Новые вирусные угрозы

[студент]

Хакеры в третий раз взломали серверы The Washington Post

Хакеры в третий раз за два года взломали серверы американской газеты The Washington Post и получили доступ к электронным именам и паролям сотрудников издания. Об этом 19 декабря сообщает сама The Washington Post.

Пока не известно, были ли утеряны какие-то данные, однако The Washington Post попросила всех сотрудников сменить пароли. Пароли хранятся в закодированной форме, компания опасается, что хакеры могут взломать этот код. Компания Mandiant, которая отвечает за цифровую безопасность серверов The Washington Post, заявила, что взлом был кратковременным.

В данный момент ведется расследование произошедшего. В The Washington Post отметили, что информация пользователей, в том числе, данные кредитных карт и домашние адреса, согласно первым выводам, в безопасности. Хакеры также не стали взламывать систему публикации материалов.

Ответственными за взлом в The Washington Post считают китайских хакеров, которых также подозревают в краже электронных адресов пользователей сайта издания в 2011 году. Кроме того, именно Китай считают ответственным за кибератаки на сайты газет The New York Times и The Wall Street Journal, а также ряда правозащитных организаций. Еще одну атаку на сайт The Washington Post провели сирийские хакеры, которые на недолгое время настроили редирект с сайта издания на сайт «Сирийской электронной армии», поддерживающей президента Башара Асада.

[студент]

В Сети зафиксирован всплеск активности банковского трояна Qadars

Антивирусная компания Eset сообщила о всплеске активности банковского трояна Qadars, способного обходить механизм двухфакторной аутентификации через вредоносный мобильный компонент. Злоумышленники уже активно используют данный троян для атак на пользователей в Европе, Азии, Австралии и Северной Америке.

По данным экспертов, троян Win32/Qadars применяет различные виды веб-инъекций (внедрение вредоносного кода в код легальной программы или процесса), стремясь похитить у пользователя аутентификационные данные для онлайн-банкинга. Кроме того, киберпреступники обманом принуждают к установке мобильного компонента, который позволяет обойти систему подтверждения банковских операций. В данный момент киберпреступники ориентируют троян Qadars на пользователей (и соответствующие банковские учреждения) Голландии, Франции, Италии, Канады, Индии, Австралии и ряда других государств.

Для осуществления мошеннических операций Win32/Qadars использует распространенный у злоумышленников метод «человек в браузере» (Man-in-the-Browser, MiB). В ходе подобной кибератаки вредоносный код внедряется в браузер (Internet Explorer, Firefox и др.) через программную уязвимость, позволяя киберпреступнику менять параметры транзакции или проводить иные мошеннические операции с банковским счетом жертвы.

«Внедряемый в браузер контент может быть чем угодно, – но, как правило, он представляет собой форму авторизации, которая используется злоумышленниками для сбора конфиденциальных данных пользователей. Также это может быть и вредоносный JavaScript, который будет стремиться перевести средства с банковского счета пользователя на счет злоумышленников без его ведома, — говорит Жан-Йен Бутен (Jean-Ian Boutin), исследователь вредоносного ПО в канадском подразделении Eset. — Файл Qadars, содержащий веб-инъекции, меняется достаточно часто и используется злоумышленниками для переориентирования вредоносного кода на нужные банковские сайты. Для достижения максимального эффекта, злоумышленники стремятся заражать пользователей в определенных, заранее выбранных странах».

[студент]

"Сирийская электронная армия" вновь атакует американские СМИ

ФБР США предупредило крупнейшие американские СМИ о том, что хакерская группировка «Сирийская электронная армия» начала проведение кампании по кибератаке в отношении отрасли средств массовой информации в Штатах. Согласно сообщению ведомства, сейчас ряд журналистов таких изданий, как The New York Times, CNN, The Wall Street Journal и других получили по электронной почте сообщения о событиях в Сирии. Во всех сообщениях содержатся ложные сведения и гиперссылки, при нажатии на которые происходит переадресация через ряд URL, которые в конечном итоги приводят на ресурс с поддельными формами авторизации, выполненными в стиле Google.

Задача данной кампании - похищение личных реквизитов журналистов от почты, социальных сетей, редакционных порталов и других ресурсов, работая с которыми можно было бы получить ту или иную закрытую информацию.

Напомним, что «Сирийская электронная армия» выступает в поддержку президента Башара Ассада, тогда как США традиционно критикуют этот режим. Также следует напомнить, что ранее «Сирийская электронная армия» уже взламывала Facebook- и Twitter-ленты крупных западных СМИ.

[студент]

McAfee назвала 12 самых распространенных новогодних угроз

Аналитики компании McAfee, специализирующейся на вопросах безопасности, выявили 12 самых распространенных угроз во время праздников. По словам специалистов, мобильные устройства помогают легче пережить предновогоднюю суету: с их помощью мы рассылаем поздравления, планируем каникулы, выбираем и покупаем подарки онлайн, однако смартфоны и планшеты могут отворить ворота кибер-угрозам, что сильно омрачит радость наступающих праздников.

Рейтинг 12 самых распространенных кибер-угроз возглавляют не такие уж и «счастливые» новогодние мобильные приложения. Когда дело доходит до информации о банковских счетах, даже те приложения, которые, на первый взгляд, имеют настоящие сертификаты безопасности, могут использоваться для скачивания регистрационных данных (или другой важной информации) и отправки ее злоумышленникам. В некоторых случаях осуществляется даже переадресация входящих звонков и сообщений, что позволяет злоумышленникам обходить даже системы с двухэтапной идентификации.

Другие распространенные новогодние киберугрозы:

Поздравительные SMS-ки от мошенников и рассылка SMS на платные номера без ведома владельцев смартфонов
Опасные подарки. Мошенники размещают в сети ссылки на опасные ресурсы, публикуют в социальных сетях поддельную информацию и рассылают по электронной почте фишинг-сообщения.
Кибер-угрозы в путешествиях. Когда вы вводите на общественном зараженном ПК регистрационные данные вашей почты, они могут быть украдены с помощью шпионского ПО. В гостинице, чтобы получить доступ к Wi-Fi, иногда просят использовать дополнительные приложения, которые могут заразить компьютер сразу после того, как вы нажмете кнопку «Установить».
Потенциально опасные электронные поздравления. Многие цифровые открытки не содержат ничего опасного, но есть и такие, которые загружают на компьютер вирус после попытки открыть вложение.
Фальшивые онлайн-игры. Многие сайты, предлагающие скачать полную версию игры, например, Grand Theft Auto, заражены вредоносным ПО.
Ложные уведомления об отправке. При заказе товаров через Интернет можно щелкнуть по поддельному уведомлению. Эти сообщения предлагают обновить информацию об отправлении, но на самом деле они представляют собой вредоносное ПО.
Поддельные подарочные карты;
Праздничные фишинговые SMS-ки;
Фальшивая благотворительность;
Аферы, связанные с онлайн-знакомствами;
Липовый интернет-магазин.

[студент]

Cisco: организаторы хакерской атаки в рекламной сети Yahoo находятся на Украине

Cisco Systems провела анализ недавней хакерской атаки, проведенной при помощи рекламной сети Yahoo. В рамках кампании группа мошенников размещала вредоносные объявления в сети Yahoo, переходы по которым приводили к заражению компьютеров вредоносными программами. Анализ Cisco показал, что корнями данная атака уходит на Украину и там же, скорее всего, находятся ее организаторы.

В минувшее воскресенье Yahoo заявила, что атака была ориентирована на пользователей из Европы, а вредоносные рекламные объявления размещались с 31 декабря по 4 января. В Cisco рассказали, что жертвы вредоносных сайтов перенаправлялись на ресурсы, которые прежде уже были использованы для атак и были связаны с украинскими хакерскими группировками. Джейсон Шульц, специалист по ИТ-безопасности Cisco Systems, говорит, что все множество доменных адресов, задействованных в данной атаке, было размещено в одном и том же блоке IP-адресов, принадлежащих одному и тому же провайдеру (клиенту).

По данным расследования Cisco, всего в атаке были задействованы 393 IP-адреса из одного блока. Также в компании говорят, что имена вредоносных доменов всегда начинались с серии цифр в поддоменах и заканчивались случайными словами в домене второго уровня, причем зачастую слова представляли собой бессмысленные наборы букв. Большая часть доменов на сегодня уже не отвечает, но некоторые работают и по сей день.

Организаторы атак чаще всего использовали компьютеры своих жертв в рамках партнерской программы Paid-to-Promote.net, которая используется для разных целей, но чаще всего для нагона трафика с целью обмана рекламодателей. В Cisco говорят, что большая часть мошеннических доменов была зарегистрирована одним днем - 28 ноября 2013 года. Некоторые из доменов хостились в Канаде, другие - на Украине.

Известно, что в рамках вредоносной кампании хакеры заражали компьютеры вредоносными кодами Zeus, Andromeda, Dorkbot/Ngrboot, а также рекламными системами нагона кликов Tinba и Necrus.

По данным мониторинга Fox-IT, вредоносный ролик показывался примерно 27 000 раз в час, а основная зрительская аудитория организаторов кампании находилась в Румынии, Франции и Великобритании. В Yahoo также сообщили, что кампания была ориентирована только на Европу, причем только на Windows-пользователей, тогда как Mac-аудитория, а также пользователи мобильных устройств были в безопасности.

[студент]

Антивирусные эксперты: в 2013 году появился новый класс ИТ-угроз

Эксперты международной антивирусной компании Eset подготовили отчет о наиболее активных угрозах для ОС Windows в 2013 году.

Согласно данным компании, прошлый год был отмечен появлением целого ряда новых вредоносных программ, а также модификаций уже известных угроз. Файловые вирусы в 2013 году демонстрировали некоторое падение активности, но до сих пор представляют собой серьезную угрозу. В течение года сразу три семейства данных вирусов – Win32/Sality, Win32/Ramnit и Win32/Virut – стабильно попадали в глобальный рейтинг угроз.

Такие вирусы могут заразить все исполняемые файлы (с расширениями exe, bat и др.), содержащиеся на ПК, а также способны поставить под удар целую корпоративную сеть, поскольку умеют распространяться и заражать сетевые диски других компьютеров, объединенных в сеть.

Самой распространенной в России вредоносной программой был и остается троян Win32/Qhost, изначально ориентированный на российских пользователей. Функционал Qhost относительно прост – программа модифицирует системный файл hosts для перенаправления пользователя на принадлежащие злоумышленникам фишинговые, рекламные или вредоносные ресурсы.

Подобные перенаправления (клики) монетизируются и приносят злоумышленникам фактическую прибыль. Также мошенники могут выманивать у пользователя аутентификационные данные с помощью фальшивых страниц, замаскированных под популярные социальные сети.

Обнаружение угроз вида HTML\IFrame используется для идентификации вредоносных элементов веб-страниц. Часто вредоносные IFrame используются для перенаправления пользователя с легального сайта на вредоносный контент или набор эксплойтов.

Кроме того, и в России, и в мире все еще высока активность вредоносных программ, которые используют INF-файлы для обеспечения автоматического запуска со съемных носителей и непосредственно в системе. Такой механизм особенно актуален для устаревших ОС, поскольку у них автозапуск со съемных носителей через Autorun-файлы по умолчанию активирован. Антивирусные продукты ESET детектируют вредоносное ПО такого рода как INF/Autorun.

В прошлом году компания Microsoft исправила большое количество уязвимостей для ОС Windows и ее компонентов, а также для пакета программ MS Office. Некоторые из этих уязвимостей использовались злоумышленниками для доставки вредоносного кода еще до выхода обновления (т.н. уязвимости 0day или «нулевого дня»). Как правило, большинство из них ориентировались на изъяны в браузере Internet Explorer.

Уходящий год отметился появлением 0day уязвимостей, которые использовались в направленных атаках. Иными словами, злоумышленники осуществляли разработку эксплойтов не для спонтанного распространения вредоносного кода, а для атак на конкретных пользователей, преследуя вполне определенные цели.

Ниже показан рейтинг компонентов в семействе ОС Windows, которые чаще всего обновлялись в 2013 году, а также сравнение данного показателя с 2012 годом.

Статистика по выпущенным обновлениям демонстрирует, что в 2013 году браузер Internet Explorer, компоненты .NET и плагин к браузеру Silverlight наиболее активно использовались злоумышленниками для удаленного исполнения кода, причем в большинстве случаев такие атаки реализовывались через браузер.

Уязвимости в приложениях пакета программ Office также могут использоваться для удаленной установки вредоносного кода. По выпущенным в этом году обновлениям для Office видно, что большинство из них были направлены на устранение уязвимостей типа Remote Code Execution (удаленное исполнение кода).

При таком сценарии злоумышленники создают специальный файл Office (например, doc-файл Word) и отправляют его с фишинговым письмом на адрес жертвы. Текст письма должен быть максимально убедительным, чтобы заставить пользователя открыть вложение. Запуская такой файл с помощью уязвимой версии Office, пользователь инициирует установку вредоносного ПО.

В апреле 2014 года корпорация Microsoft прекратит поддержку последних выпусков Windows XP SP3 и Windows XP x64 SP2. Несмотря на призывы компании отказаться от этой ОС и перейти на более новые платформы, ей по-прежнему пользуется огромное количество пользователей. Согласно статистике аналитической компании Net Applications, сегодня Windows XP установлена почти на 30% всех компьютеров.

Отказ от официальной поддержки Microsoft будет означать и прекращение выпуска обновлений, своевременно закрывающих уязвимости. Опасность заключается в том, что в Windows XP до сих пор обнаруживаются потенциально опасные уязвимости – ближайшее обновление для одной из них выйдет в январе.

Кроме того, киберпреступники могут пока не использовать уже обнаруженные ими уязвимости вплоть до прекращения официальной поддержки – эти уязвимости, которые Microsoft уже не будет закрывать, могут быть использованы для заражения максимального количества владельцев Windows XP.

[gydrokolbasa]

Троян ChewBacca распространяется в 11 странах

Наиболее активно троян для терминалов действует в США, России, Канаде и Австралии.
ИБ-эксперты компании RSA зафиксировали активность ботнета, главным предназначением которого было хищение данных о банковских картах пользователей через терминалы.

Как оказалось в ходе подробного исследования, распространяемое вредоносное ПО является вирусом ChewBacca, который впервые был подробно описан экспертами «Лаборатории Касперского». По словам последних, троян связывается с C&C-сервером через сеть Tor, что помогает скрывать задействованные IP-адреса.

Согласно данным специалистов RSA, машины, входящие в состав ботнета, расположены в 11 разных странах, при этом больше всего вирус распространяется на территории США. Кроме того, троян активно действует в России, Канаде и Австралии.

Напомним, что по данным «ЛК», троян является исполняемым файлом PE32, распространяемым компилятором Free Pascal 2.7.1 от 22 октября 2013 года, объемом в 5 МБ с Tor 0.2.3.25. известно, что после запуска вирус записывает нажатия клавиш в журнал «system.log», который создается во временной папке на системе жертвы.

[студент]

Палестинским хакерам удалось получить несанкционированный доступ к системам Министерства обороны Израиля

Палестинским хакерам удалось получить несанкционированный доступ к системам Министерства обороны Израиля, разослав их сотрудникам электронные письма с вложениями включающими вредоносное ПО. Хакеры маскировали вредоносные сообщения под письма, якобы отправленные службой безопасности Израиля Шин-Бет.

Напомним, пару месяцев назад злоумышленникам удалось временно вывести из строя 15 компьютеров Гражданской администрации Израиля, контролирующей палестинцев, проживающих на израильских территориях. Эксперты из ИБ-компании Securlet считают, что за взломами стоят палестинцы, ответственные за кибератаку на Израиль, которая была осуществлена с сервера в секторе Газа более года назад.
Несмотря на то, что последний взлом был произведен с сервера в США, исследователи обнаружили сходство между этими атаками. Ни палестинская, ни израильская стороны не комментируют инцидент.

[студент]

Trojan.CoinThief крадет криптовалюту на компьютерах Apple


Вредоносные программы, предназначенные для добычи (майнинга) криптовалют и хищения электронных кошельков, являются весьма распространенным типом угроз для персональных компьютеров, работающих под управлением Windows. Вместе с тем вирусописатели не оставляют без внимания и пользователей других системных платформ: в базы антивируса «Доктор Веб» недавно был добавлен троян под именем Trojan.CoinThief, предназначенный для хищения криптовалюты Bitcoin на компьютерах производства компании Apple.

Специалистам известно несколько модификаций Trojan.CoinThief, первые образцы этого троянца получили распространение еще осенью 2013 года, в период бурного роста курса электронной криптовалюты Bitcoin. Программа маскируется под легитимные утилиты для добычи (майнинга) этой криптовалюты, такие как, в частности, BitVanity, StealthBit, Bitcoin Ticker TTM, Litecoin Ticker. Trojan.CoinThief заражает компьютеры, работающие под управлением Mac OS X.

Троянец состоит из нескольких компонентов: инсталлятора, распространяющегося под именем легитимного приложения, агента, реализующего ряд функций (например, обработка перехваченных данных, проверка установленных на машине приложений и самообновление), а также расширения браузера для фильтрации трафика, выполнения функций агента и общения с командным сервером злоумышленников. Основное функциональное назначение вредоносной программы — мониторинг трафика с целью хищения приватных данных из приложений для добычи электронной криптовалюты Bitcoin и Litecoin. Также, в случае если на инфицированном компьютере установлен клиент платежной системы Bitcoin-Qt, Trojan.CoinThief модифицирует эту программу и похищает приватные данные непосредственно из нее. С помощью полученной информации злоумышленники могут выполнить несанкционированные транзакции электронной валюты с компьютера жертвы.

[студент]

Троян Win32/Corkow атакует клиентов российских банков

Антивирусная компания ESET предупредила об активизации банковского трояна Win32/Corkow, поражающего системы дистанционного банковского обслуживания. Атаки вредоносной программы направлены на пользователей из России и Украины, на них приходится 86% заражений.

География распространения банковского трояна Win32/Corkow

Win32/Corkow – комплексная вредоносная программа, предназначенная для хищения аутентификационных данных для онлайн-банкинга. Первые ее модификации появились в 2011 году, но, в отличие от широко известного трояна Carberp, Corkow до сих пор не стал настолько известным. Как показано на диаграмме, больше всего заражений приходится на Россию и Украину (73 и 13% соответственно). Неудивительно, что эти страны пострадали больше других, так как Win32/Corkow имеет российское происхождение. Троян содержит вредоносный модуль, нацеленный на компрометацию системы онлайн-банкинга iBank2, которая используется российскими банками и их клиентами.

Подобно другим банковским троянам, Win32/Corkow имеет модульную архитектуру. Это означает, что злоумышленники могут по мере необходимости расширять спектр его возможностей для хищения конфиденциальных данных. В арсенале Win32/Corkow есть также клавиатурный шпион, модуль для снятия скриншотов с рабочего стола, веб-инъекций и кражи данных веб-форм. Кроме того, троян поддерживает удаленный доступ к зараженному компьютеру и установку другой вредоносной программы для кражи паролей – Pony. Еще одна характерная особенность Corkow – ориентация на веб-сайты и соответствующее ПО, которое относится к виртуальной валюте Bitcoin, а также компьютеры разработчиков приложений для Android. Далее злоумышленники могут получить несанкционированный доступ к аккаунтам счетов Bitcoin скомпрометированных пользователей со всеми вытекающими последствиями.

[студент]

Вредоносные приложения из Google Play выкрадывают номер телефона в WhatsApp


Антивирусная лаборатория PandaLabs компании Panda Security обнаружила в Google Play вредоносные приложения, которые способны подписывать пользователей на сервисы дорогостоящих SMS без их разрешения. Эти новые угрозы к настоящему моменту уже способны были заразить не менее 300 000 пользователей, хотя количество скачиваний этих угроз могло достичь 1 200 000.

Такие приложения как Easy Hairdo (посвященное прическам), Abs Diets (посвящено диетам), Workout Routines (о фитнесе) и Cupcake Recipes (рецепты) являются одними из наиболее доступных для скачивания на Google Play. В случае с Abs Diets, например, после установки приложения и при согласии пользователя с условиями использования сервиса, происходит следующее: во-первых, приложение показывает набор советов по избавлению от жира в брюшной полости. Во-вторых, без ведома пользователя, приложение проверяет номер телефона мобильного устройства, подключается к веб-странице и подписывает жертву на сервис дорогостоящих SMS. При этом номер телефона «выкрадывается» из популярного приложения – WhatsApp. Как только пользователь открывает WhatsApp, вредоносное приложение получает номер телефона и сохраняет его как часть необходимых данных для синхронизации аккаунта.

Согласно данным с Google Play, данное приложение было скачено от 50 000 до 100 000 пользователями. Другие приложения работают точно также, поэтому с уверенностью можно сказать, что четыре вредоносных приложения могли заразить от 300 000 до 1 200 000 пользователей в целом. На данный момент эта четверка уже удалена из Google Play.

[студент]

GData обнаружила новый про-российский вредоносный код

Немецкая антивирусная компания G Data Security утверждает, что российские власти стоят за созданием нового вредоносного кода Uroburos. В G Data утверждают, что вредонос имеет российские корни, во-первых, из-за сложного кода, традиционного для про-российских кодов, во-вторых, здесь есть некоторые элементы исходников, которые прежде уже использовались российскими «госхакерами», а в-третьих, в исходном коде Uroburos есть комментарии на русском языке.

Антивирусная компания утверждает, что автор кода использует криптографические ключи и логику поведения, схожие с теми, что ранее использовались российскими вредоносными кодами. Кроме того, в процессе работы Uroburos ищет на целевых системах другое вредоносное ПО, имеющее российские про-государственные корни. «Было установлено, что Uroburus занимается поиском в системе кода Agent.BTZ и может работать с ним в паре», - говорят в G Data. Напомним, что Agent.BTZ представляет собой вредоносный код, созданный в 2008 году для атаки ИТ-систем Пентагона.

В четверг на этой неделе на конференции TrustyCon известный антивирусный специалист Микко Хиппонен из компании F-Secure, представил доклад, в котором заявил, что на сегодня в реальности немногие страны на государственном уровне финансируют создание вредоносного программного обеспечения, в том числе Россия и США. «Еще 10 лет назад такое казалось бы научной фантастикой», - говорит Хиппонен.

Наиболее известным «гос-вирусом» на сегодня считается Stuxnet, направленный на атаку иранских ядерных объектов. Считается, что за данным кодом стоит совместная группа программистов из США и Израиля, создавшая код на правительственные деньги.

Что касается Uroburos, то этот код представляет собой руткит из двух файлов. Он использует ряд технологий, затрудняющих его обнаружение в зараженной системе. Здесь присутствует специализированный драйвер и виртуальная файловая система, которые позволяют вредоносу исполнять удаленные команды оператора, скрывать системную активность на пораженном компьютере и выполнять другие действия. Кроме того, вредонос обладает довольно гибкой модульной архитектурой, которая позволяет добавлять и удалять модули под нужды конкретной кампании.

В G Data говорят, что Uroburos - это один из самых продвинутых руткитов, и хотя он берет свое начало еще в 2011 году, его код довольно сложен даже по нынешним меркам. Так, код попав на компьютер с интернет-подключением может по цепочке заражать компьютеры, которые не имеют такого подключения и проникать в изолированные системы. Помимо этого, код указывает на существование версий для 32- и 64-битных архитектур.

Также антивирусная компания отмечает, что пока она не завершила анализ кода и продолжает наблюдать за ситуацией.

[студент]

Банковский троян Corkow непрерывно развивается с 2011 года

Международная антивирусная компания Eset опубликовала результаты анализа банковского трояна Win32/Corkow, ориентированного на российские и украинские системы дистанционного банковского обслуживания.

Как сообщили в компании, Win32/Corkow предназначен для кражи конфиденциальных данных для онлайн-банкинга. Он находился в эксплуатации с 2011 года и продемонстрировал непрерывную активность в прошлом году. Экспертами обнаружены различные версии модулей Win32/Corkow, что указывает на непрерывный цикл его разработки. По данным вирусной лаборатории Eset, жертвами вредоносного ПО уже стали несколько тысяч пользователей в России и Украине.

Win32/Corkow распространяется наиболее типичным на сегодняшний день методом – скрытая установка с использованием разного рода программных уязвимостей (drive-by download).

Как и другие банковские трояны (Zeus, Carberp, Hesperbot, Qadars и др.), Win32/Corkow имеет модульную архитектуру. Он состоит из основного модуля и нескольких плагинов, каждый из которых отвечает за соответствующие возможности. Далее представлены некоторые модули, обнаруженные экспертами ESET в «препарированных» образцах Win32/Corkow:

· Core – основной компонент, отвечающий за внедрение других модулей. Поддерживает создание скриншотов, перечисление смарт-карт и блокировку запуска приложений;
· MON – собирает информацию о системе и отправляет ее на удаленный сервер злоумышленников;
· FG – реализует веб-инъекции и кражу данных веб-форм;
· KLG – кейлоггер;
· HVNC – позволяет атакующему удаленно подключаться к зараженному компьютеру;
· PG – используется для захвата аутентификационных данных;
· PONY – используется для кражи паролей от различных сервисов (детектируется антивирусными продуктами ESET NOD32 как Win32/PSW.Fareit).

Вышеперечисленные функции типичны для банковских троянов, но Win32/Corkow имеет и другие возможности. Он содержит специальные модули для компрометации приложений, которые используют корпоративные пользователи: сайтов и приложений банков и трейдинговых платформ, сайтов Bitcoin, средств разработки приложений Android. Это указывает на то, что злоумышленники концентрируют усилия на финансовых специалистах и компаниях, баланс банковских счетов которых превышает среднестатистический.

Помимо кражи данных, Win32/Corkow обладает возможностью уничтожать произвольные файлы на диске, а при поступлении соответствующей команды – удалять себя с зараженного компьютера, вызывая при этом серьезные повреждения операционной системы.

Win32/Corkow имеет модули, направленные на компрометацию некоторых банковских программ и сайтов, с поддержкой русского, украинского и английского языков. Особое внимание злоумышленники уделяют российским и украинским банкам, но помимо этого троян «интересуется» финансовыми учреждениями Швейцарии, Сингапура, Латвии, Литвы, Эстонии, Дании, Хорватии, Великобритании и Кипра.

[студент]

Firefox, Internet Explorer и Safari взломали в первый же день Pwn2Own 2014

На традиционном хакерском мероприятии Pwn2Own, проходящем в эти дни в канадском Ванкувере, как всегда, случается немало интересного. К примеру, в первый же день этого конвента обнаружены и обнародованы уязвимости в популярных программных продуктах – Apple Safari, Mozilla Firefox, Microsoft Internet Explorer, Adobe Flash и Adobe Reader. При этом призовые выплаты за выявленные “дыры” составили в обшей сложности $400 000, а большая часть этих денег ушла в закрома французской исследовательской фирмы VUPEN.

А Chrome не взломали

Именно специалистам VUPEN удалось обнаружить четыре уязвимости, одна из которых, например, связана с использованием освобожденной памяти при работе с Internet Explorer, а сама эта “дыра” может использоваться для запуска произвольного программного кода на атакуемой системе. Кроме того, определенные проблемы выявлены и в Adobe Reader, скажем, связанные с переполнением динамически распределяемой области, что опять же позволяет при некоторой сноровке осуществлять хакерские атаки. Остается верить, что те же Adobe и Microsoft не останутся равнодушными и быстро залатают указанные “дыры”.

[студент]

ESET раскрыла крупнейшую комплексную атаку на Linux-серверы и пользовательские устройства


Антивирусная компания ESET совместно с экспертной группой CERT-Bund и исследовательским центром SNIC раскрыла вредоносную киберкампанию «Операция Windigo». Атака направлена на веб-серверы под управлением Linux (свыше 60% рынка серверов) и пользовательские устройства на базе Windows, Mac OS X и iOS (iPhone). По словам специалистов, кампания не имеет аналогов с точки зрения сложности, возможностей инфраструктуры и масштаба заражения.

Распределение ОС пользователей, которые стали жертвами веб-сайтов, скомпрометированных Linux/Cdorked
Распределение ОС пользователей, которые стали жертвами веб-сайтов, скомпрометированных Linux/Cdorked

«Операция Windigo» - комплексная кампания, ориентированная на захват веб-серверов, заражение посещающих их компьютеров, генерацию спам-писем и кражу конфиденциальных данных. До открытия ESET специалисты обнаруживали лишь отдельные элементы «Операции Windigo», но истинный масштаб атаки и взаимосвязь вредоносных компонентов оставались недооцененными. За неполные три года киберпреступники установили контроль над рекордным числом веб-серверов – в общей сложности 25 000 машин.

За генерацию спама отвечает несколько вредоносных программ, которые обнаруживаются антивирусными продуктами ESET как Perl/Calfbot, Win32/Glupteba.M и Linux/Ebury. Генерировать спам могли как зараженные серверы (зараженные Perl/Calfbot и Linux/Ebury), так и рабочие станции (зараженные Win32/Glupteba.M).

Веб-сайты, которые обслуживаются зараженными Windigo серверами, перенаправляют пользователя на потенциально опасный контент в зависимости от установленной операционной системы. Так, компьютеры с Windows заражаются вредоносным ПО, использующим уязвимость в браузере или плагине к нему. Пользователь Mac OS X будет перенаправлен на сайт знакомств, а iOS (iPhone) – на страницу с порнографическим контентом.

[студент]

Количество DDOS-атак на государственные и коммерческие инфраструктурные институты за год выросло на 178%

Количество DDOS-атак на государственные и коммерческие инфраструктурные институты за последний год выросло на 178%. Тогда как в прежние годы их темпы роста не превышали в среднем 15%. При этом, общий объем потерь российской экономики от попыток незаконного электронного вмешательства за этот период времени превысил 1,3 трл. рублей. Такие данные были озвучены отраслевой ассоциацией НАИРИТ, совместно с ИСА РАН и Институтом социально экономической модернизации.

«В наше время изменилась парадигма ведения военных действий. Взамен традиционных средств на первый план выходит информационное и кибер оружие. Результаты его воздействия ощущались во время недавних революций на Ближнем востоке, видны сегодня на Украине и на ключевых российских объектах экономической инфраструктуры", говорит Ольга Ускова, президент НАИРИТ.

По ее словам, необходимо в срочном порядке принять меры по предотвращению подобного вмешательства в первую очередь за счет создания эффективных российских средств информационной инфраструктуры. "В России существует богатый опыт разработки и эксплуатации стратегических информационных систем, создания собственных технологий информационной безопасности. Этот опыт необходимо использовать в масштабах страны," - заявила Ускова.

[студент]

Google предупреждает о крупной хакерской атаке на новостные организации

Двадцать один из 25 крупнейших мировых поставщиков новостного контента являются целями крупномасштабной хакерской атаки, за которой стоит одно их государств. Об этом говорится в докладе специалистов Google по информационной безопасности.

Шейн Хантли, специалист по безопасности программного обеспечения Google, говорит, что атаки были инициированы хакерами работающими при поддержке властей или непосредственно на них. В рамках атаки атакующие рассылают целевые поддельные письма журналистам. Морган Маркис-Буа, со-автор отчета, говорит, что атака на информационные агентства происходит независимо от страны базирования агентства и тематической ориентации агентства.

Оба специалиста отказались раскрыть данные о том, как именно Google вышла на следы атаки, но они заявляют, что следы атаки ведут к хакерским группам, которые в прошлом уже были ассоциированы с так называемыеми госхакерами. Хантли говорит, что недавно Google начала рассылать предупреждения журналистам, если есть подозрения относительно того, что они стали объектом наблюдений и/или атак.

Отметим, что на прошлой неделе специалист по информационной безопасности Ашкан Солтани из компании Alexa (занимается веб-метрикой и принадлежит Amazon) в рамках собственного исследования сообщил, что 9 из 25 новостных организаций, использующих hosted-сервисы Google, стали объектами хакерских атак.

Достоверно неизвестно о какой именно группировке хакеров идет речь, однако ранее про-сирийская группа «Сирийская электронная армия» атаковала журналистов Forbes, the Financial Times и the New York Times. Кроме того, ранее появлялись данные о том, что хакеры из Китая атаковали крупные западные новостные организации.

[студент]

Турецкие провайдеры ломают работу DNS-сервисов Google и Level3

Google заявляет, что ее бесплатный DNS-сервис и его пользователи стали объектами перехвата данных со стороны большей части турецких провайдеров. Одновременно с этим в сети появилась информация о том, что доменные серверы компании Level 3, одного из крупнейших американских провайдеров, были взломаны.

Напомним, что вовлеченное в коррупционный скандал турецкое правительство начало блокировать общедоступные сетевые ресурсы с 21 марта. Вначале был закрыт доступ к Twitter, потом - к YouTube. Последний был заблокирован в прошлый четверг по соображениям национальной безопасности. Ранее на YouTube была размещена запись разговора министра иностранных дел Турции, руководителей службы разведки и представителей вооруженных сил Турции относительно деятельности соседней Сирии.

Отметим, что блокировка и Twitter и YouTube происходит на фоне проходящих в воскресенье национальных и муниципальных выборов в Турции.

В блоге Google инженер по программному обеспечению Google Стивен Карстенсен пишет, что «турецкие интернет-провайдеры настроили клиентские шлюзы таким образом, что они блокируют прохождение пакетов IP в адрес публичных DNS-серверов Google» и пользователи в Турции вынуждены использовать либо провайдерские DNS (где закрыт доступ к Twitter и YouTube), либо какие-то другие открытые DNS-серверы в сети.

Напомним, что Google ранее ввела в строй сервис Google Public DNS как бесплатное решение для всех пользователей, которые по тем или иным причинам не хотят или не могут пользоваться провайдерскими доменными серверами. Напомним, что доменные серверы отвечают за трансляцию названий сайтов в IP-адреса целевых серверов (и наоборот).

В воскресенье веб-мониторинговая компания Renesys также сообщила о том, что доменные серверы одного из крупнейших сетевых операторов США, компании Level 3, были скомпрометированы. По данным Renesys, национальный турецкий провайдер TurkTelecom нарушил работу DNS-серверов через BGP (Border Gateway Protocol). Организации и компании используют BGP-маршрутизацию для работы сетевого оборудования и маршрутизации больших объемов трафика в магистральных сетях. В TurkTelecom намеренно ввели поддельные BGP-данные для распространения некорректной информации о таблицах маршрутизации.

В Renesys говорят, что и Google Public DNS и Level 3 DNS были отравлены «ошибочной» BGP-маршрутизацией, причем таким образом, чтобы потребители в Турции перенаправлялись на доменные сервера TurkTelecom. По словам экспертов Renesys, данные действия почти наверняка носили скоординированный и намеренный характер.

[студент]

Разработчики троянца-шантажиста забыли удалить крипто-ключи

Вредоносная программа, шифрующая файлы на компьютере жертвы, до сих пор требовала от пользователей оплаты расшифровки файлов, однако в ней была найдена уязвимость: программа оставляет ключи для дешифрования на зараженном компьютере.

Компания Symantec проанализировала программу под названием CryptoDefence, появившуюся в прошлом месяце. Она является одним из членов семейства вредоносных программ, которые шифруют пользовательские файлы и не снимают блокировку до момента оплаты. В Symantec говорят, что данный вид шантажа очень давно известен в ИТ-отрасли, однако, он, судя по всему, еще работает.

CryptoDefence использует инфраструктуру Microsoft и Windows API для генерации шифровой последовательности и шифрования/дешифрования данных. Шифруются файлы при помощи RSA-ключей с длиной последовательности 2048 бит. Здесь применяются закрытые ключи, необходимые для дешифрования контента и отправки его на сервер атакующего, чтобы вернуть их клиенту, когда тот выплатит требуемую сумму.

Однако авторы вредоноса неверно реализовали алгоритм шифрования и не учли или не знали, что частный ключ по умолчанию сохраняется на компьютере пользователя в папке, откуда целевой файл вызывал соответствующие системные функции. «Авторы атаки оставляли ключи от шифров на компьютере пользователей, что позволяло пользователям без каких-либо платежей самим расшифровать зашифрованные вредоносом данные», - говорят в Symantec.

Между тем, авторы атаки требовали от своих жертв сумму в 500 долларов или евро за расшифровку, причем если жертва не выплачивала их течение 4 дней, то на 5-й день сумма требований удваивалась. Согласно оценкам Symantec, организаторы кампании заработали шантажем не менее 34 000 долларов в месяц. Судя по данным срабатывания антивирусного софта Symantec, CryptoDefence заразил около 11 000 хостов в более чем 100 странах. Большая часть заражений пришлась на США, Великобританию, Канаду, Австралию, Японию, Индию, Италию и Нидерланды.

[студент]

Власти Израиля приготовились к "огромной атаке" хакеров

Опасаясь кибератак палестинских активистов, Израиль временно блокирует международный трафик к своим международным сайтам, а также блокирует на них системы поиска данных. Заблокировав внешний трафик, Израиль надеется ограничить возможности кибер-активистов по выводу официальных сайтов из строя. Сегодня же правительственные работники получили email-инструкции относительного того, как им следует вести себя за пределами страны.

Блокировка сайтов и инструкции для госслужащих действительны на протяжении выходных.

Помимо этого, меры безопасности включают в себя фильтрацию трафика таким образом, чтобы пользователи платежных систем, работающих в интернете, могли платить за товары и услуги, но платежи проводились только в понедельник.

Израильский новостной сайт Walla сообщает, что меры предосторожности были предприняты на фоне «готовящейся огромной атаки», за которой стоят про-палестински настроенные хакеры. Также Walla отмечает, что еще в среду ИТ-администраторы израильских госсайтов провели аудит систем и повысили меры по защите данных.

[студент]

40 000 долл/нед зарабатывали авторы фальшивого антивируса

Эксперты вирусной лаборатории Eset предупредили о всплеске активности мошенников, распространяющих поддельное ПО под видом Android-приложений, и объясняют, как распознать фальшивку.

28 марта на Google Play появился «антивирус» Virus Shield стоимостью $3,99 от разработчика Deviant Art. Приложение предлагало «предотвращение установки вредоносных программ и защиту персональных данных». Всего за неделю Virus Shield стал лидером продаж среди новинок и достиг третьей строки в рейтинге лучших платных приложений, получив 4,7 из 5 баллов и больше 3 000 рекомендаций в Google+.

В действительности Virus Shield не выполнял ни единой функции, кроме смены иконки. Положительные отзывы и высокие оценки оказались подделкой, но их было достаточно, чтобы обеспечить спрос на приложение. Всего за неделю жертвами мошенников стали более 10 000 пользователей, скачавших фальшивый антивирус.

«Насколько мне известно, Google Play не проверяет антивирусные продукты на предмет полезности, этот вид ПО вообще сложно протестировать, – комментирует Арье Горецки, исследователь Eset. – Площадку интересует только вредоносная активность. Virus Shield по понятным причинам таковой не показал, поэтому и появился в магазине приложений».

Virus Shield уже удален с Google Play, но эксперты прогнозируют появление новых фальшивых приложений и вредоносного ПО. «Поддельные антивирусные программы создают немало проблем пользователям Windows, несколько лет назад мы детектировали и подделки для OS X. Неудивительно, что сегодня, с широким распространением Android, мошенники переориентировались на эту платформу», – объясняет Горецки.

[студент]

«Яндекс» нашел киберугрозу на сайте «Российской газеты»

Российский интернет-поисковик «Яндекс» выявил вредоносный код на сайте «Российской газеты» и предупреждает пользователей об угрозе непосредственно под ссылками на онлайн-материалы издания.

«Сайт Российская газета может быть опасен для вашего компьютера. «Яндекс» обнаружил на этом сайте вредоносный программный код, который может заразить ваш компьютер вирусом или получить доступ к вашей личной информации», — говорится в тексте предупреждения об угрозе. Исходя из сообщения, код может быть опасен как для персональных компьютеров, так и для мобильных устройств.

В пресс-службе «Яндекса» подтвердили, что поисковик нашел вредоносный код на сайте газеты.

«Мы уведомили представителей сайта газеты rg.ru по всем представленным на сайте адресам еще 16 апреля, но пока не получили ответа. Как только вредоносный код будет удален, уведомление о том, что сайт может представлять угрозу, пропадет из поисковой выдачи «Яндекса» и при переходе на сайт из «Яндекс.Браузера», — пояснили «Ленте.ру» в компании.

Представители «Российской газеты» на момент публикации не прокомментировали ситуацию.

Это уже не первый инцидент с выявлением киберугроз на новостных ресурсах. Так, в декабре прошлого года «Яндекс» обнаружил вредоносный код на одной из страниц сайта Regnum. Также в декабре браузер Google Chrome в течение двух дней демонстрировал предупреждения о наличии вредоносного ПО на сайте РИА Новости, однако представители агентства эту информацию отрицают.

[студент]

Троянцы показывают рекламу пользователям Mac OS X


Вредоносные программы, созданные злоумышленниками с целью обогащения за счет демонстрации пользователям Интернета назойливой рекламы, имеют чрезвычайно широкое распространение, однако до недавнего времени они досаждали, в основном, пользователям ОС Windows. Именно поэтому несколько троянцев, исследование которых недавно провели вирусные аналитики компании «Доктор Веб», выглядят весьма необычно на фоне других аналогичных приложений, поскольку заражают компьютеры, работающие под управлением Mac OS X.

Несколько пользователей Mac OS X опубликовали на официальном форуме компании Apple жалобы на навязчивую рекламу, которая демонстрируется в окне браузеров Safari и Google Chrome при просмотре различных веб-ресурсов. Источником проблем оказались вредоносные надстройки (плагины), которые устанавливаются в систему при посещении определенных сайтов. Плагины распространяются в комплекте с легитимными приложениями, способными выполнять на компьютере некоторые полезные функции.

Одна из таких программ носит наименование Downlite и распространяется с сайта популярного торрент-трекера: нажав на кнопку Download, пользователь перенаправляется на другой интернет-ресурс, с которого загружается само приложение, при этом перенаправление осуществляется таргетированно: пользователям Apple-совместимых компьютеров отдается файл StartDownload_oREeab.dmg — установщик Downlite, пользователи других операционных систем могут быть перенаправлены на иные сайты. После загрузки файла начинается установка приложения Downlite.app.

Данный установщик (Антивирус Dr.Web идентифицирует его как Trojan.Downlite.1) обладает любопытной особенностью: он устанавливает легитимное приложение DlLite.app и несколько надстроек к браузеру, при этом в процессе установки запрашивается пароль пользователя Mac OS X, и, если он является администратором системы, приложения устанавливаются в корневую папку. Для работы DlLite.app на компьютере требуется наличие Java, однако вредоносные плагины написаны на языке Objective-C и благополучно запускаются при открытии окна браузера. Также в систему устанавливается приложение dev.Jack, предназначенное для контроля над браузерами Mozilla Firefox, Google Chrome, Safari и детектируемое антивирусным ПО Dr.Web как Trojan.Downlite.2.

Кроме того, рекламные плагины распространяются вместе с другими приложениями (MacVideoTunes, MediaCenter_XBMC, Popcorn-Time, VideoPlayer_MPlayerX). Одним из таких приложений является, например, MoviePlayer (MacVideoTunes): на первом этапе его установки пользователю предлагается запустить программу-инсталлятор без цифровой подписи. Затем — установить некий «оптимизатор», при этом пользователь лишен возможности сбросить соответствующий флажок, чтобы отказаться от инсталляции приложения. Данный установщик, детектируемый Антивирусом Dr.Web как Trojan.Vsearch.8, с точки зрения своего функционала очень похож на Trojan.Downlite.1, однако вместо программы dev.Jack он дополнительно устанавливает на компьютер приложение takeOverSearchAssetsMac.app (Trojan.Conduit.1).

[студент]

Доля спама в мировом почтовом трафике в марте составила 63,5%

Доля спама в мировом почтовом трафике в марте снизилась на 6,4% и в итоге составила 63,5%. Также по сравнению с февралем в начале весны уменьшился поток так называемого праздничного спама – рекламных сообщений, эксплуатирующих тематику актуальных для текущего сезона праздников. К таким выводам пришли эксперты «Лаборатории Касперского» в ходе традиционного ежемесячного анализа.

В течение первого весеннего месяца широкое распространение в Сети получили рекламные рассылки с предложениями выучить иностранные языки при помощи разнообразных авторских методик. Подобный спам пестрел сообщениями о возможности выучить любой язык по Skype, узнать секреты уникального метода самостоятельного обучения, а также предложениями от конкретных языковых школ и учебных центров.

Помимо этого, заметный след в мартовском почтовом трафике оставили сообщения, в которых спамеры предлагали оптимизировать расходы на телефонную связь. Большая часть таких писем была адресована крупным и средним компаниям. Однако домашних пользователей спамеры также не обошли вниманием: в частности, авторы некоторых рассылок дополнительно предлагали улучшить качество мобильной связи и мобильного Интернета в квартире или на даче.

Немало вредоносных вложений в марте распространялось от имени различных известных финансовых организаций, деятельность которых связана с налоговыми сборами. Подобные письма приходили к пользователям под видом платежных извещений от налогового органа и требованием оплатить налог или указать в декларации незаявленные ранее доходы. Чтобы узнать подробности, получателю сообщения предлагалось открыть приложенный отчет или заполнить полученную во вложении форму документа. На самом деле архивированные файлы содержали зловредов, в частности троянцев, крадущих конфиденциальные данные пользователей или скачивающих и запускающих на компьютере вредоносные программы.

Среди регионов лидером по распространению спама неизменно остается Азия. Более того, в марте ее позиции укрепились: эта часть света увеличила свою долю на 4% и в итоге оказалась ответственна за 58% мирового спама. Азиатский след доминирует и в рейтинге стран-источников нежелательных сообщений. По сравнению с февралем тройка лидеров не изменилась, и первое место все так же занимает Китай с долей 24,6%, на втором месте располагаются США с показателем 17%, а на третьем оказалась Южная Корея, откуда было разослано 13,6% мирового спама.

Что касается источников спама в Рунете, то здесь картина несколько иная, однако она также не меняется на протяжении многих месяцев. Лидером по количеству нежелательных сообщений, разосланных пользователям в марте, все также остается Россия, чья доля хоть и сократилась на 2,5%, но составила абсолютный максимум месяца – 17,3%. Второе место занимает Тайвань – за первый весенний месяц доля спама, разосланного в Рунете из этой страны, выросла на 1,7% и составила в итоге 13,2%. Третье же место снова досталось Индии с ее показателем 11%.

«Спамеры делают все возможное для того, чтобы заставить пользователя отреагировать на их письмо и открыть вложение или пройти по ссылке, которые запросто могут быть вредоносными. Количество атак на финансовый сектор заметно увеличилось за прошедший год. Это связано с тем, что все больше людей пользуются интернет-банкингом, совершая финансовые транзакции не только с ноутбуков, но и других цифровых устройств. Таким образом, риск стать жертвой злоумышленников сегодня весьма высок», – рассказывает Татьяна Щербакова, старший спам-аналитик «Лаборатории Касперского».

[студент]

За год число Bitcoin-атак удвоилось



Ежемесячные доли типов финансового вредоносного ПО, используемого в атаках на пользователей

Распространение вредоносных программ для добычи криптовалюты Bitcoin обманным путем стало одним из факторов роста числа финансовых атак. Об этом свидетельствует проведенное «Лабораторией Касперского» исследование, направленное на оценку темпов развития финансовых киберугроз. За год число атак с целью завладеть Bitcoin выросло более чем в два с половиной раза и составило 8,3 миллиона инцидентов.

Криптовалюта Bitcoin была создана для анонимных платежей в Интернете и обрела значительную популярность в последние годы. Ее курс в начале 2013 года был на отметке 13,6 доллара, а к декабрю превысил 1200 долларов. Это не могло не привлечь внимание злоумышленников, которым порой, если владелец валюты хранит свой «кошелек» в незашифрованном виде на диске, не нужно прибегать к особым ухищрениям: для кражи счета достаточно скопировать всего лишь один файл.

Программы, применяемые преступниками для получения Bitcoin, можно разделить на две категории: для кражи файла-кошелька и для тайной установки на зараженном компьютере приложений для выработки Bitcoin. В абсолютном исчислении на воровство Bitcoin-кошельков в 2013 году пришлось примерно вдвое больше атак, однако инструменты для организации скрытой добычи валюты демонстрировали более активные темпы роста.

«В течение 2013 года курс Bitcoin вырос более чем в 85 раз, и это, конечно, привлекло внимание многих злоумышленников. В результате к концу года число пользователей, атакованных с помощью ПО, нацеленного на Bitcoin, стало приближаться к показателю банковских киберугроз. Держателям криптовалют следует быть особенно осторожными, ведь в случае кражи им практически невозможно вернуть потерянные средства. Это плата за то, что Bitcoin работает без какого-либо регулирования со стороны властей», – прокомментировал Сергей Ложкин, антивирусный эксперт «Лаборатории Касперского».

[студент]

Злоумышленники распространяют Android-троянца под видом «сервиса Avito.ru»

Рассылку злоумышленниками SMS-спама под видом сообщений от сервиса бесплатных объявлений Avito.ru обнаружили эксперты компании «Доктор Веб». Таким образом, мошенники распространяли Android-троянца, который давал им доступ к данным мобильного устройства пользователя, говорится в сообщении компании.

Пользователь-жертва получает SMS-сообщение об отклике на размещенное ранее объявление. Таким образом, целевой аудиторией данной атаки в большей степени являлись настоящие клиенты сервиса, которые действительно ожидали ответа на свое объявление. Для ознакомления с откликом предлагается перейти по ссылке. После этого вместо ожидаемой веб-страницы сервиса пользователи попадали на мошеннический сайт, с которого происходила загрузка троянца Android.SmsSpy.88.origin, представляющего собой SMS-бота.

После установки и запуска троянская программа запрашивает у пользователя доступ к функциям администратора мобильного устройства, затем удаляет свою иконку с главного экрана операционной системы. Далее при помощи SMS-сообщения троянец передает злоумышленникам ряд общих данных о зараженном мобильном устройстве: название, производителя, IMEI-идентификатор, сведения об операторе, а также об используемой версии операционной системы. Затем вредоносная программа соединяется с удаленным сервером и ждет от него поступления команд, среди которых могут быть указания на запуск или остановку сервиса по перехвату входящих SMS, отправку коротких сообщений с заданным текстом на указанный номер, осуществление вызовов, а также рассылку SMS-сообщений по всем имеющимся в телефонной книге контактам.

Злоумышленники также могут управлять троянцем при помощи SMS-сообщений. В таком виде Android.SmsSpy.88.origin способен принимать команды на отправку SMS с заданными параметрами и на включение или отключение безусловной переадресации для всех входящих телефонных звонков. Последняя функция выделяет троянца среди подобных программ.

Способность вредоносной программы выполнить переадресацию вызовов на заданный злоумышленниками номер позволяет им установить контроль над всеми поступающими звонками, полагают эксперты. На практике это дает киберпреступникам возможность не только получить доступ к различной конфиденциальной информации, но также в некоторых случаях осуществить целый ряд мошеннических действий.

[студент]

Услуги хакеров в России подешевели

Чаще всего злоумышленники предпочитают взламывать аккаунты пользователей в социальных сетях и электронной почте

Цены на услуги хакеров для взлома аккаунтов в социальных сетях и электронной почте в России снизились практически в два раза с 2011 года по 2013 год. О этом сообщили «Ленте.ру» в компании Trend Micro, специализирующейся на информационной безопасности. Как говорят в компании, подобные услуги широко представлены на российском хакерском рынке.

Сколько стоит взломать «ВКонтакте»

По данным экспертов Trend Micro, в 2011 году цена на взлом аккаунта в социальной сети Facebook составляла в России около 200 долларов, тогда как в 2013 году она снизилась до 100 долларов за один аккаунт. За взлом аккаунта в «ВКонтакте» в 2011 году готовы были платить 120-140 долларов против 76 долларов в прошлом году. Что интересно, стоимость взлома аккаунта в «Одноклассниках» за два года не изменилась и составила 94 доллара.

Цены на взломы аккаунтов электронной почты несколько ниже: так, взломать электронный ящик Gmail стоило в 2013 году 100 долларов против 117 долларов два года назад, взлом ящика в почте Mail.Ru и «Яндексе» обошелся бы в прошлом году всего в 50 долларов.

Для взлома аккаунтов российские киберпреступники предпочитают использовать простые способы: подбор пароля с помощью автоматических программ, таких как Brutus или Hydra, либо подбор ответа на «секретный» вопрос аккаунта с помощью социальной инженерии.

По данным экспертов Trend Micro, цены на продукты и услуги на российском рынке киберпреступности падают на протяжении последних лет по причине автоматизации услуг, однако на эксклюзивные продукты и услуги остаются высокими благодаря требованию экспертных знаний и специальных навыков у разработчиков. Услуги хакеров, связанные с обработкой сетевого трафика, являются наиболее востребованными на российском рынке, спрос удерживает высокие цены на них.

Как запустить «червя»

Среди продуктов, цены на которые снизились за два года, особенно выделяются троянские программы и сплойты (встроенный код, использующий уязвимости легальных программ, копии которых загружают пользователи). Трояны — программное обеспечение, распространяемое под видом легальных программ или приложений, можно использовать для кражи пользовательских данных или в качестве «клавиатурных шпионов», которые отслеживают нажатие кнопок на клавиатуре компьютера жертвы атаки. С их помощью злоумышленники крадут пароли ICQ, списки контактов, конфиденциальные документы и номера банковских счетов, которые затем используют или продают.

Цены на популярные троянские программы ZeuS и SpyEye еще в 2011 году составляли 120 долларов и 500 долларов соответственно, тогда как в 2013 году их можно было скачать совершенно бесплатно. То же касается и сплойтов: если в 2011 году покупателю пришлось бы заплатить за них от 700 до 1000 долларов, то в прошлом году получить сплойт можно было также бесплатно.

Согласно отчету компании Trend Micro Russian Underground Revisited, имеющемуся в распоряжении «Ленты.ру», российский рынок киберпреступности, который появился в 2004 году, был первым, на котором была организована торговля вредоносным кодом. Наиболее популярными ресурсами на рынке вредоносных программ в России являются площадки verified.su и ploy.org, насчитывающие как минимум 20 тысяч зарегистрированных пользователей. В целях безопасности на этих форумах покупатели и продавцы вредоносного кода используют третьих лиц, которые тестируют предлагаемые продукты и услуги, а также проверяют платежеспособность покупателей. За свои услуги эти посредники получают от двух до 15 процентов от суммы сделки.

К продуктам на рынке киберпреступности также относятся криптеры, которые с использованием «заглушек» скрывают зараженные файлы или вредоносное программное обеспечение от программ информационной безопасности. Цена на простые криптеры на российском рынке за два года снизилась в три раза — с 30-80 долларов до 10-30 долларов. Более сложные криптеры стоят несколько дороже, хотя их цена также снизилась — со 100 долларов в 2011 году до 65 долларов в 2013 году.

Спам на любой кошелек

Услуги хостинга выделенного сервера входят в число самых востребованных услуг на российском рынке киберпреступности. Выделенный сервер может использоваться злоумышленниками для различных целей, например для создания сервера централизованного управления зараженными компьютерами или для размещения вредоносных файлов. Хостинг серверов от начального уровня до высокопроизводительных в ценах 2011 года: 160-450 долларов в зависимости от вида, в ценах 2013 года: 50-190 долларов.

В целом цены на услуги, представленные на российском рынке хакеров, такие как хостинг прокси-сервера (прокси-сервер используется как промежуточный компьютер — посредник между компьютером и интернетом, применяется для обеспечения анонимности хакера) и хостинг VPN-сервера (расшифровывает весь входящий и исходящий трафик компьютера) за два года изменились незначительно.

Стоимость массового распространения сообщений с помощью электронной почты, службы мгновенных сообщений, социальных сетей или SMS (спам) зависит от способа, которым он рассылается. Так, самый дорогой способ спам-рассылок — через SMS-сообщения, хотя и на него цена упала в 6 раз: с 600 долларов за 10 тысяч сообщений в 2011 году до 100 долларов в прошлом году. А самый недорогим является способ рассылки спама, когда злоумышленники используют публичные базы данных адресов электронной почты: в прошлом году за 10 тысяч сообщений такой рассылки просили всего 4,5 доллара.

Единственные услуги на рынке киберпреступности, которые со временем не становятся дешевле, это атаки типа «распределенный отказ в обслуживании» (Distributed Denial-of-service ,DDoS): используя специально созданных ботов или бот-сети, DDoS-атаки парализуют работу сайтов или компьютеров . В 2011 году за 1 час DDoS-атаки хакеры просили 4-10 долларов, тогда как в прошлом году 1 час атаки уже стоил 2-60 долларов. Подорожали и 24-часовые атаки: 13-200 долларов в прошлом году против 30-70 долларов в 2011 году.

Цена наиболее часто используемой технологии при DDoS-атаках для вывода из строя сервера — технология создания увеличенного трафика (так называемый флудинг) — в 2011 году составляла около 30 долларов за 10 тысяч сообщений по электронной почте, тогда как в 2013 году снизилась в 15 раз до 2 долларов за 10 тысяч сообщений. Однако в качестве флудинга могут предлагаться также назойливые звонки по телефону или SMS-сообщения, но тут стоимость не сильно изменилась. За звонки по проводному телефону два года назад требовали 32 доллара, а в прошлом году — 25 долларов; за одну тысячу SMS-сообщений — 15 долларов в 2011 году и 8 долларов — в 2013 году.

[студент]

Новый Android-вредонос распространяется посредством SMS

Антивирусная компания Eset сообщила об обнаружении нового вредоносного программного обеспечения, ориентированного на русскоязычных Android-пользователей. Программа злоупотребляет доступом к адресной книге и пытается заразить другие устройства. Новый вредонос получил название Android/Samsapo.A.

В его функционал входит возможность загрузки на целевое устройство других вредоносных файлов, кража личных данных из устройства и блокировка телефонных звонков. Вредонос скачивает данные с сервера, расположенного на домене, зарегистрированном неделю назад.

Samsapo распространяется путем рассылки сообщений с зараженных устройств через адресную книгу новых жертв, что роднит вредонос с сетевыми червями. Текстовое соглашение гласит: «Это ваше фото?» и содержит ссылку на apk-приложение с червем внутри. В Eset говорят, что в прошлом такая же техника применялась при распространении windows-червей.

Внутри APK находится системная утилита com.android.tools.system v1.0. Программа не имеет графического интерфейса или иконки в приложениях. В Eset говорят, что сама по себе система Android предупреждает пользователя о загрузке с недоверенного источника.

[студент]

Сетевые мошенники блокируют устройства на базе iOS

Несмотря на то, что работающие под управлением iOS устройства считаются защищенными от всевозможных угроз, киберпреступники все же проявляют к этой операционной системе определенный интерес. В марте и апреле специалисты компании «Доктор Веб» проанализировали троянцев, угрожавших владельцам взломанных смартфонов и планшетов под управлением iOS, а в начале мая участились случаи мошенничества, направленного против пользователей мобильных устройств производства компании Apple.

Киберпреступники реализуют все новые и новые мошеннические схемы, позволяющие им наживаться за счет ничего не подозревающих жертв, при этом все чаще в их поле зрения попадают пользователи устройств, работающих под управлением операционной системы Apple iOS.

Так, в последнее время участились случаи мошенничества в отношении пользователей iOS, реализуемого без применения каких-либо вредоносных программ. Для достижения своих целей злоумышленники используют исключительно методы социальной инженерии, а именно – неистребимую тягу некоторых людей ко всему бесплатному в сочетании с технической неосведомленностью. В основе данного вида мошенничества лежит принцип работы мобильных устройств под управлением iOS с различными сервисами Apple, в частности, App Store, iCloud и iTunes. Одна из особенностей взаимодействия iPhone и iPad с этими сервисами заключается в том, что на каждом устройстве Apple имеется собственная учетная запись пользователя, называемая Apple ID, с помощью которой осуществляется доступ ко всем сервисам и службам данной компании. Все платные приложения, музыка, видео и игры, приобретенные владельцем учетной записи Apple ID, остаются «привязанными» к этой учетной записи и доступны с любого Apple-совместимого устройства после ввода соответствующего логина и пароля. На различных форумах и в социальных сетях уже давно распространена своеобразная «услуга», в рамках которой всем желающим за небольшую абонентскую плату предлагался доступ к учетной записи Apple ID с возможностью воспользоваться большим количеством платных игр, программ и музыки, поэтому предложения из серии «Apple ID в аренду» не вызывают особого удивления у владельцев «яблочных» устройств. Однако они не учитывают то обстоятельство, что среди возможностей, доступных владельцу учетной записи Apple ID, имеется появившаяся в iOS 7 функция Activation Lock, работающая в связке с сервисом Find My iPhone. С ее помощью можно заблокировать iPhone или iPad, и разблокировать его будет невозможно без ввода пароля учетной записи Apple ID.

Этим и пользуются мошенники, выискивая в Интернете неискушенных пользователей iOS, как правило — детей или подростков. Злоумышленники предлагают им воспользоваться чужой учетной записью Apple ID с доступом к сервисам App Store и iTunes, на которых якобы имеется большое количество заранее приобретенных приложений и игр. Таким образом, перед потенциальной жертвой якобы открывается возможность запускать коммерческие игры, просматривать фильмы и музыку без необходимости тратить на это деньги. Как только жертва подключается к предоставленной злоумышленниками учетной записи Apple ID (в этот момент в свойствах учетной записи появляется новое «привязанное» устройство), мошенники незамедлительно меняют пароль данного аккаунта и блокируют мобильное устройство жертвы с одновременной отправкой ей требования заплатить некоторую сумму за разблокировку.

У пользователей предыдущих версий iOS была возможность обойти блокировку устройства, обновив прошивку. Однако начиная с версии iOS 7 разработчики операционной системы изменили механизм обновления и перепрошивки: теперь информация о том, что телефон заблокирован как утерянный, хранится на серверах Apple, и для установки новой прошивки требуется в обязательном порядке ввести аутентификационные данные Apple ID. Безусловно, для «забывчивых» пользователей разработчики iOS 7 предусмотрели возможность сбросить блокировку и без ввода пароля, однако для этого владельцу устройства следует обратиться в службу технической поддержки Apple, предъявить чек, выданный магазином при покупке устройства, и документ, подтверждающий личность пользователя сервисов компании. В случае мошеннической блокировки iPhone или iPad это может вызвать определенные сложности.

[студент]

IBM выводит новые сервисы против APT-атак

IBM развивает свое предложение в области ИТ-защиты коммерческих клиентов по всему миру, представляя новый интеллектуальный сервис для превентивного выявления хакерской активности. «Потребность в том, чтобы безопасность стала частью общей стратегии, является естественной», - говорит вице-президент IBM по безопасности Марк ван Заделхофф.

По его словам, бизнес ИТ-безопасности стал одним из приоритетов для IBM около двух лет назад. Тогда же IBM начала проводить активную политику слияний и поглощений в этом направлении. Сейчас на этот бизнес в корпорации выделяют «существенные ресурсы».

В понедельник IBM анонсировала новые сервисы Threat Protection System и Critical Data Protection Programm. В IBM говорят, что за последние пару лет хакерские группы по всему миру начали активно реализовывать так называемые APT-атаки, представляющие собой целевые направления с кастомизированным вредоносным софтом. Обычные средства безопасности против таких атак работают слабо, поэтому ИТ-компании по всему миру почти одновременно заговорили о необходимости вывода на рынок нового класса средств защиты, работающих более интеллектуально, нежели традиционные сигнатурные антивирусы и межсетевые экраны.

В IBM говорят, что оба новых сервиса доступны для корпоративных клиентов на условиях подписки и обеспечивают защиту данных по всему сетевому периметру. В них используются некоторые защитные техники, такие как «листы наблюдений», анализ поведения данных в сети и другие.