"Мир интернета"

[душман]

Обзор инцидентов безопасности за прошлую неделю

Одним из наиболее резонансных событий прошлой недели стало обнаружение шпионского ПО, эксплуатирующего сразу три уязвимости нулевого дня в iOS.

Внимание общественности также привлекли масштабные атаки на ряд сервисов с эксплуатацией уязвимости в vBulletin. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 22 по 28 августа 2016 года.
Как уже упоминалось выше, на прошлой неделе стало известно об утечках данных пользователей ряда сайтов, произошедших в результате эксплуатации уязвимости в движке vBulletin. Злоумышленники похитили электронные адреса, даты рождения и личные сообщения порядка 808 тыс. пользователей форумов, посвященных движку Unreal Engine и игре Unreal Tournament от американской компании Epic Games.
Во вторник, 23 августа, сайт gtagaming.com, посвященный игре Grand Theft Auto, сообщил о компрометации базы данных пользователей своего форума. В результате инцидента утекли электронные адреса, хешированные пароли и другие данные 200 тыс. поклонников GTA. В ходе атаки злоумышленники прэксплуатировали уязвимость в vBulletin, позволяющую осуществлять SQL-инъекции.
Как сообщил ресурс LeakedSource, вышеупомянутая уязвимость стала причиной утечки информации 25 млн пользователей поддоменов Mail.ru. По словам представителей компании, пароли, о которых идет речь в сообщении LeakedSource, давно не актуальны. «Это старые пароли от форумов игровых проектов, которые компания приобретала в разные годы», - сообщается в официальном уведомлении Mail.Ru Group.
На прошлой неделе сотрудники Opera Software обнаружили и заблокировали кибератаку, однако некоторая информация пользователей, включая учетные данные, могла быть скомпрометирована. В качестве превентивной меры компания рекомендует всем пользователям поменять пароли.
О необходимости сменить пароли своих клиентов также предупредил облачный сервис Dropbox. По словам представителей компании, изменить учетные данные должны пользователи, не делавшие этого с 2012 года, поскольку пароли могли быть похищены в результате хакерских атак, имевших место несколько лет назад.
ФБР США проводит расследование кибератаки на сайт московского бюро издания The New York Times. В причастности к инциденту подозреваются хакеры, связанные с российскими спецслужбами. В настоящее время нет доказательств, что попытка взлома, осуществленная ранее в этом месяце, оказалась успешной.
Среди наиболее значимых событий на прошлой неделе стало известие о новом мощном шпионском ПО Pegasus, разработанном израильской компанией NSO Group и эксплуатирующем сразу три уязвимости нулевого дня в iOS. Исследователи Citizen Lab и Lookout уведомили Apple об уязвимостях, и 25 августа компания выпустила исправления.
Специалисты компании ESET обнаружили первый Android-ботнет, использующий Twitter в качестве управляющего сервера. Данный функционал был выявлен во вредоносном приложении под названием Android/Twitoor, способном устанавливать дополнительное вредоносное ПО на инфицированном устройстве. Программа распространяется под видом проигрывателя для воспроизведения интим-видео или мессенджера, однако не обладает подобным функционалом.
На прошлой неделе не обошлось без сообщений о новых образцах вымогательского ПО. Одним из них является шифровальщик Fantom, созданный на базе проекта с открытым исходным кодом EDA2 и маскирующийся под обновления Windows. В процессе шифрования файлов на компьютере жертвы вредонос отображает на экране поддельное уведомление об установке критического патча.
ИБ-эксперт xXToffeeXx обнаружил образец вымогательского ПО Globe, созданный, очевидно, поклонником американского триллера-антиутопии «Судная ночь» (об этом свидетельствуют обои для рабочего стола). Что интересно, в процессе шифрования в папке с зашифрованными файлами вымогатель создает уведомление с требованием выкупа в виде HTA-документа (How to restore files.hta).
Исследователь из компании Proofpoint Дариен Хусс обнаружил новое вредоносное ПО Alma Locker, шифрующее файлы на компьютере жертвы и требующее за их восстановление выкуп в размере 1 биткойна, который должен быть уплачен в течение пяти дней. Вымогатель распространяется с помощью набора эксплоитов RIG и в качестве рабочего C&C-сервера использует сеть Tor.
ИБ-эксперты из MalwareHunterTeam сообщили о новом виде вымогательского ПО, распространяемого в двух версиях, одна из которых способна делать скриншоты экрана компьютера жертвы и отправлять их на C&C-сервер злоумышленников. Вторая распространяется под видом приложений Pokemon GO.

[душман]

ФСО не продлила домены государственной важности

ФСО не продлила регистрацию ряда государственно значимых доменов в доменной зоне .РФ.

В результате свободными могут оказаться такие домены, как Белыйдом.рф, Госдума.рф, ап.рф, ру.рф и другие.Федеральная служба охраны не продлила регистрацию ряда доменов государственной важности в зоне .РФ. Об этом сообщил известный киберсквоттер (специалист по регистрации доменов с целью их перепродажи) Павел Гросс-Днепров.
По данным Гросса, речь идет о таких доменах, как Белыйдом.рф, ГосДума.РФ, Ру.рф, АП.рф (Администрация Президента), ветераны.рф, война.рф, ГД.РФ (Государственная дума), антикоррупция.рф, директор-фсо-россии.рф, гон.рф (гараж особого назначения, структура Управления делами президента), дам.рф (Дмитрий Анатольевич Медведев), парламент.рф, сенат.рф, спецсвязь.рф, 20.рф, 65.рф, 2020.рф и другие.
В 2010 г., перед началом работы доменной зоны .РФ, ФСО получила возможность в приоритетном порядке зарегистрировать домены для органов государственной власти. Согласно информации из сервиса Whois, целый ряд таких доменов был оплачен до 26 августа 2016 г.
Поскольку очередной оплаты за эти домены к регистраторам не поступило, такие домены поставлены в очередь на освобождение. Если оплата не поступит в течение месяца, то с 26 сентября 2016 г. эти домены станут свободны для регистрации любыми желающими.
Гросс говорит, что ранее ФСО уже освободила домен uznay-prezidenta.ru. На регистрацию доменов, которые сейчас готовятся к освобождению, уже есть заявки. Например, за домен ру.рф готов заплатить до 130 тыс. руб.
Представитель Координационного центра национального домена сети интернет (КЦ) сказал, что до освобождения указанных доменов остается почти месяц. Наверняка регистратор уже направил администратору доменов соответствующее предупреждение. Если же домены не будут продлены, это станет решением исключительно их администратора, отмечает представитель КЦ.
Что касается регистрации освободившихся доменов, то она осуществляется по специальному алгоритму. Регистратор может подать заявки на регистрацию таких доменов исходя из квоты. Она рассчитывается для каждого регистратора в зависимости от числа освобожденных его клиентами доменом.ФСО не ответила на вопросы относительно освобождающихся доменов.

[душман]

Новая вредоносная программа командует зомби-сетью из Android-гаджетов через Twitter

Вирусная лаборатория Eset обнаружила вредоносное приложение Twitoor, которое управляет Android-гаджетами через Twitter.

Об этом сообщили в Eset.Вредоносная программа распространяется через мобильный спам. Она маскируется под проигрыватель порно или приложение для отправки MMS.
После запуска Twitoor незаметно для пользователя проверяет заданные Twitter-аккаунты на предмет команд мошенников. В зависимости от полученных инструкций вредонос скачивает банковские трояны или переходит на другие аккаунты.
Как считает Лукаш Стефанко, вирусный аналитик Eset, в любой момент Twitoor может начать распространение другой вредоносной программы, например, мобильного шифратора.
«Twitter впервые использовали для управления ботнетом на Windows в 2009 году. Аналог на Android был обнаружен только сейчас. В будущем, возможно, плохие парни воспользуются статусами на Facebook, поработают в Linkedin или других соцсетях», — предполагает Стефанко.
По словам Стефанко, обнаружить и блокировать Twitoor сложно, поскольку вредонос действует через соцсети вместо «традиционной» связи через командный сервер. Кроме того, владельцы зомби-сети застраховали себя от блокировки мошеннических аккаунтов.
Eset NOD32 Mobile Security детектирует вредоносное приложение как Android/Twitoor.

[душман]

Avast представила браузер Avast SafeZone для безопасной работы в Сети

Компания Avast Software, разработчик программного обеспечения по информационной безопасности для мобильных устройств и ПК, представила новую версию браузера SafeZone, который теперь доступен бесплатно для всех пользователей Avast.

Он предоставляет возможность защитить личные данные при совершении покупок онлайн, при проведении банковских операций и онлайн-транзакций, а также блокирует навязчивую рекламу, сообщили в Avast Software.
По данным компании, каждый день Avast находит и блокирует более 43 млн веб-сайтов с вредоносным контентом, поэтому специалисты рекомендуют использовать безопасные браузеры для полной защиты в интернете. Кроме того, Avast обнаруживает в среднем 40 фишинговых атак в секунду, которые, в первую очередь, нацелены на такие персональные данные пользователей, как информация о кредитных картах или паролях.
С новой версией SafeZone эти атаки можно предотвратить благодаря встроенной функции Avast Online Security, которая включает защиту от фишинга и вредоносных программ, препятствуя распространению угроз в браузере или ПК.
Кроме того, браузер защищает личные данные при совершении финансовых операций и покупок в интернете. Когда SafeZone «видит», что пользователь посетил банковский сайт, он автоматически открывает веб-страницы в изолированной сессии. Это обеспечивает надежное соединение, в котором можно продолжить финансовую операцию, не опасаясь за свой пароль или банковскую информацию, утверждают в Avast Software.
Для защиты пользователей, которые подключаются через непроверенные общественные Wi-Fi сети, Avast браузер обеспечивает зашифрованное соединение через собственные DNS-серверы.
«Поскольку онлайн атаки становятся все более сложными и регулярными, мы видим необходимость предоставления безопасного и надежного способа ежедневной защиты в интернете, — отметил Ондрей Влчек, главный операционный директор Avast. Сделав браузер SafeZone доступным для всех пользователей антивируса Avast, мы надеемся помочь в предотвращении многих кибернападений, а также обеспечить уверенность в защите во время онлайн-покупок, банковских операций или же простой работы в интернете».
В то же время, новая версия Avast SafeZone останавливает навязчивую рекламу, исходя из списков, администрируемых сообществом Avast, позволяет быстро загружать видео с YouTube, Vimeo и других сайтов для дальнейшего просмотра в оффлайн-режиме, а также проверяет цены, публикуемые на сайтах онлайн-магазинов, и помогает найти оптимальные предложения продуктов (функция Safe Price).
В целом новый SafeZone браузер — это один из встроенных инструментов бесплатной версии антивируса Avast, которую можно скачать на сайте компании Avast Software.

[душман]

Укравшие 3 млрд рублей хакеры оказались разработчиками набора эксплоитов Angler

В июне нынешнего года сообщалось о задержании участников хакерской группировки Lurk по подозрению в хищении порядка 3 млрд рублей со счетов российских пользователей.

Как оказалось, кража средств при помощи одноименного банковского трояна была не единственным видом заработка группировки.
В ходе анализа инфраструктуры вредоносного ПО Lurk специалисты «Лаборатории Касперского» выяснили, что операторы трояна занимались разработкой и последующей сдачей в аренду набора эксплоитов Angler – пакета вредоносных программ, способных эксплуатировать уязвимости в популярном ПО и незаметно устанавливать дополнительные вредоносы на компьютеры жертв.
Киберпреступники по всему миру активно использовали Angler для внедрения различного вредоносного ПО – от рекламного ПО до банковских троянов и программ-вымогателей, в частности, CryptXXX и TeslaCrypt.
По данным ЛК, изначально набор эксплоитов разрабатывался с одной целью – обеспечить эффективное распространение банковского трояна Lurk. Однако со временем вирусописатели расширили сферу применения Angler и начали сдавать его в аренду.
По словам руководителя отдела расследования компьютерных инцидентов ЛК Руслана Стоянова, вероятно, решение продавать другим злоумышленникам доступ к Angler было вызвано высокими затратами на поддержку разросшейся к тому времени сетевой инфраструктуры и зарплату «сотрудникам».
Помимо разработки и поддержки Angler, группировка занималась и другими видами деятельности. Вирусописатели не остановились на создании мощного банковского трояна для массовых хищений средств из систем ДБО (дистанционное банковского обслуживание), а начали разрабатывать сложные мошеннические схемы с подменой SIM-карт по фальшивым доверенностям.
Также группировка осуществляла целевые атаки на банки с привлечением инсайдеров.

[душман]

Adobe исправила опасную уязвимость в ColdFusion

Компания Adobe Systems выпустила обновления, исправляющие опасную уязвимость в сервере приложений ColdFusion.

Патчи доступны для версий ColdFusion 10 и 11 и исправляют ошибку, способную привести к раскрытию важной информации при синтаксическом анализе XML.
В зависимости от используемой ветки системным администраторам рекомендуется установить обновление 21 (для версии 10) или 10 (для версии 11). Уязвимость (CVE-2016-4264) не затрагивает ColdFusion 2016 года выпуска.
Проблему обнаружил Давид Голунски и в частном порядке сообщил о ней производителю. Согласно уведомлению Adobe Systems, какие-либо свидетельства эксплуатации данной уязвимости обнаружены не были.
ColdFusion представляет собой платформу для создания и обслуживания интерактивных web-приложений с использованием скриптового языка CFML (ColdFusion Markup Language). Платформа пользуется популярностью в корпоративном секторе, поскольку позволяет быстро разрабатывать приложения.

[душман]

Взломавший почту Буша и Пауэлла хакер осужден на 52 месяца лишения свободы

В четверг, 1 сентября, суд в США вынес приговор 44-летнему гражданину Румынии Марселю Лехелю Лазару, более известному как Guccifer, по обвинению в хищении личности и неавторизованном доступе к защищенному компьютеру.

Знаменитый хакер проведет в тюрьме 52 месяца.По данным следствия, в период с 2012 по 2014 годы Лазар взломал персональные почтовые ящики и учетные записи на различных соцресурсах свыше сотни человек, включая известных политиков. В числе жертв оказались члены семьи бывшего президента США Джорджа Буша-старшего и экс-госсекретарь США Колин Пауэлл.
В большинстве случаев похищенную информацию (частную корреспонденцию, медицинские и финансовые данные, личные фотографии) хакер публиковал в открытом доступе. В 2016 году Guccifer был экстрадирован в США, где предстал перед судом.
Находясь в тюрьме в штате Вирджиния хакер заявлял о неоднократных успешных взломах почтового сервера бывшего госсекретаря США, а ныне кандидата на пост президента США Хиллари Клинтон. Тем не менее, директор ФБР Джеймс Коми и другие чиновники не верят словам Лазара. По их мнению, хакером движет жажда славы, а не финансовой прибыли.
Поэтому странно, что он взломал сервер, но не предоставил никаких доказательств данного факта.
Лазару грозило всего два года тюрьмы, однако государственное обвинение настояло на дополнительных двух годах. Ранее Guccifer уже был осужден в Румынии на семь лет за кибермошенничество.

[душман]

Антидопинговое агентство WADA обвинило российских хакеров в ежедневных атаках на свой сайт

Российские хакеры ежедневно атакуют официальный сайт Всемирного антидопингового агентства (WADA).

Об этом в четверг, 1 сентября, сообщает норвежское издание NRK со ссылкой на главу организации Оливье Ниггли. По его словам, ресурс подвергается ежедневным атакам в течение уже трех недель. «Мы догадываемся, кто эти хакеры. Они из России и уже известны правительствам западных стран», - заявил Ниггли.
Глава антидопингового агентства сообщил, что информаторы WADA и сама организация постоянно получает угрозы от российских хакеров, а жилища людей, сотрудничающих с агентством, прослушиваются.
Напомним, в прошлом месяце жертвой хакеров стала информатор WADA, российская легкоатлетка Юлия Степанова. Неизвестные взломали электронную почту спортсменки и учетную запись в системе ADAMS, через которую она докладывает агентству о своем местонахождении.
По словам представителей WADA, злоумышленники атаковали только аккаунт Степановой, а значит, их интересовало, где находится именно она.

[душман]

Google исправила 33 уязвимости в Chrome

Google выпустила новую версию своего браузера для Windows, Mac и Linux.

В Chrome 53.0.2785.89 исправлены 33 уязвимости, в том числе 13 очень опасных. Шесть из них затрагивают движок PDFium для рендеринга PDF-документов в браузере (одна ошибка использования памяти после высвобождения и еще пять, способных вызвать переполнение области динамически распределяемой памяти).
Пять наиболее опасных уязвимостей были исправлены в движке Blink – две универсальные XSS-уязвимости, одна ошибка использования памяти после высвобождения, ошибка использования после разрушения и несоответствие используемых типов данных (type confusion).
За обнаружение исправленных в новой версии уязвимостей Google в общей сложности выплатила вознаграждение на сумму, превышающую $56 тыс. К примеру, студент Массачусетского технологического института Макс Юстич получил $7500 за сообщение об уязвимости, позволяющей внедрить скрипт в расширение браузера.
Напомним, в выпущенной в июле версии Chrome 52 были исправлены 48 уязвимостей.

[душман]

Хакеры похитили документы Службы национальной безопасности Армении

Азербайджанские хакеры взломали используемые правительством Армении серверы, похитили и опубликовали паспортные данные въехавших в страну иностранных граждан.

Ответственность за инцидент взяла на себя хакерская группировка Anti-Armenia Team, известная своими атаками на армянские правительственные ресурсы.
По словам хакеров, им удалось взломать сервер Министерства обороны Республики Армения. Как сообщает The Register со ссылкой на неназванных ИБ-экспертов, утекший дамп данных (в том числе сканированные копии паспортов) является подлинным. В числе скомпрометированной информации оказались внутренние ресурсы Службы национальной безопасности Армении, используемые для обновления данных паспортов иностранных граждан, въехавших на территорию страны, а также направленные правительственным органам аналитические отчеты.
Несмотря на заявление о хакерской атаке, ИБ-эксперт, к которому обратились журналисты The Register, уверен, что утечка данных произошла по вине инсайдера. По его мнению, злоумышленники взломали компьютер одного из сотрудников, имевшего доступ к данным. «Документы могли быть похищены у одного человека, а не из «систем», как утверждают хакеры», - отметил эксперт. 

[душман]

Мобильный «Яндекс.Браузер» начал поддерживать дополнения для десктопных браузеров

Альфа-версия «Яндекс.Браузера» для Android начала поддерживать дополнения, с которыми люди привыкли работать на компьютере.

Среди них есть инструменты для управления паролями, просмотра сайтов в ночном режиме, сохранения понравившихся страниц и тысячи других, сообщили в «Яндексе».
«“Яндекс.Браузер” — мобильный браузер на базе Chromium, который начал поддерживать десктопные дополнения. Для наших пользователей это возможность работать с любимыми инструментами в мобильном браузере, а для разработчиков дополнений — простой способ охватить новую аудиторию», — считает Дмитрий Тимко, руководитель мобильного «Яндекс.Браузера».
Дополнения для браузера могут заменить некоторые мобильные приложения. Например, вместо отдельного приложения для управления паролями можно использовать аналогичное дополнение, просто добавив его в браузер. Так можно сэкономить место на экране и в памяти устройства, пояснили в компании.
При создании новой альфа-версии команда браузера тесно взаимодействовала с разработчиками дополнений «Яндекса» (таких как «Карточка», «Погода» и «Пробки»), а также с внешними разработчиками. Дополнения можно найти во встроенном каталоге «Яндекс.Браузера» или в одном из магазинов для браузеров на базе Chromium — например, в addons.opera.com/ru/extensions.
«Яндекс» предлагает разработчикам и всем, кто интересуется интернет-технологиями, попробовать новую альфа-версию «Браузера» для Android.

[душман]

В США арестован хакер, взломавший серверы проекта kernel.org в 2011 году

Сотрудники правоохранительных органов США арестовали программиста из штата Южная Флорида по подозрению в несанкционированном доступе к серверам, принадлежащим организациям Linux Kernel Organization и Linux Foundation.

Речь идет об инциденте 2011 года, в ходе которого был взломан kernel.org - основной сервер для распространения исходного кода ядра Linux, главного места хостинга репозиториев ядра и разных дистрибутивов Linux.
27-летнему Дональду Райану Остину предъявлены обвинения по четырем инцидентам «умышленных действий, нанесших вред защищенному компьютеру».
По данным следствия, в 2011 году подозреваемый похитил учетные данные одного из сисадминов Linux Kernel Organization и, получив доступ к принадлежащим организации серверам (Odin1, Zeus1 и Pub3), использовавшимся для поддержки kernel.org, установил бэкдор под названием Phalanx.
Далее Остин предположительно внедрил на серверы троян Ebury, разработанный для взлома Linux, FreeBSD и Solaris, и с его помощью получил учетные данные пользователей ресурса. Согласно пресс-релизу Минюста США, подозреваемый также взломал персональный почтовый сервер основателя Linux Kernel Organization Питера Анвина.
После задержания Остин предстал перед судом и был отпущен под залог $50 тыс. Судебное разбирательство по делу программиста назначено на 21 сентября 2016 года.

[душман]

В интересах детей Microsoft будет автоматически блокировать сторонние браузеры

Microsoft решила обновить настройки семейной безопасности и блокировать популярные браузеры на устройствах под управлением Windows.

Согласно заверению компании, данный шаг продиктован исключительно беспокойством о безопасности детей.Отныне функция родительского контроля будет блокировать сторонние браузеры, в которых функция фильтрации контента не включена по умолчанию. Какие именно обозреватели попали в «черный список», компания не уточняет.
«В наиболее распространенных браузерах фильтры отсутствуют. С целью обеспечить безопасность ваших детей мы будем автоматически блокировать эти браузеры на устройствах», - сообщает Microsoft. Следовательно, будут блокироваться большинство популярных обозревателей, включая Chrome и Firefox.
Ранее компания уже рекомендовала родителям для большей безопасности детей блокировать популярные браузеры и использовать Internet Explorer и Edge. Стоит отметить, список подлежащих автоматической блокировке продуктов не является неизменяемым, и при желании пользователи могут внести любимый браузер в «белый список».  
В течение нескольких последних месяцев в Сети публиковались способы обхода настроек семейной безопасности, однако эффективность их была весьма сомнительной. С изменениями политики безопасности Microsoft окончательно положила конец попыткам обойти фильтры.

[душман]

Warner Bros. включила собственный сайт в список пиратских ресурсов

Представители голливудской киностудии Warner Bros. по ошибке отправили заявку в Google с просьбой добавить собственный сайт компании в список пиратских ресурсов.

Об этом сообщает портал TorrentFreak.Антипиратская компания Vobile, представляющая интересы студии, отправила заявку в Google с требованием удалить доступ к ссылкам на пиратские копии фильмов в поисковой системе. В документе было указано, что поисковик переполнен ссылками на контент, нарушающий авторские права Warner Bros.
В поданных Vobile списках оказались ссылки на страницы кинокартин «Матрица», «Темный рыцарь» и «Счастливчик», ведущие на сайт студии, а также на веб-страницы на Amazon и Sky Cinema, где пользователи могут купить или взять напрокат легальные копии фильмов.
Сотрудники Google вовремя заметили ошибку и приняли решение не проводить блокировку «пиратских» ссылок в поисковой системе. URL-адреса warnerbros.com все еще проходят проверку в Google.

[душман]

Троян TorrentLocker отказывается шифровать файлы россиян

Специалисты Eset проанализировали новые версии трояна-вымогателя TorrentLocker.

Как сообщили сегодня в Eset, шифратор, известный с 2014 г., распространяется в фишинговых письмах под видом официальных уведомлений почтовых служб, телекоммуникационных или энергетических компаний. Письмо содержит ссылку на исполняемый файл TorrentLocker, после его загрузки программа шифрует файлы пользователя.
По словам специалистов компании, схема работы TorrentLocker с 2014 г. не изменилась кардинально, но злоумышленники внедрили несколько обновлений.
После блокировки файлов TorrentLocker определяет местонахождение жертвы по IP и требует выкуп на актуальном языке и в соответствующей валюте. В Eset выяснили, что вымогатель «поддерживает» 22 страны, включая Австралию, Австрию, Великобританию, Германию, Испанию, Нидерланды, Францию, Чехию и др.
При этом программа отказывается шифровать файлы жертв из нескольких стран: России, Украины, США и Китая.
TorrentLocker шифрует файлы на компьютере жертвы, свои конфигурационные файлы и данные для командного сервера. В 2014 г. вымогатель использовал криптографическую библиотеку LibTomCrypt, новые версии «предпочитают» функции Microsoft CryptoAPI.
Зловред заботится о том, чтобы пользователь смог продолжить работу на зараженном компьютере в частности, он не «трогает» системные файлы Windows. Новые версии TorrentLocker содержат список исключений, согласно которым шифрование файлов .exe, .dll и .sys невозможно.
Еще одно нововведение состоит в том, что TorrentLocker шифрует меньший объем данных. В старых версиях программа шифровала первые 2 МБ файлов. Сейчас размер шифруемой части сократился до одного мегабайта, рассказали в Eset.
Сайты, которые используются для распространения TorrentLocker, по-прежнему открываются только из той страны, на которую нацелена атака. Это усложняет работу вирусных аналитиков и автоматических решений для сбора данных. Изменилась при этом модель работы с удаленным сервером — зловред пытается обращаться к сервису анонимной сети Tor.

[душман]

Новый банковский троян крадет деньги россиян в обход защиты Android

«Лаборатория Касперского» обнаружила мобильного банковского трояна Trojan-Banker.AndroidOS.Gugi.c, который умеет обходить встроенную защиту от фишинга и программ-вымогателей в ОС Android 6.

Речь идет о таких обязательных механизмах обеспечения безопасности, как запрос приложением разрешения на отображение своего окна поверх других, а также на совершение звонков или отправление SMS. Зловред вынуждает пользователя предоставить ему все необходимые права, в противном же случае полностью блокирует устройство.
Основную угрозу троян Gugi представляет для пользователей в России — 93% атак были зафиксированы именно в этой стране, сообщили в «Лаборатории Касперского».
Цель Gugi — получить конфиденциальную финансовую информацию пользователей, например, учетные данные для систем мобильного банкинга или данные банковских карт. Для этого троян перекрывает окно банковского приложения своей фишинговой версией, и все данные, которые пользователь вводит на этой поддельной странице, отправляются прямиком к злоумышленникам.
С этой же целью Gugi перекрывает и окно официального магазина приложений Google Play, рассказали в компании.
Чаще всего троян попадает на устройство через SMS-спам с вредоносными ссылками. Сразу же после загрузки зловред просит пользователя предоставить ему разрешение на отображение своего окна поверх других. После этого вредоносная программа требует права на совершение все более опасных действий. При этом Gugi не оставляет пользователю никакого выбора — жертва трояна может только согласиться на все условия, нажимая единственную доступную кнопку «Разрешить».
Зловред Trojan-Banker.AndroidOS.Gugi.c является новой модификаций семейства банковских троянов Gugi, известного с декабря 2015 г. Версия, умеющая обходить встроенную защиту Android, была впервые обнаружена в июне 2016 г. С тех пор число жертв трояна увеличилось почти в 20 раз и продолжает интенсивно расти. Все модификации семейства Trojan-Banker.AndroidOS.Gugi детектируются продуктами «Лаборатории Касперского», утверждают в компании.
«Информационная безопасность — это бесконечная гонка. Разработчики программного обеспечения, в частности, операционных систем, постоянно обновляют и оптимизируют свои программы, стремясь сделать их максимально защищенными. Однако киберпреступники проявляют не меньшее рвение, пытаясь найти способы обхода новой защиты. Ну а эксперты по кибербезопасности, в свою очередь, делают все возможное, чтобы помешать злоумышленникам осуществить свои недобрые намерения.
Обнаружение новой модификации банковского трояна Gugi как раз иллюстрирует всю эту ситуацию», — отметил Роман Унучек, антивирусный эксперт «Лаборатории Касперского».

[душман]

«Доктор Веб» исследовал Linux-троян, написанный на Rust

Вирусные аналитики компании «Доктор Веб» исследовали нового Linux-трояна, получившего наименование Linux.BackDoor.Irc.16.

Его особенность заключается в том, что он написан на языке Rust — раньше аналитики не встречали троянов, созданных с использованием этой технологии, сообщили в «Доктор Веб».
Linux.BackDoor.Irc.16 представляет собой бэкдор — эта вредоносная программа выполняет поступающие от злоумышленников команды. Для их получения троян использует протокол обмена текстовыми сообщениями IRC (Internet Relay Chat). Подключаясь к заданному в его конфигурации публичному чат-каналу, Linux.BackDoor.Irc.16 ожидает управляющих сообщений.
По информации «Доктор Веб», троян способен выполнять лишь четыре команды — присоединиться к указанному чат-каналу, отправить киберпреступникам информацию об инфицированном компьютере, передать данные о запущенных в системе приложениях или удалить самого себя с зараженной машины.
Как известно, язык программирования Rust, на котором написан IRC-бот Linux.BackDoor.Irc.16, спонсируется организацией Mozilla Research. Первая стабильная версия Rust появилась совсем недавно, в 2015 г.
Троян является кроссплатформенным: чтобы запустить его на Windows, вирусописателям нужно просто перекомпилировать эту вредоносную программу. Вирусные аналитики «Доктор Веб» предполагают, что Linux.BackDoor.Irc.16 представляет собой созданный кем-то прототип (Proof of Concept), поскольку он не содержит каких-либо механизмов самораспространения, а на IRC-канале, с помощью которого троян получает команды, в настоящее время отсутствует активность.
Сигнатура Linux.BackDoor.Irc.16 добавлена в вирусные базы Dr.Web.

[душман]

Сентябрьские обновления от Google исправляют свыше 50 уязвимостей в Android

Во вторник, 6 сентября, Google выпустила плановые обновления для своей мобильной ОС Android – 47 патчей для 57 уязвимостей.

Сентябрьский релиз состоит из трех пакетов, исправляющих проблемы с безопасностью на разных уровнях. В первый из них вошли 19 обновлений, устраняющих уязвимости на уровне операционной системы и приложений. Второй пакет патчей предназначен для драйверов, а третий исправляет две отдельные уязвимости, затрагивающие функцию полного шифрования диска.
На все Android-устройства необходимо установить первый пакет, а также все или некоторые патчи из второго и третьего пакета в зависимости от используемых в устройствах процессоров и другого аппаратного обеспечения. Пользователи Nexus получат обновления в ближайшее время, а остальным придется подождать, пока это сделают (если вообще сделают) производители устройств и операторы связи.
Первый пакет обновлений исправляет две критические, пять очень опасных и двенадцать уязвимостей среднего уровня опасности. Проблемы с безопасностью затрагивают Media Server (в том числе критическая уязвимость CVE-2016-3861), LibUtils (в том числе критическая уязвимость CVE-2016-3862), MediaMixer, процесс загрузки устройства, настройки, Telephony, настройки пользовательского интерфейса (System UI Tuner), Wi-Fi, SMS, протокол Java Debug Wire Protocol (JDWP) и AOSP Mail.
Второй пакет патчей устраняет четыре критические, семнадцать очень опасных и пять уязвимостей среднего уровня опасности. Критическими являются уязвимости CVE-2014-9529 и CVE-2016-4470 в подсистеме безопасности ядра, CVE-2013-7446 в сетевой подсистеме ядра, CVE-2016-3134 в подсистеме фильтрации пакетов netfilter и CVE-2016-3951 в драйвере USB.
Третий пакет исправляет две уязвимости – критическую CVE-2016-5340 и очень опасную CVE-2016-2059. Первая из них затрагивает подсистему разделяемой памяти, а вторая – компонент Qualcomm.

             

[душман]

Хакеры похитили данные 33 млн пользователей QIP.ru

Злоумышленники похитили персональные данные свыше 33 млн пользователей российского сервиса для мгновенного обмена сообщениями QIP.ru.

ИБ-компания HEROIC получила утекшую информацию от пользователя Jabber с идентификатором [email protected], ранее также предоставившим похищенные данные пользователей Last.fm и Rambler.
Утекшая БД содержит имена 33 380 559 пользователей, их электронные адреса, телефонные номера (для некоторых учетных записей), даты регистрации и пароли в открытом виде без хешей или соли. Исследователи HEROIC совместно с журналистами Softpedia подтвердили подлинность данных, попытавшись с помощью этих электронных адресов и имен пользователей зарегистрировать новые учетные записи и сменить пароли.
По словам исследователей, утекшие данные принадлежат пользователям, зарегистрировавшимся в 2009-2011 годах. Учитывая давность инцидента, можно предположить, что с тех пор многие уже сменили учетные данные. Тем, кто этого не сделал, советуем изменить пароли.
Напомним, недавно стало известно об утечке данных пользователей Mail.ru и Gmail, «ВКонтакте», Dropbox и LinkedIn.

[душман]

Хакеры снова используют атаку десятилетней давности на Windows Media Player

Как сообщили исследователи безопасности Амитай Дан и Ави Туриэль, хакеры до сих пор успешно используют атаку десятилетней давности на Windows Media Player.

С помощью уже подзабытой техники социальной инженерии злоумышленники заставляют своих жертв запускать вредоносные исполняемые файлы через реализованные в Media Player технические средства защиты авторских прав (Digital Rights Management, DRM).
Механизм DRM в Media Player работает следующим образом: каждый раз, когда пользователь пытается воспроизвести защищенный контент (например, фильм), в плеере отображается всплывающее уведомление с URL-адресом, по которому можно легально приобрести желаемый контент. Если пользователь нажмет «OK», он сможет пройти по указанной ссылке и ввести все необходимые данные, чтобы заплатить за продукт.
После оплаты поставщик контента разблокирует фильм, и он станет доступным для просмотра.
Вместо ссылки на легальный продукт злоумышленники оснащают контент ссылкой на подконтрольный им фишинговый сайт. Когда жертва попадает на данный ресурс, ей под видом кодека, якобы необходимого для воспроизведения видео, предлагается установить троян.
Впервые атаки с использованием ссылок в уведомлениях DRM были зафиксированы 10 лет назад. Тем не менее, они по-прежнему малоизвестны и раз в несколько лет всплывают вновь. По словам Дана и Туриэля, злоумышленники снова стали использовать данную атаку. По их словам, через BitTorrent распространяется пиратская копия недавно вышедшего на экран фильма «Парни со стволами» («War Dogs»), с помощью которой хакеры осуществляют вышеупомянутую атаку.
Фильм оснащен ссылкой, ведущей на сайт, где наряду с настоящим кодеком Div-X (он необходим для сокрытия вредоносной активности) жертва загружает на свою систему дроппер.

[душман]

Новый Android-троян CallJam скрыто совершает дорогостоящие звонки

Исследователи компании Check Point обнаружили в online-каталоге Google Play Store вредоносное приложение, содержащее троян, способный показывать нежелательную рекламу и совершать звонки на премиум-номера без ведома пользователя.

Вредоносное ПО, получившее название CallJam, скрыто в мобильной игре Gems Chest for Clash Royale, загруженной в Google Play в мае нынешнего года. За пять месяцев приложение скачали от 100 тыс. до 500 тыс. раз.
В отличие от остального вредоносного ПО подобного рода, CallJam не прерывает процесс игры показом рекламных баннеров, вместо этого он запускает браузер и отображает рекламу в интернет-обозревателе. Ключевая особенность вредоноса заключается в возможности установления соединения с определенными платными номерами, в результате чего со счета владельца мобильного устройства списываются крупные суммы.
Хотя приложение запрашивает у пользователя соответствующее разрешение, многие владельцы смартфонов не особо обращают внимание на то, что именно они разрешают.
В настоящее время вредоносное приложение уже удалено из Google Play Store.
Ранее эксперты Check Point обнаружили еще одну вредоносную программу в каталоге Google Play Store. Троян DressCode способен похищать информацию с защищенных серверов и служить в качестве прокси для атак внутри корпоративных сетей.

[душман]

Обзор инцидентов безопасности за прошлую неделю

Прошедшая неделя отличилась непривычно большим числом новостей, связанных с Linux.

Кроме того, в заголовках новостей в очередной раз «засветилась» ОС Android. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 5 по 11 сентября 2016 года.
В начале прошлой недели ресурс LeakedSource сообщил об очередной утечке данных, произошедшей в 2012 году. Как оказалось, в Сети продается информация 98 167 935 пользователей Rambler.ru. Похищенный дамп содержит имена (как правило, они также являются первой частью электронного адреса), пароли, номера ICQ и некоторые другие данные пользователей.
Жертвами утечки также стали 800 тыс. посетителей порно-сайта Brazzers. Инцидент имел место в 2012 году, а его причиной послужила печально известная уязвимость в движке vBulletin.
На прошлой неделе стало известно об утечке персональной информации свыше 33 млн пользователей российского сервиса для мгновенного обмена сообщениями QIP.ru. Утекшая БД содержит имена, электронные адреса, телефонные номера (для некоторых учетных записей), даты регистрации и пароли в открытом виде без хешей или соли. Данные принадлежат пользователям, зарегистрировавшимся в 2009-2011 годах.
Как уже упоминалось выше, на прошлой неделе появилась информация о целом ряде вредоносных программ для Linux. Прежде всего стоит отметить руткит Umbreon, названный в честь одного из персонажей мультфильмов о покемонах. Функционал вредоноса довольно обширен. Он способен перехватывать сетевой трафик, модифицировать команды консоли, устанавливать связь с C&C-сервером и работать в качестве бэкдора, предоставляя злоумышленнику полный доступ к скомпрометированному устройству.
Исследователи компании MalwareMustDie сообщили о ботнете из компьютеров, зараженных трояном LuaBot, написанном на языке Lua. Данное семейство представляет собой самое новое вредоносное ПО для Linux, инфицирующее серверы и устройства «Интернета вещей». В настоящее время предназначение ботнета точно не известно.
Эксперты MalwareMustDie также раскрыли подробности о трояне Mirai, заражающем устройства «Интернета вещей» (в основном видеорегистраторы с прошивкой на базе Linux). Инфицирование происходит с помощью брутфорс-атаки на порт Telnet с использованием списка дефолтных учетных данных администратора.
Аналитики компании «Доктор Веб» обнаружили новый троян для Linux, использующий для получения команд злоумышленников протокол текстового обмена сообщениями IRC. Основная особенность Linux.BackDoor.Irc.16 заключается в том, что он написан на сравнительно новом языке программирования Rust (первая стабильная версия вышла в 2015 году).
Специалисты «Лаборатории Касперского» сообщили о появлении нового семейства бэкдоров под названием Mokes, способного работать на всех ключевых операционных системах, в том числе Windows, Linux и Mac OS X. Впервые версии для Windows и Linux были обнаружены в январе нынешнего года, а в сентябре эксперт ЛК Стефан Ортлофф подтвердил существование варианта для Mac OS X. Вредонос может выполнять функции кейлоггера, перехватывать аудио/видео, делать снимки экрана, отслеживать подключение/отключение внешних носителей, выполнять полученные с управляющего сервера произвольные команды на системе и проверять наличие документов Microsoft Office.
По словам экспертов ЛК, новый Android-троян Gugi способен обходить механизмы безопасности в Android 6 Marshmallow с помощью социальной инженерии. Вредонос отображает поверх других приложений свои окна и похищает данные банковских карт жертв. Gugi также способен похищать SMS-сообщения и контакты, совершать USSD-запросы и отправлять SMS по команде от C&C-сервера.   
Исследователи компании Check Point обнаружили в Google Play Store вредоносное приложение, содержащее Android-троян CallJam, способный показывать нежелательную рекламу и совершать звонки на премиум-номера без ведома пользователя. Вредонос содержится в мобильной игре Gems Chest for Clash Royale, загруженной в Google Play в мае нынешнего года. В отличие от остального вредоносного ПО подобного рода, CallJam не прерывает процесс игры показом рекламных баннеров, а отображает рекламу в браузере.

[душман]

Российские власти могут ужесточить уголовную ответственность за киберпреступления

Российские власти намерены ужесточить уголовную ответственность за киберпреступления и приравнять хакерские атаки к краже.

Соответствующий проект закона подготовили Сбербанк и МВД России при поддержке Центробанка РФ.Как рассказал замначальника Главного управления безопасности и защиты информации Банка России Артем Сычев, в законопроекте содержатся требования квалифицировать киберпреступление как кражу и установить за его совершение более строгое наказание. По словам Сычева, в настоящее время ответственность за киберпреступление не соответствует сумме причиненного ущерба.
К примеру, преступник, похитивший сотни миллионов рублей, может получить условный срок.
Сейчас в России максимальный срок за кибермошенничество может составить 5 лет, тогда как в других странах предусмотрено более строгое наказание по такому виду нарушений. В частности, законодательство США предполагает 25 лет лишения свободы за компьютерные преступления, Китая – от 10 лет заключения.
Некоторые эксперты поддержали законопроект, отметив, что в законе должно быть четко прописано определение киберпреступления во избежание риска перегнуть палку. Если этого не сделать, загрузка пиратского ПО в таком случае также может быть приравнена к киберпреступлению.
Согласно оценкам Центробанка РФ, к концу 2016 года объем хищения средств в результате кибератак достигнет 4 млрд рублей, тогда как в прошлом году эта сумма была меньше почти в четыре раза – 1,14 млрд рублей.

[душман]

«Яндекс.Браузер» научился защищать банковские карты

«Яндекс.Браузер» теперь сообщит пользователям об опасности, если они хотят расплатиться банковской картой на подозрительном сайте.

Новый механизм — это часть технологии активной защиты Protect, которая оберегает пользователей от угроз в интернете, сообщили сегодня в «Яндексе».Браузер проверяет сайт всякий раз, когда человек вводит данные банковской карты. Предупреждение об опасности появляется, если страница использует незащищённый протокол HTTP или есть подозрения, что она создана для фишинга — кражи данных. Для распознавания фишинговых страниц применяется машинное обучение. Машина анализирует множество надёжных и созданных злоумышленниками сайтов, находит различия и учится на их основе выделять опасные страницы.
О потенциальной угрозе могут говорить разные факторы — например, свежая дата создания сайта, отсутствие ссылок на этот ресурс в интернете или адрес, до степени смешения похожий на адрес какого-нибудь банка.
«Яндекс.Браузер» также умеет определять сайты, которые не используют шифрование, но принимают платежи по безопасному протоколу. Например, человек выбирает билеты на сайте кинотеатра, но платит за них в другом месте — на странице банка или платёжной системы. В таких случаях «Браузер» расскажет, где именно совершается оплата, чтобы пользователь не волновался, что злоумышленники перехватят информацию. Узнать, куда именно отправляются деньги, можно по клику на иконку в адресной строке.
По данным TNS Россия, 92% жителей крупных городов, которые заходят в интернет не реже раза в неделю, хотя бы раз в год совершают онлайн-платежи. Защита банковских карт — это уже второй механизм в составе Protect, который помогает сделать эти платежи безопасными. С марта 2016 г. на сайтах банков и платёжных систем автоматически включается специальный защищённый режим, который блокирует дополнения и строже, чем обычно, проверяет сертификаты безопасности страниц.
Кроме защиты платежей, Protect отвечает за проверку сайтов и файлов на вирусы, а также бережёт данные пользователей в публичных сетях Wi-Fi, предупреждает о платных подписках и предостерегает от передачи паролей злоумышленникам, отметили в «Яндексе».
Защита банковских карт доступна в версии «Яндекс.Браузера» для компьютеров, её можно скачать на browser.yandex.ru/protect. Если браузер уже установлен, защита начнёт работать после обновления.

[душман]

Вымогатель RAA способен не только шифровать контент, но и похищать пароли

Исследователи «Лаборатории Касперского» опубликовали подробный анализ вымогательского ПО RAA.

Первая версия вредоноса была обнаружена в июне нынешнего года. Отличительной чертой шифровальщика является то, что он полностью написан на языке программирования JavaScript.
Операторы RAA распространяют троян через спам-рассылку, маскируя его под документ Microsoft Word. Оказавшись на системе, вредонос шифрует файлы и требует за их восстановление выкуп в размере примерно $250.
Как выяснилось в ходе анализа, RAA обладает дополнительной функциональностью. Троян содержит закодированный в Base64 исполняемый файл, который сбрасывается на диск и запускается после того, как контент будет зашифрован.
В файле находится троян Pony, чья основная задача заключается в сборе конфиденциальной информации. В частности, интерес для вредонса представляют сохраненные в браузере пароли, регистрационные пароли, используемые в десятках наиболее популярных FTP-клиентах, учетные данные распространенных почтовых клиентов, информация о кошельках криптовалют.
Помимо прочего, Pony похищает имеющиеся у пользователя цифровые сертификаты и хранит список наиболее распространенных паролей.
Собранную информацию троян шифрует с помощью алгоритма RC4 и отправляет ее на C&C-сервер злоумышленников. При этом троян постоянно фиксирует контрольные суммы полученных данных. Действия выполняются в следующей последовательности:
1. Подсчет контрольной суммы от незашифрованных данных.
2. Добавление полученного значения к входным данным.
3. Шифрование входных данных при помощи алгоритма RC4 с использованием заданного злоумышленниками ключа.
4. Подсчет контрольной суммы от зашифрованных данных.
5. Добавление полученного значения к входным данным.
6. Генерация случайного ключа длиной в 4 байта.
7. Шифрование входных данных алгоритмом RC4, используя сгенерированный ключ.
8. Формирование готовых к отправке данных.

[душман]

Злоумышленники продолжают охотиться за паролями пользователей «ВКонтакте»

Пользователи Android рискуют скачать из официального магазина Google Play вредоносное приложение под видом плеера для прослушивания музыки из «ВКонтакте».

Об этом сообщили в «Лаборатории Касперского». Программа, постоянно появляющаяся в магазине под разными названиями, собирает учетные данные от пользовательских аккаунтов социальной сети и отправляет их на сервер злоумышленников — логин и пароль пользователи вводят сами при первом запуске. По словам экспертов «Лаборатории Касперского», эта вредоносная операция продолжается уже около года.
«Подобное постоянство угрозы объясняется тем, что киберпреступники из раза в раз умудряются обходить проверки, предусмотренные в Google Play. При этом действуют они по крайне простому алгоритму: сначала злоумышленники загружают в магазин приложение без вредоносной функциональности, затем несколько раз его обновляют и в конце концов с одним из очередных обновлений добавляют возможность кражи паролей от социальной сети “ВКонтакте”, — пояснили в «Лаборатории Касперского».
Модераторы Google Play к этому времени, как правило, уже теряют бдительность, поскольку не наблюдают ничего подозрительного в приложении на протяжении относительно долгого периода».
По оценкам «Лаборатории Касперского», различные вредоносные приложения, так или иначе имитирующие плеер для прослушивания музыки из «ВКонтакте», скачали на свои устройства сотни тысяч пользователей. И до сих пор многие владельцы Android подвергают свои устройства риску заражения, поскольку злоумышленники после каждого разоблачения добавляют в Google Play новую версию приложения с немного измененным названием и от имени другого разработчика.
«Схему с быстрой заменой приложений для кражи паролей от социальной сети “ВКонтакте” злоумышленники проворачивали уже не раз, и, похоже, они не собираются сбавлять обороты, — считает Роман Унучек, антивирусный эксперт «Лаборатории Касперского». Мы настоятельно рекомендуем использовать только официальное приложение “ВКонтакте”. Совершенно точно не стоит скачивать приложения с названиями “Музыка Вконтакте”, “Музыка ВКонтакте”, “Музыка из ВКонтакте”, “Музыка ВК”, “MYVK — Музыка ВК”, “Плеер MYVK” и тому подобные — они довольно часто крадут пароли.
Однако единственный способ удостовериться, что устанавливаемое приложение не несет с собой никакой угрозы — проверить его защитным решением».

[душман]

Microsoft закрыла 47 «дыр» в Windows, Office и других продуктах

Microsoft выпустила крупный пакет бюллетеней безопасности, призванный устранить почти полсотни уязвимостей во всех поддерживаемых версиях операционных систем Windows, браузерах и пакетах Office.

Microsoft выпустила 14 бюллетеней безопасности в рамках ежемесячного обновления своих продуктов. Обновления получили все поддерживаемые версии Windows, браузеры и пакеты Office. Семь бюллетеней помечены как критические, остальные семь — как важные.В общей сложности выпуск призван устранить 47 уязвимостей.Помеченные критическими два бюллетеня — MS16-104 и MS16-105 — предназначены для устранения уязвимостей в браузерах Internet Explorer и Microsoft Edge соответственно.По данным Microsoft, эти бюллетени предназначены для устранения уязвимостей, позволяющих злоумышленникам дистанционно выполнить произвольный код в системе жертвы, направив пользователя по вредоносной ссылке.Похожий метод эксплуатации присущ уязвимостям в Microsoft Graphics Component и Office, устранить которые призваны бюллетени MS16-106 и MS16-107. Уязвимости позволяют хакерам проникнуть в систему, заставив пользователя открыть вредоносный файл, например, прикрепленный к электронному письму.Помещенный критическим бюллетень MS16-117 предназначен для устранения брешей в Adobe Flash Player на компьютерах с операционными системами Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1 и Windows 10. Обновление выпускает Microsoft, а не Adobe по той причине, что Flash Player в этих версиях непосредственно встроен в браузеры Internet Explorer и Edge.Важно отметить, что большое количество обновлений, предназначенных для устранения критических уязвимостей, Microsoft в этот раз выпустила для серверов. По словам специалистов из компании Qualys, администраторам следует приоритизировать установку этих критических обновлений, включая бюллетень MS16-108, устраняющий уязвимости в библиотеках Oracle Outside In, встроенных в Exchange Server.Специалисты из Core Security отметили, что один из бюллетеней — MS16-106 — направлен на устранение уязвимостей, которым Microsoft уже уделяла внимание в предыдущих патчах. По их мнению, компания, по всей видимости, решила, что эти бреши не были устранены достаточно эффективно.Среди прочего выпуск устраняет 10-летнюю уязвимость в библиотеке Detours, предназначенной для перехвата вызовов функций в приложениях Win32. Об этой уязвимости Microsoft около девяти месяцев назад сообщили эксперты компании enSilo. Брешь позволяет злоумышленникам обходить встроенные в Windows средства защиты от вирусов и сторонние антивирусные программы.В целом выпуск носит масштабный характер. Администраторам и пользователям необходимо держать в уме, что для установки всех обновлений потребуется перезагрузка компьютеров.

[душман]

В России заблокировали сайты PornHub и YouPorn

В России заблокировали крупнейшие порносайты PornHub и YouPorn.

По данным проекта «Роскомсвобода», ресурсы были внесены в единый реестр запрещенной информации.Факт блокировки ресурсов подтвердил пресс-секретарь Роскомнадзора Вадим Ампелонский. Теперь у операторов связи и провайдеров есть сутки на ограничение доступа к сайтам.Решение о блокировке PornHub было вынесено 24 мая 2016 года Бутурлиновским районным судом Воронежской области. Заблокировать YouPorn 9 июня постановил Первореченский районный суд Владивостока.Ранее россияне начали массово жаловаться в соцсетях на недоступность PornHub. Некоторые пользователи приложили к своим постам скриншоты страниц в браузере, где утверждается, что ресурс был заблокирован по решению органов государственной власти.В сентябре 2015 года в России был заблокирован русскоязычный сегмент PornHub. Соответствующее решение вынес Крыловский районный суд Краснодарского края.PornHub и YouPorn — крупнейшие порносайты, предоставляющие бесплатный контент. Оба ресурса входят в сотню наиболее посещаемых сайтов мира.

[душман]

Adobe исправила 29 уязвимостей в Flash Player

Во вторник, 13 сентября, Adobe выпустила плановые обновления для Adobe Digital Editions, AIR SDK & Compiler и Flash Player.

В Flash Player для Linux, Microsoft Internet Explorer 11, Edge и Google Chrome исправлены 29 уязвимостей. Большинство из них приводят к повреждению (CVE-2016-4274, CVE-2016-4275, CVE-2016-4276, CVE-2016-4280, CVE-2016-4281, CVE-2016-4282, CVE-2016-4283, CVE-2016-4284, CVE-2016-4285, CVE-2016-6922, CVE-2016-6924) или использованию памяти после высвобождения (CVE-2016-4272, CVE-2016-4279, CVE-2016-6921, CVE-2016-6923, CVE-2016-6925, CVE-2016-6926, CVE-2016-6927, CVE-2016-6929, CVE-2016-6930, CVE-2016-6931, CVE-2016-6932) и, как результат, позволяют удаленно выполнить код.Эксплуатируя уязвимости CVE-2016-4271, CVE-2016-4277 и CVE-2016-4278, злоумышленник может обойти механизмы безопасности и раскрыть информацию. CVE-2016-4287 представляет собой уязвимость целочисленного переполнения буфера, позволяющую удаленно выполнить код.Обновление для Digital Editions исправляет восемь уязвимостей, позволяющих вызвать повреждение или использование памяти после высвобождения и удаленно выполнить код. Проблемы затрагивают Digital Editions 4.51 и более ранние версии для Windows, Macintosh, iOS и Android.В нынешнем месяце Adobe AIR SDK & Compiler получил только один некритический патч для версии 22.0.0.153 и более ранних.Напомним, 13 сентября плановые обновления для своих продуктов также выпустила компания Microsoft.

[душман]

Интернет-мошенники под маской известных брендов предлагают поддельные подарочные сертификаты

Компания Eset предупредила о росте активности интернет-мошенников в WhatsApp.

Они рассылают сообщения от имени известных брендов: McDonalds, KFC, Burger King, Starbucks, H&M, Zara, IKEA, сообщили в Eset.
Пользователям WhatsApp предлагается перейти по ссылке, заполнить анкету и участвовать в розыгрыше подарочного сертификата, в некоторых случаях на крупные суммы — до €500. В Eset есть образцы рассылки на английском, немецком, французском, испанском, шведском — мошенники освоили не меньше десяти языков.
Анкета копирует стиль упомянутых брендов, при этом все опросы размещены на одном домене. Язык рассылки и валюта сертификата меняются в зависимости от местоположения пользователя, которое определяется по IP. В анкете пользователю предлагают ввести персональные данные, включая имя, адрес электронной почты, номер мобильного телефона.
Пользователь, ответивший на все вопросы анкеты, в реальности не получит никаких сертификатов. Его персональные данные пополнят базы спамеров, будут использованы для подписки на дорогостоящие SMS-сервисы, регистрации на сайтах знакомств, установки приложений для показа рекламы или переходов по ссылкам. Как минимум, мошенники зарабатывают на генерации трафика, рассказали в Eset.
Мошенники не меняют схему со времен первых атак в 2015 г., при этом их технические возможности и охват потенциальных жертв постоянно растут. Например, больше 5 млн кликов за неделю набрала рассылка «от Starbucks» с предложением скидки, ориентированная на Мексику, Перу и США. В дни максимальной активности мошенников «аудитория» рассылки, по данным компании, достигала 55 тыс. человек в час.
Некоторые кампании узко нацелены на конкретные страны: «сертификаты» SPAR оказались востребованы в ЮАР, Zara — в Аргентине, IKEA — в Израиле и Франции.
Вредоносная кампания вышла за пределы WhatsApp и продолжается в социальных сетях, в частности, на Facebook.
Eset советует игнорировать сомнительные розыгрыши и установить современные антивирусные программы, в том числе на смартфонах и планшетах на базе Android. Продукты Eset NOD32, по утверждению компании, блокируют мошеннические ссылки.