Re: Новые вирусные угрозы
 

Банковский Android-троян использует специальные возможности для кражи данных

Троян на платформе Android под названием Svpeng недавно получил обновление, о чём сообщает Лаборатория Касперского. Теперь он может действовать как кейлоггер и использовать специальные возможности (настройки для людей с проблемами со зрением, слухом и т.д.) для кражи информации.

Троян распространяется через предлагающие Adobe Flash сайты и опасен даже для полностью обновлённых версий Android. После установки выполняется проверка языка операционной системы. Если язык не русский, программа запрашивает доступ к специальным возможностям, получает права администратора и становится мессенджером по умолчанию.

http://internetua.com/upload/tinymce...ini_oszone.jpg
Далее программа может отправлять и читать текстовые сообщения, звонить и просматривать список контактов. Она блокирует попытки отнять у неё права администратора и может получать доступ к интерфейсу приложений для кражи данных из них. При каждом нажатии на клавиатуру Svpeng делает снимок экрана и отправляет на командный сервер.

Ещё троян обнаруживает установленные банковские приложения и показывает фишинговую ссылку, чтобы пользователь ввёл логин и пароль. Естественно, после этого он может лишиться денег на своём счёте.

Количество атак Svpeng пока небольшое, хотя они зафиксированы в 23 странах

Re: Новые вирусные угрозы
 

По Сети распространяются новые вирусы, которые могут угрожать национальной безопасности

После вирусной атаки Petya.A, которая месяц назад фактически парализовала всю страну – всего 10 процентов компаний пересмотрели политику цифровой безопасности. Такие данные обнародовали эксперты киберполиции Украины. Но кроме скандальных и нашумевших угроз по сети распространяют еще ряд других, не менее угрожающих вредителей.

Stantinko – это хоть и не новая, но очень стремительно набирающаят обороты вирусная программа. Ее жертвой уже стали полмиллиона компьютеров. И избавиться заразы не так просто.

"Если какие-то из процессов или служб будут удалены из системы, вторая служба это заметит и установить их. Вся информация, конфигурационные файлы находятся в зашифрованном виде, что дает возможность злоумышленникам находиться внутри системы и не быть обнаруженными", – рассказывает руководитель службы техподдержки антивирусной компании Александр Илюша.

Этот ботнет специализируется на похищении учетных записей. Которые затем хакеры успешно перепродают. Распространяется в основном через торрент-сети. При заражении операционной системы, Stantinko самостоятельно устанавливает в браузер два абсолютно легальных расширения: The Safe Surfing и Teddy Protection. Затем меняет их конфигурацию и заставляет работать на себя. Похищенные данные могут дать хакерам доступ к банковским счетам и внутренним серверам.

В киберполиции убеждены, что ответственность за сетевые щели должны нести компьютерщики-администраторы.

Самое слабое место вашей сети – это ваши системные администраторы. На предприятиях, на которых была правильно построена сеть ничего не произошло. Произошло только заражение одного-двух-трех компьютеров бухгалтерии,
– заявил старший инспектор департамента киберполиции Нацполиции Украины Вячеслав Марцинкевич.

А ответственности пока никакой и быть не может – никакие подобные законі еще не написані. Наказывать ли за непрофессионализм работника – это уже на усмотрение работодателя.

Но в национальной кибербезопасности, притаилась еще одна угроза, о которой мало кто говорит – мобильные смартфоны. Так, с 6 июля по сети гуляет вирус BankBot. И сколько девайсов стали его жертвой – пока не известно

Этот вирус со смартфона может воровать не только логины и пароли, он сам принимает, отправляет, копирует и перезагружает необходимые файлы на пиратские серверы. К примеру, если телефон руководителя стратегического ведомства будет заражен – утечка секретной информации может повлечь политический скандал.
Читайте также: Распространителем вируса Petya Киберполиция назначила никопольского слесаря-блогера

Минобороны и СБУ такие перспективы признают и уже начали разработку концепции национальной цифровой безопасности. Какой будет эта стратегия и как она повлияет на доступ к сети рядовых граждан – пока вопрос времени.

Исследование антивирусных компаний свидетельствуют, что основной хакерской сегмент – это страны постсоветского пространства. Именно из-за любви к нелегальному софту. Которого, кстати, достаточно и в государственных структурах. А, как говорят программисты, цифровая безопасность не там, где Firewall обновлен, а там где программное обеспечение лицензионное.

Re: Новые вирусные угрозы
 

В Facebook через мессендженджер распространяется вирус со смайликами

В понедельник в социальной сети Facebook через приложение "мессенджер" начал очень быстро распространяться вирус, который выглядит как приветствие с именем получателя, смайлик и ссылка. Впрочем, спутать его с обычным сообщением сложно, так как имя пишется на английском языке, а такое обращение не очень типично для украино- или русскоязычных пользователей.

https://antikor.com.ua/foto/articles.../31/182551.png
Клик по ссылке активирует вирус в вашем компьютере, так что, если вы получили такое сообщение, отпишите отправителю, что он рассылает спам. Переписку лучше стереть, чтобы в будущем случайно не нажать на ссылку.

https://antikor.com.ua/foto/articles...0/182551_1.jpg
При этом, если вы обнаружили, что рассылаете спам, постарайтесь как можно скорее попросить ваших друзей не открывать ссылки, написав им в "личку" или у себя на "стене".

Вот что советует делать сам Facebook в случае заражения вирусом, признаками которого в соцсети является:

- когда аккаунт публикует спам или отправляет нежелательные сообщения;
- когда в истории аккаунта появляются странные или подозрительные места входа;
- когда в вашем журнале действий появляются сообщения или публикации, которых вы не помните.

Признаки вируса на компьютере или мобильном устройстве.
- стали медленнее работать приложения или на выполнение действий стало уходить больше времени, чем обычно;
- появились новые приложения, которые не устанавливали;
- замечаете странные всплывающие окна или другую рекламу еще до того, как вы открыли браузер;

- изменилась поисковая система или главная страница без вашего ведома.

Что делать в таком случае? Просканировать компьютер и удалить вредоносное ПО. Facebook называет таких партнеров производителей антивирусов - Kaspersky, ESET, TrendMicro, F-Secure.

Далее - нужно очистить веб-браузер, удалить подозрительные расширения браузера или отменить последние внесенные изменения в настройках веб-браузера. Если используете Chrome, вы также можете скачать инструмент очистки Chrome, который помогает обнаруживать и удалить вредоносное ПО.

Обновите веб-браузер. Использование самой новой версии веб-браузера гарантирует, что у вас будут последние обновления для системы безопасности.

Аккаунт, зараженный вредоносным ПО, зачастую используют для того, чтобы подписываться на людей и ставить «Нравится» Страницам без вашего разрешения. Вы можете проверить свой журнал действий и удалить все публикации, которые вы не считали нужным размещать, и все Страницы, которым вы не хотели ставить «Нравится».

Re: Новые вирусные угрозы
 

Среди приложений для Android обнаружили опасный вирус

Специалисты компании ESET обнаружили в турецком магазине Android-приложений CepKutusu троянскую программу, которая распространялась под видом легитимных приложений.

Банковский троян под названием Spy.Banker предназначен для кражи данных онлайн-банкинга. Он способен перехватывать SMS-сообщения от систем банковского обслуживания, загружать и устанавливать другие приложения.

Эксперты отмечают, что ссылка на загрузку вредоносной программы вела со всех легитимных приложений, представленных в магазине CepKutusu. При каждом нажатии кнопки "Скачать" происходила попытка заражения мобильного устройства.

Примечательно также, что после установки троянец даже не пытался имитировать приложение, скачанное пользователем - вместо этого он маскировался под Adobe Flash Player (эта программа прекратит свое существование в 2020 году).

В ESET предполагают, что магазин приложений мог быть создан специально для распространения вредоносного ПО. По мнению сотрудников компании, потенциально может быть реализована, в которой киберпреступники, контролирующие такой магазин, добавляют вредоносные функции во все приложения.

Чтобы не стать жертвой хакеров, в компании рекомендуют пользователям использовать только официальные магазины приложений, избегая альтернативных площадок.

Re: Новые вирусные угрозы
 

Шифрующий жёсткие диски вымогатель Mamba появился снова

В сентябре 2016 исследователем из компании Morphus Labs было обнаружено приложение-вымогатель Mamba. Обычно вымогатели зашифровывают файлы с определёнными расширениями или в заданных папках, но Mamba не мелочится и шифрует всё содержимое жёсткого диска. Также вносятся изменения, после которых компьютер перестаёт загружать операционную систему.

Авторы вымогателя снова взялись за дело и нацелились на крупные организации. Аналитики из лаборатории Касперского пишут, что последние атаки проведены против целей в Бразилии и Саудовской Аравии. Mamba использует программы с открытым исходным кодом вроде DiskCryptor для шифрования диска.

После установки система перезагружается. Вносятся изменения в главную загрузочную запись (MBR), разделы диска шифруются с паролем. Когда процесс завершён, снова происходит перезагрузка. Вместо загрузки операционной системы появляется записка с требованием выкупа.

Пока нет методов расшифровать зашифрованные Mamba диски бесплатно. Причиной является сильный алгоритм шифрования. Пользователям следует осмотрительно относиться к скачиваемым в интернете файлам и ссылкам. Файлы перед запуском можно проверять в сервисе Virus Total.

Re: Новые вирусные угрозы
 

Google Play подвергся нашествию приложений-шпионов

Исследователи компании Lookout выявили несколько приложений-шпионов, распространяемых через Google Play. Все они принадлежат к семейству SonicSpy и занимаются тем, что ведут круглосуточную слежку за своими жертвами, отправляя получаемую информацию на сервера злоумышленников.

Одним из наиболее распространенных представителей семейства SonicSpy является псевдомессенджер Soniac, который за время своего существования был загружен около 5000 раз. По словам экспертов, Soniac способен активировать такие функции зараженного смартфона, как диктофон, камера, а также получать доступ к сообщениям жертвы и осуществлять звонки.

Таким образом вредонос может получать контроль над банковскими счетами своих жертв и подписывать их на всевозможные платные рассылки. Схожей функциональностью обладают два других приложения, выявленные специалистами Lookout в ходе проверки. К ним относятся удаленные Hulk Messenger и Troy Chat.

На момент выхода публикации в Google Play отсутствуют какие-либо упоминания о приложениях SonicSpy. При этом доподлинно неизвестно, является ли это следствием работы самой Google или попыткой злоумышленников уберечь свои наработки от удаления, чтобы впоследствии возобновить свою мошенническую деятельность.

Re: Новые вирусные угрозы
 

Вирус атакует Android-пользователей через приложения для вызова такси

Эксперты в области IT-безопасности сообщили о новой модификации вируса Faketoken для Android-устройств. Вредонос способен перекрывать диалоговые окна других приложений, пользуясь этим для сбора конфиденциальной информации, в том числе о банковских картах. Основную угрозу вирус представляет для пользователей из России, Беларуси, Казахстана и других стран.

Троянец отслеживает активные приложения, и, как только жертва запускает нужное, перекрывает его интерфейс своим, предлагая пользователю ввести данные банковской карты именно на этой странице. Подмена официального окна фишинговым происходит мгновенно, а цветовая гамма и дизайн соответствуют оригиналу, поэтому пользователь может не заметить обмана, рассказали в «Лаборатории Касперского».

Злоумышленники также предусмотрели возможность обхода такой защитной функции совершения платежей, как введение одноразового кода. Faketoken перехватывает все входящие сообщения и направляет их на управляющие серверы. Кроме того, троянец следит за теми звонками, которые совершает пользователь: при получении (или инициации) вызова с определенного номера вредонос начинает записывать разговор, а затем также отправляет его злоумышленникам.

Предположительно, новая модификация Faketoken попадает на смартфоны с помощью SMS-рассылки, в которой пользователям предлагается загрузить некие фотографии.

Re: Новые вирусные угрозы
 

Вирус Petya поразил 30% информационно-телекоммуникационных систем Украины - Госспецсвязи

Вирус Petya Ransomware поразил 30% информационно-телекоммуникационных систем Украины, открыто 800 уголовных производств. Об этом сообщили в пресс-службе Госспецсвязи.

"Всего в результате кибератаки были поражены более 30% информационно-телекоммуникационных систем страны. По имеющейся информации, на горячую линию Национальной полиции Украины поступило около 3 тыс. обращений от физических и юридических лиц (1,5 тыс. человек подали официальные заявления), открыто более 800 уголовных производств", - сообщили в Госспецсвязи.

В службе сообщили, что по предварительным оценкам, от кибератаки в государственном секторе пострадало 15-20% учреждений.

"Более 80% из них восстановили работоспособность пораженных систем, стало возможным благодаря рекомендациям, предоставленным Командой реагирования на компьютерные чрезвычайные события Украины CERT-UA", - говорится в сообщении. Пресс-служба Госспецсвязи также сообщила, что ни один государственный электронный ресурс, который был защищен общим контуром киберзащиты, реализованный Госспецсвязи, не пострадал.

"Не получили повреждения или других несанкционированных действий и электронные государственные реестры страны", - добавили в Госспецсвязи.

При этом отмечается, что в частном секторе по разным оценкам в сегменте крупных компаний были поражены 70-80% компьютеров.

"В энергетическом секторе поражено около 18% ресурсов, в банковском - около 30% (среди государственных банков поражено около 50%)", - добавили в службе.

Re: Новые вирусные угрозы
 

Dr.Web первым обнаружил загрузчик троянца для «умных» Linux-устройств на базе MIPS и MIPSEL

Ассортимент современных вредоносных программ для устройств под управлением Linux чрезвычайно широк.

Одним из широко распространенных троянцев для данной ОС является Linux.Hajime, несколько загрузчиков детектировал только Антивирус Dr.Web.

Троянцы семейства Linux.Hajime известны вирусным аналитикам с конца 2016 года. Это сетевые черви для Linux, распространяющиеся с использованием протокола Telnet. После успешной авторизации путем подбора пароля плагин-инфектор сохраняет на устройство хранящийся в нем загрузчик, написанный на ассемблере. С компьютера, с которого осуществлялась атака, тот загружает основной модуль троянца. В свою очередь вредоносная программа включает инфицированное устройство в децентрализованный P2P-ботнет. Linux.Hajime способен заражать объекты с аппаратной архитектурой ARM, MIPS и MIPSEL.

Помимо вредоносного загрузчика для ARM-устройств в «дикой природе» уже более полугода распространяются аналогичные по своим функциям модули для устройств с архитектурой MIPS и MIPSEL. Первый из них получил наименование Linux.DownLoader.506, второй — Linux.DownLoader.356. На момент подготовки этой статьи они оба детектировались только продуктами Dr.Web. Кроме того, вирусные аналитики «Доктор Веб» установили, что помимо использования троянцев-загрузчиков злоумышленники осуществляют заражение и при помощи стандартных утилит, например, скачивают Linux.Hajime посредством wget. А начиная с 11 июля 2017 года киберпреступники стали загружать троянца на атакуемое устройство с помощью утилиты tftp.

Собранная специалистами «Доктор Веб» статистика показывает, что на первом месте среди стран, к которым относятся IP-адреса зараженных Linux.Hajime устройств, находится Мексика. Также в тройку входят Турция и Бразилия. Географическое распределение IP-адресов инфицированных объектов показано на следующей диаграмме:

Компания «Доктор Веб» напоминает: одним из наиболее надежных способов предотвращения атак на Linux-устройства является своевременная смена установленных по умолчанию логина и пароля. Кроме того, рекомендуется ограничивать возможность подключения к устройству извне по протоколам Telnet и SSH и своевременно обновлять прошивку. Антивирус Dr.Web для Linux определяет и удаляет все упомянутые версии загрузчиков Linux.Hajime, а также позволяет выполнить дистанционное сканирование устройств.

Re: Новые вирусные угрозы
 

На хакерских форумах бесплатно распространяется вредонос Cobian RAT с бэкдором в комплекте

Специалисты компании Zscaler обнаружили, что с февраля 2017 года на андеграундных хакерских форумах активно рекламируют и распространяют бесплатную малварь Cobian RAT. Однако польстившихся на это предложение злоумышленников ожидает неприятный сюрприз – скрытый бэкдор.

Глава исследовательского подразделения компании, Дипен Десай (Deepen Desai) рассказывает, что неизвестные предлагают загрузить Cobian RAT под видом бесплатного билдера, с помощью которого любой желающий может создать собственную, кастомную версию вредоноса. Незаметно для своих наивных жертв Cobian RAT связывается с адресом на Pastebin, который принадлежит оригинальным авторам малвари, и ожидает получения команд. К этому файлу на Pastebin обращались уже 4055 раз, что позволяет судить о количестве пострадавших.

http://internetua.com/upload/tinymce...1504133854.png
Десай рассказывает, что, к счастью, Cobian RAT основан на коде njRAT и H-Worm, но работает плохо: многие функция вредоноса ведут себя не совсем так, как должны. К примеру, модуль кейлоггера перехватывает нажатия клавиш неверно, если пользователь печатает слишком быстро. Возможно, именно поэтому Cobian RAT до сих пор не набрал большой популярности, хотя злоумышленники уже более полугода распространяют его бесплатно. Тем не менее, специалисты Zscaler отмечают, что не считая скрытого бэкдора и ряда ошибок, Cobian RAT предлагает такую же функциональность, как и другие похожие решения на «рынке», то есть малварь не так сильно отстает от своих конкурентов.

«Мы не наблюдали крупных кампаний с использованием Cobian RAT, но обнаружили пару отдельных инцидентов, в ходе которых [малварь] распространялась через скомпрометированные сайты», — рассказал исследователь изданию Bleeping Computer.

С подробным анализом угрозы можно ознакомиться в блоге Zscaler, а ниже мы приводим инфографику, составленную компанией и иллюстрирующую методы работы Cobian RAT.
http://internetua.com/upload/tinymce...ic-430x900.png

Re: Новые вирусные угрозы
 

Троян Joao охотится на пользователей онлайн-игр

ESET обнаружила новую вредоносную программу, нацеленную на геймеров. Троян Joao распространяется вместе с играми разработчика Aeria Games, доступными на неофициальных площадках.
Joao предназначен для загрузки и запуска в зараженной системе другого вредоносного кода. Троян имеет модульную архитектуру – специалисты ESET обнаружили компоненты для удаленного доступа, шпионажа и проведения DDoS-атак.
На момент исследования Joao распространялся вместе с клиентом популярной онлайн-игры Grand Fantasia. ESET заблокировала сайт, с которого осуществлялась загрузка зараженной версии игры, и сообщила об инциденте в компанию Aeria Games.
Некоторые другие игры этого разработчика ранее также использовались для распространения вредоносных программ. Но в настоящее время сайты, раздающие троян, неактивны, либо опасный контент удален.
Троян Joao запускается на компьютере жертвы в фоновом режиме одновременно с игровым приложением, чтобы избежать подозрений пользователя. Инфицированная версия игры отличается только наличием «лишнего» файла mskdbe.dll в установочной папке.
После запуска Joao отправляет на удаленный сервер злоумышленников сведения о компьютере жертвы, включая имя устройства, версию операционной системы, информацию об учетной записи пользователя и привилегиях. Далее атакующие могут выбрать дополнительные компоненты Joao для установки в зараженной системе.
Чтобы избежать заражения Joao, ESET рекомендует геймерам:

загружать игры с официальных площадок;
устанавливать обновления, которые выпускают издатели игр;
использовать комплексное антивирусное решение и не выключать его во время игры.
Антивирусные продукты ESET детектируют угрозу как Win32/Joao (Win64/Joao).

Re: Новые вирусные угрозы
 

Сервис TNT до сих пор страдает от последствий атаки NotPetya

http://internetua.com/upload/content...beebf97845.jpg
Сотрудники TNT в Великобритании сообщили клиентам, что количество скопившихся накладных бьет все рекорды, поскольку международные перевозки все еще обрабатываются вручную. Аналогичные проблемы возникают во всех центрах TNT по всему миру.

Акции курьерской компании упали более чем на 3% после атаки, а ее материнская компания FedEx выпустила заявление, в котором говорится о существенном снижении ее доходов. Причиной этого стало большое количество недовольных клиентов.

Все склады, отделения и сервисы TNT работают, но проблемы с ИТ-системами и большой объем работы приводят к значительным задержкам. В частности, наблюдаются задержки в обслуживании и выставлении счетов. Пока нельзя точно сказать, сколько времени потребуется для восстановления затронутых систем. Вполне возможно, что TNT не сможет полностью восстановить все критически важные данные, которые были зашифрованы вредоносным ПО, заявили представители FedEx.

Re: Новые вирусные угрозы
 

Количество заражений вымогательским ПО бьет рекорды 2016 года

Согласно данным , предоставленным компанией Symantec, объем заражений вымогательским ПО за этот год может превысить показатели 2016. Гигант в сфере кибербезопасности заявил, что уже в первой половине года было зарегистрировано 319 000 случаев заражения.

Если до конца года тенденция не изменится, то можно будет говорить об увеличении числа заражений почти в два раза. По данным Symantec за 2016 год компания зарегистрировала как минимум 470 000 случаев заражения вредоносами.

Количество инфицированных пользователей значительно увеличилось во время вспышек заражения вымогательским ПО WannaCry и NotPetya в мае и июне, соответственно. Эксперты по кибербезопасности опасаются, что другие вымогатели попытаются воспроизвести их тактику заражения.

Хотя WannaCry и NotPetya также имели возможность распространяться по интернету на другие уязвимые компьютеры, в первую очередь их целью были именно организации, так как большинство домашних интернет-маршрутизаторов заблокировали бы попытки заражения, связанные с эксплойтом EternalBlue.

По данным Symantec, в 2015 и 2016 годах на долю предприятий приходилось около 29-30% случаев инфицирования, по сравнению с 42% в первой половине 2017 года. Также увеличилась и средняя сумма выкупа, с 294 до 1077 долларов США.

Re: Новые вирусные угрозы
 

Банковский троян Trickbot похищает деньги у пользователей Coinbase

На прошлой неделе эксперты по безопасности компании Forcepoint заявили о добавлении в последней версии вредоносного ПО Trickbot функции, позволяющей красть деньги со счетов пользователей ресурса Coinbase.

В июне вышло большое обновление Trickbot, в котором была добавлена возможность нацелить троян на счета PayPal и страницы входа нескольких известных CRM. Спустя месяц команда TrickBot добавила самораспространяющийся компонент, позволяющий банковскому трояну заражать соседние компьютеры по протоколу SMB.

И вот, в августе, было выпущено еще одно обновление. Исследователи безопасности обнаружили в конфигурационных файлах трояна фунционал, позволяющий выводить в браузере поддельную форму входа при посещении Coinbase.com.

Coinbase - одна из самых крупных современных интернет-площадок для хранения криптовалюты. С помощью трояна мошенники могут похищать денежные средства из скомпрометированных учетных записей.

Данная версия TrickBot была обнаружена на прошлой неделе в небольшой спам-кампании. Троян маскировался под документы Canadian Imperial Bank of Commerce (CIBC) и был предположительно ориентирован в первую очередь на канадских пользователей.

Trickbot - это новое вредоносное ПО, появившееся осенью 2016 года. Эксперты сходятся во мнении, что у Trickbot и банковского трояна Dyre один разработчик.

Re: Новые вирусные угрозы
 

Вирус Cerber проник на сайт правительства США и вымогал биткоины

http://internetua.com/upload/content...db50dab7d8.png
В августе 2017 года на веб-сайте Национальной координационной группы по лесным пожарам (NWCG) в США был обнаружен вирус-вымогатель. Первым его идентифицировал Анкит Анубхав, исследователь из компании NewSkySecurity.

Неясно, как долго вирус был на официальном сайте правительства, и смог ли он кому-нибудь навредить.

Несмотря на то, что файл уже удален, тот факт, что он смог проникнуть в официальный домен .gov, вызывает немалое беспокойство. Большинство таких доменов аккредитованы, а значит, любая загрузка, сделанная с этих сайтов в целом безопасна.

Больше информации о вредоносном файле

По словам исследователей, вредоносный файл размещал загрузчик вируса-вымогателя Cerber. Подобно большинству вымогателей, он шифрует файлы на зараженном устройстве и делает их недоступными до тех пор, пока владелец не согласится заплатить выкуп в виде биткоинов.

Cerber существует уже более года и даже продается как услуга, которую может заказать любой пользователь на форумах даркнета. Он также был обнаружен в спам-кампаниях и атаках бот-сетей.

По словам аналитика вредоносных программ Мариано Паломо Вильяфранка из компании Telefonica, загрузчик Cerber происходит из популярного вредоносного домена.

Пока непонятно, как загрузчик Cerber смог проникнуть на веб-сайт NWCG. Анубхав предположил, что сайт взломали или файл был отправлен в письме государственному чиновнику, которое вместе с вредоносным загрузчиком было заархивировано и сохранено на сайте.

NWCG в свою очередь не сделал публичное заявление и не предоставил дополнительную информацию об обнаружении и удалении вредоносного файла.

В прошлом году число подобных атак увеличилось, а их целью стали политики, университеты и даже частные компании. Хотя мотивы нападений шифровальщика Cerber до сих пор неизвестны, очевидно, что государственным органам следует принять меры по усилению кибербезопасности. А согласно недавним исследованиям, уязвимыми оказались 65 процентов банков США, которые провалили тесты на безопасность.

Re: Новые вирусные угрозы
 

Обнаружен вирус для добычи криптовалют через чужие компьютеры

В Сети набирает популярность вирус, который устанавливает на компьютеры программу для скрытого майнинга - добычи криптовалют.

Эксперты подсчитали, что "подпольная" майнинговая сеть приносит злоумышленникам до 30 тысяч долларов в месяц. Как правило, через чужие компьютеры генерируют криптовалюты Monero (XMR) и Zcash.

Несколько крупных бот-сетей обнаружили в "Лаборатории Касперского". Каждая из них включает в себя тысячи зараженных компьютеров. Вредоносное ПО попадает на них, как правило, через инсталляторы рекламного ПО. Пользователь обычно скачивает их самостоятельно, с файлообменника под видом бесплатного ПО или ключей для активации лицензионных продуктов.

Программы-майнеры закрепляются в системе и автоматически запускаются при включении компьютера.

Также вирус может проникнуть через уязвимости в ПО пользователя. В частности, через брешь EternalBlue он попадает на сервер, а это более выгодно для майнинга.

Сам по себе процесс майнинга не считается незаконным. Добывать криптовалюты на своем компьютере может и сам пользователь. А потому, как подчеркивают в "Лаборатории Касперского", зафиксировать процесс скрытого майнинга довольно сложно.

Между тем, из-за него могут пострадать бизнес-процессы, так как скорость обработки данных на зараженных компьютерах и серверах значительно падает.

Re: Новые вирусные угрозы
 

13-летний подросток задержан за продажу «шуточного» мобильного локера

В минувший вторник, 5 сентября 2017 года, полиция сообщила (1, 2, 3) о задержании в Осаке 13-летнего подростка, который рекламировал и продавал мобильный блокировщик на торговой площадке Mercari.

Мобильный локер не шифровал файлы, лишь блокирован экран мобильного девайса, не давая пострадавшему нормально пользоваться устройством. При этом подросток продавал вредоноса почти не скрываясь и просил за копию всего ¥860-1500 (от $7,82 до $13,65). Дело в том, что малварь якобы предназначалась для розыгрышей, а не для настоящих киберпреступлений. Однако закон не видит разницы.

Представители правоохранительных органов обнаружили рекламу на Mercari в ходе рутинной проверки. Теперь полиция сообщает, что подросток активно рекламировал свой «продукт» в социальных сетях, но успел заработать только ¥5000 ($45,5).

Так как нарушителю еще нет 14 лет, он не был арестован, и сейчас им занимаются сотрудники ювенального консультационного центра в Осаке. Зато за покупку «шуточного» вредоноса арестовали четверых покупателей в возрасте от 14 до 19 лет.

Напомню, что еще в 2011 году в Японии были приняты законы, предусматривающие за умышленное создание или распространение малвари штраф в размере ¥500 000 и тюремное заключение на срок до трех лет. За хранение вредоносов предусмотрен штраф в размере ¥300 000 и тюремное заключение на срок до двух лет.

Re: Новые вирусные угрозы
 

Уязвимости Bluetooth: миллиарды устройств под угрозой

Специалисты компании Armis Labs выявили целый комплекс уязвимостей протокола Bluetooth. Он получил название BlueBorne и включает сразу 8 уязвимостей, 3 из которых имеют статус критических. Уязвимости затрагивают абсолютно все устройства – от компьютеров, смартфонов и планшетов до «умных» бытовых приборов и автомобилей. Главная опасность состоит в том, что атака BlueBorne не требует никаких действий от пользователя. Ему не нужно загружать на свое устройства файлы, переходить по ссылкам и даже создавать пару с устройством атакующего. Инфицирование происходит автоматически, если передача данных по Bluetooth включена. Таким образом, атака распространяется вирусным путем. Исследователи предупреждают, что если использовать BlueBorne для распространения, например, зловредов-шифровальщиков (по принципу, схожему с принципом атак WannaCry), то последствия могут быть просто катастрофическими.

BlueBorne затрагивает все ведущие операционные системы. Их разработчики и производители устройств уведомлены Armis Labs об угрозе. Корпорация Microsoft сообщила, что патч, устраняющий проблему для ее компьютеров, выпущен еще в июле, и все пользователи, своевременно обновившие ПО, в безопасности. Представители Apple подчеркнули, что BlueBorne не затрагивает iOS 10 и более поздние версии операционной системы (в Armis Labs, однако, отмечают, что версии iOS 9.3.5 и более ранние по-прежнему уязвимы). Корпорация Google уведомила, что необходимое обновление для ОС Android выпущено в августе, но темпы его распространения зависят от производителей устройств и мобильных операторов.

При этом не следует сбрасывать со счетов и многочисленные «умные» устройства, которые используют Bluetooth, но обновляются существенно реже, чем смартфоны и компьютеры ведущих компаний. По оценкам исследователей Armis Labs, порядка 40 процентов от всех потенциально уязвимых перед BlueBorne устройств не получат обновлений и останутся беззащитными перед атакой. В абсолютных цифрах это составляет порядка 2 миллиардов устройств.

Re: Новые вирусные угрозы
 

Вредоносное ПО ExpensiveWall заразило миллионы Android-устройств

Исследователи безопасности из компании Check Point обнаружили новое вредоносное ПО, получившее название ExpensiveWall, которое отправляет SMS-сообщения и снимает деньги со счета пользователя без его ведома для оплаты доступа к премиум-сервисам на мошеннических сайтах. По словам исследователей, вредонос содержался в приложении Lovely Wallpaper и ряде других, которые были загружены порядка 4,2 млн раз. В общей сложности Google удалила из Google Play Store порядка 50 инфицированных приложений.

ExpensiveWall - новая версия вредоносного ПО, впервые обнаруженного в Google Play в начале текущего года. За это время различные версии вредоноса были загружены порядка 5,9 млн - 21,1 млн раз. Основное отличие ExpensiveWall от остальных версий заключается в использовании усовершенствованной техники обфускации вредоносного кода, позволяющей обойти защиту Google Play. При использовании данной техники вредоносный код сжимается и шифруется для уклонения от обнаружения.

В начале августа Google удалила инфицированные приложения, однако позднее в Google Play появилось новое зараженное приложение, которое было скачано еще 5 тыс. раз. По словам исследователей, объем дохода, полученного злоумышленниками в рамках мошеннической схемы, неизвестен.

После установки зараженное приложение запрашивает несколько разрешений, включая доступ в Интернет (для связи с C&C-сервером) и разрешение на отправку SMS-сообщений (для регистрации пользователей на мошеннических сайтах). ExpensiveWall содержит интерфейс, который синхронизирует действия в приложении с кодом JavaScript, работающем в web-интерфейсе WebView. После установки и получения необходимых разрешений ExpensiveWall отправляет данные о зараженном устройстве на C&C-сервер, включая информацию о его местоположении и уникальных идентификаторах, таких как MAC- и IP-адреса, IMSI и IMEI.

Когда пользователь включает Android-устройство или изменяет параметры подключения, вредоносное ПО подключается к серверу и получает ссылку, открывающуюся во встроенном WebView. Данная страница содержит вредоносный код JavaScript, запускающий функции внутри приложения, используя Javascript Interface, пояснили исследователи. Вредоносное ПО использует номер телефона пользователя для подписки на различные платные сервисы.

В настоящее время ExpensiveWall используется исключительно для получения прибыли, однако он может быть модифицирован для захвата скриншотов, записи аудио, хищения конфиденциальных данных и пр. Поскольку вредоносное ПО действует незаметно, оно может использоваться как инструмент для шпионажа, предупреждают исследователи.

Re: Новые вирусные угрозы
 

Осторожно! Эта ссылка может убить ваш iPhone

http://internetua.com/upload/content...-1240x697.jpeg
На iPhone уже не первый раз создаются вредоносные файлы, либо используются баги системы, приводящие к жутким фризам и перезагрузкам устройства.

Ребята из EverythingApplePro опубликовали файл профиля, способный буквально превратить ваш смартфон в кирпич.

Как это работает

Вы переходите по этой ссылке и скачиваете файл с названием iOS 11 JailBreak. После этого устанавливаете профиль, а на смартфоне начинает создаваться куча иконок.

Это происходит настолько быстро, что iPhone не справляется с нагрузкой и начинает очень сильно провисать. Самое плохое, что этот профиль удалить нельзя.

Для него придётся загружать фикс-профиль, проходя через боль и агонию, а также тратя нервы на нереальные тормоза устройства.

Кроме того, злоумышленнику предоставляется доступ к вашим фотографиям в заблокированном состоянии.

Чтобы избежать подобной «шутки» от друзей, запомните, джейлбрейка для iOS 11 нет. И никогда не устанавливайте неизвестные профили на своё рабочее устройство!

Re: Новые вирусные угрозы
 

Вирус-вымогатель вместо денег требует обнаженные фото

Группа исследователей сайта MalwareHunterTeam, посвященного кибербезопасности, наткнулась на новый вирус-вымогатель nRansomware. Поведение у вируса довольно странное: вместо денег за разблокированный компьютер он требует от жертвы выслать минимум 10 фотографий голышом.

При этом киберпреступники отмечают, что они сперва проверят, принадлежат ли фотографии именно жертве. И только потом разблокируют компьютер.

Сетевые антивирусные инструменты классифицируют nRansom.exe как вредоносный файл. А потому на шутку «айтишников» факт существования такого вымогателя списать довольно сложно. Сколько компьютеров уже подверглось заражению и сколько лет вымогателям, установить пока не удалось.

По сведениям MalwareHunterTeam, при заражении вирус воспроизводит музыкальный файл под названием your-mom-gay.mp3. А лицом вируса является паровозик Томас.

Re: Новые вирусные угрозы
 

Вредоносное ПО FormBook атакует военный сектор России, США и Южной Кореи

Исследователи безопасности из компании FireEye зафиксировали кампанию с использованием вредоносного ПО FormBook, нацеленную преимущественно на аэрокосмический, военный и промышленный сектор США, Южной Кореи, Индии и России.

По словам экспертов, атакующих сложно идентифицировать из-за особенностей модели распространения вредоноса. FormBook предлагается в рамках модели "Вредоносное ПО-как-услуга" (Malware-as-a-Service), которую может заказать любой желающий, предварительно оформив подписку на неделю ($29), месяц ($59) или 3 месяца ($99), а также купить Pro-версию за $299.

Вредоносное ПО распространяется через различные форматы документов, включая PDF, DOC/XLS и архивы, содержащие вредоносную ссылку, макрос или исполняемую полезную нагрузку. Вредоносный PDF замаскирован под уведомление служб курьерской доставки DHL и FedEx о получении посылки.

Программа внедряется в различные процессы для регистрации нажатия клавиш, кражи содержимого буфера обмена и извлечения данных из сеансов HTTP. Она также может выполнять команды, поступающие с C&C-серверов. Вредоносное ПО можно настроить на загрузку и выполнение файлов, запуск процессов, завершение работы и перезагрузку системы, а также хищение файлов cookie и локальных паролей.

По словам исследователей, FormBook эксплуатирует уже известные уязвимости, не используя какую-либо одну определенную.

Большая часть атак с использованием FormBook приходится на США (71%), Южную Корею (31%), Индию (17%) и Россию (5%).

Re: Новые вирусные угрозы
 

Пользователей Android атаковал блокирующий экраны вирус

Специалисты впервые обнаружили шифратор для мобильных устройств на базе Android, который блокирует экран и вымогает выкуп. Об этом говорится в пресс-релизе компании ESET.

Вредоносное ПО под названием DoubleLocker работает на основе вируса, который воровал банковские данные жертв. Тем не менее новый вредонос не интересуется финансовой информацией на устройстве, а шифрует данные и может поменять PIN-код смартфона или планшета.

Распространение опасного программного обеспечение происходит под видом обновления или активации Adobe Flash Player на фальшивых сайтах. Попав на устройство, DoubleLocker получает необходимые разрешения под видом включения ложной службы Google Play Service.

«Каждый раз, когда пользователь нажимает кнопку "Домой", вымогатель активируется и блокирует экран планшета или смартфона», — рассказал представитель компании, обнаруживший новый вид вредоноса.

За снятие блока с ***жета злоумышленники требуют 0,0130 биткоина, угрожая в противном случае спустя сутки уничтожить все данные.

Re: Новые вирусные угрозы
 

Глава Microsoft назвал ответственных за глобальную вирусную атаку Wannacry

Президент компании Microsoft Брэд Смит полагает, что за вирусом Wannacry, атаковавшим компьютеры по всему миру в мае 2017 года, стоит правительство Северной Кореи. Об этом он рассказал в интервью ITV News.

Смит указал, власти КНДР для осуществления своей атаки воспользовались украденными у Агентства национальной безопасности (АНБ) США «киберинструментами или оружием».

Также он добавил,что кибератаки, которые были организованы правительствами разных стран, стали происходить гораздо чаще. Кроме того, эти атаки стали серьезнее.

«Все правительства должны собраться вместе, как это уже было сделано в 1949 году в Женеве, и принять «Цифровую Женевскую конвенцию», в которой будет указано, что кибератаки против гражданских лиц, особенно в мирное время, являются нарушением международного права», — заключил Смит.

Вирус WanaCrypt0r 2.0 (он же WannaCry) начал активно распространяться 12 мая. Неизвестные хакеры блокировали информацию на компьютерах и требовали выкуп в размере от 300 до 600 долларов. Распространение вируса-вымогателя удалось приостановить случайно спустя сутки. По данным экспертов, глобальная кибератака с использованием вируса WannaCry нанесла ущерб на один миллиард долларов.

Re: Новые вирусные угрозы
 

Продавцы вирусов-вымогателей разбогатели на миллионы долларов

Продавцы программ-вымогателей из даркнета увеличили свои доходы на 2,5 тысячи процентов по сравнению с предыдущим годом. Об этом говорится в докладе, опубликованном американской компанией Cyber-Security Carbon Black.

Чтобы собрать данные для своего отчета, исследователи изучили более 6,3 тысячи сайтов, где мошенники рекламировали свои услуги, и обнаружили около 45 тысяч объявлений. Цены на вредоносные программы составляют от 50 центов до 3 тысяч долларов, причем многие мошенники продают месячные или годовые подписки на свои продукты.

«По сравнению с прошлым годом рынок вымогательского ПО в даркнете вырос с 249 тысяч до 6 миллионов долларов, то есть на 2,5 тысячи процентов» — заявили эксперты Carbon Black в своем докладе.

С начала 2017 года ресурсы для вымогателей, которые называют Ransomware as-a-Service, или RaaS, значительно окрепли. Часть порталов RaaS предоставляют услуги по схеме «все включено» и продают полный набор инструментов, включая спам-ботнеты. Стоимость услуг на сайтах, продающих отдельные инструменты, гораздо ниже, но они требуют от заказчиков технической подготовки.

На рынке работают также игроки-одиночки, которые продают авторские вредоносные программы. Некоторые из них зарабатывают на вредоносах по 100 тысяч долларов в год, что намного выше средней зарплаты разработчика программного обеспечения в США — она редко превышает 69 тысяч долларов.

Re: Новые вирусные угрозы
 

Обнаружен ворующий криптовалюту вирус

Эксперты «Лаборатории Касперского» обнаружили вирус-троян, ворующий криптовалюты из кошельков пользователей.

Целью злоумышленников стали Bitcoin, Ethereum, Zcash, Dash, Monero и другие электронные деньги. С его помощью уже украдены 23 биткоина на 160 тысяч долларов.

Вредоносная программа получила название CryptoShuffler, она эксплуатирует человеческую невнимательность. Для того, чтобы перевести деньги с одного криптокошелька на другой, пользователю необходимо указать идентификационный номер получателя, который состоит из множества символов. Запомнить его практически невозможно, поэтому обычно используется функция «копировать-вставить». Именно на этом этапе активизируется CryptoShuffler.

«После загрузки он начинает следить за буфером обмена устройства, и когда обнаруживает там предполагаемый адрес кошелька, подменяет его на свой собственный. В результате, если пользователь не замечает подлога, деньги отправляются напрямую злоумышленникам», — рассказали эксперты.

Re: Новые вирусные угрозы
 

Dr. Web предупредил о «троянце» в популярных приложениях в Google Play

Вирусные аналитики Dr. Web нашли в Google Play девять приложений, которые заражены «троянцем», который может красть конфиденциальную информацию. Эти программы были загружены более чем 2 млн пользователей

Эксперты Dr. Web обнаружили в каталоге Google Play девять приложений, в которые встроен вирус-троянец Android.RemoteCode.106.origin. Об этом сообщается на сайте антивирусной компании.

Как заключили аналитики, вредоносная программа незаметно для пользователя открывает сайты, переходит по расположенным на них рекламным объявлениям, накручивает посещаемость отдельных интернет-ресурсов и может копировать конфиденциальную информацию, которая хранится на устройствах.

Вирус нашли в приложениях Sweet Bakery Match 3 — Swap and Connect 3 Cakes версии 3.0; Bible Trivia версии 1.8; Bible Trivia — FREE версии 2.4; Fast Cleaner light версии 1.0; Make Money 1.9; Band Game: Piano, Guitar, Drum версии 1.47; Cartoon Racoon Match 3 — Robbery Gem Puzzle 2017 версии 1.0.2; Easy Backup & Restore версии 4.9.15 и Learn to Sing версии 1.2.

Эти программы, уточнили в Dr. Web, скачали от 2,37 млн до 11,70 млн пользователей.

Антивирусная компания также отследила поведение вредоносной программы. Сначала вирус выполняет серию проверок на устройстве, в частности, какое количество фотографий хранит пользователь, сколько у него контактов в телефонной книге и записей о звонках в журнале вызовов. Если их количество не соответствует определенным параметрам, заложенным в программу, то «троянец» себя никак не проявляет. При соответствии он отправляет запрос на управляющий сервер и активируется.

«Наши аналитики проинформировали компанию Google о наличии Android.RemoteCode.106.origin в обнаруженных приложениях. На момент публикации этого материала часть из них уже была обновлена, и троянец в них отсутствовал. Тем не менее оставшиеся программы по-прежнему содержат вредоносный компонент и все еще представляют опасность», — говорится в сообщении.

Re: Новые вирусные угрозы
 

Банковский троян Terdot теперь может шпионить за пользователями

Сложный банковский троян Terdot, разработанный на базе печально известного вредоноса Zeus, получил новые возможности, позволяющие отслеживать и модифицировать публикации пользователей в Facebook и Twitter, а также перехватывать электронные сообщения.

Троян активен с середины 2016 года и в основном атакует пользователей в США, Канаде, Великобритании, Германии и Австралии. Вредонос обладает рядом функций, включая возможность осуществлять атаки «человек посередине», внедрять код в web-сайты, похищать информацию из браузеров, в том числе логины/пароли и данные кредитных карт. Как обнаружили исследователи из компании Bitdefender, новая версия трояна получила расширенные возможности, позволяющие шпионить практически за всей online-активностью жертв. Теперь вредоносная программа может эксплуатировать учетные записи пользователей в соцсетях для кражи данных и собственного распространения.

Как пояснили исследователи, при получении соответствующих инструкций вредоносное ПО публикует в аккаунтах ссылки на свои копии. Кроме того, вредонос способен похищать учетные данные и файлы cookie. Операторы трояна используют данную информацию в различных целях, например, для перепродажи доступа к учетной записи.

Примечательно, Terdot атакует различные соцсети, за исключением пользователей «ВКонтакте», что может говорить о восточноевропейском происхождении его операторов.

Троян распространяется с помощью фишинговых писем, содержащих ссылку на документ PDF, при переходе по которой на компьютер пользователя загружается вредоносное ПО. Оказавшись на системе, Terdot внедряется в процессы браузера для перехвата трафика, а также может загружать дополнительное шпионское ПО для извлечения данных и их отправки на C&C-серверы.

Появление дополнительной возможности мониторинга соцсетей и электронной почты выводит опасность трояна на новый уровень, по сути превращая его в мощный инструмент для шпионажа, который сложно обнаружить и удалить из системы, отмечают специалисты.

Re: Новые вирусные угрозы
 

Киберполиция предупредила о новой атаке вируса-шифровальщика

Киберполиция зафиксировала массовое распространение вируса-шифровальщика, известного как Scarab, сообщает департамент киберполиции Национальной полиции Украины.

Этот вирус впервые обнаружили специалисты по кибербезопасности в июне 2017 года, а 24 ноября, было зафиксировано его распространения с помощью крупнейшей спам-ботнет сети "Necurs".

Специалисты по кибербезопасности установили, что с использованием "Necurs" было отправлено более 12 млн электронных писем, в которых содержались файлы с новой версией Scarab ransomware.

"Электронные письма, в которых содержался Scarab, были замаскированы под архивы с отсканированными изображениями. Пользователи электронной почты, получая сообщение, видели, что к нему якобы были прикреплены файлы с изображениями отсканированных документов. Например: "Отсканировано от Lexmark", "Отсканировано от HP", "Отсканировано от Canon", "Отсканировано от Epson", – говорится в сообщении.

Эти письма содержали внутри архив 7Zip, с заархивированным Visual Basic скриптом. После его срабатывания на компьютер пользователя загружается и запускается EXE-файл – вирус Scarab ransomware.

После успешного шифрования вирус создает и автоматически открывает текстовый файл с требованием выкупа, а затем размещает его на рабочем столе.

Сумма выкупа в сообщении не указывается. Однако злоумышленники обращают внимание жертвы на то, что сумма выкупа будет увеличиваться со временем, пока пострадавший не свяжется с авторами Scarab по электронной почте или BitMessage.

За сутки в Департамент киберполиции Национальной полиции Украины не поступало обращений и заявлений по поводу поражения этим вирусом.

Для уменьшения риска заражения техники вирусом, специалисты по киберполиции рекомендуют пользователям тщательно и внимательно относиться ко всей электронной корреспонденции. Не стоит открывать такие приложения, даже если они пришли из надежного источника. Также в полиции советуют получать подтверждение передачи файлов от адресата другими доступными каналами связи (телефон, смс, мессенджеры)

Re: Новые вирусные угрозы
 

Модульный банковский троян атакует пользователей Windows

«Доктор Веб» предупреждает о появлении новой вредоносной программы, созданной с целью хищения средств с банковских счетов пользователей Интернета.

Зловред относится к семейству Trojan.Gozi, представители которого уже довольно длительное время «гуляют» по просторам Всемирной сети. Новый троян получил обозначение Trojan.Gozi.64: как и предшественники, он атакует компьютеры под управлением операционных систем Windows.

Особенность вредоносной программы заключается в том, что она полностью состоит из отдельных загружаемых плагинов. Модули скачиваются с управляющего сервера специальной библиотекой-загрузчиком, при этом протокол обмена данными использует шифрование. Зловред, в частности, может получать плагины для браузеров, с помощью которых выполняются веб-инжекты. Конфигурация этих веб-инжектов определяется целями злоумышленников.

Установлено, что троян может использовать плагины для Microsoft Internet Explorer, Microsoft Edge, Google Chrome и Mozilla Firefox. Установив соответствующий модуль, зловред получает с управляющего сервера ZIP-архив с конфигурацией для выполнения веб-инжектов. В результате троян может встраивать в просматриваемые пользователем веб-страницы произвольное содержимое — например, поддельные формы авторизации на банковских сайтах и в системах банк-клиент. При этом, поскольку модификация веб-страниц происходит непосредственно на заражённом компьютере, URL такого сайта в адресной строке браузера остаётся корректным, что может ввести пользователя в заблуждение.

Таким образом, троян позволяет киберпреступникам красть банковские данные, которые затем могут быть использованы для снятия средств жертвы. Дополнительно троян может фиксировать нажатия клавиш, воровать учётные данные из почтовых клиентов и выполнять другие функции.

Re: Новые вирусные угрозы
 

В США заявили, что Северная Корея создала вирус WannaCry

В Белом доме отметили, что атака WannaCry нанесла не только экономический ущерб. Помощник президента США внутренней безопасности Том Боссерт заявил, что вирус WannaCry был создан в КНДР. Об этом он написал в статье для издания The Wall Street Journal. "Это не легкомысленное утверждение. Оно основано на доказательствах. Мы не одиноки в подобных выводах. С нами согласны другие правительства и частные компании. О причастности КНДР к кибератаке говорит Великобритания, Microsoft отследила связь атаки со структурами северокорейского правительства", - отметил Боссерт. Он также подчеркнул, что атака WannaCry принесла не только экономический ущерб. По его словам, она также показала уязвимость критической инфраструктуры. Боссерт указал на то, что распространение интернет-технологий в мире делает его более уязвимым для подобных атак, чем и пользуется КНДР. При этом Боссерт заявил, что США ведут активную борьбу за то, чтобы обезопасить Интернет от подобных угроз и намерены привлекать к ответственности их организаторов. "Несущие вред хакеры должны оказаться в тюрьме, тоталитарные правительства - понести наказание за свои действия", - подчеркнул он. Отметим, вирус WannaCry начал распространяться в мае, затронув компьютерные системы в более чем 150 странах мира. По оценкам американских экспертов, общий ущерб от хакерской атаки составил 1 млрд. долларов. Напомним, ранее сообщалось, что в Microsoft считают КНДР ответственной за кибератаку вируса WannaCry.

Re: Новые вирусные угрозы
 

Обнаружен новый способ распространения трояна Loki через Microsoft Office

Специалисты компании Lastline Labs обнаружили новый вектор распространения трояна Loki через программы Microsoft Office. На первых этапах атаку практически невозможно обнаружить. Она проводится в обход антивирусных решений и как правило отклоняется как ложноположительная из-за использования в документах Office вредоносных скриплетов с ссылками на внешние ресурсы.

В текущем месяце в руки исследователей Lastline Labs попал вредоносный файл Excel, способный загружать и выполнять вредоносное ПО. Анализ файла не выявил никаких макросов, shell-кодов или DDE. Файл имел низкий уровень детектирования на Virustotal, что означает либо ложноположительный результат, либо новую технику атаки.

Как пояснили исследователи, для обхода обнаружения антивирусными решениями злоумышленники встраивают URL в скриплеты в документах Office. После открытия вредоносного файла Excel жертве предлагается обновить внешние ссылки рабочей книги – функцию Office, позволяющую ссылаться на внешние ресурсы, а не встраивать их напрямую (таким образом файлы сохраняют небольшой размер, и их легче обновить). Однако внешние ссылки могут ссылаться на вредоносные скриплеты и загружать вредоносное ПО.

Исследователи Lastline Labs обнаружили, что описанный выше метод используется злоумышленниками для заражения компьютеров трояном Loki, предназначенным для похищения учетных данных. Вредоносные файлы попадают к жертвам через фишинговые письма. В ходе атаки эксплуатируется уже исправленная уязвимость CVE-2017-0199 в Microsoft Office/WordPad, позволяющая удаленно выполнить код.

Скриплет – технология, позволяющая создавать COM-компоненты (модели компонентного объекта) средствами простых в использования языков сценариев. Скриплет появился в 1997 году с выходом в свет Internet Explorer 4.0.

Re: Новые вирусные угрозы
 

Троянец Loapi взрывает Android-смартфоны

«Лаборатория Касперского» обнаружили новый Android-троянец под названием Loapi, который заставляет устройства взрываться.

Троянец распространяется под видом антивирусов и приложений для взрослых. После установки приложение запрашивает права администратора (причем, используются различные уловки), а затем устанавливает связь с хакерскими серверами для установки дополнительных модулей, которые автоматически подписывают пользователей на платные сервисы и позволяют злоумышленникам выполнять различные действия на устройстве.

Кроме того, в приложении предусмотрена защита от умных пользователей – оно умеет блокировать экран и закрывать окна, если пользователь пытается запретить троянцу выполнять действия от имени администратора.

Основная задача троянца Loapi заключается в добыче криптовалюты. Причем делает он это крайне агрессивно, что приводит к взрыву аккумуляторной батареи.

Re: Новые вирусные угрозы
 

Передается через Facebook: по Украине распространился новый компьютерный вирус

Однако есть рекомендации, которые помогут сохранить свой компьютер.

На этой неделе по Украине и по другим странам распространился опасный компьютерный вирус, заключающийся в распространении киберпреступниками майнера для криптовалюты Monero. Он передается через приложение Messeger от Facebook.

По данным компании Trend Micro, впервые вирус распространился по Южной Корее. Впоследствии его заметили в Азербайджане, Венесуэле, Вьетнаме, Тайланде, Филиппинах и в Украине. Он распространялся через приложение для обмена сообщениями Messeger как видеозапись неизвестного состава. Пользователям в сообщения приходил архив под названием video (и четырьмя цифрами в любом порядке), в котором содержался вредитель Digmine. Сообщение поступало от взломанных пользователей, в основном от друзей в Facebook.

https://img.tsn.ua/cached/1513963448...bdaa95903.jpeg
Отмечается, что вирус действует только в том случае, если файл с вредителем открыть на стационарном компьютере или ноутбуке в браузере, однако со смартфонов и других ***жетов вирус не действовал. Если аккаунт пользователя Facebook настроен на автоматический вход в систему, вирус будет распространяться друзьям в социальной сети с легкостью в чате.

Вирус Digmine подключается к серверу, откуда читает его конфигурацию, а майнер-вредитель тем временем добывает криптовалюту из жертвы. Вместе с тем вирус распространяется через чат другим пользователям соцсети.

https://img.tsn.ua/cached/1513963459...5908d8d0c.jpeg
Вместе с развитием добычи криптовалют, майнинга и технологий блокчейна, в Сети распространяется деятельность кибернетических преступников. Они используют популярные социальные сети и браузеры, чтобы заражать все больше и больше пользователей и получать большую прибыль. Однако пользователю в случае подобной угрозы достаточно не доверять сомнительным материалам, включать настройки конфиденциальности учетной записи, узнавать подозрительные сообщения.

Facebook, в свою очередь, поудалял ссылки на вредоносный файл, который распространялся в Messeger. Также сотрудники соцсети пообещали бесплатную противовирусную проверку всем, на чьих компьютерах зафиксирована вредоносная вирусная активность.

Re: Новые вирусные угрозы
 

В трех плагинах WordPress обнаружен бэкдор

Вредоносный код присутствует в Duplicate Page and Post 2.1.0, No Follow All External Links 2.1.0 и WP No External Links 4.2.1.

Эксперты компании Wordfence обнаружили очередные три плагина для WordPress с бэкдорами. Речь идет о версиях плагинов Duplicate Page and Post 2.1.0, No Follow All External Links 2.1.0 и WP No External Links 4.2.1. Первый из них имеет свыше 50 тыс. активных установок, второй – более 9 тыс. и третий – свыше 30 тыс. 14-22 декабря команда WordPress удалила их из директории плагинов WordPress.

Вредоносный код в трех вышеупомянутых плагинах работает очень похоже, поэтому можно сделать вывод, что их новыми владельцами является одно и то же лицо или лица. Вредонос вызывает удаленный сервер и внедряет на сайты сторонний контент и ссылки. По мнению экспертов, код используется для внедрения SEO-спама с целью повысить позицию в поисковой выдаче других сайтов.

В сентябре нынешнего года SecurityLab сообщал о бэкдорах в версиях Display Widgets 2.6.1 и 2.6.3. Команда WordPress удалила их из директории плагинов WordPress, однако к тому времени обновить плагин до вредоносной версии успели более 200 тыс. пользователей. Кроме того, по данным компании White Fir Design, несколько сотен сайтов продолжают использовать 14 вредоносных плагинов WordPress спустя почти три года после выявления в них вредоносного кода.

Re: Новые вирусные угрозы
 

В интернете “гуляет” новый вирус для Mac

В сети появилась информация о новом вредоносном ПО, атакующем компьютеры Apple.

Специалисты по безопасности рассказали о вирусе OSX/MaMi. По их словам, этот вирус во многом похож на печально известный DNSChanger – эстонский троян, заразивший миллионы устройств в 2012 году.

Бывший хакер NSA Патрик Уордл сообщил о том, что OSX/MaMi может быть использован злоумышленниками для кражи персональных данных. Также он добавил, что нынешнее антивирусное программное обеспечение не может обнаружить OSX/MaMI.
Цитата:

«Этот вирус не слишком продвинутый и необычный, но при этом он позволяет тихо проникнуть в систему и сильно навредить владельцу компьютера. Например, с помощью него можно взять под контроль интернет-трафик, проходящий между устройством пользователя и внешней сетью. Злоумышленники используют этот трюк, чтобы показывать людям дополнительную рекламу или красть пароли», – добавил Уордл.

До сих пор неизвестно, кто занимается разработкой OSX/MaMi и как он распространяется. Есть мнение, что его рассылают по почте, маскируя письма под сообщения от известных компаний.

Этот вирус меняет DNS-сервер, к которому подключен компьютер. Поэтому, для того чтобы проверить заражена система или нет, необходимо открыть настройки DNS и убедиться, что они не изменились на 82.163.143.135 или 82.163.142.137. Именно эти адреса используются вредоносным ПО.

Re: Новые вирусные угрозы
 

Приготовьтесь к нашествию вирусов-майнеров. Они уже появились и атакуют

На основе эксплойта EternalBlue, который использовался в нашумевшем вирусе WannaCry, создан новый зловред — WannaMine. Этот вирус проникает на компьютер и полностью загружает процессор, скрытно добывая хакерам криптовалюту Monero.

WannaMine может попасть на устройство разными способами: через установочный файл, уязвимости в браузере или операционной системе, прямой атакой на память. Он использует инструмент Mimikatz для получения логина и пароля от учётной записи администратора на компьютере, а если это не удалось, прибегает к эксплойту EternalBlue, который был создан по заказу Агентства национальной безопасности США, но просочился в сеть и стал доступен публично. В том случае, если компьютер подключен к локальной или корпоративной сети, вирус постарается заразить все компьютеры, с которыми удастся установить связь.

WannaMine снижает полезную производительность компьютеров, но хуже всего то, что постоянно находящиеся под стопроцентной нагрузкой компьютеры начинают работать нестабильно и могут сломаться. Антивирусные решения не справляются с поиском WannaMine и не могут лечить компьютеры от заражения этим вирусом. Таким образом, WannaMine может долгое время оставаться незамеченным и даже в случае обнаружения от него будет не так просто избавиться — потребуется создавать резервную копию ценных файлов, форматировать накопитель и заново устанавливать операционную систему и программы.

Вирус WannaCry был ориентирован на компьютеры, установленные в крупных компаниях, и зацепил устройства в 150 странах мира, нанеся ущерб размеров в несколько сотен миллионов долларов. Он вёл себя гораздо более агрессивно: шифровал файлы, блокировал доступ к системе и вымогал деньги за расшифровку данных. В ловушку вируса попались компьютеры, администраторы которых не обновляли операционную систему.

WannaMine на первый взгляд кажется более безопасным вирусом, чем WannaCry, но хакеры, вероятно, надеются, что благодаря скрытности он получит более широкое распространение и принесёт им гораздо более высокий доход. WannaMine, как и WannaCry основан на эксплойте Eternal Blue, который использует уязвимость Windows в реализации протокола SMB. Эта уязвимость была известна ещё в начале 2017 года и уже была закрыта патчами безопасности, хотя по-прежнему присутствует на компьютерах со старыми версиями Windows и актуальными, но недостаточно обновлёнными версиями этой ОС.

Самый верный способ защититься от майнинговых вирусов — своевременно обновлять операционную систему, не переходить по подозрительным ссылкам, не ходить по сомнительным сайтам и либо не отключать встроенный антивирус, либо установить стороннее антивирусное решение.

Re: Новые вирусные угрозы
 

Новый троян-шифровальщик угрожает пользователям Windows

«Доктор Веб» предупреждает о появлении новой вредоносной программы, вымогающей деньги у своих жертв: зловред получил обозначение Trojan.Encoder.24384, но создатели называют его «GandCrab!».

Троян атакует пользователей персональных компьютеров под управлением операционных систем Windows. Проникнув на ПК, вымогатель шифрует содержимое фиксированных, съёмных и сетевых накопителей, за исключением ряда папок, среди которых имеются служебные и системные. Каждый диск шифруется в отдельном потоке. После окончания кодирования зловред отправляет на сервер данные о количестве зашифрованных файлов и времени, потраченном на шифрование.

Троян также может собирать информацию о наличии запущенных процессов антивирусов. Вымогатель способен принудительно завершать процессы программ по заданному вирусописателями списку.

Закодированным файлам присваивается расширение *.GDCB. Сообщение с требованиями вымогателей и список расширений шифруемых файлов хранятся в теле трояна зашифрованными с использованием алгоритма XOR.

После выполнения вредоносных операций программа выводит сообщение с требованием выкупа. Увы, в настоящее время расшифровка файлов, закодированных зловредом, невозможна.

Re: Новые вирусные угрозы
 

Появился новый вирус-вымогатель для Android

Специалисты компании ESET обнаружили новое семейство вирусов-вымогателей, угрожающее неосторожным и невнимательным Android-пользователям. Вредоносные программы самостоятельно меняют PIN-код экрана блокировки, а затем показывают сообщение со стоимостью выкупа заблокированного ***жета.

Вымогатель называется Android/Locker.B и начал свое распространение в странах Латинской Америки. Вирус распространяется через форумы, специально созданные злоумышленниками, а также рекламу на файлообменных сервисах. Он маскируется под приложение WhatsApp, различные антивирусы, Dropbox или Flash Player.

После установки на смартфон или планшет вредоносное приложение запрашивает права администратора устройства. Получив необходимые разрешения, троян блокирует доступ к операционной системе, меняя PIN-код экрана блокировки, и выводит на экран требование выкупа.

Сумма выкупа варьируется от 25 до 50 долларов или евро. Интересно еще и то, что злоумышленники принимают для выплаты подарочные карты iTunes, предоставляя жертвам /Locker.B подробную инструкцию по их покупке и передаче.

Re: Новые вирусные угрозы
 

Обнаружен вирус, добывающий криптовалюты при помощи телевизоров

Антивирусная компания "Доктор Веб" сообщила о распространении троянца ADB.miner, заражающего Android-электронику - преимущественно "умные" телевизоры.

Вирус используется для добычи криптовалюты Monero. Он заражает Android-устройства с открытым портом 5555, который используется интерфейсом отладчика Android Debug Bridge (ADB).

Помимо телевизоров, в группу риска входят смартфоны, планшеты, телевизионные приставки, роутеры, медиаплееры и ресиверы.

Заражение вредоносными программами, подобными ADB.miner, может привести к заметному снижению быстродействия устройства, его нагреву, а также быстрому расходованию ресурса аккумуляторной батареи.

Отладчик ADB в Android по умолчанию отключен, однако некоторые производители все же оставляют его включенным. Кроме того, ADB по каким-либо причинам может быть включен самим пользователем.

По оценкам экспертов компании "Доктор Веб", отладчик Android Debug Bridge активен на 8% устройств, защищенных антивирусом производителя. Специалисты рекомендуют отключить отладку по USB, если эта функция включена, но не используется.