Сегодня 16 августа 2017
18+
E3 2017
Теги → троян
Быстрый переход

Остановивший WannaCry хакер отрицает вину в создании банковского трояна

Британский исследователь кибербезопасности Маркус Хатчинс (Marcus Hutchins), который помог остановить распространение вируса-вымогателя WannaCry, в федеральном суде не признал себя виновным в создании банковского трояна Kronos.

nbcnews.com

nbcnews.com

Хатчинс был арестован 3 августа в Лас-Вегасе вслед за конференциями Black Hat и Defcon. Суд Восточного округа штата Висконсин предъявил ему обвинения по шести статьям. Предполагается, что вместе с неназванным сообщником Хатчинс рекламировал банковский вирус на чёрном онлайн-рынке AlphaBay. В обвинении говорится, что 11 июня 2015 года они продали троян примерно за $2 тысячи в цифровой валюте.

В акте утверждается, что подсудимый, известный в Сети под псевдонимом MalwareTech, «распространял электронными способами рекламу электронного, механического или другого устройства, зная и имея причину знать, что конструкция такого устройства делает его в первую очередь полезным для тайного перехвата электронных сообщений». Также Хатчинса обвинили в продаже такого устройства.

За пределами федерального суда Милуоки, в котором исследователь объявил себя невиновным, его адвокат Марсия Хофманн (Marcia Hofmann) сказала, что подсудимый «намерен решительно защищаться от этих обвинений, а когда обнаружатся улики, мы уверены, что он будет полностью оправдан».

securityintelligence.com

securityintelligence.com

В июле 2014 года исследователи IBM сообщили, что вредоносное ПО можно было купить на российских нелегальных форумах за $7 тысяч. Оно позиционировалось как способ кражи паролей и других финансовых данных, отправляемых через крупные браузеры. В рекламе Kronos утверждалось, что троян способен обходить антивирусную защиту и браузерные меры безопасности.

В ожидании судебного разбирательства Хатчинс будет жить в Лос-Анджелесе. Его перемещения будут отслеживаться с помощью GPS-устройства.

За создание банковского трояна арестован хакер, который помог остановить WannaCry

В среду Маркус Хатчинс (Marcus Hutchins), автор блога в сфере кибербезопасности MalwareTech, был арестован в Лас-Вегасе за «участие в создании и распространении банковского трояна Kronos». Об этом сообщил представитель Министерства юстиции США.

nbcnews.com

nbcnews.com

12 июля 2017 года суд Восточного округа штата Висконсин предъявил Хатчинсу обвинения по шести статьям. Речь идёт о злонамеренных действиях, совершённых с июля 2014 года по июль 2015 года. Сообщается, что он занимался разработкой вредоносного программного обеспечения и распространял его по Интернету.

Разработанный Хатчинсом троян похищал учётные записи и личную информацию пользователей и помещал на их компьютеры вредоносный код. Ранее в этом году эксперт в сфере безопасности стал известен как человек, который помог остановить распространение кибератаки WannaCry, нанёсшей значительный ущерб предприятиям в более чем 150 странах. Лишь недавно авторам вируса-вымогателя удалось вывести награбленные средства.

Вирус блокировал компьютеры и за расшифровку файлов требовал жертву перевести на счёт хакеров от $300 до $600 в биткоинах. Вредоносной программой были заражены сотни тысяч компьютеров по всему миру, включая Россию. Из-за ущерба, например, некоторые больницы в Великобритании вынуждены были прекратить обслуживать пациентов.

Хатчинс, который также является исследователем вредоносного ПО в компании Kryptos Logic, обнаружил в коде WannaCry незарегистрированное доменное имя и выкупил его за $11. Тем самым он остановил распространение вируса.

Новый ботнет обогащает злоумышленников за счёт малого бизнеса

«Лаборатория Касперского» обнаружила новую сеть «зомбированных» компьютеров, которая позволяет злоумышленникам зарабатывать деньги за счёт накрутки фальшивых просмотров рекламных страниц и баннеров в Интернете.

В основе работы ботнета лежит троян Magala, распространяющийся через инфицированные веб-сайты. Попав на компьютер, зловред проверяет установленную версию Internet Explorer: если она ниже восьмой, программа игнорирует устройство и не активируется. Если же нужный браузер найден, троян загружается, запускает скрытый рабочий стол, на котором впоследствии будут проводиться все операции, устанавливает необходимое рекламное ПО и сообщает командно-контрольным серверам о своей готовности к работе.

Magala имитирует клики пользователя на заданных веб-страницах. Жертвами киберпреступников становятся прежде всего компании малого бизнеса, решившие разместить рекламу через неблагонадёжных рекламодателей.

В процессе работы Magala получает от командных серверов список поисковых запросов, для выдачи которых необходимо поднять количество кликов. Далее программа начинает последовательно вводить указанные запросы и переходить по первым 10 ссылкам в каждой выдаче с интервалом в 10 секунд.

По оценкам «Лаборатории Касперского», в идеальной ситуации злоумышленники могут получить до 350 долларов США с каждого заражённого компьютера в составе ботнета. Впрочем, на практике сумма, скорее всего, окажется значительно меньше. Тем не менее, доходы киберпреступников исчисляются тысячами долларов. 

В прошивке ряда Android-устройств обнаружен троян, заражающий процессы приложений

«Доктор Веб» предупреждает о том, что в прошивках ряда доступных на рынке мобильных устройств присутствует довольно опасная вредоносная программа, способная инфицировать процессы приложений.

Зловред получил обозначение Android.Triada.231. Трояны этого семейства внедряются в системный процесс компонента Android под названием Zygote, который отвечает за старт программ на мобильных устройствах. Благодаря этому зловреды проникают в процессы всех работающих приложений, получают их полномочия и функционируют с ними как единое целое.

Android.Triada.231 встроен в системную библиотеку libandroid_runtime.so. Причём, как отмечает «Доктор Веб», внедрение произведено на уровне исходного кода. Иными словами, к заражению причастны инсайдеры или недобросовестные партнёры, которые участвовали в создании прошивок заражённых мобильных устройств.

Зловред получает управление каждый раз, когда любое приложение на устройстве выполняет запись в системный журнал. Главной задачей трояна является незаметная загрузка и запуск других вредоносных модулей. Это могут быть, скажем, плагины для кражи конфиденциальной информации из банковских приложений, модули для кибершпионажа и перехвата переписки из клиентов социальных сетей и интернет-мессенджеров и т. п.

Ситуация усугубляется тем, что удалить вредоносную программу стандартными методами невозможно, поскольку она интегрирована в одну из библиотек операционной системы и расположена в системном разделе. Поэтому требуется установка заведомо безопасной прошивки.

Подробнее о проблеме можно узнать здесь

Опасный банковский троян получает контроль над Android-устройствами

«Доктор Веб» предупреждает о появлении опасной вредоносной программы, атакующей владельцев мобильных устройств на базе операционных систем семейства Android.

Зловред Android.BankBot.211.origin — это банковский троян, угрожающий пользователям десятков стран по всему миру. Программа распространяется под видом безобидных приложений, например, проигрывателя Adobe Flash Player. После проникновения на устройство жертвы зловред пытается получить доступ к специальным возможностям (Accessibility Service). Для этого троян показывает окно с запросом, которое при каждом его закрытии появляется вновь и не даёт работать с устройством.

Режим специальных возможностей упрощает работу со смартфонами и планшетами на базе Android. Он применяется в том числе для помощи пользователям с ограниченными возможностями: этот режим позволяет программам самостоятельно нажимать на различные элементы интерфейса, такие как кнопки в диалоговых окнах и системных меню.

В случае Android.BankBot.211.origin режим специальных возможностей эксплуатируется для выполнения вредоносных действий. Так, троян добавляет себя в список администраторов устройства, устанавливает менеджером сообщений по умолчанию и получает доступ к функциям захвата изображения с экрана.

Зловред крадёт конфиденциальную информацию клиентов кредитно-финансовых организаций. Так, троян способен показывать поддельные формы ввода логина и пароля поверх запускаемых банковских программ, а также отображать фишинговое окно настроек платёжного сервиса с запросом ввода информации. Свои действия вредоносная программа согласует с управляющим сервером. 

Троян Neutrino ворует данные банковских карт россиян

«Лаборатория Касперского» сообщает о том, что в России активно распространяется новая модификация вредоносной программы под названием Neutrino.

Зловред атакует POS-терминалы и крадёт данные банковских карт. Основная часть атак пришлась именно на нашу страну. Кроме того, троян проявляет активность в Алжире, Казахстане, Украине и Египте.

Нужно отметить, что оригинальная версия Neutrino уже достаточно давно известна антивирусным компаниям. С момента своего появления вредоносная программа неоднократно меняла свои функции и методы распространения.

Новая модификация зловреда является довольно необычной. На этот раз троян охотится за данными банковских карт, которые проходят через заражённые платёжные терминалы.

Любопытно, что, попав в операционную систему POS-терминала, Neutrino не сразу начинает активность. Троян приступает к сбору информации, выждав некоторое время. Эксперты полагают, что таким образом он, скорее всего, пытается обойти защитные технологии, запускающие подозрительный код в изолированной виртуальной среде, так называемые «песочницы», с коротким периодом работы.

Эксперты говорят, что Neutrino в очередной раз служит подтверждением тому, что кибеугрозы постоянно эволюционируют. Новые версии известных зловредов становятся сложнее, а их функциональность расширяется. Пользователи, информацию о банковских картах которых украл зловред Neutrino, рискуют потерять свои деньги. 

Игру с трояном загрузили из магазина Google Play более 1 млн пользователей

«Доктор Веб» обнаружил в магазине Google Play игру со встроенным трояном-загрузчиком: программа способна скачивать на мобильное устройство, устанавливать и запускать те или иные модули.

Вредоносное приложение — Android.DownLoader.558.origin — интегрировано в популярную игру BlazBlue RR - Real Action Game. Её загрузили уже более 1 млн владельцев смартфонов и планшетов под управлением операционных систем Android.

Троян является частью специализированного SDK-комплекта под названием Excelliance, предназначенного для автоматизации и упрощения обновления Android-программ. Этот инструмент позволяет загружать необходимые компоненты по отдельности без переустановки всего программного пакета.

Однако, отмечает «Доктор Веб», платформа Excelliance работает как троян-загрузчик, поскольку может скачивать и запускать непроверенные компоненты приложений. Такой способ обновления нарушает правила каталога Google Play.

Зловред начинает работу при первом старте игры, в которую он встроен. После этого он самостоятельно загружается при каждом подключении мобильного устройства к Интернету, даже если пользователь больше не запускает заражённое приложение.

Троянский модуль отслеживает сетевую активность и пытается соединиться с управляющим сервером. В зависимости от настроек программа может загружать различные компоненты: это apk-, dex- и elf-файлы. При этом их запуск в некоторых случаях может выполняться без ведома пользователя. При наличии root-доступа возможна скрытная установка apk-файлов. Таким образом, злоумышленники имеют возможность распространять рекламные модули, сторонние программы и другие троянские компоненты. 

Новый троян-майнер атакует пользователей Windows-компьютеров

«Доктор Веб» сообщает о распространении новой вредоносной программы, предназначенной для добычи криптовалюты — майнинга.

Зловред получил обозначение Trojan.BtcMine.1259. Он атакует компьютеры под управлением операционных систем Windows.

Основное предназначение трояна — использование вычислительных ресурсов инфицированного устройства для добычи криптовалюты Monero (XMR). Кроме того, вредоносная программа устанавливает в систему компонент Gh0st RAT с функциональностью бэкдора.

Сразу после старта троян проверяет, не запущена ли на инфицированном компьютере его копия. Затем он определяет количество ядер процессора, и, если оно больше или равно указанному в конфигурации числу потоков, расшифровывает и загружает в память хранящуюся в его теле библиотеку. Эта библиотека представляет собой модифицированную версию системы удалённого администрирования с открытым исходным кодом, известной под наименованием Gh0st RAT.

Основной модуль, предназначенный для добычи криптовалюты Monero, также реализован в виде библиотеки. Причём вредоносная программа может задействовать как 32-разрядную, так и 64-разрядную версию модуля для добычи криптовалюты.

Зловред способен использовать определённое количество ядер и вычислительных ресурсов. При этом троян отслеживает работающие на заражённом компьютере процессы и при попытке запустить диспетчер задач завершает свою работу. 

Ошибки в WannaCry помогут вернуть зашифрованные файлы

«Лаборатория Касперского» провела глубокий анализ опасного шифровальщика WannaCry и обнаружила в его архитектуре ошибки, которые помогут частично вернуть закодированные файлы.

Напомним, что 12 мая пользователи и организации по всему миру пострадали от масштабной атаки вымогателя. Вредоносная программа кодирует файлы распространённых форматов и требует выкуп в размере 300–600 долларов США в биткоинах. Зловред использует гибридный алгоритм шифрования RSA+AES, что делает восстановление зашифрованных файлов практически невозможным.

Переименованные оригинальные файлы, которые можно восстановить из директории %TEMP%

Переименованные оригинальные файлы, которые можно восстановить из директории %TEMP%

Эксперты «Лаборатория Касперского» выяснили, что в процессе работы зловред читает содержимое оригинального файла, шифрует его и сохраняет в файл с расширением «.WNCRYT». После окончания процесса шифрования WannaCry перемещает файл с расширением «.WNCRYT» в файл «.WNCRY» и удаляет оригинальный файл. При этом логика операций удаления может меняться в зависимости от расположения и свойств оригинальных файлов.

Если файл находится на рабочем столе или в папке «Документы», то перед удалением поверх него будут записаны случайные данные. В этом случае способов восстановить содержимое исходного файла нет.

При кодировании данных в других папках оригинальные файлы перемещаются в директорию %TEMP%\%d.WNCRYT, где %d — это числовое значение. Эти файлы содержат первоначальные данные, поверх которых ничего не пишется, — они просто удаляются с диска. Поэтому существует высокая вероятность, что оригинальные файлы можно будет вернуть при помощи программ восстановления данных. Важно также отметить, что исходные файлы удаляются небезопасно — это повышает шансы на успешное восстановление.

Оригинальные файлы с защитой от записи не зашифровываются

Оригинальные файлы с защитой от записи не зашифровываются

Более того, в WannaCry содержится ошибка обработки файлов с защитой от записи. Если на заражённом компьютере есть такие файлы, то вымогатель их не зашифрует вообще: будут созданы зашифрованные копии каждого такого файла, а сами оригиналы лишь получат атрибут «скрытый». В таком случае их восстановление не составит особого труда. 

Распространявшийся через Google Play троян мог заразить 36 млн смартфонов

Исследователи из Check Point обнаружили, возможно, самую масштабную кампанию по распространению вредоносного ПО в официальном магазине софта и контента для Android — Google Play. Вирус под названием Judy относится к категории так называемых кликеров, то есть использует заражённые устройства для генерации большого количества переходов на рекламные ссылки. Он был замечен в 41 приложении, созданном одной и той же компанией из Кореи, называющей себя Enistudio.

Распространение этого трояна приобрело поистине огромные масштабы — по данным Check Point, количество его скачиваний может составлять от 4,5 до 18,5 миллионов. Некоторые из заражённых программ находились в Google Play на протяжении нескольких лет, но недавно все они были обновлены.

Кроме того, специалисты из Check Point нашли ещё несколько приложений, инфицированных этим трояном, но уже от других разработчиков. Какая связь между ними и первой кампанией, о которой сказано выше, пока неясно. Возможно, создатели этого ПО специально или непреднамеренно заимствовали код с вредоносным компонентом друг у друга.

Старейшее приложение из второй кампании датируется апрелем 2016 года, то есть долгое время вирус оставался необнаруженным. Масштабы его распространения аналогичны первому эпизоду и соответствуют 4–18 млн скачиваний. Таким образом, общее число загрузок Judy может составлять 8,5–36,5 млн. Check Point уже уведомила Google о наличии этого трояна в магазине Play, после чего содержащие его программы были удалены.

Новый Android-троян крадёт пароли от приложений банков и социальных сетей

Компания ESET предупреждает о появлении новой вредоносной программы, нацеленной на мобильные устройства под управлением операционных систем Android.

Зловред, получивший название Android/Charger.B, был обнаружен в магазине Google Play. Троян замаскирован под приложение-фонарик Flashlight LED Widget. Но ничто не мешает злоумышленникам распространять программу под видом других приложений и утилит. Кроме того, зловред с большой долей вероятности распространяется через неофициальные магазины Android-приложений.

После установки и запуска программа запрашивает права администратора устройства и разрешение открывать окна поверх других приложений. Далее троян отправляет на командный сервер информацию об устройстве, включая список установленных приложений, а также фотографию владельца, сделанную фронтальной камерой.

Главная задача зловреда — кража паролей от приложений банков и социальных сетей, в частности, Facebook и Instagram. Когда жертва запускает интересующее злоумышленников приложение, на экране появляется поддельное окно для ввода данных. Логины, пароли или данные банковских карт, введённые в фишинговом окне, будут отправлены злоумышленникам.

Троян может блокировать экран устройства, выводя сообщение о загрузке обновлений. Специалисты предполагают, что эта функция используется при краже средств со счёта.

Более подробную информацию о вредоносной программе можно найти здесь

Новый троян крадёт логины и пароли у пользователей Windows-систем

«Доктор Веб» раскрыл схему работы новой вредоносной программы, способной похищать логины и пароли из популярных браузеров и скачивать опасные файлы.

Зловред получил обозначение Trojan.DownLoader23.60762. Он атакует пользователей систем под управлением Windows. Троян отличается от сородичей довольно богатой функциональностью.

Запустившись на атакуемом компьютере, вредоносная программа распаковывает собственное тело и ищет в памяти своего процесса фрагменты кода для выполнения. Копию исполняемого файла троян сохраняет во временной папке на накопителе инфицированного компьютера, а затем записывает путь к этому файлу в ключ системного реестра, отвечающий за автоматический запуск приложений. В результате зловред получает возможность запускаться вместе с операционной системой.

Для кражи конфиденциальной информации троян встраивается в процесс «Проводника Windows», а также в процессы браузеров Microsoft Internet Explorer, Mozilla Firefox и Google Chrome. Программа способна перехватывать функции, отвечающие за работу с компьютерной сетью.

Среди основных возможностей зловреда можно выделить загрузку и запуск различных файлов, удаление файлов cookies, перезагрузку и выключение компьютера, а также возможность перехватывать информацию, которую пользователь вводит на страницах веб-сайтов. 

«Доктор Веб» поможет вернуть файлы, закодированные шифровальщиком Encoder.10465

«Доктор Веб» сообщает о том, что специалистам компании удалось найти способ восстановить доступ к файлам, закодированным опасным шифровальщиком Trojan.Encoder.10465.

Названный зловред атакует пользователей персональных компьютеров под управлением операционных систем Windows. Троян написан на языке Delphi. Он распространяется в том числе посредством электронной почты в письмах с вложением.

Для шифрования файлов на заражённом компьютере вредоносная программа используется библиотека DCPCrypt, при этом применяется алгоритм AES в режиме CBC с длиной ключа 256 бит. Зашифрованным файлам энкодер присваивает расширение .crptxxx, а также сохраняет на диске текстовый файл с именем HOW_TO_DECRYPT.txt следующего содержания:

Инструкции по расшифровке закодированных файлов можно получить здесь.

Нужно отметить, что только в прошлом году от программ-шифровальщиков пострадали как минимум полтора миллиона пользователей. Как показывают исследования, многие такие программы разработаны русскоязычными хакерами.

В 2016-м появился опасный класс вымогателей, шифрующих не отдельные типы файлов, а весь накопитель в целом. Такие зловреды могут, например, кодировать главную файловую таблицу (Master File Table, MFT) диска и делать невозможной нормальную перезагрузку компьютера. 

Троян PetrWrap осуществляет целевые атаки на бизнес-пользователей

«Лаборатория Касперского» предупреждает о появлении новой вредоносной программы, которая используется киберпреступниками для проведения целевых атак на бизнес-пользователей.

Зловред получил название PetrWrap. Его главная особенность заключается в том, что он базируется на опасном шифровальщике Petya, причём использует эту программу без разрешения разработчиков.

Petya — один из наиболее заметных зловредов, распространяемых по модели «вымогатели как услуга» (Ramsomware-as-a-Service, RaaS). Авторы распространяют его через многочисленных посредников, получая часть прибыли.

Для того чтобы избежать неавторизованного использования шифровальщика, разработчики вставили в его код несколько защитных механизмов, однако создателям PetrWrap удалось их обойти. Троян оснащён собственными криптографическими алгоритмами и в процессе работы изменяет код Petya, что позволяет преступникам, стоящим за PetrWrap, скрыть факт использования Petya в процессе заражения.

При этом новый троян использует собственные ключи шифрования вместо тех, что применяются в Petya по умолчанию, поэтому для расшифровки данных в случае уплаты выкупа PetrWrap не требуется помощь авторов оригинального вымогателя.

Важно отметить, что Petya в последних версиях обладает очень мощным криптографическим алгоритмом, а поэтому расшифровать файлы чрезвычайно сложно. В предыдущих версиях программы был найден ряд ошибок, которые несколько раз позволяли экспертам расшифровывать закодированные данные, однако с тех пор авторы закрыли почти все уязвимости.

Более подробную информацию о схеме работы трояна PetrWrap можно найти здесь

Новый Android-троян нацелился на банковские приложения

Компания ESET предупреждает о появлении новой вредоносной программы, нацеленной на мобильные устройства под управлением операционной системы Android.

Главной задачей зловреда является кража логинов и паролей для доступа к популярным банковским приложениям. Эти сведения затем могут использоваться злоумышленниками для хищения денег со счетов своих жертв.

До недавнего времени вредоносная программа распространялась через магазин Google Play под видом приложения с прогнозом погоды. В ходе установки троян запрашивает у пользователя расширенные права в системе. Затем на главный экран мобильного устройства выводится виджет с прогнозом погоды, «позаимствованный» у легального приложения. Параллельно с этим информация об устройстве передаётся в фоновом режиме на командный сервер.

Троян распознаёт популярные банковские приложения, собирает логины и пароли при помощи фальшивых форм ввода и направляет эти данные своим операторам. Функция перехвата текстовых сообщений позволяет обойти двухфакторную аутентификацию на базе SMS. Кроме того, программа может блокировать и разблокировать экран устройства по команде злоумышленников.

На текущий момент известные приложения с трояном удалены из Google Play. Но не исключено, что зловред вновь появится на этой площадке под видом других утилит и полезных программ. Троян также может распространяться через сторонние магазины приложений и иные веб-сайты.