Теги → доктор
Быстрый переход

«Доктор Веб» обнаружил опасный бэкдор, распространяющийся под видом обновления для Chrome

Разработчик антивирусных решений «Доктор Веб» информирует об обнаружении опасного бэкдора, распространяемого злоумышленниками под видом обновления для популярного браузера Google Chrome. Сообщается, что жертвами киберпреступников уже стали более 2 тысяч человек, и число таковых продолжает расти.

По данным вирусной лаборатории «Доктор Веб», с целью максимального охвата аудитории злоумышленниками использованы ресурсы на базе CMS WordPress — от новостных блогов до корпоративных порталов, к которым хакерам удалось получить административный доступ. В коды страниц скомпрометированных площадок встроен JavaScript-сценарий, который перенаправляет пользователей на фишинговый сайт, маскирующийся под официальный ресурс компании Google (см. скриншот выше).

С помощью бэкдора злоумышленники получают возможность доставлять на инфицированные устройства «полезную» нагрузку в виде вредоносных приложений. Среди них: кейлоггер X-Key Keylogger, стилер Predator The Thief и троян для удалённого управления по протоколу RDP.

Во избежание неприятных инцидентов специалисты компании «Доктор Веб» рекомендуют при работе в Интернете быть предельно внимательными и советуют не оставлять без внимания предусмотренный во многих современных браузерах фильтр фишинговых ресурсов.

Специалисты Dr.Web нашли троянец-кликер в приложениях Google Play, установленных более 100 млн раз

Специалисты антивирусной компании Dr.Web обнаружили вредоносное приложение Android.Click.312.origin, которое было встроено в обычные программы в Google Play. Эта программа является троянцем-кликером и используется для накрутки посещений веб-сайтов, имитации действий пользователей и так далее.

pixabay.com

pixabay.com

По данным компании, заражёнными оказались несколько десятков приложений, которые установили в общей сложности более 100 млн раз. Список их выглядит так:

  • GPS Fix
  • QR Code Reader
  • ai.type Free Emoji Keyboard
  • Cricket Mazza Live Line
  • English Urdu Dictionary Offline — Learn English
  • EMI Calculator — Loan & Finance Planner
  • Pedometer Step Counter — Fitness Tracker
  • Route Finder
  • PDF Viewer — EBook Reader
  • GPS Speedometer
  • GPS Speedometer PRO
  • Notepad — Text Editor
  • Notepad — Text Editor PRO
  • Who unfriended me?
  • Who deleted me?
  • GPS Route Finder & Transit: Maps Navigation Live
  • Muslim Prayer Times & Qibla Compass
  • Qibla Compass — Prayer Times, Quran, Kalma, Azan
  • Full Quran MP3 — 50+ Audio Translation & Languages
  • Al Quran Mp3 - 50 Reciters & Translation Audio
  • Prayer Times: Azan, Quran, Qibla Compass
  • Ramadan Times: Muslim Prayers, Duas, Azan & Qibla
  • OK Google Voice Commands (Guide)
  • Sikh World — Nitnem & Live Gurbani Radio
  • 1300 Math Formulas Mega Pack
  • Обществознание — школьный курс. ЕГЭ и ОГЭ.
  • Bombuj — Filmy a seriály zadarmo
  • Video to MP3 Converter, RINGTONE Maker, MP3 Cutter
  • Power VPN Free VPN
  • Earth Live Cam - Public Webcams Online
  • QR & Barcode Scanner
  • Remove Object from Photo — Unwanted Object Remover
  • Cover art IRCTC Train PNR Status, NTES Rail Running Status

Сам же кликер после установки той или иной программы передаёт на управляющий сервер ряд данных о заражённом устройстве. После этого с сервера приходят нужные настройки. А Android.Click.312.origin начинает работать через 8 часов после установки, что позволяет усыпить бдительность пользователей.

После сообщения в Google некоторые из приложений оперативно удалили, другие получили обновления. Но всё ещё есть часть программ, содержащих кликер.

Отметим, что кроме собственно накрутки посещений, троянец может подписывать пользователей на дорогие премиум-услуги. Потому если кто-то из пользователей установил любую из программ в списке выше, ему рекомендуется проверить смартфон или планшет антивирусом.

Трамп предпочёл бы вместо Луны сразу отправить корабль на Марс

В честь 50-й годовщины первой высадки человека на Луну президент США Дональд Трамп провёл в Белом доме встречу с участниками миссии Apollo 11 Майклом Коллинзом (Michael Collins) и Баззом Олдрином (Buzz Aldrin), а также родственниками астронавта Нила Армстронга (Neil Armstrong) — первого человека, ступившего на поверхность Луны. На встрече также присутствовали представители Национального управления США по аэронавтике и исследованию космического пространства (NASA) во главе с директором Джимом Брайденстайном (Jim Bridenstine) и другие официальные лица.

AFP.com

AFP.com

В ходе беседы с участниками встречи в Овальном кабинете Трамп усомнился в целесообразности отправки пилотируемого корабля на Луну вместо того, чтобы сразу вести подготовку к полёту на Марс. Напомним, что Трамп в прошлом месяце заявил в Твиттере, что «NASA не должно говорить об отправке на Луну», аргументируя это тем, что «мы уже были там 50 лет назад». «Они должны быть сосредоточены на гораздо больших вещах, которые мы осуществляем, в том числе на Марсе (частью которого является Луна), обороне и науке!», — написал тогда Трамп, вызвав насмешки в Сети (по поводу Луны как части Марса).

Great Britain News

Great Britain News

С вопросом о необходимости лунной миссии президент обратился к Брайденстайну. Тот ответил, что Луна является «испытательным полигоном» для будущего полёта на Марс, позволяя NASA тестировать технологии, необходимые для поддержания жизни людей на Красной планете в течение продолжительного периода времени. «Когда мы отправимся на Марс, нам придётся находиться там в течение длительного периода времени, поэтому нам нужно научиться жить и работать в ином мире», — сказал Бриденстайн.

В свою очередь Трамп отметил, что предпочёл бы сразу готовить марсианскую миссию. В этом он нашёл поддержку Майкла Коллинза. Когда президент спросил, возможен ли такой вариант, то ответил утвердительно.

Уникальный троян на Node.js добывает криптовалюту TurtleCoin

«Доктор Веб» предупреждает о том, что любителям игр угрожает уникальная вредоносная программа, занимающаяся скрытным майнингом.

Речь идёт о редком трояне на программной платформе Node.js. Этот зловред, получивший название Trojan.MonsterInstall, был передан на анализ компании «Доктор Веб» специалистами «Яндекса».

Вредоносная программа распространяется через сайты с читами для видеоигр. На компьютер пользователя попадает защищённый паролем архив, внутри которого находится исполняемый файл. При его запуске скачиваются нужные читы, а также компоненты, необходимые для работы трояна.

После активации зловред собирает информацию о системе и отправляет её на сервер злоумышленников. После получения ответа вредоносная программа устанавливается в автозагрузку и начинает добычу (майнинг) криптовалюты TurtleCoin.

Зловред распространяется через сайты с читами к популярным играм, созданные злоумышленниками, а также через сторонние ресурсы соответствующей тематики. Суммарное количество просмотров этих сайтов превышает 125 тыс. в месяц. 

Мошеннические веб-уведомления угрожают владельцам Android-смартфонов

«Доктор Веб» предупреждает о том, что владельцам мобильных устройств под управлением операционной системы Android угрожает новый зловред — троян Android.FakeApp.174.

Вредоносная программа загружает в браузер Google Chrome сомнительные веб-сайты, где пользователей подписывают на рекламные уведомления. Злоумышленники применяют технологию Web Push, которая позволяет сайтам с согласия пользователя отправлять ему уведомления, даже когда соответствующие веб-страницы не открыты в веб-обозревателе.

Отображаемые уведомления мешают работе с Android-устройствами. Более того, такие сообщения могут быть ошибочно приняты за легальные,  что приведёт к краже денег или конфиденциальной информации.

Троян Android.FakeApp.174 распространяется под видом полезных программ — например, официального ПО известных брендов. Такие приложения уже были замечены в магазине Google Play.

При запуске зловред загружает в браузере Google Chrome веб-сайт, адрес которого указан в настройках вредоносного приложения. С этого сайта в соответствии с его параметрами поочерёдно выполняется несколько перенаправлений на страницы различных партнёрских программ. На каждой из них пользователю предлагается разрешить получение уведомлений.

После активации подписки сайты начинают отправлять пользователю многочисленные уведомления сомнительного содержания. Они приходят, даже если браузер закрыт, а сам троян уже был удалён, и отображаются в панели состояния операционной системы.

Сообщения могут носить любой характер. Это могут быть ложные уведомления о поступлении денежных средств, реклама и пр. При нажатии на такое сообщение пользователь перенаправляется на сайт с сомнительным контентом. Это реклама казино, букмекерских контор и различных приложений в Google Play, предложение скидок и купонов, поддельные онлайн-опросы, фиктивные розыгрыши призов и т. д. Кроме того, жертвы могут перенаправляться на фишинговые ресурсы, созданные с целью кражи данных банковских карт. 

Новый зловред атакует компьютеры Apple

«Доктор Веб» предупреждает о том, что владельцам компьютеров Apple под управлением операционной системы macOS угрожает новая вредоносная программа.

Зловред получил название Mac.BackDoor.Siggen.20. Он позволяет злоумышленникам загружать на устройство жертвы и выполнять произвольный программный код, написанный на языке Python.

Вредоносная программа проникает на Apple-компьютеры через сайты, принадлежащие киберпреступникам. К примеру, один из таких ресурсов замаскирован под страницу с приложением WhatsApp.

Любопытно, что через такие сайты также распространяется шпионский троян BackDoor.Wirenet.517, инфицирующий компьютеры на базе операционных систем Windows. Этот зловред позволяет удалённо управлять устройством жертвы, включая использование камеры и микрофона.

При посещении вредоносных веб-ресурсов встроенный код определяет операционную систему пользователя и в зависимости от неё загружает бэкдор или троянский модуль, отмечает «Доктор Веб».

Нужно добавить, что злоумышленники маскируют вредоносные сайты не только под страницы популярных приложений. Так, уже обнаружены ресурсы, оформленные как сайты-визитки с портфолио несуществующих людей. 

Опасная функция в UC Browser угрожает сотням миллионов пользователей Android

«Доктор Веб» обнаружил в мобильном браузере UC Browser для устройств под управлением Android скрытую возможность загрузки и запуска непроверенного кода.

Обозреватель UC Browser пользуется большой популярностью. Так, количество его загрузок из магазина Google Play превышает 500 млн. Для работы с программой требуется операционная система Android 4.0 или выше.

Эксперты компании «Доктор Веб» выяснили, что в браузере реализована скрытая возможность загрузки вспомогательных компонентов из Интернета. Приложение способно скачивать дополнительные программные модули в обход серверов Google Play, что нарушает правила корпорации Google. Эта особенность теоретически может быть использована злоумышленниками с целью распространения вредоносного кода.

«Несмотря на то, что приложение не было замечено в распространении троянских или нежелательных программ, его способность загружать и запускать новые и непроверенные модули представляет потенциальную угрозу. Нет гарантии, что злоумышленники не получат доступ к серверам разработчика браузера и не используют встроенную в него функцию обновления для заражения сотен миллионов Android-устройств», — предупреждает «Доктор Веб».

Указанная функция загрузки дополнений присутствует в UC Browser как минимум с 2016 года. Она может использоваться для организации атак по схеме «человек посередине» (Man in the Middle) с перехватом запросов и подменой адреса управляющего сервера. Подробнее о проблеме можно узнать здесь

Новая статья: Гарант безопасности: обзор новой версии Dr.Web 12 для Windows

Данные берутся из публикации Гарант безопасности: обзор новой версии Dr.Web 12 для Windows

Пользователи AliExpress рискуют оказаться в фальшивом интернет-магазине

«Доктор Веб» предупреждает о том, что сетевые мошенники организовали новую киберкампанию, нацеленную на пользователей популярной торговой площадки AliExpress.

Зафиксирована массовая рассылка электронных писем от имени компании Alibaba Group — владельца платформы AliExpress. В этих сообщениях говорится о том, что адресат ранее являлся активным покупателем на сайте AliExpress, приобретал там товары и оставлял отзывы, в связи с чем ему предоставляется доступ к особому интернет-магазину с многочисленными скидками и подарками.

При переходе по указанной ссылке пользователь оказывается на сайте, оформленном в стиле интернет-магазина. Однако любые попытки сделать здесь заказ приводят к переадресации на другие сайты, многие из которых ранее были замечены в мошеннических действиях.

Атака нацелена на русскоязычных пользователей. Причём письма содержат обращение к получателю по имени. По мнению экспертов, информацию о реальных клиентах AliExpress мошенники могли получить, воспользовавшись купленной или украденной базой данных одного из многочисленных кешбэк-сервисов.

Более подробную информацию о киберсхеме можно найти здесь

Эксперты компании «Доктор Веб» выявили в Google Play более сотни мошеннических приложений

Специалисты компании «Доктор Веб» обнаружили в магазине приложений Google Play более сотни вредоносных программных продуктов, выдающих себя за известное или полезное ПО и используемых злоумышленниками в различных мошеннических схемах.

В частности, вирусными аналитиками «Доктор Веб» были выявлены вредоносные приложения, замаскированные под официальные клиентские программы крупных торговых сетей, букмекерских контор и популярных интернет-сервисов. Подобного рода софт в изобилии представлен в Google Play и активно используется киберпреступниками для подписки обманным путём владельцев Android-смартфонов и планшетов на дорогостоящие мобильные премиум-услуги.

Схема работы мошенников довольно простая: у потенциальной жертвы запрашивается номер мобильного телефона, якобы необходимый для получения кода и вымышленного выигрыша. Однако на самом деле этот код используется для подтверждения подписки на платную услугу. Если же заражённое устройство подключено к Интернету, то после ввода номера телефона владелец Android-гаджета подписывается на премиум-услугу автоматически. Компания Google оперативно удаляет подобного рода приложения из Google Play, однако предприимчивые мошенники продолжают добавлять их в каталог почти каждый день.

«Для отъёма денег у владельцев мобильных устройств и получения иной выгоды злоумышленники применяют всевозможные уловки, а также изобретают всё новые мошеннические схемы. Именно поэтому устанавливать приложения даже из магазина Google Play необходимо с осторожностью. Стоит обращать внимание на имя разработчика, дату публикации интересующей программы, а также отзывы других пользователей. Эти простые действия помогут снизить риск заражения смартфонов и планшетов», — говорится в информационном сообщении антивирусного вендора.

Новый Android-троян подменяет номера электронных кошельков в буфере обмена

«Доктор Веб» предупреждает о распространении новой вредоносной программы, нацеленной на устройства под управлением операционных систем Android.

Зловред получил название Android.Clipper; на сегодняшний день известны как минимум две его модификации. Главная задача трояна заключается в подмене номеров электронных кошельков в буфере обмена с целью пересылки денег злоумышленникам.

При запуске на инфицированном устройстве зловред выводит поддельное сообщение об ошибке и продолжает работу в скрытом режиме. При этом одна из версий программы маскируется под приложение для работы с электронными кошельками Bitcoin.

После проникновения на смартфон или планшет зловред начинает отслеживать изменения содержимого буфера обмена. Если троян обнаруживает, что пользователь скопировал в буфер номер электронного кошелька, он отсылает этот номер на управляющий сервер. В ответ высылается номер кошелька киберпреступников, который требуется вставить в буфер обмена вместо исходного. В результате, деньги переводятся мошенникам.

Вредоносная программа может подменять номера электронных кошельков платёжных систем Qiwi, Webmoney (R и Z) и «Яндекс.Деньги», а также криптовалют Bitcoin, Monero, zCash, DOGE, DASH, Etherium, Blackcoin и Litecoin.

Сейчас зловред активно продвигается на различных хакерских площадках и форумах. «Доктор Веб» полагает, что в скором времени можно ожидать появление большого количества модификаций этой вредоносной программы. 

Android-троян из Google Play демонстрирует невидимую рекламу

«Доктор Веб» предупреждает о появлении в магазине Google Play ряда игр и приложений с внедрённой вредоносной программой Android.RemoteCode.152.origin. Сообщается, что от зловреда могли пострадать миллионы пользователей.

После проникновения на смартфон или планшет жертвы троян незаметно скачивает и запускает дополнительные модули, включая рекламные плагины. С их помощью вредоносная программа загружает невидимые объявления и нажимает на них. В результате, злоумышленники получают определённое денежное вознаграждение.

Кроме того, зловред поддерживает работу с мобильной маркетинговой сетью AppLovin, через которую также загружает рекламные объявления для получения дополнительного дохода.

Нужно отметить, что после первого запуска инфицированного приложения троян автоматически начинает работу через определённые интервалы времени и самостоятельно активируется после каждой перезагрузки мобильного устройства. Таким образом, для работы зловреда не требуется, чтобы владелец смартфона или планшета постоянно использовал изначально заражённую программу.

На сегодняшний день приложения с трояном были загружены из магазина Google Play в общей сложности более 6,5 млн раз. «Доктор Веб» уже передал в Google сведения об этих программах. 

В России начинается внедрение телемедицинской платформы SmartMed

В России запущена телемедицинская платформа SmartMed, на базе которой планируется развивать комплекс продуктов и услуг цифрового здравоохранения.

В проекте участвуют оператор МТС и АО «Группа компаний «Медси», одна из ведущих в нашей стране частных федеральных сетей медицинских клиник.

Первым продуктом в рамках платформы SmartMed стало одноимённое мобильное приложение для устройств под управлением операционных систем Android и iOS. Оно позволяет получать консультации с врачами по видеосвязи или в чате, находясь в любой точке мира. При необходимости можно вызвать медработников на дом, а также записаться на очный приём в клинику.

SmartMed предоставляет возможность хранения электронной медицинской карты в защищённом сегменте облака #CloudMTC с моментальным доступом со смартфона. Для защиты данных используется комплекс специализированных решений безопасности, аттестованных по требованиям ФСТЭК (Федеральной службы по техническому и экспортному контролю).

К телемедицинской платформе уже подключены терапевты, педиатры, аллергологи, гастроэнтерологи, эндокринологи, кардиологи и другие специалисты. В дальнейшем количество профильных медработников, консультирующих в онлайн-режиме, будет расширяться.

Сейчас участники проекта SmartMed изучают возможности внедрения решений в области ранней диагностики, онлайн-мониторинга состояния здоровья, автоматического анализа данных и персональных рекомендаций пациенту.

Приложение SmartMed доступно в магазинах App Store и Google Play. Стоимость онлайн-консультации составляет 550 рублей, но в течение месяца (до 19 мая включительно) услуга предоставляется бесплатно. 

Новый шифровальщик кодирует файлы без возможности восстановления

«Доктор Веб» предупреждает о появлении новой вредоносной программы, которая атакует пользователей операционных систем Windows с целью наживы.

Зловред получил обозначение Trojan.Encoder.25129. Это троян-шифровальщик, кодирующий данные на инфицированном компьютере. Увы, из-за ошибки вирусописателей восстановление повреждённых шифровальщиком файлов в большинстве случаев невозможно.

После проникновения на ПК зловред проверяет географическое расположение пользователя по IP-адресу. По задумке злоумышленников, троян не должен кодировать файлы, если компьютер расположен в России, Беларуси или Казахстане, а также если в настройках операционной системы установлены русский язык и российские региональные параметры. Однако из-за ошибки в коде программа шифрует файлы вне зависимости от географической принадлежности IP-адреса.

Троян кодирует содержимое папок текущего пользователя, рабочего стола Windows, а также служебных папок AppData и LocalAppData. Шифрование осуществляется с использованием алгоритмов AES-256-CBC, зашифрованным файлам присваивается расширение .tron.

За восстановление доступа к файлам злоумышленники требуют выкуп в криптовалюте — биткоинах. Но, даже заплатив деньги, что категорически не рекомендуется, жертвы зловреда не смогут вернуть свои данные. 

Опасный Android-троян пытается обокрасть клиентов Сбербанка

«Доктор Веб» предупреждает о том, что российские клиенты Сбербанка, использующие мобильные устройства на базе Android, могут стать жертвами опасной вредоносной программы, способной опустошать счета.

Речь идёт о зловреде Android.BankBot.358.origin. Он известен как минимум с конца 2015 года, а недавно появились модификации, разработанные специально с прицелом на российских клиентов Сбербанка.

Вредоносная программа распространяется при помощи мошеннических SMS, которые могут рассылать как киберпреступники, так и сам троян. Чаще всего сообщения отправляются от имени пользователей сервиса Avito.ru. В посланиях потенциальной жертве предлагается под тем или иным предлогом перейти по указанной ссылке. Попавшись на уловку злоумышленников, пользователь попадает на сайт, с которого на мобильное устройство скачивается apk-файл вредоносного приложения.

После запуска зловред запрашивает доступ к правам администратора устройства и делает это до тех пор, пока пользователь не согласится предоставить ему необходимые полномочия. Затем программа соединяется с управляющим сервером, сообщает об успешном заражении и ожидает дальнейших указаний.

Главная цель трояна — хищение денег у русскоязычных клиентов Сбербанка, что достигается преимущественно за счёт фишинга. Злоумышленники отправляют зловреду команду на блокирование заражённого устройства окном с мошенническим сообщением. Оно имитирует внешний вид системы дистанционного банковского обслуживания «Сбербанк Онлайн» и отображается для всех пользователей независимо от того, являются ли они клиентами Сбербанка или другой кредитной организации. В этом сообщении говорится о якобы поступившем денежном переводе в размере 10 000 рублей. Для получения средств владельцу смартфона или планшета предлагается указать полную информацию о банковской карте: её номер, имя держателя, дату окончания действия, а также секретный код CVV. Если жертва выполняет эти требования, мошенники получают возможность полностью опустошить банковский счёт.

Утверждается, что ущерб, который может нанести Android.BankBot.358.origin, составляет около 80 млн рублей. Подробнее о зловреде можно узнать здесь

Между тем сам  Сбербанк полагает, что угроза преувеличена. «Сегодня в ряде СМИ появились публикации о новом вредоносном ПО, нацеленном на клиентов Сбербанка. Специалистам банка уже давно известно о существовании данного вируса. Приложение Сбербанк Онлайн со встроенным антивирусом надёжно защищает устройства от подобных атак», — говорится в сообщении финансовой организации.

window-new
Soft
Hard
Тренды 🔥