Сегодня 16 декабря 2017
18+
Теги → трояны
Быстрый переход

Сбербанк не считает вирусы основной киберугрозой для клиентов

Сбербанк выделил из целого ряда киберугроз для клиентов основную. Как оказалось, это не компьютерные вирусы или хакерские атаки, а социальная инженерия, на которую приходится порядка 80 % атак на клиентов.

«Для нас сейчас технические вопросы перестали быть актуальными, мы научились бороться с вирусами, компьютерными атаками, развиваем наш антифрод, у него достаточно высокая эффективность. Сейчас для нас основная проблема — социальная инженерия, которая составляет 80 % всех атак на наших клиентов», — сообщил руководитель службы информационной безопасности банка Сергей Лебедь на форуме по борьбе с кибермошенничеством Antifraud Russia 2017.

Каждый день Сбербанк фиксирует около 2 тыс. обращений клиентов, связанных с мошенничеством. Но попытки заручиться поддержкой правоохранительных органов пока не находят надлежащего отклика.

«В год в наших блэк-листах мы накапливаем около 50 тыс. записей о мошенниках по физическим лицам и несколько тыс. по юридическим лицам. Вопрос: почему эта информация не востребована правоохранительной системой, почему ей никто не занимается?», — задаёт вопрос глава службы информбезопасности Сбербанка. По его словам, в силовых структурах пока нет на сегодняшний день понимания, что этим нужно заниматься.

Сергей Лебедь отметил, что операторы связи тоже фиксируют случаи банковского мошенничества. Его слова подтвердил руководитель департамента по гарантированию доходов и управлению фродом «МегаФона» Сергей Хренов, рассказавший, что операторы связи видят банковские «трояны». В ходе одной из хакерских атак оператором за неделю было заблокировано 30 млн СМС со ссылкой на загрузку «трояна».

Россия лидирует по количеству атак мобильных банковских троянов

«Лаборатория Касперского» рассказала о развитии киберугроз в мобильном сегменте в третьем квартале нынешнего года.

Сообщается, что по сравнению со второй четвертью 2017-го количество вредоносных установочных пакетов, нацеленных на смартфоны и планшеты, увеличилось в 1,2 раза. Страной с самым большим процентом атакованных мобильных пользователей в третьем квартале остался Иран (35,12 %) — эту позицию он занимает с начала года. На второй и третьей строках находятся Бангладеш (28,3 %) и Китай (27,38 %), только они поменялись местами по сравнению с предыдущим кварталом. Россия в рейтинге находится на 35 месте (8,68 %).

С конца прошлого года наблюдается снижение числа установочных пакетов мобильных банковских троянов. Так, в прошлом квартале их количество сократилось в 1,4 раза по сравнению со второй четвертью текущего года. При этом Россия продолжает лидировать по интенсивности атак зловредов данного типа.

География мобильных банковских угроз в третьем квартале 2017 года (процент атакованных пользователей)

География мобильных банковских угроз в третьем квартале 2017 года (процент атакованных пользователей)

Наблюдается также сокращение числа установочных пакетов мобильных троянов-вымогателей. В течение минувшего квартала их число уменьшилось практически в два раза. Чаще всего мобильные вымогатели атакуют пользователей в Соединённых Штатах.

В третьем квартале отмечен рост активности мобильных вредоносных программ, крадущих деньги пользователей посредством подписок. Такие зловреды могут посещать сайты, позволяющие оплачивать услуги средствами со счёта мобильного телефона пользователя.

Традиционно львиная доля атак в мобильном сегменте направлена на владельцев устройств под управлением операционных систем Android. Более подробно об исследовании можно узнать здесь

Новая версия банковского трояна BankBot атакует Android-пользователей

Компания ESET предупреждает о появлении новой модификации довольно опасной вредоносной программы BankBot, крадущей банковские данные владельцев Android-устройств.

Злоумышленники маскируют зловреда под различные легальные приложения. К примеру, новая версия распространяется под видом игры Jewels Star Classic. Установка такой программы приводит к попаданию на смартфон или планшет вредоносных модулей.

Обнаруженная модификация BankBot получила улучшенную обфускацию (запутывание) кода и сложный механизм заражения, использующий службу специальных возможностей Android Accessibility Service. Через некоторое время после запуска троян отображает сообщение с предложением активировать службу Google Service в меню специальных возможностей Android. Если пользователь соглашается, BankBot получает полную свободу действий на устройстве.

В частности, зловред разрешает установку приложений из неизвестных источников, устанавливает компонент мобильного банкера и запускает его, активирует права администратора для основного модуля и пр.

Главная задача вредоносной программы заключается в краже данных банковских карт жертвы. Когда пользователь запускает Google Play, троян перекрывает экран легального приложения фальшивой формой ввода банковских данных и требует подтвердить правильность сохранённой информации. Полученные сведения затем отсылаются злоумышленникам. 

Check Point рассказала о найденных в Google Play вирусах

Считается, что инсталляция программ из официальных магазинов приложений абсолютно безопасна с точки зрения вероятности подхватить какой-нибудь вирус, но на самом деле даже размещённый в них софт может таить в себе вредоносные функции. Специалисты компании Check Point рассказали, какие угрозы они обнаружили в Google Play за последнее время.

В поле зрения экспертов по вопросам кибербезопасности попала утилита DU Antivirus Security, изначальное назначение которой — обеспечивать конфиденциальность личных данных, хранящихся в мобильном устройстве под управлением операционной системы Android. Однако, как оказалось, приложение само собирает и использует в коммерческих целях информацию о действиях пользователя: кому звонил, сколько длился разговор и т. п. Разумеется, всё это делалось без разрешения владельца гаджета, поэтому, когда стало известно о наличии в программе данной шпионской функции, Google удалила её из каталога Play Маркета. Произошло это ещё 24 августа, но уже 28 августа DU Antivirus Security снова стала доступна для скачивания в обновлённой версии и без функции слежки.

Гораздо больше неприятностей может доставить зловред, который без ведома пользователя отправляет платные SMS и подписывает его аккаунт на платные сервисы. Конечно, чтобы совершить перечисленные действия, трояну нужно получить необходимые для этого разрешения. Но многие пользователи предоставляют их добровольно, не подозревая, что после этого, скорее всего, не досчитаются денег на своём мобильном счёте. По данным Google, подобный вредоносный код содержался в 50 приложениях, которые были скачаны от 1 до 4,2 млн раз, прежде чем их удалили. Однако и тогда опасность не миновала: на просторах Play Маркета был обнаружен новый «штамм» вируса под названием ExpensiveWall, полученным в честь приложения Lovely Wallpaper, которое в числе прочих он использовал для заражения гаджетов. Вместе с обновлённой версией общее число загрузок вируса, согласно подсчётам CheckPoint, превысило 21 млн.

Киберпреступная схема «вымогатель как услуга» набирает популярность

Исследование, проведённое компанией Positive Technologies, показало, что во втором квартале текущего года продолжили набирать популярность сервисы «вымогатели как услуга» по сдаче троянов в аренду. США и Россия стали наиболее частыми жертвами атак, хотя больше четверти (28 %) киберкампаний были масштабными и затронули одновременно десятки стран.

Схема работы зловредов-вымогателей сводится к следующему. Проникнув на устройство жертвы, вредоносная программа шифрует файлы распространённых форматов. Далее на экран выводится сообщение с требованием выкупа за восстановление доступа к данным. Обычно жертве предлагается заплатить некую сумму в криптовалюте.

По статистике Positive Technologies, 67 % атак шифровальщиков во втором квартале текущего года были совершены с целью получения прямой финансовой выгоды. Так, нашумевшая эпидемия вируса-вымогателя WannaCry принесла злоумышленникам около $130 тыс., а ущерб компаний составил более миллиарда долларов.

Киберпреступники всё чаще сдают вредоносное ПО с функциями шифрования в аренду. Так, дистрибьютор Petya или Mischa получает от 25 % до 85 % от суммы платежей жертв, а троян-шифровальщик Karmen продаётся на чёрном рынке за $175.

Аналитики отмечают появление новых нестандартных цепочек проникновения в целевую систему. Например, группировка Cobalt использовала произвольные уязвимые сайты в качестве хостинга для вредоносного ПО. Члены группировки APT10 в ходе целевых атак сначала получали доступ в корпоративные сети провайдеров облачных сервисов, а затем по доверенным каналам проникали в сеть организаций-жертв. 

В письмах с «билетами в США» скрывается троян, ворующий пароли

Компания ESET предупреждает о том, что сетевые злоумышленники организовали вредоносную спам-рассылку с целью кражи паролей из браузеров и почтовых приложений.

Потенциальная жертва получает по электронной почте уведомление от лица авиакомпании Delta Air Lines. В письме сообщается, что билет в Вашингтон (столица США) успешно оплачен и его можно получить по указанной ссылке.

Тем, кто перейдёт на веб-страницу, будет предложено загрузить документ Microsoft Office. Этот файл вместо обещанного билета в США содержит специальный макрос. Если жертва игнорирует сообщение безопасности и включает макрос, происходит заражение компьютера трояном PSW.Fareit.

Названная вредоносная программа предназначена для кражи логинов и паролей, сохранённых в веб-браузерах Internet Explorer, Google Chrome, Mozilla Firefox и др., а также в приложениях для работы с электронной почтой Windows Live Mail и Mozilla Thunderbird.

Любопытно, что после кражи информации и её отправки на сервер киберпреступников троян уничтожает все следы своей активности и удаляется из системы. Злоумышленники же, имея логины и пароли жертвы, могут получить несанкционированный доступ к различным веб-сервисам, в которых зарегистрирован пользователь. Понятно, что это может обернуться утечкой конфиденциальной информации и финансовыми потерями. 

Новый Android-троян атакует приложения для вызова такси и оплаты штрафов ГИБДД

«Лаборатория Касперского» предупреждает о появлении новой версии вредоносной программы Faketoken, обладающей довольно развитой функциональностью.

Троян Faketoken, известный уже не один год, атакует устройства под управлением операционных систем Android. Различные модификации зловреда обладают разными возможностями. В частности, реализованы механизмы перекрытия окон приложений, шифрования и пр.

Новая версия Faketoken, как показывает предварительный анализ, попадает на мобильное устройство жертвы благодаря SMS-рассылке c предложением загрузить некие фотографии. После активации троян скрывает свой ярлык и начинает в фоновом режиме следить за звонками пользователя и тем, какие приложения тот запускает.

В процессе работы зловред записывает телефонные разговоры, осуществляемые по определённым номерам. Эти скрытые записи затем отправляются злоумышленникам. Таким образом, киберпреступники могут получить конфиденциальную информацию, скажем, финансового характера.

Кроме того, троян способен выводить собственные окна поверх окон легитимных приложений. Так, новая версия зловреда перекрывает несколько банковских приложений, а также приложения для покупки авиабилетов, бронирования номеров в гостиницах, вызова такси и оплаты штрафов ГИБДД. Подмена происходит мгновенно, а цветовая гамма подделки соответствует цветовой гамме оригинального приложения. Через фальшивые окна жертве предлагается ввести данные банковской карты.

Троян также отправляет злоумышленникам все входящие сообщения. Информация из них может пригодиться для подтверждения платежей.

Эксперты полагают, что новая версия трояна пока тестируется. Дело в том, что некоторые окна перекрытия содержат дефекты форматирования. Однако в будущем полнофункциональный вариант программы может нанести серьёзный финансовый ущерб пользователям Android в России и СНГ. 

Обнаружен сложный бекдор, задействованный в атаках шифраторов Petya и XData

Компания ESET опубликовала новую информацию об атаках опасного шифровальщика Petya (Diskcoder.C), который поразил компьютеры во многих странах по всему миру.

Как удалось выяснить, первыми жертвами зловреда стали украинские пользователи M.E.Doc, корпоративного программного обеспечения для отчётности и документооборота. Злоумышленники получили доступ к серверу обновлений M.E.Doc и с его помощью направили пользователям вредоносные апдейты с автоматической установкой.

Теперь экспертам ESET удалось обнаружить очень сложный бекдор, задействованный в атаках шифратора Petya, а также XData. Оказалось, что этот зловред был скрытно встроен в один из модулей M.E.Doc. Специалисты полагают, что проделать такую работу можно только при наличии доступа к исходному коду программы документооборота.

Более того, выяснилось, что бекдор был интегрирован как минимум в три обновления M.E.Doc — от 14 апреля, 15 мая и 22 июня нынешнего года. Через несколько дней после выхода последнего из названных апдейтов и началась эпидемия Petya.

Бекдор позволяет загружать и выполнять в заражённой системе другое вредоносное ПО — именно так осуществлялось начальное заражение шифраторами Petya и XData. Кроме того, программа собирает настройки прокси-серверов и электронной почты, включая логины и пароли из приложения M.E.Doc, а также коды компаний по ЕДРПОУ (Единому государственному реестру предприятий и организаций Украины), что позволяет идентифицировать жертв. 

МВД России: задержана группировка из 20 хакеров, заразившая трояном миллион смартфонов

МВД России сообщило о пресечении деятельность организованной группы из 20 человек, подозреваемой в хищении денежных средств с банковских счетов при помощи троянской программы. В операции по раскрытию преступной деятельности хакеров участвовали сотрудники Управления «К» МВД России совместно с оперативниками отдела «К» УМВД России по Ивановской области. Активное содействие полицейским оказала компания «Group IB».

What Mobile

What Mobile

По словам официального представителя МВД России Ирины Волк, жертвами преступной группировки стали более миллиона пользователей мобильных устройств. В состав группы входят участники, проживающие в Ивановской, Московской, Ростовской, Челябинской, Ярославской областей и Республики Марий Эл, а организатором преступного бизнеса оказался 30-летний житель Иваново. Ущерб от преступной деятельности группировки составил более 50 млн рублей.

В отношении членов преступной группировки возбуждено уголовное дело по части 4 ст. 159.6 УК РФ (мошенничество в сфере компьютерной информации). Решением суда четверых подозреваемых заключили под стражу, остальных отпустили под подписку о невыезде. В шести регионах России проведено 20 обысков, в ходе которых была изъята компьютерная техника, сотни банковских карт и SIM-карт, оформленных на подставных лиц.

Зловред Sathurbot атакует пользователей торрент-сервисов

Компания ESET предупреждает о росте активности вредоносной программы Sathurbot, которая распространяется через скрытые страницы с торрентами, размещённые на скомпрометированных сайтах.

Пользователи попадают на опасные веб-страницы через поисковую выдачу, когда пытаются найти, скажем, фильм или какой-либо программный продукт. Загрузив торрент, потенциальная жертва обнаруживает в нём «инсталлятор для кодека». Это исполняемый файл, после запуска которого в систему загружается собственно Sathurbot. Далее троян обращается к управляющему серверу, получает команды и выполняет их в заражённой системе.

Троян способен обновляться, загружать и запускать на инфицированном ПК другие исполняемые файлы. Зловред объединяет заражённые компьютеры в ботнет: сейчас эта сеть насчитывает около 20 тыс. устройств.

Другая функция Sathurbot предназначена для компрометации WordPress-сайтов. Для этого используется схема перебора паролей. Вредоносная программа направляет на заражённые компьютеры в составе ботнета данные для авторизации на найденных WordPress-сайтах. Каждый бот из 20 тыс. пытается авторизоваться только один раз — это позволяет избежать блокировки.

Через скомпрометированные сайты злоумышленники распространяют вредоносные торренты. Часть компьютеров в составе ботнета участвуют в раздаче торрентов, часть — только подбирают учётные данные к WordPress-сайтам.

Более подробную информацию о схеме работы вредоносной программы можно найти здесь

«Лаборатория Касперского» зафиксировала трёхкратный рост числа вредоносных программ для Android

Владельцы мобильных устройств под управлением операционной системы Android всё чаще становятся жертвами киберпреступников, использующих различные каналы распространения вредоносного софта, в том числе магазин приложений Google Play. Об этом свидетельствуют результаты исследования, проведённого «Лабораторией Касперского».

По данным вирусных аналитиков, в 2016 году вредоносных установочных пакетов для смартфонов и планшетов Android стало почти в три раза больше, чем годом ранее. При этом больше всего — в 8,5 раз — выросло количество программ-вымогателей, делающих невозможным использование мобильного устройства и требующих денег за его разблокировку. Активное развитие на протяжении всего прошедшего года получили также умеющие обходить защитные механизмы Android рекламные и банковские троянцы. Последней угрозе наиболее подвержены оказались российские пользователи.

По мнению специалистов, такой внушительный рост числа вредоносного ПО для Android обусловлен тем, что большинство устройств не получают (или получают поздно) обновления операционной системы. «Это приводит к тому, что смартфоны и планшеты оказываются уязвимы к старым, хорошо известным и легко доступным эксплойтам, которыми и пользуются зловреды, — поясняет антивирусный эксперт «Лаборатории Касперского» Роман Унучек. — Мы полагаем, что в 2017 году пользователи мобильных устройств по-прежнему будут чаще всего сталкиваться с раздражающими и потенциально опасными рекламными троянцами».

С развёрнутой версией отчёта «Лаборатории Касперского» можно ознакомиться на сайте securelist.ru.

Задержаны хакеры, похитившие с банковских счетов свыше 100 млн рублей

МВД России объявило о задержании группы хакеров, похитивших свыше 100 млн рублей с банковских счетов более 20 организаций. 

Shutterstock

Shutterstock

«Оперативниками Управления „К“ МВД России во взаимодействии с сотрудниками МУ МВД России „Раменское“ при силовой поддержке ОМОН „Зубр“ ЦСН СР Росгвардии пресечена деятельность организованной группы, осуществлявшей хищения денежных средств путем модификации компьютерной информации», — сообщила официальный представитель МВД России Ирина Волк.

Участниками группы хакеров оказались четверо российских граждан, проживающих на территории Москвы и Московской области, которые были задержаны и дают признательные показания.

В ходе 19 обысков у подозреваемых изъято 46 SIM-карт различных операторов, 34 банковские карты, порядка двух десятков компьютеров, а также блокноты, содержащие записи о поступлении и распределении похищенных денежных средств.

Хищения производились с помощью вредоносного программного обеспечения, позволявшего удаленно управлять банковскими счетами организаций. Для его распространения использовалась сеть фишинговых сайтов, спам-рассылки, а также методы социальной инженерии. Благодаря этому удалось заразить вредоносными программами компьютеры более чем 20 организаций из разных городов России.

В отношении одного из подозреваемых суд избрал меру пресечения в виде заключения под стражу, остальные находятся под подпиской о невыезде.

Количество банковских Android-троянов может резко возрасти

«Доктор Веб» сообщает о том, что сетевые злоумышленники выложили в открытый доступ исходный код и инструкции по использованию одной из банковских вредоносных программ, нацеленных на платформу Android. Это может привести к резкому росту количества зловредов, атакующих пользователей названной операционной системы.

Вирусописатели опубликовали исходный код нового вредоносного приложения лишь месяц назад, однако уже начали появляться трояны на его основе. Один из них —  Android.BankBot.149.origin. Этот зловред распространяется под видом безобидных приложений. После запуска банкер запрашивает доступ к функциям администратора мобильного устройства, чтобы усложнить своё удаление. Затем он прячется от пользователя, убирая свой значок с главного экрана.

BankBot может выполнять широкий спектр различных операций. Зловред, в частности, способен отправлять и перехватывать SMS, выполнять USSD-запросы, отслеживать местоположение устройства посредством GPS, показывать фишинговые окна, получать список контактов и пр.

Вредоносная программа крадёт у пользователей конфиденциальную информацию, отслеживая запуск приложений «банк-клиент» и ПО для работы с платёжными системами. Как только BankBot обнаруживает, что одно из таких приложений начало работу, он загружает с управляющего сервера соответствующую фишинговую форму ввода логина и пароля для доступа к учётной записи банка и показывает её поверх атакуемого приложения.

Кроме того, троян пытается похитить информацию о банковской карте владельца заражённого гаджета. Для этого зловред отслеживает запуск популярных приложений, таких как Facebook, Viber, Youtube, Messenger, WhatsApp, Uber, Snapchat, WeChat, imo, Instagram, Twitter и Play Маркет, и показывает поверх них фишинговое окно настроек платёжного сервиса каталога Google Play. Результатом присутствия BankBot в системе может стать потеря серьёзных сумм денег. 

Червь Ragebot удаляет другие вредоносные программы

«Доктор Веб» изучил механизм работы зловреда BackDoor.Ragebot.45, способного инфицировать архивы и удалять другие вредоносные программы.

Ragebot — это червь, распространяющийся через систему удалённого доступа VNC (Virtual Network Computing). Зловред получает команды с использованием протокола для обмена текстовыми сообщениями IRC (Internet Relay Chat). Для этого он подключается к чат-каналу, по которому злоумышленники отдают управляющие директивы.

Ragebot инфицирует компьютеры под управлением Windows. Проникнув в систему, червь запускает FTP-сервер, посредством которого скачивает на атакуемый ПК свою копию. Затем он сканирует доступные подсети в поисках узлов с открытым портом 5900, используемым для организации соединения при помощи системы удалённого доступа к рабочему столу VNC. Обнаружив такую машину, Ragebot пытается получить к ней несанкционированный доступ путём перебора паролей по списку.

Если взлом удался, червь устанавливает с удалённым компьютером VNC-соединение и отправляет сигналы нажатия клавиш, с помощью которых запускает интерпретатор команд CMD и выполняет в нём код для загрузки по протоколу FTP собственной копии. Это обеспечивает автоматическое распространение.

Червь способен инфицировать RAR-архивы на съёмных носителях, внедряя в них свою копию под видом exe-файла. Правда, заражение в данном случае происходит только тогда,  когда пользователь самостоятельно запустит исполняемый файл.

Наконец, по командам злоумышленников Ragebot способен искать в системе сторонние троянские программы, завершать их процессы и удалять соответствующие модули. 

Выпущена утилита для расшифровки файлов, поражённых одним из самых опасных троянов

«Лаборатория Касперского» выпустила утилиту, позволяющую восстановить доступ к файлам, зашифрованным одним из самых опасных троянов последнего времени.

Речь идёт о вредоносной программе CryptXXX. Для распространения этого зловреда применяются популярные среди злоумышленников наборы эксплойтов Angler и Neutrino. Используя уязвимости в программном обеспечении, они позволяют преступникам получить практически полный контроль над устройством жертвы.

По оценкам, вредоносные программы семейства CryptXXX поразили сотни тысяч пользователей по всему миру. Больше половины заражений пришлось на шесть стран — США, Россию, Германию, Японию, Индию и Канаду.

До недавнего времени полная расшифровка файлов, закодированных зловредами CryptXXX, была невозможна. «Лаборатория Касперского» уже выпускала утилиты для расшифровки данных в апреле и мае 2016 года, однако с тех пор появились новые модификации трояна.

«Лаборатория Касперского»

«Лаборатория Касперского»

Новая утилита RannohDecryptor расшифровывает большинство файлов с расширениями crypt., .cryp1 и .crypz. Загрузить эту программу можно отсюда.

Специалисты по вопросам кибербезопасности также рекомендуют пользователям ни в коем случае не платить выкуп злоумышленникам, поскольку гарантии расшифровки файлов попросту нет.