Сегодня 22 октября 2017
18+
Теги → киберпреступность
Быстрый переход

Обнаружен новый зловред для хищения денег из банкоматов

«Лаборатория Касперского» обнаружила новую вредоносную программу, позволяющую злоумышленникам красть деньги из банкоматов.

Сообщается, что зловред носит имя Cutlet Maker. Для осуществления атаки на банкомат преступнику необходимо получить доступ к его USB-порту. После этого нужно последовательно использовать ряд программных инструментов.

В состав Cutlet Maker входит специальный модуль Stimulator, который отображает количество и номинал банкнот в кассетах банкомата. Это позволяет злоумышленнику изначально выбрать ячейку, содержащую самую большую сумму денег, а не действовать «вслепую», перебирая кассеты одну за другой. Таким образом, сокращается время на проведение атаки, а следовательно, снижаются шансы на поимку преступников на месте ограбления.

Ситуация ухудшается ещё и тем, что зловред Cutlet Maker предлагается любому желающему на подпольном интернет-рынке. Вредоносная программа стоит $5000, причём набор включает пошаговую инструкцию. Таким образом, совершить преступление сможет даже самый неопытный злоумышленник.

Пока не ясно, кто именно стоит за разработкой Cutlet Maker. Но анализ показывает, что для создателей вредоносной программы английский язык не является родным. О сумме ущерба от распространения зловреда ничего не сообщается. 

Киберпреступники ведут атаки через уязвимость нулевого дня в Adobe Flash

«Лаборатория Касперского» выявила в Adobe Flash так называемую уязвимость нулевого дня — брешь, для которой на момент обнаружения не существовало «заплатки».

Как сообщается, найденной «дырой» уже воспользовалась киберпреступная группировка BlackOasis. Атакам подверглись коммерческие и правительственные организации в разных странах мира. Говорится, в частности, о жертвах в России, Ираке, Афганистане, Нигерии, Ливии, Иордании, Тунисе, Саудовской Аравии, Иране, Нидерландах, Бахрейне, Великобритании и Анголе.

Схема нападения сводится к следующему. Злоумышленники встраивают эксплойт для обнаруженной «дыры» в файлы Microsoft Word, которые затем распространяются с помощью методов социальной инженерии. После попадания на компьютер этот эксплойт устанавливает шпионскую программу FinSpy, также известную как FinFisher.

Любопытно, что изначально инструмент FinSpy создавался как коммерческое ПО для полицейских операций, которое преимущественно поставлялось государственным организациям и правоохранительным органам нескольких стран. Однако на этот раз FinSpy взяли на вооружение киберпреступники BlackOasis, которые, предположительно, активно использовали эту программу по всему миру с целью международного шпионажа.

«Лаборатория Касперского» подчёркивает, что злоумышленники применяют новейшую версию FinSpy, которая содержит множество технологий, помогающих избегать детектирования. Всё это затрудняет как распознавание, так и анализ данного шпионского ПО.

Что касается уязвимости в Adobe Flash, то разработчики платформы уже выпустили необходимое обновление и рекомендации для пользователей. 

19 октября в Самаре ждут «Код информационной безопасности»

19 октября в самарском отеле Holiday Inn Samara пройдёт конференция «Код информационной безопасности». Это самое масштабное мероприятие для русскоговорящих специалистов по информационной безопасности.

Четвёртый год подряд Самара входит в список городов проведения конференции «Код ИБ», которая в этом году охватывает уже 26 городов в 5 странах.

На конференции в Самаре эксперты и участники обсудят главные тренды отрасли, передовые технологии защиты, тонкости управления ИБ. В числе специально приглашённых «звёзд» Илья Шабанов (Anti-Malware) и другие известные спикеры из Москвы, Санкт-Петербурга, Казани и Самары.

Участие конференции для сотрудников ИТ- и ИБ-отделов, а также представителей СМИ — бесплатное. Подробности о мероприятии и регистрация участников — по этой ссылке.

Телефонные мошенники в России придумали новую схему обмана абонентов

В России выявлена новая схема телефонного мошенничества, позволяющая злоумышленникам совершать звонки за счёт своих жертв и красть деньги с их банковских счетов.

О киберпреступной уловке, как сообщает газета «Известия», рассказали в Сбербанке. Схема основана на методах социальной инженерии. Злоумышленники звонят гражданам, представляются провайдерами мобильной связи или инженерами телекоммуникационных компаний и просят набрать на телефоне определённую комбинацию цифр и символов. Выполнив эти действия, абоненты, по сути, добровольно предоставляют мошенникам доступ к SIM-карте и мобильному банку.

Эксперты говорят, что используемая схема даёт киберпреступникам возможность звонить за счёт жертв, опустошать телефонные счета и даже уводить средства с банковских счетов.

По оценкам, ущерб от реализации подобных атак в нашей стране уже составил от 10 до 15 млн рублей. Специалисты полагают, что мошенники будут активно использовать описанную схему около года.

В группе риска находятся в первую очередь пенсионеры: пожилые люди зачастую соглашаются на просьбы «технических специалистов», в результате чего лишаются своих денег. Чтобы избежать кражи средств с телефона или банковского счёта, нужно немедленно прекращать разговор с «провайдерами» или «инженерами», если предварительно не была оставлена заявка на техническое обслуживание. 

В России планируется сформировать криптодетективное агентство

Не исключено, что в России появится специализированная структура, которая будет собирать информацию об отечественных компаниях, намеревающихся осуществить ICO — первичное размещение криптовалют.

Как сообщает газета «Известия», речь идёт о формировании криптодетективного агентства. Оно должно способствовать защите инвесторов в криптовалюты в нашей стране.

Отмечается, что неделю назад экспертный совет с участием представителей регуляторов и крупнейших отечественных банков обсуждал вопрос легализации криптовалюты в России. По итогам встречи был сделан вывод, что такая легализация необходима. В этой ситуации предлагается создать реестр российских компаний, выходящих на ICO.

Предполагается, что криптодетективное агентство займётся поиском данных о российских фирмах — эмитентах криптовалют. Сведения будут заноситься в реестр, за ведение которого должна отвечать специальная компания (одним из её учредителей станет Фонд института развития Интернета).

«Наше агентство сможет добывать информацию об их [речь идёт о фирмах, выходящих на ICO] бенефициарах, реальном состоянии дел. Реальный ли это стартап или попытка при помощи ICO решить текущие проблемы компании. Наша задача — защитить инвесторов. Когда лопнет компания, которая привлекла средства большого числа людей, её инвесторы будут искать защиты у государства», — рассказал президент Фонда института развития Интернета Алексей Фёдоров. 

Хакеры всё активнее атакуют инфраструктуру криптоиндустрии

Сетевые злоумышленники постепенно переключают внимание с банковского сектора на инфраструктуру криптоиндустрии. Об этом свидетельствуют данные Group-IB, которые приводит сетевое издание «РИА Новости».

«Мы фиксируем рост количества инцидентов, связанных с воровством у пользователей данных криптокошельков с помощью вредоносных программ и вывода денег. Методы идентичны тем, что используются для атак на пользователей банковских приложений», — говорят эксперты.

Бум криптовалют привёл к тому, что сетевые мошенники всё активнее ищут новые способы нажиться на пользователях. Причём это не всегда выражается в непосредственной краже средств. К примеру, мы рассказывали об оригинальной атаке, в ходе которой киберпреступники «воруют» аппаратные ресурсы компьютеров жертв, осуществляя скрытый майнинг. Причём добыча криптовалюты в пользу атакующих производится в браузере, когда пользователь заходит на определённые сайты. Иными словами, установка вредоносного программного обеспечения на компьютер жертвы не производится.

Помимо вредоносных программ, активно используется компрометация адресов электронной почты, а также получение SIM-карты по поддельным документам для восстановления паролей и получения контроля над счётом в криптовалютных сервисах.

Ущерб от действий злоумышленников в сфере криптовалют уже достиг практически $170 млн. «Доход от атак на криптобиржи варьируется от 1,5 до 72 миллионов долларов, в то время как в результате успешной атаки на банк преступники в среднем зарабатывают всего 1,5 миллиона долларов», — отмечается в докладе Group-IB. 

Лжеполисы ОСАГО и штрафы: самые распространённые веб-ловушки для автомобилистов

«Лаборатория Касперского» рассказала о наиболее популярных в настоящее время схемах кибермошенничества, нацеленных на российских автомобилистов.

Сетевые злоумышленники преследуют две основные цели: это сбор конфиденциальной информации пользователей под видом оказания какой-либо услуги, а также хищение средств с банковской карты жертвы. Для реализации атак применяются различные инструменты, в частности, фишинг, методы социальной инженерии и пр.

Иллюстрации Лаборатории Касперского

Иллюстрации Лаборатории Касперского

Одна из наиболее часто встречающихся угроз — фальшивые полисы ОСАГО и различные махинации с этими документами. Напомним, что в 2015 году в России появилась возможность оформления полиса обязательного страхования автогражданской ответственности через Интернет. Этим сразу же воспользовались злоумышленники. Мошенники копируют страницы оформления полиса известных страховых фирм. Для расчёта стоимости электронного полиса пользователю предлагается ввести личную информацию, а в конце — данные карты. Разумеется, все эти сведения попадают напрямую киберпреступникам.

Широко распространены также фальшивые уведомления о штрафах. В данном случае на электронную почту жертвы приходит письмо, копирующее оригинальное уведомление о новом штрафе от имени банка или ГИБДД. Если пользователь переходит по ссылке, на фишинговой странице ему предлагают ввести личные данные, которые опять же отправляются злоумышленникам.

Ещё одна опасность — поддельные сайты, имитирующие сервис для доступа к Единой автоматизированной информационной системе технического осмотра (ЕАИСТО). Злоумышленники крадут логины и пароли операторов технического осмотра с целью последующего внесения в базу ЕАИСТО фальшивых записей. В результате страдает как оператор, так и владелец машины, который приобрёл поддельную диагностическую карту. На оператора, от имени которого в ЕАИСТО вносилась подложная информация, накладываются большие штрафы. А если владелец транспорта получил страховку ОСАГО по поддельному документу, то он самостоятельно несёт ответственность за ДТП. 

Вредоносный майнер Monero принёс злоумышленникам десятки тысяч долларов

Компания ESET предупреждает о новой киберпреступной схеме, целью которой является скрытая добыча криптовалюты Monero. Забегая вперёд скажем, что злоумышленники уже добыли незаконным путём десятки тысяч долларов США.

Monero

Monero

Monero — криптовалюта с открытым исходным кодом. Она использует протокол CryptoNote, благодаря которому происходит обфускация (запутывание) финансовых операций.

В рамках выявленной киберкампании преступники заражают веб-серверы вредоносным майнером криптовалюты Monero (XMR). Злоумышленники незначительно изменили легитимную программу xmrig для добычи Monero, добавив в код адрес своего кошелька и майнинговый пул URL.

Monero

Monero

Для скрытой установки вредоносного майнера на веб-серверы атакующие используют уязвимость службы WebDAV в операционной системе Windows Server 2003 R2. По оценкам, сформированный ботнет может насчитывать несколько сотен компьютеров. Заработок киберпреступников уже превысил 60 тысяч долларов США.

Эксперты ESET отмечают, что злоумышленники выбрали в качестве мишени систему Monero по нескольким причинам. В отличие от Bitcoin, майнинг XMR не требует использования специального оборудования. Кроме того, Monero обеспечивает анонимность сделок — транзакции отследить невозможно. Подробнее об атаке можно узнать здесь

Роскомнадзор раскрыл обещанную «страшную правду»

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) раскрыла смысл загадочного видеоролика, опубликованного в Интернете в минувшую пятницу.

Напомним, что ведомство на своих страницах в соцсетях обнародовало небольшой ролик с участием детей. Видео сопровождалось надписями «Во всех Telegram-каналах страны» и «Вы узнаете от детей страшную правду».

Сразу же стали высказываться предположения, что речь может идти о блокировке мессенджера Telegram в нашей стране. К счастью, эти опасения не оправдались.

Как теперь выясняется, загадочным роликом Роскомнадзор попытался привлечь внимание к теме безопасности персональных данных. «Страшная правда заключается в том, что за нашими персональными данными идёт постоянная охота. Поэтому чувство бережного отношения к своим персональным данным необходимо воспитывать с детства», — пишет ведомство.

Сообщается, что ровно через месяц, 9 ноября, стартует VII Международная конференция «Защита персональных данных». В мероприятии примут участие представители телекоммуникационных компаний, интернет-сообщества, федеральных органов исполнительной власти, компаний в области информационной безопасности и пр. Специалисты обсудят особенности регулирования отрасли, в том числе в рамках международных экспертных встреч.

Участники рынка через форму на официальном сайте конференции могут задать вопросы, касающиеся работы Минкомсвязи, Роскомнадзора, Федеральной службы безопасности (ФСБ), Федеральной службы по техническому и экспортному контролю (ФСТЭК) в области защиты личной информации. 

Новая версия банковского трояна BankBot атакует Android-пользователей

Компания ESET предупреждает о появлении новой модификации довольно опасной вредоносной программы BankBot, крадущей банковские данные владельцев Android-устройств.

Злоумышленники маскируют зловреда под различные легальные приложения. К примеру, новая версия распространяется под видом игры Jewels Star Classic. Установка такой программы приводит к попаданию на смартфон или планшет вредоносных модулей.

Обнаруженная модификация BankBot получила улучшенную обфускацию (запутывание) кода и сложный механизм заражения, использующий службу специальных возможностей Android Accessibility Service. Через некоторое время после запуска троян отображает сообщение с предложением активировать службу Google Service в меню специальных возможностей Android. Если пользователь соглашается, BankBot получает полную свободу действий на устройстве.

В частности, зловред разрешает установку приложений из неизвестных источников, устанавливает компонент мобильного банкера и запускает его, активирует права администратора для основного модуля и пр.

Главная задача вредоносной программы заключается в краже данных банковских карт жертвы. Когда пользователь запускает Google Play, троян перекрывает экран легального приложения фальшивой формой ввода банковских данных и требует подтвердить правильность сохранённой информации. Полученные сведения затем отсылаются злоумышленникам. 

Microsoft отмечает рост количества атак на российских пользователей ПК

Киберпреступники продолжают активно использовать всевозможные методики и способы атак, при этом всё чаще жертвами злоумышленников становятся российские пользователи компьютеров. Такой вывод содержится в очередном аналитическом отчёте Microsoft Security Intelligence Report, освещающем ситуацию с информационной безопасностью в глобальной сети.

Согласно исследованию, по итогам 1 квартала 2017 года 14,8 % компьютеров в России столкнулись с вредоносным программным обеспечением, тогда как в мире этот показатель составил 9 %. При этом наиболее распространённой категорией зловредного ПО стали трояны: их атакам подвергся каждый десятый (10,3 %) ПК на территории нашей страны. Второе и третье место заняли вирусы (1,6 %) и загрузчики троянов и «дропперы» (0,64 %). В тот же период среди нежелательного ПО на большинстве заражённых компьютеров были найдены инсталляторы дополнительного софта (5,5 %), модификаторы браузера (2,1 %) и рекламные продукты (0,3 %).

В опубликованном Microsoft отчёте также отмечается, что с ростом популярности облачных сервисов увеличилось и количество атак на них. По данным исследования, за первый квартал текущего года в мире было зафиксировано в 4 раза больше угроз безопасности, чем за аналогичный период годом ранее. Количество попыток входа в учётные записи Microsoft с вредоносных IP-адресов увеличилось на 44 %, став самой главной причиной заражения cloud-сервисов (51 %). Также наибольшее распространение получили атаки через инструменты удалённого доступа (23 %), спам-рассылки (19 %), сканирование портов (3,7 %), протокол SSH (1,7 %) и другие.

С полным текстом проведённого Microsoft исследования можно ознакомиться на сайте microsoft.com/sir.

Злоумышленники скрытно добывают криптовалюту через браузеры россиян

Компания ESET предупреждает о появлении новой вредоносной программы, главной задачей которой является скрытая добыча криптовалют через браузеры пользователей.

Зловред получил название JS/CoinMiner.A. На сегодняшний день львиная доля его атак приходится на российских пользователей. Так, по данным ESET, в нашей стране зафиксировано приблизительно 65,29 % всех нападений. Ещё 21,95 % пришлось на Украину, 6,49 % — на Беларусь.

Главная особенность выявленной киберкампании заключается в том, что добыча криптовалюты в пользу атакующих производится напрямую в браузере, когда пользователь заходит на определённые сайты. Иными словами, установка вредоносного программного обеспечения на компьютер жертвы не производится.

Скрипты для майнинга внедряют в популярные сайты с потоковым видео или браузерными играми, где пользователи проводят сравнительно много времени. Эти ресурсы ожидаемо загружают процессор, что позволяет замаскировать дополнительную нагрузку от майнера. Таким образом, скрипт функционирует дольше, оставаясь незамеченным.

Страны, где наиболее активен веб-майнер / ESET

Страны, где наиболее активен веб-майнер / ESET

Компьютеры пользователей работают на нужды злоумышленников в течение того времени, когда вредоносная страница открыта в браузере. С помощью веб-майнера мошенники добывают криптовалюты Feathercoin, Litecoin и Monero.

«Может показаться, что идея майнинга в браузере противоречит здравому смыслу, поскольку добыча биткоинов требует высокопроизводительных CPU. Но авторы веб-майнера выбрали криптовалюты, не требующие наличия специального оборудования — проще обеспечить достаточное число компьютеров, заражая сайты, а не сами машины», — говорят эксперты. 

Сбербанк рассказал о борьбе с преступностью в Интернете

Сбербанк отрапортовал об успехах по борьбе с киберпреступностью в Сети в текущем году: выявлены сотни мошеннических площадок и вредоносных сайтов.

Сообщается, что борьба с преступностью в Интернете осуществляется по инициативе Службы кибербезопасности Сбербанка. «Мы уделяем самое пристальное внимание вопросам борьбы с фишингом. Однако выявить и провести необходимые действия по сайтам преступников — полдела. На "удочку" мошенников попадаются люди доверчивые, не обладающие должными навыками защиты от киберфрода. Именно поэтому приоритеты Сбербанка сдвигаются в сторону профилактических мер по повышению финансовой грамотности населения», — говорят представители банка.

Итак, сообщается, что с начала года удалось выявить свыше 600 доменных имён, использовавшихся для фишинговых атак. Кроме того, обнаружено и закрыто приблизительно 200 мошеннических площадок и более 1300 сайтов, распространявших вредоносное программное обеспечение.

Исследования показывают, что самая распространённая уловка фишеров — рассылка сообщений заманчивого или, наоборот, пугающего содержания с предложением либо направить персональные данные (логины, пароли банковских карт), либо перейти по ссылке на некий сайт, на котором опять же нужно ввести свои данные. Более 48 % интернет-пользователей, получающих фишинговые письма, откликаются на них и становятся жертвами преступников. 

Новый зловред имитирует работу шифровальщика

Компания ESET предупреждает о росте активности новой вредоносной программы, которая «притворяется» зловредом с функциями вымогателя.

Программа носит имя MSIL/Hoax.Fake.Filecoder. Проникнув на компьютер жертвы, она отображает окно с требованием выкупа за восстановление доступа к якобы закодированным файлам. На деле же функции шифрования зловред не поддерживает.

Любопытно, что выводимое сообщение закрывает рабочий стол, блокируя доступ пользователя к файлам, папкам и приложениям. В этом уведомлении говорится, что все важные документы, фотографии и видеоматериалы, базы данных и другие ценные файлы заблокированы. Пользователю предлагается внести выкуп в размере 0,5 биткоина в течение трёх дней. Через три дня сумма выкупа удваивается, через семь — расшифровать файлы будет невозможно.

В целом, MSIL/Hoax.Fake.Filecoder весьма убедительно копирует поведение «классических» шифраторов. Это может ввести жертву в заблуждение.

ESET отмечает, что вредоносная программа распространяется по стандартной для большинства шифраторов схеме — в электронной почте с вредоносным вложением или ссылкой. В качестве документа-приманки, запускающего загрузку вредоносной программы, выступают «исковые заявления», «кредитные договоры», «неоплаченные счета» и пр.

Анализ показывает, что осуществлять шифрование файлов программа не способна в принципе — в её коде попросту отсутствуют соответствующие алгоритмы. Операторы лжешифратора рассчитывают исключительно на методы социальной инженерии, а также общественный резонанс от недавних атак шифраторов. 

Спам от «умных» устройств: новая угроза Интернета вещей

Компания «Доктор Веб» обнаружила новую угрозу, исходящую от устройств Интернета вещей (IoT): мусорные рассылки по электронной почте.

Концепция IoT стремительно набирает популярность. По оценкам, в мире сейчас насчитывается более 6 миллиардов «умных» устройств с сетевым подключением. Само собой, это не могло остаться без внимания со стороны киберпреступников.

Как показало проведённое специалистами «Доктор Веб» исследование, злоумышленники начали использовать инфицированные IoT-устройства для рассылки спама. Для заражения применяется вредоносная программа Linux.ProxyM, нацеленная на платформу Linux. Этот троян запускает на инфицированном устройстве SOCKS-прокси-сервер. Зловред способен детектировать так называемые «ханипоты» — специальные ресурсы, созданные исследователями вредоносных программ в качестве приманки для злоумышленников.

Существуют сборки трояна для устройств с архитектурой x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 и SPARC. Иными словами, зловред работоспособен практически на любом устройстве под управлением Linux. Это могут быть, скажем, IP-камеры, роутеры, телевизионные приставки и пр.

Для рассылки почтового мусора троян получает от управляющего сервера команду, содержащую адрес SMTP-сервера, логин и пароль для доступа к нему, список почтовых адресов и сам шаблон сообщения. В спам-письмах рекламируются различные сайты категории «для взрослых». Анализ показывает, что в среднем в течение суток каждое заражённое зловредом устройство рассылает около 400 сообщений.