Новые вирусные угрозы

[satvitek]

Футбольных фанатов атакуют рекламные троянцы

В преддверии чемпионата Европы по футболу, стартующего в эту пятницу, компания Avast провела исследование, которое показало, что большинство футбольных приложений не является безопасным для пользователей.
Исследователи Avast выяснили, что футбольные приложения — аналоги популярной игры FIFA, доступные в Google Play Store — представляют опасность для пользователей. Исследование проводилось на базе четырех футбольных приложений — Football 2016, Football 2015 и двух версий Soccer 2016. Скорее всего, все они были созданы одним разработчиком, хотя ссылок на его сайт приложение не предоставляет.

При первом запуске игры необходимо согласиться с политикой конфиденциальности и рекламных материалов Airpush, Inc — а это значит, что программа автоматически начинает собирать информацию о пользователе — его ID, IP адрес, список приложений в телефоне, точную геолокацию, историю просмотров в браузере и даже email адрес. Также это позволяет Airpush, Inc ассоциировать ID пользователя в Google advertiser с другими данными, которые он собирает с телефона — включая постоянные идентификаторы устройства и персональную идентификационную информацию.

Скрытый текст

Кроме того, все приложения изобилуют всплывающей рекламой. В Football 2016-2015, например, есть реклама, которая обманным путем подталкивает пользователя установить потенциально вредоносные программы. Во время игры в Football 2016-2015 одно из всплывающих окон извещает геймера о том, что на телефоне обнаружено 13 вирусов и, если в ближайшие минуты ничего не предпринять, то вирусы повредят сим-карту. Далее система предлагает установить 360 Security и удалить вирусы, после чего переводит пользователя в Google Play. Самое интересное, что в Google Play предлагается установить не антивирус, а продукт Clean Up для очищения кеша, который не имеет никакого отношения к удалению вирусов. Этот классический трюк социальной инженерии часто используется для того, чтобы обманным путем убедить людей установить программное обеспечение. Представители Avast уже связались по этому поводу с 360 Security и Google.

[свернуть]

[satvitek]

Трояны научились обходить защиту Android 6.0

С выходом Android 5.0 Lollipop и Android 6.0 Marshmallow компания Google отказалась от getRunningTasks() API, позволяющего определять открытые приложения.

Однако на долго злоумышленников это не остановило. Хакеры выпустили новые версии банковских троянов Bankosy и Cepsohord, которые используют два способа обхода механизмов защиты последних версий Android.
Первый способ позволяет определить запущенную задачу, используя представленный в Android 5.0 интерфейс программирования приложений UsageStatsManager. С помощью этого API вредоносное ПО получает статистические данные об открытых приложениях за последние две секунды и вычисляет самую последнюю активность.
Второй способ заключается в использовании опубликованного на GitHub популярного проекта с исходным кодом для определения открытого на устройстве приложения. Сам по себе он не является вредоносным, однако злоумышленники используют его в преступных целях. Проект позволяет читать данные файловой системы "/proc/" для вычисления запущенных процессов и определения открытого приложения. Как сообщают эксперты Symantec, данный способ не будет работать с выходом следующей версии ОС от Google, известной как Android N.

[satvitek]

«Доктор Веб» предупреждает: бестелесный троянец Kovter прячется в реестре

Среди современных вредоносных программ имеется особая категория троянцев, которых специалисты по информационной безопасности называют «бестелесными».
Они действительно не присутствуют на инфицированном компьютере в виде отдельного файла, а работают непосредственно в оперативной памяти, используя для своего хранения различные контейнеры, например, системный реестр Windows.

Trojan.Kovter распространяется с помощью другого троянца — Trojan.MulDrop6.42771, специально созданного для установки на атакуемые компьютеры вредоносных приложений. Такая связка детектируется Антивирусом Dr.Web под именем Trojan.Kovter.297. Обычно он запускается троянцем-носителем, но обладает и собственным механизмом автозапуска. Эта вредоносная программа создает в системном реестре несколько записей: одна содержит само тело троянца в зашифрованном виде, вторая — скрипт для его расшифровки и загрузки в память компьютера. Имена этих записей включают специальные нечитаемые символы, поэтому стандартная программа regedit не может их показать.

Фактически Trojan.Kovter работает в оперативной памяти инфицированного компьютера, не сохраняя собственную копию на диске в виде отдельного файла, что в определенной степени затрудняет его поиск и удаление. С точки зрения вредоносных функций Trojan.Kovter можно отнести к категории рекламных троянцев — он незаметно для пользователя запускает в фоновом режиме несколько экземпляров браузера Microsoft Internet Explorer, «посещает» с их помощью указанные злоумышленниками сайты и накручивает количество просмотров рекламы, нажимая на рекламные ссылки и баннеры. Таким образом злоумышленники получают прибыль от организаторов партнерских программ и рекламодателей, размещающих рекламу с оплатой за нажатия и переходы.

[satvitek]

Новый троян ворует учетные записи пользователей «ВКонтакте»

В Сети появилось новое вредоносное приложение, которое ворует логины и пароли пользователей соцсети «ВКонтакте».

Специалисты по безопасности компании «Доктор Веб» обнаружили его в Google Play, сообщает CNews.

Троян Android.PWS.Vk.3 скрыт в приложении «Музыка ВК», разработчика MixHard, которое распространяется через каталог Google Play. Приложение представляет собой полноценный аудиоплеер, через который можно прослушивать музыку, размещенную в соцсети. Чтобы получить доступ к аудиоплееру пользователи должны войти под своей учетной записью во «ВКонтакте».

После этого все полученные данные отправляются на управляющий сервер, и злоумышленники получают доступ к учетным записям пользователей. Авторы трояна уже пытались продать полученную информацию на «темных» рынках. Вирусные аналитики компании сообщили Google о распространении опасного приложения.

[satvitek]

Все хакеры делают это


Почему секс-скандал с разработчиком Tor угрожает всем любителям анонимности

В начале июня руководство анонимной сети Tor отказалось от сотрудничества с легендой хакерского сообщества Джейкобом Эпплбаумом из-за анонимных обвинений в сексуальных домогательствах. Интимная жизнь одного из самых известных в мире специалистов по безопасности и раньше вызывала немало вопросов, но на этот раз в Tor посчитали, что секс-скандал серьезно ударит по репутации проекта. Сам Джейкоб отрицает все обвинения и утверждает, что против него ведется спланированная кампания. «Лента.ру» вспомнила подробности биографии Эпплбаума и выяснила, как его уход скажется на работе анонимной сети.

Сын лунатиков

В биографии Эпплбаума немало странностей, косвенно указывающих на возможные психические отклонения. Сам хакер признавался, что родился в семье «настоящих лунатиков-рейверов», а его мать страдала параноидальной шизофренией. В шесть лет он переехал жить к тете, а через два года попал в детский приют, откуда его вскоре забрал перебивавшийся случайными заработками отец-алкоголик.

Единственным спасением для мальчика стал интернет — впервые сев за компьютер еще в подростковом возрасте, Джейкоб нашел свое призвание в программировании и поиске уязвимостей. Вскоре он присоединился к одной из старейших в мире хакерских группировок Cult of the Dead Cow, в свое время прославившейся программами для взлома дисков и загрузки музыки в сеть, а сегодня известной своими инструментами для организации DDoS-атак и удаленного управления зараженными компьютерами.

Скрытый текст

Параллельно Джейкоб участвовал в нескольких арт-проектах, где познакомился с легендарным китайским художником-диссидентом Ай Вэй Вэем и искусствоведом-технократом Тревором Пагленом. Вскоре Эпплбаум подружился еще с одним культовым персонажем массовой культуры — Джулианом Ассанжем. В 2012 году снялся в нескольких выпусках передачи основателя WikiLeaks «Мир завтрашнего дня» для «Би-би-си». Два 26-минутных эпизода с участием Джейкоба носили говорящее название «Киберпанки» и представляли собой диалог между Ассанжем и Эпплбаумом о защите от массовой слежки правительств и спецслужб. Гостями шоу также стали многолетний член немецкой хакерской группировки Chaos Computer Club
Потом Эпплбаум помог Ассанжу написать книгу «Киберпанки: свобода и будущее интернета», активно защищал его после обвинений шведских властей в сексуальных домогательствах и вынужденного заточения в посольстве Эквадора. По утверждениям обитателей хакерских форумов, Ассанжа и Эпплбаума связывают давние товарищеские отношения. Они оба состояли в хакерских группировках и считаются главными защитниками свобод в интернете.

Это помогло Эпплбауму стать одним из немногих людей, в 2013 году получивших доступ к полной базе документов бывшего сотрудника АНБ и ЦРУ Эдварда Сноудена. На основе этих материалов Эпплбаум написал несколько статей в Der Spiegel, а на конференции Chaos Communication Congress обвинил АНБ в организации контроля смартфонов пользователей без их ведома. Позднее это подтвердил и сам Сноуден. По его словам, систему управления смартфонами под названием «Смурфы» разработали британцы, а американские коллеги заимствовали их идею и вложили в нее миллиард долларов.

Эпплбаум переехал в Германию, признавшись, что в США «не чувствует себя в безопасности». С тех пор он постоянно обвинял американские спецслужбы в слежке. У него изымали ноутбуки и смартфоны в аэропортах, забирались в его квартиру и взламывали рабочий компьютер, а за его спящей девушкой якобы наблюдал целый отряд агентов в очках ночного видения.
Строитель репутации

На первый взгляд, роль Эпплбаума в работе Tor кажется не слишком важной. Его нет в списке ключевых деятелей проекта, а исполнительный директор сети Шери Стили в своем официальном заявлении указывает, что он был лишь «разработчиком». Но на самом деле Джейкоб внес огромный вклад как в развитие анонимной сети, так и в ее популяризацию в мире. В Reddit считают, что именно поддержка Эпплбаума сыграла ключевую роль в изменении общественного мнения о Tor. Еще несколько лет назад большинство пользователей интернета и не подозревали о существовании анонимной сети, а власти разных стран мира в один голос подчеркивали, что она опасна, ведь там продают оружие, наркотики и человеческие органы.

В итоге у простых граждан Tor в первую очередь ассоциировался с незаконными площадками вроде Silk Road, и лишь немногие рассматривали его как безопасный способ выхода в сеть. Эпплбаум же всегда пропагандировал Tor как способ избавиться от слежки властей, и постепенно это начало приносить плоды. С его мнением считались, ведь он общался со многими известными хакерами, а его лекции и выступления на их конференциях неизменно собирали полные залы.

В результате Tor перестал ассоциироваться с наркоторговлей, превратился в символ борьбы за свободу в интернете, противостояния массовой слежке спецслужб, и число его пользователей неуклонно росло. С 2014 года с Tor начал сотрудничать Facebook, а в январе 2016 года поддержка анонимной сети появилась в мобильном приложении соцсети.

Именно Эпплбаум вдохновил скандально известного художника Тревора Паглена на ряд провокационных экспозиций. Одной из них стал проект Autonomy Cube — несколько за***очных скульптур из проводов и микросхем, на самом деле представлявших собой специальные Wi-Fi-роутеры. Посетители выставки автоматически подключались к Tor, подменявшему основную Wi-Fi-сеть музеев. После первоначального успеха в немецком Ольденбурге экспозиция последовательно выставлялась в нью-йоркской Metro Pictures Gallery и лондонской Whitechapel, чем привлекла серьезное внимание к Tor со стороны ценителей искусства.

Эпплбаум добился поддержки со стороны «старой гвардии» — разработчиков, обладающих непререкаемым авторитетом среди деятелей сети. Тому способствовала его работа над докторской диссертацией в Техническом университете Эйндховена под научным руководством известного криптографа Дэниела Бернштейна, не скрывающего своей нелюбви к ФБР.

Но дело не только в изменении репутации Tor. В сети ходят легенды, что Эпплбаум просматривал сотни страниц кода и собственноручно исправлял ошибки. Он также принимал непосредственное участие в разработке нескольких версий Tor-браузера на основе стандартного Firefox и адаптировал Tor под нужды устройств, работающих на Linux. Как разработчик одной из самых популярных открытых операционных систем Debian он способствовал популяризации Tor среди хакеров и веб-архитекторов, а те сообщали ему о найденных уязвимостях и создавали условия для более устойчивого функционирования сети.
Секс и безопасность

Июньские анонимные обвинения Эпплбаума в сексуальных домогательствах для многих стали откровением, хотя сам он не раз признавался, что в его личной жизни есть странности. Он говорил, что спит с женщинами, но не считает себя гетеросексуалом, а коллеги по Tor и раньше знали о его извращенных пристрастиях. Эпплбаум нередко пытался затащить в постель симпатичных участниц хакерских конференций, приставал к друзьям и любил, когда за его интимными похождениями наблюдают посторонние.

Тем удивительнее то, что руководство Tor решило уволить его после появления десяти анонимных историй и парочки завуалированных обвинений. Это решение приняла исполнительный директор проекта Шери Стили, посчитавшая опубликованные в сети факты достаточным доказательством вины. Хотя на сайте с обвинениями указывается, что некоторые его создатели не пострадали от сексуального насилия, а просто «устали от такого поведения Джейкоба».

Открыто обвинить Эпплбаума в сексуальных домогательствах осмелились лишь разработчик Андреа Шепард и криптограф Мередит Патерсон. Однако обе женщины могут руководствоваться личными мотивами — Шепард считает себя феминисткой и, по мнению пользователей Reddit, не упустила шанс обвинить Джейкоба в сексизме, а Патерсон в свое время была опозорена им после ложных обвинений в плагиате.

Сам Эпплбаум уже сообщил, что это спланированная информационная атака, за которой могут стоять влиятельные люди из американских спецслужб. В сети тут же вспомнили, что в конце мая ФБР заинтересовалось другим ключевым разработчиком Tor под ником Айсис Агора Лавкрафт. Агенты бюро хотели лично обсудить с ней ряд вопросов, но она предпочла уехать в Германию.

Вполне возможно, что американские спецслужбы ищут новые пути для взлома анонимной сети после скандала с американским исследовательским университетом Карнеги-Меллон. В ноябре 2015 года ФБР обвинили в передаче университету миллиона долларов за сведения о методах, позволяющих деанонимизировать пользователей Tor. Некоторые источники и вовсе утверждали, что правительство США спонсировало все исследования университета по взлому анонимной сети, в том числе масштабные кибератаки в 2014 году. Кроме того, ФБР запретило сотрудникам Карнеги-Меллон выступать на хакерской конференции Black Hat, где они хотели рассказать о найденных в Tor уязвимостях.

В феврале 2016 года стало известно, что ФБР через суд обязало работников университета предоставить данные о ряде преступников, вычисленных в результате кибератаки 2014 года. Те были вынуждены не только раскрыть реальные IP-адреса обнаруженных злоумышленников, но и рассказать о якобы найденной бреши в защите Tor. Узнать, что это за уязвимость, и раздуть из этого серьезный скандал было под силу одному человеку. Но сейчас это уже не его дело, ведь после увольнения из Tor он больше всего хочет дописать докторскую диссертацию под руководством любимого профессора Бернштейна.

[свернуть]

[студент]

Acer потерял данные своих покупателей

Тайваньская компания Acer, один из мировых лидеров по производству персональных компьютеров, признала факт взлома своего онлайн-магазина неизвестными хакерами. Согласно информации представителей Acer, киберпреступники сумели получить доступ к системам магазина еще в апреле 2015 года. И до конца мая нынешнего года их присутствие обнаружить не удавалось.

Таким образом, все посетители, совершавшие покупки в онлайн-магазине на протяжении года, могут стать жертвами мошенников. Хакерам удалось получить имена и адреса покупателей, а также данные использованных для оплаты банковских карт, включая и коды подтверждения CVV. Теоретически этого вполне достаточно для совершения несанкционированных владельцами счетов транзакций.

Компания Acer, впрочем, заверяет, что никаких подтверждений того, что подобные транзакции были совершены, в настоящий момент нет. Кроме того, уточняется, что опасность грозит лишь покупателям американского онлайн-магазина – жителям США, Канады и Пуэрто-Рико.

Онлайн-магазины Acer для стран Европы и Ближнего Востока были запущены позже и используют другие серверы и системы, а потому атака на них не распространилась. Число потенциальных жертв взлома в настоящий момент неизвестно. Представители Acer активно сотрудничают с правоохранительными органами и специалистами по кибербезопасности в расследовании инцидента.

[студент]

Google заплатил за уязвимости 550 тысяч долларов

Год назад, в июне 2015 корпорация Google запустила программу премирования пользователей (Bug Bounty) за информацию об обнаруженных уязвимостях программного обеспечения Android. По случаю первой ее годовщины Google представил данные о выплатах в рамках этой программы.

За год корпорация премировала пользователей в общей сложности на сумму в 550 тысяч долларов. При этом максимальная премия в размере 30 тысяч долларов, полагающаяся за наиболее опасные уязвимости (эксплуатация которых способна привести к полному контролю третьей стороны над устройством), не была выплачена ни разу.

Тем не менее, многие пользователи смогли заметно улучшить свое финансовое положение с помощью Google. Наилучших результатов добился исследователь, публикующийся в Twitter под ником heisecode. За год он сообщил Google о 26 обнаруженных уязвимостей, получив за это в сумме 75750 долларов.

Корпорация Google объявила о продлении программы премирования на следующий год. Более того, премии за многие классы уязвимостей повышены. А максимальная сумма, которую теперь можно получить, сообщив о наиболее опасных уязвимостей, составит уж не 30, а 50 тысяч долларов.

[студент]

Guccifer 2.0 решил продемонстрировать непредвзятость

Несколько дней назад хакер, скрывающийся под ником Guccifer 2.0, наделал немало шума, взломав сеть Национального комитета Демократической партии США и выложив в интернет досье, собранное демократами на своего оппонента – кандидата от Республиканской партии Дональда Трампа. Тогда некоторые наблюдатели предположили, что таинственный взломщик пытается помочь демократам. Однако хакер, видимо, решил продемонстрировать свою непредвзятость и во вторник выложил в сеть и досье на кандидата от демократов – Хиллари Клинтон.

Досье включает 78 мегабайт документов, содержание которых пока в точности неизвестно. Демократы подозревают, что за действиями хакера могут стоять российские спецслужбы. Впрочем, сам Guccifer 2.0 в интервью ресурсу Motherboard отверг какую-либо свою связь с Россией. Предвыборный штаб Хиллари Клинтон пока воздерживается от комментариев по поводу инцидента.

[студент]

Китай резко снизил кибершпионскую активность

Компания FireEye сообщила о резком снижении числа кибершпионских акций в отношении бизнеса и госструктур США со стороны китайских хакеров. FireEye на постоянной основе отслеживает деятельность 72 хакерских группировок, действующих с территории КНР либо явно в интересах Китая. Предполагается, что многие из них так или иначе поддерживаются китайскими властями. Как говорится в отчете FireEye, еще два года назад эти группировки практически ежедневно атаковали американские компании (прежде всего – технологические и связанные с оборонным сектором) с целью похищения технологий.

Сегодня картина резко изменилась, и подобные атаки случаются существенно реже. Как известно, в сентябре 2015 года состоялась встреча президента Обамы с председателем КНР Си Цзиньпином, в ходе которой лидеры договорились о недопустимости использования компьютерных технологий для похищения интеллектуальной собственности. Однако, по мнению экспертов FireEye, этот момент не стал переломным. Дело в том, что ощутимое снижение кибершпионской активности китайских хакеров началось существенно раньше – еще со второй половины 2014 года. Тем не менее, отчет отмечает важную роль дипломатических усилий США в сокращении числа хакерских атак. Кроме того, предполагается, что свою роль сыграла и проводимая Си Цзиньпином реформа вооруженных сил КНР (ряд обнаруженных ранее хакерских групп предположительно являлись подразделениями Народно-освободительной армии Китая).

FireEye также отмечает, что Китай снизил кибершпионскую активность не только в отношении США, но и в отношении 25 других стран, включая Россию, Японию и ряд европейских государств. Впрочем, об идиллии говорить пока не приходится. С конца прошлого года уже 13 хакерских групп из КНР успели «отметиться» взломом крупных корпоративных сетей в США, Японии и Европе.

[vladimir59]

Хакеры взломали главу Google

Хакерская группировка Ourmine, взломавшая ранее в июне аккаунты главы Facebook Марка Цукерберга в социальных сетях, выбрала себе очередную жертву столь же высокого уровня. Ею стал глава Google Сундар Пичаи. В минувшее воскресенье хакеры получили доступ к его учетным записям в Twitter и онлайн-сервисе вопросов и ответов Quora. Участники группировки опубликовали несколько записей в каждом из сервисов, сообщая о своей «победе».

Впрочем, между атаками на Цукерберга и Пичаи есть серьезная разница. В случае с основателем Facebook хакеры воспользовались массовой утечкой данных пользователей LinkedIn, произошедшей еще несколько лет назад, а сами аккаунты Цукерберга не были активными. Сундар Пичаи же является активным пользователем Twitter (число его фолловеров превышает полмиллиона человек). А источником проблем стала, судя по всему, уязвимость сервиса Quora, причем хакеры уверяют, что предупреждали о ней администраторов сайта.

В настоящий момент аккаунты, судя по всему, возвращены из законному владельцу, а записи хакеров из них удалены. Комментариев от официальных представителей Google и Quora пока не поступало.

[vladimir59]

Хочешь стартовать – плати

Мишенью атак с использованием троянцев-вымогателей все чаще становится не только большой бизнес, но и большой спорт. На собственном опыте в этом убедилась команда The Circle Sport – Leavine Family Racing (CSLFR), популярнейшей в США гоночной серии NASCAR. Буквально за два дня до старта очередного этапа гонки участники CSLFR обнаружили, что главный компьютер их команды инфицирован зловредом Truecrypt.

«В компьютере хранились данные гоночных тестов и инженерных исследований за последние несколько лет, – признался один из руководителей CSLFR Дэйв Уинстон. – Эта информация стоит миллионы долларов, в ней – годы работы нашей команды, не говоря уже о том, что без этих данных мы просто не смогли бы выйти на старт». В результате было принято решение выплатить кибервымогателям выкуп за расшифровку заблокированных данных. Точная сумма не называется, но сообщается, что речь идет о «нескольких сотнях долларов в криптовалюте биткоин».

После инцидента руководство CSLFR пригласило специалистов компании Malwarebytes для анализа состояния компьютерных систем команды и обеспечения их защиты. Те оперативно обнаружили, что еще несколько компьютеров команды также были инфицированы различными зловредами, и устранили угрозу. В результате на старт этапа машина CSLFR вышла, украшенная крупным логотипом Malwarebytes.

[vladimir59]

Команда хакеров OurMine добралась до Сундара Пичаи


Для команды хакеров OurMine июнь выдался удачным. В начале месяца ей удалось взломать аккаунты Марка Цукерберга (Mark Zuckerberg), главы Facebook, в Twitter, LinkedIn и Pinterest, затем её жертвами стали Дик Костоло (Dick Costolo) и Эван Уильямс (Evan Williams), бывшие генеральные директора того же Twitter. А теперь пришла очередь Сундара Пичаи (Sundar Pichai), главного исполнительного директора Google.

OurMine смогла получить доступ к учётной записи Пичаи на сервисе вопросов и ответов Quora. Поскольку аккаунт был связан с Twitter, записи об удачном взломе появились и там. Сейчас они, само собой, уже удалены.

Хакеры утверждают, что никогда не меняют пароли и не пытаются использовать взломанные аккаунты. По их словам, они всего лишь проверяют безопасность учётных записей знаменитостей и предупреждают о возможных рисках. Ведь если OurMine удалось получить доступ к аккаунту, значит, и другие смогли бы. Хакеры рассказали, что взломать учётную запись Сундара Пичаи им позволила уязвимость в платформе Quora. Причём они уже сообщили о ней компании, однако та пока никак не отреагировала.

Стоит отметить, что члены команды OurMine называют себя специалистами по вопросам безопасности и явно рассчитывают на то, что подобная деятельность поможет им привлечь новых клиентов. Собственно, они и «жертвам» предлагают свои услуги.

[vladimir59]

Уязвимость в Widevine – находка для пиратов

Исследователи Университета Бен-Гуриона (Израиль) сообщили об обнаружении уязвимости плагина Widevine EME/CDM. Он относится к так называемым техническим средствам защиты авторских прав (digital rights management - DRM). Widevine позволяет демонстрировать и просматривать в браузерах Chrome видеоконтент с помощью HTML5, но не дает возможности сохранять его, тем самым защищая интересы правообладателей. Однако исследователи из Израиля выявили огрехи шифрования в Widevine.

В выложенном ими видеоролике продемонстрирована возможность копирования и сохранения видеоконтента в обход защиты Widevine. В дальнейшем этот контент может, например, записываться на внешние устройства или выкладываться на пиратские сайты. По словам авторов работы, их метод работает со всеми версиями браузера Chrome и успешно опробован на видеоконтенте сервисов Netflix и Amazon.

Очевидно, что обнаруженная уязвимость может иметь огромную ценность для видеопиратов. Однако израильские ученые уже уведомили о проблеме представителей Google и объявили о том, что раскроют подробности атаки лишь после того, как уязвимость будет полностью устранена.

[satvitek]

90% Android-смартфонов уязвимы к вирусу Godless

Trend Micro предупреждает, что без малого 90% Android-смартфоны уязвимы для вредоносного приложения Godless, которое уже поразило порядка 850 тысяч устройств. Это связано с тем, что уязвимость, которую использует Godless, 5присутствует в Adnroid 5.1 и более ранних версиях, а они сейчас установлены на 89,9% смартфонов под управлением системы Google.
Godless может получить контроль над устройством, так называемые root-права. Это позволяет устанавливать приложения, имеющие высокий уровень доступа.

Godless устанавливает дополнительные приложения и использует root-права только при выключенном экране. После этого приложение маскируется под системное, что усложняет его поиск и удаление. Загружаемые приложения могут передать злоумышленникам платежные данные учетной записи Google и другую важную информацию.

Godless уже маскируется под различные приложения, которые доступны в Play Store.

[satvitek]

Киберпреступники вымогают персональные данные у пользователей Apple iTunes

Компания ESET предупреждает о новой атаке на пользователей продуктов Apple: мошенники рассылают от имени сервисной службы «яблочной» империи сообщения о вирусе в базе данных iTunes.

Потенциальным жертвам приходят письма, в которых говорится о необходимости срочно перепроверить личные данные и банковские реквизиты в связи с обнаружением вредоносного ПО в базе данных iTunes. При этом киберпреступники пугают отключением аккаунта iTunes в случае отказа подтвердить персональную информацию.
По ссылке из письма пользователь переходит на фишинговый сайт, имитирующий стартовую страницу iTunes Connect с полями ввода Apple ID и пароля. Здесь можно ввести любые данные — фейковый сайт не распознает подлог и перенаправит на страницу «подтверждения аккаунта iTunes».

Apple подчёркивает, что iTunes никогда не запрашивает личную информацию и конфиденциальные данные учётной записи (например, пароли или номера кредитных карт) по электронной почте. Сообщения, содержащие вложения или ссылки на сторонние веб-сайты, рассылаются не компанией Apple, хотя может казаться, что их отправителем является iTunes. Мошенники, занимающиеся фишингом, профессионально создают веб-сайты, которые выглядят аналогично веб-сайту iTunes, с единственной целью — получение данных учётной записи. Зачастую в мошеннических сообщениях электронной почты содержится просьба перейти по ссылке на один из этих фишинговых веб-сайтов для «обновления данных учётной записи».

[vladimir59]

Украинский банк лишился 10 миллионов долларов из-за SWIFT-атаки

Украинский банк, название которого пока не разглашается, стал очередной жертвой хакерских атак, организаторы которых выводят деньги со счетов финансовых учреждений на счета подставных фирм, используя систему электронных межбанковских платежей SWIFT. Киберпреступникам удалось похитить около 10 миллионов долларов. Ранее в результате аналогичной атаки похитители вывели со счетов Центрального банка Бангладеш более 80 миллионов долларов.

Также подобным атакам подверглись банки во Вьетнаме, Эквадоре и некоторых странах Восточной Европы. При этом эксперты полагают, что реальное число атак – как и реальный масштаб причиненного ими ущерба – в действительности намного серьезнее, однако банки стремятся не разглашать эту информацию, опасаясь за свою репутацию.

Несмотря на то, что многие представители банковского сообщества поспешили обвинить в проблемах саму систему SWIFT, специалисты по кибербезопасности не подтверждают эти до***ки. Никаких указаний на взлом системы SWIFT нет. Отрицают возможность такого взлома и представители системы, более того, они требуют жестких санкций, вплоть до крупных штрафов и отключения от SWIFT тех банков, которые не смогли обеспечить надлежащий уровень безопасности транзакций и стали жертвой хакеров.

По предварительным данным, все атаки осуществляются по одной и той же схеме. Кибепреступники проникают во внутренние системы банков и на протяжении нескольких месяцев тщательно изучают схему работы и информационную логистику финансовых учреждений. Собрав всю необходимую информацию, они осуществляют вывод средств, при этом транзакции выглядят максимально легитимными. Данных об организаторах этой масштабной атаки на банковский сектор пока нет.

Однако отмечается, что используемое хакерами вредоносное ПО и приемы работы очень сходны с теми, которые использовались при атаке на компанию Sony в конце 2014 года. Тогда установить организаторов атаки не удалось, однако спецслужбы США официально обвинили в инциденте Северную Корею.

[студент]

Критические уязвимости в защитном ПО от Symantec

Исследователь проекта по поиску уязвимостей Project Zero корпорации Google Тэвис Орманди сообщил об обнаружении восьми опасных уязвимостей, затрагивающих всю линейку популярнейших защитных решений Symantec-Norton. Большинство уязвимостей оценены как критические, их эксплуатация позволяет злоумышленникам установить полный контроль над устройствами пользователей. Орманди не поскупился на нелестные отзывы в адрес Symantec, охарактеризовав ситуацию такими словами как «полностью готовые для атак эксплойты» и «хуже не придумаешь».

Большинство проблем связаны с используемыми продуктами Symantec средствами обработки архивов. Как утверждает Тэвис Орманди, они основываются на архиваторах с открытым исходным кодом и не обновлялись не менее 7 лет. Уязвимости в этих средствах позволяют злоумышленникам создавать сообщения со вредоносными ссылками или вложениями для осуществления атаки. Причем пользователям даже не нужно открывать файлы или переходить по ссылкам – для атаки достаточно факта того, что открыто само сообщение.

Компания Symantec уже известила своих пользователей об обнаруженных проблемах. Часть уязвимостей ликвидируется автоматическим обновлением ПО. Однако для устранения других пользователям необходимо самостоятельно инициировать процесс обновления. Всем, кто использует защитные решения Symantec-Norton, настоятельно рекомендуется сделать это незамедлительно.

[студент]

Взломан сайт знакомств для правоверных мусульман

Неизвестные хакеры атаковали сайт Muslim Match, представляющий собой сервис знакомств для людей, исповедующих ислам. Злоумышленники выложили в сеть порядка 700 тысяч сообщений, которыми обменивались пользователи, и персональные данные около 150 тысяч человек, включая имена, адреса электронной почты и IP-адреса, с которых выполнялся вход на сайт. Судя по всему, ресурс подвергся атаке с внедрением SQL-кода.

Следует отметить, что это далеко не первый случай взлома сервисов знакомств, однако в сообщениях его участников (в отличие от многих других подобных сайтов) трудно отыскать компрометирующую информацию – именно потому, что Muslim Match адресован правоверным мусульманам. Первое знакомство с массивом сообщений показывает, что они в основном сводятся к светским любезностям, выяснению того, не является ли пользователь новообращенным – и собственно, предложениям руки и сердца. Впрочем, пользователям сайта от этого вряд ли легче, поскольку похищенные персональные данные представляют серьезную проблему вне зависимости от вероисповедания.

Комментарии со стороны администраторов Muslim Match, вероятно, последуют лишь завтра, поскольку доступ к сайту закрыт на время священного для мусульман месяца Рамадан, который в нынешнем году завершается 4 июля.

[студент]

Каждое двухсотое корпоративное устройство заражено зловредами

Если ваша компания достаточно состоятельна, чтобы обеспечивать сотрудников служебными смартфонами, и число их превышает 200, можете быть уверены: как минимум одно из устройств инфицировано вредоносным ПО. Таков вывод исследования, предпринятого авторитетной компанией Skycure. По словам ее технического директора Яира Амита, времена, когда жертвами кибератак становились по преимуществу рядовые пользователи, остались в прошлом. «Сегодня зловреды достаточно умны, чтобы выбирать наиболее перспективные жертвы, и ими все чаще становятся крупные компании. При этом смартфоны являются идеальным объектом для слежки и атаки, поскольку позволяют быть в курсе действий своих владельцев 24 часа в сутки», - сказал Амит.

Он также отметил, что, хотя устройства на платформе Android становятся объектами атак вдвое чаще, чем «яблочные» смартфоны и планшеты, говорить о полной безопасности iOS давно уже не приходится. В то же время исследование показывает, что главным направлением кибератак на крупный бизнес по-прежнему остается взлом корпоративных компьютерных сетей. Хакеры используют этот метод вчетверо чаще, чем атаки на корпоративные мобильные устройства.

Кроме того, исследование приводит статистику инфицирования смартфонов вредоносными приложениями в зависимости от источника их загрузки. Как и следовало ожидать, наиболее безопасным оказался магазин приложений Google Play: в среднем одно вредоносное приложение приходится здесь на 1600 безопасных. Для сравнения: в официальном магазине Samsung это соотношение составляет 1:900, а в Amazon – 1:130.

[студент]

10 миллионов Android-устройств заражены опасным зловредом

Специалисты компаний Check Point и Cisco сообщили об обнаружении зловреда для мобильных устройств на платформе Android. Вредоносное ПО, получившее название HummingBad, устанавливает контроль над инфицированными смартфонами и затем загружает без ведома пользователей дополнительные приложения, многие из которых также являются вредоносными. Кроме того, HummingBad генерирует клики по рекламным ссылкам. По оценкам экспертов Check Point, эта активность приносит создателям и распространителям зловреда порядка 300 тысяч долларов в месяц.

Примечательно, что в этой ситуации исследователям удалось точно выяснить, кто стоит за атаками HummingBad. Расследование привело к китайский компании Yingmob. Она является вполне легитимной фирмой, специализирующейся в области мобильной рекламы и аналитики. Однако Check Point и Cisco безошибочно установили, что внутри Yingmob существует специальное подразделение, занятое именно разработкой и распространением зловредов. Более того, эксперты смогли установить численность этого подразделения – 25 человек – и даже план рассадки его сотрудников в офисе.

Зловредом HummingBad инфицированы уже порядка 10 миллионов мобильных устройств. Наибольшее число заражений – около 1,6 миллиона – приходятся на КНР. Далее следует Индия – около 1,35 миллиона инфицированных устройств. В США выявлено 286 800 заражений.

[студент]

Новые неприятности Ashley Madison

Проблемы продолжают преследовать Avid Life Media – родительскую компанию печально известного сайта для любителей внебрачных связей Ashley Madison. В результате его взлома в августе минувшего года достоянием публики стали персональные данные 32 миллионов клиентов сайта. В настоящий момент против компании подано несколько коллективных исков. Под натиском общественности Avid Life Media пошла на смену руководства, и новые топ-менеджеры признали, что ранее компания не уделяла должного внимания кибербезопасности, а также заверили, что теперь тратят на эти цели миллионы долларов.

Однако новые неприятности не заставили себя ждать. Американские СМИ сообщают, что Федеральная торговая комиссия США (FTC) инициировала расследование в отношении Avid Life Media. Поводом для него стала информация о том, что сайт Ashley Madison использовал так называемые «женские боты» - фальшивые учетные записи, созданные от имени женщин, снабженные фотографиями и описанием и способные вести переписку с клиентами-мужчинами. С точки зрения FTC, которая занимается защитой прав потребителей, это грубое нарушение, ответственность за которое может оказаться весьма серьезной.

[satvitek]

Троян только для россиян

Специалисты обнаружили новый троян, который поражает компьютеры исключительно российских пользователей.

Как выяснили специалисты «Яндекса» и «Доктора Веба», троянская программа под названием Trojan.MulDrop6.44482 попадает на компьютер в виде установщика. Первым делом она проверяет, нет ли на компьютере антивирусов, и в случае, если компьютер «чист», проверяет локализацию операционной системы.

Если операционная система не является российской, троян просто самоуничтожается.

[satvitek]

Клавиатура для Android следила за пользователями

Британская фирма Pentest, специализирующаяся на безопасности, обнаружила, что популярное приложение Flash Keyboard шпионило за пользователями Android.

Экранная клавиатура собирала данные, которые вводили пользователи. При этом приложение было номером 11 в первой двадцатке самых популярных. Google уже удалило его из топ-20 после сообщения Pentest.

Приложение, как обнаружили специалисты, запрашивало больше разрешений, чем нужно было для его работы, усложняло процесс удаления приложения, демонстрировало рекламу, а также собирало и передавало пользовательские данные третьим лицам. Данные отправлялись на серверы в США, Нидерландах и Китае.

Всего Flash Keyboard было загружено 50 миллионов раз. Оно запрашивало доступ к беспроводным интерфейсам, GPS, могло читать SMS-сообщения и т.д.

[satvitek]

Специалисты обнаружили опасный вирус на Mac

Эксперты в области безопасности обнаружили вирус на Mac, с помощью которого хакеры могут получить доступ к компьютеру и управлять им в своих целях. Об этом сообщается в исследовании Bitdefender Antimalware Lab.
Вирус под названием Backdoor.MAC.Eleanor устанавливается под видом программы для конвертации файлов, затем получает root-доступ. Распространяется вредоносное ПО среди ноутбуков с установленной операционной системой OS X.

По словам главы технического отдела Bitdefender Antimalware Lab Тибериуса Аксинта, злоумышленники при желании могут и вовсе заблокировать устройство и сделать его частью ботнета. В этом случае Mac может быть использован для атаки уже на другие компьютеры.

Вирус обнаружен в программе EasyDoc Converter, которая распространяется на популярных сайтах с приложениями для Mac. Специалисты рекомендуют не устанавливать программы с непроверенных источников и установить на Mac ограничения, позволяющие не использовать ПО от неутвержденных разработчиков.

[студент]

Нечего скрывать, но есть чего бояться

Британская правозащитная организация Big Brother Watch опубликовала впечатляющий отчет, посвященный фактам утечки данных, допущенным полицией страны за минувшие 5 лет. Публикация 137-страничного документа стала ответом активистов на заверения властей в том, что сбор и хранение персональных данных государственными структурами не несут никакой угрозы. «Если вам нечего скрывать, то и бояться нечего» - главный аргумент сторонников массового сбора и хранения персональных данных. Однако отчет Big Brother Watch красноречиво свидетельствует о том, что это не так. И даже тем, кому нечего скрывать, есть чего опасаться.

По данным Big Brother Watch, за 5 лет британской полицией допущены 2315 случаев утечки данных. Есть в отчете факты заведомо преступных действий коррумпированных полицейских – скажем, продажа собранных правоохранителями персональных данных граждан третьим сторонам. Есть случаи грубейших злоупотреблений служебным положением: например, полицейский из Эссекса склонял женщин к сексуальной связи, используя собранную полицией информацию. Есть, наконец, и примеры чистой халатности: сотрудники некоего полицейского участка просто забыли архив собранных данных при переезде из старого здания в новое.

[студент]

Новый «яблочный вредитель»

Компания Bitdefender сообщает об обнаружении нового варианта вредоносного ПО для компьютеров Mac. Зловред, получивший название Backdoor.MAC.Elanor, уже активно используется киберпреступниками в атаках на пользователей и обладает самым широким спектром возможностей. Он устанавливает на инфицированные устройства программу-бэкдор, которая позволяет хакерам дистанционно и без ведома пользователя осуществлять практически любые операции. В частности, организаторы атаки могут редактировать, загружать, переименовывать и удалять любые файлы на компьютере, а также активировать встроенную камеру для осуществления фото- и видеосъемки.

Зловред распространяется под видом программы Easy Doc Converter.app – приложения для конвертации файлов, и доступен для загрузки на многих вполне легитимных сайтах, предлагающих ПО для Mac. Впрочем, владельцам «яблочных» компьютеров не стоит впадать в панику. При всех своих возможностях Backdoor.MAC.Elanor не обладает одобренным Apple цифровым сертификатом подлинности. А потому под угрозой лишь те компьютеры, пользователи которых самостоятельно отключили защитный механизм Gatekeeper от Apple, осуществляющий проверку этих сертификатов и блокирующий установку подозрительных программ.

[студент]

Fiat Chrysler невысоко ценит кибербезопасность

Компания Fiat Chrysler объявила о запуске программы премирования исследователей (Bug Bounty) за уязвимости, обнаруженные в ПО своих автомобилей. Судя по всему, компания стала лишь вторым после Tesla автопроизводителем, который пошел на подобный шаг. Однако это решение воспринято сообществом специалистов по кибербезопасности весьма скептически.

Причиной тому – крайне низкие суммы премиальных. Награда за рядовые уязвимости составляет 150 долларов, а максимальная сумма, которая может быть выплачена в рамках программы, не превышает 1500. Для сравнения стоит сказать, что та же Tesla платит за критические уязвимости 10 тысяч долларов, Facebook – 15, а Microsoft и Google – по 100 тысяч. Соответственно, многие серьезные исследователи зарабатывают на программах Bug Bounty крупных компаний свыше 200 тысяч долларов в год. И едва ли захотят тратить время и силы на поиск уязвимостей в ПО Fiat Chrysler. Зато и время, и силы вполне могут найтись у хакеров.

В прошлом году исследователи Чарли Миллер и Крис Валасек продемонстрировали возможность дистанционного взлома нескольких моделей автомобилей Fiat Chrysler, получив доступ к управлению их двигателями, тормозами и рядом вспомогательных систем. Тогда компании пришлось отозвать почти полтора миллиона машин, выплатить 105 миллионов долларов штрафа и столкнуться с коллективным иском, поданным разгневанными водителями. Но, видимо, даже эта история не убедила Fiat Chrysler в том, что экономить на кибербезопасности не следует.

[студент]

Причиной утечки «панамских бумаг» стала уязвимость нулевого дня в ПО Drupal

Организация Drupal Association, стоящая за разработкой, поддержкой и распространением популярной системы управления контентном Drupal, выпустила вчера пакет обновлений, которые устраняют ряд серьезнейших уязвимостей ПО. Drupal является системой управления контентом с открытым исходным кодом и широко используется для создания вебсайтов. По числу загрузок (порядка 15 миллионов) Drupal значительно уступает мировому лидеру в этой области - WordPress (140 миллионов). Тем не менее, систему используют сайты многих крупных коммерческих компаний, а из 10 тысяч самых посещаемых сайтов интернета 9 процентов работают именно на Drupal.

Как сообщает The Hacker News, именно уязвимость нулевого дня в ПО Drupal стала причиной скандала с так называемыми «панамскими бумагами». Используя эту уязвимость, неизвестные киберактивисты получили доступ к системам юридической фирмы Mossack Fonseca и выложили в сеть 11,5 миллиона файлов с документами, касающимися схем ухода от налогов ведущими политиками, деятелями культуры и спорта из разных стран мира.

Уязвимости, ликвидируемые вчерашним обновлением, потенциально угрожают безопасности примерно 14 тысяч вебсайтов. Drupal Association призывает всех пользователей Drupal установить это обновление незамедлительно.

[студент]

Каждая вторая компания в России теряет важные данные из-за кибератак

Каждый корпоративный компьютер в России подвергается в среднем 9 атакам вредоносного ПО за полгода. Такие данные получены «Лабораторией Касперского» за первые шесть месяцев 2016 года на основе внутренней статистики компании. В первом полугодии 2015 этот показатель был в два раза меньше. И рост числа киберугроз не проходит бесследно для бизнеса. Как показало исследование, проведенное «Лабораторией Касперского», 52% российских компаний потеряли в результате киберинцидентов доступ к критически важной для бизнеса информации.

При этом в Уральском федеральном округе доля предприятий, столкнувшихся с такой проблемой, оказалась значительно выше – 73%. Также существенно опережают среднероссийские показатели Северо-Кавказский и Южный федеральные округа – в первом из них после кибератаки не смогли воспользоваться важными данными 65% организаций, во втором – 63%. В Центральном, Приволжском и Сибирском федеральных округах эти показатели в целом соответствуют средней по России цифре. Наименьший же урон, судя по результатам опроса, понесли компании Северо-Западного федерального округа – о потере ценной информации там заявила лишь каждая пятая организация.

Однако наибольшую угрозу для бизнеса сегодня представляют целевые атаки, которые могут выполняться злоумышленниками даже без использования вредоносного ПО. Их основное отличие от классических кибератак заключается в том, что они тщательно прорабатываются для каждой конкретной компании и проходят максимально незаметно для традиционных защитных средств. При этом целью атакующих, как правило, являются самые ценные и конфиденциальные данные предприятия.

По итогам того же опроса, 23% российских компаний полагают, что на их IT-инфраструктуру была совершена целевая атака. В Сибирском федеральном округе, однако, этот показатель, по мнению самих организаций, оказался выше – 31%. Также более высокие цифры были получены в Центральном и Северо-Западном федеральных округах, где с целевыми атаками могли столкнуться 26% компаний. На Дальнем Востоке о подобных инцидентах заявил 21% предприятий, а в Уральском федеральном округе 19%. В свою очередь, в Приволжском и Южном федеральных округах доля предприятий, предположительно пострадавших от целевых атак, заметно ниже, чем в среднем по России – 18%. Самый же низкий показатель был зафиксирован в Северо-Кавказском федеральном округе – 10%.

Особую настороженность экспертов вызывает тот факт, что целевым атакам подверглись по меньшей мере 22% компаний, работающих в критически важных для России отраслях: энергетике, строительстве, промышленности, телекоммуникациях, транспортной сфере, оборонном комплексе и т.п. Атаки на подобные объекты грозят ущербом не только для самих предприятий, но также подвергают риску нормальное функционирование региональной или федеральной инфраструктуры.

«Любой киберинцидент влечет за собой негативные последствия для бизнеса. Это и урон репутации, и потеря важных данных, и сбои бизнес-процессов, и простой производства. В случае же целевых атак компании могут стать жертвами промышленного кибершпионажа и, таким образом, потерять свои самые ценные активы – интеллектуальную собственность, новейшие разработки, информацию о контрактах, денежные средства. Кроме того, нам известны случаи, когда целенаправленные атаки на индустриальные объекты приводили к физическому повреждению оборудования или нарушали нормальную жизнедеятельность региона, например, вызывали сбои в энергоснабжении города», – рассказывает Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского».

[satvitek]

Новый вирус маскируется под браузер Firefox

Группа исследователей информационной безопасности из Barkly Projects обнаружила новый вирус, который маскируется под обновление для браузера Firefox. Об этом сообщается на сайте компании.

Вирус относится к группе троянов Kovter, которые распространяют мошенническое ПО и программы-вымогатели. Новый вариант, попадая на компьютер под видом обновления браузера, имеет легальный сертификат, и антивирусы не обращают на него внимания. Согласно информации Barkly, антивирусные компании начали добавлять новый Kovter в список опасных программ, чтобы в дальнейшем блокировать его.

Специалисты советуют не обновлять Firefox со сторонних ресурсов и проверять наличие обновлений в настройках. Кроме этого, рекомендуется использовать последнюю версию антивирусного ПО.