Миллионы смартфонов по всему миру поставляются с вредоносами в прошивке прямо с заводов, сообщили эксперты компании Trend Micro на конференции Black Hat Asia. В первую очередь речь идёт о недорогих мобильных устройствах под Android, хотя их догоняют смарт-телевизоры, смарт-часы и другие гаджеты.

Источник изображения: Gerd Altmann / pixabay.com

Выпуск мобильных устройств бренды часто делегируют подрядчикам — OEM-производителям. Зачастую участвующие в этой схеме разработчики прошивок заражают их вредоносным кодом перед отправкой — об этой угрозе известно не первый год, но эксперты Trend Micro характеризуют её как «растущую проблему для рядовых пользователей и предприятий». Установка вредоносного кода сравнима с занесением в корень дерева инфекции, которая потом распространяется по всему стволу, до последней ветки и листика.

Внедрение вредоносов началось, когда рухнули цены на прошивки для мобильных телефонов. Конкуренция стала настолько яростной, что в какой-то момент прошивки стали предлагать бесплатно. Но ничего бесплатного, конечно, не бывает, и распространилась практика установки так называемых тихих плагинов. Эксперты Trend Micro проанализировали несколько десятков образцов прошивок в поисках вредоносного кода и обнаружили более 80 таких плагинов: некоторые из них продавались по закрытым каналам, а другие — открыто через соцсети и блоги.

Вредоносное ПО позволяет перехватывать SMS-сообщения, взламывать соцсети и мессенджеры, а также производить монетизацию с помощью рекламы и мошеннических схем с кликами. Злоумышленники получают доступ к данным о нажатиях клавиш на устройствах, географическом положении пользователей, их IP-адресах и прочей информации. Иногда устройства становятся прокси-серверами — выходными узлами, которые арендуются на срок до 1200 секунд.

По подсчётам исследователей, число таких заражённых устройств измеряется миллионами, а больше всего их в Юго-Восточной Азии и Восточной Европе — и сами преступники говорят о 8,9 млн единиц. Источник угрозы авторы доклада напрямую не указали, но предложили аудитории самостоятельно подумать, где находится большинство OEM-производителей и сделать выводы. Вредоносное ПО было обнаружено на устройствах как минимум 10 поставщиков, и ещё около 40 находятся в зоне риска. А способ защититься от угрозы достаточно простой: рекомендуется придерживаться продукции крупных брендов, хотя и это не может быть гарантией безопасности.

ФБР опубликовало адресованное пользователям смартфонов и других мобильных устройств предостережение с призывом воздержаться от использования бесплатных зарядных станций, установленных в общественных местах. По сведениям ведомства, многие из этих устройств могут быть подконтрольны мошенникам и киберпреступникам — подключение смартфона, планшета или ноутбука может привести к их заражению вредоносным ПО.

Источник изображения: twitter.com/FBIDenver

«Избегайте использования бесплатных зарядных устройств в аэропортах, гостиницах или торговых центрах. Злоумышленники нашли возможность использовать общедоступные USB-порты для загрузки вредоносного и шпионского ПО на устройства. Вместо этого носите с собой собственное зарядное устройство с USB-кабелем и подключайте его к розетке», — говорится в заявлении ведомства.

Рекомендации ведомство опубликовало на своём сайте. В материалах не говорится о каких-либо конкретных инцидентах, связанных с причинением ущерба потребителям при использовании публичных зарядных устройств. В офисе ФБР в Денвере заявили, что публикация носит рекомендательный характер, и никакой конкретный инцидент для этого поводом не послужил.

Тем не менее, Федеральная комиссия по связи (FCC) США ранее заявила, что схема со взломом гаджетов через общедоступные зарядные устройства и последующей загрузкой вредоносного ПО (juice jacking) известна с 2021 года. Это ПО перехватывает регистрационные данные пользователей, связанные с различными сервисами — FCC также рекомендовала пользователям избегать подключения телефонов и других гаджетов к общественным зарядным устройствам.

С момента запуска ИИ-бот ChatGPT успели испытать на решении широкого круга задач: она не только отвечает на вопросы, но также пишет технические статьи, эссе, стихи и компьютерный код. Как оказалось, на последнее следует обратить пристальное внимание, потому что этот код может быть вредоносным, если такую задачу ставит перед искусственным интеллектом пользователь.

Источник изображения: Moritz Erken / unsplash.com

Эксперты по кибербезопасности компании Check Point Research опубликовали доклад, в котором рассказали, как участники хакерских форумов используют ChatGPT для написания вредоносного кода и фишинговых электронных писем — некоторые из этих людей имеют небольшой опыт в программировании или вообще его лишены. В одном из приведённых примеров описывается скрипт на языке Python, который при некоторой доработке можно превратить в программу-вымогатель, способную шифровать данные на компьютере пользователя. Ещё один созданный ChatGPT скрипт на Python производит поиск файлов заданного типа, например, PDF, на локальной машине, осуществляет их сжатие и отправку на сервер потенциального злоумышленника — это стандартный сценарий кражи информации.

На языке Java нейросеть создала код, который производит скрытую загрузку SSH- и telnet-клиента PuTTY для последующего запуска интерфейса PowerShell. В другом примере написанный ChatGPT скрипт предназначался для запуска торговой онлайн-площадки, на которой производится покупка или обмен скомпрометированных учётных записей, данных банковских карт, вредоносных программ и прочих виртуальных товаров, которые продаются в даркнете. Скрипт подключался к стороннему интерфейсу для получения актуальных данных о котировках наиболее популярных криптовалют для упрощения расчётов.

Исследователи Check Point Research и сами попытались использовать нейросеть для моделирования хакерской атаки — ИИ «не подвёл». Бот любезно сочинил им убедительное фишинговое письмо, в котором сообщалось о блокировке аккаунта у одного из хостеров и предлагалось открыть вложенный файл Excel. С нескольких попыток ChatGPT написал и встроенный в этот файл вредоносный VBA-макрос. Но куда более мощным инструментом оказалась специализированная ИИ-система генерации кода Codex, с которой исследователи получили целый комплект вредоносов: интерфейс Reverse Shell и скрипты сканирования портов, обнаружения песочницы, а также компиляции кода на Python в исполняемый файл Windows.

Специалисты по информационной безопасности, работающие в рамках инициативы Google Android Partner Vulnerability Initiative (APVI), обнаружили случаи использования легитимных сертификатов для подписи вредоносных приложений для устройств на базе Android. Обычно такие сертификаты или ключи платформы используются производителями устройств для подписи системных приложений.

Источник изображений: Bleeping Computer

«Сертификат платформы — это сертификат подписи приложения, используемый для подписи приложения «android» в образе системы. Приложение «android» запускается с идентификатором пользователя с высокими привилегиями — android.uid.system — и имеет системные разрешения, включая разрешение на доступ к данным пользователя. Любое другое приложение, подписанное тем же сертификатом, может работать с таким же идентификатором пользователя, что предоставляет ему такой же уровень доступа к операционной системе Android», — рассказал Лукаш Сиверски (Lukasz Siewirski), один из участников инициативы APVI.

Исследователь обнаружил несколько образцов вредоносного ПО, которые были подписаны с помощью десяти сертификатов, а также предоставил SHA256-хэши для каждого из них. Согласно имеющимся данным, некоторые из сертификатов принадлежат Samsung, LG и MediaTek. На данный момент нет информации относительно того, как сертификаты для подписи системных приложений попали в руки злоумышленников. Также нет информации о том, где были обнаружены образцы вредоносного ПО, поэтому нельзя исключать того, что исследователь нашёл их в магазине цифрового контента Play Маркет.

Названия пакетов 10 приложений, которые были подписаны скомпрометированными сертификатами

С помощью поиска опубликованных исследователем хэшей по базе VirusTotal удалось обнаружить некоторые вредоносы, подписанные сертификатами упомянутых компаний. Google уведомила партнёров, которых затрагивает данная проблема, и порекомендовала сменить сертификаты, используемые для подписи легитимных приложений.

Google выпустила Android 13 в середине этого месяца, а хакеры уже научились обходить новые ограничения операционной системы, направленные на повышение безопасности. Группа исследователей в сфере информационной безопасности обнаружили вредоносную программу, которая использует новую технику для обхода ограничения на использование служб специальных возможностей загруженными приложениями.

Источник изображения: androidpolice.com

Android 13 не позволяет загруженным приложениям запрашивать доступ к службам специальных возможностей. Такой запрет введён из-за того, что вредоносное ПО зачастую запрашивает такие разрешения и невнимательные пользователи их предоставляют. В Android 13 пользователи могут самостоятельно предоставить соответствующие разрешения каким-либо приложениям в меню настроек.

Специалисты из ThreatFabric сообщили, что хакерская группировка Hadoken создала эксплойт на основе старых вредоносных программ, который успешно обходит ограничения Android 13 и использует службы специальных возможностей для кражи конфиденциальной информации с устройств жертв. Атака проходит в два этапа, на первом из которых на устройство жертвы загружается программа, не вызывающая подозрения, но в дальнейшем именно она подгружает второй вредонос, который обходит ограничения и запрашивает разрешение на доступ к службам специальных возможностей.

Если пользователь предоставляет запрашиваемое разрешение, то вредонос получает возможность перехвата сообщений и звонков, а также сбора другой конфиденциальной информации. Специалисты отметили, что на данном этапе обнаруженный зловред имеет немало ошибок в коде, что не соответствует уровню группировки Hadoken, которые выявлялись в прошлом. Это означает, что вредоносное ПО находится на стадии разработки, и хакеры тестируют его для оптимизации кода.

Российская компания «Доктор Веб» анонсировала облачный сервис Dr.Web FixIt!, предназначенный для дистанционной диагностики инцидентов в области информационной безопасности и устранения их последствий.

Источник изображений: «Доктор Веб»

Принцип работы системы сводится к следующему. Сначала генерируется специальная диагностическая утилита FixIt! для выявления следов присутствия вредоносных программ на компьютере. На основе полученных данных выполняется диагностика, и в случае обнаружения зловредов создаётся лечащая программа FixIt!, которая устраняет последствия заражения.

В отличие от десктопных программ со схожими функциями, Dr.Web FixIt! представляет собой комбинацию веб-сервиса и специального исполняемого модуля, который изначально собирает информацию. Затем полученные данные обрабатываются в облаке. Как на момент сбора, так и при анализе данных используются собственные разработки компании «Доктор Веб».

Та часть Dr.Web FixIt!, которая работает в виде веб-сервиса, помогает оператору найти проблему, используя базу знаний, построенную на обширном опыте анализа вирусов. После чего исполняемый модуль занимается лечением обнаруженных проблем.

«В отличие от продуктов, предназначенных для обнаружения уже известных (или похожих на известные) вредоносных программ с помощью вирусных баз, Dr.Web FixIt! позволяет выявлять новейшее вредоносное ПО, а также программы, используемые для целевых атак и не выявляемые никакими иными инструментами», — отмечает «Доктор Веб».

В качестве основных пользователей сервиса названы команды специалистов, ответственных за мониторинг безопасности и реагирование на инциденты. Кроме того, Dr.Web FixIt! будет полезен и таким компаниям, где квалификация системных администраторов не позволяет грамотно анализировать компьютерные инциденты, связанные с работой вредоносных программ. В случае необходимости специалисты компании «Доктор Веб» помогут проанализировать информацию, полученную с помощью новой системы.

Сервис лицензируется по числу задач: приобрести Dr.Web FixIt! можно пакетами по 1, 10, 20, 50 или 100 задач. Срок лицензии составляет 1 год.

Пользователи крупнейшего репозитория программного обеспечения с открытым исходным кодом GitHub обнаружили свыше 35 тыс. клонов популярных библиотек, заражённых вредоносным ПО. Об этом пишет «Коммерсант» со ссылкой на разработчика софта Стивена Лейси, который первым сообщил о проблеме и назвал её «широко распространённой атакой вредоносного ПО».

Источник изображения: Pixabay

Представители международного сообщества считают инцидент опасным, поскольку пользователи без верификации продуктов могут не отличить копию кода от его оригинала и, использовав вредоносные библиотеки, заразить свои системы. Также отмечается, что появление подобного кода мешает пользователям получать обновления и существенно снижает развитие собственных продуктов на базе открытого кода. Согласно имеющимся данным, в некоторых клонах библиотек, например, на языке Python, появились дефекты, используя которые злоумышленники могут получить несанкционированный доступ к данным.

Степень опасности инцидента для российских разработчиков специалисты оценивают по-разному. По мнению Павла Коростелева, руководителя отдела продвижения продуктов компании «Код безопасности», угроза актуальна для разработчиков, использующих открытый код для создания внутренних решений. Он отметил, что компании зачастую проверяют такой код менее тщательно, поскольку важным аспектом является скорость выхода конечного продукта. Руководитель подразделения безопасности ПО «Лаборатории Касперского» Дмитрий Шмойлов считает, что пострадать могут все разработчики, использующие соответствующие библиотеки.

Напомним, с февраля этого года профильные российские компании отмечают резкий рост количества вредоносных элементов (закладок) в открытом программном обеспечении, размещаемом в хранилищах. Согласно имеющимся данным, к июню их число увеличилось в 20 раз по сравнению с показателем прошлого года. В некоторых случаях закладки могли содержать провокационный контент или призывы к политически мотивированным действиям.

В России появление национального репозитория было запланировано на декабрь 2022 года, что следует из проекта постановления правительства от 10 февраля. Согласно имеющимся данным, в настоящее время документ находится на стадии общественного обсуждения. Контроль над созданием отечественного репозитория осуществляет Минцифры. В нём планируется размещать программные продукты с открытым кодом, разработанные ведомствами и субъектами РФ, а также коммерческими компаниями.

Количество атак программ-вымогателей на российские ретейл-компании в первом полугодии нынешнего года резко выросло: целями киберпреступников являются прежде всего крупные сети супермаркетов и маркетплейсы, готовые заплатить злоумышленникам выкуп за скорейшее восстановление работы.

Источник изображений: pixabay.com

Как сообщает газета «Коммерсантъ», ссылаясь на исследование компании «Информзащита», в течение первых шести месяцев нынешнего года число атак вирусов-шифровальщиков на российский ретейл подскочило на 45 % по сравнению с аналогичным периодом прошлого года.

А в компании Group-IB и вовсе говорят о четырёхкратном росте атак в соответствующем сегменте. Специалисты Positive Technologies также указывают на негативную тенденцию.

«Злоумышленники эксплуатируют уязвимости на периметре и веб-ресурсах компаний, а также незащищённые сервисы, которые организации по халатности или недосмотру публиковали вовне», — говорят эксперты.

Вместе с ростом интенсивности кибератак увеличивается и сумма выкупа за восстановление доступа к зашифрованным данным. Если в 2021 году злоумышленники, как правило, требовали не более 30 млн рублей, то сейчас они могут запрашивать до 100 млн рублей.

Специалисты компании ESET, работающей в сфере информационной безопасности, обнаружили ранее неизвестное вредоносное программное обеспечение CloudMensis, предназначенное для атак на компьютеры с macOS. Главная особенность вредоноса в том, что он использует pCloud, Dropbox и «Яндекс.Диск» в роли управляющих серверов.

Источник изображения: Pete Linforth / pixabay.com

Согласно имеющимся данным, CloudMensis написан на языке Objective-C. Специалисты установили, что на начальном этапе злоумышленникам необходимо повысить уровень прав в атакуемой системе, для чего используются известные уязвимости. Далее на скомпрометированную систему устанавливается загрузчик, который скачивает компоненты вредоносного ПО из облачного хранилища.

После установки CloudMensis злоумышленники могут выполнять различные действия на устройстве жертвы, включая сбор конфиденциальной информации, перехват нажатий клавиш, а также установку другого вредоносного ПО. Все собранные данные перед отправкой в облачное пространство шифруются с помощью открытого ключа, который был обнаружен в самом вредоносе. Для расшифровки требуется закрытый ключ, находящийся у операторов CloudMensis.

Наиболее примечательным отличием вредоноса, помимо того, что шпионское ПО для macOS является редкостью, является то, что его авторы используют облачные хранилища в качестве серверов управления. Такой подход позволил злоумышленникам убрать из кода CloudMensis доменные имена и IP-адреса, что затрудняет отслеживание деятельности вредоноса и его блокировку на сетевом уровне. Отмечается, что ранее аналогичную тактику использовали разные хакерские группировки, включая Inception (Cloud Atlas) и APT37 (Reaper или Group 123).

Специалисты подразделения Google Threat Analysis Group (GTAG) провели исследование, в результате которого была выявлена изощрённая хакерская кампания, в рамках которой интернет-провайдеры помогали хакерам распространять шпионское программное обеспечение Hermit. Работа Google подтверждает результаты более раннего исследования специалистов по информационной безопасности Lookout, которые связали шпионское ПО Hermit с итальянским разработчиком RCS Labs.

Источник изображения: Darwin Laganzon / pixabay.com

По данным Lookout, компания RCS Labs разрабатывает шпионское программное обеспечение, которое продаёт правительственным учреждениям разных стран. Специалисты выявили признаки того, что инструмент Hermit уже использовался правительством Казахстана, а также властями Италии. Это подтвердили специалисты Google, которым удалось выявить жертв слежки в обеих упомянутых странах и уведомить их об этом.

В отчёте Lookout сказано, что Hermit представляет собой опасный инструмент, который в случае необходимости может осуществлять загрузку дополнительных модулей для расширения собственных возможностей. ПО может использоваться для получения доступа к записям звонков, местоположению устройства, фотографиям и видео, текстовым сообщениям и другой информации, хранящейся в памяти устройства жертвы. Ещё Hermit может записывать и перехватывать звонки, а также получать права суперпользователя на устройстве, что даёт полный контроль над операционной системой.

Отмечается, что ПО Hermit может использоваться для проведения атак против пользователей устройств на базе Android и iOS. Обычно оно маскируется под легитимное приложение мобильного оператора или мессенджер. Специалисты Google установили, что в некоторых случаях злоумышленники работали вместе с местными провайдерами, которые блокировали жертвам интернет-соединение, что необходимо для реализации схемы внедрения вредоносного ПО на устройства. После отключения интернета с жертвами под видом провайдера связывались злоумышленники и убеждали установить якобы легитимное приложение, которое, по их словам, поможет восстановить интернет-соединение.

По данным GTAG и Lookout, ПО Hermit никогда не распространялось через официальные источники, такие как магазины цифрового контента Google Play Маркет и Apple App Store. Однако злоумышленникам удалось распространить вредонос для iOS, приняв участие в программе Apple Developer Enterprise Program. Участие в упомянутой программе позволило обойти стандартный процесс проверки приложений в App Store и получить сертификат соответствия требованиям площадки. На данный момент Apple уже отозвала выданные сертификаты и заблокировала учётные записи, связанные с Hermit.