Re: Новые вирусные угрозы
 

Вредоносные приложения из Google Play выкрадывают номер телефона в WhatsApp


Антивирусная лаборатория PandaLabs компании Panda Security обнаружила в Google Play вредоносные приложения, которые способны подписывать пользователей на сервисы дорогостоящих SMS без их разрешения. Эти новые угрозы к настоящему моменту уже способны были заразить не менее 300 000 пользователей, хотя количество скачиваний этих угроз могло достичь 1 200 000.


Такие приложения как Easy Hairdo (посвященное прическам), Abs Diets (посвящено диетам), Workout Routines (о фитнесе) и Cupcake Recipes (рецепты) являются одними из наиболее доступных для скачивания на Google Play. В случае с Abs Diets, например, после установки приложения и при согласии пользователя с условиями использования сервиса, происходит следующее: во-первых, приложение показывает набор советов по избавлению от жира в брюшной полости. Во-вторых, без ведома пользователя, приложение проверяет номер телефона мобильного устройства, подключается к веб-странице и подписывает жертву на сервис дорогостоящих SMS. При этом номер телефона «выкрадывается» из популярного приложения – WhatsApp. Как только пользователь открывает WhatsApp, вредоносное приложение получает номер телефона и сохраняет его как часть необходимых данных для синхронизации аккаунта.

Согласно данным с Google Play, данное приложение было скачено от 50 000 до 100 000 пользователями. Другие приложения работают точно также, поэтому с уверенностью можно сказать, что четыре вредоносных приложения могли заразить от 300 000 до 1 200 000 пользователей в целом. На данный момент эта четверка уже удалена из Google Play.

Re: Новые вирусные угрозы
 

Немецкая антивирусная компания G Data Security утверждает, что российские власти стоят за созданием нового вредоносного кода Uroburos. В G Data утверждают, что вредонос имеет российские корни, во-первых, из-за сложного кода, традиционного для про-российских кодов, во-вторых, здесь есть некоторые элементы исходников, которые прежде уже использовались российскими «госхакерами», а в-третьих, в исходном коде Uroburos есть комментарии на русском языке.

Антивирусная компания утверждает, что автор кода использует криптографические ключи и логику поведения, схожие с теми, что ранее использовались российскими вредоносными кодами. Кроме того, в процессе работы Uroburos ищет на целевых системах другое вредоносное ПО, имеющее российские про-государственные корни. «Было установлено, что Uroburus занимается поиском в системе кода Agent.BTZ и может работать с ним в паре», - говорят в G Data. Напомним, что Agent.BTZ представляет собой вредоносный код, созданный в 2008 году для атаки ИТ-систем Пентагона.

В четверг на этой неделе на конференции TrustyCon известный антивирусный специалист Микко Хиппонен из компании F-Secure, представил доклад, в котором заявил, что на сегодня в реальности немногие страны на государственном уровне финансируют создание вредоносного программного обеспечения, в том числе Россия и США. «Еще 10 лет назад такое казалось бы научной фантастикой», - говорит Хиппонен.

Наиболее известным «гос-вирусом» на сегодня считается Stuxnet, направленный на атаку иранских ядерных объектов. Считается, что за данным кодом стоит совместная группа программистов из США и Израиля, создавшая код на правительственные деньги.

Что касается Uroburos, то этот код представляет собой руткит из двух файлов. Он использует ряд технологий, затрудняющих его обнаружение в зараженной системе. Здесь присутствует специализированный драйвер и виртуальная файловая система, которые позволяют вредоносу исполнять удаленные команды оператора, скрывать системную активность на пораженном компьютере и выполнять другие действия. Кроме того, вредонос обладает довольно гибкой модульной архитектурой, которая позволяет добавлять и удалять модули под нужды конкретной кампании.

В G Data говорят, что Uroburos - это один из самых продвинутых руткитов, и хотя он берет свое начало еще в 2011 году, его код довольно сложен даже по нынешним меркам. Так, код попав на компьютер с интернет-подключением может по цепочке заражать компьютеры, которые не имеют такого подключения и проникать в изолированные системы. Помимо этого, код указывает на существование версий для 32- и 64-битных архитектур.

Также антивирусная компания отмечает, что пока она не завершила анализ кода и продолжает наблюдать за ситуацией.

Re: Новые вирусные угрозы
 

Международная антивирусная компания Eset опубликовала результаты анализа банковского трояна Win32/Corkow, ориентированного на российские и украинские системы дистанционного банковского обслуживания.

Как сообщили в компании, Win32/Corkow предназначен для кражи конфиденциальных данных для онлайн-банкинга. Он находился в эксплуатации с 2011 года и продемонстрировал непрерывную активность в прошлом году. Экспертами обнаружены различные версии модулей Win32/Corkow, что указывает на непрерывный цикл его разработки. По данным вирусной лаборатории Eset, жертвами вредоносного ПО уже стали несколько тысяч пользователей в России и Украине.

Win32/Corkow распространяется наиболее типичным на сегодняшний день методом – скрытая установка с использованием разного рода программных уязвимостей (drive-by download).

Как и другие банковские трояны (Zeus, Carberp, Hesperbot, Qadars и др.), Win32/Corkow имеет модульную архитектуру. Он состоит из основного модуля и нескольких плагинов, каждый из которых отвечает за соответствующие возможности. Далее представлены некоторые модули, обнаруженные экспертами ESET в «препарированных» образцах Win32/Corkow:

· Core – основной компонент, отвечающий за внедрение других модулей. Поддерживает создание скриншотов, перечисление смарт-карт и блокировку запуска приложений;
· MON – собирает информацию о системе и отправляет ее на удаленный сервер злоумышленников;
· FG – реализует веб-инъекции и кражу данных веб-форм;
· KLG – кейлоггер;
· HVNC – позволяет атакующему удаленно подключаться к зараженному компьютеру;
· PG – используется для захвата аутентификационных данных;
· PONY – используется для кражи паролей от различных сервисов (детектируется антивирусными продуктами ESET NOD32 как Win32/PSW.Fareit).

Вышеперечисленные функции типичны для банковских троянов, но Win32/Corkow имеет и другие возможности. Он содержит специальные модули для компрометации приложений, которые используют корпоративные пользователи: сайтов и приложений банков и трейдинговых платформ, сайтов Bitcoin, средств разработки приложений Android. Это указывает на то, что злоумышленники концентрируют усилия на финансовых специалистах и компаниях, баланс банковских счетов которых превышает среднестатистический.

Помимо кражи данных, Win32/Corkow обладает возможностью уничтожать произвольные файлы на диске, а при поступлении соответствующей команды – удалять себя с зараженного компьютера, вызывая при этом серьезные повреждения операционной системы.

Win32/Corkow имеет модули, направленные на компрометацию некоторых банковских программ и сайтов, с поддержкой русского, украинского и английского языков. Особое внимание злоумышленники уделяют российским и украинским банкам, но помимо этого троян «интересуется» финансовыми учреждениями Швейцарии, Сингапура, Латвии, Литвы, Эстонии, Дании, Хорватии, Великобритании и Кипра.

Re: Новые вирусные угрозы
 

Firefox, Internet Explorer и Safari взломали в первый же день Pwn2Own 2014

На традиционном хакерском мероприятии Pwn2Own, проходящем в эти дни в канадском Ванкувере, как всегда, случается немало интересного. К примеру, в первый же день этого конвента обнаружены и обнародованы уязвимости в популярных программных продуктах – Apple Safari, Mozilla Firefox, Microsoft Internet Explorer, Adobe Flash и Adobe Reader. При этом призовые выплаты за выявленные “дыры” составили в обшей сложности $400 000, а большая часть этих денег ушла в закрома французской исследовательской фирмы VUPEN.

Именно специалистам VUPEN удалось обнаружить четыре уязвимости, одна из которых, например, связана с использованием освобожденной памяти при работе с Internet Explorer, а сама эта “дыра” может использоваться для запуска произвольного программного кода на атакуемой системе. Кроме того, определенные проблемы выявлены и в Adobe Reader, скажем, связанные с переполнением динамически распределяемой области, что опять же позволяет при некоторой сноровке осуществлять хакерские атаки. Остается верить, что те же Adobe и Microsoft не останутся равнодушными и быстро залатают указанные “дыры”.

Re: Новые вирусные угрозы
 

ESET раскрыла крупнейшую комплексную атаку на Linux-серверы и пользовательские устройства


Антивирусная компания ESET совместно с экспертной группой CERT-Bund и исследовательским центром SNIC раскрыла вредоносную киберкампанию «Операция Windigo». Атака направлена на веб-серверы под управлением Linux (свыше 60% рынка серверов) и пользовательские устройства на базе Windows, Mac OS X и iOS (iPhone). По словам специалистов, кампания не имеет аналогов с точки зрения сложности, возможностей инфраструктуры и масштаба заражения.


Распределение ОС пользователей, которые стали жертвами веб-сайтов, скомпрометированных Linux/Cdorked
Распределение ОС пользователей, которые стали жертвами веб-сайтов, скомпрометированных Linux/Cdorked

«Операция Windigo» - комплексная кампания, ориентированная на захват веб-серверов, заражение посещающих их компьютеров, генерацию спам-писем и кражу конфиденциальных данных. До открытия ESET специалисты обнаруживали лишь отдельные элементы «Операции Windigo», но истинный масштаб атаки и взаимосвязь вредоносных компонентов оставались недооцененными. За неполные три года киберпреступники установили контроль над рекордным числом веб-серверов – в общей сложности 25 000 машин.

За генерацию спама отвечает несколько вредоносных программ, которые обнаруживаются антивирусными продуктами ESET как Perl/Calfbot, Win32/Glupteba.M и Linux/Ebury. Генерировать спам могли как зараженные серверы (зараженные Perl/Calfbot и Linux/Ebury), так и рабочие станции (зараженные Win32/Glupteba.M).

Веб-сайты, которые обслуживаются зараженными Windigo серверами, перенаправляют пользователя на потенциально опасный контент в зависимости от установленной операционной системы. Так, компьютеры с Windows заражаются вредоносным ПО, использующим уязвимость в браузере или плагине к нему. Пользователь Mac OS X будет перенаправлен на сайт знакомств, а iOS (iPhone) – на страницу с порнографическим контентом.

Re: Новые вирусные угрозы
 

Количество DDOS-атак на государственные и коммерческие инфраструктурные институты за последний год выросло на 178%. Тогда как в прежние годы их темпы роста не превышали в среднем 15%. При этом, общий объем потерь российской экономики от попыток незаконного электронного вмешательства за этот период времени превысил 1,3 трл. рублей. Такие данные были озвучены отраслевой ассоциацией НАИРИТ, совместно с ИСА РАН и Институтом социально экономической модернизации.

«В наше время изменилась парадигма ведения военных действий. Взамен традиционных средств на первый план выходит информационное и кибер оружие. Результаты его воздействия ощущались во время недавних революций на Ближнем востоке, видны сегодня на Украине и на ключевых российских объектах экономической инфраструктуры", говорит Ольга Ускова, президент НАИРИТ.

По ее словам, необходимо в срочном порядке принять меры по предотвращению подобного вмешательства в первую очередь за счет создания эффективных российских средств информационной инфраструктуры. "В России существует богатый опыт разработки и эксплуатации стратегических информационных систем, создания собственных технологий информационной безопасности. Этот опыт необходимо использовать в масштабах страны," - заявила Ускова.

Re: Новые вирусные угрозы
 

Двадцать один из 25 крупнейших мировых поставщиков новостного контента являются целями крупномасштабной хакерской атаки, за которой стоит одно их государств. Об этом говорится в докладе специалистов Google по информационной безопасности.

Шейн Хантли, специалист по безопасности программного обеспечения Google, говорит, что атаки были инициированы хакерами работающими при поддержке властей или непосредственно на них. В рамках атаки атакующие рассылают целевые поддельные письма журналистам. Морган Маркис-Буа, со-автор отчета, говорит, что атака на информационные агентства происходит независимо от страны базирования агентства и тематической ориентации агентства.

Оба специалиста отказались раскрыть данные о том, как именно Google вышла на следы атаки, но они заявляют, что следы атаки ведут к хакерским группам, которые в прошлом уже были ассоциированы с так называемыеми госхакерами. Хантли говорит, что недавно Google начала рассылать предупреждения журналистам, если есть подозрения относительно того, что они стали объектом наблюдений и/или атак.

Отметим, что на прошлой неделе специалист по информационной безопасности Ашкан Солтани из компании Alexa (занимается веб-метрикой и принадлежит Amazon) в рамках собственного исследования сообщил, что 9 из 25 новостных организаций, использующих hosted-сервисы Google, стали объектами хакерских атак.

Достоверно неизвестно о какой именно группировке хакеров идет речь, однако ранее про-сирийская группа «Сирийская электронная армия» атаковала журналистов Forbes, the Financial Times и the New York Times. Кроме того, ранее появлялись данные о том, что хакеры из Китая атаковали крупные западные новостные организации.

Re: Новые вирусные угрозы
 

Google заявляет, что ее бесплатный DNS-сервис и его пользователи стали объектами перехвата данных со стороны большей части турецких провайдеров. Одновременно с этим в сети появилась информация о том, что доменные серверы компании Level 3, одного из крупнейших американских провайдеров, были взломаны.

Напомним, что вовлеченное в коррупционный скандал турецкое правительство начало блокировать общедоступные сетевые ресурсы с 21 марта. Вначале был закрыт доступ к Twitter, потом - к YouTube. Последний был заблокирован в прошлый четверг по соображениям национальной безопасности. Ранее на YouTube была размещена запись разговора министра иностранных дел Турции, руководителей службы разведки и представителей вооруженных сил Турции относительно деятельности соседней Сирии.

Отметим, что блокировка и Twitter и YouTube происходит на фоне проходящих в воскресенье национальных и муниципальных выборов в Турции.

В блоге Google инженер по программному обеспечению Google Стивен Карстенсен пишет, что «турецкие интернет-провайдеры настроили клиентские шлюзы таким образом, что они блокируют прохождение пакетов IP в адрес публичных DNS-серверов Google» и пользователи в Турции вынуждены использовать либо провайдерские DNS (где закрыт доступ к Twitter и YouTube), либо какие-то другие открытые DNS-серверы в сети.

Напомним, что Google ранее ввела в строй сервис Google Public DNS как бесплатное решение для всех пользователей, которые по тем или иным причинам не хотят или не могут пользоваться провайдерскими доменными серверами. Напомним, что доменные серверы отвечают за трансляцию названий сайтов в IP-адреса целевых серверов (и наоборот).

В воскресенье веб-мониторинговая компания Renesys также сообщила о том, что доменные серверы одного из крупнейших сетевых операторов США, компании Level 3, были скомпрометированы. По данным Renesys, национальный турецкий провайдер TurkTelecom нарушил работу DNS-серверов через BGP (Border Gateway Protocol). Организации и компании используют BGP-маршрутизацию для работы сетевого оборудования и маршрутизации больших объемов трафика в магистральных сетях. В TurkTelecom намеренно ввели поддельные BGP-данные для распространения некорректной информации о таблицах маршрутизации.

В Renesys говорят, что и Google Public DNS и Level 3 DNS были отравлены «ошибочной» BGP-маршрутизацией, причем таким образом, чтобы потребители в Турции перенаправлялись на доменные сервера TurkTelecom. По словам экспертов Renesys, данные действия почти наверняка носили скоординированный и намеренный характер.

Re: Новые вирусные угрозы
 

Вредоносная программа, шифрующая файлы на компьютере жертвы, до сих пор требовала от пользователей оплаты расшифровки файлов, однако в ней была найдена уязвимость: программа оставляет ключи для дешифрования на зараженном компьютере.

Компания Symantec проанализировала программу под названием CryptoDefence, появившуюся в прошлом месяце. Она является одним из членов семейства вредоносных программ, которые шифруют пользовательские файлы и не снимают блокировку до момента оплаты. В Symantec говорят, что данный вид шантажа очень давно известен в ИТ-отрасли, однако, он, судя по всему, еще работает.

CryptoDefence использует инфраструктуру Microsoft и Windows API для генерации шифровой последовательности и шифрования/дешифрования данных. Шифруются файлы при помощи RSA-ключей с длиной последовательности 2048 бит. Здесь применяются закрытые ключи, необходимые для дешифрования контента и отправки его на сервер атакующего, чтобы вернуть их клиенту, когда тот выплатит требуемую сумму.

Однако авторы вредоноса неверно реализовали алгоритм шифрования и не учли или не знали, что частный ключ по умолчанию сохраняется на компьютере пользователя в папке, откуда целевой файл вызывал соответствующие системные функции. «Авторы атаки оставляли ключи от шифров на компьютере пользователей, что позволяло пользователям без каких-либо платежей самим расшифровать зашифрованные вредоносом данные», - говорят в Symantec.

Между тем, авторы атаки требовали от своих жертв сумму в 500 долларов или евро за расшифровку, причем если жертва не выплачивала их течение 4 дней, то на 5-й день сумма требований удваивалась. Согласно оценкам Symantec, организаторы кампании заработали шантажем не менее 34 000 долларов в месяц. Судя по данным срабатывания антивирусного софта Symantec, CryptoDefence заразил около 11 000 хостов в более чем 100 странах. Большая часть заражений пришлась на США, Великобританию, Канаду, Австралию, Японию, Индию, Италию и Нидерланды.

Re: Новые вирусные угрозы
 

Опасаясь кибератак палестинских активистов, Израиль временно блокирует международный трафик к своим международным сайтам, а также блокирует на них системы поиска данных. Заблокировав внешний трафик, Израиль надеется ограничить возможности кибер-активистов по выводу официальных сайтов из строя. Сегодня же правительственные работники получили email-инструкции относительного того, как им следует вести себя за пределами страны.

Блокировка сайтов и инструкции для госслужащих действительны на протяжении выходных.

Помимо этого, меры безопасности включают в себя фильтрацию трафика таким образом, чтобы пользователи платежных систем, работающих в интернете, могли платить за товары и услуги, но платежи проводились только в понедельник.

Израильский новостной сайт Walla сообщает, что меры предосторожности были предприняты на фоне «готовящейся огромной атаки», за которой стоят про-палестински настроенные хакеры. Также Walla отмечает, что еще в среду ИТ-администраторы израильских госсайтов провели аудит систем и повысили меры по защите данных.

Re: Новые вирусные угрозы
 

Эксперты вирусной лаборатории Eset предупредили о всплеске активности мошенников, распространяющих поддельное ПО под видом Android-приложений, и объясняют, как распознать фальшивку.

28 марта на Google Play появился «антивирус» Virus Shield стоимостью $3,99 от разработчика Deviant Art. Приложение предлагало «предотвращение установки вредоносных программ и защиту персональных данных». Всего за неделю Virus Shield стал лидером продаж среди новинок и достиг третьей строки в рейтинге лучших платных приложений, получив 4,7 из 5 баллов и больше 3 000 рекомендаций в Google+.

В действительности Virus Shield не выполнял ни единой функции, кроме смены иконки. Положительные отзывы и высокие оценки оказались подделкой, но их было достаточно, чтобы обеспечить спрос на приложение. Всего за неделю жертвами мошенников стали более 10 000 пользователей, скачавших фальшивый антивирус.

«Насколько мне известно, Google Play не проверяет антивирусные продукты на предмет полезности, этот вид ПО вообще сложно протестировать, – комментирует Арье Горецки, исследователь Eset. – Площадку интересует только вредоносная активность. Virus Shield по понятным причинам таковой не показал, поэтому и появился в магазине приложений».

Virus Shield уже удален с Google Play, но эксперты прогнозируют появление новых фальшивых приложений и вредоносного ПО. «Поддельные антивирусные программы создают немало проблем пользователям Windows, несколько лет назад мы детектировали и подделки для OS X. Неудивительно, что сегодня, с широким распространением Android, мошенники переориентировались на эту платформу», – объясняет Горецки.

Re: Новые вирусные угрозы
 

Российский интернет-поисковик «Яндекс» выявил вредоносный код на сайте «Российской газеты» и предупреждает пользователей об угрозе непосредственно под ссылками на онлайн-материалы издания.


«Сайт Российская газета может быть опасен для вашего компьютера. «Яндекс» обнаружил на этом сайте вредоносный программный код, который может заразить ваш компьютер вирусом или получить доступ к вашей личной информации», — говорится в тексте предупреждения об угрозе. Исходя из сообщения, код может быть опасен как для персональных компьютеров, так и для мобильных устройств.

В пресс-службе «Яндекса» подтвердили, что поисковик нашел вредоносный код на сайте газеты.

«Мы уведомили представителей сайта газеты rg.ru по всем представленным на сайте адресам еще 16 апреля, но пока не получили ответа. Как только вредоносный код будет удален, уведомление о том, что сайт может представлять угрозу, пропадет из поисковой выдачи «Яндекса» и при переходе на сайт из «Яндекс.Браузера», — пояснили «Ленте.ру» в компании.

Представители «Российской газеты» на момент публикации не прокомментировали ситуацию.

Это уже не первый инцидент с выявлением киберугроз на новостных ресурсах. Так, в декабре прошлого года «Яндекс» обнаружил вредоносный код на одной из страниц сайта Regnum. Также в декабре браузер Google Chrome в течение двух дней демонстрировал предупреждения о наличии вредоносного ПО на сайте РИА Новости, однако представители агентства эту информацию отрицают.

Re: Новые вирусные угрозы
 

Троянцы показывают рекламу пользователям Mac OS X


Вредоносные программы, созданные злоумышленниками с целью обогащения за счет демонстрации пользователям Интернета назойливой рекламы, имеют чрезвычайно широкое распространение, однако до недавнего времени они досаждали, в основном, пользователям ОС Windows. Именно поэтому несколько троянцев, исследование которых недавно провели вирусные аналитики компании «Доктор Веб», выглядят весьма необычно на фоне других аналогичных приложений, поскольку заражают компьютеры, работающие под управлением Mac OS X.


Несколько пользователей Mac OS X опубликовали на официальном форуме компании Apple жалобы на навязчивую рекламу, которая демонстрируется в окне браузеров Safari и Google Chrome при просмотре различных веб-ресурсов. Источником проблем оказались вредоносные надстройки (плагины), которые устанавливаются в систему при посещении определенных сайтов. Плагины распространяются в комплекте с легитимными приложениями, способными выполнять на компьютере некоторые полезные функции.

Одна из таких программ носит наименование Downlite и распространяется с сайта популярного торрент-трекера: нажав на кнопку Download, пользователь перенаправляется на другой интернет-ресурс, с которого загружается само приложение, при этом перенаправление осуществляется таргетированно: пользователям Apple-совместимых компьютеров отдается файл StartDownload_oREeab.dmg — установщик Downlite, пользователи других операционных систем могут быть перенаправлены на иные сайты. После загрузки файла начинается установка приложения Downlite.app.

Данный установщик (Антивирус Dr.Web идентифицирует его как Trojan.Downlite.1) обладает любопытной особенностью: он устанавливает легитимное приложение DlLite.app и несколько надстроек к браузеру, при этом в процессе установки запрашивается пароль пользователя Mac OS X, и, если он является администратором системы, приложения устанавливаются в корневую папку. Для работы DlLite.app на компьютере требуется наличие Java, однако вредоносные плагины написаны на языке Objective-C и благополучно запускаются при открытии окна браузера. Также в систему устанавливается приложение dev.Jack, предназначенное для контроля над браузерами Mozilla Firefox, Google Chrome, Safari и детектируемое антивирусным ПО Dr.Web как Trojan.Downlite.2.

Кроме того, рекламные плагины распространяются вместе с другими приложениями (MacVideoTunes, MediaCenter_XBMC, Popcorn-Time, VideoPlayer_MPlayerX). Одним из таких приложений является, например, MoviePlayer (MacVideoTunes): на первом этапе его установки пользователю предлагается запустить программу-инсталлятор без цифровой подписи. Затем — установить некий «оптимизатор», при этом пользователь лишен возможности сбросить соответствующий флажок, чтобы отказаться от инсталляции приложения. Данный установщик, детектируемый Антивирусом Dr.Web как Trojan.Vsearch.8, с точки зрения своего функционала очень похож на Trojan.Downlite.1, однако вместо программы dev.Jack он дополнительно устанавливает на компьютер приложение takeOverSearchAssetsMac.app (Trojan.Conduit.1).

Re: Новые вирусные угрозы
 

Доля спама в мировом почтовом трафике в марте снизилась на 6,4% и в итоге составила 63,5%. Также по сравнению с февралем в начале весны уменьшился поток так называемого праздничного спама – рекламных сообщений, эксплуатирующих тематику актуальных для текущего сезона праздников. К таким выводам пришли эксперты «Лаборатории Касперского» в ходе традиционного ежемесячного анализа.

В течение первого весеннего месяца широкое распространение в Сети получили рекламные рассылки с предложениями выучить иностранные языки при помощи разнообразных авторских методик. Подобный спам пестрел сообщениями о возможности выучить любой язык по Skype, узнать секреты уникального метода самостоятельного обучения, а также предложениями от конкретных языковых школ и учебных центров.

Помимо этого, заметный след в мартовском почтовом трафике оставили сообщения, в которых спамеры предлагали оптимизировать расходы на телефонную связь. Большая часть таких писем была адресована крупным и средним компаниям. Однако домашних пользователей спамеры также не обошли вниманием: в частности, авторы некоторых рассылок дополнительно предлагали улучшить качество мобильной связи и мобильного Интернета в квартире или на даче.

Немало вредоносных вложений в марте распространялось от имени различных известных финансовых организаций, деятельность которых связана с налоговыми сборами. Подобные письма приходили к пользователям под видом платежных извещений от налогового органа и требованием оплатить налог или указать в декларации незаявленные ранее доходы. Чтобы узнать подробности, получателю сообщения предлагалось открыть приложенный отчет или заполнить полученную во вложении форму документа. На самом деле архивированные файлы содержали зловредов, в частности троянцев, крадущих конфиденциальные данные пользователей или скачивающих и запускающих на компьютере вредоносные программы.

Среди регионов лидером по распространению спама неизменно остается Азия. Более того, в марте ее позиции укрепились: эта часть света увеличила свою долю на 4% и в итоге оказалась ответственна за 58% мирового спама. Азиатский след доминирует и в рейтинге стран-источников нежелательных сообщений. По сравнению с февралем тройка лидеров не изменилась, и первое место все так же занимает Китай с долей 24,6%, на втором месте располагаются США с показателем 17%, а на третьем оказалась Южная Корея, откуда было разослано 13,6% мирового спама.

Что касается источников спама в Рунете, то здесь картина несколько иная, однако она также не меняется на протяжении многих месяцев. Лидером по количеству нежелательных сообщений, разосланных пользователям в марте, все также остается Россия, чья доля хоть и сократилась на 2,5%, но составила абсолютный максимум месяца – 17,3%. Второе место занимает Тайвань – за первый весенний месяц доля спама, разосланного в Рунете из этой страны, выросла на 1,7% и составила в итоге 13,2%. Третье же место снова досталось Индии с ее показателем 11%.

«Спамеры делают все возможное для того, чтобы заставить пользователя отреагировать на их письмо и открыть вложение или пройти по ссылке, которые запросто могут быть вредоносными. Количество атак на финансовый сектор заметно увеличилось за прошедший год. Это связано с тем, что все больше людей пользуются интернет-банкингом, совершая финансовые транзакции не только с ноутбуков, но и других цифровых устройств. Таким образом, риск стать жертвой злоумышленников сегодня весьма высок», – рассказывает Татьяна Щербакова, старший спам-аналитик «Лаборатории Касперского».

Re: Новые вирусные угрозы
 

За год число Bitcoin-атак удвоилось


http://www.cybersecurity.ru.images.1...39820374169792
Ежемесячные доли типов финансового вредоносного ПО, используемого в атаках на пользователей

Распространение вредоносных программ для добычи криптовалюты Bitcoin обманным путем стало одним из факторов роста числа финансовых атак. Об этом свидетельствует проведенное «Лабораторией Касперского» исследование, направленное на оценку темпов развития финансовых киберугроз. За год число атак с целью завладеть Bitcoin выросло более чем в два с половиной раза и составило 8,3 миллиона инцидентов.

Криптовалюта Bitcoin была создана для анонимных платежей в Интернете и обрела значительную популярность в последние годы. Ее курс в начале 2013 года был на отметке 13,6 доллара, а к декабрю превысил 1200 долларов. Это не могло не привлечь внимание злоумышленников, которым порой, если владелец валюты хранит свой «кошелек» в незашифрованном виде на диске, не нужно прибегать к особым ухищрениям: для кражи счета достаточно скопировать всего лишь один файл.

Программы, применяемые преступниками для получения Bitcoin, можно разделить на две категории: для кражи файла-кошелька и для тайной установки на зараженном компьютере приложений для выработки Bitcoin. В абсолютном исчислении на воровство Bitcoin-кошельков в 2013 году пришлось примерно вдвое больше атак, однако инструменты для организации скрытой добычи валюты демонстрировали более активные темпы роста.

«В течение 2013 года курс Bitcoin вырос более чем в 85 раз, и это, конечно, привлекло внимание многих злоумышленников. В результате к концу года число пользователей, атакованных с помощью ПО, нацеленного на Bitcoin, стало приближаться к показателю банковских киберугроз. Держателям криптовалют следует быть особенно осторожными, ведь в случае кражи им практически невозможно вернуть потерянные средства. Это плата за то, что Bitcoin работает без какого-либо регулирования со стороны властей», – прокомментировал Сергей Ложкин, антивирусный эксперт «Лаборатории Касперского».

Re: Новые вирусные угрозы
 

Рассылку злоумышленниками SMS-спама под видом сообщений от сервиса бесплатных объявлений Avito.ru обнаружили эксперты компании «Доктор Веб». Таким образом, мошенники распространяли Android-троянца, который давал им доступ к данным мобильного устройства пользователя, говорится в сообщении компании.

Пользователь-жертва получает SMS-сообщение об отклике на размещенное ранее объявление. Таким образом, целевой аудиторией данной атаки в большей степени являлись настоящие клиенты сервиса, которые действительно ожидали ответа на свое объявление. Для ознакомления с откликом предлагается перейти по ссылке. После этого вместо ожидаемой веб-страницы сервиса пользователи попадали на мошеннический сайт, с которого происходила загрузка троянца Android.SmsSpy.88.origin, представляющего собой SMS-бота.

После установки и запуска троянская программа запрашивает у пользователя доступ к функциям администратора мобильного устройства, затем удаляет свою иконку с главного экрана операционной системы. Далее при помощи SMS-сообщения троянец передает злоумышленникам ряд общих данных о зараженном мобильном устройстве: название, производителя, IMEI-идентификатор, сведения об операторе, а также об используемой версии операционной системы. Затем вредоносная программа соединяется с удаленным сервером и ждет от него поступления команд, среди которых могут быть указания на запуск или остановку сервиса по перехвату входящих SMS, отправку коротких сообщений с заданным текстом на указанный номер, осуществление вызовов, а также рассылку SMS-сообщений по всем имеющимся в телефонной книге контактам.

Злоумышленники также могут управлять троянцем при помощи SMS-сообщений. В таком виде Android.SmsSpy.88.origin способен принимать команды на отправку SMS с заданными параметрами и на включение или отключение безусловной переадресации для всех входящих телефонных звонков. Последняя функция выделяет троянца среди подобных программ.

Способность вредоносной программы выполнить переадресацию вызовов на заданный злоумышленниками номер позволяет им установить контроль над всеми поступающими звонками, полагают эксперты. На практике это дает киберпреступникам возможность не только получить доступ к различной конфиденциальной информации, но также в некоторых случаях осуществить целый ряд мошеннических действий.

Re: Новые вирусные угрозы
 

Чаще всего злоумышленники предпочитают взламывать аккаунты пользователей в социальных сетях и электронной почте


Цены на услуги хакеров для взлома аккаунтов в социальных сетях и электронной почте в России снизились практически в два раза с 2011 года по 2013 год. О этом сообщили «Ленте.ру» в компании Trend Micro, специализирующейся на информационной безопасности. Как говорят в компании, подобные услуги широко представлены на российском хакерском рынке.

Сколько стоит взломать «ВКонтакте»

По данным экспертов Trend Micro, в 2011 году цена на взлом аккаунта в социальной сети Facebook составляла в России около 200 долларов, тогда как в 2013 году она снизилась до 100 долларов за один аккаунт. За взлом аккаунта в «ВКонтакте» в 2011 году готовы были платить 120-140 долларов против 76 долларов в прошлом году. Что интересно, стоимость взлома аккаунта в «Одноклассниках» за два года не изменилась и составила 94 доллара.

Цены на взломы аккаунтов электронной почты несколько ниже: так, взломать электронный ящик Gmail стоило в 2013 году 100 долларов против 117 долларов два года назад, взлом ящика в почте Mail.Ru и «Яндексе» обошелся бы в прошлом году всего в 50 долларов.

Для взлома аккаунтов российские киберпреступники предпочитают использовать простые способы: подбор пароля с помощью автоматических программ, таких как Brutus или Hydra, либо подбор ответа на «секретный» вопрос аккаунта с помощью социальной инженерии.

По данным экспертов Trend Micro, цены на продукты и услуги на российском рынке киберпреступности падают на протяжении последних лет по причине автоматизации услуг, однако на эксклюзивные продукты и услуги остаются высокими благодаря требованию экспертных знаний и специальных навыков у разработчиков. Услуги хакеров, связанные с обработкой сетевого трафика, являются наиболее востребованными на российском рынке, спрос удерживает высокие цены на них.

Как запустить «червя»

Среди продуктов, цены на которые снизились за два года, особенно выделяются троянские программы и сплойты (встроенный код, использующий уязвимости легальных программ, копии которых загружают пользователи). Трояны — программное обеспечение, распространяемое под видом легальных программ или приложений, можно использовать для кражи пользовательских данных или в качестве «клавиатурных шпионов», которые отслеживают нажатие кнопок на клавиатуре компьютера жертвы атаки. С их помощью злоумышленники крадут пароли ICQ, списки контактов, конфиденциальные документы и номера банковских счетов, которые затем используют или продают.

Цены на популярные троянские программы ZeuS и SpyEye еще в 2011 году составляли 120 долларов и 500 долларов соответственно, тогда как в 2013 году их можно было скачать совершенно бесплатно. То же касается и сплойтов: если в 2011 году покупателю пришлось бы заплатить за них от 700 до 1000 долларов, то в прошлом году получить сплойт можно было также бесплатно.

Согласно отчету компании Trend Micro Russian Underground Revisited, имеющемуся в распоряжении «Ленты.ру», российский рынок киберпреступности, который появился в 2004 году, был первым, на котором была организована торговля вредоносным кодом. Наиболее популярными ресурсами на рынке вредоносных программ в России являются площадки verified.su и ploy.org, насчитывающие как минимум 20 тысяч зарегистрированных пользователей. В целях безопасности на этих форумах покупатели и продавцы вредоносного кода используют третьих лиц, которые тестируют предлагаемые продукты и услуги, а также проверяют платежеспособность покупателей. За свои услуги эти посредники получают от двух до 15 процентов от суммы сделки.

К продуктам на рынке киберпреступности также относятся криптеры, которые с использованием «заглушек» скрывают зараженные файлы или вредоносное программное обеспечение от программ информационной безопасности. Цена на простые криптеры на российском рынке за два года снизилась в три раза — с 30-80 долларов до 10-30 долларов. Более сложные криптеры стоят несколько дороже, хотя их цена также снизилась — со 100 долларов в 2011 году до 65 долларов в 2013 году.

Спам на любой кошелек

Услуги хостинга выделенного сервера входят в число самых востребованных услуг на российском рынке киберпреступности. Выделенный сервер может использоваться злоумышленниками для различных целей, например для создания сервера централизованного управления зараженными компьютерами или для размещения вредоносных файлов. Хостинг серверов от начального уровня до высокопроизводительных в ценах 2011 года: 160-450 долларов в зависимости от вида, в ценах 2013 года: 50-190 долларов.

В целом цены на услуги, представленные на российском рынке хакеров, такие как хостинг прокси-сервера (прокси-сервер используется как промежуточный компьютер — посредник между компьютером и интернетом, применяется для обеспечения анонимности хакера) и хостинг VPN-сервера (расшифровывает весь входящий и исходящий трафик компьютера) за два года изменились незначительно.

Стоимость массового распространения сообщений с помощью электронной почты, службы мгновенных сообщений, социальных сетей или SMS (спам) зависит от способа, которым он рассылается. Так, самый дорогой способ спам-рассылок — через SMS-сообщения, хотя и на него цена упала в 6 раз: с 600 долларов за 10 тысяч сообщений в 2011 году до 100 долларов в прошлом году. А самый недорогим является способ рассылки спама, когда злоумышленники используют публичные базы данных адресов электронной почты: в прошлом году за 10 тысяч сообщений такой рассылки просили всего 4,5 доллара.

Единственные услуги на рынке киберпреступности, которые со временем не становятся дешевле, это атаки типа «распределенный отказ в обслуживании» (Distributed Denial-of-service ,DDoS): используя специально созданных ботов или бот-сети, DDoS-атаки парализуют работу сайтов или компьютеров . В 2011 году за 1 час DDoS-атаки хакеры просили 4-10 долларов, тогда как в прошлом году 1 час атаки уже стоил 2-60 долларов. Подорожали и 24-часовые атаки: 13-200 долларов в прошлом году против 30-70 долларов в 2011 году.

Цена наиболее часто используемой технологии при DDoS-атаках для вывода из строя сервера — технология создания увеличенного трафика (так называемый флудинг) — в 2011 году составляла около 30 долларов за 10 тысяч сообщений по электронной почте, тогда как в 2013 году снизилась в 15 раз до 2 долларов за 10 тысяч сообщений. Однако в качестве флудинга могут предлагаться также назойливые звонки по телефону или SMS-сообщения, но тут стоимость не сильно изменилась. За звонки по проводному телефону два года назад требовали 32 доллара, а в прошлом году — 25 долларов; за одну тысячу SMS-сообщений — 15 долларов в 2011 году и 8 долларов — в 2013 году.

Re: Новые вирусные угрозы
 

Антивирусная компания Eset сообщила об обнаружении нового вредоносного программного обеспечения, ориентированного на русскоязычных Android-пользователей. Программа злоупотребляет доступом к адресной книге и пытается заразить другие устройства. Новый вредонос получил название Android/Samsapo.A.

В его функционал входит возможность загрузки на целевое устройство других вредоносных файлов, кража личных данных из устройства и блокировка телефонных звонков. Вредонос скачивает данные с сервера, расположенного на домене, зарегистрированном неделю назад.

Samsapo распространяется путем рассылки сообщений с зараженных устройств через адресную книгу новых жертв, что роднит вредонос с сетевыми червями. Текстовое соглашение гласит: «Это ваше фото?» и содержит ссылку на apk-приложение с червем внутри. В Eset говорят, что в прошлом такая же техника применялась при распространении windows-червей.

Внутри APK находится системная утилита com.android.tools.system v1.0. Программа не имеет графического интерфейса или иконки в приложениях. В Eset говорят, что сама по себе система Android предупреждает пользователя о загрузке с недоверенного источника.

Re: Новые вирусные угрозы
 

Несмотря на то, что работающие под управлением iOS устройства считаются защищенными от всевозможных угроз, киберпреступники все же проявляют к этой операционной системе определенный интерес. В марте и апреле специалисты компании «Доктор Веб» проанализировали троянцев, угрожавших владельцам взломанных смартфонов и планшетов под управлением iOS, а в начале мая участились случаи мошенничества, направленного против пользователей мобильных устройств производства компании Apple.

Киберпреступники реализуют все новые и новые мошеннические схемы, позволяющие им наживаться за счет ничего не подозревающих жертв, при этом все чаще в их поле зрения попадают пользователи устройств, работающих под управлением операционной системы Apple iOS.

Так, в последнее время участились случаи мошенничества в отношении пользователей iOS, реализуемого без применения каких-либо вредоносных программ. Для достижения своих целей злоумышленники используют исключительно методы социальной инженерии, а именно – неистребимую тягу некоторых людей ко всему бесплатному в сочетании с технической неосведомленностью. В основе данного вида мошенничества лежит принцип работы мобильных устройств под управлением iOS с различными сервисами Apple, в частности, App Store, iCloud и iTunes. Одна из особенностей взаимодействия iPhone и iPad с этими сервисами заключается в том, что на каждом устройстве Apple имеется собственная учетная запись пользователя, называемая Apple ID, с помощью которой осуществляется доступ ко всем сервисам и службам данной компании. Все платные приложения, музыка, видео и игры, приобретенные владельцем учетной записи Apple ID, остаются «привязанными» к этой учетной записи и доступны с любого Apple-совместимого устройства после ввода соответствующего логина и пароля. На различных форумах и в социальных сетях уже давно распространена своеобразная «услуга», в рамках которой всем желающим за небольшую абонентскую плату предлагался доступ к учетной записи Apple ID с возможностью воспользоваться большим количеством платных игр, программ и музыки, поэтому предложения из серии «Apple ID в аренду» не вызывают особого удивления у владельцев «яблочных» устройств. Однако они не учитывают то обстоятельство, что среди возможностей, доступных владельцу учетной записи Apple ID, имеется появившаяся в iOS 7 функция Activation Lock, работающая в связке с сервисом Find My iPhone. С ее помощью можно заблокировать iPhone или iPad, и разблокировать его будет невозможно без ввода пароля учетной записи Apple ID.

Этим и пользуются мошенники, выискивая в Интернете неискушенных пользователей iOS, как правило — детей или подростков. Злоумышленники предлагают им воспользоваться чужой учетной записью Apple ID с доступом к сервисам App Store и iTunes, на которых якобы имеется большое количество заранее приобретенных приложений и игр. Таким образом, перед потенциальной жертвой якобы открывается возможность запускать коммерческие игры, просматривать фильмы и музыку без необходимости тратить на это деньги. Как только жертва подключается к предоставленной злоумышленниками учетной записи Apple ID (в этот момент в свойствах учетной записи появляется новое «привязанное» устройство), мошенники незамедлительно меняют пароль данного аккаунта и блокируют мобильное устройство жертвы с одновременной отправкой ей требования заплатить некоторую сумму за разблокировку.

У пользователей предыдущих версий iOS была возможность обойти блокировку устройства, обновив прошивку. Однако начиная с версии iOS 7 разработчики операционной системы изменили механизм обновления и перепрошивки: теперь информация о том, что телефон заблокирован как утерянный, хранится на серверах Apple, и для установки новой прошивки требуется в обязательном порядке ввести аутентификационные данные Apple ID. Безусловно, для «забывчивых» пользователей разработчики iOS 7 предусмотрели возможность сбросить блокировку и без ввода пароля, однако для этого владельцу устройства следует обратиться в службу технической поддержки Apple, предъявить чек, выданный магазином при покупке устройства, и документ, подтверждающий личность пользователя сервисов компании. В случае мошеннической блокировки iPhone или iPad это может вызвать определенные сложности.

Re: Новые вирусные угрозы
 

IBM развивает свое предложение в области ИТ-защиты коммерческих клиентов по всему миру, представляя новый интеллектуальный сервис для превентивного выявления хакерской активности. «Потребность в том, чтобы безопасность стала частью общей стратегии, является естественной», - говорит вице-президент IBM по безопасности Марк ван Заделхофф.

По его словам, бизнес ИТ-безопасности стал одним из приоритетов для IBM около двух лет назад. Тогда же IBM начала проводить активную политику слияний и поглощений в этом направлении. Сейчас на этот бизнес в корпорации выделяют «существенные ресурсы».

В понедельник IBM анонсировала новые сервисы Threat Protection System и Critical Data Protection Programm. В IBM говорят, что за последние пару лет хакерские группы по всему миру начали активно реализовывать так называемые APT-атаки, представляющие собой целевые направления с кастомизированным вредоносным софтом. Обычные средства безопасности против таких атак работают слабо, поэтому ИТ-компании по всему миру почти одновременно заговорили о необходимости вывода на рынок нового класса средств защиты, работающих более интеллектуально, нежели традиционные сигнатурные антивирусы и межсетевые экраны.

В IBM говорят, что оба новых сервиса доступны для корпоративных клиентов на условиях подписки и обеспечивают защиту данных по всему сетевому периметру. В них используются некоторые защитные техники, такие как «листы наблюдений», анализ поведения данных в сети и другие.

Re: Новые вирусные угрозы
 

ESET сегодня предупредила о распространении троянского ПО под видом файлов .jpg в сообщениях электронной почты. Атака направлена на пользователей из стран Восточной Европы. Троян атакует компьютер, когда потенциальная жертва пытается открыть файл, вложенный в письмо, предполагая, что это изображение в формате jpeg. На самом деле под безобидную картинку маскируется исполняемый файл (ехе), который содержит вредоносный код.

Эксперты вирусной лаборатории обнаружили несколько образцов таких писем с вложенными файлами «Grafika1.jpg.exe» и «Grafika4.jpg.exe». Чтобы пользователи ничего не заподозрили, в письме отображаются «картинки из приложения» – графика из онлайн-игры League of Legends или эмблема польского футбольного клуба Ruch Chorzow.

Эксперты считают, что киберкампания ориентирована в основном на пользователей из Польши и других стран Восточной Европы, но не исключают существования писем с другой «приманкой».

Троян предназначен для кражи паролей от электронной почты, социальных сетей и других веб-сервисов, поддерживает функционал кейлоггера. Кроме того, он способен делать скриншоты рабочего стола и предоставлять своим авторам доступ к электронному биткоин-кошельку жертвы.

«Помимо основного функционала, троян может скрывать следы своей работы и мешать попыткам удаления вредоносного приложения. Для этого он блокирует доступ к панели управления, инструментам реестра, диспетчеру задач и параметрам восстановления системы», – говорит Камиль Садковский, аналитик вирусной лаборатории ESET.

Re: Новые вирусные угрозы
 

Как обнаружили эксперты компании Fortinet, операторы Lethic нашли другой способ монетизации данного ботнета. Lethic больше не распространяет спам, он обращается к заданным страницам и загружает их, не показывая жертве заражения.

Ботнет Lethic известен как минимум с начала 2010 года и на протяжении всей своей истории использовался исключительно для рассылки спама. Спамботы Lethic достаточно примитивны и используют зараженную машину как прокси-посредника между C&C и целевым SMTP-сервером. IP-адрес публичного почтовика и номер порта спамбот получает из центра управления в виде шифрованной команды.

В минувшем марте мониторинговая система Fortinet показала, что вместо почтовых серверов Lethic упорно запрашивает веб-сайт, торгующий билетами на некое шоу в Торонто. Оказалось, что почти исчезнувший со спам-арены зловред сменил профиль и стал «кликером». Он по-прежнему работает как прокси-бот, однако вместо IP почтовика получает с C&C некий URL, а вместо SMTP-команды – команду на передачу HTTP GET. Имитируя поведение браузера, обновленный Lethic скрытно от пользователя загружает страницу, накручивая посещения, приносящие доход его повелителям.

Re: Новые вирусные угрозы
 

ESET предупредила пользователей Facebook о новой уловке интернет-мошенников – спаме о «бесплатных билетах на концерт Rolling Stones».

Мошеннические посты с символикой Rolling Stones призывают перейти по ссылке на сторонний сайт, чтобы узнать подробности о розыгрыше билетов на концерт легендарных рокеров в рамках их мирового турне «14 On Fire».

Для участия в «розыгрыше» пользователю нужно поделиться этой ссылкой в своем Facebook-профиле и убедиться, что по ней перешли не менее 10 друзей. Предполагается, что после этого участник автоматически получит доступ к закрытому разделу сайта, где сможет оформить заявку на бесплатный билет.

«Рок-спам» может использоваться для распространения вредоносного ПО или сбора персональных данных «победителей розыгрыша». В любом случае, доверять данному предложению не рекомендуется, как минимум, потому что на официальном сайте Rolling Stones и Facebook-странице группы нет ни единого упоминания этой акции.

«Сильно сомневаюсь, что Rolling Stones испытывают сложности с продвижением своего турне и вынуждены раздавать билеты, – комментирует Грэм Клули, эксперт по информационной безопасности. – Это предложение, равно как и другие подобные уловки интернет-мошенников, должно вызвать подозрение хотя бы потому, что это слишком хорошо, чтобы быть правдой».

Российские поклонники Rolling Stones рассчитывают увидеть своих кумиров 12 декабря 2014 года на концерте в СК «Олимпийский». Эксперты предупреждают, что ажиотажем вокруг этого события могут воспользоваться злоумышленники, и советуют соблюдать бдительность, не переходить по подозрительным ссылкам в соцсетях и, конечно, не делиться сомнительными сообщениями в своем профиле.

Re: Новые вирусные угрозы
 

Хакеры взломали базу данных одной из крупнейших онлайн-площадок по купле-продаже товаров eBay. В руки злоумышленников могли попасть зашифрованные пароли и другие персональные данные, говорится в официальном сообщении eBay.

В ближайшее время eBay попросит пользователей сменить пароли к своим аккаунтам. Оповещения об этом будут размещаться как на сайте eBay, так и в индивидуальных электронных сообщениях пользователям.

В базе данных, взлом которой произошел в конце февраля-начале марта, находились имена пользователей eBay, пароли в зашифрованном виде, адреса электронной почты, физические адреса, номера телефонов и даты рождения. О том, что регистрационные данные сотрудников eBay попали в руки злоумышленников, стало известно около двух недель назад, а взлом базы данных был выявлен только недавно.

Однако финансовая информация, в том числе данные банковских карт, и конфиденциальные персональные данные во взломанной базе не хранились. В eBay напомнили, что финансовые данные, которые используются в работе с сервисом, хранятся отдельно в зашифрованном формате.

Компания не выявила какой-либо мошеннической активности с аккаунтами пользователей eBay после взлома. Кроме того, eBay утверждает, что не обнаружила фактов неавторизованного доступа к аккаунтам в своей платежной системе PayPal и до личной и финансовой информации PayPal-пользователей хакеры добраться не смогли. Напомним, что данные аккаунтов PayPal хранятся отдельно от данных eBay, а финансовая информация зашифрована.

Поскольку eBay не уточняет масштабы инцидента, он мог затронуть и российских пользователей. По данным eBay, в России у сервиса насчитывается миллион активных пользователей, которые оформляли на сайте хотя бы один заказ в течение года.

Компания вместе с правоохранительными органами и специалистами по информационной безопасности на данный момент ведет расследование несанкционированного доступа в систему, а также принимает дополнительные меры для защиты пользователей.

Re: Новые вирусные угрозы
 

Антивирусная компания Avast сегодня предупредила о том, что ее интернет-форум стал жертвой хакерской атаки и 400 000 зарегистрированных на нем пользователей могли стать жертвами похищения персональных данных. Винс Стеклер, генеральный директор Avast Software, говорит, что на сегодня продуктами компании пользуются около 200 млн человек, а 400 000 — это 0,2% от данной базы.

Сообщается, что атака была проведена в минувшие выходные и сразу же после ее выявления форум был закрыт. На данный момент в Avast не сообщают, как именно данные были похищены, однако в компании подозревают, что утечка произошла через баги в третьем программном обеспечении, используемом для хостинга форума.

«Этот форум работал много лет и он всегда был размещен на стороннем программном обеспечении, поэтому сейчас точно не ясно, как был осуществлен взлом», - говорит он.

Стеклер заявил, что никакие финансовые данные похищены не были, а пароли пользователей в похищенной базе, были зашифрованы.

Re: Новые вирусные угрозы
 

Издание the Wall Street Journal сегодня публикует материал полученный от Национального совета по безопасности США и независимой ИТ-компании iSight, согласно которому группа иранских хакеров проводила кампанию по кибершпионажу за высокопоставленными американскими чиновниками. В задачи хакеров входил сбор данных об экономических санкциях, ядерных программах и связанной политике, а также других вопросах международного масштаба.

В материале отмечается, что иранской стороной были созданы фиктивные организации в США, через которые получались данные по упрощенным схемам. Кроме того, хакеры активно работали с общедоступными ресурсами, такими как Facebook или LinkedIn, пытаясь получить дополнительные данные.

WSJ отмечает, что кампания уходит корнями в 2011 год и, судя по всему, продолжается до сих пор, причем в последнее время она распространилась на представителей Великобритании, Саудовской Аравии, Сирии и Ирака. В iSight Partners говорят, что наблюдали за действиями кибершпионов на протяжении полугода и только сейчас публикуют отчет о данной деятельности.

Компания отмечает, что прежде в США не полагали, что Иран может обладать столь развитыми инструментами и методами шпионажа. О конкретном ущербе, который был нанесен или мог быть нанесен, ничего не сообщается. В iSight говорят, что данная кампания была долговременной, скоординированной и продуктивной для ее организаторов. Одновременно с этим, компания подвергает критике федеральные ведомства США, которые не наладили должного межведомственного контакта друг с другом и не смогли вовремя блокировать хакеров.

Более подробная версия отчета iSight должна быть опубликована в четверг вечером. Отметим, что как и в случае с ранее прозвучавшими обвинениями в адрес хакеров из Китая в США сейчас в открытом виде не декларируют, что хакеры как-то связаны с официальными властями страны, однако в отчете говорится о явно политической мотивации, а также мощных финансовых ресурсах и международных связях, которые без господдержки вряд ли были бы возможны.

Re: Новые вирусные угрозы
 

Антивирусная компания Eset на неделе сообщила об обнаружении опасного Android-вредоноса, шифрующего данные на карте памяти мобильного устройства. В Eset говорят, что появление Android-шифровальщиков — это не такое уж редкое дело, но далеко не все из них имеют возможность работы с картами памяти с привилегиями системного уровня.

В компании говорят, что их всех мобильных вредоносов программы-шифровальщики являются одной из наименее распространенных категорий программ. Ранее мобильные вирусописатели применяли другие методы блокировки устройств для вымогания дене, предпочитая не трогать файлы. К примеру, вредоносы Android.Defender и Android.Koler применяли различные методы экранной блокировки для шантажа пользователей.

В свою очередь новый вредонос Android/Simlocker.A сканирует SD-карту на наличие файлов с расширением jpeg, jpg, png, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp, mp4 и шифрует их при помощи алгоритма AES (Advanced Encryption Standard). После этого код выводит пользователю сообщений о том, что авторам кода необходимо перечислить 260 украинских гривен через сервис MoneXy для расшифровки смартфона или планшета.

Аналогичный метод шантажа использует вредонос Cryptolocker, однако этот код ориентирован на ПК под управлением Windows. Ранее автор Cryptolocker был арестован ФБР США.

В Eset говорят, что авторы Simlocker использовали достаточно простую технику для шифрования, однако само наличие подобного кода — это своего рода proof-of-concept. То есть в будущем, скорее всего, можно ожидать появления более продвинутых образцов.

Eset сообщает, что ее специалистами код был обнаружен внутри приложения Sex xionix, которое не распространяется через Google Play и пока масштабы заражения Simlocker, скорее всего, невелики.

Еще одним интересным моментом Simlocker является использование Tor-коммуникаций. Коммандный сервер этого кода использует расширение .onion и не доступен из обычного интернета. По Tor-каналам вредонос передает IMEI-номер мобильного устройства и получает данные для шифрования информации.

Re: Новые вирусные угрозы
 

Злоумышленники, блокировавшие устройства Apple в России с целью дальнейшего вымогательства, задержаны сотрудниками управления «К» МВД России. Об этом говорится в пресс-релизе ведомства.

В ходе проведения оперативных мероприятий были выявлены и задержаны двое подозреваемых, проживающих в Южном административном округе Москвы, 1991 и 1998 годов рождения, один из них уже был судим ранее. Они дают показания, а потерпевшим возвращен доступ к их устройствам.

В отношении подозреваемых возбуждено уголовное дело по части 2 статьи 272 УК РФ («Неправомерный доступ к компьютерной информации»).

Сообщения о блокировании устройств Apple и вымогательстве за возврат их работоспособности стали поступать в управление «К» МВД России весной. Через месяц были обнаружены подозреваемые. Как и предполагали эксперты, злоумышленники использовали возможности сервиса Find my iPhone, предназначенного для поиска и блокирования потерянных или украденных мобильных телефонов или планшетов.

Захват контроля над iPhone и iPad проводился по двум схемам. По первой злоумышленники получали доступ к учетной записи Apple ID жертвы при помощи создания фишинговых страниц, то есть подделывали стартовую страницу сайта, требовавшую логин и пароль к сервису или к электронной почте, к которой был привязан сервис. Как вариант, учетные данные могли быть получены методами социальной инженерии. Вторая схема предусматривала привязку чужого устройства к заранее подготовленной учетной записи. Пользователя к этому варианту склоняли, предлагая в интернете в аренду аккаунт Apple ID, содержащий большое количество оплаченных программ и медиаконтента.

Вернуть контроль над заблокированными устройствами можно было, только обратившись в техническую поддержку Apple по телефону на сайте. Если пользователю удавалось ответить на ряд вопросов по своему аккаунту, ему возвращали доступ к устройству.

Чтобы избежать блокирования устройств в будущем, Виктор Чебышев, антивирусный эксперт «Лаборатории Касперского», рекомендует не использовать в качестве логина в Apple ID адреса электронной почты. На смартфон или планшет следует установить пин-код и проверить безопасность используемых паролей: они должны отличаться на разных сайтах, быть достаточно длинными и сложными. Кроме того, он советует остерегаться фишинга, не вводить пароль, если есть сомнения, что на экране действительно оригинальный сайт Apple. Современные браузеры помогают избежать фальшивых сайтов. Также не стоит использовать уже созданные аккаунты Apple ID, злоумышленники могут вернуть контроль над ними, сохранив у себя пароль или восстановив его по стандартной процедуре через электронную почту.

Случаи блокирования техники Apple с целью вымогательства денег наблюдаются по всему миру. Apple сообщила ресурсу ZDNet, что безопасность сервиса iCloud не была скомпрометирована. Компания рекомендовала пользователям, которых затронула атака, поменять пароль Apple ID и избегать использования одинаковых логинов и паролей для различных сервисов.

Re: Новые вирусные угрозы
 

Киберпреступления причиняют ущерб мировой экономике в размере порядка 445 млрд долларов в год, говорится в новом докладе Центр стратегических и международных исследований (CSIS) США. Авторы указывают, что киберпреступность – растущая индустрия, которая наносит вред торговле, конкурентоспособности и инновациям.

По самым скромным подсчетам, ущерб оценивается в 375 млн долларов, а по самым смелым – в 575 млн, говорится в докладе, спонсором которого стала компания McAfee, которая занимается разработками в сфере антивирусного программного обеспечения.

«Киберпреступность – по сути, налог на инновации, который замедляет глобальное развитие, снижая уровень прибыли изобретателям и инвесторам, – сказал Джим Льюис из Центра стратегических и международных исследований. – Для развитых стран, киберпреступность имеет серьезные последствия для рынка труда».

Авторы доклада выяснили, что самые крупные потери несут на себе крупнейшие экономики мира, среди которых лидируют Соединенные Штаты, Китай, Япония и Германия, теряя 200 млн долларов ежегодно. Потери связанные с утечками персональных данных, как, например, кражи данных кредитных карт, составляют 150 млн долларов.

В США порядка 40 млн людей, около 15% всего населения, сталкивались с кражей личной информации хакерами. В Турции от подобного рода преступлении пострадали 54 млн человек, в Германии – 16 млн, в Китае – более 20 млн человек.

Re: Новые вирусные угрозы
 

Во время обеденного перерыва в школе 14-летние Мэттью Хьюлетт и Калеб Тюрон из канадского города Виннипег взломали банкомат Bank of Montreal. К счастью, для банка ребята оказались весьма порядочными.

Смышленые девятиклассники предположили, что, как и для большинства электронных устройств, в интернете должна быть опубликована инструкция к банкомату. Подсмотрев номер модели банкомата в местном продуктовом магазине, они распечатали из Сети соответствующую инструкцию для операторов и взломали его, передает SecurityLab.

Когда банкомат запросил ввести пароль, подростки ввели первое шутливое слово из шесть символов, которое взбрело в их головы. К их великому удивлению, это сработало. К счастью для банка, школьники оказались честными ребятами и сообщили о своем открытии сотрудникам ближайшего отделения Bank of Montreal. Однако им не поверили, и мальчики продемонстрировали взлом наглядно.

"Мы снова вернулись к банкомату и активировали режим оператора. Я распечатал всякую документацию о том, сколько денег есть в банкомате, сколько снятий произошло в тот день, какая сумма была снята за дополнительные услуги, - рассказал Хьюлетт The Winnipeg Sun. - Потом я обнаружил способ, как изменить сумму оплаты, и изменил ее на один цент".

В добавок к этому школьники изменили текст приветствия, высвечивающийся на экране банкомата, с "Добро пожаловать" на "Убирайтесь, этот банкомат взломан". После этого сотрудники банка уже не могли сомневаться в случившемся.

Re: Новые вирусные угрозы
 

Ровно 10 лет назад «Лабораторией Касперского» был обнаружен Cabir — первый в своем роде червь, нацеленный на мобильные устройства. В отличие от современных мобильных зловредов Cabir не был оснащен широким набором вредоносных функций. Несмотря на это, он вошел в историю, первым продемонстрировав, что мобильные устройства также могут быть интересны злоумышленникам.

Специалисты компании впервые столкнулись с Cabir в начале июня 2004 года. Один из антивирусных аналитиков «Лаборатории Касперского» обратил свое внимание на почтовое сообщение без текста, которое, тем не менее, содержало вложение. Прикрепленный файл показался сотрудникам подозрительным: быстрый анализ не позволил определить, для какой платформы он был создан — по крайней мере, не для Microsoft Windows или Linux, с которыми обычно приходилось работать аналитикам на тот момент.

«Вскоре после обнаружения подозрительного файла Роман Кузьменко определил, что он был написан для запуска на Symbian OS, мобильной операционной системе, которая обеспечивала функционирование телефонов Nokia».

Дальнейший анализ показал, что этот файл был способен передавать самого себя на другой телефон через Bluetooth. Из-за того, что Bluetooth-модуль был постоянно активирован, заряд батареи зараженного телефона источался очень быстро. По сути, это было единственное, к чему приводило функционирование программы — ее едва ли можно было назвать вредоносной. Однако способность к репродукции заставила экспертов «Лаборатории Касперского» сконструировать специальный тестовый стенд для анализа подобных угроз. Комната, в которой располагался стенд, была проэкранирована так, чтобы радио-сигнал не смог покинуть ее пределы, и впоследствии стала местом проведения тестов над новыми образцами мобильных зловредов.

Анализ кода и обратный адрес присланного письма позволили установить авторов нового червя — это была легендарная международная группа вирусописателей 29A, получивших известность за создание так называемых концептуальных вирусов, целью которых была демонстрация уязвимостей тех или иных компьютерных подсистем или устройств.

В дополнение к созданию таких программ группа 29А также периодически выпускала электронный журнал. В одном из изданий они опубликовали информацию о Cabir, а также некоторые фрагменты его исходного кода. Эта статья, показавшая возможность заражения одной из самых распространенных на то время мобильных платформ, наделала много шума в мире компьютерной безопасности. Она также подтолкнула других злоумышленников к развитию этого нового подхода. Вскоре после публикации в издании группы в Сети начали появляться различные модификации Cabir.

После Cabir специалистами «Лаборатории Касперского» были обнаружены несколько сотен других мобильных зловредов, нацеленных на Symbian OS. Число новых подобных программ стало стремительно падать после появления и распространения таких систем, как Android, популярность которых обеспечила им пристальное внимание злоумышленников.

Re: Новые вирусные угрозы
 

Сегодня утром представители Министерства финансов РФ разослали во все федеральные органы власти, Банк России и областные администрации предупредительное письмо, в котором говорилось, что вчера вечером хакеры атаковали госорганы прикрываясь Минфином.
В частности, было зафиксировано несколько случаев, когда представители государственных структур получали электронные письма от имени заместителя министра Андрея Иванова, которые содержали вирусную программу. В этих письмах-вирусах, отправленных с различных адресов, заместитель министра якобы предлагал ознакомиться с новым приказом ведомства, согласно которому в России планируется ввести новую программу управления финансами всех министерств с целью сократить расходную часть бюджета.
К каждому письму был прикреплен специальный файл, в котором чиновники должны были поставить свою подпись. Данный файл содержал вирусную программу, которая шифрует все графические и текстовые файлы на носителе.
За разблокировку компьютера киберпреступники требовали перечислить им 5000 рублей в виде электронных денег. Представители Министерства финансов советуют сотрудникам гоструктур не открывать подобные письма и сообщать об их наличии в службу информационной безопасности.

Re: Новые вирусные угрозы
 

Эксперты вирусной лаборатории Eset в Братиславе (Словакия) обнаружили новые модификации трояна-вымогателя Simplocker, атакующего мобильные устройства на базе Android. По данным компании, наибольшее распространение троян получил в России и Украине. Simplocker – первый троян-вымогатель для смартфонов и планшетов на Android, способный шифровать файлы пользователя. Он блокирует доступ к устройству и требует за расшифровку денежный выкуп.

Новые модификации Simplocker, обнаруженные аналитиками Eset, отличаются друг от друга рядом признаков:

· некоторые варианты используют для связи с командным сервером обыкновенные домены, другие – домены .onion, принадлежащие анонимной сети TOR;
· обнаружены различные пути передачи команды decrypt, которая сигнализирует о факте получения выкупа злоумышленниками;
· используются разные интерфейсы окон с требованием выкупа и различные валюты (рубль и гривна);
· некоторые модификации используют в сообщении о блокировке фотографию пользователя, сделанную на встроенную камеру устройства;
· вопреки обещанию мошенников, несколько версий Simplocker не шифруют файлы, а просто блокируют устройство.

Вместе с этим в большинстве модификаций используется упрощенный подход к шифрованию с использованием алгоритма AES и жестко зашитого ключа. Система телеметрии ESET LiveGrid позволила установить основные векторы заражения Simplocker. Чаще всего злоумышленники маскируют троян под приложение с порнографическим контентом или популярную игру, например, Grand Theft Auto: San Andreas.

Simplocker распространяется также посредством загрузчика (downloader), который удаленно устанавливает основной файл трояна. Использование этого типа вредоносного ПО является обычной практикой для Windows, но в последнее время такие программы создаются и для Android.

Специалисты изучили один из загрузчиков, который детектируется продуктами ESET NOD32 как Android/TrojanDownloader.FakeApp. Он распространялся под видом видеоплеера USSDDualWidget через магазин приложений. Его URL-адрес не указывал напрямую на вредоносный файл с трояном, поэтому загрузчик не вызывал подозрений. Установка Simplocker осуществлялась после перенаправления на другой сервер, находящийся под контролем злоумышленников.

«Подобные приложения могут появляться даже на Google Play и успешно избегать разоблачения со стороны security-приложений, в частности, Bounce, - комментирует Артем Баранов, ведущий вирусный аналитик Eset Russia. – Причина в том, что такие загрузчики при установке не требуют подозрительных разрешений на доступ, а сам факт перехода по URL еще не говорит о вредоносной активности».

Re: Новые вирусные угрозы
 

DDoS атакует

Основным объектом нападений хакеров в России стали сайты платежных систем

http://i.pixs.ru/storage/2/5/2/icdnl...8_12696252.jpg

В России продолжает расти число DDoS-атак на интернет-ресурсы. Они осуществляются злоумышленниками с целью нарушить работу сайтов путем искусственно созданного мощного потока обращений к нему. В январе-мае 2014 года основной целью хакеров стали сайты платежных систем — в среднем 6,2 инцидента на один интернет-ресурс.

Re: Новые вирусные угрозы
 

Официальный веб-сайт Звукозаписывающей ассоциации Аргентины во вторник был взломан хакерами, которые разместили на ресурсе программу-редирект на проект the Pirate Bay. После взлома ресурс отраслевой организации стал обслуживать клиентов, как один из торрент-шлюзов.

Согласно информации Torrent Freak, во взломанном состоянии сайт Аргентинской палаты продюссеров фоно- и видеограмм был около 10 часов. Атака на сайт стала результатом успешной юридической кампании по блокировке более 2000 IP-адрес и 12 доменов с которых велось распространение пиратского контента.

Re: Новые вирусные угрозы
 

Хакерам удалось взломать электромобиль Tesla Model S

Китайским хакерам удалось взломать систему Tesla Model S. Под контроль были успешно взяты функции управления дверными замками электрокара, люком, фарами, стеклоочистителями и клаксоном. Хакеры из КНР приняли участие в конференции по безопасности SyScan 360, на которой разыгрывались 10 000 долларов за успешный взлом электрокара Tesla Model S. Организатор мероприятия, китайский антивирусный вендор Qihoo 360, сообщил об успехе китайской команды, но умолчал о подробностях взлома.


"Владельцы Tesla должны быть очень осторожными во время поездок под дождем, чтобы люк на крыше их авто "случайно" не открылся, залив дождевой водой весь салон автомобиля", - пошутили на своей странице в Weibo сотрудники охранной компании.

Позже представители Qihoo 360 направили руководству Tesla Motors письмо с предложением о сотрудничестве, которое позволит быстро ликвидировать программную брешь в защите электрокара.

Независимый эксперт по вопросам безопасности Чарли Миллер уверен, что еще слишком рано делать окончательные выводы на этот счет. Он добавил, что не удивлен новостью о взломе Tesla Model S.

"Современные водители не слишком хорошо осознают, что системы с тем же доступом по Bluetooth или навигационное оборудование теоретически могут стать средствами, которые весьма реально использовать для контроля за торможением, поворотом колес или открытием замков. Все эти функции взаимосвязаны благодаря единой бортовой системе. Сегодня мы заняты решением вопроса, какой способ выбрать для максимальной защиты автомобильного компьютера от стороннего проникновения", - рассказал о своем видении проблемы Миллер.

Re: Новые вирусные угрозы
 

Компания Dow Jones сегодня сообщила о том, что некоторые из компьютеров журналистов издания The Wall Street Journal, где содержались закрытые сведения, были взломаны. Для предотвращения дальнейших атак, компьютеры были отключены.

Представители издательского дома говорят, что в результате хакерских атак злоумышленники получили доступ к инфографике и неопубликованным статьям. График выпуска изданий из-за атаки не был нарушен.

Дополнительные подробности атаки недоступны.

Re: Новые вирусные угрозы
 

Сайт Европейского центрального банка (ЕЦБ) был взломан хакерами. Об этом говорится в сообщении на сайте ЕЦБ. Были украдены электронные почтовые адреса и другие контактные данные пользователей, зарегистрированных на сайте. Эти данные использовались для приглашения на мероприятия банка.

Внутрибанковская компьютерная сеть и данные, которые могут оказать влияние на рынок, не были скомпрометированы, так как физически отключены от систем ЕЦБ, подключенных к интернету.

Похищенные данные хранились в основном в зашифрованном виде, однако некоторые адреса, телефоны и подобная информация могли быть доступны для прочтения.

Европейский центробанк сообщил, что продолжит прилагать максимальные усилия для защиты данных. Информация о взломе передана в немецкую полицию, начато расследование.

Re: Новые вирусные угрозы
 

В сети появились новые версии троянца-вымогателя Simlocker


Эксперты вирусной лаборатории Eset в Братиславе (Словакия) предупреждают о появлении новых модификаций шифровальщика Simplocker для смартфонов и планшетов на базе Android. Теперь троян ориентирован на англоговорящих пользователей.

Re: Новые вирусные угрозы
 

Новый троянец атакует швейцарские банки и подменяет DNS


Некоммерческая швейцарская ИТ-организация Switch CH сообщила об обнаружении нового троянского кода, целенаправленно атакующего системы онлайн-банкинга швейцарских банков. Эксперты утверждают, что вредоносный код родом из России, и он способен перехватывать SMS-ключи, а также изменять настройки доменной системы компьютера.