Сегодня 17 августа 2017
18+
E3 2017
Теги → трояны
Быстрый переход

Обнаружен сложный бекдор, задействованный в атаках шифраторов Petya и XData

Компания ESET опубликовала новую информацию об атаках опасного шифровальщика Petya (Diskcoder.C), который поразил компьютеры во многих странах по всему миру.

Как удалось выяснить, первыми жертвами зловреда стали украинские пользователи M.E.Doc, корпоративного программного обеспечения для отчётности и документооборота. Злоумышленники получили доступ к серверу обновлений M.E.Doc и с его помощью направили пользователям вредоносные апдейты с автоматической установкой.

Теперь экспертам ESET удалось обнаружить очень сложный бекдор, задействованный в атаках шифратора Petya, а также XData. Оказалось, что этот зловред был скрытно встроен в один из модулей M.E.Doc. Специалисты полагают, что проделать такую работу можно только при наличии доступа к исходному коду программы документооборота.

Более того, выяснилось, что бекдор был интегрирован как минимум в три обновления M.E.Doc — от 14 апреля, 15 мая и 22 июня нынешнего года. Через несколько дней после выхода последнего из названных апдейтов и началась эпидемия Petya.

Бекдор позволяет загружать и выполнять в заражённой системе другое вредоносное ПО — именно так осуществлялось начальное заражение шифраторами Petya и XData. Кроме того, программа собирает настройки прокси-серверов и электронной почты, включая логины и пароли из приложения M.E.Doc, а также коды компаний по ЕДРПОУ (Единому государственному реестру предприятий и организаций Украины), что позволяет идентифицировать жертв. 

МВД России: задержана группировка из 20 хакеров, заразившая трояном миллион смартфонов

МВД России сообщило о пресечении деятельность организованной группы из 20 человек, подозреваемой в хищении денежных средств с банковских счетов при помощи троянской программы. В операции по раскрытию преступной деятельности хакеров участвовали сотрудники Управления «К» МВД России совместно с оперативниками отдела «К» УМВД России по Ивановской области. Активное содействие полицейским оказала компания «Group IB».

What Mobile

What Mobile

По словам официального представителя МВД России Ирины Волк, жертвами преступной группировки стали более миллиона пользователей мобильных устройств. В состав группы входят участники, проживающие в Ивановской, Московской, Ростовской, Челябинской, Ярославской областей и Республики Марий Эл, а организатором преступного бизнеса оказался 30-летний житель Иваново. Ущерб от преступной деятельности группировки составил более 50 млн рублей.

В отношении членов преступной группировки возбуждено уголовное дело по части 4 ст. 159.6 УК РФ (мошенничество в сфере компьютерной информации). Решением суда четверых подозреваемых заключили под стражу, остальных отпустили под подписку о невыезде. В шести регионах России проведено 20 обысков, в ходе которых была изъята компьютерная техника, сотни банковских карт и SIM-карт, оформленных на подставных лиц.

Зловред Sathurbot атакует пользователей торрент-сервисов

Компания ESET предупреждает о росте активности вредоносной программы Sathurbot, которая распространяется через скрытые страницы с торрентами, размещённые на скомпрометированных сайтах.

Пользователи попадают на опасные веб-страницы через поисковую выдачу, когда пытаются найти, скажем, фильм или какой-либо программный продукт. Загрузив торрент, потенциальная жертва обнаруживает в нём «инсталлятор для кодека». Это исполняемый файл, после запуска которого в систему загружается собственно Sathurbot. Далее троян обращается к управляющему серверу, получает команды и выполняет их в заражённой системе.

Троян способен обновляться, загружать и запускать на инфицированном ПК другие исполняемые файлы. Зловред объединяет заражённые компьютеры в ботнет: сейчас эта сеть насчитывает около 20 тыс. устройств.

Другая функция Sathurbot предназначена для компрометации WordPress-сайтов. Для этого используется схема перебора паролей. Вредоносная программа направляет на заражённые компьютеры в составе ботнета данные для авторизации на найденных WordPress-сайтах. Каждый бот из 20 тыс. пытается авторизоваться только один раз — это позволяет избежать блокировки.

Через скомпрометированные сайты злоумышленники распространяют вредоносные торренты. Часть компьютеров в составе ботнета участвуют в раздаче торрентов, часть — только подбирают учётные данные к WordPress-сайтам.

Более подробную информацию о схеме работы вредоносной программы можно найти здесь

«Лаборатория Касперского» зафиксировала трёхкратный рост числа вредоносных программ для Android

Владельцы мобильных устройств под управлением операционной системы Android всё чаще становятся жертвами киберпреступников, использующих различные каналы распространения вредоносного софта, в том числе магазин приложений Google Play. Об этом свидетельствуют результаты исследования, проведённого «Лабораторией Касперского».

По данным вирусных аналитиков, в 2016 году вредоносных установочных пакетов для смартфонов и планшетов Android стало почти в три раза больше, чем годом ранее. При этом больше всего — в 8,5 раз — выросло количество программ-вымогателей, делающих невозможным использование мобильного устройства и требующих денег за его разблокировку. Активное развитие на протяжении всего прошедшего года получили также умеющие обходить защитные механизмы Android рекламные и банковские троянцы. Последней угрозе наиболее подвержены оказались российские пользователи.

По мнению специалистов, такой внушительный рост числа вредоносного ПО для Android обусловлен тем, что большинство устройств не получают (или получают поздно) обновления операционной системы. «Это приводит к тому, что смартфоны и планшеты оказываются уязвимы к старым, хорошо известным и легко доступным эксплойтам, которыми и пользуются зловреды, — поясняет антивирусный эксперт «Лаборатории Касперского» Роман Унучек. — Мы полагаем, что в 2017 году пользователи мобильных устройств по-прежнему будут чаще всего сталкиваться с раздражающими и потенциально опасными рекламными троянцами».

С развёрнутой версией отчёта «Лаборатории Касперского» можно ознакомиться на сайте securelist.ru.

Задержаны хакеры, похитившие с банковских счетов свыше 100 млн рублей

МВД России объявило о задержании группы хакеров, похитивших свыше 100 млн рублей с банковских счетов более 20 организаций. 

Shutterstock

Shutterstock

«Оперативниками Управления „К“ МВД России во взаимодействии с сотрудниками МУ МВД России „Раменское“ при силовой поддержке ОМОН „Зубр“ ЦСН СР Росгвардии пресечена деятельность организованной группы, осуществлявшей хищения денежных средств путем модификации компьютерной информации», — сообщила официальный представитель МВД России Ирина Волк.

Участниками группы хакеров оказались четверо российских граждан, проживающих на территории Москвы и Московской области, которые были задержаны и дают признательные показания.

В ходе 19 обысков у подозреваемых изъято 46 SIM-карт различных операторов, 34 банковские карты, порядка двух десятков компьютеров, а также блокноты, содержащие записи о поступлении и распределении похищенных денежных средств.

Хищения производились с помощью вредоносного программного обеспечения, позволявшего удаленно управлять банковскими счетами организаций. Для его распространения использовалась сеть фишинговых сайтов, спам-рассылки, а также методы социальной инженерии. Благодаря этому удалось заразить вредоносными программами компьютеры более чем 20 организаций из разных городов России.

В отношении одного из подозреваемых суд избрал меру пресечения в виде заключения под стражу, остальные находятся под подпиской о невыезде.

Количество банковских Android-троянов может резко возрасти

«Доктор Веб» сообщает о том, что сетевые злоумышленники выложили в открытый доступ исходный код и инструкции по использованию одной из банковских вредоносных программ, нацеленных на платформу Android. Это может привести к резкому росту количества зловредов, атакующих пользователей названной операционной системы.

Вирусописатели опубликовали исходный код нового вредоносного приложения лишь месяц назад, однако уже начали появляться трояны на его основе. Один из них —  Android.BankBot.149.origin. Этот зловред распространяется под видом безобидных приложений. После запуска банкер запрашивает доступ к функциям администратора мобильного устройства, чтобы усложнить своё удаление. Затем он прячется от пользователя, убирая свой значок с главного экрана.

BankBot может выполнять широкий спектр различных операций. Зловред, в частности, способен отправлять и перехватывать SMS, выполнять USSD-запросы, отслеживать местоположение устройства посредством GPS, показывать фишинговые окна, получать список контактов и пр.

Вредоносная программа крадёт у пользователей конфиденциальную информацию, отслеживая запуск приложений «банк-клиент» и ПО для работы с платёжными системами. Как только BankBot обнаруживает, что одно из таких приложений начало работу, он загружает с управляющего сервера соответствующую фишинговую форму ввода логина и пароля для доступа к учётной записи банка и показывает её поверх атакуемого приложения.

Кроме того, троян пытается похитить информацию о банковской карте владельца заражённого гаджета. Для этого зловред отслеживает запуск популярных приложений, таких как Facebook, Viber, Youtube, Messenger, WhatsApp, Uber, Snapchat, WeChat, imo, Instagram, Twitter и Play Маркет, и показывает поверх них фишинговое окно настроек платёжного сервиса каталога Google Play. Результатом присутствия BankBot в системе может стать потеря серьёзных сумм денег. 

Червь Ragebot удаляет другие вредоносные программы

«Доктор Веб» изучил механизм работы зловреда BackDoor.Ragebot.45, способного инфицировать архивы и удалять другие вредоносные программы.

Ragebot — это червь, распространяющийся через систему удалённого доступа VNC (Virtual Network Computing). Зловред получает команды с использованием протокола для обмена текстовыми сообщениями IRC (Internet Relay Chat). Для этого он подключается к чат-каналу, по которому злоумышленники отдают управляющие директивы.

Ragebot инфицирует компьютеры под управлением Windows. Проникнув в систему, червь запускает FTP-сервер, посредством которого скачивает на атакуемый ПК свою копию. Затем он сканирует доступные подсети в поисках узлов с открытым портом 5900, используемым для организации соединения при помощи системы удалённого доступа к рабочему столу VNC. Обнаружив такую машину, Ragebot пытается получить к ней несанкционированный доступ путём перебора паролей по списку.

Если взлом удался, червь устанавливает с удалённым компьютером VNC-соединение и отправляет сигналы нажатия клавиш, с помощью которых запускает интерпретатор команд CMD и выполняет в нём код для загрузки по протоколу FTP собственной копии. Это обеспечивает автоматическое распространение.

Червь способен инфицировать RAR-архивы на съёмных носителях, внедряя в них свою копию под видом exe-файла. Правда, заражение в данном случае происходит только тогда,  когда пользователь самостоятельно запустит исполняемый файл.

Наконец, по командам злоумышленников Ragebot способен искать в системе сторонние троянские программы, завершать их процессы и удалять соответствующие модули. 

Выпущена утилита для расшифровки файлов, поражённых одним из самых опасных троянов

«Лаборатория Касперского» выпустила утилиту, позволяющую восстановить доступ к файлам, зашифрованным одним из самых опасных троянов последнего времени.

Речь идёт о вредоносной программе CryptXXX. Для распространения этого зловреда применяются популярные среди злоумышленников наборы эксплойтов Angler и Neutrino. Используя уязвимости в программном обеспечении, они позволяют преступникам получить практически полный контроль над устройством жертвы.

По оценкам, вредоносные программы семейства CryptXXX поразили сотни тысяч пользователей по всему миру. Больше половины заражений пришлось на шесть стран — США, Россию, Германию, Японию, Индию и Канаду.

До недавнего времени полная расшифровка файлов, закодированных зловредами CryptXXX, была невозможна. «Лаборатория Касперского» уже выпускала утилиты для расшифровки данных в апреле и мае 2016 года, однако с тех пор появились новые модификации трояна.

«Лаборатория Касперского»

«Лаборатория Касперского»

Новая утилита RannohDecryptor расшифровывает большинство файлов с расширениями crypt., .cryp1 и .crypz. Загрузить эту программу можно отсюда.

Специалисты по вопросам кибербезопасности также рекомендуют пользователям ни в коем случае не платить выкуп злоумышленникам, поскольку гарантии расшифровки файлов попросту нет. 

Банковский Android-троян Faketoken шифрует пользовательские данные

«Лаборатория Касперского» обнаружила опасную версию банковского зловреда Trojan-Banker.AndroidOS.Faketoken, которая способна шифровать пользовательские данные.

Вредоносная программа распространяется под видом различных приложений и игр для операционной системы Android. Сразу после запуска троян запрашивает права администратора устройства. Если пользователь не соглашается, Faketoken снова и снова перезапускает окно с соответствующим требованием, практически не оставляя шансов отказаться.

Троян под видом приложения «Яндекс.Навигатор» запрашивает права администратора устройства

Троян под видом приложения «Яндекс.Навигатор» запрашивает права администратора устройства

Получив права администратора, зловред начинает запрашивать необходимые ему разрешения: на доступ к SMS, файлам и контактам, на отправку SMS и совершение звонков. Кроме того, Faketoken пытается сделать себя утилитой для работы с SMS по умолчанию.

Далее троян загружает с сервера базу данных, содержащую фразы на десятках разных языков. Используя эту базу, Faketoken демонстрирует жертве различные фишинговые сообщения с целью кражи учётной информации Gmail и данных банковских карт.

Кроме того, от управляющего сервера троян может получить список атакуемых приложений и страницу-шаблон, на основе которой генерируются фишинговые страницы для других программ.

Наконец, Faketoken может вымогать деньги, блокируя экран инфицированного устройства, а также шифруя файлы пользователя. Для кодирования используется симметричный алгоритм AES. Среди шифруемых данных есть как медиафайлы (картинки, музыка, видео), так и документы.

Жертвами зловреда уже стали более 16 000 человек в 27 странах, в основном это пользователи из России, Украины, Германии и Таиланда. 

Троян Retefe атакует пользователей Facebook, Gmail и PayPal

Компания ESET предупреждает о масштабной кибератаке, жертвами которой становятся клиенты европейских банков, а также пользователи ряда крупнейших онлайновых сервисов.

Целью злоумышленников является хищение средств. Для этого используется троян Retefe, который распространяется по электронной почте в виде неких вложенных документов — скажем, счетов-фактур. После активации зловред устанавливает несколько компонентов, включая Tor, и использует их для настроек прокси для интересующих сайтов.

Когда пользователь инфицированного ПК авторизуется в онлайн-банке или на другой веб-площадке, вредоносная программа подменяет посещаемую страницу и перехватывает регистрационные данные — логин и пароль. Эта информация затем применяется для кражи средств.

Первыми жертвами киберпреступной кампании стали клиенты Tesco Bank. Всего произведено около 40 тыс. мошеннических операций, причём половина из них завершились хищением денег. Пострадали не менее 9 тыс. клиентов названного британского банка.

Анализ показывает, что киберпреступники также атакуют пользователей Facebook, Gmail, PayPal и других сервисов. Кроме того, жертвами могут стать клиенты Raiffeisen, Credit Suisse, Barclays, HSBC и других финансовых учреждений.

Мошенническая кампания затронула пользователей всех популярных браузеров, включая Internet Explorer, Mozilla Firefox и Google Chrome. В некоторых случаях Retefe работает в связке с мобильным компонентом для планшетов и смартфонов Android/Spy.Banker.EZ, чтобы обойти двухфакторную аутентификацию. 

В России хакеры похитили за год 5,5 млрд рублей

Как пишет ТАСС со ссылкой на отчёт аналитической компании Group-IB, киберпреступники в России за год «заработали» 5,5 млрд рублей. Примерно половина указанной суммы была похищена у российских банков.

«В период с июня 2015 г. по июнь 2016 г. в России в результате целевых атак на банки, хищений в интернет-банкинге у юридических лиц, а также атак на физических лиц киберпреступники похитили в общей сложности 3,8 млрд руб. Ещё 1,7 млрд руб. преступники заработали на обналичивании похищенных средств», — говорится в отчёте.

По статистике, каждый день кибератакам подвергаются восемь отечественных компаний, которые в среднем теряют от этого около полумиллиона рублей.

Также отмечается «взрывной рост» успешных атак на устройства под управлением Android: ежедневно 350 пользователей этой операционной системы становятся жертвами злоумышленников. Средний размер ущерба оценивается в 4 тыс. руб.

Эксперты говорят, что тенденция роста объёма успешных хищений с помощью Android-троянов будет наблюдаться и в течение следующего года. Ожидается, что в первой половине 2017 г. хакеры в качестве своих целей будут чаще выбирать промышленные объекты и критическую инфраструктуру, включая объекты транспортной инфраструктуры, аэропорты, химические производства, водоочистительные узлы и т. д.

В Android-устройствах найден опасный бекдор

Сегодня смартфонами владеет большинство жителей нашей планеты, поэтому тема безопасности этих устройств актуальна как никогда. Учитывая, что Android является самой распространённой мобильной операционной системой сегодня, то именно взлом Android-устройств для хакеров всех мастей это очень лакомая добыча. С помощью проникновения в смартфон злоумышленники открывают для себя множество возможностей, включая кражу персональных данных, доступ к цифровым деньгам и многое другое.

Android Police

Android Police

Об уязвимостях в Android в Сети регулярно появляются сообщения, но дыра под именем Pork Explosion привлекает особое внимание. Открытие сделал признанный в своей области эксперт по безопасности Джон Сойер, известный также под псевдонимом Justin Case, или jcase. Уязвимость Pork Explosion была обнаружена в загрузчике некоторых устройств. Отправляя специфическую команду, устройство может быть загружено в режим Factory Test Mode с повышением привилегий в системе и соответствующим снижением уровня безопасности. Важно отметить, что для взлома устройства необходим физический доступ к нему. Так что это снижает опасность дыры. Но при этом хакер, заполучив устройство, может легко обойти систему защиты, включая шифрование, снять блокировку экрана и так далее.

bgr.com

bgr.com

Открытый доступ к «режиму заводского тестирования» замечен на устройствах с низкоуровневым программным обеспечением Foxconn. Скорее всего, это халатность сотрудников компании, которые оставили такой опасный путь для атаки. Но официальные комментарии пока не поступали.

Количество затронутых устройств установить пока трудно, но оно может быть огромным, учитывая то, что Foxconn является крупным производителем и имеет контракты с многими компаниями. Джон Сойер нашёл дыру в Nextbit Robin и InFocus M810.

Почти каждый пятый российский веб-пользователь беззащитен перед троянами-вымогателями

Компания ESET обнародовала результаты исследования, в ходе которого было изучено поведение российских интернет-пользователей в случае заражения компьютерного устройства трояном-вымогателем.

Оказалось, что в случае инфицирования шифратором практически каждый пятый отечественный веб-пользователь потеряет данные без возможности восстановления. Так,  83 % респондентов делают резервные копии файлов на случай технических неполадок или встречи с трояном-вымогателем, а 17 % игнорируют эту меру предосторожности.

Любопытно, что самым популярным бекап-устройством у россиян является внешний жёсткий диск — этот вариант указали 72 % респондентов. На втором месте находятся USB-брелоки и флеш-карты памяти: 42 % участников опроса (наравне с другими методами резервирования) доверяют им всё самое ценное — документы, фотографии, музыку, видео и другую нужную информацию.

Примерно треть — 31 % — респондентов отказались от физических носителей и предпочитают сохранять данные в облачных сервисах. Ещё 16 % копируют важные данные на оптические носители.

Отмечается также, что трояны-вымогатели распространяются преимущественно в спам-письмах. Шифрованию подвергаются файлы популярных форматов: .wma, .mov, .jpeg, .jpg, .rar, .zip, .ppt, .xls, .doc и др. Сумма выкупа исчисляется тысячами рублей. 

Новый троян охотится за Steam-аккаунтами

Компания ESET сообщает о появлении новой вредоносной программы, атакующей пользователей компьютеров под управлением операционных систем Windows.

Зловред носит имя PSW.OnLineGames. Это троян, главной задачей которого является хищение регистрационных данных аккаунтов Steam.

Мошенники распространяют вредоносную программу при помощи методов социальной инженерии. Для этого они регистрируются в многопользовательских онлайн-играх и вступают в контакт с обычными игроками, приглашая их в рейды и гильдии. В какой-то момент потенциальную жертву просят установить приложение, например, программу для голосовой связи с партнёрами по команде.

На деле под видом «безобидного» приложения пользователь получает троянский модуль. Вредоносная программа перехватывает нажатия клавиш и передаёт на удалённый сервер злоумышленников логин и пароль от учётной записи на игровом сервисе.

По статистике, каждый месяц почти 80 тыс. пользователей Steam становятся жертвами сетевых злоумышленников, которые крадут их данные доступа к игровому аккаунту. Помимо трояна PSW.OnLineGames, применяются и другие вредоносные программы. Одной из самых распространённых является Steam Stealer. Причём от атак этого зловреда чаще всего страдают российские любители компьютерных игр. 

Ливийские хакеры используют Каддафи для одурачивания пользователей

В свежем докладе антивирусной компании ESET приводятся сведения о серии кибератак, направленных против пользователей Ливии. Злоумышленники используют троянское ПО для кражи данных и осуществляют взлом правительственных сайтов — причём, по информации аналитиков, делают это весьма успешно.

Согласно данным облачной системы ESET LiveGrid, «ливийский» троян распространяется с 2012 года и предназначен для сбора данных. Зловред способен перехватывать нажатия клавиш, осуществлять запись звука с микрофона, делать скриншоты рабочего стола и снимки веб-камерой, а также собирать информацию об операционной системе и антивирусном ПО на компьютере жертвы.

Пост от лица Саифа аль-Ислама Каддафи:

Так выглядит пост-приманка, в данном случае написанный от лица Саифа аль-Ислама Каддафи

Краденные данные вредонос пересылает на заданные адреса электронной почты и на командный сервер, который располагается в Ливии. Скорее всего, троян использует один и тот же человек или группа — на это указывают  идентичные адреса, прописанные в большинстве образцов трояна.

В качестве приманки преступники используют провокационные посты на политические темы, которые выкладывают в Twitter и Facebook при помощи фейковых и взломанных аккаунтов. Заинтригованные пользователи охотно кликают подобные ссылки, тем самым запуская процесс загрузки трояна.