Теги → атаки
Быстрый переход

Facebook: хакеры украли подробные личные данные 14 млн человек

Facebook сообщила, что частная информация, включая результаты поиска, недавние местоположения и родные города, была похищена злоумышленниками у 14 миллионов пользователей в результате серьёзного взлома социальной сети, раскрытого две недели назад. Компания заявила, что кибератака, одна из самых крупных в истории Facebook, затронула 30 миллионов человек, а не 50–90 миллионов, о которых компания сообщила 28 сентября. Хотя общее количество затронутых учётных записей оказалось меньше, чем предполагалось первоначально, личные данные примерно половины из них были украдены.

news.yahoo.com

news.yahoo.com

Среди информации, к которой получили доступ хакеры, упоминается следующая: последние 10 мест, из которых люди выходили в социальную сеть, их текущий город, 15 последних поисковых запросов. Кибератака также позволила открыть доступ к именам и контактной информации ещё 15 миллионов аккаунтов. Нападавшие не получили никакой информации от примерно 1 млн человек, чьи учётные записи оказались уязвимы.

Небольшая часть людей была затронута наиболее сильно. Около 400 000 человек служили отправной точкой для хакеров при взломе 30 млн других пользователей Facebook. У этих 400 000 человек злоумышленники могли видеть всё, что доступно пользователям в собственных профилях, включая сообщения в ленте новостей и имена последних контактов из Facebook Messenger.

Этот скандал происходит на фоне попыток социальной сети восстановить доверие со стороны пользователей. В начале года стало известно, что персональная информация из Facebook через стороннее приложение была передана в политическую консалтинговую фирму Cambridge Analytica, которая работала на президентскую кампанию Дональда Трампа (Donald Trump) в 2016 году.

Facebook пока отказывается сообщать мотивы последней атаки. «Мы сотрудничаем с ФБР по этому вопросу. ФБР попросили нас не озвучивать тех, кто может стоять за нападением», — сказал журналистам вице-президент по управлению продуктами в Facebook Гай Розен (Guy Rosen).

Пользователи, которые хотят проверить, задела ли их эта атака, могут посетить соответствующую страницу.

Операция AppleJeus: криптовалютная биржа подверглась атаке macOS-зловреда

«Лаборатория Касперского» раскрыла новую киберпреступную кампанию, за которой, предположительно, стоит известная группировка Lazarus.

Группа Lazarus известна с 2009 года, а с 2011 года она заметно активизировалась. Это сообщество злоумышленников ответственно за такие известные атаки, как Troy, Dark Seoul (Wiper), WildPositron. Кроме того, Lazarus имеет отношение к нашумевшей атаке вымогателя WannaCry.

Новая киберпреступная операция получила название AppleJeus, а её целью стала криптовалютная биржа в Азии. Атака была осуществлена с помощью заражённого программного обеспечения для торговли криптовалютами. Любопытно, что разработчик этого софта имеет действующий цифровой сертификат для подписи своих программ, а его регистрационные доменные записи выглядят легитимно. Но эксперты не смогли идентифицировать ни одну легальную организацию, которая была бы размещена по адресу, указанному в информации о сертификате.

Заражённое ПО в целом не представляет опасности — угрозу таит лишь один компонент, который отвечает за обновления. Он способен собирать данные о системе и отправлять их злоумышленникам. А под видом апдейтов на компьютер жертвы загружаются вредоносные компоненты: это, в частности, троян Fallchill — старый инструмент Lazarus.

«После установки Fallchill предоставляет атакующим практически неограниченный доступ к компьютеру жертвы, позволяя им красть ценную финансовую информацию или развёртывать дополнительные инструменты в зависимости от цели и обстоятельств», — отмечает «Лаборатория Касперского»

Любопытно, что в ходе атаки AppleJeus применяются сразу две версии трояна. Одна из них нацелена на Windows-системы. Другую модификацию злоумышленники создали специально для заражения компьютеров на базе macOS.

«Мы заметили растущий интерес Lazarus к рынкам криптовалют в начале 2017 года, когда группировка установила на одном из своих серверов ПО для майнинга Monero. С тех пор их неоднократно замечали в атаках на криптовалютные биржи и другие финансовые организации. На этот раз они разработали отдельное ПО для заражения пользователей macOS, расширив таким образом круг потенциальных жертв», — заключают специалисты. 

Организаторы DDoS-атак бьют по криптовалютному рынку

«Лаборатория Касперского» обнародовала отчёт «DDoS-атаки во втором квартале 2018 года», освещающий основные тенденции развития распределённых атак типа «отказ в обслуживании».

Сообщается, что одним из самых популярных методов монетизации остаются DDoS-нападения на сайты, связанные с криптовалютами, и валютные биржи. Причём такие атаки используются не только для того, чтобы помешать конкурентам увеличить число инвесторов, но и как способ получить цифровые деньги незаконным путём.

Исследование говорит о том, что злоумышленники продолжают активно искать пути усиления DDoS-атак через новые и ранее открытые уязвимости в распространённом программном обеспечении. В частности, внимание киберпреступников привлекают экзотические «дыры» в сетевых протоколах.

В прошлом квартале лидирующее положение по числу атак сохранил Китай с результатом 59,03 %. На втором месте оказался Гонконг (17,13 %), а на третьем — Соединённые Штаты (12,46 %).

Среди регионов с наибольшим числом командных серверов ботнетов лидируют Соединённые Штаты (44,75 %), Южная Корея (11,05 %) и Италия (8,84 %).

Распределение командных серверов ботнетов по странам

Распределение командных серверов ботнетов по странам

Самая долгая атака во втором квартале продолжалась 258 часов (почти 11 дней), что немногим уступает рекорду предыдущего квартала — 297 часов (12,4 дня). При этом значительно выросла доля атак с Linux-ботнетов.

«Наиболее выгодными мишенями для злоумышленников, по всей видимости, продолжают оставаться кибервалюты, однако в ближайшее время можно ожидать как громких нападений, связанных со срывом киберчемпионатов, так и относительно мелких вымогательств, нацеленных на отдельных стримеров и игроков», — заключает «Лаборатория Касперского». 

Нарушить работу HDD можно звуком обычных динамиков

Исследователи безопасности из Мичиганского университета США и Университета Чжэцзян Китая опубликовали статью об акустических атаках, которые могут привести к сбоям механики жёсткого диска и, как следствие, к повреждению как аппаратной, так и программной части. Атака не требует специального оборудования: злоумышленник может использовать обычные встроенные динамики или подключённую акустику, чтобы вызвать постоянные ошибки в целевой системе.

«Наши эксперименты показали, что слышимый звук заставляет блок магнитных головок (Head Stack Assembly, HSA) вибрировать сильнее, чем допускают нормы эксплуатации; а ультразвуковой шум вызывает ложные срабатывания датчика ударов, который предназначен для предотвращения сбоя головки. Выявленная проблема может создать большие трудности для магнитных жёстких дисков, которые остаются по-прежнему весьма распространёнными в критически важных для безопасности областях вроде медицинских устройств и других активно используемых систем», — заявили исследователи в своей статье.

Как поясняет исследование, современные механические жёсткие диски используют опирающиеся на датчики упреждающие контроллеры, чтобы регулировать положение головки жёсткого диска. Используя ультразвуковые колебания, злоумышленник может вызвать ложные срабатывания, приводящие к парковке головки. Звуковые сигналы также могут заставлять вибрировать головку чтения и записи, что будет приводить к плохому позиционированию над магнитной поверхностью и работе вне нормальных параметров. Жёсткий диск будет функционировать не так, как задумано производителем, что может повредить как сам диск, так и хранящиеся на нём файлы.

«Злоумышленник может атаковать жёсткий диск, вызывая вибрацию через акустические излучатели, встроенные в систему-жертву (или ближайшую к ней)... Атака будет успешна с тем большей вероятностью, чем мощнее или ближе физически излучатель звука к целевому накопителю», — говорится в исследовании.

Использование такого типа атаки требует доступа хакера к ближайшим колонкам. Это, очевидно, проблематично, особенно для удалённых атак. Тем не менее, исследователи отмечают, что нечто подобное можно осуществить даже с помощью простейшей фишинговой атаки или иным способом исполнить на компьютере жертвы вредоносный код JavaScript, который бы воспроизводил вредные звуки через динамики системы.

Успех подобных атак также зависит от частотных характеристик встроенных динамиков: в исследовании сообщается, что не все колонки способны воспроизводить необходимые для нарушения работы HDD частоты. Но многие ноутбуки с хорошей встроенной акустикой вполне могут стать жертвами подобного типа атак.

Пока создаётся впечатление, что домашним потребителям не следует особенно беспокоиться о проблеме. Тем не менее, предприятия и государственные учреждения могут прислушаться к предупреждению исследователей и учитывать возможность таких новых видов атак.

Зафиксирована самая продолжительная с 2015 года DDoS-атака

«Лаборатория Касперского» опубликовала отчёт «DDoS-атаки в первом квартале 2018 года», в котором рассматриваются основные тенденции развития распределённых атак типа «отказ в обслуживании».

В январе–марте нынешнего года были зафиксированы атаки в 79 странах. Лидерство по числу атак в прошедшем квартале сохранил Китай с долей около 60 %. На втором и третьем местах находятся соответственно США и Южная Корея с результатом около 18 % и 8 %. Россия в рейтинге находится на десятой позиции с долей менее 1 %.

Распределение командных серверов ботнетов по странам

Распределение командных серверов ботнетов по странам

Основная активность организаторов DDoS-атак пришлась на первую и последнюю трети квартала. Максимальное количество нападений наблюдалось 19 января (666) и 7 марта (687 атак).

Любопытно, что в минувшем квартале зафиксирована самая продолжительная с 2015 года DDoS-атака. Она длилась 297 часов, или более 12 суток. Доля всех остальных относительно продолжительных атак (не менее 50 часов) выросла за квартал более чем в 6 раз — с 0,10 % до 0,63 %.

Соотношение атак с Windows- и Linux-ботнетов

Соотношение атак с Windows- и Linux-ботнетов

В первую десятку стран по количеству командных серверов ботнетов входят Южная Корея (30,92 %), США (29,32 %), Китай (8,03 %), Италия (6,83 %), Нидерланды (5,62 %), Франция (3,61 %), Германия (3,61 %), Великобритания (2,41 %), Россия (2,01 %) и Гонконг (1,2 %).

Доля Linux-ботнетов в прошедшем квартале слегка уменьшилась по сравнению с концом 2017 года — 66 % вместо 71 %. Соответственно, количество Windows-ботнетов выросло с 29 % до 34 %. 

Интенсивность атак на веб-приложения банков и торговых площадок выросла

Компания Positive Technologies опубликовала результаты анализа активности киберпреступников в четвёртом квартале минувшего года.

Отмечается, что сетевые злоумышленники всё чаще атакуют веб-приложения банков и электронных торговых площадок. Связано это с тем, что успешные взломы приносят ощутимую финансовую выгоду. Кроме того, информацию, полученную в результате компрометации торговых площадок, можно выгодно продать другим участникам торгов и компаниям-конкурентам.

По результатам исследования отмечено незначительное увеличение интенсивности атак в дневные и вечерние часы. При этом основная часть атак направлена на пользователей веб-ресурсов, которые в это время особенно активны.

Что касается атак в ночные и утренние часы, то злоумышленники проводят их с расчётом, что службы безопасности компаний не смогут своевременно обнаружить атаку и отреагировать должным образом.

Половина зарегистрированных компанией Positive Technologies атак на веб-ресурсы в прошлом квартале производилась с российских IP-адресов. В рейтинг стран — источников атак также вошли США (11,6 %), Китай (4,3 %), Франция (4,3 %) и Германия (2,5 %).

В целом, как отмечается, абсолютно любое веб-приложение вне зависимости от функциональных особенностей может стать мишенью для злоумышленников. После публикации информации о новой уязвимости злоумышленники в кратчайшие сроки разрабатывают эксплойты и начинают тестировать их на веб-приложениях. Для автоматизации атак нарушители могут использовать не только общедоступные готовые эксплойты и утилиты, но и целые ботнеты. 

Новые данные об инциденте с CCleaner указывают на подготовку третьего этапа атаки

Инцидент с CCleaner в прошлом году наделал много шума, и специалисты по безопасности продолжают его изучение. Напомним: 18 сентября 2017 года компания Avast сообщила, что CCleaner был использован киберпреступниками, чтобы распространять вредоносное ПО через установочный файл утилиты. Изменённый файл установки был загружен 2,27 млн пользователей. Вредоносное ПО попало на серверы Piriform, разрабатывающей CCleaner, в период с 11 марта по 4 июля 2017 года до приобретения Piriform компанией Avast 18 июля 2017 года.

Первый этап вредоносного ПО был разработан для сбора нечувствительной информации от пользователей CCleaner, включая, например, имя компьютера, список установленного программного обеспечения и список запущенных процессов. Этот этап включал в себя возможности загрузчика, которые были использованы для установки двоичного кода второго этапа всего лишь на 40 компьютеров из миллионов устройств, заражённых первой волной. То есть атака была крайне избирательной. Недавно Avast опубликовала информацию о том, что мог быть и третий предполагаемый этап атаки. Впрочем, доказательств того, что бинарный файл третьего этапа был загружен на заражённые компьютеры, у компании нет.

Чтобы устранить угрозу из сети Piriform, компания перенесла среду сборки Piriform в инфраструктуру Avast, заменила всё оборудование и перевела персонал на внутреннюю IT-систему Avast. Компания осуществила тщательную проверку инфраструктуры Piriform и компьютеров и обнаружила предварительные версии первого и второго этапов, а также доказательства использования на четырёх компьютерах специализированного инструмента ShadowPad, который применяется некоторыми киберпреступниками. Версия была, похоже, специально разработана для атаки на Piriform и установлена вторым этапом атаки.

Предположительно, за всеми атаками на CCleaner стоит китайская группа хакеров Axiom, которая и является автором ShadowPad. Avast обнаружила и журнальные файлы ShadowPad, которые содержали зашифрованные нажатия клавиш из установленного на компьютерах клавиатурного шпиона, который работал с 12 апреля 2017 года. С помощью ShadowPad киберпреступники могли управлять четырьмя заражёнными системами удалённо, собирать учётные данные и анализировать операции. Помимо клавиатурного шпиона на компьютерах были установлены другие инструменты, в том числе утилиты для похищения паролей и удалённой установки дополнительного ПО.

ShadowPad был установлен на системах сети Piriform, но ни один из компьютеров пользователей CCleaner, похоже, не был заражён. Впрочем, Avast полагает, что это планировалось в рамках третьего этапа. В то время как порядка 2,27 млн клиентов CCleaner и предприятий загрузили заражённый продукт CCleaner, злоумышленники установили вредоносный код второго этапа только на 40 систем, обслуживаемых высокотехнологичными и телекоммуникационными компаниями.

Интенсивность атак мобильных троянов-вымогателей за год удвоилась

«Лаборатория Касперского» опубликовала подробный отчёт об эволюции вредоносных программ и развитии киберугроз в мобильной сфере.

Сообщается, что интенсивность атак на владельцев устройств под управлением операционных систем Android за минувший год выросла в 1,2 раза. При этом наибольшей угрозой для пользователей на протяжении последних нескольких лет являются трояны-рутовальщики, которые, получая права суперпользователя, выполняют на смартфоне или планшете произвольные вредоносные операции. Такие зловреды отображают большое количество рекламы, загружают и устанавливают различные компоненты и приложения, а также пытаются опустошить счета жертв.

В последнее время широкое распространение получили мобильные зловреды-вымогатели. Количество таких троянов подскочило в 2017 году вдвое по сравнению с предыдущим годом и в 17 раз по сравнению с 2015-м.

Россия в минувшем году заняла первое место по количеству пользователей, атакованных мобильными банковскими троянами. Как отмечается, с такими вредоносными программами в нашей стране сталкивался каждый 40-й пользователь Android-устройств.

В 2017 году были обнаружены несколько модульных троянов, один из способов монетизации деятельности которых — кража денег посредством WAP-подписок. Некоторые зловреды также имели модули для майнинга криптовалют: рост цен на цифровые деньги делает майнинг более выгодным делом, хотя производительность мобильных устройств не такая уж и высокая. 

Каждая вторая кибератака направлена на инфраструктуру компаний

Компания Positive Technologies обнародовала развёрнутый отчёт, освещающий ситуацию с безопасностью в Интернете и основные направления развития угроз в киберпространстве.

Исследование показало, что в прошлом году семь из каждых 10 атак были совершены с целью получения прямой финансовой выгоды — скажем, за счёт вывода денег с банковских счетов жертвы. Ещё 23 % нападений были произведены с целью кражи той или иной информации.

Практически каждая вторая — 47 % — кибератака была направлена на инфраструктуру компаний. В 26 % случаев пострадали веб-ресурсы. В течение всего 2017 года росло и количество жертв среди обычных пользователей.

В 2017 году злоумышленники продолжили совершенствовать методы социальной инженерии. Наиболее часто они использовали фишинговые сайты и фишинговые рассылки для целевых атак на организации. Чтобы письма выглядели правдоподобно, они подделывали адреса отправителей, регистрировали домены, похожие на доверенные, и даже взламывали контрагентов, чтобы отправлять письма от их имён в обход спам-фильтров.

Поднявшийся в 2017 году ажиотаж вокруг криптовалют и существенный рост популярности ICO привлекли злоумышленников, направивших атаки на криптовалютные биржи, кошельки частных лиц и ICO. И пока одни регистрировали криптокошельки и переводили на них деньги, другие опустошали эти кошельки, например, путём подбора учётных данных.

От DDoS-атак в 2017 году преимущественно страдали государственные компании, онлайн-сервисы и финансовые организации. Кроме того, отмечен рост количества атак в сегменте Интернета вещей.

В целом, кибератаки становятся всё более запутанными и сложными, в том числе из-за использования взломанных веб-приложений в качестве инструментов атаки, а также многоэтапных кампаний, затрагивающих не только целевую организацию, но и её партнёров.  

Positive Technologies: каждая атака по перехвату SMS-сообщений оказывается успешной

Компания Positive Technologies обнародовала результаты комплексного исследования, в ходе которого изучалась защищённость современных сотовых сетей.

Сообщается, что безопасность систем мобильной связи всё ещё находится на низком уровне, что подтверждается результатами работ по анализу защищённости сетей SS7 (Signaling System 7). Стандарт SS7 используется для обмена служебной информацией между сетевыми устройствами в телекоммуникационных сетях. В то время, когда разрабатывался этот стандарт, доступ к сети SS7 имели лишь операторы фиксированной связи, поэтому безопасность не была приоритетной задачей.

Сегодня сигнальная сеть уже не является в той же степени изолированной, поэтому злоумышленник, тем или иным путём получивший к ней доступ, имеет возможность эксплуатировать недостатки безопасности для того, чтобы прослушивать голосовые вызовы абонентов, читать SMS, похищать деньги со счетов, обходить системы тарификации или влиять на функционирование мобильной сети.

Исследование показало, что все сотовые сети подвержены атакам злоумышленников. Они, в частности, содержат опасные уязвимости, которые позволяют нарушить доступность сервисов для абонентов.

Практически в каждой сети можно прослушать разговор абонента или прочитать входящие SMS, а мошеннические операции можно успешно проводить в 78 % сетей.

Более того, успешными для злоумышленников являются 100 % атак, направленных на перехват SMS-сообщений. При этом кража передаваемых таким образом одноразовых кодов чревата компрометацией систем дистанционного банковского обслуживания, мобильных банков, интернет-магазинов, порталов государственных услуг и множества других сервисов.

Другой вид атак — отказ в обслуживании — представляет угрозу для электронных устройств Интернета вещей. Сегодня к сетям мобильной связи подключены не только отдельные устройства пользователей, но и элементы инфраструктуры «умных» городов, современные промышленные предприятия, транспортные, энергетические и иные компании.

Более подробно с отчётом Positive Technologies можно ознакомиться здесь

Уязвимость «нулевого дня» в Telegram использовалась для многоцелевых атак

«Лаборатория Касперского» сообщает о том, что в популярном в России мессенджере Telegram довольно долго присутствовала так называемая уязвимость «нулевого дня» (0-day), которую злоумышленники использовали для осуществления многоцелевых атак.

Проблема была выявлена в Windows-клиенте Telegram. Схема нападения заключается в использовании классической модели Right-to-Left Override (RLO) при отправке файлов собеседнику. Специальный непечатный символ RLO служит для изменения порядка следующих за ним в строке знаков на обратный. В таблице Unicode он представлен как «U+202E».

Легитимной областью использования RLO, в частности, является набор текста на арабском языке. В случае кибератак применение символа позволяет ввести жертву в заблуждение за счёт «переворачивания» имени файла и (или) его расширения.

В ходе атак на пользователей Telegram злоумышленники рассылали файлы с обработанным специальным образом названием. К примеру, JS-файл мог быть отправлен под именем photo_high_re*U+202E*gnp.js. В этом случае символ RLO заставит мессенджер перевернуть символы gnp.js. В результате, получателю придёт файл photo_high_resj.png, то есть PNG-картинка. При попытке просмотра такого «изображения» может быть выполнен вредоносный код.

Отмечается, что злоумышленники использовали несколько сценариев эксплуатации уязвимости. Это, в частности, атаки с целью получения контроля над системой жертвы и нападения с целью внедрения майнингового ПО. Подробности можно найти здесь.

«Лаборатория Касперского» говорит, что об уязвимости было известно, похоже, только злоумышленникам из России, так как все обнаруженные случаи эксплуатации происходили именно в нашей стране.

«Мы не обладаем точной информацией о том, как долго и в каких версиях была открыта уязвимость, но, со своей стороны, можем отметить, что случаи эксплуатации начались в марте 2017 года. Мы уведомили разработчиков о проблеме, и на сегодняшний день уязвимость не проявляется в продуктах Telegram», — отмечается в сообщении. 

Интенсивность DDoS-атак в мировом масштабе снизилась

«Лаборатория Касперского» проанализировала основные тенденции развития DDoS-атак (распределённых атак типа «отказ в обслуживании») в глобальном масштабе в последней четверти 2017 года.

Сообщается, что в октябре–декабре наблюдалось относительное затишье: по сравнению с предыдущим кварталом уменьшились и число, и продолжительность DDoS-атак. Отчасти это объясняется тем, что в последнее время были раскрыты и выведены из строя крупные ботнеты. Так, в начале декабря совместными усилиями ФБР, Microsoft и Европола был уничтожен ботнет Andromeda, существовавший с 2011 года.

Распределение DDoS-атак по странам

Распределение DDoS-атак по странам

В четвертом квартале 2017 года DDoS-атаки затронули 84 страны. Для сравнения: кварталом ранее таким нападениям подверглись 98 государств.

Больше всего атак привычно пришлось на Китай — 59,18 %. На втором и третьем местах находятся США и Южная Корея с результатом 16,00 % и 10,21 % соответственно. Россия находится на шестой позиции: показатель нашей страны — 1,25 %.

Первая тройка стран по количеству командных серверов осталась прежней: Южная Корея (46,43 %), США (17,26 %) и Китай (5,95 %). При этом Поднебесной пришлось разделить третье место с Россией.

Распределение командных серверов ботнетов по странам

Распределение командных серверов ботнетов по странам

В четвертом квартале продолжился рост количества Linux-ботнетов: теперь их доля составляет 71,19 % по сравнению с 69,62 % в предыдущем квартале. Вместе с тем доля Windows-ботнетов уменьшилась с 30,38 % до 28,81 %.

Более подробно с результатами исследования можно ознакомиться здесь

В 2017 году информационная инфраструктура Москвы подверглась 65 крупным хакерским атакам

Заместитель главы департамента информационных технологий Москвы Александр Горбатько сообщил о 65 крупных хакерских атаках на информационную инфраструктуру города, зафиксированных в 2017 г.

«Хакеры не дремлют и в Москве, буквально за 2016 г. мы фиксировали 44 крупные атаки (на IT-инфраструктуру), в 2017 г. атак было уже 65. География атак очень разнообразная, они идут не только из России», — рассказал Горбатько в ходе Национального форума по информационной безопасности.

По его словам, защита информационных ресурсов столицы обеспечивается с помощью комплексного подхода, включая привлечение к поиску уязвимостей в защите IT-инфраструктуры города так называемых «белых» хакеров.

В свою очередь, заместитель директора Федеральной службы по техническому и экспортному контролю (ФСТЭК) России Виталий Лютиков заявил, что успех атак вируса WannaCry на российские объекты информационной инфраструктуры объясняется невыполнением элементарных требований информационной безопасности.

«Проанализировали все случаи (атак вируса Wannacry), которые были у нас в России на объектах, которые находятся в сфере ведения ФСТЭК. Можем однозначно констатировать, что основной причиной проникновения вредоносного ПО было невыполнение элементарных требований по обеспечению информационной безопасности, в частности, это необновление актуального программного обеспечения и блокирование соответствующих интерфейсов, которые не должны вовне иметь выход», — отметил Лютиков.

Даже на YouTube замечена реклама, добывающая криптовалюту

Недавно на принадлежащем Google популярном видеохостинге YouTube было замечено отображение рекламы, которая использует вычислительные ресурсы посетителей и их электричество для добычи криптовалюты в пользу анонимных злоумышленников. Об этом сообщил целый ряд пользователей.

Информация о подобных рекламных объявлениях стала распространяться не позднее вторника, когда люди стали жаловаться в социальных сетях, что их антивирусные программы фиксируют исполнение кода добычи криптовалют при посещении YouTube. Предупреждения появлялись даже при смене используемого браузера.

В пятницу исследователи японской компании Trend Micro, занимающейся кибербезопасностью, заявили, что реклама на YouTube привела к трёхкратному росту обнаружения антивирусом подобных веб-атак с целью добычи криптовалют. По их словам, стоящие за рекламой злоумышленники используют платформу Google DoubleClick, чтобы отображать свою «рекламу» посетителям YouTube в таких странах, как Япония, Франция, Тайвань, Италия и Испания.

Реклама содержит код JavaScript, который используется для добычи монет Monero. В 9 из 10 случаев реклама использует общедоступные JavaScript-механизмы от криптовалютной службы Coinhive, которая позволяет получать прибыль за счёт тайного использования компьютеров других людей. Оставшиеся 10 процентов времени используется закрытый код JavaScript, который позволяет злоумышленникам не отдавать 30 % разработчикам Coinhive. Оба сценария запрограммированы на потребление 80 % процессорного времени компьютера жертвы, так что у него остаются некоторые ресурсы для работы.

YouTube был выбран в качестве цели неслучайно: пользователи, как правило, проводят на сайте длительное время и, просматривая видео, могут не заметить роста нагрузки на CPU. Чем дольше пользовательские компьютеры заняты добычей криптовалюты, тем больше виртуальных денег получат злоумышленники. В сентябре аналогичная рекламная атака была осуществлена на другой видеоресурс — Showtime.

Представитель Google прокомментировал ситуацию так: «Добыча криптовалют через рекламу — относительно новая форма злоупотреблений, которая нарушает наши правила и которую мы активно отслеживаем. Мы проводим в жизнь наши правила с помощью многоуровневой системы обнаружения на своих платформах и обновляем её по мере появления новых угроз. В данном случае реклама была заблокирована менее чем через два часа, и злонамеренные участники были быстро удалены с наших платформ».

Не вполне ясно, что имеет в виду Google, говоря о двух часах: данные Trend Micro и публикации пользователей в социальных сетях говорят о том, что различная реклама примерно с тем же кодом JavaScript демонстрировалась на YouTube в течение минимум недели. Так или иначе, но ситуация показывает масштабы проблемы, раз даже Google оказалась не в состоянии исключить возможность подобного недобросовестного использования вычислительных ресурсов пользовательских систем.

Пользователи продуктов Apple подверглись новой фишинговой атаке

Компания ESET предупреждает о том, что сетевые злоумышленники организовали новую фишинговую атаку, жертвами которой становятся пользователи продуктов Apple.

Цель атаки — кража персональных данных. Для этого киберпреступники применяют особую двойную рассылку. В первом письме от мошенников пользователю сообщают о несуществующей покупке приложения в App Store: в сообщении указаны детали заказа, включая сумму сделки.

Распознать фишинговое письмо можно по адресу отправителя, который не имеет никакого отношения к Apple. Кроме того, к сообщению прикреплён подозрительный документ. Да и само письмо не является персонализированным — к получателю обращаются «Дорогой клиент».

Если потенциальная жертва всё же откроет вложение, то обнаружит фальшивую «квитанцию об оплате». В ней присутствует ссылка, которую предлагается использовать в случае проблем с заказом. При переходе пользователь оказывается на фишинговом сайте, где предлагается ввести Apple ID и пароль, а также подтвердить данные банковской карты.

После этого жертве приходит второе письмо — якобы от лица «службы технической поддержки Apple». В этом сообщении злоумышленники снова требуют ввести личные данные, говоря о том, часть информации об учётной записи пользователя не подтверждена. В результате, киберпреступники могут получить в своё распоряжение полный набор персональной информации жертвы.