Теги → вредоносное по
Быстрый переход

ESET: количество вредоносов для Android-банкинга выросло на 428 % в 2021 году

Количество выявленных в 2021 году вредоносных программы для Android-банкинга выросло на 428 % по сравнению с этим же показателем годом ранее. В пятёрку лидеров по активности угроз такого типа вошли Турция, Россия, Испания, Украина и Япония. Об этом пишет издание CNews со ссылкой на данные исследования компании ESET, работающей в сфере информационной безопасности.

 Источник изображения: Niek Verlaan / Pixabay

Источник изображения: Niek Verlaan / Pixabay

Источник отмечает, что вредоносы, нацеленные на пользователей устройств на базе Android, развиваются быстрее многих других видов вирусного программного обеспечения. При этом одним из источников распространения вредоносов такого типа является официальный магазин Play Маркет. В отчёте сказано, что в период с сентября по декабрь 2021 года количество загрузок вредоносного ПО с платформы Google превысило 300 тыс. скачиваний.

Согласно имеющимся данным, функциональные особенности многих вредоносов для Android-банкинга позволяют осуществлять кражу банковских данных жертв с целью совершения несанкционированных покупок, а также перевода денежных средств на сторонние счета. По мнению специалистов ESET, в 2022 году количество банковских вредоносов, нацеленных на пользователей Android-устройств, продолжит расти.

«Несмотря на обилие угроз, экосистема Android совершенствуется и предоставляет пользователям платформы более безопасную среду с высоким уровнем конфиденциальности. Однако в 2022 пользователям необходимо осознать, что во многих случаях им нужно самостоятельно позаботиться о личной кибербезопасности и внести некоторые изменения в настройки своего смартфона по умолчанию», — считает исследователь киберугроз ESET Лукас Стефанко.

В модифицированных сторонними разработчиками компонентах «1С» нашли вредоносный код

Компания RTM Group раскрыла мошенническую схему, с помощью которой в программные продукты разработчика «1С» встраивался вредоносный код, позволяющий в дальнейшем похищать данные пользователей.

 Источник изображения: Pixabay

Источник изображения: Pixabay

Не менее трети пользователей заказывают доработку таких модулей, как «Бухгалтерия», «Управление торговлей», «Управление фирмой» у сторонних программистов, которые могут встроить вредоносный код, позволяющий в момент проверки лицензионного ключа отправлять содержащиеся в модулях сведения о клиентской базе, платежах и потенциальных договорах на электронную почту, прописанную в коде. По словам специалистов RTM Group, вирус никак не отражается на работе программ, что затрудняет обнаружение проблемы.

Хотя RTM Group сообщила о десятках подобных случаев, в результате которых в основном пострадали компании из сферы торговли, а также дистрибуторы ПО, представитель «1С» сообщил «Коммерсанту», что у компании нет данных о подобных инцидентах. Он охарактеризовал описанную схему как технически несостоятельную ввиду того, что проверка лицензионности производится на уровне ядра системы, код которого закрыт.

Впрочем, в RTM Group сообщили, что материалы о случаях мошенничества были направлены в правоохранительные органы, которые сейчас проводят расследование. Поэтому есть надежда, что станет известно, кто говорит правду.

Вместе с тем представитель «1С» рекомендовал клиентам в случае необходимости доработки модулей обращаться к сертифицированным партнёрам, чтобы избежать возможных злоупотреблений.

В свою очередь, директор по стратегическим коммуникациям Infosecurity a Softline Company Александр Дворянский отметил, что подобные инциденты не всегда происходят злонамеренно, так как клиентами может использоваться стороннее или бесплатное ПО, находящееся в открытом доступе и уже имеющее в исходном коде вредоносную программу.

Microsoft обнаружила «деструктивное вредоносное ПО» в кибератаке на Украину

Специалисты корпорации Microsoft сообщили, что обнаружили «деструктивное вредоносное ПО» в системах, принадлежащих ряду государственных учреждений Украины, а также организаций, которые сотрудничают с властями страны.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

«Вредоносное ПО маскируется под программу-вымогатель, однако при активации организатором атаки приводит заражённую компьютерную систему в неработоспособное состояние. Мы публикуем эту информацию, чтобы помочь другим членам сообщества кибербезопасности обнаруживать эти атаки и защищаться от них», — говорится в официальном заявлении компании, которое приводит агентство Bloomberg.

Microsoft не удалось обнаружить каких-либо конкретных групп, которые могли бы стоять за атаками, однако анализ данных пока продолжается. Как уточнили в компании, впервые данное вредоносное ПО было обнаружено 13 января. Более того, в Microsoft уже предприняли меры для защиты от данной угрозы в дальнейшем.

«Мы уже разработали и развернули инструменты от этого вредоносного ПО в Microsoft 365 Defender Endpoint Detection и антивирусе, где бы эти продукты ни использовались: локально или в облаке. Мы пока не видим свидетельств того, что эти атаки используют какую-либо уязвимость в продуктах и сервисах Microsoft», — заключается в заявлении.

Напомним, в ночь на 14 января стали поступать сообщения о кибератаках на ресурсы украинских министерств образования и науки, аграрной политики и иностранных дел, недоступным также оказался сайт Государственной службы по чрезвычайным ситуациям. Неизвестные разместили на взломанных ресурсах сообщения на украинском, русском и польском языках.

Обнаружен неизвестный ранее бэкдор для Windows, macOS и Linux

Исследователи из компании Intezer, работающей в сфере информационной безопасности, обнаружили неизвестное ранее вредоносное программное обеспечение, которое не детектируется многими антивирусными инструментами. Вредонос, получивший название SysJoker, впервые был замечен на Linux-сервере «ведущего учебного заведения». Позднее им удалось выявить версии бэкдора для Windows и macOS.

 Источник изображения: Jeremy Brooks / flickr

Источник изображения: Jeremy Brooks / flickr

Открытие Intezer любопытно сразу по нескольким причинам. Прежде всего стоит отметить, что кроссплатформенное вредоносное ПО встречается достаточно редко. Также было установлено, что SysJoker написан с нуля и для обеспечения его работы использовалось четыре отдельных сервера управления и контроля, что говорит о высоком уровне подготовки и доступе к значительным ресурсам авторов вредоноса. Необычно и то, что ранее неизвестное вредоносное ПО для Linux было обнаружено используемым на практике. Анализ версий SysJoker для Windows и macOS показал, что вредоносное ПО предоставляет расширенные возможности бэкдора.

Исполняемый файл вредоноса имеет расширение .ts. После попадания на устройство жертвы вредонос маскируется под системное обновление. В сообщении сказано, что SysJoker написан на C++, и версии ПО для Linux и macOS не обнаруживаются системой поиска вредоносных программ VirusTotal. Специалисты Intezer считают, что SysJoker в настоящее время используется неизвестными злоумышленниками для шпионажа, а также не исключают, что в будущем он может помочь в распространении программ-вымогателей.

Хакеры из FIN7 распространяли USB-накопители с вредоносным ПО под видом подарков

Участники хакерской группировки FIN7 использовали почту США для отправки USB-накопителей с вредоносным программным обеспечением сотрудникам американских компаний, в том числе из оборонной и транспортной отраслей. Злоумышленники рассчитывают на доверчивость людей и то, что они будут использовать полученные в качестве подарка накопители на рабочих местах.

 Источник изображения: Christian Ohde / McPhoto / ullstein bild / Getty Images

Источник изображения: Christian Ohde / McPhoto / ullstein bild / Getty Images

Согласно имеющимся данным, чаще всего флешки с вредоносным ПО распространялись от имени Министерства здравоохранения США и некоторых социальных служб. Для большей убедительности злоумышленники снабжали посылки описанием содержимого накопителя, утверждая, что на нём хранятся важные данные касательно эпидемии коронавирусной инфекции и актуальные рекомендации для граждан. В некоторых случаях вредоносные USB-накопители доставлялись в декоративной подарочной упаковке, как если бы они были отправлены через Amazon, и дополнялись поддельными благотворительным письмом и подарочной картой.

По данным ФБР, эта схема использовалась хакерами несколько месяцев, а первые подобные посылки были обнаружены ещё в августе прошлого года. Что касается группировки FIN7, то ей за время существования приписывают кражу не менее $1 млрд с помощью разных схем и вредоносного ПО. Источник отмечает, что хакеры не первый раз используют подобные схемы внедрения вредоносных программ в инфраструктуру компаний. Группировка FIN7 также в прошлом использовала подобную схему, доставляя жертвам посылки с поддельными подарочным сертификатом, мягкой игрушкой и USB-накопителем с бэкдором Griffon, позволяющим взять под контроль заражённый компьютер.

Хакеры стали активнее атаковать системы Mac

В прошлом году появилось сразу несколько образцов вредоносных программ для macOS, которые в очередной раз продемонстрировали, что операционные системы Apple хоть и обладают более высокой степенью защиты от атак, чем Windows, не являются неуязвимыми. Шестой год подряд исследователь безопасности Патрик Уордл (Patrick Wardle) публикует список всех новых вредоносных программ для Mac, появившихся за год. В 2021 году он пополнился восемью новыми позициями.

 Источник изображения: Alberto Garcia Guillen / Shutterstock

Источник изображения: Alberto Garcia Guillen / Shutterstock

Список Уордла предназначен для того, чтобы дать специалистам по безопасности более полное понимание вредоносных программ, нацеленных на macOS. Исследователь определяет методы заражения, механизмы установки, назначение и другие характеристики вредоносного ПО. Его работа особо важна на фоне того, что, согласно опросам, использование устройств Apple организациями выросло на 76 %.

Согласно данным Уордла, в 2021 году появилось восемь новых образцов вредоносных программ, нацеленных на macOS. Среди них ElectroRAT, кроссплатформенный троян удалённого доступа, впервые замеченный в январе прошлого года; Silver Sparrow — инструмент, нацеленный непосредственно на чип Apple M1; кроссплатформенный похититель паролей XLoader и OSX.CDDS или MacMa — шпионское ПО, создание которого приписывают государственным структурам. Каждый из вирусов был обнаружен различными компаниями, специализирующимися на кибербезопасности.

Другими вредоносными продуктами, описанными Уордлом в списке за 2021 год, стали XcodeSpy, нацеленная на разработчиков Xcode с помощью бэкдора под названием EggShell; инструмент для майнинга криптовалюты ElectrumStealer, который Apple непреднамеренно подписала цифровой подписью; WildPressure, кроссплатформенный бэкдор Python, обнаруженный «Лабораторией Касперского» и ZuRu — инструмент для кражи данных, который распространялся через рекламные результаты поиска в китайском поисковике Baidu.

Таким образом, обнаруженные в 2021 году вредоносные программы для macOS можно разделить на несколько категорий: криптомайнеры, загрузчики рекламного ПО, похитители данных и трояны.

Исследователи безопасности отмечают, что до сих пор бытует ошибочное представление о том, что компьютеры Mac практически не подвержены заражению вредоносным ПО в отличие от машин с Windows. У компьютеров Apple действительно есть некоторые преимущества в плане безопасности, однако в последнее время они становятся малозначимыми. Это связано с тем, что вредоносное ПО всё чаще нацелено на браузер, а не на операционную систему. Злоумышленники всё чаще создают кроссплатформенные приложения, независимые от ОС.

По словам исследователей безопасности, в 2021 году злоумышленники продемонстрировали свою осведомлённость в структуре macOS и приложили гораздо больше усилий для создания вредоносного ПО, нацеленного на устройства Apple. Они активно искали уязвимости нулевого дня и успешно их эксплуатировали. Отмечается, что эта тенденция требует от организаций большего внимания к компьютерам на macOS. Команды занимающиеся кибербезопасностью должны начать приводить свои технические знания о платформах Apple в соответствие со знанием других платформ, чтобы уметь выявлять злонамеренное поведение и атаки.

Google временно отключила один из крупнейших в истории ботнетов

Google доложила о нейтрализации огромной сети компьютеров, заражённых вредоносом под названием Glupteba. По оценкам компании, ему удалось заразить около миллиона Windows-ПК по всему миру, что делает данный ботнет одним из крупнейших за всю историю.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

Ботнетом называется сеть из компьютеров или подключённых к интернету устройств, заражённых вредоносным ПО, которое контролируется одним оператором. В случае с Glupteba, утверждает Google, удалось установить причастность к инциденту как минимум двух россиян. Компания подала против них судебный иск, чтобы «создать прецедент, юридические риски для операторов ботнетов, а также помочь предотвратить будущую активность».

Google установила, что ежедневно в сети появлялись 1000 новых устройств. Заражение происходило на сайтах, предлагавших бесплатное ПО. Операторы Glupteba использовали ботнет для кражи персональных данных, майнинга криптовалют и перенаправления трафика через заражённые машины. Было заблокировано более тысячи аккаунтов Google, которые использовались для распространения Glupteba.

Для нейтрализации угрозы Google плотно сотрудничала с провайдерами, благодаря чему удалось на какое-то время нейтрализовать работу вредоносной сети. Для защиты от полного отключения разработчики Glupteba использовали технологию блокчейна: при отсутствии команды от оператора использовались данные, закодированные в блокчейне биткоина, — в них содержались инструкции по повторному подключению. Google уточнила, что такое решение становится все более распространенным среди разработчиков вредоносного ПО, поскольку даже после серьёзных сбоев блокчейн позволяет ботнетам довольно быстро восстанавливаться.

Новый софт для кражи данных из банковских приложений элегантно обходит защиту Google Play

Эксперты по информационной безопасности компании Threat Fabric выявили в Google Play 12 приложений, способных обойти механизмы защиты маркетплейса и красть банковские данные пользователей после установки. Загрузка вредоносного компонента осуществляется с августа по ноябрь в отдельных регионах, в число которых входит и Россия. Под удар попали приложения крупнейших российских банков.

 Источник: threatfabric.com

Источник: threatfabric.com

По имеющимся данным, целями вредоносного ПО могут стать приложения Сбербанка, Тинькофф-банка, Почта-банка, ОТП-банка и «Уралсиба». Обратить внимание стоит в первую очередь на программы, выполняющие функции сканеров документов и QR-кодов, но список ими не исчерпывается. Риску потери банковских данных подвержены не только пользователи сканеров. Уже известно, что сходные механизмы применяются и в другом софте, например — предназначенном для тренировок.

Россия, наряду с США, Великобританией и другими государствами, попала «под прицел» группы приложений Anatsa. Примечательно, что вредоносное ПО вполне способно выполнять заявленные функции, причём программы получают многочисленные положительные отзывы в Google Play. Известно, что приложения семейства Anatsa установлены более 200 тыс. раз, а самым популярным из них является сканер QR-кодов, изданный QrBarBode LDC. Используются и другие вредоносы — Alien, ERMAC и Hydra, но в России они фактически не применялись.

 Источник: threatfabric.com

Источник: threatfabric.com

Установка вирусного компонента происходит выборочно — после загрузки приложение проверяет необходимость установки вредоносного ПО. В случае, если это целесообразно, пользователю приходит сообщение о необходимости установить обновление и разрешить установку неизвестных приложений.

Вместо обновления владелец устанавливает вредоносный софт, который, с согласия владельца смартфона, получает полный доступ к управлению гаджетом. Необычный механизм загрузки отдельно от главного приложения и позволяет обойти защиту Google Play.

Разработчики уже создают вредоносный софт на новом эксплойте, позволяющем стать администратором в любой актуальной Windows

Создатели вредоносных программ уже разрабатывают инструменты со свежим эксплойтом, использующим уязвимость нулевого дня, о котором на днях публично сообщил исследователь безопасности Абдельхамид Насери (Abdelhamid Naceri). Джейсон Шульц (Jaeson Schultz), технический руководитель подразделения Cisco Talos Security Intelligence & Research Group сообщил, что его команда обнаружила первые образцы вредоносного ПО, которые пытаются воспользоваться новой уязвимостью.

 Источник изображения: BleepingComputer

Источник изображения: BleepingComputer

Руководитель отдела по связям с общественностью Cisco Talos Ник Биазини (Nick Biasini) говорит, что эти попытки использования уязвимости являются частью небольших атак, которые, вероятно, направлены на тестирование и настройку инструментов взлома, а не на проведение полномасштабных кампаний. По его словам, это очередное свидетельство того, как быстро злоумышленники работают, чтобы превратить общедоступный эксплойт в оружие.

Напомним, что обнаруженная Насери уязвимость позволяет получить системные привилегии самого высокого уровня на компьютерах, работающих под управлением всех поддерживаемых версий Windows 10, Windows 11 и Windows Server. Используя эту уязвимость злоумышленники с ограниченным доступом к скомпрометированным системам могут легко повысить свои привилегии, чтобы получить полный контроль над компьютером жертвы. Сам Насери заявляет, что лучший и единственный путь устранения уязвимости — дождаться выпуска исправления безопасности Microsoft.

Хакеры в США заработали на программах-вымогателях почти $600 млн в первой половине 2021 года

Банки и другие финансовые учреждения США сообщили о транзакциях на сумму почти $600 миллионов, предположительно направленных хакерам в качестве выплат за избавление от программ-вымогателей в первой половине 2021 года. Согласно отчёту Министерства финансов США, это больше, чем было выплачено за весь 2020 год.

 unian.net

unian.net

Официальные лица говорят, что данные основаны на так называемых «отчётах о подозрительной деятельности», которые финансовые компании обязаны предоставлять. Показатели подчёркивают растущую угрозу, которую представляют кибератаки. Министерство финансов США опубликовало отчёт вместе с новой инструкцией с мерами, которые компании должны предпринять для защиты от атак программ-вымогателей. Невыполнение этих мер, которые публично не разглашаются, может привести к наложению на компании штрафов и других санкций.

 wsj.com

wsj.com

Власти США акцентируют внимание на том, что хакеры, которые стоят за программами-вымогателями — это преступники, деятельности которых способствуют пробелы в режимах соблюдения требований в глобальной экосистеме безналичной валюты. Казначейство помогает остановить атаки программ-вымогателей, затрудняя преступникам получение прибыли от своей деятельности. Однако, по словам заместителя министра финансов США, государственные органы нуждаются в сотрудничестве с частным сектором для предотвращения незаконной деятельности.

Вредонос GriftHorse заразил более 10 млн устройств на базе Android — он распространялся через Play Маркет

Специалисты компании Zimperium, работающей в сфере информационной безопасности, обнаружили массовую кампанию по распространению вредоносного программного обеспечения, которая нацелена на пользователей Android-устройств. Речь идёт о вирусе GriftHorse, который распространяется под видом безобидных приложений через Play Маркет и сторонние магазины, и успел заразить свыше 10 млн устройств в более чем 70 странах.

 Изображение: Zimperium

Изображение: Zimperium

Согласно имеющимся данным, GriftHorse подписывает своих жертв на платные SMS-сервисы. После попадания на устройство жертвы вредонос начинает буквально засыпать пользователя всплывающими окнами и уведомлениями, предлагая разные призы и пытаясь заинтересовать заманчивыми предложениями. Если пользователь нажимает на такое всплывающее окно, то вредонос перенаправляет его на отдельную веб-страницу, где предлагается ввести номер своего телефона для получения доступа к приложению. На самом же деле, на этом этапе жертва оформляет подписку на платные SMS-услуги, стоимость некоторых из которых превышает $35 в месяц. Полученные таким образом средства оседают в карманах операторов GriftHorse.

Сотрудники Zimperium, которые отслеживали GriftHorse в течение нескольких месяцев, описывают связанную с ним вредоносную кампанию, как одну из наиболее масштабных среди тех, что специалисты отследили в этом году. Отмечается, что вредонос является качественным продуктом, который использует множество сайтов, приложений и личностей разработчиков для маскировки своей деятельности. Предполагается, что в настоящее время доход операторов GriftHorse составляет от $1,5 до $4 млн ежемесячно. Представители Zimperium связались с Google и сообщили о проблеме GriftHorse, после чего связанные с вредоносом приложения были удалены из магазина Play Маркет.

Хакеры из FIN7 стали рассылать вредоносные файлы Word для кражи данных с Windows-компьютеров

Известная киберпреступная группировка FIN7 организовала новую кампанию по распространению вирусов, основанную на любопытстве жертв и их интересе к новой платформе Windows 11. Злоумышленники рассылают несколько заражённых Word-файлов, запуск которых приводит к загрузке в систему вредоносного программного обеспечения, позволяющего красть данные жертв.

 Изображение: HotHardware

Изображение: HotHardware

Предполагается, что злоумышленники рассылают вредоносные Word-файлы с июня этого года. Примерно в это же время Microsoft выпустила первую тестовую сборку Windows 11, из-за чего интерес к новой операционной системе был на высоком уровне. Злоумышленники решили воспользоваться этим, распространяя вредоносные файлы, которые якобы созданы в Windows 11. Способ распространения таких файлов не раскрывается, но, вероятнее всего, для этого используются фишинговые почтовые рассылки.

При запуске такого файла пользователю предлагается разрешить редактирование и выполнение содержимого, что не должно вызывать подозрения. Однако эти простые действия приведут к запуску макроса, подгружающего JavaScript-бэкдор, который FIN7 успешно использует как минимум с 2018 года. После загрузки бэкдора хакеры могут доставлять в систему другое вредоносное ПО, в зависимости от поставленных целей. Эта тактика является весьма успешной, поскольку FIN7 приписывают кражу данных более 15 млн платёжных карт и нанесённый материальный ущерб примерно в $1 млрд.

 Изображение: Anomali

Изображение: Anomali

Согласно имеющимся данным, группировка FIN7 действует в течение последних шести лет и в основном нацелена на пользователей из США. Источник отмечает, что в 2018 году правоохранительным органам удалось арестовать трёх членов группировки, а также один «высокопоставленный организатор» был задержан в апреле этого года. Несмотря на это, группировка продолжает действовать.

Во многих дешёвых кнопочных телефонах нашли вредоносное ПО, предустановленное производителями

Зачастую пользователи относятся к кнопочным телефонам как к гораздо более безопасным устройствам, чем смартфоны. Всё же сотовые телефоны поставляются с закрытым ПО и предлагают крайне скромных набор функций и интерфейсов, так что заразить их вирусом сложнее. Однако автор с ником ValdikSS с «Хабра» провёл исследование, в рамках которого выяснил, что «звонилки» нередко поставляются с предустановленным вредоносным ПО.

 habr.com

habr.com

Исследователь решил протестировать пять максимально отличающихся между собой мобильных телефонов. Устройства от разных производителей и основаны на разных платформах. Все протестированные телефоны доступны на российском рынке. Это Inoi 101 на базе чипсета RDA826, стоимостью 600 рублей, DEXP SD2810 с чипом SC6531E, стоимостью 699 рублей, Itel it2160 на базе MT6261, который можно приобрести в российской рознице за 799 рублей, Irbis SF63 с чипсетом SC6531DA, который предлагают по 750 рублей, и F+ Flip 3 на том же чипсете, цена которого достигает 1499 рублей. Как оказалось, только на одном из устройств не был предустановлен вредоносный софт.

 Inoi 101

Inoi 101

Исследователь протестировал все приобретённые им устройства при помощи профессионального оборудования и специализированного ПО. Забавно, но «чистым» оказался самый доступный телефон. Inoi 101 не содержит вредоносных функций и не доставляет владельцу неприятностей в виде отправки платных сообщений.

 Itel it2160

Itel it2160

С остальными протестированными телефонами ситуация обстоит гораздо хуже. Itel it2160 сообщает о своей продаже через интернет, не ставя пользователя в известность. Телефон передаёт такие данные, как IMEI, страна, где активирован телефон, модель устройства, версия прошивки, используемый язык, время активации и идентификатор базовой станции. В свою очередь F+ Flip 3 не способен соединяться с интернетом, однако о факте продажи он сообщает через SMS, отсылая IMEI и IMSI.

 F+ Flip 3

F+ Flip 3

DEXP SD2810 особо опасен для пользователей. Устройство хоть и не содержит браузера, но подключается к интернету через GPRS, без предупреждения сообщая о продаже. Телефон передаёт IMEI и IMSI, отправляет платные SMS на короткие номера и выполняет команды сомнительного сервера, получаемые в ответ на эти SMS. И всё это прямо из коробки! Похожим набором вредоносных функций может похвастаться и скромный на вид Irbis SF63. Телефон сообщает о продаже через интернет, передаёт зашифрованные данные на сомнительный сервер и выполняет полученные от него команды. Известны случаи, когда «звонилки» воровали номер телефона для регистрации аккаунтов в социальных сетях.

 DEXP SD2810

DEXP SD2810

Исследователь заявляет, что в сложившейся ситуации виноваты прежде всего бренды, под которыми продаются телефоны. Они, зачастую, заказывают разработку программного и аппаратного обеспечения у OEM-производителей. Те, в свою очередь, готовы внедрить в устройство сомнительные функции за дополнительную оплату от третьей стороны. К сожалению, регуляторам нет дела до ПО телефона. Минцифры проверяет только сертификацию продукции на соответствие мировым и российским стандартам связи.

 Irbis SF63

Irbis SF63

Единственный способ перестраховаться при покупке кнопочного телефона — приобрести устройство мирового бренда. Телефоны Nokia, например, не содержат вредоносного ПО, однако их цена, зачастую, в 2-4 раза превышает стоимость какого-нибудь DEXP.

Вредонос XCSSET продолжает атаковать макбуки и крадёт данные из разных приложений

Стало известно, что вредоносное программное обеспечение XCSSET, которое изначально использовалось для атак на разработчиков софта для macOS, научилось красть данные из множества приложений. Об этом пишет издание CNews со ссылкой на данные исследования компании Trend Micro, работающей в сфере информационной безопасности.

 Изображение: CNews

Изображение: CNews

Для распространения XCSSET злоумышленники используют инъекции вредоносного кода в локальные проекты Xcode по разработке ПО для платформы macOS. Функционировать вредонос начинает сразу после компиляции проекта. В сообщении отмечается, что XCSSET развивается и получает новые функции, такие как возможность кражи данных из Telegram и паролей из Google Chrome.

В процессе функционирования вредонос создаёт архив telegram.applescript в папке keepcoder.Telegram в Group Containers. Оказалось, что достаточно скопировать весь каталог ~/Library/GroupContainers/6N38VWS5BX.ru.keepcoder.Telegram с одного компьютера Mac на другой, чтобы при запуске клиента Telegram на втором устройстве пользователь уже был авторизован с данными с первого компьютера. Это позволяет злоумышленникам перехватывать контроль над учётными записями и соответствующими чатами.

«В macOS папка «песочницы» для приложений — ~/Library/Containers/com.xxx.xxx и ~/Library/GroupContainers/com.xxx.xxx — доступна обычным пользователям с правами на чтение и запись. Этим она отличается от практики на iOS. Не все исполняемые файлы в macOS изолируются, а это означает, что простой скрипт может украсть все данные, хранящиеся в папке «песочницы». Разработчикам приложений мы рекомендуем воздержаться от хранения важных данных в папке «песочницы», особенно тех, что связаны с логинами», — говорится в сообщении Trend Micro.

Что касается методики кражи паролей из Google Chrome, то она предполагает получение ключа безопасности хранения (Safe Storage Key), который находится в пользовательской связке ключей. С помощью приёмов социальной инженерии злоумышленники могут выманить у жертвы административные привилегии, которые позволят расшифровать все хранящиеся в Chrome пароли. В арсенале XCSSET также имеются скрипты для кражи данных из приложений «Контакты», «Заметки», Evernote, Opera, Skype и WeChat. Также специалисты обнаружили модуль для атаки межсайтового скриптинга на браузер Chrome Canary.

Появился опасный вирус MosaicLoader, который охотится на любителей пиратских игр

Компания Bitdefender недавно опубликовала технический документ с подробным описанием нового вредоносного ПО, названного MosaicLoader. Оно доставляется на компьютеры жертв через загрузчики, которые пользователи, по-видимому, находят при поиске пиратских программ и игр.

 pcworld.com

pcworld.com

Главной особенностью MosaicLoader является схема его маскировки. Вирус имеет сложную внутреннюю структуру, направленную на то, чтобы сбить с толку антивирусное ПО и экспертов по кибербезопасности. Он создаёт локальные исключения в Защитнике Windows для определённых имён файлов, чтобы он не предпринимал никаких действий, когда эти файлы начнут представлять опасность.

 pcworld.com

pcworld.com

Как и множество других вредоносных программ, MosaicLoader имитирует файловую информацию из реально существующего ПО. Вирус пытается запутать свой код, разделяя его на меньшие фрагменты и меняя порядок выполнения. После установки в системе MosaicLoader может нанести любой ущерб, начиная от кражи файлов Cookie и попыток взлома страниц пользователя в социальных сетях, и заканчивая установкой ПО для майнинга криптовалют. В целом, вирус является своего рода «порталом» для доставки на компьютер пользователя самого разного вредоносного ПО.

В данный момент нет способов полностью обезопасить свой компьютер от MosaicLoader. Однако отказ от пиратского ПО значительно снизит вероятность подхватить вирус.

window-new
Soft
Hard
Тренды 🔥
Xbox отказалась от лицензии на «Человека-паука», что позволило PlayStation забрать эксклюзивность себе 43 мин.
Следующий фестиваль игр по Warhammer пройдёт в начале июня — обещают анонсы по Warhammer 40,000: Space Marine 2 и Darktide 2 ч.
Поддержка трофеев в рамках PS Plus подтверждена ещё для нескольких классических игр, включая Ape Escape и Wild Arms 2 ч.
Авторы Sniper Elite 5 раскрыли системные требования и рассказали про стелс в игре 3 ч.
Демоверсия вдохновлённого The Legend of Zelda экшена XEL стала доступна для скачивания в Steam 3 ч.
Take-Two завершила приобретение Zynga за $12,7 млрд — пока что это самая крупная сделка в истории видеоигр 4 ч.
Instagram создала эксклюзивные шрифты Instagram Sans — они позволят отличить Reels от TikTok 4 ч.
Студия-разработчик последних Deus Ex могла выпустить свою Final Fantasy XV, но Square Enix передумала 4 ч.
Видео: список целевых платформ и отрывки игрового процесса в новом трейлере экшен-приключения I, the Inquisitor 5 ч.
Clearview AI оштрафовали на $9,5 млн и обязали удалить данные жителей Великобритании 7 ч.
AMD подарит покупателям Radeon RX 6000 игры Saints Row и Sniper Elite 5 37 мин.
Поставщиком фронтальных камер для iPhone 14 впервые станет южнокорейская LG Innotek 46 мин.
Учёные выяснили, что радиационный фон может влиять на ПЛИС, но защититься довольно просто 2 ч.
Oppo представила серию смартфонов Reno8 с чипами Snapdragon 7 Gen 1, Dimensity 1300 и 8100 Max 2 ч.
Huawei представила недорогой 23,8-дюймовый монитор MateView SE с режимом электронной книги 2 ч.
Huawei представила тонкие ноутбуки MateBook D16, MateBook 14 и MateBook D14 на базе Intel Alder Lake 2 ч.
Intel построит за $700 млн огромную лабораторию для разработки систем охлаждения для ЦОД будущего 4 ч.
MediaTek представила 6-нм процессоры Dimensity 1050, Dimensity 930 и Helio G99 для смартфонов среднего уровня 4 ч.
Kingston представила IronKey Vault Privacy 80 — внешний SSD с сенсорным экраном и криптографической защитой 5 ч.
MediaTek анонсировала чипы Wi-Fi 7 для корпоративных и потребительских продуктов 5 ч.