"Мир интернета"

[душман]

Всего за неделю Роскомнадзор заблокировал свыше 700 online-казино

Практически за неделю (с 22 по 30 сентября) Роскомнадзор заблокировал доступ к 709 ресурсам с азартными играми, интернет-казино и online-букмекерам, сообщается на сайте Rublacklist.

Среди попавших в черный список сайтов значатся зеркала популярных брендов, казино, лотереи и покер-румы. Блокировке также подверглись 22 ресурса, где была опубликована информация о букмекерских конторах,  игровых автоматах и тотализаторе.
В прошлом месяце надзорное ведомство заблокировало доступ к ресурсу «Рейтинг Букмекеров». С 15 по 21 сентября Роскомнадзор внес в реестр запрещенных сайтов 439 доменов с азартными играми, интернет-казино и online-букмекеров.
В сентябре нынешнего года Роскомнадзор расширил список критериев, по которым будет блокировать сайты с азартными играми. Согласно доработанному проекту приказа, опубликованному на федеральном портале проектов нормативных правовых актов, в черный список теперь также могут быть добавлены ресурсы, предоставляющие пользователям возможность загружать ПО для участия в азартной игре или лотерее.

[душман]

Google исправила 78 уязвимостей в Android

Компания Google выпустила плановые обновления безопасности для своей мобильной операционной системы Android.

В общей сложности октябрьский релиз исправляет 78 уязвимостей. Патчи устраняют проблемы безопасности в системном программном обеспечении, драйверах и ядре ОС.
Семь уязвимостей обозначены как критические. CVE-2016-0758 затрагивает декодер ASN.1 и позволяет удаленно выполнить код. CVE-2016-7117 затрагивает сетевую подсистему ядра и также позволяет удаленно выполнить код.
Уязвимость CVE-2016-3928 была обнаружена в видеодрайвере MediaTek и может быть проэксплуатирована для повышения привилегий. CVE-2016-5340 затрагивает драйвер распределяемой памяти и может использоваться для повышения привилегий.
Еще три уязвимости (CVE-2016-3926, CVE-2016-3927 и CVE-2016-3929) были обнаружены в компонентах Qualcomm.
Google также исправила 44 опасных уязвимостей, 14 уязвимостей среднего уровня опасности и только одну малоопасную проблему безопасности, позволяющую вызвать перезагрузку устройства.

[душман]

Spotify уличен в распространении вредоносной рекламы

В последние несколько дней пользователи бесплатной версии музыкального сервиса Spotify стали жаловаться на появление рекламных баннеров, инфицирующих их браузеры вредоносным ПО.

Согласно сообщениям, при запуске Spotify Free на десктопном компьютере браузер начинал без разрешения пользователя открывать вредоносные сайты.
Поначалу на проблему жаловались пользователи Windows 10, однако, как оказалось, она затрагивает также и другие операционные системы, в том числе Ubuntu и macOS.
Согласно заявлению Spotify, компании удалось успешно идентифицировать и решить проблему. «Из-за рекламы в бесплатной версии нашего сервиса небольшое число пользователей столкнулось с открытием web-сайтов в установленных по умолчанию браузерах. Мы обнаружили источник проблемы и устранили его. В настоящее время мы продолжаем следить за ситуацией», - говорится в заявлении компании.

[душман]

Хакеры используют RDP для распространения нового трояна

Новое семейство троянов Trojan.sysscan способно вызвать настоящий хаос в корпоративных сетях с недостаточно защищенными RDP-серверами.

Как сообщают ИБ-эксперты компании Guardicore, вредонос способен похищать данные со взломанных хостов и передавать их на подконтрольный злоумышленникам удаленный сервер.
Прежде чем инфицировать систему жертвы трояном, хакеры сканируют Сеть на наличие открытых RDP-портов и осуществляют брутфорс путем перебора часто используемых комбинаций логинов и паролей.
Наиболее оптимальной целью являются незащищенные серверы. К подобному типу атак особенно уязвимы средние и большие компании, поскольку они используют RDP-серверы.
По данным экспертов, Trojan.sysscan написан на языке программирования Delphi и может похищать пароли из установленных локально приложений, таких как браузеры, базы данных и ПО для PoS-терминалов.
Троян оснащен функцией похищения cookie-файлов и учетных данных для авторизации на банковских, налоговых и букмекерских сайтах.
С целью сохранить свое присутствие после перезагрузки компьютера, а также для того, чтобы RDP-порт всегда оставался открытым, Trojan.sysscan регистрирует в скомпрометированной системе скрытую учетную запись администратора.
Вредонос способен определять, не запущен ли он на виртуальной машине или в песочнице. Тем не менее, троян может только распознавать среду, но все равно выполняется в любом случае.

[душман]

Google Home угрожает конфиденциальности пользователей

Новая домашняя «умная» колонка Google Home может представлять опасность для конфиденциальности персональной информации ее владельцев, считают эксперты в сфере информационной безопасности.

Устройство оснащено интеллектуальным виртуальным помощником Google Assistant и может выполнять роль управляющей панели в рамках концепции «Интернета вещей». Google Home всегда отслеживает команды пользователя и в этом заключается одна из главных проблем, отмечают специалисты.
«При использовании такого рода технологий прослушивания существует немало рисков нарушения конфиденциальности. Это очевидно, что любое устройство, которое всегда находится в состоянии прослушивания, может собирать и анализировать информацию в пределах его слышимости», - пояснил аналитик компании OrionX Дэн Олдс.
Специалист также добавил, что Google Home может использоваться Google для сбора персональной информации пользователей.
«Устройство может передать Google значительно больше личной информации, чем компания собирает сейчас. Микрофон будет фиксировать каждую фразу, сказанную в доме. Кроме того, он будет знать, что вы смотрите по телевизору, какую музыку слушаете и, конечно, когда никого нет дома», - отметил Олдс.
По словам представителя Google, компания начинает обрабатывать речь только после того, как будет произнесена команда «OK Google». В иных случаях фрагменты аудиозаписи будут храниться локально на устройстве без обработки. Правда, в Google не уточнили, как долго будет храниться информация. Как отметила представитель техногиганта, пользователи могут самостоятельно просмотреть собранные данные на странице My Activity и при желании удалить их.
«Google утверждает, что информация фиксируется только после того, как пользователь сделал запрос, но, учитывая количество проблем безопасности, связанных с подобной технологией (с радионянями в частности), вы точно не захотите использовать такое устройство там, где важна безопасность, например, в конференц-зале или лаборатории», - отметил эксперт The Enderle Group Роб Эндерле.
По словам специалиста, общество достигло того этапа, когда все действия пользователей кем-то фиксируются. «Не думаю, что мы готовы к этому», - считает он.

[душман]

Microsoft в очередной раз выпустила проблемный патч для Windows 10

Компания Microsoft выпустила патч для решения проблемы с установкой предыдущего обновления KB3194496 для Windows 10, но несмотря на это, ряд пользователей снова столкнулся с похожей ситуацией.    

В конце сентября Microsoft представила кумулятивное обновление KB3194496, которое сначала вышло для участников программы предварительного тестирования Windows Insider, а затем и для широкой аудитории. После релиза многие пользователи начали сообщать о том, что установка обновления никак не может завершиться и возобновляется при каждой перезагрузке, но безрезультатно.
6 октября компания представила патч, призванный решить данную проблему, но, как оказалось, он тоже не работает.
Пользователи уже приступили к поиску выхода из ситуации и некоторым это удалось. «Мое решение проблемы заключалось в деинсталляции KB3194496 и создании новой учетной записи пользователя. Я пытался загрузить обновление, используя предыдущую учетную запись, но оно настолько браковано, что у меня даже не открылось окно загрузки. Подожду выхода полностью рабочего обновления, а до тех пор – «Автоматическое обновление = Отключить», - поделился пользователь форума Reddit под псевдонимом VederPlet.
Похоже, релиз некорректно функционирующих апдейтов становится традицией для Microsoft. В сентябре компания выпустила обновление KB3193494 для Windows 10, призванное исправить проблемы с установкой патча KB3189866, но с его инсталляцией также оказалось не все гладко. Следующее кумулятивное обновление ожидается 11 октября, когда выйдут очередные вторничные патчи.

[душман]

За большинством кибератак стоят дети и мошенники, а не государство

Несмотря на ажиотаж вокруг так называемых «государственных хакеров», осуществляющих кибератаки по заказу правительства, большинство взломов осуществляют дети и обычные мошенники, уверен ИБ-эксперт Трой Хант.

По словам исследователя, большая часть масштабных утечек данных, о которых стало известно в последнее время, произошли еще в 2012 году. Причины взломов крупных компаний разнятся. «LinkedIn был взломан ради денег, а атаки на Sony и Yahoo! (по его словам) были спонсированы государством».
По мнению эксперта, несмотря на уверения самой компании, атака на Yahoo! не была осуществлена по заказу какого-либо правительства. «Государственные хакеры стали такой же выдуманной причиной, как “извините, мое домашнее задание съела собака”», - заявил Хант. Напомним, ранее аналогичную точку зрения выразил ИБ-эксперт Майкл Липински.
Как пояснил Хант, хакеры «сливают» в общественный доступ кеш баз данных (как в случае с LinkedIn), когда их больше никто не хочет покупать. Исключение составляет лишь взлом сайта знакомств Ashley Madison – злоумышленники опубликовали данные пользователей сразу после атаки с целью скомпрометировать виновных в супружеской измене.
Что касается других громких инцидентов, то некоторые из них и вовсе были осуществлены подростками. «Компания TalkTalk пострадала от рук 15-летнего ребенка, использовавшего свободное программное обеспечение, а не от рук высококлассного хакера», - отметил эксперт.

[душман]

Хакер развлек стоявших в пробке водителей в Джакарте порнофильмом

В час пик на главном перекрестке Джакарты возле офиса мэра на электронном рекламном щите около 10 минут транслировали порнофильм.

Ставшие очевидцами водители сняли это на видео и опубликовали ролики в соцсетях.На щите показывали отрывок из порнографического фильма Watch Tokyo Hot. Трансляция привела к пробке на перекрестке. Городские власти остановили показ, обесточив щит.
Порноролик вывел на экран 24-летний IT-работник, личность которого не разглашается. Сообщается, что он сознался в содеянном и раскаялся. Полиция выясняет, были ли у хакера сообщники, есть ли у него конкретные мотивы или он просто решил позабавиться.
За публичную демонстрацию порноролика ему может грозить до 12 лет тюрьмы.Показ порнографии в Индонезии официально запрещен. Государственные цензоры вырезают из фильмов и телевизионных программ даже романтические сцены.

[душман]

Обзор инцидентов безопасности за прошлую неделю

Как и на позапрошлой, на прошлой неделе обошлось без громких инцидентов безопасности.

Тем не менее, предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 3 по 9 октября 2016 года.
Внимание общественности на прошлой неделе привлекло заявление хакера Guccifer 2.0 об успешном взломе серверов «Фонда Клинтона». Злоумышленник, ранее взявший ответственность за атаку на Национальный комитет Демократической партии США, опубликовал массив документов, якобы принадлежащий организации. Однако, как показал проведенный ИБ-экспертами и журналистами анализ, файлы оказались поддельными.
Большой резонанс также вызвало сообщение о разработанном Yahoo! инструменте для анализа входящих писем всех пользователей своего почтового сервиса. По данным авторитетных СМИ, компания просматривала сотни миллионов учетных записей Yahoo! Mail, выполняя запросы Агентства национальной безопасности США (АНБ) и ФБР. Согласно заявлению Yahoo!, данная информация является «вводящей в заблуждение» и не соответствует действительности.
На прошлой неделе стало известно о задержании в августе текущего года так называемого «второго Сноудена». Агенты ФБР тайно задержали подрядчика компании Booz Allen Hamilton Гарольда Мартина по подозрению в хищении разработанного АНБ инструмента для проникновения в сети правительств других стран. На эту же компанию в свое время работал и Эдвард Сноуден.
Что касается утечек данных, то в начале прошлой недели хакеры из Fancy Bears опубликовали очередную, шестую, часть документов, похищенных у Всемирного антидопингового агентства (WADA). На этот раз в список спортсменов, которым WADA разрешило принимать в терапевтических целях запрещенные препараты, попали 20 человек (14 из них – призеры Олимпиад).
Как сообщил сотрудник издания The Insider Сергей Канев, данные 20 млн россиян можно без труда приобрести на Митинском радиорынке в Москве. По словам журналиста, за 10 тыс. руб. ему удалось купить «флешку» с базой данных размером 42 ГБ, содержащей личную информацию (ФИО, адреса, номера телефонов, должности) клиентов и должников крупнейших российских банков, сотрудников засекреченных подразделений ФСБ и даже ВИЧ-инфицированных.
На прошлой неделе популярный музыкальный сервис Spotify был уличен в распространении вредоносной рекламы. При запуске бесплатной версии Spotify Free на десктопном компьютере браузер без разрешения открывал вредоносные сайты. Согласно заявлению компании, ей удалось успешно идентифицировать и решить проблему.
ИБ-эксперты компании Guardicore предупредили о новом трояне Trojan.sysscan, способном похищать данные со взломанных хостов и передавать их на подконтрольный злоумышленникам удаленный сервер. Прежде чем инфицировать систему жертвы, хакеры сканируют Сеть на наличие открытых RDP-портов и осуществляют брутфорс путем перебора часто используемых комбинаций логинов и паролей.
Разработчики вредоносного ПО также выпустили обновленные версии своих продуктов. К примеру, авторы Cerber добавили вымогателю ряд новых функций, в том числе возможность перед шифрованием контента отключать процессы, связанные с серверами баз данных. Создатели трояна FastPOS для PoS-терминалов реализовали в нем новый механизм эксфильтрации данных. Для хранения похищенной информации перед отправкой их на подконтрольный злоумышленникам C&C-сервер механизм использует Windows Mailslot.

[душман]

«Одноклассники» анонсировали «Сообщения для групп» и API для ботов

«Одноклассники» анонсировали запуск нового сервиса — «Сообщения для групп», с помощью которого пользователи смогут отправлять сообщения страницам и группам.

Администраторы сообществ смогут отвечать на такие сообщения как с веб-версии, так и с мобильного устройства, сообщили в «Одноклассниках».Помимо этого, представители «Одноклассники» рассказали о планах по открытию API для работы с внешними системами обработки сообщений и CRM, что позволит разрабатывать ботов для сообществ. В течение месяца «Одноклассники» будут проводить закрытое тестирование инновации с партнёрами, далее функция станет доступна для всех групп.
«“Сообщения для групп” — это инструмент, полезный как для большого, так и малого бизнеса. Новая функция позволит всегда быть на связи с потребителями и общаться с ними на привычной для них площадке. Благодаря открытию API, возможности подключать внешние системы и разрабатывать ботов процесс коммуникации с пользователями станет ещё проще», — считает Семён Боярский, менеджер по развитию бизнеса соцсети «Одноклассники».

[душман]

Пользователей Facebook атакует новый троян Eko

Исследователи компании Malwarebytes предупредили о новом трояне Eko, атакующем пользователей Facebook.

Для распространения вредоноса злоумышленники используют методы социальной инженерии. Жертва получает в Facebook личное сообщение от пользователя из своего списка контактов. Сообщение содержит фотографию получателя и ссылку, якобы ведущую на видео с участием самого получателя. Фотография сопровождается надписями «Video» и «xic.graphics».
После нажатия на ссылку никакое видео, естественно, не открывается, однако через некоторое время пользователю приходит уведомление с предложением установить расширение для Chrome. На самом деле под видом расширения на систему устанавливается троян Eko, распространяющий назойливую рекламу. Вредонос также способен похищать учетные данные (в том числе, для авторизации в банковских приложениях) и рассылать фишинговые сообщения пользователям из списка контактов жертвы.
Первыми с угрозой столкнулись жители Франции, однако затем жертвами Eko начали становиться пользователи и в других странах. В случае инфицирования компьютера трояном необходимо деинсталлировать расширение и изменить учетные данные для авторизации в Facebook и других сервисах.

[душман]

«Доктор Веб» выпустил Dr.Web Katana Business Edition 1.0

Компания «Доктор Веб» объявила о выпуске несигнатурного антивируса Dr.Web Katana Business Edition версии 1.0, предназначенного для централизованного контроля защиты рабочих станций от новейших угроз, еще не известных средствам защиты других разработчиков, установленным в сети.

Об этом говорится в заявлении «Доктор Веб».Система защиты Dr.Web Katana основана на проактивных технологиях без использования вирусных баз: решение о необходимости нейтрализации той или иной вредоносной программы принимается только исходя из интеллектуального анализа поведения запущенных на компьютере приложений.
В своей работе продукт, помимо предустановленных правил, может использовать облачные технологии поиска угроз.
Новый программный продукт Dr.Web Katana Business Edition имеет возможности централизованной установки на защищаемые станции, тем самым позволяя администратору с удобством осуществлять настройку защиты со своего рабочего места. Статистика работы продукта также централизована, рассказали в компании.
Dr.Web Katana Business Edition позволит корпоративным пользователям противостоять современным троянам-шифровальщикам, а также вредоносным программам, пытающимся проникнуть в систему через уязвимости (в том числе «нулевого дня»), станет преградой на пути целевых атак и попыток проникновения в сеть компании, утверждают разработчики.
Лицензия на Dr.Web Katana включена в комплекс продуктов Dr.Web Enterprise Security Suite.

[душман]

«Доктор Веб» обнаружил первого энкодера на Go и разработал дешифровку

Вирусные аналитики компании «Доктор Веб» обнаружили первого шифровальщика, написанного на языке Go.

Этот троян, присваивающий зашифрованным файлам расширение .enc, получил название Trojan.Encoder.6491. Специалисты компании разработали технологию расшифровки поврежденных этой вредоносной программой файлов, сообщили сегодня в «Доктор Веб».
Новые версии троянов-энкодеров появляются ежемесячно.Trojan.Encoder.6491 интересен тем, что он написан на разработанном компанией Google языке программирования Go: до этого вирусным аналитикам не встречались шифровальщики, созданные с использованием этой технологии, отметили в компании.
При запуске Trojan.Encoder.6491 устанавливает себя в систему под именем Windows_Security.exe. Затем троян начинает шифровать хранящиеся на дисках файлы с помощью алгоритма AES. В процессе работы вредоносная программа пропускает файлы, в имени которых содержатся следующие строки: tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, Recycle.Bin, System Volume Information, Boot, Windows, .enc, Instructions, Windows_Security.exe.
Троян шифрует файлы 140 различных типов, определяя их по расширению. Trojan.Encoder.6491 кодирует оригинальные имена файлов методом Base64, а затем присваивает зашифрованным файлам расширение .enc. В результате, например, файл с именем Test_file.avi получит имя VGVzdF9maWxlLmF2aQ==.enc. Затем шифровальщик открывает в окне браузера файл Instructions.html с требованием выкупа в криптовалюте Bitcoin.
Примечательно, что Trojan.Encoder.6491 с определенным интервалом проверяет баланс Bitcoin-кошелька, на который жертва должна перевести средства. Зафиксировав денежный перевод, энкодер автоматически расшифровывает все зашифрованные ранее файлы с использованием встроенной функции, рассказали в «Доктор Веб».
Специалисты компании разработали специальную методику, позволяющую расшифровывать пострадавшие от этого трояна файлы.
Пользователи, ставшие жертвой вредоносной программы Trojan.Encoder.6491, могут воспользоваться следующими рекомендациями: обратиться с соответствующим заявлением в полицию; ни в коем случае не пытаться переустановить операционную систему, «оптимизировать» или «очистить» ее с использованием каких-либо утилит; не удалять никакие файлы на вашем компьютере; не пытаться восстановить зашифрованные файлы самостоятельно; обратиться в службу технической поддержки компании «Доктор Веб» (эта услуга бесплатна для пользователей коммерческих лицензий Dr.Web);
к тикету необходимо приложить любой зашифрованный трояном файл; дождаться ответа специалиста службы технической поддержки. В связи с большим количеством запросов это может занять некоторое время.
Услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты Dr.Web. «Доктор Веб» не дает полной гарантии расшифровки всех пострадавших от действия энкодера файлов.

[душман]

Злоумышленники используют платформу WTP для внедрения трояна LatentBot

Платформа диагностики Windows (Windows Troubleshooting Platform, WTP) пополнила список легитимных служб Windows, эксплуатируемых киберпреступниками для распространения вредоносного ПО.

Исследователи компании Proofpoint зафиксировали спам-кампанию, в ходе которой распространялся вредоносный документ Microsoft Word, использующий файл .DIAGCAB для инфицирования компьютера жертвы бекдором LatentBot.
После открытия документа на экране отображался бессмысленный набор символов и предупреждение о неправильной кодировке. Для решения проблемы пользователю предлагалось дважды кликнуть на уведомление. Двойной клик запускал файл .DIAGCAB, содержащий набор PowerShell скриптов, загружающих и устанавливающих на компьютер жертвы троян LatentBot.
Как отмечают эксперты, функционально вредоносные макросы и используемые злоумышленниками скрипты «диагностики» практически не отличаются, так как оба позволяют атакующим выполнить серию операций на целевом компьютере. Разница заключается в том, что установленные на устройстве антивирусные решения отслеживают вредоносное ПО, которое может быть загружено вредоносными макросами, тогда как скрипты диагностики по большей части остаются незамеченными.
Платформа Windows Troubleshooting Platform представляет собой средство для выполнения специальных модулей (Troubleshooting Packages), которые создаются на языке PowerShell и призваны решать различные проблемы, касающиеся конфигурации операционной системы, ее отдельных компонентов, устройств, сервисов и приложений.

[душман]

В список трофеев «русских хакеров» попал телеканал TV5Monde

В последнее время «русские хакеры» как никогда в тренде у зарубежной прессы.

На фоне взлома Национального комитета Демократической партии США и спонсируемых государством атаках на Yahoo! (по заверению самой компании) растет обеспокоенность по поводу уязвимости перед всемогущими «русскими хакерами».
Взять хотя бы запрет британским министрам носить часы Apple Watch, которые якобы могут использоваться российскими спецслужбами для шпионажа.
Масла в огонь также решил подлить руководитель TV5Monde Ив Биго. По его словам, за атакой на французский телеканал в апреле прошлого года стоят не исламисты, как считалось ранее, а все те же «русские хакеры», передает BBC.
Напомним, 8 апреля 2015 года TV5Monde подвергся кибератаке и вынужден был на время приостановить вещание. «От полного разрушения нас спасло только то, что в тот день мы запустили канал, и техники еще были на месте, – заявил Биго. Одному из них удалось идентифицировать атакованную машину, отключить ее от интернета и тем самым остановить атаку.
Мы многим обязаны этому инженеру, он для нас герой».Согласно BBC, атака оказалась намного более изощренной и таргетированной, чем предполагалось изначально. Первое проникновение в корпоративную сесть телеканала было осуществлено еще 23 января 2015 года. Хакеры тщательно исследовали ее с целью выяснить, каким образом осуществляется вещание. Затем было создано специальное вредоносное ПО для выведения из строя подключенного к интернету оборудования, ответственного за управление работой телевизионной станции (в том числе системы кодирования сигнала).
В ходе атаки злоумышленники использовали семь точек входа. Не все они располагались внутри TV5Monde или даже во Франции. На одном из этапов злоумышленники даже атаковали компанию в Нидерландах, поскольку она поставляла телеканалу удаленно управляемые видеокамеры.
Ответственность за инцидент взяла на себя группировка «Киберхалифат», считающаяся киберподразделением террористической организации ДАИШ (ИГИЛ, запрещена в РФ). Тем не менее, когда французские власти начали расследование, стала вырисовываться совсем другая картина. Биго было сказано в комментариях относительно инцидента упоминать ДАИШ с отсторожностью.
Через некоторое время главе TV5Monde сообщили, что за атакой стоят те самые «русские хакеры». Речь шла о группировке APT 28 (также известна как Fancy Bear и Sofacy), которой приписываются недавние атаки на Демпартию США. На вопрос о том, почему хакеры атаковали телеканал, Биго ответил: «Не имею ни малейшего представления». По его словам, следствие смогло доказать только две вещи: целью атакующих было уничтожить телеканал, а за инцидентом стоят хакеры из APT 28.
Не удалось найти ответы на два вопроса: почему жертвой был избран именно TV5Monde и кто «заказал» атаку русским хакерам.

[душман]

Microsoft устранила 5 0day-уязвимостей в своих продуктах

В рамках октябрьского «вторника исправлений» компания Microsoft выпустила в общей сложности 10 бюллетеней безопасности, в том числе 5 критических, включая патч для уязвимостей в Adobe Flash Player.

Компания исправила по меньшей мере пять уязвимостей нулевого дня (CVE-2016-3298, CVE-2016-7189, CVE-2016-3393, CVE-2016-7193, CVE-2016-3298) в продуктах Internet Explorer, Edge, Windows и Office.
Бюллетень безопасности MS16-118 устраняет ряд уязвимостей в браузере Internet Explorer. Согласно предупреждению компании, наиболее серьезные из них позволяют удаленное выполнение кода с правами текущего пользователя. В случае, если текущий пользователь обладает правами администратора, атакующий может получить полный контроль над целевой системой и выполнять различные действия: устанавливать программы, просматривать, модифицировать или удалять данные, создавать новые учетные записи и пр.
Эксплуатация уязвимостей возможна при помощи специально сформированной web-страницы.
Бюллетень MS16-119 исправляет уязвимости в браузере Microsoft Edge. Так же, как в случае с Internet Explorer, эксплуатация наиболее опасных проблем может привести к удаленному выполнению кода с правами текущего пользователя.
Бюллетень MS16-120 устраняет уязвимости в Microsoft Windows, .NET Framework, Office, Skype для бизнеса, Silverlight и Microsoft Lync. Проблемы делают возможным удаленное выполнение кода, если пользователь посетит специально сформированный web-сайт или откроет специально сформированный документ.
Бюллетень MS16-122 закрывает уязвимость в Microsoft Windows, позволяющую удаленно выполнить код в случае, если компонент Microsoft Video Control некорректно обрабатывает объекты в памяти. Успешно проэксплуатировав проблему, атакующий может выполнить произвольный код в контексте текущего пользователя при условии, что сможет убедить жертву открыть специально сформированный файл, интернет-страницу или электронное сообщение.
Наконец, бюллетень MS16-127 представляет собой обновление безопасности для Adobe Flash Player, предустановленном в браузерах Edge и Internet Explorer. Обновление устраняет уязвимости CVE-2016-4273, CVE-2016-4286, CVE-2016-6981, CVE-2016-6982, CVE-2016-6983, CVE-2016-6984, CVE-2016-6985, CVE-2016-6986, CVE-2016-6987, CVE-2016-6989, CVE-2016-6990, CVE-2016-6991 и CVE-2016-6992, описанные в предупреждении Adobe

[душман]

Злоумышленники изменили методы доставки вредоносного ПО

К настоящему времени большинство пользователей уже научилось с подозрением относиться к спаму и не открывать различные документы MS Office, RTF- и PDF-файлы, прикрепленные в качестве вложения к непрошенным электронным письмам.

Тем не менее, вирусописатели не устают изобретать новые способы обмана пользователей, спам-фильтров и антивирусных решений. Как обнаружили исследователи компании Symantec, теперь киберпреступники используют вредоносные файлы WSF (Windows Script Files) для распространения троянов, в частности, вымогательского ПО.
За последние две недели эксперты зафиксировали несколько крупных кампаний, в ходе которых злоумышленники использовали WSF-файлы для доставки вымогателя Locky.
Файл WSF действует как формат контейнера, т.е. поддерживает не только «родные» скриптовые языки VBScript и JScript, но и другие «чужие» языки. Данные файлы открываются и запускаются компонентом Windows Script Host (WSH). Файлы с расширением .wsf не блокируются автоматически некоторыми почтовыми клиентами и могут запускаться как исполняемые файлы, поясняют специалисты Symantec.К примеру, в ходе одной из кампаний атакующие рассылали спам-письма содержащие .zip-архив, в котором находился вредоносный WSF-файл. При его запуске на компьютер жертвы загружался вымогатель Locky.
Исследователи также отметили рост масштабов спам-кампаний, содержащих вредоносные WSF-файлы. Если в июне 2016 года было зафиксировано 22 тыс. таких писем, то в июле цифра достигла 2 млн, а в сентябре – 2,2 млн.

[душман]

В новой версии Chrome 54 исправлена 21 уязвимость

12 октября состоялся релиз стабильной версии браузера Chrome 54 для Windows, Mac, и Linux.

Как сообщается в блоге команды Chrome, пользователи получат обновления в «ближайшие дни.Версия Chrome 54.0.2840.59 содержит ряд улучшений и исправлений. В частности, апдейт устраняет 21 уязвимость. Шесть из них обозначены как очень опасные (обнаружившим их исследователям Google выплатила в общей сложности $23 тыс).Три проблемы с безопасностью исправлены в движке Blink. CVE-2016-5181 представляла собой  универсальную XXS-уязвимость, CVE-2016-5182 – уязвимость типа «heap overflow», а CVE-2016-5185 позволяла использовать память после высвобождения.Еще две очень опасные уязвимости, позволяющие использовать память после высвобождения (CVE-2016-5183 и CVE-2016-5184), были исправлены в движке PDFium. С помощью CVE-2016-5187 злоумышленник мог  подменить ссылки в адресной строке браузера (URL-спуфинг).Напомним, выпущенная в начале прошлого месяца версия Chrome 53.0.2785.89 исправлляла 33 уязвимости, в том числе 13 очень опасных.

[душман]

Троян охотится за Steam-аккаунтами

Вирусная лаборатория Eset предупредила об угрозе, ориентированной на геймеров — трояне PSW.OnLineGames.

Зловред предназначен для «угона» игровых аккаунтов. В 2016 г. число обнаружений вредоносной программы превысило 250 тыс., сообщили в Eset.
Мошенники распространяют троян при помощи социальной инженерии. Для этого они регистрируются в многопользовательских онлайн-играх и вступают в контакт с обычными игроками, приглашая их в рейды и гильдии. В какой-то момент потенциальную жертву просят установить приложение, например, программу для голосовой связи с партнерами по команде.
Под видом безобидного приложения пользователь получает троян PSW.OnLineGames. Вредоносная программа перехватывает нажатия клавиш и передает на удаленный сервер злоумышленников логин и пароль от учетной записи на игровом сервисе.
Особый интерес для мошенников представляют Steam-аккаунты и данные популярных многопользовательских игр, в частности, World of Warcraft.
Пользователи крупнейших игровых платформ остаются приоритетной целью мошенников. Eset рекомендует игнорировать письма и ссылки, присланные незнакомцами, не вводить логин и пароль от игрового аккаунта на сторонних сайтах, а также своевременно обновлять антивирусное ПО и браузер.
По информации Eset, продукты Eset NOD32 детектируют угрозу как Win32/PSW.OnLineGames.NNU.

[душман]

Найден способ обезопасить пользователей Tor от деанонимизации

Спецслужбы и правоохранительные органы продолжают инвестировать средства в исследования, связанные с деанонимизацией пользователей сети Tor.

Поскольку правительство не намерено раскрывать эксплуатируемые им уязвимости, команды Tor Project и Mozilla Firefox (браузер Tor создан на базе Firefox) объединились в работе над улучшением безопасности анонимайзера.
Целью улучшений является сделать невозможным для вредоносного ПО собирать информацию, позволяющую раскрыть личность пользователя. Изменив то, как браузер подключается к сети, разработчики сильно усложнят задачу для вредоносного ПО.
«На данном этапе у нас уже есть базовые инструменты, и мы работаем над их объединением с целью определить их эффективность в обеспечении безопасности», - сообщил эксперт Mozilla Ричард Барнес.
Как пояснил Барнес, браузер Tor состоит из двух частей – модифицированной версии Firefox и прокси, направляющего трафик браузера в сеть Tor. У первой части (Firefox) также есть доступ к сети, поскольку ей нужно обращаться к прокси. «То есть, если атакующему удастся скомпрометировать Firefox, он сможет деанонимизировать пользователя, подключив браузер не к Tor, а к чему-то другому», - сообщил Барнес.
Именно такой метод использовало ФБР в ходе расследований, связанных с подпольными сайтами даркнета. В феврале 2015 года бюро применило так называемую «технику исследования сети» («network investigative technique» или NIT), являющуюся ничем иным, как вредоносной программой. ПО эксплуатировало уязвимость в браузере Tor, и в результате компьютер подключался к подконтрольному ФБР серверу, находящемуся за пределами анонимной сети.
Таким образом следователям удалось выяснить настоящие IP-адреса подозреваемых.NIT станет бесполезной, когда разработчики добавят поддержку сокетов домена UNIX (UDS) и другие нововведения. UDS позволяет двум разным программам на одном компьютере взаимодействовать между собой без необходимости использовать сетевой протокол передачи данных. Благодаря UDS браузеру Firefox и Tor больше не нужен будет доступ к сети.
«Это значит, что вы сможете запустить его (браузер) в песочнице без доступа к сети (только с сокетом домена UNIX), и он все равно будет работать. Даже если Firefox будет скомпрометирован, установить соединение, позволяющее деанонимизировать пользователя, будет невозможно», - отметил Барнес.

[душман]

Android-троян Acecard требует от жертвы сделать селфи с паспортом

Изобретательность киберпреступников не имеет границ.

Поскольку все больше финансовых организаций стали внедрять систему аутентификации пользователей по селфи, хакеры изобрели новый способ обхода механизмов безопасности.
Эксперты McAfee Labs обнаружили новый вариант известного банковского Android-трояна Acecard (он же Torec), маскирующегося под Adobe Flash Player, видео-приложение «для взрослых» или кодек/плагин, необходимый для просмотра видео определенного характера.
Вредонос не просто похищает данные платежных карт, а просит пользователя сделать селфи с удостоверением личности. В дальнейшем злоумышленники смогут использовать этот снимок для подтверждения доступа не только к банковским счетам, но также к учетным записям жертвы в соцсетях, считают эксперты.
Установившись на системе, Acecard в фоновом режиме мониторит приложения, используемые для осуществления платежей. Когда пользователь пытается открыть одно из них, троян отображает фишинговую страницу якобы Google Play, запрашивающую данные кредитной карты и персональную информацию жертвы (имя и фамилию, дату рождения, номер телефона, а также номер, срок действия и CCV карты).
Получив запрашиваемые данные, троян требует от пользователя завершить фальшивый «трехэтапный процесс аутентификации». Первые два шага предполагают загрузку качественных фотографий удостоверения личности (паспорта, идентификационной карты или водительских прав). На завершающем этапе пользователь должен сделать селфи с удостоверением личности в руках.

[душман]

Обзор инцидентов безопасности за прошлую неделю

По мере приближения выборов президента США внимание общественности все больше привлекают «русские хакеры», которые развернули настоящую войну в киберпространстве. На прошлой неделе ничего не было слышно ни о китайской, ни о северокорейской киберармиях, зато о «русских хакерах» СМИ не умолкали ни на минуту. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 10 по 16 октября 2016 года.
В понедельник, 10 октября, организация WikiLeaks опубликовала вторую часть массива электронных писем, похищенных у главы избирательного штаба Хиллари Клинтон Джона Подесты. Ресурс не раскрывает свои источники, однако, по мнению ФБР, за взломом электронной почты Подесты стоят российские спецслужбы.
Несколькими днями позднее глава избирательного штаба Клинтон снова стал жертвой хакеров. На этот раз атаке подверглась его учетная запись в Twitter. От имени Подесты злоумышленники опубликовали призыв голосовать за оппонента Клинтон Дональда Трампа.
Страх перед российскими спецслужбами стал причиной запрета британским министрам носить смарт-часы Apple Watch во время заседаний правительства. Британские власти уверены, что устройства могут использоваться хакерами для прослушки. «Что там часы Apple,лучше всего "российские тайные агенты" взламывают Breguet», - прокомментировала принятую британцами меру безопасности представитель МИД РФ Мария Захарова.
Отметим, Breguet – марка швейцарских аналоговых часов.По данным исследователя Виллема де Гроота, порядка 5925 интернет-магазинов содержат скрытый вредоносный код JavaScript. Вредонос похищает номера кредитных карт, вводимые жертвами в платежные формы на скомпрометированных сайтах, и отправляет их на C&C-серверы в России.
Исследователь безопасности Malware Must Die сообщил о новом Linux-трояне устройств «Интернета вещей», получившем название NyaDrop. По мнению эксперта, созданный русским разработчиком вредонос может повторить успех печально известного ботнета Mirai.
На прошлой неделе стало известно о появлении в Рунете сайта, где собраны персональные данные свыше 70 млн россиян. Как сообщает phonenumber.to, достаточно лишь ввести номер абонента в строку поиска, и ресурс предоставит такую информацию, как ФИО, адрес проживания и оператор сотовой связи. В частности, на сайте опубликованы номер телефона и адрес, предположительно принадлежащий президенту РФ Владимиру Путину.
В среду, 12 октября, крупнейший в Сети биткойн-кошелек Blockchain.info подвергся хакерской атаке. Злоумышленники использовали DNS hijacking (перехват DNS), и пользователи, пытавшиеся зайти на сайт, перенаправлялись на другие серверы.
Эксперты компании Symantec предупредили о новом трояне Odinaff, угрожающем системе обмена банковской информацией SWIFT. Согласно данным исследователей, в новой волне атак задействованы некоторые элементы инфраструктуры, ранее использовавшиеся в кампаниях Carbanak.
Исследователи компании Malwarebytes сообщили о трояне Eko, атакующем пользователей Facebook. Для распространения вредоноса злоумышленники используют методы социальной инженерии.

[душман]

Обнаружен преемник банковского трояна Dyre

Как сообщают эксперты компании Fidelis Cybersecurity, обнаруженный ими в прошлом месяце новый банковский троян TrickBot имеет много общего с давно известным вредоносом Dyre.

Большинство операций с использованием Dyre прекратились после того, как в ноябре 2015 года российские правоохранительные органы устроили обыск в московской компании «25 этаж», занимающейся производством и дистрибуцией кинопродукции. Рассылка содержащих Dyre спам-писем прекратилась не сразу, однако после полицейского рейда стала постепенно уменьшаться, пока не снизилась почти до нуля в январе текущего года.
По мнению экспертов Fidelis Cybersecurity, стоящая за Dyre киберпреступная группировка или отдельные ее члены возобновили свою деятельность, используя те же методы и схожее вредоносное ПО. Прежде всего исследователи обратили внимание на то, что модуль TrickLoader, загружающий троян на систему жертвы, очень похож на загрузчик Dyre.
Правда, между двумя троянами есть и различия. TrickBot является, скорее, не клоном, а обновленной версией Dyre. Большая часть оригинального трояна написана на языке C, тогда как TrickBot – на C++, из чего можно предположить, что программы созданы разными разработчиками. С целью добиться персистентности на зараженном устройстве TrickBot использует TaskScheduler и COM, а Dyre запускает команды непосредственно на системе.
Для криптографических операций новый вредонос использует Microsoft Crypto API, тогда как старый применяет алгоритмы SHA-256 и AES.

[душман]

У российских военных появился свой интернет

Армия РФ завершила формирование коммуникационной системы под названием «Закрытый сегмент передачи данных» (ЗСПД).

Военный интернет не соединен с глобальной Сетью, а на всех подключенных к нему компьютерах реализованы меры, предотвращающие использование несертифицированных флеш-накопителей и внешних жестких дисков. Сеть также включает собственный почтовый сервис, по которому разрешается передавать секретную информацию, в том числе с грифом «Особой важности».
ЗСПД развернута на инфраструктуре «Ростелекома» и собственной инфраструктуре Минобороны РФ, не подключенной к интернету. В каждой военной части расположены серверы для шифрования и передачи данных. Доступ в серверные разрешен только строго ограниченному кругу лиц, в настоящее время сеть функционирует в полном объеме. В будущем планируется ее расширение, а также установка дополнительных терминалов в воинских частях и учреждениях.
В военном интернете существуют свои сайты, основной из них доступен по адресу mil.zs. Просмотреть данные ресурсы можно на компьютерах, сертифицированных службой защиты государственной тайны (Восьмое управление Генштаба). К данным компьютерам невозможно подключить несертифицированные сторонние устройства, например, флеш-накопители, принтеры, сканеры и пр. В случае подключения такого устройства, попытка будет зафиксирована специальным ПО.

[душман]

В Чехии арестован россиянин по подозрению в кибератаках в США

Сотрудники правоохранительных органов Чехии совместно с ФБР задержали россиянина, подозреваемого в причастности к кибератакам в США.

Евгений Н. был взят под стражу в одном из отелей в Праге и сейчас ожидает решения о возможной экстрадиции в США, говорится в заявлении чешской полиции.
Как рассказал один из правоохранителей, арест был произведен 5 октября, однако информация об этом не разглашалась в связи с «тактическими» причинами. Согласно заявлению ФБР, россиянин подозревается в «осуществлении преступной деятельности, затрагивающей цели в США».
Предположительно, речь может идти о взломе социальной сети LinkedIn в 2012 году. Хотя тогда компании было известно об утечке данных, полный масштаб инцидента раскрылся только в этом году. Напомним, ранее сообщалось, что на подпольном форуме выставлены на продажу 167 млн учетных записей LinkedIn.
По данным издания The New York Times, арест был произведен в рамках расследования по факту взломов серверов Демократической партии США, осуществленных ранее в этом году, но, по всей видимости, задержанный не связан с данными инцидентами.
В настоящее время о личности преступника известно немного. Как пояснил специалист компании Avast Михал Салат, даже профессиональные хакеры совершают ошибки. Вполне вероятно, правоохранителям удалось отследить россиянина по IP-адресу.

[душман]

Банковский троян нагло грабит жителей Кирова

Управление МВД РФ по Кировской области предупредило кировчан о вредоносном ПО, похищающем денежные средства с банковских карт, «привязанных» к Android-устройствам.

О вредоносной программе стал известно, когда в полицию обратилась 38-летняя жительница Кирова с заявлением о пропаже с ее банковской карты свыше 10 тыс. руб. Как показало расследование, деньги были похищены неизвестными злоумышленниками, заразившими Android-устройство потерпевшей банковским трояном.
Поскольку женщина использовала услугу «Мобильный банк», вредонос смог похитить данные ее платежной карты, что позволило преступникам перечислить средства с ее счета на свой. По данному факту возбуждено уголовное дело по части 2 статьи 159.6 УК РФ (Мошенничество в сфере компьютерной информации, совершенное с причинением значительного ущерба гражданину).
Напомним, ранее сообщалось о появлении нового банковского трояна для Android-устройств Tordow. Вредонос способен получать права суперпользователя на системе и похищать практически все хранящиеся на ней данные.

[душман]

Новое вымогательское ПО маскируется под игру Click Me

Современный рынок вымогательского ПО может похвастаться большим разнообразием.

Вирусописатели словно соревнуются друг с другом в изобретательности, всячески «приукрашивая» свои творения. На днях исследователь безопасности Карстен Хан обнаружил очередной образец вымогательского ПО, маскирующийся под бесплатную игру Click Me.
После установки на систему жертвы вредонос отображает на экране кнопку с надписью «Click Me» («Кликни на меня»). Когда пользователь пытается навести на нее курсор, кнопка выскальзывает и перемещается в другое место. Пока игрок тщетно пытается поймать неуловимую кнопку, вымогатель в фоновом режиме шифрует хранящиеся на его компьютере файлы.
В настоящее время шифровальщик все еще находится на стадии разработки и лишен некоторого функционала. К примеру, пока что он может шифровать только контент в директории D:\ransom-flag.png. Вредонос использует алгоритм шифрования AES и добавляет к имени файла расширение .hacked.
Когда в попытках кликнуть на кнопку жертва нажмет на экран определенное количество раз или нажмет на Enter, появится уведомление с требованием выкупа. Сообщение содержит изображения активиста Anonymous в маске и надпись «You have been Hacked» («Вас взломали»). В уведомлении также присутствует текст на фарси с требованием оплатить выкуп за восстановление зашифрованных файлов.
Еще одним свидетельством того, что вредонос находится в стадии разработки, является отсутствие каких-либо инструкций по оплате.

[душман]

Хакеры отключили в США десятки популярных сайтов

В США десятки сервисов, в том числе PayPal, Amazon, Netflix и Twitter, оказались недоступны из-за массированной DDoS-атаки.

Об этом 21 октября сообщило Gizmodo.Неизвестные хакеры атаковали DNS-сервера хостинговой компании Dyn. В итоге жители восточного побережья США массово жалуются на недоступность многих популярных ресурсов, таких как Spotify, Ebay, Vox, Airbnb, Reddit и Github.Кроме того, проблемы с доступом наблюдались у многих СМИ, а том числе The Verge, Wired, People, CNN, Recode, Business Insider и The Guardian.Представители Dyn пообещали, что работа DNS-серверов в скором времени будет восстановлена.В середине октября хакеры обрушили сети крупнейшего регионального мобильного оператора «Мотив» в Свердловской и Курганской областях, а также Ханты-Мансийском и Ямало-Ненецком автономном округе. Серверы оператора пострадали от DDoS-атаки, а абоненты сообщали о недоступности некоторых услуг.У ряда пользователей не работала голосовая связь, а у других — мобильный интернет.

[душман]

В ядре Linux исправлена самая серьезная уязвимость повышения привилегий

Исследователь безопасности Фил Остер обнаружил в ядре Linux уязвимость нулевого дня, позволяющую локальному пользователю повысить свои привилегии на системе и модифицировать любой файл, который он может прочитать.

Уязвимость получила идентификатор CVE-2016-5195 и название Dirty COW. Название Dirty COW было выбрано неслучайно. Уязвимость связана с ошибкой состояния операции (race condition), возникающим при работе подсистемы памяти ядра с механизмом копирования при записи (Copy-On-Write, COW).
Проэксплуатировав уязвимость, злоумышленник может записать данные в области памяти, отраженные в режиме только для чтения.
«Похоже, это самая серьезная уязвимость, позволяющая повысить привилегии, когда-либо обнаруженная в Linux. Из-за природы уязвимости ее очень легко эксплуатировать», - сообщил ИБ-эксперт Azimuth Security Дэн Розенберг.
Проблема присутствует в ядре еще с 2007 года. Как сообщил Остер, злоумышленники уже эксплуатируют Dirty COW в атаках. Во время тестирования эксплоита исследователю удалось получить на системе права суперпользователя менее чем за пять секунд.
В четверг, 20 октября, один из ключевых разработчиков ядра Linux Грег Кроа-Хартман сообщил о выходе обновлений для версий Linux 4.8, 4.7 и 4.4 LTS, исправляющих уязвимость Dirty COW.
Ошибка состояния операции – ошибка проектирования многопоточной системы или приложения, при которой работа системы или приложения зависит от того, в каком порядке выполняются части кода.

[душман]

«Доктор Веб» изучил бэкдор для Linux

Специалисты компании «Доктор Веб» в октябре 2016 г. исследовали троян-бэкдор, способный работать на устройствах под управлением Linux.

Вредоносная программа получила наименование Linux.BackDoor.FakeFile.1, и распространяется она, судя по ряду признаков, в архиве под видом PDF-файла, документа Microsoft Office или Open Office, сообщили в «Доктор Веб».
При запуске троян сохраняет себя в папку .gconf/apps/gnome-common/gnome-common, расположенную в домашней директории пользователя. Затем в папке, из которой был запущен, он ищет скрытый файл с именем, соответствующим своему имени, после чего перемещает его на место исполняемого файла. Например, если ELF-файл Linux.BackDoor.FakeFile.1 имел имя AnyName.pdf, он будет искать скрытый файл с именем .AnyName.pdf, после чего сохранит его вместо оригинального файла командой mv .AnyName.pdf AnyName.pdf.
Если документ отсутствует, Linux.BackDoor.FakeFile.1 создает его и затем открывает в программе gedit, рассказали в компании.
После этого троян проверяет имя дистрибутива Linux, который используется на атакуемом устройстве: если оно отличается от openSUSE, Linux.BackDoor.FakeFile.1 записывает в файлы <HOME/.profile> или <HOME/.bash_profile> команду для собственного автоматического запуска. Затем он извлекает из собственного файла и расшифровывает конфигурационные данные, после чего запускает два потока: один обменивается информацией с управляющим сервером, второй следит за длительностью соединения. Если трояну не поступало команд более 30 минут, соединение разрывается.
Как обнаружили специалисты «Доктор Веб», Linux.BackDoor.FakeFile.1 может выполнять следующие команды: передать на управляющий сервер количество сообщений, отправленных в ходе текущего соединения; передать список содержимого заданной папки; передать на управляющий сервер указанный файл или папку со всем содержимым; удалить каталог; удалить файл; переименовать указанную папку; удалить себя; запустить новую копию процесса; закрыть текущее соединение; организовать backconnect и запустить sh; завершить backconnect; открыть исполняемый файл процесса на запись; закрыть файл процесса; создать файл или папку; записать переданные значения в файл; получить имена, разрешения, размеры и даты создания файлов в указанной директории; установить права 777 на указанный файл; завершить выполнение бэкдора.
Для своей работы Linux.BackDoor.FakeFile.1 не требует привилегий root, он может выполнять вредоносные функции с правами текущего пользователя, от имени учетной записи которого он был запущен. Сигнатура трояна добавлена в вирусные базы Dr.Web.