Теги → вирус
Быстрый переход

Снимок с телескопа «Джеймс Уэбб» использовали для распространения вируса

Один из первых снимков, полученных с помощью орбитального телескопа «Джеймс Уэбб» (James Webb Space Telescope), оказался инструментом для распространения вредоносного ПО, сообщили эксперты по кибербезопасности из компании Securonix. Кампанию по распространению вируса назвали GO#WEBBFUSCATOR.

 Источник изображения: nasa.gov

Источник изображения: nasa.gov

Первым этапом атаки является фишинговое письмо с вложением формата Microsoft Office. В метаданных документа указан URL-адрес, при переходе по которому загружается обфусцированный файл со скриптом VBS, запускаемый, если в Word включена поддержка макросов. При исполнении макроса на компьютер загружается файл с копией фотографии с «Джеймса Уэбба», которая содержит вредоносный код формата Base64, маскирующийся под сертификат. По версии Securonix, ни одна антивирусная программа не сумела обнаружить вредонос в файле с изображением.

Вице-президент Securonix Аугусто Баррос (Augusto Barros) привёл две причины, по которым киберпреступники могли в качестве оружия выбрать фотографию с орбитального телескопа. Во-первых, снимки высокого разрешения отличаются большими размерами файлов и пропускаются антивирусами при проверке. Во-вторых, даже если антивирус сигнализирует о возможной угрозе, пользователь может не обратить внимания на предупреждение, поскольку снимок широко распространился в интернете.

Эксперты обратили внимание, что применяемый в атаке вредоносный код написан на созданном Google языке программирования Golang — его популярность в среде киберпреступников растёт из-за его поддержки разными платформами и того, что этот код труднее анализировать. А лучшая защита от атаки — не открывать почтовые вложения из неизвестных источников.

Обнаружена новая версия UEFI-руткита CosmicStrand — под угрозой старые материнские платы Gigabyte и ASUS

Специалисты «Лаборатории Касперского» изучили новую версию руткита CosmicStrand, которая обнаружилась в UEFI материнских плат от Gigabyte и ASUS на чипсете H81. Вредонос был выявлен на компьютерах пользователей в Китае, Вьетнаме, Иране и России.

 Источник изображения: methodshop / pixabay.com

Источник изображения: methodshop / pixabay.com

Платформа UEFI содержится в чипе на материнской плате, и никакие операции с подключаемыми накопителями на неё не влияют, напомнили в «Лаборатории Касперского». Это значит, что содержащееся в UEFI вредоносное ПО не так просто обнаружить антивирусом, а избавиться от него не помогает даже переустановка операционной системы. По той же причине заразить данную область тоже непросто — обычно к этому методу прибегают для атаки на системы, принадлежащие высокопоставленным лицам, а не широкому кругу рядовых пользователей.

Первые версии руткита CosmicStrand были обнаружены в 2016 году — тогда специалисты китайской компании Qihoo 360 предположили, что одна из жертв приобрела модифицированную материнскую плату у реселлера. Точных сведений о происхождении обновлённой версии вредоноса нет и сейчас. Тем не менее, расследование показало, что сегодня CosmicStrand поражает материнские платы производства Gigabyte и ASUS на устаревшем ныне чипсете H81 — он дебютировал ещё в 2013 году. Массовый характер заражения машин позволяет предположить, что оно производилось удалённо с использованием некой общей уязвимости.

Анализ вредоносного кода указывает на его китайское происхождение: были выявлены паттерны, присутствовавшие в обнаруженном ранее ботнете MyKings, который разворачивался на майнинговом оборудовании. Механизмы работы CosmicStrand тоже понятны не до конца, поскольку исследователям не удалось перехватить файл полезной нагрузки от командного сервера. Но на одной из машин был выявлен вредонос, предположительно связанный с руткитом — он создал в операционной системе пользователя с именем «aaaabbbb» и присвоил ему привилегии локального администратора.

Хакерская группировка вымогает деньги у властей маленького канадского городка

IT-инфраструктура небольшого канадского городка Сейнт-Мэрис (провинция Онтарио) с населением 7500 человек подверглась атаке хакерской группировки LockBit. Заблокированы крупнейшие узлы городских систем — продолжают работать только базовые службы, такие как очистка воды и транспорт.

 Источник изображения: discoverstmarys.ca

Источник изображения: discoverstmarys.ca

22 июля на сайте группировки LockBit в даркнете появились сведения о взломе официального сайта города, и в качестве подтверждения была опубликована часть скопированных и зашифрованных файлов. Мэр Сейнт-Мэриса Эл Стратди (Al Strathdee) сообщил по телефону журналистам The Verge, что для преодоления проблемы власти города обратились к группе экспертов, которые выявили причину и подготовили план дальнейших действий.

Он подтвердил, что после того, как часть городских систем оказалась заблокированной, мэрия получила от LockBit требование о выкупе, однако деньги пока выплачены не были. Канадское правительство не одобряет выплат выкупов кибервымогателям, но в Сейнт-Мэрисе делегировали принятие окончательного решения рабочей группе по инциденту.

На сайте LockBit опубликованы скриншоты с папками, соответствующими направлениям деятельности городских властей: финансы, здравоохранение и безопасность, очистка сточных вод, данные о собственности и общественные работы. Обычно группировка даёт жертвам время на размышление и при невыплате выкупа публикует похищенную информацию в интернете. Нанятые городом специалисты пытаются восстановить повреждённые данные из резервных копий.

Только в июне 2022 года хакеры LockBit взяли на себя ответственность за 50 инцидентов, связанных с вирусами-вымогателями, пишет Recorded Future. А канадский Сейнт-Мэрис оказался вторым городом, ставшим заложником киберпреступников чуть более чем за неделю: 14 июля аналогичной атаке подвергся городок Фредерик (население 15 000 человек) в американском штате Колорадо — негодяи потребовали $200 000.

Обнаружен вирус OrBit для Linux-систем — он крадёт данные, и его трудно выявить

Эксперты специализирующейся на кибербезопасности компании Intezer Labs сообщили об обнаружении вредоноса OrBit для Linux, который пока выявляется не всеми антивирусными системами, крадёт конфиденциальные данные и заражает запущенные в системе процессы.

 Источник изображения: Pete Linforth / pixabay.com

Источник изображения: Pete Linforth / pixabay.com

Как уточнили в Intezer Labs, OrBit изменяет переменную окружения LD_PRELOAD, что позволяет ему управлять загрузкой библиотек и перехватывать вызовы функций. Вредонос собирает логины и пароли, а также вводимые в терминале команды, и предоставляет злоумышленникам доступ по SSH. До недавнего времени OrBit не помечался антивирусными системами как опасное ПО, однако разработчики систем защиты уже начали вносить его в свои базы.

Отличительными особенностями вируса отмечаются хранение похищенных конфиденциальных данных в файлах на самой машине, а также почти «герметичное» подключение к библиотекам на заражённом ПК, что обеспечивает OrBit стабильную работу, возможность избежать обнаружения и поддерживать работу SSH-бэкдора.

Ресурс BleepingComputer отметил растущую «популярность» системы Linux в среде киберпреступников. Недавно был обнаружен вредонос Symbiote, который также использует LD_PRELOAD для заражения. Похожим образом работает и вирус BPFDoor — он скрывается под именами распространённых демонов, из-за чего он ускользал от внимания экспертов целых пять лет.

Обнаружен вирус-вымогатель GoodWill, который требует от жертв добрых дел, а не денег

Эксперты по кибербезопасности CloudSEK рассказали о хакерской группировке GoodWill, которая распространяет вирус-вымогатель, но для расшифровки данных требует у жертвы не денежного выкупа, а добрых дел. К примеру, пожертвовать бездомным одеяла, накормить голодающих детей фастфудом или оплатить лечение неимущему, зафиксировать всё это на фото и видео, чтобы потом разместить их в соцсетях.

 Источник изображения: Pete Linforth / pixabay.com

Источник изображения: Pete Linforth / pixabay.com

По версии экспертов, операторы вымогателя работают из Индии — на это указывают их электронные письма и приписанные к Мумбаи IP-адреса, к которым обращается вирус. Кроме того, в одной из строк кода обнаружена запись на «хинглише» — смеси хинди и английского языка. Вредонос написан на фреймворке .NET, сжат упаковщиком исполняемых файлов UPX, а данные на заражённых Windows-машинах шифруются на основе алгоритма AES.

После заражения ПК жертвы вирус GoodWill шифрует на нем файлы различных форматов и предлагает для их расшифровки совершить три добрых дела: подарить одежду или одеяла «нуждающимся на дороге», отвести пятерых бедных детей в заведение фастфуда, а также посетить ближайшую больницу и оплатить лечение человеку, которые не в состоянии сделать этого самостоятельно.

Первые две акции необходимо задокументировать в соцсетях, используя предлагаемую хакерами рамку для фото, а по последней сделать с объектом помощи селфи и вместе с аудиозаписью разговора с этим человеком отправить его операторам вируса-вымогателя. Выполнив три этих добрых дела, необходимо написать и разместить в соцсети статью на тему «Как ты стал добрым человеком, оказавшись жертвой вируса-вымогателя GoodWill». После этого хакеры якобы высылают инструмент для расшифровки данных.

Эксперты обнаружили связь GoodWill с образцом экспериментального вредоноса HiddenTear, который разработал и в целях защиты безопасности разместил на GitHub некий турецкий программист. Как сообщили CloudSEK, 91 из 1246 строк кода GoodWill совпадает с образцом HiddenTear.

Microsoft предупредила о росте количества заражения вирусом XorDDoS в среде Linux

Как сообщила Microsoft, в последние полгода началось активное распространение вируса XorDDoS, предназначенного для Linux-систем. За 6 месяцев частота обнаружений вредоноса подскочила на 254 %. Как видно из названия, его основным предназначением является организация ботнета для DDoS-атак, однако вирус может также играть роль шлюза для загрузки дополнительных зловредов.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

В Microsoft обнаружили, что на некоторые заражённые XorDDoS машины впоследствии устанавливалось другое вредоносное ПО, в частности, Tsunami, который, в свою очередь, далее разворачивал криптомайнер XMRig. При этом XorDDoS напрямую не использовался для установки и распространения вторичных полезных нагрузок — он скорее играл роль пути для последующих атак.

Вирус XorDDoS, использующий для связи со своим сервером оператора XOR-шифрование, существует по меньшей мере с 2014 года. Своим долголетием он обязан способности относительно успешно скрываться от обнаружения антивирусами. Кроме того, он довольно неприхотлив — вирус заражает как системы на Arm-чипах (чаще всего оборудование Интернета вещей), так и серверы на x64-процессорах. А проникновение осуществляется методом брутфорса через SSH.

Создателем нашумевших троянов Jigsaw и Thanos оказался кардиолог из Венесуэлы

Министерство юстиции США обвинило 55-летнего врача-кардиолога Мойзеса Луиса Загала Гонсалеса (Moises Luis Zagala Gonzalez) из Венесуэлы в создании вирусов-вымогателей Jigsaw и Thanos, получивших широкое распространение несколько лет назад. Американские власти считают, что он продавал и лицензировал шифровальщики хакерам, получал в качестве гонорара часть выкупа от жертв киберпреступников, а также предлагал услуги по техподдержке вредоносного ПО и обучению работе с ним.

 Источник изображения: Pixabay

Источник изображения: Pixabay

«Многозадачный врач, лечив пациентов, попутно создал и назвал свой киберинструмент в честь смерти, а также зарабатывал на глобальной экосистеме программ-вымогателей, в которой продавал инструменты для проведения атак программ-вымогателей, обучал злоумышленников тому, как вымогать деньги у жертв, а затем хвастался успешными атаками, в том числе со стороны злоумышленников, связанных с правительством Ирана», — говорится в заявлении прокурора США Брион Пис (Breon Peace).

В киберпреступном сообществе Гонсалес известен под псевдонимами Nosophoros, Aesculapius и Nebuchadnezzar. Первым его творением стал вредонос Jigsaw, активность которого не фиксируется с осени 2021 года. Это инструмент использовался злоумышленниками не часто, в том числе потому, что для него был создан бесплатный инструмент дешифровки. По данным Минюста США, на основе первой версии вымогателя был создан вредонос Jigsaw 2.0 с встроенным счётчиком «судного дня» (Doomsday counter), который отслеживал, сколько раз жертва пыталась избавиться от вредоноса. «Если пользователь слишком много раз уничтожает программу-вымогатель, то ясно, что он не будет платить, поэтому лучше стереть весь жёсткий диск», — говорится в описании вредоноса.

 Источник изображения: CNews

Источник изображения: CNews

В 2019 году Гонсалес создал новый продукт под названием Thanos, предположительно названный в честь злодея из вселенной Marvel, который уничтожил половину всего живого во Вселенной. При этом в основе имени Thanos стоит Танатос, олицетворение смерти в греческой мифологии. Новое творение Гонсалеса представляло собой конструктор по созданию вымогательского ПО. Он мог использоваться хакерами для создания собственных вредоносов и распространялся по модели «вымогатель как услуга, RaaS».

По данным американских властей, Гонсалес создал схему монетизации своих вредоносов, предлагая всем заинтересованным сторонам два способа получить доступ к продуктам. Первый вариант предполагал покупку лицензии на использование Thanos по цене от $500. Второй вариант назывался «партнёрской программой» в рамках которой, хакеры передавали Гонсалесу часть средств, полученных при проведении вредоносных кампаний с использованием Thanos.

 Интерфейс Thanos / Источник изображения: CNews

Интерфейс Thanos / Источник изображения: CNews

Американские власти пытались выйти на след Гонсалеса с начала 2020 года. Расследование шло в течение двух лет и в конечном счёте удалось вычислить родственника хакера, проживающего в США, и чей счёт Гонсалес использовал для получения незаконных доходов. Он и помог правоохранителям установить личность разработчика Thanos. Сейчас Гонсалесу грозит до 10 лет тюремного заключения.

Число атак вирусов-вымогателей на российские компании утроилось

В специализирующихся на вопросах кибербезопасности компаниях подсчитали, что с начала весны в три раза выросло количество атак вирусов-вымогателей на ресурсы российских предприятий. Это связывают с украинскими событиями: после его начала в хакерском сообществе произошёл раскол, когда разные группировки стали поддерживать разные стороны конфликта, пишет «Коммерсантъ».

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

В «Лаборатории Касперского» отметили, что в 2022 году операторы вирусов-вымогателей сменили тактику, переключившись с массовых рассылок на атаки с чётко обозначенной целью, а также стали использовать более сложное ПО, способное работать на нескольких операционных системах. В частности, хакерская группировка Conti разработала шифровальщик, способный работать в системах Linux — это «перспективное» направление, отметили в компании Positive Technologies, поскольку популярность этих платформ растёт.

Не менее важным оказалась геополитическая сторона вопроса: группировки хакеров начали принимать одну из сторон в украинским конфликте и проводить свои атаки в поддержку России или Украины. Олег Скулкин из компании Group-IB рассказал, что после заявления группировки Conti о поддержке российской стороны один из её украинских партнёров выложил в открытый доступ личные данные участников группировки и исходный код созданного ими вируса-шифровальщика, который впоследствии стал использоваться против российских компаний. В целом с начала весны, говорят в Group-IB, количество атак вирусов-вымогателей на ресурсы российских компаний утроилось.

Отмечается также, что несколько изменился вектор кибератак: традиционно вирусы-шифровальщики использовались с целью вымогательства за восстановление доступа к данным. Теперь же хакеры всё чаще преследуют иные цели: похищение и публикацию закрытых данных, как это было в ходе инцидента с RuTube, а также нарушение работоспособности ресурсов только ради общественного резонанса.

Microsoft анонсировала сервис Security Experts — эксперты компании лично помогут защититься от вредоносного ПО

Microsoft объявила о запуске новой категории услуг под именем Security Experts, в рамках которых клиентам компании будет предоставляться защита от вредоносного программного обеспечения. Предполагается, что новый сервис станет хорошим дополнением к средствам обеспечения информационной безопасности, которые уже используются клиентами Microsoft.

 Источник изображения Microsoft

Источник изображения Microsoft

Security Experts включает в себя три основные управляемые службы, предназначенные для повышения уровня безопасности в организациях:

  • Microsoft Defender Experts for Hunting позволит компаниям, в которых есть действующие службы информационной безопасности, «охотиться» за потенциальными угрозами. Специалисты Microsoft и партнёры компании будут использовать данные Microsoft Defender, конечные пользовательские устройства, Office 365, облачные приложения и идентификационные данные для выявления потенциальных угроз. Проще говоря, ИБ-специалисты Microsoft будут помогать клиентам в обнаружении потенциальных угроз на рабочих местах.
  • Microsoft Defender Experts for XDR (расширенное обнаружение и реагирование). Эта услуга рассчитана на клиентов, желающих укрепить и расширить собственные операционные центры безопасности. В рамках этой услуги Microsoft будет выделять клиентам специалистов для оперативного реагирования на возникающие инциденты.
  • Microsoft Security Services for Enterprise. Эта услуга предполагает предоставление всесторонней защиты для всех облачных сред и платформ клиента, которая обеспечивается под руководством экспертов. Клиенты будут ежедневно работать с экспертами Microsoft в рамках управления процессами регистрации, взаимодействия с IT-системами и др.

По заявлению Microsoft, конечная цель проекта заключается в предоставлении клиентам продуктов безопасности мирового уровня, а также возможности работы с лучшими специалистами в сфере информационной безопасности. Согласно имеющимся данным, подписка на Defender Expert for Hunting будет стоить $3 в месяц за одно рабочее место, тогда как Defender Experts for XDR обойдётся в $14 в месяц за человека. Услуги станут доступны для подключения позднее в этом году.

В 2021 году операторы вирусов-вымогателей установили несколько «рекордов»

Подразделение анализа угроз Unit 42 специализирующейся на вопросах информационной безопасности компании Palo Alto Networks опубликовало доклад, согласно которому сегмент вирусов-вымогателей по итогам прошлого года значительно вырос.

 Источник изображения: Tumisu / pixabay.com

Источник изображения: Tumisu / pixabay.com

По информации Unit 42, атакам вирусов-вымогателей подверглось рекордное число компаний, увеличилось и количество организаций, согласившихся заплатить киберпреступникам выкуп за расшифровку данных. Поставить новые рекорды злоумышленникам помогла новая практика публикации в даркнете «сайтов с утечками» — даже часть выложенных в открытый доступ данных оказывает на жертв вымогательства дополнительное давление, вынуждая их заплатить.

Основываясь на кейсах прошлого года, аналитики Unit 42 подсчитали, что средний размер запрашиваемого киберпреступниками выкупа вырос на 144 % и достиг $2,2 млн, а средний размер фактического платежа вырос на 78 % и составил $540 тыс. Наиболее пострадавшими от вирусов-вымогателей отраслями стали юриспруденция, строительство, оптовая и розничная торговля, здравоохранение, а также производственная сфера.

Самой активной за минувший год стала хакерская группировка Conti — на её долю пришлось в среднем более одного из пяти инцидентов, с которыми работали консультанты Unit 42. Второе место заняла нейтрализованная ФСБ группировка Revil с 7,1 % инцидентов, а третье поделили между собой Hello Kitty и Phobos, чьи «бренды» всплывали в 4,8 % случаев.

Группировка Conti разместила на своём сайте с утечками данные по 511 организациям, и это тоже рекордный показатель. Кроме того, за минувший год появились 35 новых группировок, которые специализируются на вирусах-вымогателях. Часть доходов от незаконной деятельности злоумышленники направляли на разработку новых, более простых в использовании инструментов кибератак, и всё чаще использовались уязвимости нулевого дня.

Резко возросла в вымогательских схемах роль сайтов с утечками, оказывающих на жертв дополнительное психологическое давление — на них были опубликованы данные по 2566 организациям. 60 % жертв находились в Америке, 31 % — в Европе, на Ближнем Востоке и в Африке, а ещё 9 % — в Азиатско-Тихоокеанском регионе.

Взломавшие NVIDIA хакеры продают информацию об обходе ограничителя майнинга в видеокартах GeForce RTX 30-й серии

Хакерская группа LAPSUS$ заявляет, что в течение недели обладала доступом к внутренним серверам компании NVIDIA и похитила оттуда 1 Тбайт конфиденциальной информации. По заявлениям злоумышленников, несмотря на все усилия производителя графических процессоров, им удалось получить доступ к данным о графических драйверах NVIDIA, иному программному обеспечению, а также к документации различных продуктов производителя.

 Источник изображений: VideoCardz

Источник изображений: VideoCardz

Более того, хакеры заявляют, что получили доступ к информации, позволяющей обходить ограничитель майнинга (LHR V2) в видеокартах GeForce RTX 30-й серии на базе графических процессоров GA102 и GA104. И эти данные выставлены на продажу.

Злоумышленники отмечают, что NVIDIA не хочет наладить с ними контакт. Это в конечном итоге может привести к тому, что хакеры выложат остальную имеющуюся у них конфиденциальную информацию в открытый доступ. Более того, некоторую часть этой информации, похоже, киберпреступники уже выложили в Сеть.

NVIDIA до сих пор не поделилась подробностями инцидента, но подтвердила, что занимается расследованием произошедшего. Согласно более ранним сообщениям хакеров, специалисты по кибербезопасности компании сами проникли в компьютеры злоумышленников и попытались зашифровать похищенные данные. Однако все усилия оказались напрасными — хакеры произвели резервное копирование похищенной информации.

В России нашли более 16 тыс. Android-смартфонов с предустановленным вирусом для нелегальной регистрации в каршеринге

Согласно докладу специализирующейся на кибербезопасности компании Trend Micro, Россия оказалась среди лидеров по числу Android-смартфонов, поставляемых с предустановленным вредоносным ПО, которое используется мошенниками для нелегальных регистраций в каршеринговых сервисах. Данное ПО в случае ДТП позволяет переложить ответственность с настоящего виновника аварии на владельца заражённого телефона.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

По данным Trend Micro, в России насчитывается 16,1 тыс. заражённых смартфонов, вирусы на которых могли быть установлены ещё на этапе производства в Китае. По данному показателю Россия уступает только Индонезии, при этом общее число заражённых устройств может быть в разы больше: как передаёт «Коммерсант», на одном из ресурсов, предлагающих услуги нелегальной регистрации учётных записей, говорится о 116,3 тыс. телефонов. В Trend Micro утверждают, что в число заражённых устройств входят: ZTE (Blade 3), MiOne (P1, R5, R3, Hero 5), Meizu (V8), Huawei (Mate 20 Pro, P9, P20 Pro), а также Honor (5X KIW-TL100 и другие). Согласно статистике сети магазинов «Связной», за 2021 год в России было продано 31,9 млн Android-устройств, так что процент заражённых аппаратов не слишком велик, но в абсолютном выражении их всё же немало.

Авторы исследования приводят в качестве примера Telegram-канал, на котором предлагалась услуга по регистрации поддельных аккаунтов в каршеринговых сервисах — у него 27 тыс. подписчиков. Воспользовавшиеся этой услугой люди якобы смогут избежать ответственности, если попадут в аварию на прокатной машине. В администрациях сервисов такую возможность отвергают: в пресс-службе BelkaCar сообщили, что два года назад были внедрены превентивные меры, благодаря которым подобные инциденты стали единичными; в «Делимобиле» заявили, что после 2020 года создать фейковый аккаунт в сервисе стало невозможно.

Тем не менее, внедрённые ещё на этапе производства в прошивку телефонов вирусы представляют серьёзную проблему. Директор центра Solar appScreener компании «Ростелеком-Солар» Даниил Чернов напомнил, что в китайской мобильной индустрии практикуется интеграторский подход: аппаратной частью устройств занимаются одни поставщики, а установку ПО производят другие. Если допустить, что уровень контроля безопасности на таких предприятиях может быть невысоким, то даже одного недобросовестного сотрудника с доступом к коду может хватить, чтобы вредоносное ПО массово распространилось на продукции бренда.

Для защиты от подобных вирусов эксперты рекомендуют проанализировать детализацию, обратив внимание на подозрительный трафик или входящие SMS-сообщения с незнакомых номеров.

Неизвестные злоумышленники распространяли поддельный дистрибутив Windows 11 с вредоносным ПО

Эксперты по кибербезопасности компании HP сообщили об обнаружении поддельного установочного дистрибутива Windows 11, который заражал компьютеры жертв вредоносным ПО. Организация провела расследование, обнаружив подозрительный сайт по адресу, связанному с Windows.

 Источник изображения: threatresearch.ext.hp.com

Источник изображения: threatresearch.ext.hp.com

По данным HP, домен был зарегистрирован после того, как Microsoft объявила о релизе финальной версии Windows 11. По дизайну сайт был максимально схож с фирменной стилистикой ресурсов Microsoft, но главное — на главной странице присутствовала кнопка «Скачать». При клике по этой кнопке загружался архив с троянами, предназначенными для кражи паролей и других данных из открытого браузера, например, данных автозаполнения, включая номера кредитных карт.

Фальшивый установщик Windows 11 представляет собой ZIP-архив размером всего 1,5 Мбайт. При распаковке он разворачивается в папку размером 753 Мбайт, практически всё пространство в которой занимает файл Windows11InstallationAssistant.exe объёмом до 751 Мбайт. Таким образом, архив сжимает данный файл на 99,8 %, что нетипично для исполняемых файлов — злоумышленники преднамеренно увеличили его размер, поскольку файлы большого размера обычно игнорируются антивирусами.

К настоящему моменту поддельный сайт уже ушёл в офлайн, но не исключено, что другие хакеры попытаются повторить эту уже не новую схему. Microsoft готовит инструмент для бесплатного обновления Windows 10 до Windows 11, однако он будет реализован штатными средствами системы — ничего загружать не потребуется. Windows 11 можно установить и вручную, но для этого дистрибутив настоятельно рекомендуется скачивать только с официального сайта Microsoft.

В модифицированных сторонними разработчиками компонентах «1С» нашли вредоносный код

Компания RTM Group раскрыла мошенническую схему, с помощью которой в программные продукты разработчика «1С» встраивался вредоносный код, позволяющий в дальнейшем похищать данные пользователей.

 Источник изображения: Pixabay

Источник изображения: Pixabay

Не менее трети пользователей заказывают доработку таких модулей, как «Бухгалтерия», «Управление торговлей», «Управление фирмой» у сторонних программистов, которые могут встроить вредоносный код, позволяющий в момент проверки лицензионного ключа отправлять содержащиеся в модулях сведения о клиентской базе, платежах и потенциальных договорах на электронную почту, прописанную в коде. По словам специалистов RTM Group, вирус никак не отражается на работе программ, что затрудняет обнаружение проблемы.

Хотя RTM Group сообщила о десятках подобных случаев, в результате которых в основном пострадали компании из сферы торговли, а также дистрибуторы ПО, представитель «1С» сообщил «Коммерсанту», что у компании нет данных о подобных инцидентах. Он охарактеризовал описанную схему как технически несостоятельную ввиду того, что проверка лицензионности производится на уровне ядра системы, код которого закрыт.

Впрочем, в RTM Group сообщили, что материалы о случаях мошенничества были направлены в правоохранительные органы, которые сейчас проводят расследование. Поэтому есть надежда, что станет известно, кто говорит правду.

Вместе с тем представитель «1С» рекомендовал клиентам в случае необходимости доработки модулей обращаться к сертифицированным партнёрам, чтобы избежать возможных злоупотреблений.

В свою очередь, директор по стратегическим коммуникациям Infosecurity a Softline Company Александр Дворянский отметил, что подобные инциденты не всегда происходят злонамеренно, так как клиентами может использоваться стороннее или бесплатное ПО, находящееся в открытом доступе и уже имеющее в исходном коде вредоносную программу.

Обнаружена массовая кибератака через уязвимость 2013 года в системе проверки цифровых подписей Windows

В начале ноября специализирующаяся на кибербезопасности компания Check Point Research обнаружила массовую атаку трояна Zloader, который похищает данные для доступа к интернет-банкам и персональные данные пользователей. По состоянию на 2 января зловредом были заражены машины, связанные с 2170 IP-адресами. Атака примечательна тем, что в ней используется старая уязвимость.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

Троян Zloader известен довольно давно. Например, в 2020 году он распространялся через ресурсы для взрослых и даже рекламу в Google. Новая массовая атака, говорят эксперты, уникальна тем, что в её основе лежит система верификации ПО по цифровым подписям: полезная нагрузка вредоноса внедряется в подписанную системную библиотеку, которая не проверяется средствами защиты ОС.

Заражение производится через систему удалённого доступа и управления (RMM) Atera — демонстрационная версия этого стандартного корпоративного инструмента в модифицированном варианте устанавливается самой жертвой как файл java.msi, в котором в качестве администраторского указан подконтрольный злоумышленникам адрес электронной почты. Далее оператор загружает на компьютер жертвы два bat-файла, используя функцию запуска скриптов. Первый скрипт модифицирует настройки Windows Defender, добавляя нужные исключения, а второй обеспечивает доставку данных со сторонних ресурсов.

Далее запускается системный файл mshta.exe (обычно используется для запуска файлов HTML) с библиотекой appContast.dll в качестве параметра. Эта библиотека имеет подпись, но при этом содержит вредоносный код, благодаря которому загружается и запускается троян Zloader. Ошибку с проверкой сертификатов Microsoft исправила ещё в 2013 году, однако впоследствии в 2014 году компания заявила, что соответствующее обновление может оказать влияние на существующее ПО, и оно стало доступно для установки только по желанию пользователя. По данным экспертов Check Point Research, за новой серией атак стоит хакерская группировка Malsmoke: её участникам свойственно выдавать вредоносное ПО за Java-плагины, а связанный с атакой URL-адрес уже использовался группировкой в 2020 году.

window-new
Soft
Hard
Тренды 🔥
Intel запустила технологию ИИ-масштабирования XeSS — конкурент NVIDIA DLSS и AMD FSR появился в Shadow of the Tomb Raider 20 мин.
Песочница PT Sandbox дополнилась средствами выявления атак на Astra Linux и буткитов 49 мин.
Релизный трейлер Overwatch 2 готовит игроков к наступлению «новой эры» 3 ч.
VK продала игровое подразделение MY.GAMES за $642 млн 4 ч.
Фэнтезийное приключение I, the Inquisitor от выходцев из Techland и CD Projekt RED обрело издателя, сокращённое название и сроки премьеры 5 ч.
Видео: родовое проклятие, новые персонажи и много крыс в сюжетном трейлере A Plague Tale: Requiem 5 ч.
NVIDIA выпустила драйвер GeForce Game Ready 517.48 WHQL с поддержкой Overwatch 2 и обновлениями технологии DLSS для Microsoft Flight Simulator 6 ч.
Microids определилась с датой выхода Syberia: The World Before на PS5, Xbox Series X и S 6 ч.
В WhatsApp нашли уязвимости, позволяющие взламывать смартфоны на Android и iOS 6 ч.
Заключительный набор дополнительных бойцов первого сезона для The King of Fighters XV выйдет в октябре 6 ч.