«Лаборатория Касперского» сообщила о вирусе, который уже больше года распространяется хакерами по всему миру, позволяя им следить за госорганами и некоммерческими организациями. С помощью этой программы можно читать корпоративную почту, распространять вредоносное ПО и удалённо управлять заражёнными серверами.

Источник изображения: Pixabay

«Эксперты “Лаборатории Касперского” обнаружили сложно детектируемый бэкдор (вредоносная программа, предназначенная для скрытого удалённого управления компьютером) SessionManager. Он позволяет получить доступ к корпоративной ИТ-инфраструктуре и выполнять широкий спектр вредоносных действий», — сообщила компания.

В «Лаборатории Касперского» рассказали, что зловред распространяется дистанционно, в виде модуля для Microsoft IIS — проприетарного набора веб-сервисов для нескольких интернет-служб от компании Microsoft, который включает почтовый сервер Exchange.

Первые атаки с использованием SessionManager были отмечены в конце марта 2021 года. Жертвами хакеров стали в основном госорганы и некоммерческие организации в Африке, Южной Азии, Европе и на Ближнем Востоке, а также в России. Эксперты отметили, что большинство популярных онлайн-сканеров плохо детектирует зловред, поэтому он зачастую остаётся незамеченным. На данный момент его обнаружили на 34 серверах в 24 компаниях.

В минувшую субботу 10 октября была взломана сетевая защита крупнейшего в США продавца бумажных и электронных книг компании Barnes & Noble. Частично работа онлайн служб магазина начала восстанавливаться со среды. Всё это время в Barnes & Noble скрывали, что облако и службы компании взломаны, и заверяли, что данные пользователей в полной безопасности. Боязнь уронить репутацию оказалась важнее личных данных клиентов. Интересно, это сойдёт им с рук?

Источник изображения KAREN BLEIER via Getty Images

В воскресенье пользователи сервисов Barnes & Noble и покупатели начали отмечать, что не могут загрузить на свои устройства (книги Nook, смартфоны под управлением Android, и компьютеры под управлением Windows) приобретённые цифровые копии книг. Если книга была куплена раньше или сейчас, но пока оставалась не загруженной, попытка скачать её выдавала ошибку. В других случаях доступ к сервисам и вовсе отсутствовал или информация выводилась не полной или ошибочной, например, показывались пустые обложки книг. Было ясно, с Barnes & Noble что что-то не так.

Дня через три после возникновения проблем Barnes & Noble уведомила, в частности наших коллег с The Register, что у неё «проблема с сетью, и сейчас идёт процесс восстановления резервных копий сервера». Только в среду компания призналась, что подверглась хакерской атаке, и часть незашифрованных пользовательских данных клиентов была «возможно» похищена.

Судя по всему, речь идёт о зловреде-вымогателе, раз сотрудникам компании пришлось восстанавливать данные из резервных копий. В то же время в Barnes & Noble утверждают, что данные о кредитных картах и платёжные реквизиты клиентов не были похищены, поскольку зашифрованы и доступ к ним осуществляется только с токенами. Утечке могли подвергнуться только адреса электронной почты клиентов, адреса доставки и платёжные адреса (как правило, это адреса проживания). Также утекли данные о покупках пользователей — книгах и гаджетах.

Ридер Nook Glowlight Plus

Интересно, что ранее компания Barnes & Noble была предупреждена специалистами по безопасности из компании Bad Packets, что множество её серверов Pulse VPN содержат уязвимость CVE-2019-11510. Это популярная среди вымогателей уязвимость, поскольку даёт возможность получать учетные данные, хранящиеся на VPN-устройстве. Судя по всему, предупреждение было проигнорировано. Результат перед нами.

Компьютеры Apple Mac уже не так безопасны, как представлялось ранее. Согласно отчёту Malwarebytes, разработчика антивирусного программного обеспечения для Windows и macOS, в среднем каждый компьютер Mac в 2019 году испытал вдвое больше угроз со стороны вредоносных программ, чем ПК под управлением Windows.

По оценкам Malwarebytes, за год число угроз для Mac увеличилось на 400 %: в 2018 году на каждую конечную точку приходилось по 4,8 атаки, а в прошлом году их число достигло 11, что почти вдвое превышает аналогичный показатель для Windows.

Большинство источников вредоносных программ для Mac носили рекламный характер. Такое программное обеспечение часто замаскировано под бесплатное приложение для настройки Mac вроде MacKeeper и MacBooster. После запуска такой зловред обычно встраивает рекламу в разные приложения и пытается получать доход. Этот вид угроз был ключевым для всех платформ в 2019 году, но для Mac он показал значительный рост по сравнению с Windows.

В целом было обнаружено около 24 млн случаев появления рекламных троянов в Windows и 30 млн — в Mac. Отчасти это обусловлено ростом доли рынка Mac в 2019 году, но, согласно отчёту, также свидетельствует о слабых средствах защиты macOS и росте привлекательности Mac для создателей вредоносного ПО. Последнее ожидаемо, учитывая аналогичную ситуацию на мобильном рынке: относительная доходность платформы для разработчиков у iOS значительно выше, чем у Android.

Впервые в истории зловреды для Mac оказались на втором и третьем местах в списке самых распространённых угроз, обнаруженных Malwarebytes на всех платформах — это NewTab и PCVARK. NewTab, к примеру, перенаправляет поисковые запросы в Safari для получения дохода от показа рекламы.

Безусловно, статистика на основе данных одного кроссплатформенного антивируса не может гарантировать точного отражения реалий. Тем не менее, Apple явно необходимо ускорить совершенствование средств борьбы с рекламным ПО в macOS и сканировать загрузки Safari, прежде чем пользователи смогут их открыть.

«Лаборатория Касперского» раскрыла новую серию атак на финансовые и телекоммуникационные компании, базирующиеся в Европе.

Главная цель злоумышленников — хищение денег. Кроме того, сетевые мошенники пытаются украсть данные для доступа к интересующей их финансовой информации.

Расследование показало, что преступники эксплуатируют уязвимость в VPN-решениях, которые установлены во всех атакованных организациях. Эта уязвимость позволяет получить данные от учётных записей администраторов корпоративных сетей и таким образом обеспечивает доступ к ценной информации.

Говорится, что злоумышленники пытаются вывести по несколько десятков миллионов долларов. Иными словами, в случае успешной атаки ущерб может оказаться огромным.

«Несмотря на то, что уязвимость была обнаружена ещё весной 2019 года, многие компании пока не установили необходимое обновление», — пишет «Лаборатория Касперского».

В ходе атак злоумышленники получают данные от учётных записей администраторов корпоративных сетей. После этого становится возможным доступ к ценной информации.

«Лаборатория Касперского» обнаружила вредоносный инструмент Reductor, который позволяет подменять генератор случайных чисел, использующийся для шифрования данных на этапе их передачи от браузера к HTTPS-сайтам. Это открывает злоумышленникам возможность втайне от пользователя следить за его действиями в браузере. Кроме того, найденные модули имели в своём составе функции удалённого администрирования, что максимально расширяет возможности этого ПО.

С помощью данного инструмента злоумышленники осуществляли операции кибершпионажа за дипломатическими представительствами в странах СНГ, преимущественно следили за трафиком пользователей.

Установка зловреда происходит в основном с помощью вредоносной программы COMPfun, идентифицированной ранее как инструмент кибергруппировки Turla, либо через подмену «чистого» ПО в процессе скачивания с легитимного ресурса на компьютер пользователя. Скорее всего, это означает, что у злоумышленников есть контроль над сетевым каналом жертвы.

«Мы впервые столкнулись с такого рода вредоносной программой, позволяющей обойти шифрование в браузере и долгое время оставаться незамеченной. Уровень её сложности позволяет предположить, что создатели Reductor — серьёзные профессионалы. Часто подобные зловреды создаются при поддержке государства. Однако мы не располагаем доказательствами того, что Reductor имеет отношение к какой-либо конкретной кибергруппировке», — отметил Курт Баумгартнер, ведущий антивирусный эксперт «Лаборатории Касперского».

Все решения «Лаборатории Касперского» успешно распознают и блокируют программу Reductor. Чтобы избежать заражения, «Лаборатория Касперского» рекомендует:

• регулярно проводить аудит безопасности корпоративной IT-инфраструктуры;
• установить надёжное защитное решение с компонентом защиты от веб-угроз, позволяющим распознавать и блокировать угрозы, которые пытаются проникать в систему через зашифрованные каналы, например Kaspersky Security для бизнеса, а также решение корпоративного уровня, детектирующее сложные угрозы на сетевом уровне на ранней стадии, например Kaspersky Anti Targeted Attack Platform;
• подключить SOC-команду к системе информирования об угрозах, чтобы у неё был доступ к информации о новых и существующих угрозах, техниках и тактиках, используемых злоумышленниками;
• регулярно проводить тренинги по повышению цифровой грамотности сотрудников.

«Лаборатория Касперского» предупреждает о появлении новой версии вредоносной программы FinSpy, инфицирующей мобильные устройства под управлением операционных систем Android и iOS.

FinSpy — это многофункциональный шпион, способный наблюдать практически за всеми действиями пользователя на смартфоне или планшете. Зловред способен собирать различные типы пользовательских данных: контакты, электронные письма, SMS-сообщения, записи из календарей, местоположение GPS, фотографии, сохранённые файлы, записи голосовых звонков и пр.

Новая версия FinSpy может «читать» обычные и секретные чаты в защищённых мессенджерах, таких как Telegram, WhatsApp, Signal и Threema. Модификация FinSpy для iOS может скрыть следы джейлбрейка, а версия для Android содержит эксплойт, способный получать права суперпользователя и давать право на выполнение всех операций на устройстве.

Правда, нужно отметить, что заражение шпионом FinSpy возможно только при наличии у злоумышленников физического доступа к устройству жертвы. Но если аппарат подвергся джейлбрейку или используется устаревшая версия Android, то преступники могут заразить его через SMS, электронное письмо или push-уведомление.

«FinSpy часто используется для целевого шпионажа, ведь после его полного развёртывания на смартфоне или планшете атакующий получает практически безграничные возможности по отслеживанию работы устройства», — отмечает «Лаборатория Касперского».

Международная антивирусная компания ESET предупреждает о появлении новой вредоносной программы, которая угрожает пользователям торрент-сайтов.

Зловред получил название GoBot2/GoBotKR. Он распространяется под видом различных игр и приложений, пиратских копий фильмов и сериалов. После загрузки такого контента пользователь получает безобидные на первый взгляд файлы. Однако на деле в них скрыта вредоносная программа.

Активация зловреда происходит после нажатия на LNK-файл. После установки GoBotKR начинается сбор системной информации: данные о конфигурации сети, операционной системе, процессоре и установленных антивирусных программах. Эти сведения затем отправляются на командный сервер, расположенный в Южной Корее.

Собранные данные затем могут быть использованы злоумышленниками при планировании тех или иных атак в киберпространстве. Это, в частности, могут быть распределённые атаки типа «отказ в обслуживании» (DDoS).

Зловред способен выполнять широкий перечень команд. Среди них: раздача торрентов через BitTorrent и uTorrent, изменение фона рабочего стола, копирование бэкдора в папки облачных хранилищ (Dropbox, OneDrive, Google Drive) или на съёмный носитель, запуск прокси- или HTTP-сервера, изменение настроек брандмауэра, включение или отключение диспетчера задач и др.

Не исключено, что в перспективе инфицированные компьютеры будут объединены в ботнет для совершения DDoS-нападений.

«Доктор Веб» предупреждает о том, что владельцам компьютеров Apple под управлением операционной системы macOS угрожает новая вредоносная программа.

Зловред получил название Mac.BackDoor.Siggen.20. Он позволяет злоумышленникам загружать на устройство жертвы и выполнять произвольный программный код, написанный на языке Python.

Вредоносная программа проникает на Apple-компьютеры через сайты, принадлежащие киберпреступникам. К примеру, один из таких ресурсов замаскирован под страницу с приложением WhatsApp.

Любопытно, что через такие сайты также распространяется шпионский троян BackDoor.Wirenet.517, инфицирующий компьютеры на базе операционных систем Windows. Этот зловред позволяет удалённо управлять устройством жертвы, включая использование камеры и микрофона.

При посещении вредоносных веб-ресурсов встроенный код определяет операционную систему пользователя и в зависимости от неё загружает бэкдор или троянский модуль, отмечает «Доктор Веб».

Нужно добавить, что злоумышленники маскируют вредоносные сайты не только под страницы популярных приложений. Так, уже обнаружены ресурсы, оформленные как сайты-визитки с портфолио несуществующих людей.

«Лаборатория Касперского» предупреждает о появлении вредоносной программы PirateMatryoshka, которая атакует пользователей популярного торрент-трекера The Pirate Bay.

PirateMatryoshka — это многоуровневый зловред, состоящий из ряда компонентов, предназначенных для загрузки на компьютер жертвы рекламных и вредоносных модулей.

По данным «Лаборатории Касперского», PirateMatryoshka распространяется под видом взломанных версий платных программ. Причём опасные раздачи формируются на торрент-трекере десятками различных аккаунтов, включая те, которые были зарегистрированы довольно давно: это может ввести потенциальную жертву в заблуждение, поскольку хорошая репутация пользователя, раздающего файл, усыпляет бдительность.

Запуск полученного вредоносного файла приводит к проникновению на компьютер трояна. Он начинает свою работу с того, что демонстрирует пользователю фишинговую страницу The Pirate Bay. Эта страница запрашивает логин и пароль для входа в торрент якобы для продолжения процесса загрузки, а на самом деле — для взлома аккаунтов пользователей и дальнейшей раздачи зловреда.

Даже если жертва отказывается ввести личные данные, процесс заражения компьютера продолжается. Троян распаковывает вредоносные модули двух типов — инсталляторы файловых партнёрских программ и автокликеры. «Первые загружают вместе с нужным контентом дополнительное ПО, при этом тщательно скрывая возможность отказаться от него. Вторые же проставляют галочки в нужных местах и нажимают на кнопки, соглашаясь за пользователя с установкой ненужного ему софта. В результате компьютер жертвы заполняется нежелательными и вредоносными программами», — отмечает «Лаборатория Касперского».

«Доктор Веб» предупреждает о появлении в магазине Google Play ряда игр и приложений с внедрённой вредоносной программой Android.RemoteCode.152.origin. Сообщается, что от зловреда могли пострадать миллионы пользователей.

После проникновения на смартфон или планшет жертвы троян незаметно скачивает и запускает дополнительные модули, включая рекламные плагины. С их помощью вредоносная программа загружает невидимые объявления и нажимает на них. В результате, злоумышленники получают определённое денежное вознаграждение.

Кроме того, зловред поддерживает работу с мобильной маркетинговой сетью AppLovin, через которую также загружает рекламные объявления для получения дополнительного дохода.

Нужно отметить, что после первого запуска инфицированного приложения троян автоматически начинает работу через определённые интервалы времени и самостоятельно активируется после каждой перезагрузки мобильного устройства. Таким образом, для работы зловреда не требуется, чтобы владелец смартфона или планшета постоянно использовал изначально заражённую программу.

На сегодняшний день приложения с трояном были загружены из магазина Google Play в общей сложности более 6,5 млн раз. «Доктор Веб» уже передал в Google сведения об этих программах.

«Доктор Веб» предупреждает о появлении новой вредоносной программы, которая атакует пользователей операционных систем Windows с целью наживы.

Зловред получил обозначение Trojan.Encoder.25129. Это троян-шифровальщик, кодирующий данные на инфицированном компьютере. Увы, из-за ошибки вирусописателей восстановление повреждённых шифровальщиком файлов в большинстве случаев невозможно.

После проникновения на ПК зловред проверяет географическое расположение пользователя по IP-адресу. По задумке злоумышленников, троян не должен кодировать файлы, если компьютер расположен в России, Беларуси или Казахстане, а также если в настройках операционной системы установлены русский язык и российские региональные параметры. Однако из-за ошибки в коде программа шифрует файлы вне зависимости от географической принадлежности IP-адреса.

Троян кодирует содержимое папок текущего пользователя, рабочего стола Windows, а также служебных папок AppData и LocalAppData. Шифрование осуществляется с использованием алгоритмов AES-256-CBC, зашифрованным файлам присваивается расширение .tron.

За восстановление доступа к файлам злоумышленники требуют выкуп в криптовалюте — биткоинах. Но, даже заплатив деньги, что категорически не рекомендуется, жертвы зловреда не смогут вернуть свои данные.

«Доктор Веб» предупреждает о том, что сетевые злоумышленники используют популярный видеохостинг YouTube с целью распространения опасной вредоносной программы, инфицирующей компьютеры под управлением операционных систем Windows.

Зловред, получивший обозначение Trojan.PWS.Stealer.23012, написан на языке Python. Злоумышленники публикуют ссылки на вредоносную программу в комментариях к видеороликам на YouTube. Многие из таких роликов посвящены использованию жульнических методов прохождения игр с применением специальных приложений. Как раз за такие программы и другие полезные утилиты злоумышленники и выдают трояна.

При попытке перейти по указанной ссылке на компьютер жертвы загружается самораспаковывающийся RAR-архив с вредоносным кодом. После его запуска происходит инфицирование ПК, и зловред приступает к работе.

Главной задачей трояна является сбор конфиденциальной информации. Вредоносная программа похищает сохранённые логины/пароли из браузеров, копирует файлы с рабочего стола, делает снимки экрана.

Полученная таким образом информация упаковывается в архив spam.zip, который вместе с данными о расположении заражённого устройства отправляется на сервер злоумышленников. В результате, преступники могут получить доступ к учётным записям жертвы в социальных сетях и различных веб-сервисах, а также завладеть сведениями персонального характера.

«Доктор Веб» предупреждает о появлении новой вредоносной программы, атакующей пользователей мобильных устройств под управлением операционной системы Android.

Зловред, получивший название Android.BankBot.344.origin, представляет угрозу для клиентов российских банков. Троян замаскирован под приложение, якобы предоставляющее онлайн-доступ к финансовым услугам сразу нескольких кредитных организаций. Однако на деле программа имеет совершенно иную функциональность.

После установки на смартфон или планшет зловред предлагает пользователям либо войти в уже существующую учётную запись мобильного банкинга, используя имеющиеся логин и пароль, либо зарегистрироваться, введя информацию о банковской карте. Полученные данные сразу же передаются злоумышленникам, что позволяет им украсть деньги обманутых владельцев мобильных устройств.

Троян способен перехватывать входящие SMS. Таким образом, жертва даже не подозревает, что у неё снимают деньги, даже если подключена функция SMS-оповещений о списаниях.

Зловред был обнаружен в приложении «ВСЕБАНКИ — Все банки в одном месте», которое распространялось через магазин Google Play. Сейчас это приложение удалено, но ничто не мешает злоумышленникам интегрировать вредоносный код в другие программы.

Исследователь безопасности Скотт Гельм (Scott Helme) обнаружил 4275 легитимных сайтов, многие из которых принадлежат правительственным службам и агентствам, на которых при этом работают теневые веб-скрипты, использующие компьютеры посетителей для добычи криптовалют.

Источником столь широкой проблемы стал модуль BrowseAloud, встроенный во все поражённые сайты. Он может озвучивать текст и призван сделать веб-ресурсы более доступными для тех, кто страдает нарушением зрения или сталкивается с другими сложностями в восприятии информации. Именно правительственные сайты обязаны предоставлять подобную функциональность, чтобы обеспечить доступ максимально широкому кругу лиц.

При этом ни владельцы затронутых сайтов, ни компания TextHelp — разработчик модуля BrowseAloud — не несут прямой ответственности за внедрение вредоносного кода. Это произошло в воскресенье 11 февраля по вине третьей стороны, модифицировавшей BrowseAloud для скрытного внедрения криптовалютного кода CoinHive. В настоящее время TextHelp приостановила работу плагина до устранения проблем безопасности.

Случаи внедрения подобного рода кода, задействующего мощности большого количества компьютеров посредством веб-браузера, довольно распространены, но характерна для сомнительного рода ресурсов вроде бесплатных или поддельных файлохранилищ. Такой вид фонового заработка для владельцев сайтов часто более приемлем, чем демонстрация навязчивой рекламы, отталкивающей посетителей. При этом использование веб-скриптов, исполняющихся на центральном процессоре, является, пожалуй, наименее эффективным способом добычи криптовалют, особенно нежелательным для мобильных устройств, которые будут быстро разряжаться и греться.

Появление подобного рода зловредов на сайтах с максимальным уровнем доверия является прецедентом, требующим обратить более серьёзное внимание на вопросы безопасности в Интернете, особенно связанные с использованием готовых сторонних модулей. К счастью, в данном случае исследователи безопасности быстро выявили проблему.

Скотт Гельм рекомендует владельцам сайтов использовать инструменты SRI и CSP, чтобы избежать подобного рода внедрений нежелательного кода. Рядовые же пользователи могут установить плагин No Coin для браузеров Firefox, Chrome. С недавних пор мобильная и настольная версии Opera имеют встроенную защиту от добычи криптовалют.

«Доктор Веб» сообщает о появлении новой вредоносной программы, главной задачей которой является скрытый майнинг криптовалют.

Зловред получил обозначение Android.CoinMine.15, но он известен также как ADB.miner. Заражению подвержены Android-устройства с открытым портом 5555, который используется интерфейсом отладчика Android Debug Bridge (ADB). В ОС Android отладчик ADB по умолчанию отключен, однако некоторые производители всё же оставляют его включенным. Кроме того, ADB по каким-либо причинам может быть включен самим пользователем.

Сообщается, что под ударом оказались не только смартфоны и планшеты, но и «умные» телевизоры, телевизионные приставки, роутеры, медиаплееры и ресиверы.

В процессе работы зловред в непрерывном цикле случайным образом генерирует IP-адрес и пытается подключиться к порту 5555. В случае успеха троян предпринимает попытку заразить обнаруженное устройство с использованием интерфейса отладчика ADB. В отдельном потоке Android.CoinMine.15 запускает приложение-майнер.

Таким образом, вредоносная программа способна распространяться самостоятельно — без участия пользователя. Майнинговая функциональность зловреда может привести к заметному снижению быстродействия устройства, его нагреву, а также быстрому расходованию ресурса аккумулятора.

Более подробную информацию о вредоносной программе можно найти здесь.