Новые виды вирусных угроз

[RW011]

Внимание-новый тип компьютерных вирусов!
Читать:

+ Полный текст +

По данным компании Trustwave SpiderLabs, в сети появился новый тип компьютерных вирусов, скрывающихся под видом текстовых документов Word. Он распространяется с помощью электронной почты. Подобный метод практикуется злоумышленниками довольно давно, однако ключевой особенностью вируса стало полное отсутствие макросов, чего ранее не встречалось.
Ранее при открытии заражённых вложений пользователи видели предупреждения или всплывающие окна. В случае с новым вирусом такого не происходит.
С помощью вируса злоумышленники могут «уводить» учётные данные из электронной почты жертвы, FTP и браузеров. Исследователи отметили многоуровневую природу атаки, сравнив ее с турдакеном — праздничным блюдом, в котором цыплёнка помещают в утку, а её, в свою очередь, — в индейку.
Исследователи из Trustwave заявили, что вирус использует комбинацию методов, которые начинаются с вложения формата .DOCX. Жертвы получают по электронной почте различные письма, связанные с финансами.
Все обнаруженные специалистами e-mail включали вложение с именем «receipt.docx».

Процесс атаки с четырьмя этапами начинается с открытия файла .DOCX и запуска встроенного OLE-объекта, содержащего ссылки. Это позволяет ссылаться на внешний доступ к удалённым OLE-объектам. По словам исследователей, злоумышленники пользуется тем, что документы Word, созданные с помощью Microsoft Office 2007, используют формат Open XML, который основан на технологиях XML и ZIP-архивов. Поэтому такими файлами можно легко манипулировать программно или вручную.
Второй этап заключается в использовании Word-файла для запуска загрузки файла с расширением RTF. Последний прибегает к уязвимости редактора Office Equation Editor, закрытой Microsoft в ноябре прошлого года. Третий этап заключается в декодировании текста внутри RTF-файла, который, в свою очередь, запускает командную строку MSHTA, а она загружает и открывает HTA-файл. Последний содержит скрипт PowerShell, который и выполняет вредоносное ПО Password Stealer. Этот вирус похищает учётные данные из программ электронной почты, FTP и браузера.
Специалисты отметили необычайно большое количество этапов и сценариев, используемых этим вирусом. Кроме того, файлы DOCX, RTF и HTA редко блокируются почтовыми или сетевыми шлюзами, в отличие от более очевидных, таких как VBS, JScript или WSF.
Не забывайте, не стоит открывать файлы, полученные от неизвестных отправителей

[RW011]

Вирус RedDrop подслушивает пользователей Android

+ Полный текст +

Компания Wandera, специализирующаяся на мобильной безопасности, предупредила пользователей Android о новой угрозе — вирусе RedDrop.
Он представляет собой продвинутый инструмент для слежки, позволяющий злоумышленникам использовать микрофон устройства для записи происходящего вокруг с последующей отправкой аудио в облачные сервисы. И это не все возможности вируса.

На данный момент RedDrop распространён на территории Китая. Связано это с тем, что в Поднебесной заблокирован официальный магазин приложений Google Play, поэтому пользователям приходится загружать программы со сторонних ресурсов, где зачастую нет проверки качества. Именно этим и пользуются злоумышленники, внедряя вирус в другие приложения. Специалисты Wandera обнаружили RedDrop в 53 играх и программах. При этом некоторые из них ориентированы на англоговорящую аудиторию.
Для распространения заражённых приложений злоумышленники используют более 4 000 доменов и тысячи сложных цепочек редиректов. Попав на устройство вместе с программой, RedDrop начинает собирать информацию о смартфоне или планшете и отправляет её на удалённый сервер. Вместе с этим на гаджет устанавливается семь других программ с вирусами. При запуске заражённого ПО пользователь автоматически подписывается на платные SMS-сервисы.
Как уже было сказано выше, RedDrop может также подслушивать пользователя и пересылать злоумышленникам личные данные, включая фото, контакты и файлы в Dropbox или Google Диск. Правда, эти функции пока хакерами не используются.
Единственным способом уберечь себя от этого и подобных вирусов является скачивание приложений только из проверенных источников.

Источник:

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

Комментарий модератора igormedwed: Ссылки прячем под HIDE

[San-Sanich]

Пользователям YouTube угрожает опасный троян

«Доктор Веб» предупреждает о том, что сетевые злоумышленники используют популярный видеохостинг YouTube с целю распространения опасной вредоносной программы, инфицирующей компьютеры под управлением операционных систем Windows.

+ Полный текст +

Зловред, получивший обозначение Trojan.PWS.Stealer.23012, написан на языке Python. Злоумышленники публикуют ссылки на вредоносную программу в комментариях к видеороликам на YouTube. Многие из таких роликов посвящены использованию жульнических методов прохождения игр с применением специальных приложений. Как раз за такие программы и другие полезные утилиты злоумышленники и выдают трояна.
При попытке перейти по указанной ссылке на компьютер жертвы загружается самораспаковывающийся RAR-архив с вредоносным кодом. После его запуска происходит инфицирование ПК, и зловред приступает к работе.
Главной задачей трояна является сбор конфиденциальной информации. Вредоносная программа похищает сохранённые логины/пароли из браузеров, копирует файлы с рабочего стола, делает снимки экрана.
Полученная таким образом информация упаковывается в архив spam.zip, который вместе с данными о расположении заражённого устройства отправляется на сервер злоумышленников. В результате, преступники могут получить доступ к учётным записям жертвы в социальных сетях и различных веб-сервисах, а также завладеть сведениями персонального характера.

[RW011]

Сотрудники «Лаборатории Касперского» нашли неубиваемый компьютерный вирус

Подробнее:

+ Полный текст +

Чуть ли не каждый день во Всемирной паутине обнаруживают несколько новых компьютерных вирусов. И очень редко бывает так, что вирусы невозможно уничтожить. Более того, редкий вирус способен скрываться годами от разработчиков антивирусного ПО. Но, согласно недавнему сообщению специалистов «Лаборатории Касперского», им удалось обнаружить именно такой вирус: его почти невозможно уничтожить, а «работал» он с 2012 года.
Вирусное ПО получило название Slingshot и используется для точечной слежки за пользователями. Вирус может сохранять нажатия клавиш, отправлять скриншоты, перехватывать трафик, пароли и все данные до того, как они будут зашифрованы. Более того, работа вируса не вызывает никаких ошибок в ядре системы. Также удалось выяснить, как вирус внедрялся в систему: происходило это через уязвимость маршрутизаторов MikroTik. Производители уже выпустили новую прошивку, однако в «Лаборатории Касперского» допускают, что вирус может использовать и другие пути внедрения. Проникнув на маршрутизатор, вирус заменяет одну из DDL-библиотек вредоносной, загружая ее в память компьютера при запуске. Таким образом, вредоносная DLL-библиотека запускается на компьютере и подключается к удаленному серверу для загрузки самой программы Slingshot. Как отметили эксперты, вредоносное ПО включает в себя две части: Cahnadr (модуль режима ядра) и GollumApp (модуль пользовательского режима), предназначенные для сбора информации, сохранения присутствия на системе и хищения данных.
Как заявили сотрудники «Лаборатории Касперского»,«Модуль Cahnadr,
также известный как NDriver, имеет функции антиотладки, руткита и анализа трафика, установки других модулей и многое другое. Написанный на языке программирования C, Canhadr обеспечивает полный доступ к жесткому диску и оперативной памяти, несмотря на ограничения безопасности устройства, и выполняет контроль целостности различных компонентов системы, чтобы избежать обнаружения системами безопасности».

Высокий уровень защиты самого вируса от обнаружения также заслуживает отдельного упоминания. Например, еще один из его модулей называется Spork. Он собирает информацию об ОС и о том, какие антивирусы на ней установлены. В зависимости от этого, вирус использует разные способы заражения.

«Например, вирус использовал зашифрованную виртуальную файловую систему, которая создавалась в неиспользуемой части жесткого диска. Это решение очень сложное, и Slingshot – чуть ли единственный вирус, который оснащен такой технологией. Более того, каждая текстовая строка в модулях вируса зашифрована».

Кто является автором вируса, на данный момент выяснить не удалось, но, как пишет издание Engadget, исходя из анализа кода, можно сделать вывод, что вредоносное ПО создали, скорее всего, англоязычные программисты. Также сообщается, что основными жертвами хакеров стал ряд правительственных организаций Кении, Йемена, Ливии, Афганистана, Ирака, Танзании, Иордании, Маврикия, Сомали, Демократической Республики Конго, Турции, Судана и Объединенных Арабских Эмиратов.

[vladimir1949]

Европол нанес удар по DDoS-атакам

Представители Европола сообщили вчера об успешном проведении «Операции Power Off», в результате которой был заблокирован сайт Webstresser.org. Он считался крупнейшим в мире ресурсом по организации DDoS-атак. За вполне скромную сумму (нередко менее 20 долларов в месяц) его посетители могли заказать атаку на отказ в обслуживании любых неугодных им сайтов. По данным правоохранителей, к моменту закрытия на сайте насчитывалось более 136 тысяч зарегистрированных пользователей, а число DDoS-атак, организованных Webstresser, превысило 4 миллиона.

В числе главных жертв атак – финансовые учреждения, правоохранительные органы, государственные организации и игровые ресурсы. В частности, в результате одной из DDoS-атак Webstresser в ноябре прошлого года из строя были выведены системы сразу семи крупных британских банков, финансовый ущерб от инцидента оценивается в сотни тысяч долларов.

Помимо блокировки сайта и конфискации серверов, располагавшихся в Германии, Нидерландах и США, были также арестованы четверо предполагаемых администраторов Webstresser.org – в Великобритании, Канаде, Сербии и Хорватии. Кроме того, правоохранителями в Голландии, Италии, Испании, Австралии и Гонконге задержаны и несколько наиболее активных заказчиков DDoS-атак.

[vladimir1949]

Защита от «злой горничной»

Программист Патрик Уордл, в прошлом сотрудник АНБ США, а ныне эксперт по безопасности macOS в компании Digita Security, создал программу, способную защитить ноутбкуи Mac от атак Evil Maid. Словосочетание переводится как «злая горничная», но специалисты по кибербезопасности обозначают им тип атак, связанных с несанкционированным физическим доступом к устройству. Подобные атаки случаются, в частности, в отелях, если пользователь оставляет свой компьютер в номере – отсюда и упоминание горничной. Продолжая гостиничную аналогию, Уордл назвал свою программу Do Not Disturb – «не беспокоить».

Программа доступна для скачивания на сайте разработчика. Она мгновенно активируется при открывании крышки ноутбука и первым делом отправляет сообщение об этом событии на ассоциированное мобильное устройство пользователя (для этого требуется мобильное приложение Do Not Disturb Companion, уже существующее в App Store). Если компьютер открыл сам пользователь, он отменяет тревогу. В противном случае программа позволяет совершить ряд действий: например, сделать фото человека, открывшего крышку или полностью выключить компьютер. Также Do Not Disturb фиксирует все действия лица, получившего доступ к компьютеру: запуск тех или иных процессов, подключение USB-устройств и т.д.

Более того, настройки программы позволяют противодействовать проникновению в автоматическом режиме: она может активировать скрипты, которые приведут к отключению USB-интерфейсов, постоянной принудительной перезагрузке или даже полному стиранию данных устройства. Однако эти скрипты не поставляются вместе с Do Not Disturb – пользователю предлагается отыскать их в сети либо написать самостоятельно.

[San-Sanich]

Зафиксирована волна ложных атак на личные кабинеты пользователей

«Информзащита» предупреждает о волне ложных атак на IT-компании, в ходе которых злоумышленники пытаются выманить деньги, запугивая своих жертв.
Схема нападений выглядит следующим образом. Киберпреступники сообщают о том, что после успешной атаки смогли получить доступ к базе данных с аккаунтами и персональными данными клиентов компании-жертвы. За неразглашение этих сведений злоумышленники требуют выкуп.
Дабы ввести жертву в заблуждение, преступники демонстрируют несколько сотен реальных записей из якобы похищенной базы данных. Для убедительности мошенники могут предварительно организовать атаку с перебором паролей к личным кабинетам пользователей.
На деле же заявления о взломе корпоративной инфраструктуры могут оказаться блефом. Киберпреступники пользуются тем, что люди зачастую применяют один и тот же пароль на многих интернет-ресурсах. Перебор нескольких сотен тысяч ранее взломанных учётных записей на разных сайтах вполне может дать несколько сотен доступов к реальным аккаунтам пользователей. Именно эти данные злоумышленники и представят для проверки, потребовав выкуп под угрозой обнародовать всю якобы похищенную базу.
Эксперты рекомендуют не торопиться удовлетворять требования вымогателей и тщательно проверять информацию о потенциальном взломе.

[San-Sanich]

Лаборатория Касперского зафиксировала рост числа мобильных троянов

Из исследования Лаборатории Касперского стало известно, что в первом квартале 2019 года существенно выросло число финансовых угроз, которые нацелены на мобильные устройства. Высокий рост в сравнении с аналогичным периодом 2018 года показали мобильные банковские трояны.
Банковские трояны получают деньги пользователей собирая данные, открывающии доступ к банковским счетам и электронным кошелькам жертвы. Трояны-вымогатели вымогают деньги у пользователя, блокируя экран устройства или шифруя его файлы.
В этом году эксперты компании зафиксировали около 30 тысяч банковских троянов, к сравнению, в 2018 году это число немного не дотягивало до 19 тысяч. Таким образом, рост вредоносных троянов увеличился почти на 58%.
Число зафиксированных троянов-вымогателей достигло 28 тысяч, что в три раза больше результата прошлого года (9 тысяч).