Теги → вредоносные
Быстрый переход

Хакеры из FIN7 стали рассылать вредоносные файлы Word для кражи данных с Windows-компьютеров

Известная киберпреступная группировка FIN7 организовала новую кампанию по распространению вирусов, основанную на любопытстве жертв и их интересе к новой платформе Windows 11. Злоумышленники рассылают несколько заражённых Word-файлов, запуск которых приводит к загрузке в систему вредоносного программного обеспечения, позволяющего красть данные жертв.

Изображение: HotHardware

Изображение: HotHardware

Предполагается, что злоумышленники рассылают вредоносные Word-файлы с июня этого года. Примерно в это же время Microsoft выпустила первую тестовую сборку Windows 11, из-за чего интерес к новой операционной системе был на высоком уровне. Злоумышленники решили воспользоваться этим, распространяя вредоносные файлы, которые якобы созданы в Windows 11. Способ распространения таких файлов не раскрывается, но, вероятнее всего, для этого используются фишинговые почтовые рассылки.

При запуске такого файла пользователю предлагается разрешить редактирование и выполнение содержимого, что не должно вызывать подозрения. Однако эти простые действия приведут к запуску макроса, подгружающего JavaScript-бэкдор, который FIN7 успешно использует как минимум с 2018 года. После загрузки бэкдора хакеры могут доставлять в систему другое вредоносное ПО, в зависимости от поставленных целей. Эта тактика является весьма успешной, поскольку FIN7 приписывают кражу данных более 15 млн платёжных карт и нанесённый материальный ущерб примерно в $1 млрд.

Изображение: Anomali

Изображение: Anomali

Согласно имеющимся данным, группировка FIN7 действует в течение последних шести лет и в основном нацелена на пользователей из США. Источник отмечает, что в 2018 году правоохранительным органам удалось арестовать трёх членов группировки, а также один «высокопоставленный организатор» был задержан в апреле этого года. Несмотря на это, группировка продолжает действовать.

Во многих дешёвых кнопочных телефонах нашли вредоносное ПО, предустановленное производителями

Зачастую пользователи относятся к кнопочным телефонам как к гораздо более безопасным устройствам, чем смартфоны. Всё же сотовые телефоны поставляются с закрытым ПО и предлагают крайне скромных набор функций и интерфейсов, так что заразить их вирусом сложнее. Однако автор с ником ValdikSS с «Хабра» провёл исследование, в рамках которого выяснил, что «звонилки» нередко поставляются с предустановленным вредоносным ПО.

habr.com

habr.com

Исследователь решил протестировать пять максимально отличающихся между собой мобильных телефонов. Устройства от разных производителей и основаны на разных платформах. Все протестированные телефоны доступны на российском рынке. Это Inoi 101 на базе чипсета RDA826, стоимостью 600 рублей, DEXP SD2810 с чипом SC6531E, стоимостью 699 рублей, Itel it2160 на базе MT6261, который можно приобрести в российской рознице за 799 рублей, Irbis SF63 с чипсетом SC6531DA, который предлагают по 750 рублей, и F+ Flip 3 на том же чипсете, цена которого достигает 1499 рублей. Как оказалось, только на одном из устройств не был предустановлен вредоносный софт.

Inoi 101

Inoi 101

Исследователь протестировал все приобретённые им устройства при помощи профессионального оборудования и специализированного ПО. Забавно, но «чистым» оказался самый доступный телефон. Inoi 101 не содержит вредоносных функций и не доставляет владельцу неприятностей в виде отправки платных сообщений.

Itel it2160

Itel it2160

С остальными протестированными телефонами ситуация обстоит гораздо хуже. Itel it2160 сообщает о своей продаже через интернет, не ставя пользователя в известность. Телефон передаёт такие данные, как IMEI, страна, где активирован телефон, модель устройства, версия прошивки, используемый язык, время активации и идентификатор базовой станции. В свою очередь F+ Flip 3 не способен соединяться с интернетом, однако о факте продажи он сообщает через SMS, отсылая IMEI и IMSI.

F+ Flip 3

F+ Flip 3

DEXP SD2810 особо опасен для пользователей. Устройство хоть и не содержит браузера, но подключается к интернету через GPRS, без предупреждения сообщая о продаже. Телефон передаёт IMEI и IMSI, отправляет платные SMS на короткие номера и выполняет команды сомнительного сервера, получаемые в ответ на эти SMS. И всё это прямо из коробки! Похожим набором вредоносных функций может похвастаться и скромный на вид Irbis SF63. Телефон сообщает о продаже через интернет, передаёт зашифрованные данные на сомнительный сервер и выполняет полученные от него команды. Известны случаи, когда «звонилки» воровали номер телефона для регистрации аккаунтов в социальных сетях.

DEXP SD2810

DEXP SD2810

Исследователь заявляет, что в сложившейся ситуации виноваты прежде всего бренды, под которыми продаются телефоны. Они, зачастую, заказывают разработку программного и аппаратного обеспечения у OEM-производителей. Те, в свою очередь, готовы внедрить в устройство сомнительные функции за дополнительную оплату от третьей стороны. К сожалению, регуляторам нет дела до ПО телефона. Минцифры проверяет только сертификацию продукции на соответствие мировым и российским стандартам связи.

Irbis SF63

Irbis SF63

Единственный способ перестраховаться при покупке кнопочного телефона — приобрести устройство мирового бренда. Телефоны Nokia, например, не содержат вредоносного ПО, однако их цена, зачастую, в 2-4 раза превышает стоимость какого-нибудь DEXP.

Вредонос XCSSET продолжает атаковать макбуки и крадёт данные из разных приложений

Стало известно, что вредоносное программное обеспечение XCSSET, которое изначально использовалось для атак на разработчиков софта для macOS, научилось красть данные из множества приложений. Об этом пишет издание CNews со ссылкой на данные исследования компании Trend Micro, работающей в сфере информационной безопасности.

Изображение: CNews

Изображение: CNews

Для распространения XCSSET злоумышленники используют инъекции вредоносного кода в локальные проекты Xcode по разработке ПО для платформы macOS. Функционировать вредонос начинает сразу после компиляции проекта. В сообщении отмечается, что XCSSET развивается и получает новые функции, такие как возможность кражи данных из Telegram и паролей из Google Chrome.

В процессе функционирования вредонос создаёт архив telegram.applescript в папке keepcoder.Telegram в Group Containers. Оказалось, что достаточно скопировать весь каталог ~/Library/GroupContainers/6N38VWS5BX.ru.keepcoder.Telegram с одного компьютера Mac на другой, чтобы при запуске клиента Telegram на втором устройстве пользователь уже был авторизован с данными с первого компьютера. Это позволяет злоумышленникам перехватывать контроль над учётными записями и соответствующими чатами.  

«В macOS папка «песочницы» для приложений — ~/Library/Containers/com.xxx.xxx и ~/Library/GroupContainers/com.xxx.xxx — доступна обычным пользователям с правами на чтение и запись. Этим она отличается от практики на iOS. Не все исполняемые файлы в macOS изолируются, а это означает, что простой скрипт может украсть все данные, хранящиеся в папке «песочницы». Разработчикам приложений мы рекомендуем воздержаться от хранения важных данных в папке «песочницы», особенно тех, что связаны с логинами», — говорится в сообщении Trend Micro.

Что касается методики кражи паролей из Google Chrome, то она предполагает получение ключа безопасности хранения (Safe Storage Key), который находится в пользовательской связке ключей. С помощью приёмов социальной инженерии злоумышленники могут выманить у жертвы административные привилегии, которые позволят расшифровать все хранящиеся в Chrome пароли. В арсенале XCSSET также имеются скрипты для кражи данных из приложений «Контакты», «Заметки», Evernote, Opera, Skype и WeChat. Также специалисты обнаружили модуль для атаки межсайтового скриптинга на браузер Chrome Canary.

Появился опасный вирус MosaicLoader, который охотится на любителей пиратских игр

Компания Bitdefender недавно опубликовала технический документ с подробным описанием нового вредоносного ПО, названного MosaicLoader. Оно доставляется на компьютеры жертв через загрузчики, которые пользователи, по-видимому, находят при поиске пиратских программ и игр.

pcworld.com

pcworld.com

Главной особенностью MosaicLoader является схема его маскировки. Вирус имеет сложную внутреннюю структуру, направленную на то, чтобы сбить с толку антивирусное ПО и экспертов по кибербезопасности. Он создаёт локальные исключения в Защитнике Windows для определённых имён файлов, чтобы он не предпринимал никаких действий, когда эти файлы начнут представлять опасность.

pcworld.com

pcworld.com

Как и множество других вредоносных программ, MosaicLoader имитирует файловую информацию из реально существующего ПО. Вирус пытается запутать свой код, разделяя его на меньшие фрагменты и меняя порядок выполнения. После установки в системе MosaicLoader может нанести любой ущерб, начиная от кражи файлов Cookie и попыток взлома страниц пользователя в социальных сетях, и заканчивая установкой ПО для майнинга криптовалют. В целом, вирус является своего рода «порталом» для доставки на компьютер пользователя самого разного вредоносного ПО.

В данный момент нет способов полностью обезопасить свой компьютер от MosaicLoader. Однако отказ от пиратского ПО значительно снизит вероятность подхватить вирус.

Kaseya получила ПО для расшифровки данных, затронутых вирусом-вымогателем REvil

Производитель программного обеспечения для удалённого администрирования Virtual System Administrator (VSA), компания Kaseya сообщила, что получила универсальный декриптор против шифровальщика-вымогателя REvil и сейчас помогает своим клиентам восстановить доступ к данным, которые были зашифрованы в результате атаки на инфраструктуру VSA, произошедшей 2 июля.

В разговоре с ресурсом The Record представитель Kaseya подтвердил, что компания получила декриптор «от доверенной третьей стороны», но отказался сообщать, от кого именно. Он добавил, что декриптор был получен вчера. Компания проверила его работоспособность, и сегодня начала рассылать его копии своим пострадавшим клиентам.

6 июля Kaseya сообщила, что в числе пострадавших оказались 60 её пользователей, предоставляющих через VSA услуги удалённого администрирования, и 1500 конечных клиентов, информационные системы которых они обслуживали. Позже компания подтвердила, что внедрить вредоносное ПО в программное обеспечение VSA хакерам удалось через неназванную уязвимость «нулевого дня».

Хакерская группировка REvil выступила с заявлением, в котором сообщила, что берёт на себя ответственность за взлом и распространение вируса-вымогателя через инфраструктуру VSA. Поскольку из-за количества пострадавших хакеры не могли обратиться к каждому из них лично злоумышленники потребовали за универсальный декриптор зашифрованных файлов $70 млн от всех сразу.

Любопытно, что спустя несколько дней, 13 июля все известные в даркнете сайты, связанные с хакерской группировкой REvil, стали недоступны. Хакеры их отключили и ушли в тень, что вызвало панику среди множества компаний, оказавшихся в числе пострадавших.

На момент написания данного текста неизвестно, заплатила ли Kaseya требуемый хакерами выкуп. Возможно, универсальный декриптор был передан Kaseya бесплатно самими REvil, получен от некоей компании, занимающейся вопросами кибербезопасности или предоставлен правоохранительными органами.

Коммерческое кибероружие использовали для слежки за политиками, журналистами и представителями НГО

Израильское ПО становится всё более популярным на рынке кибероружия. Совсем недавно Microsoft сообщала об использовании вредоносного ПО израильской компании Candiru для взлома более 100 смартфонов политиков, журналистов и других общественных деятелей. На этот раз появились новости о более масштабном применении коммерческого «вооружения».

engadget.com

engadget.com

По некоторым данным, вредоносное ПО Pegasus, разработанное израильской NSO Group, использовалось для тайной слежки за 50 000 человек. По данным «правозащитников», программное обеспечение продавалось «авторитарным правительствам».

Утверждается, что ПО предназначено для заражения как смартфонов на Android, так и iPhone. Сами разработчики утверждают на своём сайте, что оно используется для «выявления и предупреждения терроризма и преступлений». Известно, что Pegasus может применяться для кражи фотографий, сообщений, электронной почты, истории звонков и даже записи разговоров.

Недавно в Сети появился список телефонных номеров, по некоторым данным — 50 000 жертв клиентов NSO Group, включая «сотни номеров представителей бизнеса, религиозных деятелей, учёных, лидеров профсоюзов и правительственных чиновников разных стран, включая министров, президентов и премьер-министров», а также рыбу помельче — представителей всевозможных НГО.

Пресса намерена опубликовать список в ближайшие недели, для начала — имена 180 журналистов из медиакомпаний вроде CNN, New York Times, Associated Press, Reuters и других известных изданий. При этом само наличие номера в списке необязательно означает, что он был взломан, но позволяет выявить интерес спецслужб к конкретным деятелям.

hothardware.com

hothardware.com

Считается, что кибероружием NSO Group пользовались Азербайджан, Бахрейн, Казахстан, Мексика, Марокко, Руанда, Саудовская Аравия, Венгрия, Индия, и ОАЭ. Примечательно, что не все фигуранты из перечня официально относятся западным сообществом к «авторитарным правительствам».

В NSO Group заявили, что не являются операторами системы и не имеют доступа к данным о гражданах, пострадавших от взлома смартфонов. Более того, компания назвала число в 50 000 пострадавших «преувеличенным». Правда, пока неизвестно, почему в израильской компании считают информацию преувеличенной, если не имеют к ней доступа.

Сама NSO уже не первый раз фигурирует в скандальных новостях. Рассказывая о борьбе с коммерческим кибероружием, Microsoft уже упоминала компанию — в своё время уже рассматривался иск о создании NSO Group ПО для взлома WhatsApp.

В компании Kaseya знали о проблемах с кибербезопасностью до недавнего взлома

По сообщениям сетевых источников, руководство компании Kaseya, чьё программное обеспечение для удалённого администрирования VSA подверглось хакерской атаке ранее в этом месяце, было заранее предупреждено о проблемах с безопасностью. Об этом пишет издание Bloomberg со ссылкой на слова бывших сотрудников Kaseya.

Изображение: Chris Ratcliffe / Bloomberg

Изображение: Chris Ratcliffe / Bloomberg

Согласно имеющимся данным, в период с 2017 по 2020 годы сотрудники офисов Kaseya в США неоднократно обращали внимание руководства на различные проблемы с кибербезопасностью. Однако такие вопросы обычно не решались в полном объёме. Об этом заявили несколько бывших сотрудников Kaseya, которые занимались проектированием и разработкой программного обеспечения компании. Они пожелали сохранить конфиденциальность, поскольку ранее подписали соглашение о неразглашении информации.  

Среди наиболее очевидных проблем с безопасностью называются использование ПО на основе устаревшего кода, использование слабого шифрования и простых паролей в продуктах и серверах Kaseya, несоблюдение основных правил кибербезопасности, таких как регулярное обновление ПО. Один из бывших сотрудников компании рассказал, что в 2019 году отправил руководству 40-страничный документ с описанием проблем безопасности и был уволен примерно через две недели после этого. Он предполагает, что лишился работы из-за того, что занимался изучением вопросов безопасности ПО Kaseya. Ещё один бывший сотрудник рассказал, что компания редко выпускала исправления для своего ПО и хранила пароли клиентов в незашифрованном виде на сторонних платформах. Другие бывшие сотрудники сообщили, что приоритетным направлением при разработке ПО Kaseya является добавление новых функций, а не устранение существующих проблем.

Исследователи из Голландского института раскрытия уязвимостей (DIVD) ещё в апреле этого года уведомили Kaseya о многочисленных проблемах с безопасностью в ПО компании. Специалисты института отмечают, что Kaseya продемонстрировала готовность к сотрудничеству и стремление исправить ситуацию. Компания быстро выпустила патч, но к моменту атаки шифровальщика в этом месяце ещё не все уязвимости были устранены.

Напомним, сервис Kaseya стал каналом распространения шифровальщика-вымогателя, жертвами которого стали около 1500 конечных клиентов из разных стран мира. Ответственность за проведение этой атаки взяли на себя хакеры из группировки REvil, которые потребовали от жертв вредоносного ПО общий выкуп в $70 млн за предоставление универсального дешифратора.

Популярные Android-приложения из Play Маркета воруют пароли от учетных записей Facebook

Специалисты компании «Доктор Веб», работающей в сфере информационной безопасности, обнаружили в официальном магазине цифрового контента Google Play Маркет несколько вредоносных приложений, которые в общей сложности были загружены более 5,5 млн раз. Речь идёт о троянских программах, которые маскировались под безобидные приложения и использовались злоумышленниками для кражи учётных данных пользователей социальной сети Facebook.

Изображение: Gizchina

Изображение: Gizchina

В сообщении отмечается, что в общей сложности было выявлено 10 приложений упомянутого типа, но на момент обнаружения на платформе Play Маркет присутствовали только 9 из них. Примечательно, что некоторые из обнаруженных приложений пользовались немалой популярностью. Например, редактор изображений PIP Photo, распространяемый разработчиком Lillians, был скачан пользователями более 5 млн раз, а фоторедактор Processing Photo от chikumburahamilton установлен более 500 тыс. раз.

Другие приложения менее популярны, но и среди них есть продукты, скачанные более 100 тыс. раз. Речь идёт о приложениях App Lock Keep (50 тыс. скачиваний), Sheralaw Rence (10 тыс. скачиваний), App Lock Manager (5 тыс. скачиваний), Rubbish Cleaner (100 тыс. скачиваний), Horoscope Daily (100 тыс. скачиваний), Inwell Fitness (100 тыс. скачиваний) и HscopeDaily mono (1 тыс. скачиваний).

Специалисты из «Доктор Веб» сообщили Google о выявлении вредоносного программного обеспечения на платформе Play Маркет. Очевидно, что в ближайшее время эти приложения будут удалены из магазина. Однако они будут продолжать распространяться через сторонние сервисы, поэтому пользователям стоит быть внимательными при скачивании каких-либо приложений из неофициальных источников.

Хакеры похитили данные 26 млн аккаунтов различных сайтов, включая Apple, Amazon, Facebook и Netflix

Хакерам удалось взломать более трёх миллионов компьютеров и похитить персональные данные и информацию о платежах 26 млн аккаунтов различных сайтов, включая Amazon, Apple, Facebook и многих других.

applelianos.com

applelianos.com

Специалистам NordLocker, разработчика одноимённого софта для шифрования файлов, удалось получить доступ к базе данных, собранных хакерами. Сообщается, что с помощью неопознанного вредоносного программного обеспечения (троянца) для Windows похищали информацию в течение двух лет с 2018 по 2020 год. В общей сложности было собрано около 1,2 Тбайт личных данных c 3,25 млн компьютеров.

Хакеры похитили информацию о 26 млн аккаунтах, а также финансовые данные. Также сообщается, что было собрано 2 млрд файлов cookies и 6,6 млн других файлов. Вредоносный софт позволял хакерам подключиться к веб-камерам жертв, а также делать скриншоты, когда те вводили личную информацию при входе в свой аккаунт на каком-либо сайте.

Интересно, что эта новость появилась на фоне сообщений о всплеске хакерских атак, затронувших крупные американские компании. В результате одной из них была нарушена работа ключевого трубопровода на Восточном побережье США, что привело к дефициту бензина на заправочных станциях. Также пострадал крупный поставщик мяса.

Что касается обнаруженной NordLocker огромной базы украденных данных, компания заявила: «Мы хотим прояснить ситуацию: мы не покупали эту базу данных и не будем попустительствовать другим сторонам, делающим это. Группа хакеров случайно раскрыла местонахождение базы данных».

Steam стал разносчиком вирусов — хакеры спрятали их в изображениях на страницах пользователей

Неизвестные хакеры превратили учётные записи Steam в разносчиков вредоносного программного обеспечения. Злоумышленники спрятали загрузчики вредителей в изображениях профилей своих учётных записей. Уязвимость обнаружил пользователь Twitter с никнеймом Miltinhoc.

PortSwigger

PortSwigger

Уязвимость назвали SteamHide. Как отметили аналитики G Data, игровой сервис фактически стал платформой для размещения вредоносных файлов. О таких способах распространения вредоносного ПО было известно и раньше, но никто ещё не использовал для этого игровые сервисы вроде Steam.

Для распространения вирусов злоумышленники использовали интернет-мемы, в частности «Гарольда, скрывающего боль». При этом, для заражения вредоносным софтом не обязательно даже иметь учётную запись или устанавливать Steam — достаточно всего лишь загрузить аватарку на своём ПК.

Источник: Twitter

Источник: Twitter

Источник: Twitter

Источник: Twitter

После активации, скрытая программа отключает все средства безопасности, а затем копирует себя в папку «LOCALAPPDATA». После сохранения она закрепляется в реестре системы. Исследователи уточнили, что вредоносное ПО скрывает в себе инструменты, которые не активируются сразу, но могут стать опасными в будущем. Сколько компьютеров поражено и как можно устранить уязвимость, не уточняется. Valve отказалась комментировать ситуацию.

Производитель аудиотехники Bose сообщил об утечке данных в результате атаки вымогательского ПО

Компания Bose, занимающаяся разработкой и производством аудиотехники, сообщила об утечке данных в результате атаки с использованием программы-вымогателя. Согласно имеющимся данным, злоумышленники провели успешную кампанию против IT-систем Bose в марте этого года.

Изображение: Bleeping Computer

Изображение: Bleeping Computer

В письменном уведомлении о взломе, которое Bose подала в Генеральную прокуратуру Нью-Гэмпшира, говорится, что компания «пережила сложный киберинцидент, который привёл к развёртыванию вредоносных программ/программ-вымогателей в её среде». В компании отметили, что сотрудники Bose впервые обнаружили вредоносное/вымогательское ПО в IT-системах американского подразделения Bose 7 марта 2021 года.

Для восстановления доступа к IT-системам Bose обратилась за помощью в стороннюю компанию, работающую в сфере информационной безопасности. Также потребовались услуги экспертов-криминалистов, которые должны были определить, удалось ли злоумышленникам получить доступ к каким-либо конфиденциальным данным Bose. В компании отметили, что Bose не платила выкуп за разблокировку систем.

«Мы не платили выкуп. Мы быстро восстановили и защитили наши системы при поддержке сторонних экспертов по кибербезопасности. В ходе расследования мы выявили небольшое количество лиц, данные которых были скомпрометированы в ходе инцидента. Мы направили им уведомления об этом, в соответствии с требованием законодательства», — прокомментировала данный вопрос директор по работе со СМИ в Bose Джоан Бертьям (Joanne Berthiaume).  

Согласно имеющимся данным, в ходе этого инцидента злоумышленники получили доступ к информации о некоторых бывших и действующих сотрудниках Bose. Хотя специалисты не обнаружили подтверждения того, что эти данные были скопированы из систем Bose, они не исключают такую вероятность. После атаки Bose также задействовала сторонних специалистов для мониторинга даркнета не предмет появления украденных данных, но им так и не удалось обнаружить их в интернете.

Страховая компания CNA из США заплатила хакерам $40 млн за разблокировку внутренних IT-систем

CNA Financial Corp., одна из крупнейших страховых компаний США, в конце марта заплатила хакерам $40 млн за восстановление контроля над своей внутренней сетью. Такой выкуп требовали злоумышленники, которые в ходе атаки использовали программу-вымогатель, шифрующую данные на заражённых компьютерах.

Изображение: Aynsley Floyd / Bloomberg

Изображение: Aynsley Floyd / Bloomberg

Согласно имеющимся данным, CNA заплатила хакерам выкуп спустя две недели после атаки, в результате которой злоумышленникам удалось парализовать работу внутренней сети компании. Об этом пишет издание Bloomberg со ссылкой на собственные осведомлённые источники, которые пожелали сохранить конфиденциальность, поскольку не имеют права обсуждать данный вопрос публично. Также было сказано, что изначально CNA пыталась восстановить данные своими силами, но через неделю безуспешных попыток сделать это вступила в переговоры с хакерами.

В официальном заявлении CNA сказано, что компания следовала закону, провела консультации и передала все необходимые данные в ФБР и Управление по контролю за иностранными активами Министерства финансов США. Компания следовала действующим рекомендациям, которые позволяют избежать нарушения санкций при выплате выкупа хакерам.

В ходе атаки на CNA хакеры использовали вредоносное программное обеспечение Phoenix Locker. Внутреннее расследование показало, что осуществившие эту кампанию злоумышленники не подпадают под санкции, поэтому было принято решение о выплате выкупа. Сам факт того, что CNA заплатила хакерам, вероятно, вызовет недовольство властей и регуляторов. ФБР в прошлом также не рекомендовало платить хакерам, поскольку это не гарантирует восстановление работоспособности систем.

MSI предупредила о поддельном сайте приложения Afterburner

Компания MSI предупредила владельцев продуктов производителя о распространении в Сети вредоносного программного обеспечения, маскирующегося под официальное приложение Afterburner. Напомним, что указанное ПО используется для тонкой настройки работы графических ускорителей.

Злоумышленники распространяют приложение через сайт afterburner-msi.space. К компании MSI он никакого отношения не имеет.

Производитель выступил с официальным заявлением: «Компания MSI стремится предоставлять надёжные продукты, обеспечивающие качественный пользовательский опыт. Таким образом мы считаем своей обязанностью защитить тех, кто нам доверяет. Мы осуждаем попытку использования наших прав собственности и тот ущерб, который был нанесён репутации MSI. Мы продолжаем работу над тем, чтобы закрыть сайт-самозванец».

Портал злоумышленников имитирует страницу официального сайта тайваньского производителя компьютерных компонентов и якобы предлагает загрузить на компьютер приложение Afterburner. В MSI указывают, что страница сайта может содержать вирусы, трояны, кейлоггеры и другие виды вредоносных программ, которые могут выглядеть как официальное приложение Afterburner, но таковым не являются. Компания призывает пользователей не поддаваться на провокации злоумышленников и не загружать никаких программ с вредоносного сайта.

Производитель также напоминает, что скачать официальное приложение Afterburner можно только с официального сайта компании по ссылке msi.com/Landing/afterburner/graphics-cards.

Университету Миннесоты запретили выпускать патчи для ядра Linux за внедрение уязвимостей в экспериментальных целях

Грег Кроа-Хартман (Greg Kroah-Hartman), который является одним из руководителей группы разработки и обслуживания ядра Linux, запретил Университету Миннесоты вносить дальнейший вклад в развитие ядра Linux. Очевидно, это связано с тем, что университет вносил в ядро сомнительные исправления в исследовательских целях.

Университет Миннесоты работал над исследовательской статьёй, озаглавленной «Возможность скрытого внедрения уязвимостей в программное обеспечение с открытым исходным кодом с помощью поддельных коммитов» (On the Feasibility of Stealthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits). Очевидно, что под программным обеспечением с открытым исходным кодом подразумевается ядро Linux. Университет незаметно внедрил в него уязвимость Use-After-Free для проверки восприимчивости Linux. Вероятно, это было сделано настолько хорошо, что рассматривалось разработчиками Linux как этичный эксперимент. Тем не менее, дальнейшие эксперименты, такие как внедрение в ядро «нового статического анализатора», вызвали возмущение у создателей Linux, вследствие чего было принято решение запретить Университету Миннесоты вносить какие-либо изменения в ядро в дальнейшем.

Грег Кроа-Хартман в своём письме студенту факультета компьютерных наук Университета Миннесоты Адитье Пакки (Aditya Pakki), который и «погорел» на рассылке недобросовестных патчей, написал:

«Вы и ваша группа публично признались в рассылке исправлений с известными ошибками, чтобы понаблюдать, как сообщество ядра отреагирует на них, и опубликовали документ, основанный на этой работе.

Теперь вы снова отправляете новую серию явно дефектных исправлений, так что я должен думать об этом?

Очевидно, они [новые патчи] НЕ были созданы инструментом статического анализа, обладающим каким-либо интеллектом, поскольку все они собраны по совершенно разным шаблонам, и все они, очевидно, ничего не исправляют. Итак, что я должен думать, кроме того, что вы и ваша группа продолжаете ставить эксперименты над сообществом ядра, рассылая такие бессмысленные патчи? [...]

Нашему сообществу не нравится, когда над ним экспериментируют и "тестируют", рассылая патчи, которые либо намеренно ничего не делают, либо намеренно вносят ошибки. Если вы хотите делать такую ​​работу, я предлагаю вам найти другое сообщество для проведения ваших экспериментов, вам здесь не рады.

Из-за этого мне теперь придется запретить все будущие исправления из вашего университета и изъять предыдущие, поскольку они явно были поданы недобросовестно и с намерением вызвать проблемы.

Как заявил Грег Кроа-Хартман, все исправления, предоставленные Университетом Миннесоты, будут безвозвратно удалены из ядра Linux.

Новый Android-троян маскируется под приложение для доставки системных обновлений

Среди пользователей устройств на базе Android начало распространяться новое вредоносное программное обеспечение. Оно маскируется под системное обновление и способно получить полный контроль над устройством с возможностью кражи данных. Об этом сообщили специалисты компании Zimperium, работающей в сфере информационной безопасности.

Речь идёт об утилите System Update, которая якобы предназначена для доставки обновлений на устройство. Согласно имеющимся данным, она распространяется через сторонние источники и не была прежде замечена в официальном магазине цифрового контента Play Маркет. Источник говорит о том, что после установки приложения оно скрывает свою активность и начинает незаметно пересылать различные данные на подконтрольные злоумышленникам серверы.

Вредоносное приложение может красть сообщения пользователей, контакты, собирать информацию об устройстве, осуществлять запись звонков и происходящего поблизости от устройства с помощью микрофона, делать фотографии и др. Кроме того, вредонос отслеживает местоположение устройства, перехватывает данные из буфера обмена и осуществляет сканирование на предмет поиска документов. Для маскировки своей активности приложение может снижать объём потребляемого интернет-трафика, пересылая на серверы злоумышленников не полноценные изображения, а только их эскизы.

Генеральный директор компании Zimperium Шридхар Миттал (Shridhar Mittal) считает, что обнаруженный вредонос, скорее всего, является частью целевой атаки. Однако исследователям не удалось установить, кто является разработчиком данного ПО и против кого оно использовалось. «Я думаю, что на создание этого приложения было потрачено много времени и усилий. Мы считаем, что существуют и другие подобные приложения, и изо всех сил стараемся обнаружить их как можно быстрее», — прокомментировал данный вопрос Миттал.

window-new
Soft
Hard
Тренды 🔥