Теги → вирусы
Быстрый переход

Обнаружен вирус-вымогатель GoodWill, который требует от жертв добрых дел, а не денег

Эксперты по кибербезопасности CloudSEK рассказали о хакерской группировке GoodWill, которая распространяет вирус-вымогатель, но для расшифровки данных требует у жертвы не денежного выкупа, а добрых дел. К примеру, пожертвовать бездомным одеяла, накормить голодающих детей фастфудом или оплатить лечение неимущему, зафиксировать всё это на фото и видео, чтобы потом разместить их в соцсетях.

 Источник изображения: Pete Linforth / pixabay.com

Источник изображения: Pete Linforth / pixabay.com

По версии экспертов, операторы вымогателя работают из Индии — на это указывают их электронные письма и приписанные к Мумбаи IP-адреса, к которым обращается вирус. Кроме того, в одной из строк кода обнаружена запись на «хинглише» — смеси хинди и английского языка. Вредонос написан на фреймворке .NET, сжат упаковщиком исполняемых файлов UPX, а данные на заражённых Windows-машинах шифруются на основе алгоритма AES.

После заражения ПК жертвы вирус GoodWill шифрует на нем файлы различных форматов и предлагает для их расшифровки совершить три добрых дела: подарить одежду или одеяла «нуждающимся на дороге», отвести пятерых бедных детей в заведение фастфуда, а также посетить ближайшую больницу и оплатить лечение человеку, которые не в состоянии сделать этого самостоятельно.

Первые две акции необходимо задокументировать в соцсетях, используя предлагаемую хакерами рамку для фото, а по последней сделать с объектом помощи селфи и вместе с аудиозаписью разговора с этим человеком отправить его операторам вируса-вымогателя. Выполнив три этих добрых дела, необходимо написать и разместить в соцсети статью на тему «Как ты стал добрым человеком, оказавшись жертвой вируса-вымогателя GoodWill». После этого хакеры якобы высылают инструмент для расшифровки данных.

Эксперты обнаружили связь GoodWill с образцом экспериментального вредоноса HiddenTear, который разработал и в целях защиты безопасности разместил на GitHub некий турецкий программист. Как сообщили CloudSEK, 91 из 1246 строк кода GoodWill совпадает с образцом HiddenTear.

Microsoft предупредила о росте количества заражения вирусом XorDDoS в среде Linux

Как сообщила Microsoft, в последние полгода началось активное распространение вируса XorDDoS, предназначенного для Linux-систем. За 6 месяцев частота обнаружений вредоноса подскочила на 254 %. Как видно из названия, его основным предназначением является организация ботнета для DDoS-атак, однако вирус может также играть роль шлюза для загрузки дополнительных зловредов.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

В Microsoft обнаружили, что на некоторые заражённые XorDDoS машины впоследствии устанавливалось другое вредоносное ПО, в частности, Tsunami, который, в свою очередь, далее разворачивал криптомайнер XMRig. При этом XorDDoS напрямую не использовался для установки и распространения вторичных полезных нагрузок — он скорее играл роль пути для последующих атак.

Вирус XorDDoS, использующий для связи со своим сервером оператора XOR-шифрование, существует по меньшей мере с 2014 года. Своим долголетием он обязан способности относительно успешно скрываться от обнаружения антивирусами. Кроме того, он довольно неприхотлив — вирус заражает как системы на Arm-чипах (чаще всего оборудование Интернета вещей), так и серверы на x64-процессорах. А проникновение осуществляется методом брутфорса через SSH.

Создателем нашумевших троянов Jigsaw и Thanos оказался кардиолог из Венесуэлы

Министерство юстиции США обвинило 55-летнего врача-кардиолога Мойзеса Луиса Загала Гонсалеса (Moises Luis Zagala Gonzalez) из Венесуэлы в создании вирусов-вымогателей Jigsaw и Thanos, получивших широкое распространение несколько лет назад. Американские власти считают, что он продавал и лицензировал шифровальщики хакерам, получал в качестве гонорара часть выкупа от жертв киберпреступников, а также предлагал услуги по техподдержке вредоносного ПО и обучению работе с ним.

 Источник изображения: Pixabay

Источник изображения: Pixabay

«Многозадачный врач, лечив пациентов, попутно создал и назвал свой киберинструмент в честь смерти, а также зарабатывал на глобальной экосистеме программ-вымогателей, в которой продавал инструменты для проведения атак программ-вымогателей, обучал злоумышленников тому, как вымогать деньги у жертв, а затем хвастался успешными атаками, в том числе со стороны злоумышленников, связанных с правительством Ирана», — говорится в заявлении прокурора США Брион Пис (Breon Peace).

В киберпреступном сообществе Гонсалес известен под псевдонимами Nosophoros, Aesculapius и Nebuchadnezzar. Первым его творением стал вредонос Jigsaw, активность которого не фиксируется с осени 2021 года. Это инструмент использовался злоумышленниками не часто, в том числе потому, что для него был создан бесплатный инструмент дешифровки. По данным Минюста США, на основе первой версии вымогателя был создан вредонос Jigsaw 2.0 с встроенным счётчиком «судного дня» (Doomsday counter), который отслеживал, сколько раз жертва пыталась избавиться от вредоноса. «Если пользователь слишком много раз уничтожает программу-вымогатель, то ясно, что он не будет платить, поэтому лучше стереть весь жёсткий диск», — говорится в описании вредоноса.

 Источник изображения: CNews

Источник изображения: CNews

В 2019 году Гонсалес создал новый продукт под названием Thanos, предположительно названный в честь злодея из вселенной Marvel, который уничтожил половину всего живого во Вселенной. При этом в основе имени Thanos стоит Танатос, олицетворение смерти в греческой мифологии. Новое творение Гонсалеса представляло собой конструктор по созданию вымогательского ПО. Он мог использоваться хакерами для создания собственных вредоносов и распространялся по модели «вымогатель как услуга, RaaS».

По данным американских властей, Гонсалес создал схему монетизации своих вредоносов, предлагая всем заинтересованным сторонам два способа получить доступ к продуктам. Первый вариант предполагал покупку лицензии на использование Thanos по цене от $500. Второй вариант назывался «партнёрской программой» в рамках которой, хакеры передавали Гонсалесу часть средств, полученных при проведении вредоносных кампаний с использованием Thanos.

 Интерфейс Thanos / Источник изображения: CNews

Интерфейс Thanos / Источник изображения: CNews

Американские власти пытались выйти на след Гонсалеса с начала 2020 года. Расследование шло в течение двух лет и в конечном счёте удалось вычислить родственника хакера, проживающего в США, и чей счёт Гонсалес использовал для получения незаконных доходов. Он и помог правоохранителям установить личность разработчика Thanos. Сейчас Гонсалесу грозит до 10 лет тюремного заключения.

Число атак вирусов-вымогателей на российские компании утроилось

В специализирующихся на вопросах кибербезопасности компаниях подсчитали, что с начала весны в три раза выросло количество атак вирусов-вымогателей на ресурсы российских предприятий. Это связывают с украинскими событиями: после его начала в хакерском сообществе произошёл раскол, когда разные группировки стали поддерживать разные стороны конфликта, пишет «Коммерсантъ».

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

В «Лаборатории Касперского» отметили, что в 2022 году операторы вирусов-вымогателей сменили тактику, переключившись с массовых рассылок на атаки с чётко обозначенной целью, а также стали использовать более сложное ПО, способное работать на нескольких операционных системах. В частности, хакерская группировка Conti разработала шифровальщик, способный работать в системах Linux — это «перспективное» направление, отметили в компании Positive Technologies, поскольку популярность этих платформ растёт.

Не менее важным оказалась геополитическая сторона вопроса: группировки хакеров начали принимать одну из сторон в украинским конфликте и проводить свои атаки в поддержку России или Украины. Олег Скулкин из компании Group-IB рассказал, что после заявления группировки Conti о поддержке российской стороны один из её украинских партнёров выложил в открытый доступ личные данные участников группировки и исходный код созданного ими вируса-шифровальщика, который впоследствии стал использоваться против российских компаний. В целом с начала весны, говорят в Group-IB, количество атак вирусов-вымогателей на ресурсы российских компаний утроилось.

Отмечается также, что несколько изменился вектор кибератак: традиционно вирусы-шифровальщики использовались с целью вымогательства за восстановление доступа к данным. Теперь же хакеры всё чаще преследуют иные цели: похищение и публикацию закрытых данных, как это было в ходе инцидента с RuTube, а также нарушение работоспособности ресурсов только ради общественного резонанса.

Microsoft анонсировала сервис Security Experts — эксперты компании лично помогут защититься от вредоносного ПО

Microsoft объявила о запуске новой категории услуг под именем Security Experts, в рамках которых клиентам компании будет предоставляться защита от вредоносного программного обеспечения. Предполагается, что новый сервис станет хорошим дополнением к средствам обеспечения информационной безопасности, которые уже используются клиентами Microsoft.

 Источник изображения Microsoft

Источник изображения Microsoft

Security Experts включает в себя три основные управляемые службы, предназначенные для повышения уровня безопасности в организациях:

  • Microsoft Defender Experts for Hunting позволит компаниям, в которых есть действующие службы информационной безопасности, «охотиться» за потенциальными угрозами. Специалисты Microsoft и партнёры компании будут использовать данные Microsoft Defender, конечные пользовательские устройства, Office 365, облачные приложения и идентификационные данные для выявления потенциальных угроз. Проще говоря, ИБ-специалисты Microsoft будут помогать клиентам в обнаружении потенциальных угроз на рабочих местах.
  • Microsoft Defender Experts for XDR (расширенное обнаружение и реагирование). Эта услуга рассчитана на клиентов, желающих укрепить и расширить собственные операционные центры безопасности. В рамках этой услуги Microsoft будет выделять клиентам специалистов для оперативного реагирования на возникающие инциденты.
  • Microsoft Security Services for Enterprise. Эта услуга предполагает предоставление всесторонней защиты для всех облачных сред и платформ клиента, которая обеспечивается под руководством экспертов. Клиенты будут ежедневно работать с экспертами Microsoft в рамках управления процессами регистрации, взаимодействия с IT-системами и др.

По заявлению Microsoft, конечная цель проекта заключается в предоставлении клиентам продуктов безопасности мирового уровня, а также возможности работы с лучшими специалистами в сфере информационной безопасности. Согласно имеющимся данным, подписка на Defender Expert for Hunting будет стоить $3 в месяц за одно рабочее место, тогда как Defender Experts for XDR обойдётся в $14 в месяц за человека. Услуги станут доступны для подключения позднее в этом году.

В 2021 году операторы вирусов-вымогателей установили несколько «рекордов»

Подразделение анализа угроз Unit 42 специализирующейся на вопросах информационной безопасности компании Palo Alto Networks опубликовало доклад, согласно которому сегмент вирусов-вымогателей по итогам прошлого года значительно вырос.

 Источник изображения: Tumisu / pixabay.com

Источник изображения: Tumisu / pixabay.com

По информации Unit 42, атакам вирусов-вымогателей подверглось рекордное число компаний, увеличилось и количество организаций, согласившихся заплатить киберпреступникам выкуп за расшифровку данных. Поставить новые рекорды злоумышленникам помогла новая практика публикации в даркнете «сайтов с утечками» — даже часть выложенных в открытый доступ данных оказывает на жертв вымогательства дополнительное давление, вынуждая их заплатить.

Основываясь на кейсах прошлого года, аналитики Unit 42 подсчитали, что средний размер запрашиваемого киберпреступниками выкупа вырос на 144 % и достиг $2,2 млн, а средний размер фактического платежа вырос на 78 % и составил $540 тыс. Наиболее пострадавшими от вирусов-вымогателей отраслями стали юриспруденция, строительство, оптовая и розничная торговля, здравоохранение, а также производственная сфера.

Самой активной за минувший год стала хакерская группировка Conti — на её долю пришлось в среднем более одного из пяти инцидентов, с которыми работали консультанты Unit 42. Второе место заняла нейтрализованная ФСБ группировка Revil с 7,1 % инцидентов, а третье поделили между собой Hello Kitty и Phobos, чьи «бренды» всплывали в 4,8 % случаев.

Группировка Conti разместила на своём сайте с утечками данные по 511 организациям, и это тоже рекордный показатель. Кроме того, за минувший год появились 35 новых группировок, которые специализируются на вирусах-вымогателях. Часть доходов от незаконной деятельности злоумышленники направляли на разработку новых, более простых в использовании инструментов кибератак, и всё чаще использовались уязвимости нулевого дня.

Резко возросла в вымогательских схемах роль сайтов с утечками, оказывающих на жертв дополнительное психологическое давление — на них были опубликованы данные по 2566 организациям. 60 % жертв находились в Америке, 31 % — в Европе, на Ближнем Востоке и в Африке, а ещё 9 % — в Азиатско-Тихоокеанском регионе.

Взломавшие NVIDIA хакеры продают информацию об обходе ограничителя майнинга в видеокартах GeForce RTX 30-й серии

Хакерская группа LAPSUS$ заявляет, что в течение недели обладала доступом к внутренним серверам компании NVIDIA и похитила оттуда 1 Тбайт конфиденциальной информации. По заявлениям злоумышленников, несмотря на все усилия производителя графических процессоров, им удалось получить доступ к данным о графических драйверах NVIDIA, иному программному обеспечению, а также к документации различных продуктов производителя.

 Источник изображений: VideoCardz

Источник изображений: VideoCardz

Более того, хакеры заявляют, что получили доступ к информации, позволяющей обходить ограничитель майнинга (LHR V2) в видеокартах GeForce RTX 30-й серии на базе графических процессоров GA102 и GA104. И эти данные выставлены на продажу.

Злоумышленники отмечают, что NVIDIA не хочет наладить с ними контакт. Это в конечном итоге может привести к тому, что хакеры выложат остальную имеющуюся у них конфиденциальную информацию в открытый доступ. Более того, некоторую часть этой информации, похоже, киберпреступники уже выложили в Сеть.

NVIDIA до сих пор не поделилась подробностями инцидента, но подтвердила, что занимается расследованием произошедшего. Согласно более ранним сообщениям хакеров, специалисты по кибербезопасности компании сами проникли в компьютеры злоумышленников и попытались зашифровать похищенные данные. Однако все усилия оказались напрасными — хакеры произвели резервное копирование похищенной информации.

В России нашли более 16 тыс. Android-смартфонов с предустановленным вирусом для нелегальной регистрации в каршеринге

Согласно докладу специализирующейся на кибербезопасности компании Trend Micro, Россия оказалась среди лидеров по числу Android-смартфонов, поставляемых с предустановленным вредоносным ПО, которое используется мошенниками для нелегальных регистраций в каршеринговых сервисах. Данное ПО в случае ДТП позволяет переложить ответственность с настоящего виновника аварии на владельца заражённого телефона.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

По данным Trend Micro, в России насчитывается 16,1 тыс. заражённых смартфонов, вирусы на которых могли быть установлены ещё на этапе производства в Китае. По данному показателю Россия уступает только Индонезии, при этом общее число заражённых устройств может быть в разы больше: как передаёт «Коммерсант», на одном из ресурсов, предлагающих услуги нелегальной регистрации учётных записей, говорится о 116,3 тыс. телефонов. В Trend Micro утверждают, что в число заражённых устройств входят: ZTE (Blade 3), MiOne (P1, R5, R3, Hero 5), Meizu (V8), Huawei (Mate 20 Pro, P9, P20 Pro), а также Honor (5X KIW-TL100 и другие). Согласно статистике сети магазинов «Связной», за 2021 год в России было продано 31,9 млн Android-устройств, так что процент заражённых аппаратов не слишком велик, но в абсолютном выражении их всё же немало.

Авторы исследования приводят в качестве примера Telegram-канал, на котором предлагалась услуга по регистрации поддельных аккаунтов в каршеринговых сервисах — у него 27 тыс. подписчиков. Воспользовавшиеся этой услугой люди якобы смогут избежать ответственности, если попадут в аварию на прокатной машине. В администрациях сервисов такую возможность отвергают: в пресс-службе BelkaCar сообщили, что два года назад были внедрены превентивные меры, благодаря которым подобные инциденты стали единичными; в «Делимобиле» заявили, что после 2020 года создать фейковый аккаунт в сервисе стало невозможно.

Тем не менее, внедрённые ещё на этапе производства в прошивку телефонов вирусы представляют серьёзную проблему. Директор центра Solar appScreener компании «Ростелеком-Солар» Даниил Чернов напомнил, что в китайской мобильной индустрии практикуется интеграторский подход: аппаратной частью устройств занимаются одни поставщики, а установку ПО производят другие. Если допустить, что уровень контроля безопасности на таких предприятиях может быть невысоким, то даже одного недобросовестного сотрудника с доступом к коду может хватить, чтобы вредоносное ПО массово распространилось на продукции бренда.

Для защиты от подобных вирусов эксперты рекомендуют проанализировать детализацию, обратив внимание на подозрительный трафик или входящие SMS-сообщения с незнакомых номеров.

Неизвестные злоумышленники распространяли поддельный дистрибутив Windows 11 с вредоносным ПО

Эксперты по кибербезопасности компании HP сообщили об обнаружении поддельного установочного дистрибутива Windows 11, который заражал компьютеры жертв вредоносным ПО. Организация провела расследование, обнаружив подозрительный сайт по адресу, связанному с Windows.

 Источник изображения: threatresearch.ext.hp.com

Источник изображения: threatresearch.ext.hp.com

По данным HP, домен был зарегистрирован после того, как Microsoft объявила о релизе финальной версии Windows 11. По дизайну сайт был максимально схож с фирменной стилистикой ресурсов Microsoft, но главное — на главной странице присутствовала кнопка «Скачать». При клике по этой кнопке загружался архив с троянами, предназначенными для кражи паролей и других данных из открытого браузера, например, данных автозаполнения, включая номера кредитных карт.

Фальшивый установщик Windows 11 представляет собой ZIP-архив размером всего 1,5 Мбайт. При распаковке он разворачивается в папку размером 753 Мбайт, практически всё пространство в которой занимает файл Windows11InstallationAssistant.exe объёмом до 751 Мбайт. Таким образом, архив сжимает данный файл на 99,8 %, что нетипично для исполняемых файлов — злоумышленники преднамеренно увеличили его размер, поскольку файлы большого размера обычно игнорируются антивирусами.

К настоящему моменту поддельный сайт уже ушёл в офлайн, но не исключено, что другие хакеры попытаются повторить эту уже не новую схему. Microsoft готовит инструмент для бесплатного обновления Windows 10 до Windows 11, однако он будет реализован штатными средствами системы — ничего загружать не потребуется. Windows 11 можно установить и вручную, но для этого дистрибутив настоятельно рекомендуется скачивать только с официального сайта Microsoft.

В модифицированных сторонними разработчиками компонентах «1С» нашли вредоносный код

Компания RTM Group раскрыла мошенническую схему, с помощью которой в программные продукты разработчика «1С» встраивался вредоносный код, позволяющий в дальнейшем похищать данные пользователей.

 Источник изображения: Pixabay

Источник изображения: Pixabay

Не менее трети пользователей заказывают доработку таких модулей, как «Бухгалтерия», «Управление торговлей», «Управление фирмой» у сторонних программистов, которые могут встроить вредоносный код, позволяющий в момент проверки лицензионного ключа отправлять содержащиеся в модулях сведения о клиентской базе, платежах и потенциальных договорах на электронную почту, прописанную в коде. По словам специалистов RTM Group, вирус никак не отражается на работе программ, что затрудняет обнаружение проблемы.

Хотя RTM Group сообщила о десятках подобных случаев, в результате которых в основном пострадали компании из сферы торговли, а также дистрибуторы ПО, представитель «1С» сообщил «Коммерсанту», что у компании нет данных о подобных инцидентах. Он охарактеризовал описанную схему как технически несостоятельную ввиду того, что проверка лицензионности производится на уровне ядра системы, код которого закрыт.

Впрочем, в RTM Group сообщили, что материалы о случаях мошенничества были направлены в правоохранительные органы, которые сейчас проводят расследование. Поэтому есть надежда, что станет известно, кто говорит правду.

Вместе с тем представитель «1С» рекомендовал клиентам в случае необходимости доработки модулей обращаться к сертифицированным партнёрам, чтобы избежать возможных злоупотреблений.

В свою очередь, директор по стратегическим коммуникациям Infosecurity a Softline Company Александр Дворянский отметил, что подобные инциденты не всегда происходят злонамеренно, так как клиентами может использоваться стороннее или бесплатное ПО, находящееся в открытом доступе и уже имеющее в исходном коде вредоносную программу.

Обнаружена массовая кибератака через уязвимость 2013 года в системе проверки цифровых подписей Windows

В начале ноября специализирующаяся на кибербезопасности компания Check Point Research обнаружила массовую атаку трояна Zloader, который похищает данные для доступа к интернет-банкам и персональные данные пользователей. По состоянию на 2 января зловредом были заражены машины, связанные с 2170 IP-адресами. Атака примечательна тем, что в ней используется старая уязвимость.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

Троян Zloader известен довольно давно. Например, в 2020 году он распространялся через ресурсы для взрослых и даже рекламу в Google. Новая массовая атака, говорят эксперты, уникальна тем, что в её основе лежит система верификации ПО по цифровым подписям: полезная нагрузка вредоноса внедряется в подписанную системную библиотеку, которая не проверяется средствами защиты ОС.

Заражение производится через систему удалённого доступа и управления (RMM) Atera — демонстрационная версия этого стандартного корпоративного инструмента в модифицированном варианте устанавливается самой жертвой как файл java.msi, в котором в качестве администраторского указан подконтрольный злоумышленникам адрес электронной почты. Далее оператор загружает на компьютер жертвы два bat-файла, используя функцию запуска скриптов. Первый скрипт модифицирует настройки Windows Defender, добавляя нужные исключения, а второй обеспечивает доставку данных со сторонних ресурсов.

Далее запускается системный файл mshta.exe (обычно используется для запуска файлов HTML) с библиотекой appContast.dll в качестве параметра. Эта библиотека имеет подпись, но при этом содержит вредоносный код, благодаря которому загружается и запускается троян Zloader. Ошибку с проверкой сертификатов Microsoft исправила ещё в 2013 году, однако впоследствии в 2014 году компания заявила, что соответствующее обновление может оказать влияние на существующее ПО, и оно стало доступно для установки только по желанию пользователя. По данным экспертов Check Point Research, за новой серией атак стоит хакерская группировка Malsmoke: её участникам свойственно выдавать вредоносное ПО за Java-плагины, а связанный с атакой URL-адрес уже использовался группировкой в 2020 году.

Обнаружен вредонос Blister — он имеет подпись и обходит защиту Windows

Специализирующаяся на вопросах кибербезопасности компания Elastic Security обнаружила массовую атаку вредоносного ПО, в которой используется сертификат подписи и другие методы, позволяющие ему оставаться незамеченным для антивирусов.

 Источник изображения: Darwin Laganzon / pixabay.com

Источник изображения: Darwin Laganzon / pixabay.com

Вредонос подписан действительным сертификатом от 15 сентября 2021 года, выданным удостоверяющим центром Sectigo на компанию Blist LLC — поэтому загрузчик получил название Blister. Отмечается, что в данных владельца сертификата указан адрес электронной почты на одном из доменов, принадлежащих Mail.ru.

Загрузчик проникает в систему под видом обычных библиотек вроде colorui.dll и выполняется через Rundll32. Оказавшись в системе, он на 10 минут прерывает работу и переходит в режим ожидания — эксперты уверены, что это помогает ему обойти анализ песочницы. Далее декодируется полезная нагрузка, которая загружается в один из процессов и делает всё остальное: открывает удалённый доступ к системе, распространяется по локальной сети, сохраняет свои копии в системной папке ProgramData и маскируется под rundll32.exe. В довершение вредонос добавляется в автозапуск и загружается при каждом старте ОС.

Исследователи уже известили Sectigo и попросили отозвать сертификат — это ускорит борьбу с Blister. Но пока загрузчик остаётся с незначительным или нулевым обнаружением на VirusTotal.

В Google Play обнаружено заражённое вирусом Joker приложение

Специализирующаяся на вопросах кибербезопасности компания Pradeo сообщила, что в магазине приложений Google Play было обнаружено приложение Color Message, содержащее активизировавшийся в последнюю пару лет вирус Joker. Данное приложение было скачано более 500 тыс. раз.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

Pradeo, в частности, сообщила: «Joker классифицирован как Fleeceware. Его основной задачей является симуляция кликов и перехват SMS для оформления платных подписок втайне от пользователя. Используя минимум кода и тщательно его скрывая, Joker оставляет минимальный след, который очень трудно обнаружить. За последние два года зловред был найден в сотнях приложений».

Сейчас приложение Color Message уже удалено из Google Play — оно маскировалось под мессенджер, который «делает текстовое общение простым, весёлым и красивым», и имело рейтинг 4,1, хотя было множество отзывов с минимальной оценкой. При этом, как уточнила компания, оно скрытно «подключалось к российским серверам». Color Message получало доступ к контактам и передавало их по Сети, подписывало пользователя на платные услуги без его ведома и могло скрывать свой значок, чтобы затруднить удаление.

По данным Pradeo, приложения с вирусом Joker скачивались от 1000 до 100 000 раз, прежде чем удалялись из Google Play. Они маскировались под сканеры документов, мессенджеры, менеджеры обоев, а одно из них называлось Safety AppLock. К счастью, для удаления вируса достаточно удалить приложение. Напомним, ранее нашествие заражённых Joker приложений было зафиксировано в магазине приложений Huawei AppGallery.

Dr.Web: Мошенники начали распространять вредоносное ПО под видом сервиса для генерации QR-кодов о вакцинации

В Сети появился новый виде мошенничества, связанного с пандемией. Злоумышленники начали распространять вредоносное программное обеспечение под видом сервиса для генерации поддельных QR-кодов о вакцинации. Об этом 3DNews рассказали эксперты Dr.Web.

 Источник: Pixabay

Источник: Pixabay

По словам специалистов, мошенники спекулируют на теме грядущего законопроекта о QR-кодах. Злоумышленники предлагают пользователям скачать программу, пока она бесплатно распространяется. При скачивании на устройстве пользователя появляется несколько вредоносных файлов — стилер для кражи паролей, и два трояна (майнер и клипер).

Разработчики не уточнили когда началось распространение мошеннического ПО, но их скачивание ставит под угрозу сохранность всех данных пользователя, включая соцсети, онлайн-банки и криптокошельки. Сколько пользователей пострадало, также не уточняется.

DNSFilter назвала Китай мировым лидером в распространении вредоносного ПО

Специализирующаяся на кибербезопасности компания DNSFilter опубликовала ежегодный отчёт. Исследование охватывает период с марта 2020 г. по август 2021 г. — пандемия оказала влияние на взаимодействие пользователей с вредоносными сайтами, а мошенники адаптировали стратегии к повестке дня.

 Источник изображения: pixabay.com

Источник изображения: pixabay.com

DNSFilter в режиме реального времени блокирует угрозы на уровне DNS, закрывая доступ к доменам с вредоносными сайтами. Безопасность обеспечивает собственная система искусственного интеллекта, получившая название Webshrinker. Согласно отчёту, 11,47 % сайтов, релевантных связанным с COVID-19 запросам, являются вредоносными — это чаще, чем каждый десятый ресурс. Хотя освещение пандемии в СМИ в последнее время снизилось, возможность попасть на потенциально опасный сайт сохраняется. К середине 2021 года резко возросло число случаев мошенничества, связанных с безработицей и выплатами пособий.

Возросла актуальность темы криптомайнинга на фоне роста популярности технологий блокчейна и NFT. При этом мошенники чаще создают фишинговые сайты, посвящённые биткоину, чем другим криптовалютам. Важным открытием стала географическая сторона вопроса кибербезопасности. По данным DNSFilter, мировым лидером по числу вредоносных сайтов является Китай — его доля составляет 16,69 %. При этом четыре из пяти доменных зон с наибольшим числом потенциально опасных ресурсов относятся к африканским странам.

Главный операционный директор DNSFilter Джен Айерс (Jen Ayers) отметила, что число наиболее мощных и дорогостоящих кибератак растёт быстрее, чем предполагалось в самых пессимистических прогнозах пять лет назад. В январе 2020 года в сети были заблокированы 23 млн угроз, а к концу июня того же года их стало уже 328 млн. И тенденций к замедлению их роста пока не наблюдается.

window-new
Soft
Hard
Тренды 🔥