Сегодня 20 октября 2017
18+
Теги → кибератаки
Быстрый переход

Киберпреступники ведут атаки через уязвимость нулевого дня в Adobe Flash

«Лаборатория Касперского» выявила в Adobe Flash так называемую уязвимость нулевого дня — брешь, для которой на момент обнаружения не существовало «заплатки».

Как сообщается, найденной «дырой» уже воспользовалась киберпреступная группировка BlackOasis. Атакам подверглись коммерческие и правительственные организации в разных странах мира. Говорится, в частности, о жертвах в России, Ираке, Афганистане, Нигерии, Ливии, Иордании, Тунисе, Саудовской Аравии, Иране, Нидерландах, Бахрейне, Великобритании и Анголе.

Схема нападения сводится к следующему. Злоумышленники встраивают эксплойт для обнаруженной «дыры» в файлы Microsoft Word, которые затем распространяются с помощью методов социальной инженерии. После попадания на компьютер этот эксплойт устанавливает шпионскую программу FinSpy, также известную как FinFisher.

Любопытно, что изначально инструмент FinSpy создавался как коммерческое ПО для полицейских операций, которое преимущественно поставлялось государственным организациям и правоохранительным органам нескольких стран. Однако на этот раз FinSpy взяли на вооружение киберпреступники BlackOasis, которые, предположительно, активно использовали эту программу по всему миру с целью международного шпионажа.

«Лаборатория Касперского» подчёркивает, что злоумышленники применяют новейшую версию FinSpy, которая содержит множество технологий, помогающих избегать детектирования. Всё это затрудняет как распознавание, так и анализ данного шпионского ПО.

Что касается уязвимости в Adobe Flash, то разработчики платформы уже выпустили необходимое обновление и рекомендации для пользователей. 

Хакеры всё активнее атакуют инфраструктуру криптоиндустрии

Сетевые злоумышленники постепенно переключают внимание с банковского сектора на инфраструктуру криптоиндустрии. Об этом свидетельствуют данные Group-IB, которые приводит сетевое издание «РИА Новости».

«Мы фиксируем рост количества инцидентов, связанных с воровством у пользователей данных криптокошельков с помощью вредоносных программ и вывода денег. Методы идентичны тем, что используются для атак на пользователей банковских приложений», — говорят эксперты.

Бум криптовалют привёл к тому, что сетевые мошенники всё активнее ищут новые способы нажиться на пользователях. Причём это не всегда выражается в непосредственной краже средств. К примеру, мы рассказывали об оригинальной атаке, в ходе которой киберпреступники «воруют» аппаратные ресурсы компьютеров жертв, осуществляя скрытый майнинг. Причём добыча криптовалюты в пользу атакующих производится в браузере, когда пользователь заходит на определённые сайты. Иными словами, установка вредоносного программного обеспечения на компьютер жертвы не производится.

Помимо вредоносных программ, активно используется компрометация адресов электронной почты, а также получение SIM-карты по поддельным документам для восстановления паролей и получения контроля над счётом в криптовалютных сервисах.

Ущерб от действий злоумышленников в сфере криптовалют уже достиг практически $170 млн. «Доход от атак на криптобиржи варьируется от 1,5 до 72 миллионов долларов, в то время как в результате успешной атаки на банк преступники в среднем зарабатывают всего 1,5 миллиона долларов», — отмечается в докладе Group-IB. 

Вредоносный майнер Monero принёс злоумышленникам десятки тысяч долларов

Компания ESET предупреждает о новой киберпреступной схеме, целью которой является скрытая добыча криптовалюты Monero. Забегая вперёд скажем, что злоумышленники уже добыли незаконным путём десятки тысяч долларов США.

Monero

Monero

Monero — криптовалюта с открытым исходным кодом. Она использует протокол CryptoNote, благодаря которому происходит обфускация (запутывание) финансовых операций.

В рамках выявленной киберкампании преступники заражают веб-серверы вредоносным майнером криптовалюты Monero (XMR). Злоумышленники незначительно изменили легитимную программу xmrig для добычи Monero, добавив в код адрес своего кошелька и майнинговый пул URL.

Monero

Monero

Для скрытой установки вредоносного майнера на веб-серверы атакующие используют уязвимость службы WebDAV в операционной системе Windows Server 2003 R2. По оценкам, сформированный ботнет может насчитывать несколько сотен компьютеров. Заработок киберпреступников уже превысил 60 тысяч долларов США.

Эксперты ESET отмечают, что злоумышленники выбрали в качестве мишени систему Monero по нескольким причинам. В отличие от Bitcoin, майнинг XMR не требует использования специального оборудования. Кроме того, Monero обеспечивает анонимность сделок — транзакции отследить невозможно. Подробнее об атаке можно узнать здесь

ФСБ: угроза техногенных катастроф из-за кибератак террористов очень высока

Прежде терроризм в виртуальном пространстве проявлялся преимущественно в виде кибератак на государственные информационные ресурсы, однако «прогресс» в этом направлении не стоит на месте. По словам директора Федеральной службы безопасности генерала армии Александра Бортникова, преступные организации создают собственные «киберподразделения», задача которых — воздействовать на объекты жизненно важной и критической инфраструктуры с целью спровоцировать техногенные аварии и экологические катастрофы.

ФСБ располагает информацией о том, что террористы интенсивно расширяют связи с хакерами. В связи с этим следует ожидать, что сложность и изощрённость осуществляемых ими кибератак будет расти. Как заявил Бортников во время совещания руководителей спецслужб в Краснодаре, кибертерроризм становится всё более реальной угрозой мировому сообществу.

Кроме того, глава ФСБ отметил, что число пропагандистских сайтов международных террористических организаций уже превысило десяток тысяч, также террористам принадлежат сотни тысяч аккаунтов в популярных социальных сетях. С помощью соцсетей ведётся психологическая обработка и привлечение новых сторонников, сбор средств и обучение методам диверсионных актов и тактике боевых действий.

В качестве одной из мер противодействия компьютерным атакам Бортников предлагает создать международный правовой режим запрета на разработку вредоносного программного обеспечения. Отметим, что в России написание вирусов считается уголовным преступлением и наказывается лишением свободы на срок до семи лет.

Новая версия банковского трояна BankBot атакует Android-пользователей

Компания ESET предупреждает о появлении новой модификации довольно опасной вредоносной программы BankBot, крадущей банковские данные владельцев Android-устройств.

Злоумышленники маскируют зловреда под различные легальные приложения. К примеру, новая версия распространяется под видом игры Jewels Star Classic. Установка такой программы приводит к попаданию на смартфон или планшет вредоносных модулей.

Обнаруженная модификация BankBot получила улучшенную обфускацию (запутывание) кода и сложный механизм заражения, использующий службу специальных возможностей Android Accessibility Service. Через некоторое время после запуска троян отображает сообщение с предложением активировать службу Google Service в меню специальных возможностей Android. Если пользователь соглашается, BankBot получает полную свободу действий на устройстве.

В частности, зловред разрешает установку приложений из неизвестных источников, устанавливает компонент мобильного банкера и запускает его, активирует права администратора для основного модуля и пр.

Главная задача вредоносной программы заключается в краже данных банковских карт жертвы. Когда пользователь запускает Google Play, троян перекрывает экран легального приложения фальшивой формой ввода банковских данных и требует подтвердить правильность сохранённой информации. Полученные сведения затем отсылаются злоумышленникам. 

Взлом криптовалютных кошельков может быть осуществлён через сотовые сети

Компания Positive Technologies продемонстрировала сценарий получения несанкционированного доступа к криптовалютным кошелькам через уязвимости сотовых сетей.

Схема атаки предусматривает эксплуатацию архитектурных недостатков сетей SS7 (ОКС-7). Это набор сигнальных телефонных протоколов, используемых для настройки большинства телефонных станций по всему миру на основе сетей с канальным разделением по времени. В основе SS7 лежит использование аналоговых или цифровых каналов для передачи данных и соответствующей управляющей информации.

В ходе эксперимента по взлому тестового кошелька в Coinbase исследователям достаточно было минимальных сведений о жертве (имя, фамилия и номер телефона), чтобы получить пароль от аккаунта и беспрепятственно вывести виртуальные деньги. Эксплуатируя уязвимости SS7 для перехвата SMS-сообщений с одноразовыми паролями, эксперты смогли узнать адрес электронной почты, привязанной к кошельку, захватить над ней контроль и получить доступ к кошельку.

Специалисты указывают на то, что продемонстрированная схема взлома криптовалютного кошелька может быть реализована злоумышленниками из любого уголка мира. Таким образом, киберпреступники могут атаковать пользователей из других стран и даже с других континентов, что серьёзно затруднит проведение расследований инцидентов.

«Криптовалюты предлагают невиданную ранее скорость транзакций и безопасность переводов, однако защищённость электронных кошельков, в которых эти деньги хранятся, является слабым местом», — говорят специалисты Positive Technologies. 

Злоумышленники скрытно добывают криптовалюту через браузеры россиян

Компания ESET предупреждает о появлении новой вредоносной программы, главной задачей которой является скрытая добыча криптовалют через браузеры пользователей.

Зловред получил название JS/CoinMiner.A. На сегодняшний день львиная доля его атак приходится на российских пользователей. Так, по данным ESET, в нашей стране зафиксировано приблизительно 65,29 % всех нападений. Ещё 21,95 % пришлось на Украину, 6,49 % — на Беларусь.

Главная особенность выявленной киберкампании заключается в том, что добыча криптовалюты в пользу атакующих производится напрямую в браузере, когда пользователь заходит на определённые сайты. Иными словами, установка вредоносного программного обеспечения на компьютер жертвы не производится.

Скрипты для майнинга внедряют в популярные сайты с потоковым видео или браузерными играми, где пользователи проводят сравнительно много времени. Эти ресурсы ожидаемо загружают процессор, что позволяет замаскировать дополнительную нагрузку от майнера. Таким образом, скрипт функционирует дольше, оставаясь незамеченным.

Страны, где наиболее активен веб-майнер / ESET

Страны, где наиболее активен веб-майнер / ESET

Компьютеры пользователей работают на нужды злоумышленников в течение того времени, когда вредоносная страница открыта в браузере. С помощью веб-майнера мошенники добывают криптовалюты Feathercoin, Litecoin и Monero.

«Может показаться, что идея майнинга в браузере противоречит здравому смыслу, поскольку добыча биткоинов требует высокопроизводительных CPU. Но авторы веб-майнера выбрали криптовалюты, не требующие наличия специального оборудования — проще обеспечить достаточное число компьютеров, заражая сайты, а не сами машины», — говорят эксперты. 

Сбербанк рассказал о борьбе с преступностью в Интернете

Сбербанк отрапортовал об успехах по борьбе с киберпреступностью в Сети в текущем году: выявлены сотни мошеннических площадок и вредоносных сайтов.

Сообщается, что борьба с преступностью в Интернете осуществляется по инициативе Службы кибербезопасности Сбербанка. «Мы уделяем самое пристальное внимание вопросам борьбы с фишингом. Однако выявить и провести необходимые действия по сайтам преступников — полдела. На "удочку" мошенников попадаются люди доверчивые, не обладающие должными навыками защиты от киберфрода. Именно поэтому приоритеты Сбербанка сдвигаются в сторону профилактических мер по повышению финансовой грамотности населения», — говорят представители банка.

Итак, сообщается, что с начала года удалось выявить свыше 600 доменных имён, использовавшихся для фишинговых атак. Кроме того, обнаружено и закрыто приблизительно 200 мошеннических площадок и более 1300 сайтов, распространявших вредоносное программное обеспечение.

Исследования показывают, что самая распространённая уловка фишеров — рассылка сообщений заманчивого или, наоборот, пугающего содержания с предложением либо направить персональные данные (логины, пароли банковских карт), либо перейти по ссылке на некий сайт, на котором опять же нужно ввести свои данные. Более 48 % интернет-пользователей, получающих фишинговые письма, откликаются на них и становятся жертвами преступников. 

Обнаружен новый инструмент кибергруппировки Turla

Компания ESET сообщает об обнаружении ранее неизвестной вредоносной программы, которая используется в атаках на правительственные и дипломатические учреждения Европы и бывших союзных республик.

Речь идёт о киберпреступной программе под названием Turla. От действий злоумышленников пострадали пользователи в более чем 45 странах. Причём за этой масштабной атакой, предположительно, стоят русскоязычные организаторы.

Кибергруппа Turla специализируется на кибершпионаже. Хакеры используют широкий спектр инструментов, один из которых — обнаруженный бэкдор под названием Gazer.

Исследование показало, что зловред установлен на компьютерах в ряде стран мира, но преимущественно в Европе. Gazer получает задачи в зашифрованном виде с удалённого командного сервера и выполняет их в заражённой системе или на других машинах сети. В каждом образце Gazer предусмотрены уникальные ключи для шифрования и расшифровки отправляемых и получаемых данных. Авторы Gazer используют собственную библиотеку для шифрования 3DES и RSA, вместо общедоступных.

Любопытно, что злоумышленники применяют виртуальную файловую систему, чтобы избежать обнаружения вредоносной программы антивирусными продуктами. Это позволяет продолжать атаки даже в том случае, если на компьютере применяются современные средства обеспечения безопасности.

«Авторы Gazer проделали большую работу, чтобы избежать его детектирования. Для этого, в частности, предназначено удаление файлов из скомпрометированной системы и изменение строк кода», — говорят эксперты. 

Кража средств с помощью WAP-биллинга набирает обороты

Исследование, проведённое «Лабораторией Касперского», показало, что киберпреступники всё чаще используют вредоносные программы для кражи денег посредством WAP-биллинга.

Услуга WAP-биллинга — это вид мобильных платежей, предусматривающий списание средств напрямую с баланса лицевого счёта мобильного телефона без необходимости регистрации банковской карты или создания имени пользователя и пароля. Этот механизм схож с оплатой с помощью Premium SMS, но в данном случае отправлять какие-либо SMS-сообщения не нужно. Более распространённое название услуги — WAP-подписки.

С точки зрения пользователя, страница, использующая оплату посредством WAP-подписок, ничем не отличается от других. Как правило, такие страницы содержат полную информацию о платеже и кнопку. После нажатия на неё пользователь перенаправляется на сервер оператора сотовой связи, на котором может быть указана дополнительная информация и который может запросить окончательное подтверждение платежа, попросив пользователя нажать на очередную кнопку.

«Лаборатория Касперского» обнаружила сразу несколько зловредов, эксплуатирующих систему WAP-биллинга. Такие трояны сначала отключают Wi-Fi и включают мобильную передачу данных, поскольку WAP-подписки возможны только при подключении к Интернету через мобильное подключение. Затем открывается ссылка, которая перенаправляет жертву на веб-страницу WAP-биллинга. Обычно такие трояны загружают веб-страницы и нажимают кнопки при помощи файлов JavaScript (JS). После этого они удаляют входящие SMS-сообщения от сотового оператора, содержащие информацию о подписках.

Сообщается, что обнаруженные зловреды созданы различными группами злоумышленников. Эти программы нацелены прежде всего на пользователей из России и Индии. 

Киберпреступная схема «вымогатель как услуга» набирает популярность

Исследование, проведённое компанией Positive Technologies, показало, что во втором квартале текущего года продолжили набирать популярность сервисы «вымогатели как услуга» по сдаче троянов в аренду. США и Россия стали наиболее частыми жертвами атак, хотя больше четверти (28 %) киберкампаний были масштабными и затронули одновременно десятки стран.

Схема работы зловредов-вымогателей сводится к следующему. Проникнув на устройство жертвы, вредоносная программа шифрует файлы распространённых форматов. Далее на экран выводится сообщение с требованием выкупа за восстановление доступа к данным. Обычно жертве предлагается заплатить некую сумму в криптовалюте.

По статистике Positive Technologies, 67 % атак шифровальщиков во втором квартале текущего года были совершены с целью получения прямой финансовой выгоды. Так, нашумевшая эпидемия вируса-вымогателя WannaCry принесла злоумышленникам около $130 тыс., а ущерб компаний составил более миллиарда долларов.

Киберпреступники всё чаще сдают вредоносное ПО с функциями шифрования в аренду. Так, дистрибьютор Petya или Mischa получает от 25 % до 85 % от суммы платежей жертв, а троян-шифровальщик Karmen продаётся на чёрном рынке за $175.

Аналитики отмечают появление новых нестандартных цепочек проникновения в целевую систему. Например, группировка Cobalt использовала произвольные уязвимые сайты в качестве хостинга для вредоносного ПО. Члены группировки APT10 в ходе целевых атак сначала получали доступ в корпоративные сети провайдеров облачных сервисов, а затем по доверенным каналам проникали в сеть организаций-жертв. 

В письмах с «билетами в США» скрывается троян, ворующий пароли

Компания ESET предупреждает о том, что сетевые злоумышленники организовали вредоносную спам-рассылку с целью кражи паролей из браузеров и почтовых приложений.

Потенциальная жертва получает по электронной почте уведомление от лица авиакомпании Delta Air Lines. В письме сообщается, что билет в Вашингтон (столица США) успешно оплачен и его можно получить по указанной ссылке.

Тем, кто перейдёт на веб-страницу, будет предложено загрузить документ Microsoft Office. Этот файл вместо обещанного билета в США содержит специальный макрос. Если жертва игнорирует сообщение безопасности и включает макрос, происходит заражение компьютера трояном PSW.Fareit.

Названная вредоносная программа предназначена для кражи логинов и паролей, сохранённых в веб-браузерах Internet Explorer, Google Chrome, Mozilla Firefox и др., а также в приложениях для работы с электронной почтой Windows Live Mail и Mozilla Thunderbird.

Любопытно, что после кражи информации и её отправки на сервер киберпреступников троян уничтожает все следы своей активности и удаляется из системы. Злоумышленники же, имея логины и пароли жертвы, могут получить несанкционированный доступ к различным веб-сервисам, в которых зарегистрирован пользователь. Понятно, что это может обернуться утечкой конфиденциальной информации и финансовыми потерями. 

Число киберпреступлений в России за три года выросло шестикратно

Проведена очередная встреча руководителей прокурорских служб стран БРИКС, посвящённая вопросам противодействия киберпреступности.

В ходе мероприятия выступил генеральный прокурор Российской Федерации Юрий Чайка. По его словам, в нашей стране число преступлений, совершаемых с использованием современных информационно-коммуникационных технологий, с 2013 по 2016 год увеличилось в шесть раз — с 11 тыс. до 66 тыс. В нынешнем году уже отмечен 26-процентный рост — зафиксировано около 40 тыс. киберинцидентов.

Всё большую распространённость получают кибермошенничество, информационные блокады, компьютерный шпионаж, а также другие преступления, представляющие повышенную опасность для общества. Значительное число преступлений, совершаемых с использованием современных информационных технологий, связано с незаконным оборотом наркотических средств и психотропных веществ.

По данным официальной статистики, в России за первое полугодие 2017 года ущерб от киберпреступлений составил более 18 млн долларов США.

В последнее время участились случаи компьютерных атак на информационную инфраструктуру и системы управления государственных органов и учреждений.

Генеральная прокуратура отмечает, что в ходе мониторинга российских и иностранных социальных сетей выявляются многочисленные текстовые и видеоматериалы, оправдывающие и пропагандирующие деятельность террористических и экстремистских сообществ, призывающие к экстремизму. Такие сайты блокируются во внесудебном порядке. За три с половиной года был закрыт доступ более чем к 3 тыс. интернет-страницам, с 50 тыс. ресурсов удалена противоправная информация. 

Троян Joao атакует пользователей онлайновых игр

Компания ESET предупреждает о появлении новой вредоносной программы, жертвами которой становятся поклонники онлайновых игр.

Зловред носит имя Joao. Он распространяется вместе с играми разработчика Aeria Games, доступными на неофициальных площадках. Главное предназначение Joao — загрузка и запуск в заражённой системе другого вредоносного кода.

Joao запускается на компьютере жертвы в фоновом режиме одновременно с игровым приложением, чтобы избежать подозрений пользователя. Инфицированная версия игры отличается только наличием «лишнего» файла mskdbe.dll в установочной папке.

После проникновения на ПК зловред собирает различную информацию. Это, в частности, имя устройства, версия операционной системы, сведения об учётной записи пользователя и привилегиях. Эта информация затем отправляется на сервер злоумышленников. Киберпреступники, в свою очередь, могут отдать трояну команды на установку тех или иных компонентов.

География распространения трояна

География распространения трояна

В зависимости от целей злоумышленников на компьютер жертвы могут быть загружены модули для удалённого доступа, шпионажа и проведения DDoS-атак (распределённых атак типа «отказ в обслуживании»). Случаи заражения зловредом Joao зафиксированы во многих странах, в том числе в России. 

Новый троян-майнер нацелен на платформу Linux

«Доктор Веб» предупреждает о появлении новой вредоносной программы, главной задачей которой является использование вычислительных ресурсов инфицированных компьютеров для добычи криптовалют.

Обнаруженный зловред атакует системы под управлением Linux: майнер получил обозначение Linux.BtcMine.26. Программа предназначена для добычи Monero (XMR) — криптовалюты, созданной в 2014 году.

Схема распространения зловреда сводится к следующему. Злоумышленники соединяются с атакуемым устройством по протоколу Telnet, подобрав логин и пароль, после чего сохраняют на нём программу-загрузчик. Затем киберпреступники запускают эту программу из терминала с помощью консольной команды, и на устройство загружается троян Linux.BtcMine.26.

Любопытно, что в коде загрузчика несколько раз встречается адрес сайта krebsonsecurity.com, принадлежащего известному эксперту по информационной безопасности Брайану Кребсу. С чем это связано, пока не совсем ясно.

В настоящее время известны сборки вредоносной программы для аппаратных архитектур x86-64 и ARM. Характерными признаками присутствия майнера могут служить снижение быстродействия устройства и увеличение тепловыделения в процессе его работы.