Специалисты компании «Доктор Веб» обнаружили в нескольких неофициальных сборках Windows 10, которые распространялись через торрент-трекер, троянскую программу-стилер. Речь идёт о вредоносе Trojan.Clipper.231, который подменяет адреса криптовалютных кошельков в буфере обмена на заданные мошенниками адреса. По подсчётам экспертов, к настоящему моменту злоумышленникам удалось похитить с помощью этого вредоноса около $19 тыс. в криптовалюте.

Источник изображения: Pixabay

В сообщении сказано, что в мае этого года в компанию «Доктор Веб» обратился один из клиентов, который предполагал, что его компьютер с Windows 10 заражён вредоносным ПО. Специалисты провели анализ и обнаружили в системе Trojan.Clipper.231, а также Trojan.MuIDrop22.7578 и Trojan.Inject4.57873, которые осуществляют запуск стилера. Специалистам компании удалось локализовать угрозу и справиться с обезвреживанием троянских программ.

Также удалось установить, что целевая ОС являлась неофициальной сборкой, а вредоносное ПО было встроено в неё изначально. В дальнейшем было выявлено несколько неофициальных сборок Windows 10 с интегрированным вредоносным ПО:

• Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso,
• Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso,
• Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso,
• Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso,
• Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso.

Отмечается, что все упомянутые сборки были доступны для скачивания на одном торрент-трекере, но не исключено, что злоумышленники использовали другие каналы распространения. После распаковки в системе жертвы троян начинает отслеживать буфер обмена и подменяет адреса криптовалютных кошельков на заданные злоумышленниками адреса. Отмечается, что троян может определять опасные для него приложения и в случае их выявления не производит подмену адреса кошелька в буфере обмена.

По подсчётам аналитиков «Доктор Веб», злоумышленники смогли похитить 0,73406362 биткоина и 0,07964773 Ethereum, что примерно эквивалентно $18 976. Чтобы избежать подобных проблем, специалисты рекомендуют использовать только официальные сборки Windows.

Евгений Касперский, глава «Лаборатории Касперского» (Kaspersky Lab), сообщил о выявленной «крайне сложной, профессиональной» кибератаке, целью которой было незаметное внедрение шпионского модуля в смартфоны iPhone сотрудников компании.

Касперский рассказал, что такая атака проводится при помощи невидимого iMessage-сообщения с вредоносным вложением, которое благодаря ряду уязвимостей в операционной системе iOS устанавливает шпионскую программу Triangulation. Этот процесс происходит абсолютно скрытно от пользователя и без какого-либо его участия. Тем не менее факт заражения был обнаружен системой мониторинга и анализа сетевых событий KUMA. В итоге выяснилось, что заражению Triangulation подверглось несколько десятков iPhone сотрудников компании.

Касперский отметил, что из-за закрытости iOS не существует стандартных средств операционной системы для выявления и удаления этой шпионской программы на заражённых смартфонах. Для этого приходится использовать внешние инструменты.

Удалить трояна можно лишь только при помощи сброса зараженного iPhone до заводских настроек и установки последней версии операционной системы и всего окружения пользователя с нуля. В противном случае троян-шпион Triangulation может вновь появиться в смартфоне через уязвимости в устаревшей версии iOS.

«Мы считаем, что главной причиной этого инцидента является закрытость iOS. Данная операционная система является “чёрным ящиком”, в котором годами могут скрываться шпионские программы, подобные Triangulation. Обнаружение и анализ таких угроз осложняется монополизацией Apple исследовательских инструментов, что создаёт для шпионских программ идеальное убежище», — заявил Касперский.

Ранее о попытке слежки за российскими дипломатами по всему миру с помощью шпионского ПО, устанавливаемого на iPhone компании Apple, сообщила ФСБ России.

Эксперты «Лаборатории Касперского» обнаружили в магазине Google Play Маркет 11 троянских приложений, предлагавших редактирование фото и обои для Android-устройств и оформлявших пользователям платные подписки.

Источник изображений: securelist.ru

Обнаруженные специалистами «Лаборатории Касперского» приложения, загруженные около 630 тыс. раз, добросовестно выполняли заявленные функции — в них действительно можно было редактировать изображения, но они также запускали вредоносную полезную нагрузку. Троян связывался с управляющим сервером злоумышленника, отправляя на него коды страны пребывания и мобильного оператора, а тот в ответ присылал страницу платной подписки, которая открывалась в фоновом режиме, и вредонос пытался её оформить, перехватывая сообщения с её подтверждением. Всё это время пользователь не знал, что происходило на его телефоне.

Жертвами кампании были преимущественно пользователи из Азии — в код зашита привязка к Таиланду, а на страницах приложений преобладали отзывы от тайцев. Хотя жертвы кампании обнаружены также в Индонезии, Малайзии, Сингапуре и даже в Польше. В «Лаборатории Касперского» семейству троянцев присвоили название Fleckpe — к настоящему моменту Google удалила все 11 приложений из Play Маркета, но эксперты по кибербезопасности говорят, что хакеры могли распространить и другие неопознанные вредоносы: пользователям рекомендовали проявлять осторожность при установке приложений от малоизвестных разработчиков.

Специалисты компании Group-IB, работающей в сфере информационной безопасности, сообщили о возобновлении активности Android-трояна GodFather, который используется для кражи данных пользователей банков, криптобирж и криптовалютных кошельков. Вредонос нацелен на пользователей из 16 стран мира, а в списке его целей свыше 400 финансовых организаций.

Источник изображения: methodshop / pixabay.com

«В списке жертв GodFather пользователи 215 международных банков, 94 криптокошельков и 110 криптопроектов», — сказано в сообщении Group-IB. Отмечается, что злоумышленники маскируют вредонос под криптовалютный калькулятор из магазина Google Play Маркет. После распаковки на устройстве жертвы троян мониторит пользовательскую активность и похищает учётные данные от банковских и криптовалютных сервисов. Завладев учётными данными жертвы, злоумышленники похищают денежные средства.

По данным Group-IB, наибольшую активность операторы GodFather проявляют в США, Турции, Испании, Канаде, Франции и Великобритании. Любопытно, что троян обходит стороной пользователей из России и СНГ. При обнаружении в настройках системы одного из языков региона вредонос попросту прекращает функционировать. На основании этого специалисты предположили, что за разработкой GodFather стоят русскоязычные хакеры.

Источник изображения: Group-IB

Мобильный банковский троян GodFather впервые был замечен специалистами Group-IB Threat Intelligence в июне 2021 года. В середине этого года активность трояна прекратилась, но в сентябре он вернулся. В сообщении сказано, что основой GodFather является известный в прошлом троян Anubis, который потерял свою актуальность с выходом новых версий Android. Разработчики GodFather модернизировали код Anubis, добавив вредоносу новые функции и механизмы противодействия обнаружению.

Источник изображения: Group-IB

Как и другие банковские трояны, GodFather может отображать поверх легитимных приложений html-страницы. Например, такая операция выполняется, когда жертва кликнет на уведомление обманку или запускает легитимное приложение, являющееся целью вредоноса. Все введённые на такой html-странице данные будут переданы на подконтрольный злоумышленниками сервер. Троян также способен вести запись экрана устройства жертвы, активировать VNC-подключение, запускать keylogger, выполнять USSD-запросы, рассылать SMS-сообщения с заражённого устройства и др.

Источник изображения: Group-IB

Специалисты Group-IB рекомендуют пользователям банковских приложений и криптовалютных кошельков своевременно устанавливать обновления для Android, поскольку в них реализуются механизмы защиты от атак такого типа. Не следует загружать приложения из сторонних источников, а при скачивании продуктов из Play Маркета нужно проверять запрашиваемые приложением права до его установки. Пользователям не рекомендуют выдавать лишние права приложениям, посещать посторонние и подозрительные ресурсы, а также переходить по ссылкам из SMS-сообщений.

Вирусные аналитики компании «Доктор Веб» выявили десятки вредоносных Android-приложений в магазине цифрового контента Google Play. Среди них обнаружены рекламные трояны, поддельные программы для кражи конфиденциальной информации и др. Суммарно вредоносные приложения были скачаны около 10 млн раз.

Источник изображения: hothardware.com

«В июне вирусная лаборатория «Доктор Веб» выявила в каталоге Google Play около 30 рекламных троянов Android.HiddenAds, общее число загрузок которых превысило 9 890 000 <…> Все они были встроены в разнообразные программы — редакторы изображений, экранные клавиатуры, системные утилиты, приложения для звонков, программы для замены фонового изображения домашнего экрана и другие», — говорится в сообщении компании.

Также отмечается, что в июне продолжила снижаться активность трояна Android.Spy.4498, который используется злоумышленниками для кражи информации из уведомлений от других приложений. По сравнению с маем этот вредонос встречается на Android-устройствах на 20,56 % реже. Трояны семейства Android.HiddenAds встречались на 8 % реже, хотя они и продолжают оставаться одними из наиболее распространённых угроз.

Что касается выявленных в Google Play вредоносных приложений, то к ним относятся Photo Editor: Beauty Filter, Photo Editor: Retouch & Cutout, Photo Editor: Art Filters, Photo Editor: Blur Image, Emoji Keyboard: Stickers & GIF, Neon Theme Keyboard, Neon Theme – Android Keyboard, Fancy Charging, Call Skins и др. Ознакомиться с полным списком обнаруженных вредоносных Android-приложений можно на официальном сайте компании «Доктор Веб».

Специалисты из компании Cleafy обнаружили новую версию Android-трояна BRATA, который впервые был выявлен экспертами «Лаборатории Касперского» в 2019 году. Обновлённое вредоносное ПО получило новые функции, такие как GPS-отслеживание, возможность использования нескольких каналов связи, а также функцию сброса настроек устройства до заводских для заметания следов своей активности.

Источник изображения: Bleepibg Computer

Первые упоминания о вредоносе BRATA появились в 2019 году и на тот момент он был преимущественно нацелен на пользователей Android-устройств из Бразилии. Теперь же обновлённую версию трояна заметили в Европе, где он преимущественно используется для кражи банковских данных пользователей и сбора другой информации. Кроме того, вредонос может использоваться как полноценный инструмент удалённого доступа, выполняющий команды злоумышленников, получаемые удалённо. Согласно имеющимся данным, новая версия BRATA атакует пользователей устройств на базе Android из Великобритании, Польши, Италии, Испании, а также Китая и Латинской Америки. Разные варианты вредоноса, ориентированные на использование в конкретных регионах, имеют отличные друг от друга настройки, чтобы надёжнее маскироваться под легитимное ПО.

Одна из любопытных особенностей BRATA заключается в способности автоматически сбрасывать настройки пользовательского устройства до заводских. Это происходит в случае, если злоумышленникам удалось украсть учётные данные пользователя. Это помогает мошенникам выиграть дополнительное время, чтобы перевести денежные средства жертвы на свои счета. Кроме того, сброс настроек происходит, если BRATA фиксирует то, что его пытаются анализировать, например, при попадании в виртуальную среду. Для жертвы эта функция окажется весьма неприятной, поскольку сброс настроек может привести к необратимой потере важных данных.

Отмечается, что BRATA лишь один из вредоносов, нацеленных на пользователей мобильных устройств. Для снижения вероятности столкновения с таким ПО пользователям рекомендуется не терять бдительность, устанавливать приложения только из официальных магазинов контента, не загружать APK-файлы со сторонних и подозрительных ресурсов, а также следить за разрешениями, доступ к которым запрашивают устанавливаемые приложения.

В начале ноября специализирующаяся на кибербезопасности компания Check Point Research обнаружила массовую атаку трояна Zloader, который похищает данные для доступа к интернет-банкам и персональные данные пользователей. По состоянию на 2 января зловредом были заражены машины, связанные с 2170 IP-адресами. Атака примечательна тем, что в ней используется старая уязвимость.

Источник изображения: Gerd Altmann / pixabay.com

Троян Zloader известен довольно давно. Например, в 2020 году он распространялся через ресурсы для взрослых и даже рекламу в Google. Новая массовая атака, говорят эксперты, уникальна тем, что в её основе лежит система верификации ПО по цифровым подписям: полезная нагрузка вредоноса внедряется в подписанную системную библиотеку, которая не проверяется средствами защиты ОС.

Заражение производится через систему удалённого доступа и управления (RMM) Atera — демонстрационная версия этого стандартного корпоративного инструмента в модифицированном варианте устанавливается самой жертвой как файл java.msi, в котором в качестве администраторского указан подконтрольный злоумышленникам адрес электронной почты. Далее оператор загружает на компьютер жертвы два bat-файла, используя функцию запуска скриптов. Первый скрипт модифицирует настройки Windows Defender, добавляя нужные исключения, а второй обеспечивает доставку данных со сторонних ресурсов.

Далее запускается системный файл mshta.exe (обычно используется для запуска файлов HTML) с библиотекой appContast.dll в качестве параметра. Эта библиотека имеет подпись, но при этом содержит вредоносный код, благодаря которому загружается и запускается троян Zloader. Ошибку с проверкой сертификатов Microsoft исправила ещё в 2013 году, однако впоследствии в 2014 году компания заявила, что соответствующее обновление может оказать влияние на существующее ПО, и оно стало доступно для установки только по желанию пользователя. По данным экспертов Check Point Research, за новой серией атак стоит хакерская группировка Malsmoke: её участникам свойственно выдавать вредоносное ПО за Java-плагины, а связанный с атакой URL-адрес уже использовался группировкой в 2020 году.