Теги → вредоносное
Быстрый переход

Злоумышленники активно атакуют компьютеры, хранящие биометрические данные

«Лаборатория Касперского» сообщает о том, что более трети компьютеров и серверов в мире, использующихся для хранения и обработки биометрических данных, рискуют стать мишенью сетевых злоумышленников.

Речь идёт о системах, которые применяются для хранения информации об отпечатках пальцев, радужной оболочке глаза, изображениях лица, образцах голоса и геометрии кисти руки.

Сообщается, что в течение третьего квартала 2019 года примерно 37 % компьютеров, служащих для хранения биометрических данных, как минимум один раз подвергались риску заражения вредоносными программами.

Зловреды проникают в систему через веб-сайты и почтовые клиенты. Кроме того, вредоносные программы распространяются на внешних накопителях — прежде всего на флеш-брелоках.


Распространяемые зловреды умеют красть конфиденциальные данные, загружать и выполнять произвольное ПО, а также дают злоумышленникам возможность удалённо управлять заражённым компьютером.

«Всё это не только угрожает конфиденциальности биометрических данных, но и может серьёзно влиять на их целостность, а также на доступность систем аутентификации, а это тоже большой риск», — говорят эксперты «Лаборатории Касперского». 

В Великобритании закрыт сайт по продаже хакерских инструментов — накажут владельцев и покупателей

В результате проведения полицией международного расследования, в Великобритании был закрыт веб-сайт Imminent Methods по продаже хакерских инструментов, позволяющих злоумышленникам брать под контроль компьютеры пользователей.

 

По данным Национального криминального агентства Великобритании (NCA), услугами Imminent Methods воспользовалось около 14 500 человек. Для того чтобы найти злоумышленников, силы правопорядка провели обыски в более чем 80 объектах по всему миру. В частности, в Великобритании обыски прошли в Халле, Лидсе, Лондоне, Манчестере, Мерсисайде, Милтон-Кинсе, Ноттингеме, Сомерсете и Суррее.

Также полиции удалось отследить людей, купивших хакерское программное обеспечение. Им будет предъявлено обвинение в ненадлежащем использовании компьютера. Международную операцию возглавляла Федеральная полиция Австралии.

Полиция сообщила, что всего в связи с продажей и использованием хакерского программного обеспечения было арестовано 14 человек.

Взяв контроль над веб-сайтом, полиция сможет детально разобраться с его деятельностью, а также определить тех, кто купил нелегальные инструменты, говорит профессор Алан Вудворд (Alan Woodward), эксперт по кибербезопасности из Университета Суррея.

«Власти теперь знают, сколько пользователей купило предлагаемое вредоносное ПО. Теперь они будут работать над тем, чтобы разоблачить 14 500 человек, которые были достаточно глупы, чтобы купить это вредоносное ПО», — отметил Вудворд.

Клиентам российских банков угрожает новый зловред, ворующий деньги

Российские банки столкнулись с новым вирусом, который способен воровать средства со счетов клиентов. О зловреде, как сообщает РБК, рассказали специалисты компании Group-IB.

Троян способен инфицировать смартфоны под управлением операционной системы Android. Вредоносная программа может автоматически переводить деньги со счёта жертвы через банковское мобильное приложение на счёт злоумышленников.

Эксперты говорят, что функциональные возможности новых троянов под Android практически приблизились к троянам-банкерам. Зловреды нового типа ориентированы на максимальную капитализацию бизнеса своих операторов.

Отмечается, что как минимум два крупных российских банка столкнулись с угрозой. Появление таких зловредов также подтверждает «Лаборатория Касперского».

Впрочем, пока случаи инфицирования вирусами нового типа довольно редки, но вероятность начала эпидемии исключать нельзя.

По оценкам Group-IB, за год — с июля 2018-го по июнь 2019-го — злоумышленники при помощи вредоносных программ для Android смогли украсть 110 млн рублей. Каждый день осуществляется в среднем 40 успешных атак, при этом сумма одного хищения составляет приблизительно 11 тысяч рублей. 

Microsoft: криптовалютный майнер Dexphot заразил более 80 000 компьютеров

Специалисты по информационной безопасности из Microsoft предупредили пользователей об атаках криптовалютного майнера под названием Dexphot, который атакует компьютеры под управлением Windows с октября прошлого года. Пиковая активность вредоноса зафиксирована в июне этого года, когда было заражено более 80 000 компьютеров по всему миру.

В отчёте говорится о том, что для проникновения на компьютеры жертв вредонос использует разные методы обхода защиты, в том числе шифрование, обфускацию и применение случайных имён файлов для маскировки процесса установки. Также известно, что майнер не использует какие-либо файлы в процессе запуска, выполняя вредоносный код непосредственно в памяти. Из-за этого он оставляет крайне мало следов, позволяющих зафиксировать его присутствие. Чтобы избежать обнаружения, Dexphot осуществляет перехват легитимных процессов Windows, в том числе unzip.exe, rundll32.exe, msiexec.exe и др.

Если пользователь пытается удалить вредонос с компьютера, то срабатывают службы мониторинга и происходит инициация повторного заражения. В отчёте отмечается, что Dexphot устанавливается на компьютеры, которые уже были заражены. В рамках текущей кампании вредонос попадает в системы, заражённые вирусом ICLoader. Вредоносные модули загружаются с нескольких URL-адресов, которые также используются для обновления вредоноса и проведения повторного заражения.

«Dexphot — это не тот тип атаки, который привлекает внимание средств массовой информации. Это одна из многочисленных кампаний, существующих длительное время. Её цель широко распространена в киберпреступных кругах и сводится установке майнера криптовалют, который скрытно использует ресурсы компьютера на благо злоумышленников», — сказал аналитик по вредоносным программам исследовательской группы Microsoft Defender ATP Хейзел Ким (Hazel Kim).

Сотни тысяч россиян майнят криптовалюту для злоумышленников

Компания ESET сообщает о том, что сотни тысяч российских пользователей Интернета могут быть вовлечены в скрытую преступную схему майнинга криптовалюты Monero.

Эксперты обнаружили модуль криптомайнинга CoinMiner, который распространяется и устанавливается посредством ботнета Stantinko. Эта вредоносная сеть действует как минимум с 2012 года. Долгое время операторам Stantinko удавалось оставаться незамеченными благодаря применению шифрования кода и комплексных механизмов самозащиты.

Изначально ботнет специализировался на рекламном мошенничестве. Однако с недавних пор злоумышленники переключились на скрытую добычу криптовалюты. Для этого применяется упомянутый модуль CoinMiner, особенностью которого является способность тщательно скрываться от обнаружения.

В частности, операторы Stantinko компилируют уникальный модуль для каждой новой жертвы. Кроме того, CoinMiner связывается с майнинг-пулом не напрямую, а через прокси, чьи IP-адреса получены из описаний видеороликов на YouTube.

Плюс к этому зловред отслеживает работающие на компьютере антивирусные решения. Наконец, майнер может приостанавливать свою деятельность в определённых условиях — например, когда компьютер работает от аккумулятора. Это позволяет усыплять бдительность пользователя.

Более подробно о майнере-зловреде можно узнать здесь

Россияне всё чаще становятся жертвами сталкерского ПО

Исследование, проведённое «Лабораторией Касперского», говорит о том, что сталкерское ПО быстро набирает популярность среди сетевых злоумышленников. Причём в России темпы роста атак данного типа превышают общемировые показатели.

Так называемое сталкерское программное обеспечение — это специальные программы для слежки, которые позиционируются как легальные и которые можно купить в Интернете. Подобные зловреды могут работать совершенно незаметно для пользователя, а поэтому жертва может даже не догадываться о слежке.

Исследование показало, что за первые восемь месяцев этого года более 37 тысяч пользователей по всему миру столкнулись со сталкерским ПО. Количество жертв увеличилось на 35 % по сравнению с аналогичным периодом 2018-го.

При этом в России число жертв сталкерского ПО подскочило более чем в два раза. Если в январе–августе 2018 года со сталкерскими программами столкнулось чуть более 4,5 тысячи россиян, то в нынешнем году — уже почти 10 тысяч.

«Лаборатория Касперского» также зафиксировала увеличение числа образцов сталкерского ПО. Так, за восемь месяцев 2019 года компания обнаружила 380 вариантов сталкерских программ. Это почти на треть больше, чем годом ранее.

«На фоне более значительных показателей по заражению вредоносным ПО статистика по сталкерским программам может выглядеть не так впечатляюще. Однако в случае с подобным ПО для слежки, как правило, нет случайных жертв — в большинстве случаев это хорошо знакомые организатору слежки люди, например, супруг или супруга. К тому же, использование такого ПО нередко связано с угрозой домашнего насилия», — отмечают эксперты. 

Вредоносная программа Nodersok заразила тысячи компьютеров на базе Windows

По сообщениям сетевых источников, тысячи работающих под управлением Windows компьютеров оказались заражены новым видом вредоносного ПО, которое осуществляет загрузку и установку копии инфраструктуры Node.js, преобразуя заражённые системы в прокси-серверы, используемые для проведения мошеннических операций.

Вредоносные программы, названные Nodersok в отчёте Microsoft и Divergent в отчёте Cisco Talos, были обнаружены летом этого года. Они распространялись с помощью вредоносной рекламы, которая использовалась для принудительной загрузки файлов HTML Application на компьютеры. Пользователи, запустившие эти файлы на своих ПК, давали старт многоэтапному процессу заражения с применением сценариев Excel, JavaScript и PowerShell, что в конечном итоге приводило к загрузке и установке вредоносного ПО Nodersok.    

Сама вредоносная программа имеет в составе несколько компонентов, предназначенных для выполнения разных целей. К примеру, модуль PowerShell используется для отключения Центра обновлений и стандартной защиты Windows. Кроме того, есть модуль, используемый для повышения привилегий вредоноса в системе. Однако в составе имеются и законные приложения: WinDivert и Node.js. Первый инструмент используется для захвата и взаимодействия с сетевыми пакетами, а второй позволяет запускать JavaScript на веб-серверах.

В отчётах Microsoft и Cisco говорится о том, что вредоносное ПО использует два легитимных приложения для запуска прокси-сервера на заражённых машинах. По данным Microsoft, вредоносное ПО превращает заражённые узлы в прокси-серверы для передачи вредоносного трафика. В отчёте Cisco говорится, что прокси-серверы используются для совершения мошеннических действий.

Чтобы предотвратить заражение, специалисты рекомендуют не запускать файлы HTML Application, обнаруженные на ПК, особенно, если их происхождение неизвестно. В любом случае, файлы, которые неожиданно загружаются с веб-страниц, всегда являются плохим признаком, и им нельзя доверять, независимо от расширения.     

Кибергруппировка Lazarus взяла на вооружение новый шпионский инструмент

«Лаборатория Касперского» предупреждает о том, что кибергруппировка Lazarus начала применять ранее неизвестный шпионский инструмент, получивший название Dtrack.

Lazarus — это довольно необычная группа сетевых злоумышленников. Основным видом её деятельности является кибершпионаж, но она также замечена в проведении атак, нацеленных непосредственно на кражу денег, что обычно не свойственно подобным группировкам.

Новый инструмент Dtrack представляет собой ПО для удалённого администрирования. Этот зловред позволяет злоумышленникам выполнять на компьютере жертвы самые разнообразные операции.

К примеру, киберпреступники могут загружать и выгружать файлы, записывать нажатия клавиш клавиатуры, читать историю браузера и пр. В целом, Dtrack предоставляет возможность полностью контролировать заражённое устройство.

В настоящее время инструмент Dtrack активно используется при проведении кибератак. «Лаборатория Касперского» отмечает, что жертвами становятся компании, которые, как правило, плохо защищены: они используют слабые политики сетевой безопасности и ненадёжные пароли, а также не анализируют сетевой трафик. 

Google Play слишком поздно удалил два вредоносных приложения: пользователи успели скачать его как минимум 1,5 млн раз

Google Play удалил два вредоносных приложения, но пользователи успели скачать их как минимум 1,5 млн раз. Их обнаружила компания Wandera, которая специализируется на защите информации.


В описании популярных приложений Sun Pro Beauty Camera и Funny Sweet Beauty говорится, что они предназначены для обработки фотографий. Однако оказалось, что у них есть, мягко говоря, недокументированные возможности. Они зачем-то просят разрешение на запись аудио, и, что гораздо хуже, на весь экран разворачивают рекламу. А чтобы закрыть её, пользователь вынужден перейти на сайт рекламодателя.

Более того, даже если закрыть приложения, они и далее продолжают работать, но уже в фоновом режиме, а реклама вновь и вновь появляется, перекрывая пользователю доступ к другим открытым приложениям. Удалить их тоже непросто: в общем списке приложений нет их иконок. Однако это всё-таки можно сделать, если зайти в системные настройки и открыть список установленных приложений.

На прошлой неделе стало известно, что пользователи по неведению установили вредоносные VPN-приложения более 500 млн раз. Hotspot VPN, Free VPN Master, Secure VPN и Security Master by Cheetah Mobile тоже без разрешения показывали надоедливую рекламу.

За последние несколько месяцев компания Google неоднократно подвергалась критике за неспособность своевременно выявить и устранить вредоносные приложения в Google Play.

Исследователи Google помогли Apple пресечь масштабную хакерскую атаку на пользователей iPhone

Участники проекта Google Project Zero, занимающиеся исследованиями в области информационной безопасности, сообщили об обнаружении одной из самых масштабных атак на пользователей iPhone, в ходе которой использовались веб-сайты, распространяющие вредоносное программное обеспечение. В сообщении говорится о том, что с веб-сайтов внедрялось вредоносное ПО на устройства всех посетителей, число которых составляло несколько тысяч еженедельно.

«Не было какой-либо целевой направленности. Достаточно просто посетить вредоносный сайт, чтобы сервер эксплойтов совершил атаку на ваше устройство, и, если она была успешной, осуществлялась установка средств мониторинга. По нашим оценкам, данные сайты посещают тысячи пользователей каждую неделю», — написал в блоге специалист проекта Google Project Zero Ян Бир (Ian Beer).

В сообщении говорится, что в некоторых атаках применялись так называемые эксплойты нулевого дня. Это означает, что использовалась уязвимость, о которой неизвестно разработчикам Apple, поэтому у них было «ноль дней» на её исправление.

Ещё Ян Бир написал о том, что Группа анализ угроз Google смогла выявить пять отличных друг от друга цепочек эксплойтов iPhone, в основе которых лежат 14 уязвимостей. Обнаруженные цепочки использовались для взлома устройств, работающих под управлением программных платформ от iOS 10 до iOS 12. Специалисты Google уведомили Apple о своей находке и в феврале этого года уязвимости были исправлены.

Исследователь рассказал о том, что после проведения успешной атаки на пользовательское устройство происходило распространение вредоносного ПО, которое преимущественно использовалось для кражи информации и фиксации данных о местоположении устройства в реальном времени. «Инструмент слежения запрашивал команды с сервера управления и контроля каждые 60 секунд», — сообщил Ян Бир.

Он также отметил, что вредоносное ПО имело доступ к сохранённым пользовательским паролям и базам данных различных приложений обмена сообщениями, в том числе Telegram, WhatsApp и iMessage. Сквозное шифрование, используемое в подобных приложениях, способно защитить сообщения от перехвата, но уровень защиты значительно снижается, если злоумышленникам удаётся скомпрометировать конечное устройство.

«Учитывая объём похищенной информации, злоумышленники могут поддерживать постоянный доступ к разным учётным записям и службам, используя для этого украденные токены аутентификации даже после потери доступа к пользовательскому устройству», — предупреждает пользователей iPhone Ян Бир.   

Сотрудники AT&T брали взятки за установку вредоносного ПО в сети компании

По сообщениям сетевых источников, 34-летний гражданин Пакистана Мухаммед Фахд (Muhammad Fahd) обвиняется в даче взяток на сумму более $1 млн сотрудникам телекоммуникационной компании AT&T, работающим в офисах и центрах обработки вызовов в Сиэтле. Вместе со своим сообщником, который в настоящее время считается умершим, Фахд на протяжении нескольких лет давал взятки сотрудникам оператора связи за установку вредоносного ПО в сети компании, а также за разблокировку смартфонов.

Согласно данным Министерства юстиции США, в период с 2012 года по 2017 год злоумышленники путём подкупа сотрудников оператора связи осуществили разблокировку более 2 млн смартфонов, после чего их можно было использовать за пределами сети AT&T. В обвинении говорится о том, что из-за этого компания ежегодно теряла порядка $5 млн.   

По данным обвинения, Фахд подкупал сотрудников для установки вредоносного ПО, которое собирало конфиденциальную информацию и отправляло запросы на разблокировку смартфонов с использованием учётных данных действующих служащих компании через удалённый сервер. Кроме того, Фахд пытался установить новые контакты через уже подкупленных сотрудников. В заявлении говорится о том, что один из служащих AT&T в течение пяти лет получил взяток на общую сумму в $428 500.    

По требованию властей США Фахд был арестован в феврале 2018 года в Гонконге. На прошлой неделе его экстрадировали в США, где его ждёт судебное разбирательство. В скором времени он предстанет перед федеральным судом Сиэтла, где будет обвинён по 14 различным статьям. Вероятно, в конечном счёте пакистанский мошенник будет приговорён к внушительному тюремному сроку.  

Киберпреступники используют высокую популярность FaceApp в своих целях

Международная антивирусная компания ESET предупреждает о том, что сетевые злоумышленники используют в мошеннических целях высокую популярность мобильного приложения FaceApp.

Названная программа, разработанная российской компанией Wireless Lab, доступна в версиях для платформ Android и iOS. Она предназначена для высокореалистичных преобразований лиц на фотографиях, наложения на них различных эффектов, изменения стиля и пр. В основе работы лежит технология нейронной сети.

Недавно в FaceApp обновилась функция «состаривания» лиц, получившая большую популярность. Возросшим интересом к приложению сразу же воспользовались киберпреступники.

В частности, в Интернете появились поддельные версии FaceApp Pro, которые злоумышленники предлагают загрузить бесплатно. Для распространения таких программ создаются специальные фальшивые сайты. Поддельные версии FaceApp также замечены на видеохостинге YouTube и даже в официальном магазине приложений Google Play.

При попытке установить приложение появляется множество всплывающих окон. Невнимательность пользователя приводит к оформлению подписок на платные приложения или рекламу. Жертвы получают и запросы на получение уведомлений, которые также являются частью мошеннической схемы. 

Киберпреступники атакуют российские организации из сферы здравоохранения

«Лаборатория Касперского» выявила серию кибератак на российские организации, работающие в сфере здравоохранения: цель злоумышленников — сбор данных финансового характера.

Сообщается, что киберпреступники применяют ранее неизвестную вредоносную программу CloudMid со шпионской функциональностью. Зловред рассылается по электронной почте под видом VPN-клиента известной российской компании.

Важно отметить, что атаки носят целевой характер. Почтовые сообщения, содержащие вредоносную программу, получили лишь некоторые организации отдельных регионов.

Атаки были зафиксированы весной и в начале лета нынешнего года. Не исключено, что в скором времени злоумышленники организуют новую волну нападений.

После установки в системе CloudMid приступает к сбору документов, хранящихся на заражённом компьютере. Для этого, в частности, зловред делает снимки экрана несколько раз в минуту.

Эксперты «Лаборатории Касперского» обнаружили, что атакующие собирают с заражённых машин контракты, направления на дорогостоящее лечение, счета-фактуры и другие документы, которые так или иначе относятся к финансовой деятельности организаций здравоохранения. Эти сведения в дальнейшем могут использоваться для получения денег обманным путём. 

Кибергруппировка Buhtrap занялась шпионажем

Компания ESET сообщает о том, что киберпреступники, стоящие за организацией атаки Buhtrap, переключились на шпионскую деятельность, а жертвами злоумышленников становятся государственные и общественные организации в странах Восточной Европы и Центральной Азии.

Ещё весной 2015 года была раскрыта киберкампания «Операция Buhtrap» («ловушка для бухгалтера»), нацеленная на российский бизнес. Однако злоумышленники, стоящие за этой атакой, ведут свою деятельность как минимум с 2014 года.

В конце 2015-го группировка переключилась на банки и госучреждения. В качестве приманок использовались поддельные документы об изменении правил в банковской сфере, а также рекомендации Центробанка России.

А недавно компания ESET зафиксировала атаку с использованием уязвимости нулевого дня в компоненте win32k.sys операционных систем Windows. Использованное вредоносное ПО стремилось собрать пароли от почтовых клиентов и браузеров и переслать информацию на командный сервер злоумышленников. Программа также предоставляла своим операторам полный доступ к скомпрометированной системе.

Как оказалось, в ходе этой атаки применялся один из модулей стандартного загрузчика группировки Buhtrap. Кроме того, был задействован набор дропперов и загрузчиков, попадающих на устройства жертвы под видом легитимных программ.

Судя по всему, отмечает ESET, на данный момент целью группировки стал кибершпионаж за различными организациями. Такие атаки могут носить таргетированный характер, что повышает их эффективность. 

Вредоносное ПО TrickBot использовалось для взлома 250 млн почтовых ящиков

Сетевые источники сообщают о том, что вредоносное ПО TrickBot могло использоваться для кражи 250 млн учётных записей электронной почты, часть из которых принадлежит правительствам США, Великобритании и Канады. Данная вредоносная программа впервые была замечена в 2016 году, но до недавнего времени не использовалась для кражи учётных данных почтовых ящиков.

По данным компании Deep Instinct, которая работает в сфере информационной безопасности, TrickBot начал собирать учётные данные и контакты по электронной почте. Исследователи назвали новый инструмент вредоноса TrickBooster. Его использование предусматривает взлом учётных записей для рассылки вредоносных писем со спамом, после чего происходит удаление отправленных сообщений из папок «Исходящие» и «Корзина».  

В рамках недавнего расследования специалисты Deep Instinct обнаружили базу данных, в которой хранились данные о 250 млн скомпрометированных учётных записях электронной почты. В компании отмечают, что миллионы учётных записей принадлежат правительствам США, Великобритании и Канады. В базе данных содержится порядка 25 млн почтовых ящиков Gmail, а также 19 млн и 11 млн учётных записей Yahoo.com и Hotmail.com соответственно. Кроме того, значительную часть составляли записи пользователей почтовых сервисов AOL, MSN, Yahoo.co.uk и др.

Специалисты считают, что все эти почтовые ящики могут использоваться операторами TrickBot для распространения различного вредоносного ПО. В настоящее время специалисты Deep Instinct ещё не закончили собственное расследование, на основании которого можно будет более точно оценить масштабы распространения вредоноса TrickBot.

window-new
Soft
Hard
Тренды 🔥