Теги → вредоносный
Быстрый переход

Исследователи Google помогли Apple пресечь масштабную хакерскую атаку на пользователей iPhone

Участники проекта Google Project Zero, занимающиеся исследованиями в области информационной безопасности, сообщили об обнаружении одной из самых масштабных атак на пользователей iPhone, в ходе которой использовались веб-сайты, распространяющие вредоносное программное обеспечение. В сообщении говорится о том, что с веб-сайтов внедрялось вредоносное ПО на устройства всех посетителей, число которых составляло несколько тысяч еженедельно.

«Не было какой-либо целевой направленности. Достаточно просто посетить вредоносный сайт, чтобы сервер эксплойтов совершил атаку на ваше устройство, и, если она была успешной, осуществлялась установка средств мониторинга. По нашим оценкам, данные сайты посещают тысячи пользователей каждую неделю», — написал в блоге специалист проекта Google Project Zero Ян Бир (Ian Beer).

В сообщении говорится, что в некоторых атаках применялись так называемые эксплойты нулевого дня. Это означает, что использовалась уязвимость, о которой неизвестно разработчикам Apple, поэтому у них было «ноль дней» на её исправление.

Ещё Ян Бир написал о том, что Группа анализ угроз Google смогла выявить пять отличных друг от друга цепочек эксплойтов iPhone, в основе которых лежат 14 уязвимостей. Обнаруженные цепочки использовались для взлома устройств, работающих под управлением программных платформ от iOS 10 до iOS 12. Специалисты Google уведомили Apple о своей находке и в феврале этого года уязвимости были исправлены.

Исследователь рассказал о том, что после проведения успешной атаки на пользовательское устройство происходило распространение вредоносного ПО, которое преимущественно использовалось для кражи информации и фиксации данных о местоположении устройства в реальном времени. «Инструмент слежения запрашивал команды с сервера управления и контроля каждые 60 секунд», — сообщил Ян Бир.

Он также отметил, что вредоносное ПО имело доступ к сохранённым пользовательским паролям и базам данных различных приложений обмена сообщениями, в том числе Telegram, WhatsApp и iMessage. Сквозное шифрование, используемое в подобных приложениях, способно защитить сообщения от перехвата, но уровень защиты значительно снижается, если злоумышленникам удаётся скомпрометировать конечное устройство.

«Учитывая объём похищенной информации, злоумышленники могут поддерживать постоянный доступ к разным учётным записям и службам, используя для этого украденные токены аутентификации даже после потери доступа к пользовательскому устройству», — предупреждает пользователей iPhone Ян Бир.   

Сотрудники AT&T брали взятки за установку вредоносного ПО в сети компании

По сообщениям сетевых источников, 34-летний гражданин Пакистана Мухаммед Фахд (Muhammad Fahd) обвиняется в даче взяток на сумму более $1 млн сотрудникам телекоммуникационной компании AT&T, работающим в офисах и центрах обработки вызовов в Сиэтле. Вместе со своим сообщником, который в настоящее время считается умершим, Фахд на протяжении нескольких лет давал взятки сотрудникам оператора связи за установку вредоносного ПО в сети компании, а также за разблокировку смартфонов.

Согласно данным Министерства юстиции США, в период с 2012 года по 2017 год злоумышленники путём подкупа сотрудников оператора связи осуществили разблокировку более 2 млн смартфонов, после чего их можно было использовать за пределами сети AT&T. В обвинении говорится о том, что из-за этого компания ежегодно теряла порядка $5 млн.   

По данным обвинения, Фахд подкупал сотрудников для установки вредоносного ПО, которое собирало конфиденциальную информацию и отправляло запросы на разблокировку смартфонов с использованием учётных данных действующих служащих компании через удалённый сервер. Кроме того, Фахд пытался установить новые контакты через уже подкупленных сотрудников. В заявлении говорится о том, что один из служащих AT&T в течение пяти лет получил взяток на общую сумму в $428 500.    

По требованию властей США Фахд был арестован в феврале 2018 года в Гонконге. На прошлой неделе его экстрадировали в США, где его ждёт судебное разбирательство. В скором времени он предстанет перед федеральным судом Сиэтла, где будет обвинён по 14 различным статьям. Вероятно, в конечном счёте пакистанский мошенник будет приговорён к внушительному тюремному сроку.  

Киберпреступники используют высокую популярность FaceApp в своих целях

Международная антивирусная компания ESET предупреждает о том, что сетевые злоумышленники используют в мошеннических целях высокую популярность мобильного приложения FaceApp.

Названная программа, разработанная российской компанией Wireless Lab, доступна в версиях для платформ Android и iOS. Она предназначена для высокореалистичных преобразований лиц на фотографиях, наложения на них различных эффектов, изменения стиля и пр. В основе работы лежит технология нейронной сети.

Недавно в FaceApp обновилась функция «состаривания» лиц, получившая большую популярность. Возросшим интересом к приложению сразу же воспользовались киберпреступники.

В частности, в Интернете появились поддельные версии FaceApp Pro, которые злоумышленники предлагают загрузить бесплатно. Для распространения таких программ создаются специальные фальшивые сайты. Поддельные версии FaceApp также замечены на видеохостинге YouTube и даже в официальном магазине приложений Google Play.

При попытке установить приложение появляется множество всплывающих окон. Невнимательность пользователя приводит к оформлению подписок на платные приложения или рекламу. Жертвы получают и запросы на получение уведомлений, которые также являются частью мошеннической схемы. 

Киберпреступники атакуют российские организации из сферы здравоохранения

«Лаборатория Касперского» выявила серию кибератак на российские организации, работающие в сфере здравоохранения: цель злоумышленников — сбор данных финансового характера.

Сообщается, что киберпреступники применяют ранее неизвестную вредоносную программу CloudMid со шпионской функциональностью. Зловред рассылается по электронной почте под видом VPN-клиента известной российской компании.

Важно отметить, что атаки носят целевой характер. Почтовые сообщения, содержащие вредоносную программу, получили лишь некоторые организации отдельных регионов.

Атаки были зафиксированы весной и в начале лета нынешнего года. Не исключено, что в скором времени злоумышленники организуют новую волну нападений.

После установки в системе CloudMid приступает к сбору документов, хранящихся на заражённом компьютере. Для этого, в частности, зловред делает снимки экрана несколько раз в минуту.

Эксперты «Лаборатории Касперского» обнаружили, что атакующие собирают с заражённых машин контракты, направления на дорогостоящее лечение, счета-фактуры и другие документы, которые так или иначе относятся к финансовой деятельности организаций здравоохранения. Эти сведения в дальнейшем могут использоваться для получения денег обманным путём. 

Кибергруппировка Buhtrap занялась шпионажем

Компания ESET сообщает о том, что киберпреступники, стоящие за организацией атаки Buhtrap, переключились на шпионскую деятельность, а жертвами злоумышленников становятся государственные и общественные организации в странах Восточной Европы и Центральной Азии.

Ещё весной 2015 года была раскрыта киберкампания «Операция Buhtrap» («ловушка для бухгалтера»), нацеленная на российский бизнес. Однако злоумышленники, стоящие за этой атакой, ведут свою деятельность как минимум с 2014 года.

В конце 2015-го группировка переключилась на банки и госучреждения. В качестве приманок использовались поддельные документы об изменении правил в банковской сфере, а также рекомендации Центробанка России.

А недавно компания ESET зафиксировала атаку с использованием уязвимости нулевого дня в компоненте win32k.sys операционных систем Windows. Использованное вредоносное ПО стремилось собрать пароли от почтовых клиентов и браузеров и переслать информацию на командный сервер злоумышленников. Программа также предоставляла своим операторам полный доступ к скомпрометированной системе.

Как оказалось, в ходе этой атаки применялся один из модулей стандартного загрузчика группировки Buhtrap. Кроме того, был задействован набор дропперов и загрузчиков, попадающих на устройства жертвы под видом легитимных программ.

Судя по всему, отмечает ESET, на данный момент целью группировки стал кибершпионаж за различными организациями. Такие атаки могут носить таргетированный характер, что повышает их эффективность. 

Вредоносное ПО TrickBot использовалось для взлома 250 млн почтовых ящиков

Сетевые источники сообщают о том, что вредоносное ПО TrickBot могло использоваться для кражи 250 млн учётных записей электронной почты, часть из которых принадлежит правительствам США, Великобритании и Канады. Данная вредоносная программа впервые была замечена в 2016 году, но до недавнего времени не использовалась для кражи учётных данных почтовых ящиков.

По данным компании Deep Instinct, которая работает в сфере информационной безопасности, TrickBot начал собирать учётные данные и контакты по электронной почте. Исследователи назвали новый инструмент вредоноса TrickBooster. Его использование предусматривает взлом учётных записей для рассылки вредоносных писем со спамом, после чего происходит удаление отправленных сообщений из папок «Исходящие» и «Корзина».  

В рамках недавнего расследования специалисты Deep Instinct обнаружили базу данных, в которой хранились данные о 250 млн скомпрометированных учётных записях электронной почты. В компании отмечают, что миллионы учётных записей принадлежат правительствам США, Великобритании и Канады. В базе данных содержится порядка 25 млн почтовых ящиков Gmail, а также 19 млн и 11 млн учётных записей Yahoo.com и Hotmail.com соответственно. Кроме того, значительную часть составляли записи пользователей почтовых сервисов AOL, MSN, Yahoo.co.uk и др.

Специалисты считают, что все эти почтовые ящики могут использоваться операторами TrickBot для распространения различного вредоносного ПО. В настоящее время специалисты Deep Instinct ещё не закончили собственное расследование, на основании которого можно будет более точно оценить масштабы распространения вредоноса TrickBot.

Вредоносное ПО Agent Smith заразило более 25 млн Android-устройств

Специалисты компании Check Point, работающие в сфере информационной безопасности, обнаружили вредоносное ПО под названием Agent Smith, которое заразило свыше 25 млн устройств на базе Android.

По мнению сотрудников Check Point, упомянутое вредоносное ПО создано в Китае одной из интернет-компаний, которая помогает местным разработчикам Android-приложений локализовать и публиковать свою продукцию на зарубежных рынках. Основным источником распространения Agent Smith является сторонний магазин приложений 9Apps, который имеет немалую популярность в азиатском регионе.

Своё название программа получила из-за того, что она имитирует одного из персонажей фильма «Матрица». ПО осуществляет взлом других приложений и заставляет их показывать больше рекламы. Более того, программа похищает деньги, заработанные от демонстрации рекламного контента.

В сообщении говорится о том, что преимущественно Agent Smith заражал устройства пользователей из Индии, Пакистана и Бангладеш. Несмотря на это, 303 000 и 137 000 устройств были заражены в США и Великобритании соответственно. Специалисты говорят о том, что помимо прочего вредоносное ПО атакует такие приложения, как WhatsApp, Opera, MX Video Player, Flipkart и SwiftKey.

В отчёте говорится о том, что оператор Agent Smith делал попытки проникновения в официальный магазин цифрового контента Google Play Store. Специалисты обнаружили в Play Store 11 приложений, в которых присутствовал код, относящийся к предыдущей версии вредоносного ПО Agent Smith. Отмечается, что внутри Play Store рассматриваемый вредонос не проявлял активности, поскольку Google блокировала и удаляла все приложения, которые считались заражёнными или находились под угрозой этого.

В Check Point считают, что главная причина распространения упомянутого ПО связана с уязвимостью Android, которая была исправлена разработчиками несколько лет назад. Масштабное распространение Agent Smith говорит о том, что далеко не все разработчики своевременно вносят исправления безопасности в свои приложения.

Шпион FinSpy «читает» секретные чаты в защищённых мессенджерах

«Лаборатория Касперского» предупреждает о появлении новой версии вредоносной программы FinSpy, инфицирующей мобильные устройства под управлением операционных систем Android и iOS.

FinSpy — это многофункциональный шпион, способный наблюдать практически за всеми действиями пользователя на смартфоне или планшете. Зловред способен собирать различные типы пользовательских данных: контакты, электронные письма, SMS-сообщения, записи из календарей, местоположение GPS, фотографии, сохранённые файлы, записи голосовых звонков и пр.

Новая версия FinSpy может «читать» обычные и секретные чаты в защищённых мессенджерах, таких как Telegram, WhatsApp, Signal и Threema. Модификация FinSpy для iOS может скрыть следы джейлбрейка, а версия для Android содержит эксплойт, способный получать права суперпользователя и давать право на выполнение всех операций на устройстве.

Правда, нужно отметить, что заражение шпионом FinSpy возможно только при наличии у злоумышленников физического доступа к устройству жертвы. Но если аппарат подвергся джейлбрейку или используется устаревшая версия Android, то преступники могут заразить его через SMS, электронное письмо или push-уведомление.

«FinSpy часто используется для целевого шпионажа, ведь после его полного развёртывания на смартфоне или планшете атакующий получает практически безграничные возможности по отслеживанию работы устройства», — отмечает «Лаборатория Касперского». 

Новый бэкдор атакует пользователей торрент-сервисов

Международная антивирусная компания ESET предупреждает о появлении новой вредоносной программы, которая угрожает пользователям торрент-сайтов.

Зловред получил название GoBot2/GoBotKR. Он распространяется под видом различных игр и приложений, пиратских копий фильмов и сериалов. После загрузки такого контента пользователь получает безобидные на первый взгляд файлы. Однако на деле в них скрыта вредоносная программа.

Активация зловреда происходит после нажатия на LNK-файл. После установки GoBotKR начинается сбор системной информации: данные о конфигурации сети, операционной системе, процессоре и установленных антивирусных программах. Эти сведения затем отправляются на командный сервер, расположенный в Южной Корее.

Собранные данные затем могут быть использованы злоумышленниками при планировании тех или иных атак в киберпространстве. Это, в частности, могут быть распределённые атаки типа «отказ в обслуживании» (DDoS).

Зловред способен выполнять широкий перечень команд. Среди них: раздача торрентов через BitTorrent и uTorrent, изменение фона рабочего стола, копирование бэкдора в папки облачных хранилищ (Dropbox, OneDrive, Google Drive) или на съёмный носитель, запуск прокси- или HTTP-сервера, изменение настроек брандмауэра, включение или отключение диспетчера задач и др.

Не исключено, что в перспективе инфицированные компьютеры будут объединены в ботнет для совершения DDoS-нападений. 

Стороннее приложение для обновления прошивки смартфонов Samsung крадёт данные кредитных карт

По сообщениям сетевых источников, в магазине цифрового контента Google Play обнаружено потенциально опасное приложение Updates for Samsung. Неофициальное приложение для обновления прошивки устройств Samsung на базе Android было скачано более 10 млн раз, а значит, жертвами могли стать миллионы пользователей. Данный софтверный продукт был обнаружен специалистами компании CSIS Security Group, которая занимается разработкой ПО в сфере кибербезопасности.

После загрузки упомянутого приложения пользователи могут искать нужную прошивку в соответствующем разделе. При этом процесс взаимодействия с ПО будет сопровождаться демонстрацией рекламного контента, а также предложениями оформить платную подписку на загрузку интересующих файлов. Примечательно, что само приложение никак не связано с Samsung, хотя и распространяет прошивки южнокорейской компании.

Получить годовую подписку на загрузку обновлений прошивки для Android-устройств Samsung можно за $34,99. При этом оплата происходит не через сервис Google Play. Приложение просто запрашивает данные о кредитной карте пользователя и передаёт их в конечную точку updato.com по HTTPS.

Особенность приложения заключается в том, что в нём есть функция бесплатной загрузки обновлений прошивки. Однако при её использовании скорость скачивания не превышает 56 Кбит/с. Скачивание обновлений на такой скорости будет занимать несколько часов, что не очень удобно. Ограничение скорости как бы подталкивает пользователей к покупке подписки.

Рассматриваемое приложение нельзя назвать вредоносным в традиционном смысле этого слова, поскольку его пользователи добровольно отдают деньги для снятия ограничений на скорость загрузки. Для обновления прошивки Android-устройств Samsung специалисты рекомендуют использовать стандартные средства, подразумевающие запуск поиска из меню настроек гаджета. Такой способ является гарантированно безопасным, поскольку обновления доставляются на устройство непосредственно от поставщика.  

Сайты финансовых организаций — одна из основных целей киберпреступников

Компания Positive Technologies обнародовала результаты исследования, в ходе которого изучалась обстановка в сфере безопасности современных веб-ресурсов.

Сообщается, что взлом веб-приложений является одним из наиболее часто используемых методов кибератак как на организации, так и на частных лиц.

При этом одной из главных целей киберпреступников являются сайты компаний и структур, занимающихся финансовыми операциями. Это, в частности, банки, различные платёжные сервисы и пр.

Перечень наиболее распространённых атак со временем практически не меняется. Так, наиболее часто сетевые злоумышленники применяют следующие методы: «Внедрение SQL-кода» (SQL Injection), «Выход за пределы каталога» (Path Traversal) и «Межсайтовое выполнение сценариев» (Cross-Site Scripting, XSS).

Как утверждают эксперты, все сайты из любой отрасли ежедневно подвергаются кибератакам. Если атака целенаправленная, то отдельные её шаги можно сопоставить и сложить в единую цепочку.

Специалисты Positive Technologies выяснили, что в прошлом году большинство кибератак осуществлялось с целью незаконного получения тех или иных данных.

«Сайты IT-компаний подвергались главным образом атакам, направленным на получение информации и контроля над приложением. Финансовые организации тем временем в первую очередь страдали от атак на их клиентов, наиболее распространённая из которых — XSS (29 % всех атак на сайты в отрасли). Аналогичным атакам подвержены сферы услуг и образования», — говорится в отчёте

В Google Play обнаружены приложения для обхода двухфакторной аутентификации

Компания ESET сообщает о том, что в магазине Google Play появились вредоносные приложения, которые стремятся получить доступ к одноразовым паролям для обхода двухфакторной аутентификации.

Специалисты ESET установили, что зловреды замаскированы под легальную криптовалютную биржу BtcTurk. В частности, обнаружены вредоносные программы под названиями BTCTurk Pro Beta, BtcTurk Pro Beta и BTCTURK PRO.

После загрузки и установки одного из таких приложений пользователю отправляется запрос на доступ к уведомлениям. Далее появляется окно для ввода учётных данных в систему BtcTurk.

Ввод аутентификационных данных заканчивается тем, что жертва получает сообщение об ошибке. При этом предоставленные сведения и всплывающие уведомления с кодом аутентификации направляются на удалённый сервер киберпреступников.

ESET отмечает, что обнаружение вредоносных приложений с подобными функциями — это первый известный случай с момента введения ограничений доступа Android-приложений к журналу вызовов и SMS.

Фальшивые криптовалютные приложения были загружены в Google Play в текущем месяце. В настоящее время обнаруженные программы удалены, но злоумышленники могут загрузить в Google Play вредоносные приложения с описанными функциями под другими названиями. 

Тысячи опасных приложений обнаружены в магазине Google Play Store

В течение двух лет исследователи из Сиднейского университета совместно с коллегами из Государственного объединения научных и прикладных исследований (CSIRO) изучали приложения, размещаемые в магазине Google Play Store. Результатом их деятельности стало обнаружение 2040 опасных и вредоносных приложений.

Исследователи проверили более 1 млн приложений, опубликованных в Google Play, обнаружив большое количество фальшивых программ, не несущих прямой угрозы, но требующих разрешения на доступ к пользовательским данным. В сообщении говорится о том, что исследователи отыскали поддельные приложения, маскирующиеся под такие популярные игры, как Hill Climb Racing, Temple Run и Free Flow.

В ходе проделанной работы исследователи применяли нейронные сети для обнаружения визуально похожих ярлыков приложений, а также текстовых описаний, частично или полностью идентичных тем, что использовались разработчиками 10 000 наиболее популярных приложений Google Play. В результате проверки посредством применения нейронных сетей было выявлено 49 608 потенциально поддельных приложений.

После этого проводилась проверка на наличие вредоносных программ с помощью инструмента VirusTotal. Оказалось, что 7246 программных продуктов содержали в себе по крайней мере одну вредоносную программу. В дальнейшем исследователи сузили круг поиска, выявив 2040 поддельных программ, представляющие опасность.

Стоит отметить, что многие приложения, обнаруженные австралийскими исследователями, уже удалены из магазина Play Store. Ранее представители Google говорили о том, что количество отказов на публикацию приложений в фирменном магазине компании за прошлый год выросло на 55 %. Кроме того, количество софтверных решений, которые были заблокированы и удалены из Google Play, выросло более чем на 66 %.

Уникальный троян на Node.js добывает криптовалюту TurtleCoin

«Доктор Веб» предупреждает о том, что любителям игр угрожает уникальная вредоносная программа, занимающаяся скрытным майнингом.

Речь идёт о редком трояне на программной платформе Node.js. Этот зловред, получивший название Trojan.MonsterInstall, был передан на анализ компании «Доктор Веб» специалистами «Яндекса».

Вредоносная программа распространяется через сайты с читами для видеоигр. На компьютер пользователя попадает защищённый паролем архив, внутри которого находится исполняемый файл. При его запуске скачиваются нужные читы, а также компоненты, необходимые для работы трояна.

После активации зловред собирает информацию о системе и отправляет её на сервер злоумышленников. После получения ответа вредоносная программа устанавливается в автозагрузку и начинает добычу (майнинг) криптовалюты TurtleCoin.

Зловред распространяется через сайты с читами к популярным играм, созданные злоумышленниками, а также через сторонние ресурсы соответствующей тематики. Суммарное количество просмотров этих сайтов превышает 125 тыс. в месяц. 

Интенсивность атак мобильных банковских троянов резко выросла

«Лаборатория Касперского» обнародовала отчёт с результатами исследования, посвящённого анализу ситуации с кибербезопасностью в мобильной сфере в первом квартале 2019 года.

Сообщается, что в январе–марте интенсивность атак банковских троянов и зловредов-вымогателей на мобильные устройства резко выросла. Это говорит о том, что злоумышленники всё чаще пытаются завладеть деньгами владельцев смартфонов.

В частности, отмечается, что число мобильных банковских троянов увеличилось на 58 % по сравнению с первой четвертью прошлого года. Чаще всего в первые три месяца текущего года пользователи мобильных устройств сталкивались с тремя банковскими троянами: Svpeng (20 % от всех обнаруженных зловредов данного типа), Asacub (18 %) и Agent (15 %). Важно отметить, что Россия оказалась на третьем месте в списке наиболее атакуемых стран (после Австралии и Турции).

Что касается мобильных вымогателей, то их количество за год подскочило в три раза. Лидерами по числу атакованных такими программами пользователей стали США (1,54 %), Казахстан (0,36 %) и Иран (0,28 %).

«Такой существенный рост количества мобильных финансовых угроз, безусловно, вызывает тревогу. При этом злоумышленники не просто увеличивают объёмы своей активности, но всё более и более совершенствуют методы распространения зловредов. Например, они чаще стали "упаковывать" банковских троянцев в специальные программы-дропперы, которые позволяют им обходить ряд защитных механизмов», — отмечает «Лаборатория Касперского». 

window-new
Soft
Hard
Тренды 🔥