"Мир интернета"

[душман]

Около 10 тыс. пользователей Facebook по всему миру стали жертвами фишеров

«Лаборатория Касперского» обнаружила, что около 10 тыс. пользователей Facebook по всему миру подверглись фишинговой атаке, в результате чего их устройства оказались заражены вредоносным ПО, а аккаунты в соцсети скомпрометированы.

При этом все произошло крайне быстро — в период с 24 по 27 июня. В наибольшей степени пострадали пользователи из стран Латинской Америки, Европы, а также Туниса и Израиля. Россия в этом списке заняла 17 место, сообщили в «Лаборатории Касперского».
Организаторы атаки отправляли пользователям сообщения под видом уведомления Facebook о том, что они были отмечены в комментариях их друзей. Прочитав подобное, люди кликали на это «упоминание» и таким образом запускали первую стадию атаки — на их компьютеры загружался троян, который устанавливал вредоносное расширение для браузера Google Chrome. Войдя вновь в свой аккаунт на Facebook через уже зараженный браузер, пользователи активировали вторую фазу атаки — открывали злоумышленникам доступ ко всем персональным данным, связанным с их учетной записью.
Атакующие использовали полученную информацию для изменения настроек конфиденциальности аккаунта, распространения вредоносного ПО среди друзей жертвы, рассылки спама и генерации ложных «лайков» и «шэров». Как выяснили эксперты «Лаборатории Касперского», вредоносное ПО, использовавшееся в этих атаках, даже пыталось защитить себя — к примеру, оно добавляло в черный список веб-сайты некоторых разработчиков антивирусного программного обеспечения.
Основной удар приняли на себя пользователи компьютеров на базе Windows, и эксперты не исключают, что владельцы телефонов на мобильной версии этой ОС также оказались в зоне риска. А вот пользователи устройств на платформах Android и iOS, по всей видимости, были не интересны злоумышленникам — применявшийся в атаках зловред использовал библиотеки, несовместимые с этими операционными системами, отметили в компании.
По словам экспертов компании, троян, использовавшийся атакующими, далеко не нов — он уже проявлял себя около года назад в похожих инцидентах. И тогда, и сейчас, языковые метки указывают на то, что за зловредом и атаками стоят злоумышленники, говорящие по-турецки.
Решения «Лаборатории Касперского» распознают и блокируют эту угрозу. В свою очередь, Facebook также предпринял меры для противодействия атакам и заблокировал возможность для распространения вредоносного ПО с зараженного компьютера. С тех пор, по их собственным наблюдениям, новых попыток атак замечено не было. Кроме того, Google удалил виновное во всем расширение из Chrome Web Store.
«Во всей этой истории примечательны два момента. Во-первых, невероятная эффективность в распространении вредоносного ПО — всего за 48 часов оно заразило тысячи пользователей. А во-вторых, незамедлительно последовавшая реакция со стороны атакованных, благодаря чему информация об угрозе разлетелась быстро, и это позволило предпринять необходимые меры для ее нейтрализации», — отметил Идо Наор, старший антивирусный эксперт «Лаборатории Касперского».

[душман]

Китайские хакеры причастны к целевым атакам на различные организации во всем мире

MNKit является одним из немногих генераторов эксплоитов под Microsoft Office, использующимся хакерскими группировками.

MNKit используется для генерации документов Office, эксплуатирующих уязвимость CVE-2012-0158.По данным Palo Alto Networks, некоторые хакерские группировки использовали MNKit для создания инфицированных документов и доставки на зараженные системы вредоносных приложений Lurk0, NetTraveler и Saker. Злоумышленники рассылали документы, содержащие эксплоит, университетам, некоммерческим организациям, политикам и группам, отстаивающим права людей в Южной Африке.
Lurk0 представляет собой RAT-инструмент, наследник Gh0stRAT, используемый уже несколько лет. Еще в 2012 году организация Citizen Lab опубликовала отчет, содержащий описание атак с использованием этого вредоноса против тибетских организаций.
NetTraveler - второй образец вредоносного ПО, распространяемый генерируемыми MNKit документами. Этот бэкдор используется злоумышленниками для хищения данных и установки дополнительного ПО на зараженные системы. NetTraveler использовался хакерскими группировками, связанными с правительством Китая, для хищения конфиденциальных данных в различных странах.
Эксперты Palo Alto Networks также сообщают, что посредством вредоносных документов распространяются такие приложения как Saker, Xbox и Mongall. Согласно данным FireEye, Saker использовался хакерскими группировками Moafee и DragonOK, использующими ранее в своих кампаниях также Gh0stRAT и NetTraveler.
Эксперты приходят к выводам, что обнаруженные атаки тесно связаны с ранее наблюдаемой хакерской активностью по таким признакам, как используемая полезная нагрузка, одинаковые инструменты для создания эксплоитов, email адреса и темы сообщений, названия вложенных файлов, C&C домены и IP адреса.

[душман]

Обзор инцидентов безопасности за прошлую неделю

Прошедшую неделю сложно назвать спокойной с точки зрения информационной безопасности.

Утечки данных, DDoS-атаки, появление новых образцов вредоносного и вымогательского ПО – и все это за семь дней.Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 27 июня по 3 июля 2016 года.
Начало прошлой недели ознаменовалось взломом учетной записи в сервисе вопросов-ответов Quora, принадлежащей гендиректору Google Сундару Пичаи. Ответственность за инцидент взяла на себя хакерская группировка OurMine, ранее взломавшая учетные записи в соцсетях Марка Цукерберга. Если верить хакерам, их действия призваны привлечь внимание общественности к проблемам безопасности данных и разрекламировать свою ИБ-компанию.
Продолжает расти количество образцов вымогательского ПО, шифрующего файлы на компьютерах жертв с последующим требованием выкупа. На прошлой неделе исследователи сообщили сразу о двух новых шифровальщиках – Bart и MIRCOP. Bart является «детищем» злоумышленников, стоящих за распространением вредоносного ПО Dridex и Locky. В отличие от последнего новый вымогатель шифрует файлы на компьютере жертвы, не подключаясь предварительно к C&C-серверу.
Создатели MIRCOP используют весьма необычную технику вымогательства – выдают себя за жертв мошенничества и требуют вернуть им украденное. Шифровальщик распространяется через спам-письма с вредоносным вложением, подделанным под накладную таможенной службы Таиланда. Документ запрашивает у пользователя активировать макросы, якобы для того чтобы подписать его, но на самом деле через Windows PowerShell загружает и выполняет вредоносную полезную нагрузку.
Прошедшая неделя оказалась богатой неутешительными новостями для пользователей Android-устройств – эксперты сообщили сразу о целом ряде вредоносного ПО, предназначенного для мобильной ОС от Google. Специалисты компании Cheetah Mobile предупредили о новом семействе троянов для мобильных устройств под общим названием Hummer. Вредоносное ПО способно получать права суперпользователя, загружать порнографические приложения и отображать всплывающие рекламные баннеры.
Исследователи компании Lookout сообщили о вредоносном ПО LevelDropper для Android-устройств, распространяющемся через Google Play Store. Когда ничего не подозревающая жертва устанавливает приложение на свое устройство, оно незаметно получает права суперпользователя и загружает дополнительное ПО. Всего за 30 минут LevelDropper способен загрузить 14 программ без какого-либо участия со стороны пользователя.
Еще одно распространяющееся через Google Play Store вредоносное ПО - Beaver Gang Counter, детектируемое антивирусными решениями как Android.Vibleaker. Приложение маскируется под программу для хранения очков, заработанных в популярной карточной игре. Тем не менее, установившись на устройство, Beaver Gang Counter ищет хранящиеся на нем файлы, связанные с Viber, а затем отправляет их на удаленный сервер.
На прошлой неделе в очередной раз о себе заявила группировка «Анонимный интернационал» («Шалтай-Болтай»). Злоумышленники опубликовали информацию, похищенную из почтовых ящиков и резервных копий устройств руководства и сотрудников российской информационной мультимедийной службы Life (LifeNews), в том числе ее гендиректора Арама Габрелянова. В свою очередь, Габрелянов назвал хакеров шантажистами и пообещал выплатить 1000 биткойнов тому, кто поможет раскрыть личности участников «Анонимного интернационала».
Департамент киберполиции Национальной полиции Украины пресек деятельность ботнета, распространявшего вредоносное ПО Pony v2.0. Жертвами стоявшего за бот-сетью киберпреступника становились участники игрового сообщества Steam. Злоумышленник зарабатывал продажей игровых предметов, похищенных из скомпрометированных учетных записей.
На прошлой неделе компания Imperva сообщила об обнаружении мощной DDoS-атаки, направленной на сеть казино в Китае и в пиках достигавшей 470 Гбит/с. Атака осуществлялась по девяти чередующимся векторам. Изначально генерируемый трафик состоял из TCP-SYN пакетов, затем постепенно сменился на обычные TCP/UDP пакеты. Исследователи заявляют, что подобные 9-векторные атаки встречаются очень редко и занимают примерно 0,2% от общего количества DDoS-атак.
Не обошлось на прошлой неделе и без утечек информации. Исследователь Крис Викери обнаружил в открытом доступе базу данных с именами 2,2 млн человек, подозреваемых в терроризме и других незаконных действиях.
Исследователи компании Sucuri сообщили о ботнете из 25 тыс. подключенных к интернету скомпрометированных систем видеонаблюдения, используемом злоумышленниками для осуществления DDoS-атак. По данным экспертов, IP-адреса расположены в 105 странах по всему миру. 24% находятся на Тайване, 12% - в США, 9% - в Индонезии, 8% - в Мексике и 6% - в Малайзии.

[душман]

Обнаружен новый опасный вымогатель Satana

Компания Malwarebytes опубликовала в своем блоге исследование нового образца вымогателя, наследующего функционал Petya и Mischa.

Вредонос Satana обладает примерно теми же возможностями – умеет шифровать данные и подменяет MBR-запись (Master Boot Record), и точно также работает в двух режимах.
В первом режиме приложение пытается изменить MBR-запись для использования собственного загрузчика. Во втором режиме вредонос ведет себя как обычный шифровальщик. В отличии от ранее известной связки Petya и Mischa, вымогатель Satana использует оба режима совместно, т.е. подменяет MBR-запись и шифрует файлы на диске.После попадания на систему вредонос шифрует файлы со следующими расширениями на локальных и сетевых дисках:.bak .doc .jpg .jpe .txt .tex .dbf .db .xls .cry .xml .vsd .pdf . csv .bmp .tif .1cd .tax .gif .gbr .png .mdb .mdf .sdf .dwg .dxf .dgn .stl .gho .v2i .3ds .ma .ppt .acc .vpd .odt .ods .rar .zip .7z .cpp .pas .asm
Затем шифровальщик подключается к C&C серверу по адресу 185.127.86.186 и передает данные о новом клиенте, а также ключ шифрования. Исследователи не смогли обнаружить место хранения ключа шифрования на зараженной системе. Предположительно, ключ шифрования хранится только на C&C сервере. Таким образом, если C&C сервер будет отключен или недоступен, даже после выплаты выкупа пользователь не сможет расшифровать файлы.
В образце, анализируемом экспертами, был указан некорректный номер биткойн-кошелька. Исследователи не исключают, что в их руки попала предрелизная версия вредоноса.

[душман]

Зафиксирована мультивекторная DDoS-атака мощностью 470 Гбит

Компания Imperva заявила об обнаружении мощной DDoS-атаки, направленной на сеть казино в Китае.

Инцидент произошел 14 июня этого года. Исследователи зафиксировали мощную DDoS-атаку, достигавшую в пиках 470 Гбит/с.
Атака осуществлялась в несколько этапов, начиная с мощности в 250 Гбит/с, достигая в пиках 470 Гбит/с. Длительность атаки составила 4 часа.
Атака состояла из 9 чередующихся векторов. Изначально генерируемый трафик состоял из TCP-SYN пакетов, затем постепенно сменился на обычные TCP/UDP пакеты. Исследователи заявляют, что подобные 9-векторые атаки встречаются очень редко и занимают примерно 0,2% от общего количества DDoS-атак.
Основная задача мультивекторной атаки – обойти существующие средства защиты путем изменения полезной нагрузки передаваемых данных. В процессе атаки злоумышленники меняли не только сетевые протоколы, но и размеры пакетов. В пике количество пакетов достигало 110 млн в секунду.

[душман]

В США хакер признался в хищении эротических фото знаменитостей

28-летний Эдвард Маерчик согласился на сделку с обвинением и признал свою вину в осуществлении незаконного доступа к компьютеру и хищении личных данных.

Эдвард Маерчик является виновником громкого скандала, связанного с публикацией эротических материалов с участием знаменитостей Голливуда, среди которых были фото обнаженных Дженнифер Лоуренс и Кейт Аптон. В западных СМИ этот инцидент окрестили Celebgate.
По версии следствия, злоумышленник в период с ноября 2013 года по август 2014, используя элементы социальной инженерии, заполучил доступ к учетным записям в сервисах Apple iCloud и Gmail более 300 человек, среди которых около 30 знаменитостей. Затем хакер скачал откровенные фото и видео жертв и опубликовал их в сети интернет.
Для получения доступа к учетным записям жертв Майорчик использовал средства социальной инженерии. В частности, хакер отправлял пользователям поддельные письма с ссылками на фишинговый сайт. Таком образом злоумышленнику удалось похитить учетные данные жертв.Майорчику грозит до 5 лет лишения свободы за содеянные преступления.

[душман]

Check Point исследовал деятельность хакерской группы из Китая, запустившей HummingBad

Компания Check Point Software Technologies, специализирующаяся исключительно на сетевой кибербезопасности, представила подробности о деятельности китайской группы хакеров Yingmob — авторов вредоносной программы для Android HummingBad.

Исследователи мобильных угроз Check Point следили за группой Yingmob в течение пяти месяцев с момента обнаружения HummingBad в феврале 2016 г. В целом Hummingbad представляет собой вредоносное ПО для Android, которое, используя устойчивый к перезагрузке руткит, устанавливает мошеннические приложения и генерирует незаконные доходы от рекламы, сообщили в Check Point.
Yingmob работает под прикрытием законной китайской компании, занимающейся аналитикой рекламы, и использует ее ресурсы и технологии. Эта высокоорганизованная команда хакеров из 25 сотрудников. По подсчетам специалистов Check Point, с помощью вредоносной программы HummingBad группировка управляет 10 млн устройств по всему миру, получая ежемесячно доход от мошеннической рекламы в размере $300 тыс.
При этом Россия входит в топ-20 стран — 207 940 активных зараженных пользователей. Лидирует по количеству жертв Китай — 1 606 384 пользователей, затем идет Индия (1 352 772), на третьем месте Филиппины (520 901). Hummingbad входит в топ-10 наиболее активных вредоносных программ по всему миру, по данным ежемесячного отчета Check Point Threat Index.
Группа ежедневно пытается получить доступ к тысячам устройств, и сотни попыток оказываются удачными. Кроме прямой финансовой выгоды, Yingmob имеет и другие варианты вредоносной стратегии: она может создать ботнет из зараженных устройств для проведения таргетированных атак на компании и государственные организации и даже продавать доступ к их сетям другим преступным группировкам на черном рынке.
Любая информация на зараженных устройствах находится под угрозой, включая рабочие и личные данные пользователя, рассказали в компании.
«Будучи финансово независимыми, Yingmob и другие подобные ей группировки могут сосредоточиться на совершенствовании своих навыков и создании качественно новых вредоносных кампаний, — считают в Check Point. Без возможности обнаружить и остановить подозрительную активность миллионы устройств Android и данные на них остаются без защиты».

[душман]

В зоне .РУС зарегистрировано более 11 тыс. доменов

По итогам месяца с момента старта открытой регистрации в зоне .РУС зарегистрировано более 11 тыс. доменов, и продолжается активный рост, несмотря на традиционное сезонное затишье на доменном рынке, сообщили в компании «Русские Имена».

Уже заработали сайты разных направлений деятельности: конституция.рус, технониколь.рус, инкомавто.рус. Активно осваивают зону и иностранные компании: алиэкспресс.рус, форбс.рус, суоми.рус. Готовятся к появлению сайты на таких доменах, как чтогдекогда.рус, ространс.рус, московская-тпп.рус и др.
Подводя итоги месяца с момента старта открытой регистрации в зоне .РУС, в регистратуре нового кириллического домена — компании «Русские имена» отмечают, что осуществляется ожидаемый благоприятный сценарий развития доменной зоны. Об этом говорит динамика прироста регистраций в зоне и появления новых работающих сайтов, что является косвенным свидетельством жизнеспособности любого домена.
«Мы довольны результатами запуска. Согласитесь, ведь это только начало. Посмотрите на смену раскладки на своем компьютере — там только Eng и Рус. Нет сомнения, что у домена .РУС потрясающее будущее — это подтверждают и отзывы людей, которые заходят на “наши” сайты. Они чувствуют себя здесь как дома», — прокомментировал итоги запуска регистрации в зоне .РУС Алексей Созонов, директор компании «Русские имена».
Зарегистрировать доменное имя .РУС можно с помощью российских и зарубежных регистраторов — Webnames.ru, Ru-Center, Reg.ru, 101domain, Key-Systems и др.
После начала открытой регистрации домены .РУС стали доступны на вторичном рынке. Ряд регистраторов предоставил свои площадки доменным инвесторам для торговли доменами через аукцион.
Среди частных предложений в доменной зоне .РУС уже оказались такие интернет-адреса, как башня.рус (1,5 млн. р.), тягач.рус (750 тыс.р.), питер.рус (389,4 тыс.р.), стих.рус (19 тыс.р.), телеспутник.рус (6,49 тыс.р.). «Доменные инвесторы» сделали также ставку на то, что с молотка уйдут и имена-аббревиатуры. Короткие домены — нии.рус, гоа.рус, иду.рус, пуф.рус — торгуются по свободной цене в формате аукциона, рассказали в компании.

[душман]

Eset раскрыла кампанию по кибершпионажу в Восточной Европе

Эксперты Eset проанализировали набор программ для кибершпионажа — SBDH.

Вредоносное ПО использовалось для кражи документов у государственных и общественных организаций, работающих в области экономического развития в Центральной и Восточной Европе, сообщили в Eset.
Файлы с SBDH распространялись в приложениях к спам-письмам. Злоумышленники маскировали их под текстовые документы и приложения Microsoft.
После того как пользователь открывает файл, загрузчик SBDH связывается с командным сервером своих «владельцев» и устанавливает на компьютер бэкдор и шпионское ПО. Таким образом исполнители атаки получают удаленный контроль над компьютером и инструменты для кражи данных.
Некоторые модификации SBDH запускаются каждый раз, когда на компьютере жертвы открывается или редактируется документ Word. SBDH позволяет злоумышленникам задавать критерии данных, которые будут отправляться на командный сервер. Например, авторы атаки могут «приказать» шпионскому ПО найти документы определенного формата, от определенных дат или файлы указанного размера.
SBDH нужен интернет для связи с командным сервером. Сначала вредоносное ПО пытается передавать данные по протоколу HTTP, после неудачной попытки переключается на SMTP. Если и это не удается, оно «пишет» и рассылает письма с помощью Microsoft Outlook Express.
Если командный сервер недоступен, бэкдор использует «решение для резервного копирования». Он обращается к заранее заданной ссылке в открытом доступе, где будет указан путь к альтернативному серверу.
В Eset напомнили о том, что даже сложное вредоносное ПО, такое как как SBDH или Buhtrap, распространяется примитивным способом — в виде спама по электронной почте. Предотвратить заражение, по словам представителей компании, позволяет обучение персонала в сочетании с внедрением многоуровневой защиты ИТ-сети.

[душман]

Российский хакер приговорен в Нью-Йорке к 4 годам тюрьмы

В среду, 6 июля, нью-йоркский суд вынес вердикт по делу гражданина России Вадима Полякова, ранее признавшего себя виновным в хищении и отмывании средств, полученных незаконным путем.

Напомним, 32-летний житель Санкт-Петербурга вместе с сообщниками взламывал учетные записи пользователей сайта StubHub по продаже билетов на спортивные и музыкальные мероприятия в США.
По данным обвинения, возглавляемая Поляковым киберпреступная группировка скомпрометировала порядка 1 тыс. учетных записей и с помощью похищенных данных кредитных карт покупала билеты на мероприятия с последующей перепродажей. Доход злоумышленников от незаконной деятельности составил около $1,6 млн. 
В качестве меры пресечения Полякову суд рекомендовал лишение свободы на срок 4-12 лет. Как пояснила судья Мелисса Джексон, сюда также входит срок пребывания под стражей. Присутствующий в зале суда Поляков взял на себя полную ответственность за содеянное и поблагодарил за справедливый судебный процесс.
По словам адвоката обвиняемого Аркадия Буха, вердикт судьи означает, что срок заключения будет минимальным, то есть, 4 года. «Относительно сроков все договорено - от 4 до 12 лет. Обычно люди сидят где-то в пределах четырех лет и их освобождают за примерное поведение», - отметил эксперт. Тем не менее, бывают исключения, пояснил Бух. Иммигрантам и лицам, не являющимся гражданами США отнимают не 70% срока, а 50%. Таким образом, Поляков уже практически отбыл положенный срок.
Как сообщил адвокат, суду было предложено отсчитывать общий срок нахождения Полякова под стражей с момента его ареста в Испании 3 июля 2014 года. Поскольку обвиняемый признал свою вину, Бух рассчитывает на содействие прокураторы. Защита намерена рекомендовать досрочную отправку своего подзащитного в Россию. В случае отказа Управления по досрочно-условному освобождению адвокат будет настаивать на программе «Шаг», предполагающей усиленные занятия спортом. По словам Буха, благодаря программе Поляков уже через полгода может быть дома.

[душман]

Вредоносное ПО для Mac атакует пользователей с помощью Tor

Эксперты компании Bitdefender предупредили о вредоносном приложении, позволяющем злоумышленникам через Tor получать контроль над компьютерами Mac.

EasyDoc Converter.app распространяется через сторонние доверенные магазины приложений для macOS и маскируется под конвертер для файлов, однако выполняет совсем другие функции.
Приложение загружает на атакуемую систему вредоносный скрипт Backdoor.MAC.Eleanor, устанавливающий и регистрирующий три компонента – скрытый сервис Tor, PHP Web service и клиент Pastebin.
Скрытый сервис используется для подключения инфицированной системы к сети Tor и создания домена в зоне .onion, доступного через обычный браузер. Компонент PHP Web service получает команды от операторов вредоноса и интерпретирует их для macOS.
С помощью клиента Pastebin хакеры получают сведения о новых инфицированных системах. Клиент загружает на Pastebin данные о локальном домене .onion, зашифрованные открытым ключом RSA с помощью алгоритма base64.
По сути, Backdoor.MAC.Eleanor делает зараженный Mac частью ботнета. Как сообщают в Bitdefender, вредонос очень опасен, поскольку предоставляет злоумышленникам полный контроль над системой. Кроме того, Backdoor.MAC.Eleanor очень сложно детектировать.
Помимо прочего, операторы вредоноса используют инструмент с открытым исходным кодом wacaw для получения контроля над камерой скомпрометированного устройства.

[душман]

MSK-IX к осени представит "резервную копию" Рунета

Компания MSK-IX (совместно с "Ростелекомом" владеет крупнейшей точкой обмена трафиком в России) планирует уже к осени этого года представить резервную копию части инфраструктуры Рунета.

В рамках проекта был создан и выделен в отдельную структуру Фонд развития сетевых технология "Индата", в работу которого на первом этапе будет инвестировано 70 млн рублей собственных средств. Об этом пишет РБК со ссылкой на исполнительного директора фонда Александра Степанова.
Результатом создания так называемой "резервной копии" Рунета должна стать система, в которой будут содержаться IP-адреса голландской регистратуры RIPE NCC (занимается распределением IP-адресов между операторами связи, в том числе российскими), и других регистратур. Помимо всего прочего, "Индата" хочет создать специальные веб-инструменты, которые позволят российским специалистам в режиме реального времени получать информацию о состоянии Сети и их взаимодействии друг с другом.
Напомним, что в феврале этого года Минкомсвязи РФ представило законопроект о государственном контроле над прохождением интернет-трафика на территории России, призванный обеспечить защиту российского сегмента интернета от внешних угроз. В частности, министерство предложило создать государственную систему мониторинга "использования ресурсов глобальной адресации и глобальных идентификаторов сети интернет (DNS и IP-адресов)", которая также должна будет отслеживать работу критических элементов инфраструктуры российского сегмента интернета. В рамках этой системы будет создан реестр адресов Рунета.
Представители MSK-IX отметили, что идея создания копии Рунета пришла к ним еще год назад, и с инициативой властей не связана.

[душман]

Google устранила 108 уязвимостей в Android

Google выпустила необычайно огромный бюллетень безопасности, описывающий 108 уязвимостей.

Исправления разделены на 2 уровня. Разделение исправления на 2 уровня требуется для обеспечения более гибкого управления процессом доставки патчей на конечные устройства пользователей.
Первый уровень устраняет уязвимости непосредственно в ОС Android. 7 критических уязвимостей, позволяющих удаленно выполнить произвольный код были обнаружены в компоненте Mediaserver. Злоумышленник может заполучить полный контроль над уязвимым устройством во время просмотра сайтов в сети Интернет, чтения MMS или email-сообщений, просмотра видеофайлов.
Еще одна критическая уязвимость относится к OpenSSL и BoringSSL.Остальные исправленные уязвимости позволяют, в основном, повысить привилегии на системе и заполучить доступ к потенциально важным данным. Ошибки безопасности присутствуют в различных библиотеках, службах, реализации Bluetooth и Framework API.
Второй уровень обновления содержит исправления, относящиеся непосредственно к конкретным производителям устройств. Речь идет в большинстве случаев об уязвимостях повышения привилегий, присутствующий в драйверах Qualcomm, NVIDIA и MediaTek,  компонентах драйверов и некоторых ошибках в ядре ОС.
В настоящее время нет информации об активной эксплуатации исправленных уязвимостей злоумышленниками.

[душман]

Новый вариант трояна Kovter маскируется под обновления для Firefox

Исследователи компании Barkly сообщили о новой разновидности трояна Kovter, маскирующейся под легитимные обновления для Firefox.

Вредонос распространяется с помощью атак drive-by-download: когда пользователь посещает зараженный сайт, ему предлагается установить поддельное обновление для браузера.
По словам исследователей, последний вариант Kovter обходится без файлов и, похоже, использует легитимный сертификат, выпущенный Comodo. Эксперты уже уведомили компанию о проблеме, и сертификат вскоре будет отозван.
Вредонос устанавливает на инфицированную систему удаленно обновляемые трояны для доступа к компьютеру, кликает на рекламные ссылки, а также выполняет функции вымогательского ПО. После выполнения на системе жертвы вредонос записывает встроенный зашифрованный скрипт в несколько разных участков реестра Windows и использует PowerShell.exe для вредоносных действий.  
Проанализировав ключ реестра, исследователи нашли еще одну зашифрованную программу PowerShell. «В итоге мы обнаружили, что PowerShell используется для внедрения в систему шелл-кода», - сообщили эксперты.  
Пользователям рекомендуется воздержаться от установки каких-либо патчей для Firefox, выпущенных не в соответствии со стандартным циклом выпуска обновлений компании Mozilla.

[душман]

Россия: с начала года Trend Micro заблокировала более 1,6 млн угроз, связанных с программами-вымогателями

Компания Trend Micro Incorporated, мировой разработчик программного обеспечения и решений для информационной безопасности, объявила результаты борьбы с программами-вымогателями за период с января по май 2016 г.

За этот период продуктами компании по всему миру обнаружено и заблокировано более 66 млн угроз, связанных с программами-вымогателями, сообщили в Trend Micro.
Так, 64% угроз были обнаружены в электронной почте. Это связано с тем, что в основном заражение программами-вымогателями происходит посредством спама — c помощью макроса, прикрепленного файла или вредоносной ссылки в теле письма, пояснили в компании. 34% угроз были обнаружены в Вебе. Как правило, это адреса скомпроментированных сайтов, вредоносная реклама, а также «посадочные» страницы, которые содержат эксплойт-киты для программ-вымогателей. Всего лишь 2% угроз обнаружены и заблокированы во вредоносных файлах.
С января по май 2016 г. было обнаружено 50 новых семейств программ-вымогателей. Из них 19 семейств распространяются с помощью спама, а 6 внедряются посредством эксплойт-китов. Пути проникновения остальных нуждаются в дальнейшем исследовании. Все новые виды программ-вымогателей шифруют файлы и демонстрируют пользователю сообщение с требованием выкупа. Некоторые семейства программ-вымогателей после выполнения этих шагов саморазрушаются, поэтому традиционные способы обнаружения на уровне файлов от них не помогают, рассказали в Trend Micro.
В России за указанный период обнаружено и заблокировано более 1,6 млн угроз, связанных с программами-вымогателями, что составляет 2,5% от глобального числа обнаруженных угроз и 6,7% от числа угроз, обнаруженных в регионе EMEA (Europe, the Middle East and Africa). По числу обнаруженных программ-вымогателей Россия занимает пятое место в регионе EMEA, уступая Турции, Италии, Франции и Испании.
Как пояснили в Trend Micro, программы-вымогатели — это вид вредоносных программ, которые блокируют доступ пользователя к файлам и системам и требуют уплаты выкупа. Современные типы программ-вымогателей, называемые также криптовымогателями, шифруют определенные типы файлов в зараженной системе и требуют от пользователя уплаты выкупа через различные сервисы онлайн-платежей.
В настоящее время не существует панацеи, обеспечивающей 100%-защиту от программ-вымогателей. Trend Micro предлагает целостный подход, позволяющий снизить риск угроз от этого вида кибератак, указали в компании. Данный подход включает в себя: оценку готовности к атакам программ-вымогателей, которая помогает большим и малым компаниям определить уязвимые места в системе безопасности, а также предлагает конкретные действия, которые нужно предпринять; инструменты для восстановления, с помощью которых как домашние пользователи, так и предприятия, которые подверглись атаке, получают возможность восстанавливать поврежденную информацию; средства, укрепляющие защиту от программ-вымогателей, разработанные для крупных предприятий, среднего и малого бизнеса и для домашних пользователей.

[душман]

Хакер «Правый сектор» атаковал польскую телекоммуникационную компанию

На прошлой неделе польская телекоммуникационная компания Netia SA стала жертвой кибератаки.

Ответственность за инцидент взял на себя предположительно украинский хакер, известный в Twitter как pravysektor. Злоумышленнику удалось взломать сервер Netia SA и похитить большой объем данных, которые затем были опубликованы в открытом доступе на подпольном форуме.
Компания предупредила своих клиентов о хакерской атаке на netia.pl и заверила в том, что похищена была не вся информация, а только ее определенная часть (данные заполненных на сайте форм). Утечка не затронула логины и пароли пользователей портала NetiaOnline, а защитой учетных данных клиентов и партнерских компаний заняты ИБ-эксперты.  
Хакер опубликовал множество SQL-файлов, полученных в результате компрометации домена investor.netia.pl. В них содержатся имена и фамилии, домашние и IP-адреса, данные о заказах и денежных транзакциях, телефонные номера и прочая информация, в последний раз обновлявшаяся в 2014 году.
На момент публикации принадлежащая хакеру учетная запись в Twitter под названием «Правый сектор» была заблокирована.

[душман]

Эксперты обнаружили вредоносную подделку игры Pokemon GO для Android-устройств

Исследователи компании Proofpoint сообщили о новом вредоносном ПО для Android, маскирующемся под вышедшую в текущем месяце популярную игру Pokemon GO.

По словам экспертов, DroidJack позволяет злоумышленникам получить полный контроль над устройством, похищать конфиденциальные данные и следить за активностью пользователей.
Эксперты обнаружили вредоносный APK не в магазинах приложений, а пока только в репозитории вредоносных файлов. Популярность игры Pokemon GO для iOS- и Android-устройств набирает обороты, и, по мнению исследователей, ее вредоносная подделка вскоре появится в неофициальных магазинах приложений.
Поскольку даты релиза оригинальной игры в разных странах отличаются, злоумышленники, очевидно, рассчитывают на то, что нетерпеливые пользователи будут загружать ее из сторонних источников в надежде получить Pokemon GO раньше положенного срока.
Пользователям рекомендуется воздержаться от загрузки игры из сторонних источников. Те, кто уже скачал приложение из неофициального магазина, могут самостоятельно определить, не является ли оно вредоносным, выяснив, какие права оно запрашивает. Вредоносная версия игры требует повышенных привилегий, таких как доступ к беспроводному соединению и Bluetooth, а также возможность отслеживать активность пользователя в браузере.

[душман]

Обзор инцидентов безопасности за прошлую неделю

Прошедшая неделя ознаменовалась появлением новых образцов вредоносного ПО для различных операционных систем, рядом утечек данных и обнаружением новой, весьма необычной APT-группы.

Предлагаем ознакомиться с кратким обзором инцидентов безопасности за период с 4 по 10 июля 2016 года.
В последнее время ни одна неделя не обходится без появления новых образцов вымогательского ПО. На этот раз ИБ-эксперты сообщили о появлении Satana, «унаследовавшего» функционал от известных шифровальщиков Petya и Mischa. Так же как и они, новый вредонос способен шифровать данные и подменять главную загрузочную запись (Master Boot Record).
Исследователи компании Barkly предупредили о новом варианте трояна Kovter, маскирующемся под легитимные обновления для Firefox. Вредонос распространяется с помощью атак drive-by-download: когда пользователь посещает зараженный сайт, ему предлагается установить поддельное обновление для браузера. Kovter устанавливает на инфицированную систему удаленно обновляемые трояны для доступа к компьютеру, кликает на рекламные ссылки, а также выполняет функции вымогательского ПО.
Злоумышленники не преминули воспользоваться ажиотажем, возникшим в связи в выпущенной недавно игрой Pokemon GO. Исследователи Proofpoint обнаружили в репозитории вредоносных файлов поддельное приложение Pokemon GO, распространяющее вредоносное ПО DroidJack, предназначенное для Android-устройств. По словам экспертов, вскоре подделка появится в неофициальных магазинах приложений.
Прошедшая неделя выдалась неутешительной для пользователей Mac. Сначала специалисты Bitdefender сообщили о вредоносном ПО Backdoor.MAC.Eleanor, использующем анонимную сеть Tor для получения полного контроля над зараженной системой. Спустя некоторое время стало известно о втором бэкдоре OSX/Keydnap, похищающем содержимое связки ключей (keychain) Mac OS X и предоставляющем злоумышленникам постоянный доступ к компьютеру жертвы.
Эксперты компании Risk Based Security с помощью поисковой системы Shodan обнаружили более 6 тыс. скомпрометированных серверов NoSQL базы данных Redis. Причиной утечки является отсутствие механизмов авторизации в версиях Redis до 3.2.
В пятницу, 8 июля, неизвестным хакерам удалось получить доступ к нескольким серверам и базе данных, содержащей учетные данные пользователей облачного сервиса DataDog. Специалисты компании восстановили все скомпрометированные системы и дополнительную инфраструктуру, а также приняли меры по предотвращению эксплуатации всех найденных уязвимостей.
На прошлой неделе жертвами утечки данных также стали свыше 80 тыс. пользователей Amazon Kindle. По словам ответственного за инцидент хакера 0x2Taylor, атака была осуществлена с целью заставить компанию лучше заботиться о безопасности своих клиентов.
Предположительно украинский хакер под псевдонимом pravysektor скомпрометировал сервер польской телекоммуникационной компании Netia SA. Злоумышленнику удалось похитить большой объем данных, которые затем были опубликованы в открытом доступе на подпольном форуме.
Исследователи компании Cymmetria сообщили о новой APT-группе под названием Patchwork. Активность организации была впервые зафиксирована в декабре 2015 года, и с тех пор ее жертвами стали 2,5 тыс. пользователей. Главной отличительной чертой группировки является использование множества кодов, взятых из различных источников. По мнению экспертов, хакеры имеют индийское происхождение.

[душман]

Мошенники подписывали пользователей Android на платные контент-услуги посредством уязвимости в браузере AOSP

«Лаборатория Касперского» совместно с оператором сотовой связи МТС раскрыла схему, при которой мошенники могли подписывать абонентов на платные контент-услуги без их ведома.

В группе риска оказались владельцы смартфонов Android, пользующиеся штатным браузером AOSP, который на сегодняшний день применяется в операционных системах, не обновленных до версии Android 5.0, сообщили в «Лаборатории Касперского».
Для реализации мошеннической схемы киберпреступники использовали уязвимость двухлетней давности в браузере AOSP, которая позволяла вредоносному коду с сайта злоумышленников исполняться на легитимной веб-странице сотового оператора. Другими словами, именно вредоносный код «нажимал» на открытой странице платной подписки кнопку «Да», а пользователь оставался в неведении.
При этом в браузере Chrome, который является стандартным для более новых версий ОС Android, подобный сценарий невозможен, пояснили в компании.
Именно различие в поведении браузеров AOSP и Chrome при попытке пользователя получить доступ к некой подписке и привлекло изначально внимание экспертов «Лаборатории Касперского». Если в Chrome все работало корректно, и пользователю демонстрировалась страница с запросом на согласие оформить платную подписку, то в браузере AOSP лишь всплывало фоновое окно, после чего пользователь получал SMS об успешной подписке на контент-услугу без каких-либо подтверждений с его стороны.
Оператор сотовой связи при помощи «Лаборатории Касперского» предпринял меры для противодействия мошенничеству. Как только злоумышленники поняли, что их активность была замечена, они убрали вредоносный код с веб-страницы
«Пока киберпреступники опробовали эту мошенническую схему на относительно не затратном для атакуемых пользователей сценарии. Однако ничто не мешает им двигаться дальше. Аналогичную схему мошенничества можно реализовать и в других случаях, например, при совершении покупок через мобильные версии сайтов или при работе с интернет-банкингом в браузере, а не в приложении. Если учесть, что производители бюджетных версий смартфонов не всегда вовремя выпускают обновления для штатного ПО, а пользователи отнюдь не торопятся устанавливать эти обновления, то можно предположить, что в группе потенциального риска во всем мире оказывается почти 500 миллионов устройств, на которых по умолчанию установлен браузер AOSP», — рассказал Денис Горчаков, старший аналитик «Лаборатории Касперского».
«Безопасность пользователей для нас имеет решающее значение. Мы понимаем, что сегодня люди доверяют своим смартфонам самые ценные данные, которые они никак не хотели бы потерять. Мы уже давно сотрудничаем с “Лабораторией Касперского”, предлагая нашим клиентам решения для того, чтобы они могли защитить себя от актуальных киберугроз. И мы рады, что эксперты компании помогают нам обеспечивать безопасность наших пользователей не только в рамках официальных соглашений о сотрудничестве, но и в подобных случаях мошенничества», — заявил Дмитрий Русаков, эксперт по контролю партнерского трафика МТС.
Для того чтобы не стать жертвой этой мошеннической схемы, пользователям рекомендуется обновить прошивку своего мобильного устройства при условии, что производитель выпустил официальное обновление. Кроме того, в «Лаборатории Касперского» советуют отказаться от использования браузера AOSP и перейти на любой другой современный браузер. Также можно уточнить у сотового оператора, как отключить возможность подписки на платные услуги, если пользователь не видит в них необходимости. И, разумеется, ни при каких условиях не следует переходить по ссылкам из спам-сообщений или кликать на подозрительные рекламные баннеры.

[душман]

Microsoft выпустила 11 плановых бюллетеней безопасности

В рамках «вторника исправлений» компания Microsoft выпустила 11 плановых бюллетеней безопасности, устраняющих в общей сложности 49 уязвимостей в различных решениях производителя.

Из 11 бюллетеней 6 являются критическими и исправляют ошибки в Edge, Internet Explorer, JScript/VBScript, Print Spooler, Microsoft Office и Adobe Flash Player.
Бюллетени MS16-084 и MS16-085 затрагивают браузеры Internet Explorer и Edge соответственно. Первый устраняет 15 уязвимостей в IE (версии 9, 10, 11), в том числе 9 ошибок, связанных с повреждением памяти; 1 проблему, позволяющую обойти защиту; 3 уязвимости, эксплуатация которых может привести к раскрытию важной информации; 2 ошибки, позволяющие осуществить спуфинг-атаку.
Второй бюллетень в общей сложности исправляет 13 проблем: 7 ошибок, связанных с повреждением памяти, а также уязвимости, позволяющие утечку данных, обход защиты и спуфинг-атаки.  
Бюллетень MS16-086 устраняет уязвимость CVE-2016-3204, успешная эксплуатация которой позволяет авторизованному пользователю удаленно выполнить произвольный код.
Бюллетень MS16-087 устраняет проблемы CVE-2016-3238 и CVE-2016-3239 в Microsoft Print Spooler. Первая вызвана с тем, что Print Spooler некорректно проводит проверку драйверов печати при установке принтера. Успешная эксплуатация данной уязвимости позволяет удаленно выполнить произвольный код. CVE-2016-3239 позволяет повышение локальных привилегий. Авторизованный пользователь может проэксплуатировать данную ошибку при помощи специально сформированного скрипта.
Бюллетень MS16-088 исправляет ряд связанных с повреждением памяти уязвимостей в Microsoft Office. Наиболее серьезные из них позволяют атакующему выполнить произвольный код в контексте текущего пользователя.
Бюллетень MS16-093 – обновление для Adobe Flash Player в Microsoft Internet Explorer (10, 11) и Microsoft Edge. Данный бюллетень исправляет в общей сложности 24 уязвимости.
Бюллетени MS16-089, MS16-090, MS16-091, MS16-092 и MS16-094 устраняют ряд проблем в ядре Windows, компонентах .NET Framework и Secure Boot.

[душман]

Adobe исправила 52 уязвимости в Flash Player

Во вторник, 12 июля, в рамках регулярного цикла обновлений компания Adobe выпустила патчи для Flash Player, исправляющие 52 уязвимости.

Версии 22.0.0.209 для Windows, Mac OS X, Chrome, Internet Explorer и Edge, а также 11.2.202.632 для Linux являются самым крупным обновлением медиапроигрывателя в нынешнем году.Как сообщает Adobe, ни одна из исправленных уязвимостей в настоящее время не эксплуатируется. 33 из них позволяли вызвать повреждение памяти и удаленно выполнить код (CVE-2016-4172, CVE-2016-4175, CVE-2016-4179, CVE-2016-4180, CVE-2016-4181, CVE-2016-4182, CVE-2016-4183, CVE-2016-4184, CVE-2016-4185, CVE-2016-4186, CVE-2016-4187, CVE-2016-4188, CVE-2016-4189, CVE-2016-4190, CVE-2016-4217, CVE-2016-4218, CVE-2016-4219, CVE-2016-4220, CVE-2016-4221, CVE-2016-4233, CVE-2016-4234, CVE-2016-4235, CVE-2016-4236, CVE-2016-4237, CVE-2016-4238, CVE-2016-4239, CVE-2016-4240, CVE-2016-4241, CVE-2016-4242, CVE-2016-4243, CVE-2016-4244, CVE-2016-4245, CVE-2016-4246).Еще 10 уязвимостей (CVE-2016-4173, CVE-2016-4174, CVE-2016-4222, CVE-2016-4226, CVE-2016-4227, CVE-2016-4228, CVE-2016-4229, CVE-2016-4230, CVE-2016-4231, CVE-2016-4248) существовали из-за ошибки использования после высвобождения и могли привести к выполнению кода.CVE-2016-4247 – уязвимость под названием «состояние гонки» (Race Condition) позволяла раскрыть информацию. CVE-2016-4249 могла вызвать переполнение буфера и привести к выполнению кода. Уязвимости CVE-2016-4223, CVE-2016-4224 и CVE-2016-4225 существовали из-за ошибки при обработке шрифтов и позволяли выполнить код.С помощью CVE-2016-4178 злоумышленник мог обойти механизмы безопасности и раскрыть информацию. Уязвимость CVE-2016-4232 существовала из-за утечки памяти. Еще две уязвимости (CVE-2016-4176 и CVE-2016-4177) позволяли удаленно выполнить код.

[душман]

Эксперты зафиксировали новую агрессивную кампанию по распространению Locky

После сравнительно недолгого затишья спам-кампании по распространению вымогательского ПО Locky вновь возобновились.

Исследователи компании F-Secure зафиксировали несколько довольно агрессивных спам-атак.Обычно в ходе подобных кампаний распространяется от 4 тыс. до 10 тыс. спам-сообщений в день. В описываемых экспертами F-Secure случаях злоумышленники рассылали от 30 тыс. до свыше 120 тыс. спам-писем в час.
Другими словами, мощность спам-кампаний возросла в более, чем 200 раз. В ходе одной из кампаний спам-сообщения включали ZIP-архив (xls_convert_recipientname_randomnumber.zip), якобы содержащий нужные жертве счета. В действительности в архиве находился файл Jscript, при открытии которого на компьютер пользователя загружался и запускался вымогатель Locky.
Впервые о вымогательском ПО Locky стало известно в начале нынешнего года. Его отличительной особенностью является способ загрузки, во многом напоминающий метод банковского трояна Dridex. Оказавшись на системе, вредонос шифрует и добавляет расширение .locky к файлам на системе. Для того чтобы восстановить доступ к контенту, пользователю необходимо отправить преступнику определенную сумму в биткойнах.

[душман]

Роскомнадзор внес сайты Qiwi и Skrill в реестр запрещенной информации

В четверг, 14 июля, Роскомнадзор внес в единый реестр запрещенных ресурсов сайты платежных систем Qiwi и Skrill.

Причиной блокировки послужила опубликованная на них незаконная информация, а именно ссылки на online-казино и возможность осуществления платежей для участия в азартных играх. Об этом сообщает издание «РИА Новости» со ссылкой на главу пресс-службы ведомства Вадима Ампелонского.
Директор по корпоративным отношениям Qiwi Константин Кольцов подтвердил факт получения от Роскомнадзора письма с требованием внести ряд изменений в отношении информации о нескольких провайдерах на web-сайтах компании в течение 24 часов. Сейчас Qiwi занимается корректировкой указанной информации в соответствии с требованиями ведомства, с тем чтобы вовремя выполнить предписания.  
По заверениям Кольцова, сейчас сайты Qiwi работают в штатном режиме. Возникшая ситуация никоим образом не повлияет на процессы проведения платежей и находящиеся на балансах электронных кошельков денежные средства.

[душман]

Троян-загрузчик Nymaim теперь доставляет шпионское ПО

Компания Eset предупредила о всплеске активности загрузчика Nymaim — число атак в первом полугодии 2016 г. на 63% превысило показатель того же периода 2015 г.

Об этом сообщили в Eset.По данным компании, с момента первого обнаружения в 2013 г. Nymaim заразил более 2,8 млн пользователей. Предыдущая модификация трояна распространялась через вредоносные сайты и доставляла на зараженные устройства вымогательское ПО.
Новое поколение Nymain ищет жертв при помощи фишинговых писем. К сообщениям приложен документ Microsoft Word, содержащий вредоносный макрос. Чтобы убедить пользователя включить макросы, отключенные по умолчанию, ему показывается текст со сбитой кодировкой и предлагается «запустить режим совместимости».
После включения макрос загрузит Nymaim.В связке с Nymain распространяется шпионское ПО — троян Gozi, который открывает злоумышленникам удаленный доступ к взломанным компьютерам. Программа специализируется на краже конфиденциальных данных, ее цель — банки и финансовые учреждения, рассказали в Eset.
Пока в статистике заражений Nymain лидирует Польша (54%), Германия (16%) и США (12%). Троян распространяется также в Латинской Америке, преимущественно Бразилии.
Антивирусные продукты Eset NOD32 детектируют новую версию загрузчика как Win32/TrojanDownloader.Nymaim.BA.

[душман]

На сайт телеканала RT осуществлена масштабная DDoS-атака

В ночь с 15 на 16 июля злоумышленники атаковали сайт телеканала RT.com.

DDoS-атака была предпринята на серверы провайдера, обеспечивающего потоковое вещание RT. Работу сайта удалось восстановить, однако через некоторое время атака повторилась, сообщают представители компании-провайдера, обеспечивающей потоковое вещание телеканала.
«Масштабная DDoS-атака началась в то же время, когда в Турции осуществлялся переворот. HTTP-заголовки были инфицированы каким-то новым кодом, не обнаруженным нашим брандмауэром», - отметили в компании-провайдере.
Первая волна нападения длилась около двух часов, вторая – около часа. В настоящее время вещание возобновлено, однако обстоятельства нападения еще не выяснены. Стоит отметить, что это не первый случай масштабных атак на RT.
В 2014 году сайт подвергся самой мощной атаке за все время своего существования. Тогда ИБ-эксперты RT сумели отразить нападение. Раннее, атака была осуществлена в феврале 2013 года. Работу сайта удалось возобновить только через шесть часов.
В августе 2012 года были атакованы сайты RT на английском и испанском языках. Ответственность за нападение взяла на себя хакерская группа AntiLeaks.

[душман]

Две хакерские группы взяли ответственность за DDoS-атаку на серверы Pokemon Go

Группа хакеров под названием PoodleCorp взяла на себя ответственность за сбой в работе серверов игры Pokemon Go в США и Европе.

Об этом PoodleCorp, известная своими атаками на популярные каналы в YouTube, сообщила на своей странице в Twitter.
Сбой в работе серверов произошел в субботу, 16 июля, что незамедлительно начало комментироваться пользователями в социальных сетях. Специалисты из Niantic отметили, что серверы просто не справляются с наплывом пользователей. После заявлений Niantic в Twitter PoodleCorp появилось следующее сообщение: «сбой работы серверов Pokemon Go – это небольшой тест и вскоре грядет атака масштабнее 1 августа 2016 года».
В воскресенье, 17 июля, хакерская группа OurMine на своем сайте написала, что собирается атаковать серверы Pokemon Go до тех пор, пока представители игры с ними не свяжутся. Отметим, что OurMine раннее взяли ответственность за компрометацию принадлежащую гендиректору Google Сундару Пичаи учетную запись в сервисе вопросов-ответов Quora, а также учетные записи основателя Facebook Марка Цукерберга в соцсетях Instagram, Twitter, LinkedIn и Pinterest.
В настоящее время на странице Pokemon Go в Twitter отмечено, что проблема была установлена, и игроки могут продолжать поиски покемонов. Была ли это DDoS-атака так и не уточняется, однако у некоторых пользователей до сих возникают проблемы с доступом к игре.

[душман]

Украинские хакеры заявили о взломе сервера департамента Минобороны РФ

Украинские хакеры из киберальянса FalconsFlame, Trinity, Рух8 и КиберХунта заявили об успешном взломе сервера департамента Министерства обороны РФ по обеспечению государственного оборонного заказа и опубликовали в открытом доступе контракты, датированные 2015 годом.

Похищенные документы были переданы организации InformNapalm для анализа. Данные были обработаны и для удобства представлены в виде таблицы с указанием исполнителя контракта, ИНН исполнителя, номера и краткого описания контракта, сроков и суммы.
По подсчетам  InformNapalm, общая сумма контрактов составляет 81 111 022 793,66 руб. Договор на самую большую сумму (45 млрд руб.) был заключен с ОАО «БСП» на выполнение строительно-монтажных работ. Вероятно, данный контракт составлен на строительство Национального центра управления обороной.

[душман]

Обнаружен первый троян для вербовки инсайдеров в компаниях

Исследователи израильской компании Diskin Advanced Technologies обнаружили первое вредоносное ПО, использующее методы социальной инженерии и вымогательство для вербовки инсайдеров в компаниях.

Вредонос, получивший название Delilah, чаще всего распространяется через игровые сайты и ресурсы с контентом «для взрослых». Оказавшись на системе, троян собирает конфиденциальные данные, в том числе относящиеся к семье и месту работы, позволяющие злоумышленникам шантажировать жертву.
Помимо сбора персональных сведений, троян способен записывать видеоматериал с web-камеры пользователя без его ведома. По словам эксперта компании Gartner Research Авивы Литан, в своих инструкциях злоумышленники требуют от жертвы использовать VPN-сервисы и анонимную сеть Tor, а также удалять историю просмотров в браузере.
По всей видимости, это нужно для сокрытия следов несанкционированной деятельности в случае проведения аудита.  
В настоящее время троян не продается на черном рынке и доступен только на закрытых хакерских форумах. Судя по количеству ошибок, вредоносное ПО пока находится на стадии разработки. Как отмечают исследователи, использование Delilah требует непосредственного участия авторов вредоносного ПО, в частности в том, что касается применения социальной инженерии для идентификации потенциальных жертв.
За последнее время проблема вредоносного инсайдерского ПО стала довольно актуальной. Как утверждается в докладе компании Verizon, в большинстве случаев подобные угрозы обнаруживаются только спустя несколько месяцев, а то и лет, после инфицирования системы. Авива Литан прогнозирует рост числа инцидентов с использованием Delilah и подобных вредоносов в будущем и рекомендует организациям принять меры по предотвращению возможного заражения.

[душман]

Уязвимости в 15 антивирусах позволяют внедрить вредоносный код в любой процесс на системе

Исследователи из компании EnSilo обнаружили шесть серьезных проблем с безопасностью в 15 антивирусных решениях от AVG, «Лаборатория Касперского», McAfee, Symantec, Trend Micro, Bitdefender, Citrix, Webroot, Avast, Emsisoft, Microsoft и Vera Security.

Все проблемы связаны с методами перехвата вызовов других процессов, используемыми антивирусами средствами виртуализации.
Уди Яво и Томмер Биттон обнаружили уязвимости в процессе изучения вопроса, каким образом производители ПО используют технологию перехвата (hooking) для внедрения кода с целью перехвата, мониторинга и модификации системных вызовов. По словам исследователей, большая часть уязвимостей позволяет атакующим с легкостью обойти защиту от эксплоитов в Windows или сторонних приложениях и проэксплуатировать проблемы, которые в иных случаях могут быть труднодоступны или вовсе недоступны. Некоторые уязвимости позволяют злоумышленнику внедрить вредоносный код в любой процесс, запущенный на системе.
Метод перехвата используется антивирусами для отслеживания потенциально вредоносного поведения. Кроме того, hooking применяется для защиты от эксплоитов, виртуализации, мониторинга производительности и сэндбоксинга. Некоторые вредоносные программы используют перехват для осуществления MitB-атак.
Исследователи проинформировали о проблеме вышеуказанных производителей антивирусных решений. Некоторые из них уже выпустили соответствующие патчи. Более подробный доклад по данной теме эксперты представят на конференции Black Hat, которая пройдет в августе нынешнего года.

[душман]

С августа Firefox будет блокировать невидимый Flash-контент

Начиная с августа текущего года интернет-обозреватель Firefox начнет автоматически блокировать некоторые виды Flash-контента, невидимые при загрузке страницы, сообщили разработчики из компании Mozilla.

Данная мера призвана защитить пользователей от загрузки сомнительных web-страниц, содержащих вредоносные Flash-файлы. Кроме прочего, блокировка Flash в Firefox дополнительно сократит число специфичных для Flash-контента крахов и зависаний на 10%.
По словам разработчиков, браузер также будет автоматически блокировать внедряемые рекламодателями Flash-скрипты, применяющиеся для того, чтобы пользователь не смог заблокировать или проигнорировать рекламу.
Блокировка является последним подготовительным этапом перед реализацией инициативы по полному отказу от использования Flash в пользу HTML 5 и других стандартных технологий. В следующем году Firefox начнет по умолчанию блокировать весь Flash-контент. Для его просмотра потребуется соответствующее подтверждение пользователя.
В минувшем мае Google также заявила о намерении отказаться от Flash Player в пользу HTML 5. Переход должен завершиться до конца текущего года. Опция «HTML 5 by Default» будет включена по умолчанию, а для проигрывания Flash-контента потребуется ручная активация плагина, хотя Flash Player будет по-прежнему поставляться с браузером.