE-2015-7029 существует в коде, отвечающем за обработку DNS пакетов. Удаленный пользователь может с помощью специально сформированного DNS ответа вызвать переполнение буфера и выполнить произвольный код на целевой системе.
Уязвимость затрагивает устройства AirPort Express, AirPort Extreme и AirPort Time Capsule с поддержкой 802.11n, а также базовые станции AirPort Extreme и AirPort Time Capsule с поддержкой 802.11ac.
Производитель рекомендует своим клиентам установить последнюю версию прошивки 7.6.7 или 7.7.7 с помощью утилиты AirPort Utility 6.3.1 для OS X или AirPort Utility 1.3.1 для iOS.

[душман]

Эксперты рассказали о новых функциях Android-троянов

Исследователи Check Point обнаружили новые версии печально известного вредоносного ПО для мобильных устройств Triada и Horde.

По словам экспертов, Android-трояны получили ряд новых функций, в том числе способность обходить механизмы защиты Google в некоторых версиях ОС.
Новый вариант Triada способен заражать браузер, по умолчанию установленный на Android-устройстве, а также браузеры 360 Secure, Cheetah и Oupeng. Инфицировав систему, троян перехватывает запросы URL. В случае, если пользователь попал на один из определенных сайтов, вредонос отображает поддельную страницу, созданную злоумышленниками для похищения данных банковских карт.  
До недавнего времени главной функцией вредоносного ПО Triada было похищение денег через SMS-сообщения, когда жертва осуществляла покупки внутри приложений. Однако новая версия трояна способна перехватывать URL-адреса на инфицированном устройстве, заманивать ничего не подозревающих пользователей на поддельные страницы, выманивать у них данные платежных карт и даже обманным путем заставлять их загружать дополнительное вредоносное ПО.
Исследование Check Point дополняет отчет «Лаборатории Касперского», описывающий возможности обновленного трояна. Эксперты также обновили имеющиеся у них сведения о вредоносном ПО для Android-устройств под названием Horde. Вредонос заражает приложения в Google Play, такие как Viking Jump, Parrot Copter, Memory Booster, Simple 2048 и WiFi Plus.
По словам исследователей, с помощью новой техники обхода обнаружения новая версия Horde способна осуществлять мониторинг текущих процессов в Android Lollipop и Marshmallow. Как пояснил эксперт Check Point Орен Кориат, для предотвращения подобной активности Google заблокировала для приложений возможность вызывать getRunningTasks() API. Horde обходит эту меру безопасности, так как узнает о текущих процессах с помощью файловой системы “/proc/”.
Исследователь Check Point Дэниел Пардон сообщил, что такая техника является новой и ранее не встречалась. По его мнению, в скором времени подобная функция появится и у других образцов вредоносного ПО.

[душман]

В Челябинске задержаны хакеры при попытке взлома банкомата

19 июня двое жителей Челябинска попытались ограбить банкомат и были задержаны полицией на месте преступления.

Об этом сообщается на сайте ГУ МВД РФ по Челябинской области.В 4 часа утра на пульт охраны УМВД РФ поступил сигнал о попытке взлома банкомата. На место происшествия были отправлены патрульные, которые осуществили задержание.
Злоумышленниками оказались ранее не судимые безработные жители Челябинска 1996 и 1997 года рождения.Как объяснили задержанные, они пытались подключить к банкомату ноутбук и похитить деньги в размере более 600 тысяч рублей.
Преступникам предъявлены обвинения согласно ч. 3 ст. 158 Уголовного кодекса Российской Федерации «Кража». За подобное преступление злоумышленникам грозит до 6 лет лишения свободы.В настоящий момент подозреваемые находятся в изоляторе временного содержания.

[душман]

Новая версия WordPress устраняет множественные уязвимости

Вышла новая версия WordPress 4.5.3, устраняющая множественные уязвимости в популярной системе управления контентом.

В новой версии устранено 8 уязвимостей,обнаруженных сторонними исследователями и членами команды безопасности CMS.Максимальный рейтинг опасности устраненных уязвимостей – средний.В новой версии WordPress устранены уязвимости, позволяющие удаленному пользователю осуществить XSS нападение, получить доступ к закрытым публикациям, удалить категории чужой публикации, изменить пароль с помощью похищенных файлов куки, получить доступ к некоторой важной информации и вызвать отказ в обслуживании.2 хранимые XSS уязвимости могут эксплуатироваться только злоумышленником, имеющим непривилегированную учетную запись на сайте.SecurityLab рекомендует установить последнюю версию WordPress в кратчайшие сроки.

[душман]

Обнаруженные «Доктор Веб» приложения из Google Play содержат троянский плагин

Вирусные аналитики компании «Доктор Веб» обнаружили троян Android.Valeriy.1.origin, который используется вирусописателями для заработка на дорогостоящих подписках, а также для распространения других вредоносных приложений.

Об этом сегодня сообщили в «Доктор Веб».Троян Android.Valeriy.1.origin представляет собой вредоносный плагин, который вирусописатели встроили в безобидное ПО. Он распространяется разработчиками ZvonkoMedia LLC, Danil Prokhorov, а также horshaom в шести приложениях, доступных в Google Play: Battery Booster; Power Booster; Blue Color Puzzle; Blue And White; Battery Checker; Hard Jump — Reborn 3D.
Все они являются играми и сервисными утилитами, и к настоящему моменту в общей сложности из каталога их загрузило, по данным компании, более 15,5 тыс. пользователей. В то же время управляющий сервер трояна, к которому получили доступ специалисты «Доктора Веб», содержит сведения о более чем 55 тыс. уникальных установках. Вирусные аналитики компании передали в компанию Google информацию о программах, скрывающих в себе Android.Valeriy.1.origin, однако на момент выхода новости они все еще присутствовали в каталоге.
После запуска игр и приложений, в которых находится Android.Valeriy.1.origin, вредоносный модуль соединяется с управляющим сервером и получает от него задание, содержащее специально сформированную ссылку. Троян автоматически переходит по указанной ссылке, которая ведет на промежуточный веб-сайт, и тот, в зависимости от различных параметров, передает вредоносному приложению конечный URL. В большинстве случаев этот URL ведет на сомнительные веб-порталы, основная задача которых — получить номер мобильного телефона потенциальных жертв и подписать их на услугу, за использование которой ежедневно будет взиматься плата.
Среди рекламируемых трояном сервисов может встретиться, например, предложение посмотреть материалы эротического характера, а также скачать популярное ПО, которое на самом деле является бесплатным и доступно для загрузки в каталоге Google Play. Несмотря на то, что информация о факте подписки и ее стоимости указана на загружаемых страницах, многие пользователи могут ее просто не заметить и указать свой номер телефона.
Android.Valeriy.1.origin автоматически открывает в окне WebView один из таких сайтов и выводит его на экран в виде рекламного баннера. Одновременно с получением соответствующего задания Android.Valeriy.1.origin начинает отслеживать все входящие SMS. После того как жертва указывает номер телефона, ей поступает код подтверждения подписки на платный сервис. Однако Android.Valeriy.1.origin перехватывает и блокирует эти сообщения, тем самым лишая пользователя информации о том, что он согласился с условиями предоставления дорогостоящей услуги. В результате с мобильных счетов жертв, попавших на уловку злоумышленников и фактически согласившихся с условиями предоставления сервиса, каждый день будет списываться определенная плата.
Троян может также скачивать и различные программы, в том числе вредоносные. Например, среди них вирусные аналитики «Доктор Веб» обнаружили трояна-загрузчика Android.DownLoader.355.origin. Кроме того, в задании от управляющего сервера Android.Valeriy.1.origin способен получать различные JavaScript-сценарии, которые также выполняются через WebView. Этот функционал может использоваться для незаметных нажатий на интерактивные элементы, рекламные баннеры и ссылки на загружаемых веб-страницах.
Например, для автоматического подтверждения введенного пользователем номера телефона, а также с целью накрутки всевозможных счетчиков.
Для защиты от мошеннических действий со стороны злоумышленников специалисты «Доктора Веб» советуют пользователям Android-смартфонов и планшетов внимательно читать информацию во всплывающих окнах и уведомлениях, а также рекомендуют не вводить номер мобильного телефона в сомнительные экранные формы.
Большинство приложений, содержащих трояна Android.Valeriy.1.origin, защищено упаковщиком, который осложняет их анализ, однако антивирусные продукты Dr.Web для Android могут детектировать такие программы как Android.Valeriy.1 или Android.Packed.1. Все они успешно обнаруживаются и удаляются с мобильных устройств, поэтому для пользователей Dr.Web этот троян опасности не представляет, утверждают в компании.

[душман]

Amazon заблокирован в России

Облачный сервис Amazon, на котором хостится большое количество сайтов в России, заблокирован.

Роскомнадзор по требованию ФНС внес его в черный список. Информацию подтвердил официальный представитель Роскомнадзора Вадим Ампелонский.На указанной странице размещена реклама покер-рума "888poker", а также размещена ссылка на скачивание приложения для персонального компьютера, позволяющего играть в покер онлайн, — рассказал Апмелонский. Уполномоченный орган (ФНС РФ) считает претензии к странице обоснованными, так как на ней присутствует возможность скачать приложение для игры.Надзорное ведомство отправляло в Amazon уведомление, но никаких действий  предпринято не было. В результате в реестр запрещенных ресурсов был внесен Amazon S3, которым пользуются крупнейшие сервисы, в том числе онлайн-кинотеатр NetFlix, Airbnb, Twitter, Dropbox и др. Месячная посещаемость сервиса составляет порядка 71,6 млн человек, из них примерно 21,4 млн — пользователи из России.В конце 2015 года вступили в силу изменения в ФЗ N 244 "О государственном регулировании деятельности по организации и проведению азартных игр", которые наделили Федеральную налоговую службу (ФНС) полномочиями находить в интернете сайты с нелегальными азартными играми и направлять эту информацию для блокировки сайтов в Роскомнадзор.В России также сайты блокируют в соответствии с законом "О защите детей от информации, причиняющей вред их здоровью и развитию". Согласно постановлению правительства, выявлением порнографических материалов в интернете должен заниматься Роскомнадзор; поиском информации по незаконному распространению наркотиков и их пропаганде — Федеральная служба по контролю за оборотом наркотиков (сейчас МВД); обнаруживать материалы с пропагандой суицида и выявлять информацию, вредную для здоровья детей, — Роспотребнадзор; азартными играми в сети занимается Федеральная налоговая служба.Также по закону "Об информации, информационных технологиях и о защите информации" Генпрокуратура выявляет в интернете экстремистские материалы. Адреса ресурсов с противозаконным контентом направляются в Роскомнадзор, который отвечает за ведение реестра запрещенных сайтов. Перед блокировкой администратору сайта отправляется уведомление о необходимости удаления противозаконной информации. Если требование не выполнено, сайт добавляют в черный список, после чего для жителей России он становится недоступен, хотя попасть на него можно, используя анонимайзеры.Тут, скорее всего, вопрос к Amazon, который не заботится о клиентах, размещающих там контент, — рассуждает глава РОЦИТ Сергей Гребенников. Роскомнадзор выполняет функцию контроля. И он не может не заблокировать сайт, который нарушают закон России. Он выполнил все процедурные вещи. И претензии тут к Amazon, который на своем ресурсе размещают сайты, нарушающие законы разных стран, и не ограничивает доступ к такому контенту по просьбе местных властей.

[душман]

«Лаборатория Касперского» помогла закрыть серьезную уязвимость в оборудовании для энергосистем

«Лаборатория Касперского» обнаружила уязвимость в терминале релейной защиты Siemens Siprotec 4 — устройстве, широко используемом во всех областях энергетики для защиты сети от коротких замыканий и критических нагрузок.

Соответствующая информация была передана производителю, и в настоящее время брешь уже устранена, сообщили в «Лаборатории Касперского».
Уязвимость была выявлена Павлом Топорковым, ведущим экспертом «Лаборатории Касперского» по безопасности приложений, во время анализа защищенности одного из объектов критической инфраструктуры. Брешь, находившаяся в сетевом модуле устройства, позволяла удаленно прочитать некоторое содержимое памяти, то есть собрать важную информацию для дальнейших атак.
Siemens выпустила инструкцию, описывающую, как минимизировать последствия уязвимости CVE-2016-4785 и установить обновления. «Лаборатория Касперского» рекомендует обратить внимание на этот документ специалистам по безопасности, работающим в организациях, где применяется такое оборудование.
«Поиск подобных уязвимостей не является нашей основной задачей, но при проведении анализа защищенности ИТ-инфраструктуры предприятия мы практически всегда находим ту или иную проблему безопасности. Конечный пользователь уязвимых продуктов обычно не знает об их слабых местах и поэтому почти всегда подвержен риску атаки, даже если в остальном ИТ-инфраструктура хорошо организована и защищена. Вот почему мы считаем необходимым сообщать о каждой уязвимости, которую находим, — рассказал Сергей Гордейчик, заместитель директора по исследованиям и разработке «Лаборатории Касперского».
Мы благодарны центру экстренного реагирования на киберугрозы промышленных систем ICS-CERT и компании Siemens за скоординированное и быстрое исправление уязвимости».
В целом, по данным компании, за последние 12 месяцев эксперты «Лаборатории Касперского» обнаружили и помогли устранить более 20 уязвимостей в разных аппаратных и программных продуктах — от бытовых приборов до промышленных систем управления и систем управления автомобильным и железнодорожным транспортом.
Сервисы «Лаборатории Касперского» по тестированию на проникновение и анализу защищенности приложений помогают выявить наиболее уязвимые места в ИТ-системах и промышленной инфраструктуре путем практической демонстрации возможных сценариев атаки. Это часть линейки сервисов Kaspersky Security Intelligence, которые позволяют предоставить компаниям доступ к новейшей информации об актуальных угрозах, а также к дополнительным знаниям и инструментам для обеспечения кибербезопасности, указали в «Лаборатории Касперского».

[душман]

В мае 2016 г. число активных видов вредоносного ПО во всем мире выросло на 15%

Компания Check Point Software Technologies представила очередной отчет о киберугрозах Threat Index, согласно которому в мае 2016 г. количество активных видов вредоносного ПО по всему миру увеличилось на 15%.

В мае 2016 г. компания обнаружила 2300 уникальных семейств вредоносного ПО, атакующих корпоративные сети, сообщили в Check Point.
Второй месяц подряд исследователи компании фиксируют рост видов вредоносного ПО — так, в апреле он составил 50% по сравнению с предыдущем месяцем. Эта тенденция свидетельствует о масштабе проблем, с которыми сталкиваются отделы по безопасности в предотвращении атак на критически важную корпоративную информацию, считают в Check Point.
Количество атак на компании в России снизилось вдвое по сравнению с данными за апрель, что позволило ей опуститься с 26 на 54 место в рейтинге наиболее активно атакуемых стран Threat Index. В топ-10 вредоносных семейств вошли Conficker, Kometaur, Sality, Zeus, Tinda, Delf, Humangbad, Angler ek. Впервые в список попал JBossjmx — червь, атакующий системы, которые содержат уязвимую версию JBoss Application Server.
«Мы продолжаем отмечать значительный рост числа уникальных вредоносных семейств, атакующих корпоративные сети. Эта тенденция свидетельствует о том, с каким усердием хакеры создают новые атаки “нулевого дня”, и показывает масштаб угроз для бизнеса, — отметил Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. Компаниям необходимо задуматься об использовании продвинутых мер предотвращения угроз для безопасности сетей, компьютеров и мобильных устройств.
Это поможет остановить вредоносное ПО до заражения и обеспечит защиту от новых угроз».В мае Conficker вновь стал самым распространенным видом вредоносного ПО, он использовался в 14% всех зарегистрированных атак. Червь обеспечивает удаленное исполнение операций и загрузку вредоносного ПО. Инфицированный компьютер управляется ботом, который обращается за получением инструкций к своему командному серверу.
Второе и третье место заняли соответственно Tinda и Sality, по 9% атак на каждого. 60% всех атак были совершены с использованием вредоносных семейств из топ-10.
Tinba, также известный как Tiny Banker или Zusy, является банковским трояном; он крадет учетные данные жертв, используя веб-инъекции, которые активируются как только пользователь пытается войти в свой аккаунт на сайте банка.
В свою очередь, вирус Sality заражает ОС Microsoft Windows и позволяет удаленные действия и загрузки других вредоносных программ. Из-за своей сложности и способностей к адаптации Sality считается на сегодняшний день одной из самых опасных вредоносных программ, указали в Check Point.
Семейства мобильных вредоносных программ по-прежнему представляют значительную угрозу для корпоративных устройств. В мае из топ-100 семейств шесть были направлены на мобильные платформы. Большинство нацелены на Android-устройства, однако, как и в апреле, среди них нашлись угрозы для iOS.
Топ-3 вида вредоносных программ включают: HummingBad, Iop и XcodeGhost. Так, HummingBad — это вредоносное ПО для Android, которое, используя устойчивый к перезагрузке руткит, устанавливает мошеннические приложения и с небольшими модификациями может проявлять дополнительную вредоносную активность, включая установку ключей-регистраторов, кражу учетных данных и обход зашифрованных email-контейнеров, используемых компаниями.
В свою очередь, Android-зловред Iop устанавливает приложения и показывает избыточную рекламу, используя рутовый доступ к мобильным устройствам. Количество показов рекламы и установленных приложений затрудняет использование устройства для пользователей.
XcodeGhost — компрометированная версия платформы разработчиков iOS Xcode. Данная неофициальная версия Xcode изменена так, что она может внедрять вредоносный код в приложение, которое разработано и скомпилировано с ее помощью. Внедренный код отправляет информацию о приложении на командный сервер, позволяя инфицированному приложению считывать данные из буфера обмена устройства.

[душман]

ФБР засекретило эксплоит для браузера Tor

Эксплоит для браузера Tor, а также техника эксплуатации уязвимостей и некоторые участки кода, применяемого для идентификации пользователя внутри Tor-сети получили гриф секретности.

Ответ об отказе предоставления доступа к эксплоиту был направлен прокурором штата Вирджиния адвокату подозреваемого в посещении сайтов с детской порнографией Playpen. Об этом сообщает издание Motherboard.
Ранее свое желание получить доступ к эксплоиту высказывала компания Mozilla, разработчик браузера Tor Browser. Однако все попытки узнать подробности уязвимости провалились.
ФБР мотивирует нежелание раскрывать подробности уязвимости интересами национальной безопасности. Прошение о присвоении грифа секретности коду было направлено на утверждение в соответствующий департамент ФБР и ожидает в настоящий момент формальной подписи.
В феврале 2015 года ФБР получило контроль над сайтом с детской порнографией Playpen и использовало эксплоит к браузеру Tor для определения настоящих IP-адресов пользователей подпольного интернета. После этого был проведен ряд арестов и пользователям ресурсы были предъявлены обвинения в педофилии.

[душман]

Сотрудник банка «Авангард» может быть невиновным в хакерских атаках на банкоматы

Сотрудник банка «Авангард», обвиненный в похищении 59,9 млн руб. из банкоматов финансовой организации, на самом деле может быть невиновным.

Как сообщает издание «Ведомости», по мнению специалистов «Лаборатории Касперского» и Group-IB, ответственность за преступление может лежать на хакерской группировке Carbanak.
В 2014 году из банкоматов «Авангарда» было похищено 59,9 млн руб. По словам главы совета директоров финорганизации Кирилла Миновалова, злоумышленники давали банкоматам команду выдавать деньги, а затем «люди подходили к банкоматам и набивали деньгами куртки, за пять минут могли унести несколько миллионов».
Как сообщается в обвинительном приговоре Замоскворецкого районного суда Москвы, хакеры получили доступ к корпоративным сетям банка и перепрограммировали банкоматы таким образом, чтобы вместо сторублевых банкнот он выдавал пятитысячные.
Миновалов уверен, что подобная атака невозможна без участия инсайдера, предоставившего похитителям доступ к корпоративной сети. Ему удалось определить сотрудников банка, обладавших необходимыми сведениями об архитектуре сети и паролях. В итоге виновным был признан начальник отдела телекоммуникаций «Авангарда» Владимир Тамбовцев, приговоренный судом к шести месяцам заключения в колонии.
Для перепрограммирования банкоматов их управляющий сервер был заражен специальным вредоносным ПО. Согласно приговору, на компьютере Тамбовцева бы обнаружен файл с таким же функционалом. Несмотря на это, участвовавшие в расследовании инцидента эксперты Group-IB не уверены в причастности к нему сотрудника. По их словам, используемое в атаках ПО имеется в распоряжении группировки Carbanak.
С выводами коллег согласны ИБ-эксперты «Лаборатории Касперского», к которым обратился адвокат Тамбовцева. Специалисты компании помогали в расследовании целого ряда инцидентов с участием Carbanak, и ни в одном из них инсайдеры не фигурировали.
В понедельник, 27 июня Мосгорсуд заслушает апелляционную жалобу. Напомним, на днях стало известно о похищении хакерами Carbanak $10 млн у одного из украинских банков.

[душман]

Обзор инцидентов безопасности за прошлую неделю

Прошедшая неделя ознаменовалась очередными утечками данных и появлением нового вредоносного ПО.

Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ с 20 по 26 июня 2016 года.
В начале прошлой недели стало известно о бэкдоре в процессорах Intel. Как пояснили эксперты Boing Boing, Intel Management Engine (ME) представляет собой подсистему управления, состоящую из отдельного 32-битного ARC-микропроцессора, физически расположенного внутри чипсета. Подсистема впервые была представлена для двухъядерных процессоров Intel в 2006 году и с этого времени используется во всех современных моделях.
Еженедельные утечки данных уже становятся обыденными, и прошедшая неделя также ознаменовалась очередной утечкой. В этот раз в открытом доступе оказались личные данные 154 млн американских избирателей. Обнаруженная ИБ-экспертом Крисом Викери (Chris Vickery) БД содержит имена, электронные и физические адреса, номера телефонов, сведения о возрастной, национальной и половой принадлежности, политических предпочтениях, владении оружием и участии в предыдущих выборах, а также ссылку на профиль в Facebook.
Компания Citrix, владеющая сервисом для осуществления удаленного доступа к рабочим станциям GoToMyPC, сбросила пароли своих клиентов. Пользователи сервиса получили по электронной почте уведомление о хакерской атаке, направленной на хищение паролей к учетным записям.
На прошлой неделе также не обошлось без сообщений о новых образцах вредоносного ПО. Компания «Доктор Веб» обнаружила опасный троян-шифровальщик, нацеленный на пользователей бухгалтерского приложения 1С и детектируемый как 1C.Drop.1. Вредонос распространятся по электронной почте, используя список контрагентов скомпрометированной системы.
Эксперты компании Malwarebytes сообщили о вредоносном ПО Android/Trojan.Pawost, использующем Google Talk для осуществления звонков на телефоны абонентов китайского оператора связи. Вредонос распространяется через Google Play под видом обычного секундомера. После установки на систему Pawost собирает и отправляет злоумышленникам следующие данные: IMSI, IMEI, номер телефона, данные о версии и модели устройства, список установленных приложений, другую системную информацию и CCID, использующийся для управления через USB-порт кардридером для пластиковых карт.
Специалисты компании «Доктор Веб» обнаружили в Google Play еще один образец вредоносного ПО. Android.Valeriy.1.origin распространяется под видом простых игр и сервисных приложений. В настоящее время в магазине Google Play трояном заражены следующие приложения от разработчиков ZvonkoMedia LLC, Danil Prokhorov и horshaom: Battery Booster, Power Booster, Blue Color Puzzle, Blue And White, Battery Checker и Hard Jump - Reborn 3D.
Исследователи компании Trend Micro сообщили о вредоносном ПО для Android, получившем название Godless. По их подсчетам, вредонос установлен на 850 тыс. устройств во всем мире. Godless маскируется под легитимное приложение и распространяется через известные и популярные магазины, включая Google Play.
На прошлой неделе после трехнедельного бездействия возобновил свою активность один из крупнейших в мире ботнетов Necurs. По словам экспертов компании AppRiver, ботсеть не была отключена, а лишь временно прекратила управлять инфицированными компьютерами. После резкого падения вредоносного трафика 1 июня, 21 июня количество рассылаемых Necurs спам-писем неожиданно снова возросло. Причины бездействия и последующего внезапного возобновления активности ботнета пока неясны.

[душман]

В ядре Linux обнаружены опасные уязвимости

Вышло исправление безопасности, устраняющее опасные уязвимости в ядре Linux в версиях 3.14.73, 4.4.14 и 4.6.3.

Уязвимости затрагивают популярные дистрибутивы Linux: Ubuntu, Debian, SUSE и RHEL.
Ошибка CVE-2016-4997 позволяет локальному пользователю выполнить произвольный код на уязвимой системе с привилегиями суперпользователя. Уязвимость связана с ошибкой в реализации обработчика setsockopt IPT_SO_SET_REPLACE в подсистеме netfilter.
Локальный пользователь может с помощью специально сформированного системного вызова compat_setsockopt() вызвать повреждение памяти и выполнить произвольный код на целевой системе.
Уязвимость CVE-2016-4998 существует из-за ошибки проверки границ данных в реализации обработчика setsockopt IPT_SO_SET_REPLACE. Локальный пользователь может с помощью специально сформированного системного вызова setsockopt() вызвать повреждение динамической памяти и аварийно завершить работу системы.
SecurityLab рекомендует установить исправления безопасности, как только они будут доступными.

[душман]

Вирус атаковал пользователей Facebook через браузеры Chrome и Firefox

Исследователи обнаружили кампанию по распространению вредоносного программного обеспечения под видом уведомления Facebook об упоминании пользователя в комментарии его друга.

Злоумышленники используют в своих целях браузер Chrome.Пользователи Facebook пожаловались на странное поведение их браузера при работе с социальной сетью: в один момент к ним приходит уведомление из Facebook о том, что их друг упомянул их в своем комментарии, но при нажатии на предоставленную ссылку браузер пытается загрузить на их компьютер файл JavaScript.
Жалобы преимущественно поступили от пользователей Chrome, но встречаются и сообщения от тех, кто использует Firefox.
По словам экспертов, загруженный файл посредством компонента Windows Scripting Host устанавливает в систему дополнительные файлы — manifest.json, bg.js, autoit.exe — и скрипты для их установки. Все они при загрузке имеют расширение jpg, по всей видимости, чтобы не вызывать подозрений.
Файлы manifest.json и bg.js представляют собой расширение для браузера Chrome, через который происходит распространение вируса. Поэтому во время установки файлов все ярлыки в системе к другим браузерам заменяются на ярлык к браузеру Chrome.
Специалисты указывают, что получение подобного сообщения говорит о том, что компьютер его друга по Facebook был заражен, и рекомендуют сообщить об этом ему и в службу технической поддержки социальной сети.
Исследователи отмечают, что вирус сам по себе низкого качества. Некоторые его файлы оказались пустыми. По их мнению, злоумышленники воспользовались существующим вредоносным программным обеспечением для его создания, но не дописали его. О том, какой вред несет вирус, не уточняется.
Добавим, что злоумышленники нередко используют Chrome в своих целях. В мае 2016 г. хакеры предложили владельцам Android-устройств скачать поддельное обновление для браузера, которое на самом деле было программой для хищения финансовых данных.
В октябре прошлого года исследователи обнаружили вредоносное приложение, имитирующее настольный браузер Chrome. Оно перехватывало все логины и пароли, которые пользователь вводил внутри программы.
В июне 2015 г. злоумышленники распространяли файл Chrome_Video_Installer.scr, который якобы предназначался для браузера Chrome, но на самом деле представлял собой вирус. Ссылка на этот файл распространялась через социальную сеть Facebook и содержалась в сообщениях от друзей.

[душман]

Жительница Калифорнии отсудила у Microsoft $10 тыс. за самовольное обновление до Windows 10

В последнее время Microsoft часто подвергается критике за слишком агрессивную политику продвижения Windows 10.

Несмотря на усилия компании заставить пользователей установить новейшую версию ОС, некоторые не только не намерены этого делать, но также призывают Microsoft к ответу за принудительное установление обновлений.
Жительница Калифорнии Тери Гольдштейн отсудила у техногиганта $10 тыс. за ущерб, причиненный ее бизнесу в результате неудачной установки обновлений. По словам пострадавшей, компьютер, которым она пользуется для управления туристической фирмой, вдруг начал загружать обновления, не запрашивая разрешения.
Неавторизованный процесс прервался, однако компьютер стал работать очень медленно, а затем вышел из строя.
«Я никогда не слышала о Windows 10. У меня даже никто не спрашивал, хочу ли я получить обновление», - заявила пострадавшая.
Женщина потребовала от Microsoft компенсацию за причиненный ее фирме ущерб и обратилась в суд. В прошлом месяце Гольдштейн выиграла дело, а техногигант решил не подавать апелляцию. В компании отрицают какую-либо вину со своей стороны, а решение не подавать апелляцию объясняют желанием избежать дальнейших судебных расходов.

[душман]

Злоумышленники заработали $50 тыс. с помощью CryptXXX

Эксперты компании SentinelOne опубликовали отчет о деятельности злоумышленников, распространяющих вариант популярного вымогателя.

CryptXXX – активно развивающийся и поддерживаемый вирусописателями троян-вымогатель. В последней версии вредоноса была устранена ошибка, позволяющая бесплатно расшифровать файлы, что позволило злоумышленниками увеличить свою прибыль.По информации исследователей из SentinelOne, за последние несколько недель злоумышленники получили в качестве выкупа эквивалент примерно $50 000 в биткойнах. Учитывая такой успех, вредоносная кампания будет продолжаться и набирать новые обороты. В значительной мере этому способствует платежи в наполовину анонимной криптовалюте.Новый вариант CryptXXX маскируется на системе под приложение CyberLink PowerDVD Cinema и устанавливает на компьютер жертвы библиотеку _BigBang.dll. После попадания на систему вредонос обеспечивает себе постоянное присутствие путем добавления себя в автозапуск. Файлы на зараженном компьютере шифруются комбинацией алгоритмов RSA и RC4, а расширение файлов меняется на .cryp1.В более ранних реализациях CryptXXX использовались расширения .crypt и .crypz.

[душман]

Android-троян Hummer получает права суперпользователя и устанавливает порно-приложения

Эксперты компании Cheetah Mobile предупредили о новом семействе троянов для мобильных устройств под общим названием Hummer.

Вредоносное ПО способно получать права суперпользователя, загружать порнографические приложения и отображать всплывающие рекламные баннеры. В первой половине 2016 года максимальное количество инфицированных устройств достигло 1,4 млн (63 тыс. в одном только Китае).
По данным исследователей, за каждое установленное вредоносом приложение его операторы получают $0,5, благодаря чему их ежедневная выручка может достигать $500 тыс. После установки на устройстве жертвы троян получает права суперпользователя, в фоновом режиме загружает нежелательные приложения (в том числе вредоносные) и периодически отображает рекламу.
С начала 2016 года стоящие за Hummer киберпреступники стали использовать 12 доменов для обновления трояна и продвижения его на рынке. Как сообщили исследователи, несколько доменов связаны с китайской электронной почтой. Проанализировав исходный код вредоноса, специалисты пришли к выводу, что его авторами являются китайские разработчики. 
Полностью удалить Hummer довольно сложно. Поскольку троян получает наивысший уровень доступа, обычные антивирусы не способны до конца очистить от него зараженное устройство. Сброс настроек до заводских также не избавляет от трояна.

[душман]

За неделю Роскомнадзор заблокировал 118 сайтов с азартными играми

Всего за одну неделю Роскомнадзор внес в реестр запрещенных сайтов 118 ресурсов, связанных с азартными играми (online-казино и букмекерские конторы).

Сайты были заблокированы в период с 21 по 28 июня текущего года.Блокировке подверглись не только сами сайты, но и их «зеркала». Больше всего «зеркал» оказалось у бренда 1xBet (28 доменов), а также у Fonbet и Parimatch (15 доменов). Помимо прочих, в черный список Роскомнадзора были внесены Leonbets, Liga Stavok и Bet365.
Что касается online-казино и покер-румов, то за указанный период надзорное ведомство заблокировало 15 подобных ресурсов. В реестр запрещенных сайтов также попали домены, публиковавшие сведения о букмекерских конторах, казино и пр.
Напомним, недавно Роскомнадзор впервые на постоянной основе заблокировал торрент-трекер, распространявший нелицензионное программное обеспечение. Кроме того, блокировке подвергся Kinogo.co – один из крупнейших в Рунете online-кинотеатров, предоставлявший доступ к пиратским копиям фильмов.

[душман]

Обнаружены критические уязвимости в антивирусных продуктах Symantec

На сайте Project Zero опубликованы подробности 7 уязвимостей, обнаруженных исследователем безопасности из компании Google Тэвисом Орманди.

Все обнаруженные уязвимости позволяют выполнить произвольный код на целевой системе.Уязвимости затрагивают приложения семейства Norton, Symantec Endpoint Protection, Advanced Threat Protection (ATP), Symantec Email Security, Symantec Protection Engine, Symantec Protection for SharePoint Servers, Symantec Web Gateway, Symantec Message Gateway и другие продукты компании.
С полным перечнем уязвимого ПО можно ознакомиться в бюллетене безопасности, выпущенном производителем.
Большинство уязвимостей обнаружены в коде, предназначенном для обработки файлов. Уязвимость CVE-2016-2207 существует из-за множественных переполнений буфера, связанных с распаковкой RAR-архивов. Брешь CVE-2016-2210 позволяет злоумышленнику вызвать переполнение буфера в стеке в библиотеке dec2lha. Повреждение памяти при обработке MSPACK архивов (CVE-2016-2211) позволяет удаленному пользователю выполнить произвольный код на системе.
Также обнаружены уязвимости при обработке MIME-сообщений (CVE-2016-364), в TNEF декодере (CVE-2016-3645), библиотеке dec2zip (CVE-2016-3646) и при обработке PowerPoint файлов (CVE-2016-2209).
Всем пользователям рекомендуется установить последнее исправление от производителя.

[душман]

Официальное приложение Евро-2016 представляет угрозу безопасности данных

Чемпионат Евро-2016 привлек к себе пристальное внимание не только поклонников футбола, но также ИБ-экспертов, и, как оказалось, не напрасно.

Согласно отчету компании Wandera «Анализ влияния Евро-2016 на использование и безопасность мобильных устройств» (Analysis of Euro 2016 Impact on Mobile Security and Usage), официальное приложение UEFA Euro 2016 Fan Guide App передает персональные данные пользователей (в том числе имена, пароли, адреса и номера телефонов) через незащищенное интернет-соединение.
По данным аналитиков, приложение, загруженное свыше 100 тыс. раз, предоставляет злоумышленникам точку доступа к конфиденциальной информации пользователей. Поскольку в современном мире многие используют одно и то же устройство как в личных целях, так и на работе, под угрозой также оказываются корпоративные данные.
Опасение у экспертов также вызывает количество пользователей, посещающих на своих устройствах вредоносные сайты (преимущественно через мобильную рекламу).
«Рост использования мобильных данных с момента начала чемпионата никого не удивил", – сообщил глава Wandera Эльдар Туви. Путешествующие по Европе поклонники футбола открывают незнакомые приложения и сайты, чтобы поскорее получить самую свежую информацию. По данным проведенного нами анализа, даже так называемые "доверенные источники" содержат уязвимости и представляют угрозу безопасности».