Теги → киберпреступность
Быстрый переход

Банковский троян DanaBot угрожает европейским пользователям

Компания ESET предупреждает о росте активности вредоносной программы DanaBot, которая атакует пользователей устройств под управлением операционных систем Windows.

Названный зловред — это банковский троян. Программа имеет модульную архитектуру, а в основе большинства её функций лежат плагины. Так, например, модуль Sniffer внедряет вредоносный скрипт в браузер жертвы. Плагин Stealer, в свою очередь, собирает пароли из широкого спектра приложений — браузеры, FTP-клиенты, VPN-клиенты, чаты и почтовые клиенты, онлайн-покер и пр.

Вредоносная программа DanaBot написана на языке Delphi. В настоящее время зловред атакует европейских пользователей.

Злоумышленники, стоящие за распространением DanaBot, используют спам-рассылки, которые имитируют счета от различных компаний.

Отмечается, что операторы DanaBot недавно внесли изменения в архитектуру трояна, добавив новые функции. «У них появился плагин TOR, который потенциально можно использовать для создания скрытого канала связи между злоумышленником и жертвой, а также 64-битная версия Stealer-плагина и новый плагин для удалённого доступа к рабочему столу», — говорят в ESET. 

Пользователи AliExpress рискуют оказаться в фальшивом интернет-магазине

«Доктор Веб» предупреждает о том, что сетевые мошенники организовали новую киберкампанию, нацеленную на пользователей популярной торговой площадки AliExpress.

Зафиксирована массовая рассылка электронных писем от имени компании Alibaba Group — владельца платформы AliExpress. В этих сообщениях говорится о том, что адресат ранее являлся активным покупателем на сайте AliExpress, приобретал там товары и оставлял отзывы, в связи с чем ему предоставляется доступ к особому интернет-магазину с многочисленными скидками и подарками.

При переходе по указанной ссылке пользователь оказывается на сайте, оформленном в стиле интернет-магазина. Однако любые попытки сделать здесь заказ приводят к переадресации на другие сайты, многие из которых ранее были замечены в мошеннических действиях.

Атака нацелена на русскоязычных пользователей. Причём письма содержат обращение к получателю по имени. По мнению экспертов, информацию о реальных клиентах AliExpress мошенники могли получить, воспользовавшись купленной или украденной базой данных одного из многочисленных кешбэк-сервисов.

Более подробную информацию о киберсхеме можно найти здесь

Обнаружена первая атака с использованием UEFI-руткита

Компания ESET раскрыла первую известную атаку, в ходе которой задействован руткит для системы Unified Extensible Firmware Interface (UEFI).

UEFI — это интерфейс между операционной системой и микропрограммами, управляющими низкоуровневыми функциями оборудования. Зловреды для UEFI представляют собой мощный инструмент для кибератак: их сложно обнаружить, и они сохраняют присутствие в системе даже после переустановки ОС или замены накопителя.

Как сообщает ESET, в ходе обнаруженной атаки задействован руткит LoJax. В основу зловреда положена переработанная злоумышленниками версия легитимной программы LoJack от разработчика Absolute Software. Задача LoJack заключается в защите компьютера от потери или кражи. Эта программа реализована как модуль UEFI/BIOS, благодаря чему может пережить переустановку ОС или замену накопителя. LoJack при необходимости информирует законного владельца о местонахождении ПК.

Руткит LoJax сохранил «живучесть» легальной версии программы. Его основной задачей является загрузка на компьютер жертвы различных вредоносных компонентов и контроль их выполнения.

«Обнаружение LoJax доказывает, что этот тип вредоносного ПО представляет собой реальную, а не теоретическую угрозу», — отмечает ESET. 

Банковский троян Roaming Mantis атакует iOS-устройства

«Лаборатория Касперского» предупреждает о том, что мобильным устройствам под управлением операционной системы iOS угрожает вредоносная программа Roaming Mantis.

Названный зловред — это банковский троян, который изначально атаковал гаджеты на базе Android по всему миру. Теперь внимание злоумышленников привлекли смартфоны iPhone и планшеты iPad.

В частности, Roaming Mantis использует фишинговые методы с целью кражи учётных данных пользователей iOS. Когда жертвы обращаются к веб-странице с мобильного устройства, происходит перенаправление на специальный сайт, где злоумышленники крадут идентификатор пользователя, пароль, номер банковской карты, её срок действия и код CVV.

Более того, Roaming Mantis пытается использовать iOS-устройства с целью скрытой добычи криптовалют. В частности, его основной инструмент — сервис криптовалютного майнинга CoinHive, посредством которого ранее трояном заражались ПК.

«Лаборатория Касперского» также выяснила, что киберпреступники, стоящие за атаками Roaming Mantis, улучшают средства уклонения от обнаружения. Россия входит в число наиболее часто атакуемых зловредом стран. 

Российских пользователей Android атакует опасный банковский троян

«Лаборатория Касперского» предупреждает о том, что в России наблюдается масштабная кампания по заражению Android-устройств опасной вредоносной программой под названием Asacub.

Названный зловред — это троян, главной задачей которого является кража данных банковских карт жертвы. Кроме того, Asacub может выполнять ряд других функций. В частности, программа способна отправлять злоумышленникам информацию о заражённом устройстве и список контактов, звонить на определённые номера, отправлять SMS-сообщения с указанным текстом на указанный номер, закрывать определённые приложения и пр.

Схема распространения зловреда выглядит следующим образом. Пользователь получает SMS со знакомого номера с тем или иным текстом и предложением перейти по указанной ссылке. При переходе на такой сайт открывается страница загрузки трояна с инструкциями по его установке.

Изображения «Лаборатории Касперского»

Изображения «Лаборатории Касперского»

Как уже было отмечено, сообщения приходят со знакомого номера. Более того, троян обращается к жертвам по имени. Достигается это за счёт того, что сообщения рассылаются со смартфона предыдущей жертвы и в них автоматически подставляются те имена, под которыми номера записаны в телефонной книге на заражённом аппарате.

В настоящее время количество российских пользователей Android, которым приходят сообщения от зловреда, достигает 40 тыс. в сутки. 

Каждая третья утечка данных в России оборачивается увольнениями

Исследование, проведённое «Лабораторией Касперского», говорит о том, что кражи и утечки данных в нашей стране зачастую оборачиваются увольнениями сотрудников пострадавших компаний.

По статистике, за последний год проблема утечки конфиденциальной информации затронула треть — 32 % — российских компаний. При этом значительную долю скомпрометированных сведений (40 %) составили личные данные клиентов и сотрудников компании.

Понятно, что такие инциденты наносят серьёзный удар по бизнесу и репутации пострадавших компаний. Кроме того, подобные атаки оборачиваются серьёзными финансовыми потерями. Так, каждой третьей компании пришлось заплатить компенсации пострадавшим клиентам. Каждая четвёртая организация сообщила, что после инцидента у неё возникли проблемы с привлечением новых клиентов. А каждая пятая была вынуждена заплатить штраф.

Поэтому неудивительно, что утечки конфиденциальной информации приводят к увольнениям сотрудников IT-подразделений. В частности, чаще всего из-за подобных кибератак работы лишаются руководители IT-отделов — в 31 % случаев. Каждая четвёртая компания вынуждена расстаться со специалистами, не имеющими никакого отношения к IT. А в 9 % случаев работу теряют самые высокопоставленные сотрудники, в частности, генеральные директора.  В целом, каждая третья утечка данных в России оборачивается увольнениями.

Доля целевых атак в Сети превысила 50 процентов

Исследование, проведённое компанией Positive Technologies, говорит о том, что количество киберинцидентов во втором квартале текущего года выросло практически в полтора раза (на 47 %) по сравнению со второй четвертью 2017-го.

В период с апреля по июнь включительно было зафиксировано большое количество целевых атак на различные организации. Доля таких кибернападений превысила долю массовых атак, достигнув 54 %.

Эксперты отмечают, что киберпреступники продолжают изобретать новые методы воздействия на пользователей, которые позволили бы им заразить целевую систему вредоносным ПО, украсть деньги или получить доступ к конфиденциальной информации. В настоящее время примерно каждая четвёртая кибератака нацелена на частных лиц.

Сетевые злоумышленники всё чаще проводят атаки с целью получения конфиденциальной информации. Интерес для преступников представляют прежде всего персональные данные, учётные записи и данные банковских карт.

В прошлом квартале отмечено большое количество атак на криптовалютные сети, такие как Verge, Monacoin, Bitcoin Gold, ZenCash, Litecoin Cash. В результате злоумышленники похитили в общей сложности более 100 млн долларов США.

«Если говорить о прогнозах, то, вероятно, сохранится тенденция к увеличению доли атак, направленных на хищение данных. Многие компании уделяют недостаточно внимания защите обрабатываемой информации, что делает её легкой добычей даже для низкоквалифицированных хакеров», — отмечает Positive Technologies. 

Киберпреступники атакуют пользователей Windows через уязвимость «нулевого дня»

Компания ESET предупреждает о том, что киберпреступная группировка PowerPool проводит атаки с использованием пока не закрытой «дыры» в операционных системах Microsoft Windows.

Речь идёт об уязвимости «нулевого дня», информация о которой была раскрыта в конце августа нынешнего года. Брешь связана с работой планировщика задач Windows. Злоумышленники могут повысить свои привилегии в системе и выполнить на компьютере жертвы произвольный программный код. Уязвимость затрагивает операционные системы Windows версий с 7 по 10.

Участники кибергруппы PowerPool используют брешь при проведении целевых атак. Нападения уже зафиксированы во многих странах, в том числе в России.

Атака начинается с рассылки вредоносных спам-писем с бэкдором первого этапа. Вредоносная программа предназначена для базовой разведки — она выполняет команды злоумышленников и передаёт собранные данные на удалённый сервер. Если компьютер заинтересовал киберпреступников, на него загружается бэкдор второго этапа: эта вредоносная программа предоставляет постоянный доступ к системе.

Таким образом, злоумышленники получают возможность красть конфиденциальную информацию и выполнять произвольные действия на инфицированном компьютере. 

ФСБ сформировала центр по компьютерным инцидентам

Федеральная служба безопасности Российской Федерации (ФСБ) сформировала Национальный координационный центр по компьютерным инцидентам (НКЦКИ).

Как сообщается в документе, опубликованном на Официальном интернет-портале правовой информации, новая структура является составной частью сил, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

НКЦКИ предстоит решать довольно широкий спектр задач. В частности, структура будет отвечать за обмен данными о компьютерных инцидентах между субъектами критической информационной инфраструктуры. Кроме того, специалисты центра займутся обнаружением, предупреждением и ликвидацией последствий компьютерных атак.

Новая структура будет отвечать за сбор, хранение и анализ информации о компьютерных инцидентах. Центру также предстоит распространять и публиковать информационные и справочные материалы, участвовать в работе научно-технических конференций, симпозиумов, совещаний и выставок по вопросам, связанным с киберпреступлениями и атаками в сетевом пространстве.

Центр в процессе работы сможет привлекать к реагированию на компьютерные инциденты организации и экспертов, осуществляющих деятельность в соответствующей области. 

Фальшивый Viber шпионит за пользователями Android-устройств

Компания ESET предупреждает о том, что пользователей устройств на базе операционной системы Android атакует новая вредоносная программа, выдающая себя за популярный мессенджер Viber.

Обнаруженный зловред выполняет шпионские функции. Попав на смартфон или планшет, программа запрашивает расширенные права в системе. Это, в частности, доступ к контактам, звонкам и сообщениям, возможность записи аудиофайлов и операций с контентом на SD-карте.

Согласившись на запрос зловреда, жертва рискует потерять конфиденциальную информацию. Шпион способен красть самые разные данные — документы, пересылаемые в чатах WhatsApp и WeChat, фотографии, загруженные файлы и пр. Более того, вредоносная программа может записывать телефонные разговоры.

Специалисты ESET выяснили, что зловред распространяется через фальшивые магазины приложений, имитирующие сервис Google Play. На страницах подделки есть значок «Выбор редакции», количество загрузок (больше 500 млн) и средняя оценка пользователей (4,3 балла) — всё как у настоящего Viber в Google Play. Это может ввести потенциальную жертву в заблуждение, что повышает шансы на успех кибератаки. 

Многофункциональные зловреды всё чаще атакуют пользователей Интернета

Исследование, проведённое «Лабораторией Касперского», говорит о том, что сетевые злоумышленники всё чаще применяют универсальные вредоносные программы, позволяющие реализовывать атаки разного типа.

Эксперты проанализировали активность 60 000 ботнетов — сетей инфицированных устройств. Оказалось, что их владельцы переключают внимание на использование многофункциональных зловредов, которые можно модифицировать под практически неограниченное количество задач. Это может быть, скажем, рассылка спама, организация DDoS-атак или распространение банковских троянов.

Исследование, в частности, показало, что в течение первой половины текущего года доля бэкдоров выросла с 6,6 % до 12,2 % от общего числа циркулируемых в ботнетах зловредов. Бэкдоры не имеют специфического предназначения, но дают возможность удалённо контролировать заражённую систему. Такие программы предоставляют злоумышленникам широкий набор функций — от сохранения скриншотов и нажатий клавиш до непосредственного управления устройством.

Отмечается также, что за первые шесть месяцев этого года доля программ-загрузчиков поднялась с 5 % (во второй половине 2017 года) до 12 %. Популярность таких зловредов связана с тем, что они дают возможность загрузить в заражённую систему любые дополнительные компоненты для реализации той или иной атаки.

Наконец, зафиксировано увеличение популярности майнеров: их доля выросла за полгода с 2,7 % до 5 %. Такие программы активно распространяются из-за того, что ботнет всё чаще рассматривается как инструмент для генерации криптовалют. 

Операция AppleJeus: криптовалютная биржа подверглась атаке macOS-зловреда

«Лаборатория Касперского» раскрыла новую киберпреступную кампанию, за которой, предположительно, стоит известная группировка Lazarus.

Группа Lazarus известна с 2009 года, а с 2011 года она заметно активизировалась. Это сообщество злоумышленников ответственно за такие известные атаки, как Troy, Dark Seoul (Wiper), WildPositron. Кроме того, Lazarus имеет отношение к нашумевшей атаке вымогателя WannaCry.

Новая киберпреступная операция получила название AppleJeus, а её целью стала криптовалютная биржа в Азии. Атака была осуществлена с помощью заражённого программного обеспечения для торговли криптовалютами. Любопытно, что разработчик этого софта имеет действующий цифровой сертификат для подписи своих программ, а его регистрационные доменные записи выглядят легитимно. Но эксперты не смогли идентифицировать ни одну легальную организацию, которая была бы размещена по адресу, указанному в информации о сертификате.

Заражённое ПО в целом не представляет опасности — угрозу таит лишь один компонент, который отвечает за обновления. Он способен собирать данные о системе и отправлять их злоумышленникам. А под видом апдейтов на компьютер жертвы загружаются вредоносные компоненты: это, в частности, троян Fallchill — старый инструмент Lazarus.

«После установки Fallchill предоставляет атакующим практически неограниченный доступ к компьютеру жертвы, позволяя им красть ценную финансовую информацию или развёртывать дополнительные инструменты в зависимости от цели и обстоятельств», — отмечает «Лаборатория Касперского»

Любопытно, что в ходе атаки AppleJeus применяются сразу две версии трояна. Одна из них нацелена на Windows-системы. Другую модификацию злоумышленники создали специально для заражения компьютеров на базе macOS.

«Мы заметили растущий интерес Lazarus к рынкам криптовалют в начале 2017 года, когда группировка установила на одном из своих серверов ПО для майнинга Monero. С тех пор их неоднократно замечали в атаках на криптовалютные биржи и другие финансовые организации. На этот раз они разработали отдельное ПО для заражения пользователей macOS, расширив таким образом круг потенциальных жертв», — заключают специалисты. 

Почти половина самых популярных сайтов в Интернете несут угрозу

Более 40 процентов самых посещаемых сайтов во Всемирной сети потенциально могут нанести вред компьютеру или доставить неприятности пользователям Интернета. Такие данные приводит «Лаборатория Касперского», ссылаясь на исследование Menlo Security.

Эксперты говорят, что проблема заключается не только в том, что посещаемый ресурс может содержать вредоносный код. Большинство современных сайтов используют разнообразный сторонний контент — это баннеры рекламных сетей, изображения и потоковое видео, встраиваемые карточки постов в соцсетях и пр. Такие подгружаемые материалы могут нести дополнительную угрозу.

Исследование, в частности, показало, что посещение 42 % ресурсов из списка самых популярных сайтов Alexa Top 100 000 связано с определёнными рисками. Все исследованные ресурсы используют разнообразный сторонний контент, причём в среднем — из 25 источников.

Этим положением дел активно пользуются злоумышленники, взламывающие популярные источники контента с целью распространения вредоносного программного обеспечения.

Ещё одной глобальной проблемой является применение устаревшего серверного софта. Эксперты говорят, что некоторые ресурсы не обновляют серверное ПО годами и даже десятилетиями. 

Количество вредоносных майнеров стремительно растёт

Данные, собранные «Лабораторией Касперского», говорят о том, что количество вредоносных программ для скрытой добычи криптовалют быстро растёт.

Злоумышленники отказываются от распространения шифровальщиков, отдавая предпочтение майнерам. Это обеспечивает пусть и небольшой, но постоянный доход, а не потенциально существенный одноразовый выкуп, как в случае с вымогателями.

Основной способ установки майнеров — это инсталляторы рекламного ПО, распространяемые с помощью социальной инженерии. Но есть и более изощрённые варианты, например, распространение посредством уязвимостей.

Процесс обнаружения майнеров сопряжён с рядом трудностей, поскольку пользователи зачастую сами устанавливают подобные программы ради добычи криптовалют, не подозревая, что мощности их устройства эксплуатируют киберпреступники.

Сообщается, что во втором квартале текущего года «Лаборатория Касперского» обнаружила приблизительно 14 тыс. новых модификаций майнеров. Эти зловреды атаковали компьютеры более 2,2 млн пользователей по всему миру.

Присутствие майнера в системе может обернуться резким уменьшением производительности компьютера и ростом расходов на электричество. В случае мобильных устройств возможен выход аккумулятора или даже основной платы из строя из-за большой вычислительной нагрузки и перегрева. 

Новый Android-троян подменяет номера электронных кошельков в буфере обмена

«Доктор Веб» предупреждает о распространении новой вредоносной программы, нацеленной на устройства под управлением операционных систем Android.

Зловред получил название Android.Clipper; на сегодняшний день известны как минимум две его модификации. Главная задача трояна заключается в подмене номеров электронных кошельков в буфере обмена с целью пересылки денег злоумышленникам.

При запуске на инфицированном устройстве зловред выводит поддельное сообщение об ошибке и продолжает работу в скрытом режиме. При этом одна из версий программы маскируется под приложение для работы с электронными кошельками Bitcoin.

После проникновения на смартфон или планшет зловред начинает отслеживать изменения содержимого буфера обмена. Если троян обнаруживает, что пользователь скопировал в буфер номер электронного кошелька, он отсылает этот номер на управляющий сервер. В ответ высылается номер кошелька киберпреступников, который требуется вставить в буфер обмена вместо исходного. В результате, деньги переводятся мошенникам.

Вредоносная программа может подменять номера электронных кошельков платёжных систем Qiwi, Webmoney (R и Z) и «Яндекс.Деньги», а также криптовалют Bitcoin, Monero, zCash, DOGE, DASH, Etherium, Blackcoin и Litecoin.

Сейчас зловред активно продвигается на различных хакерских площадках и форумах. «Доктор Веб» полагает, что в скором времени можно ожидать появление большого количества модификаций этой вредоносной программы.