CaPa.me

Софт и Media => ПО для Интернета => Тема начата: soner30 от 10-02-2016, 19:46:04

Название: Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 10-02-2016, 19:46:04
Количество жертв бекдора Adwind приближается к полумиллиону

Spoiler: показать

«Лаборатория Касперского» опубликовала результаты анализа вредоносной кампании Adwind, от которой пострадали более 440 тысяч пользователей и организаций по всему миру, в том числе и в России.

Впервые зловред Adwind был обнаружен ещё в 2013 году; с тех пор он встречался под различными именами: AlienSpy, Frutas, Unrecom, Sockrat, JSocket и jRat Особенность Adwind заключается в том, что этот бекдор распространяется по модели «вредоносное ПО как услуга». Иными словами, злоумышленники предоставляют желающим доступ к программе за определённую плату. По данным «Лаборатории Касперского», в конце 2015 года в этой «сервисной» системе было около 1800 пользователей.
Adwind написан целиком на Java, а поэтому работоспособен на различных платформах, в частности Windows, OS X, Linux и Android. Вредоносная программа позволяет злоумышленникам собирать и извлекать из системы данные, а также удалённо управлять зараженным устройством.
(http://s008.radikal.ru/i303/1602/82/f4e5498ec349.jpg)
Зловред обладает довольно развитой функциональностью. Он способен делать снимки экрана, запоминать нажатия клавиш, красть пароли и данные, хранящиеся в браузерах и веб-формах, фотографировать и осуществлять видеозапись с помощью веб-камеры, делать аудиозаписи при помощи микрофона, встроенного в устройство, собирать общие данные о пользователе и о системе, красть ключи от криптовалютных кошельков, а также VPN-сертификаты.
Атаки Adwind затрагивают самые разные секторы: производство, финансы, строительство и проектирование, розничная торговля, логистика, телекоммуникации, разработка ПО, образование, здравоохранение, энергетика, СМИ и правительство. При этом почти половина (49 %) жертв Adwind находится всего в 10 странах: в России, ОАЭ, Германии, Индии, США, Италии, Вьетнаме, Гонконге, Турции и Тайване.
Источник:
Лаборатория Касперского




Раскрыта новая кибершпионская группировка Poseidon

Spoiler: показать

«Лаборатория Касперского» раскрыла неизвестную кибергруппировку, которой удавалось скрывать свою деятельность в течение многих лет.

Сообщается, что преступное объединение Poseidon действует как минимум с 2005 года. Злоумышленники крадут конфиденциальные данные у компаний по всему миру, включая Россию, а затем под угрозой их перепродажи требуют заключения контракта на предоставление консалтинговых услуг по информационной безопасности.
Жертвами атак становятся финансовые, телекоммуникационные, промышленные и энергетические компании, государственные учреждения, СМИ, PR-агентства и даже кейтеринговые службы, клиентами которых являются топ-менеджеры корпораций. Уже пострадали десятки организаций по всему миру, включая Россию, Казахстан, США, Францию, ОАЭ, Индию и Бразилию.
(http://s017.radikal.ru/i435/1602/d2/a70a2895282c.jpg)
Для сокрытия следов своей деятельности злоумышленники используют ряд хитроумных инструментов, включая вредоносные программы с очень коротким жизненным циклом. Для атак используются специально разработанные зловреды, подписанные поддельными цифровыми сертификатами. Чаще всего такие вредоносные программы попадают в систему с помощью фишинговых писем с RTF- и DOC-вложениями. После проникновения на ПК осуществляется сбор самых разнообразных конфиденциальных данных, в том числе финансовых. Именно эта информация впоследствии применяется для шантажа.
Источник:
Лаборатория Касперского


Неуловимый троянец-невидимка компрометирует разговоры по Skype
Spoiler: показать

Исследователи Palo Alto Networks предупреждают о появлении новой разновидности вредоносного программного обеспечения T9000, обладающего продвинутой стелс-системой, которая позволяет ему в момент внедрения в систему обходить большинство антивирусных решений, включая Kaspersky и «Доктор Веб».
T9000 является модифицированной версией вредоносного ПО T5000, обнаруженного в 2013 году. Как правило, заражение происходит через фишинговые рассылки с прикреплёнными файлами в формате .rtf. Как показывают наблюдения, зачастую целями киберпреступников, использующих T9000, становятся американские компании.
(http://s019.radikal.ru/i634/1602/ef/78b6c38b7358.jpg)
После успешно внедрения в систему вредонос начинает делать снимки экрана и отправлять полученную информацию на удалённый сервер. Если же жертва использует Skype, то T9000 отправляет запрос на доступ к приложению от имени explorer.exe. Когда пользователь принимает запрос, ошибочно полагая, что он поступил от браузера Microsoft Internet Explorer, троянец получает доступ к программе. С этого момент он может вести непрерывную регистрацию всех звонков, видеосессий и текстовых переписок. Всё это делается с одной единственной целью -- передать скомпрометированные данные злоумышленнику.
Источник:
http://www.theinquirer.net/ (http://www.theinquirer.net/)



«Доктор Веб»: СМИ устроили Trojan.Dyre преждевременные похороны
Spoiler: показать

Спустя два месяца после того, как российские правоохранители ликвидировали кибер-группировку, которая стояла за опасным троянцем Trojan.Dyre, терроризировавшим с лета 2014 года финансовые организации всего мира, СМИ заговорили о победе над этой вредоносной программой.
Однако, как утверждают специалисты компании «Доктор Веб», которые всё это время пристально следили за активностью Trojan.Dyre, угроза ещё не миновала. В качестве основного аргумента они приводят тот факт, что данный зловред имеет уникальную инфраструктуру, абсолютно несвойственную многим другим печально известным банковским троянцам.
(http://s019.radikal.ru/i609/1602/f7/2202309a2552.jpg)
В большинстве случаев данные с инфицированных систем передаются троянцами на сервер, где развернута панель, при помощи которой злоумышленники управляют своими ботами. Однако в Trojan.Dyre вирусописатели сумели реализовать куда более продвинутые алгоритмы: так, например, приёмом и обработкой данных от ботов занимались «самописные» серверы на .Net, а панели управления ботнетом были написаны с использованием php-фреймворка Kohana.
Кроме того, для хранения и обработки массивов данных, поступавших практически со всех концов света, использовались базы postgres и mysql, а также система полнотекстового поиска sphinx, отмечается в отчёте. Для защиты серверов от обнаружения использовались Tor-серверы и proxy-серверы, объединённые в сеть с помощью openvpn. Ещё одной защитной мерой являлось размещение первичных проксирующих «прокладок» на взломанных злоумышленниками роутерах, где соответствующим образом была изменена таблица маршрутизации.
(http://s017.radikal.ru/i409/1602/74/81a8c63b67db.jpg)
Несмотря на это, антивирусным аналитикам удалось определить целый ряд конечных серверов, которые использовались злоумышленниками, что позволило получить важную информацию о Trojan.Dyre и передать её финансовым учреждениям и  правоохранительным органам нескольких стран.
Тем не менее, специалисты «Доктора Веба» до сих пор продолжают фиксировать спам-рассылки с сэмплами троянца, а это может косвенно указывать на то, что не все серверы инфраструктуры были успешно деактивированы. Праздновать победу над Trojan.Dyre пока ещё рано, убеждены аналитики.
Источник:
Dr.Web



Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 11-02-2016, 19:08:10
Распространяемый по модели подписки вирус принёс владельцам $200 000

Spoiler: показать
Специалисты Лаборатории Касперского Александр Гостев и Виталий Камлюк рассказали о программном продукте Adwind, с помощью которого взломщикам за последние 3 года удалось скомпрометировать более чем 68 тыс. устройств по всему миру. Adwind -- это кросс-платформенный троян для получения удалённого доступа (Remote Access Trojan, RAT), который распространяется как сервис.
Adwind разработан на Java, поэтому продукт можно использовать для взлома Windows, Mac OS X, Linux и Android. Впервые о трояне стало известно в 2012 году, с тех пор он постоянно дорабатывается.
(http://s019.radikal.ru/i641/1602/e2/1a7f3e281ced.jpg)
Область применения у вируса широка -- взломщик может воровать файлы, вести запись из микрофона и веб-камеры и выполнять произвольные команды на системе. Архитектура Adwind позволяет устанавливать на заражённую систему дополнительные модули и плагины.
Разработчик вируса предоставляет доступ Adwind по подписке. Взломщик может пользоваться продуктом 15 дней за $25, или оформить годовую подписку за $300. В стоимость входит техническая поддержка, службы по обходу защиты антивирусом, доступ в VPN и другие бонусы.
По словам экспертов ЛК, в 2015 году Adwind чаще всего применялся против жителей Российской Федерации. Троян также часто использовался в ОАЭ, Турции, США и Германии. За этот период Adwind воспользовались приблизительно 1800 человек, которые заплатили в общем $200 000.
Источник:
http://www.securelist.com/ (http://www.securelist.com/)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 12-02-2016, 13:11:13
т.е. создали вирус и просто продавали его всем нуждающимся? (http://www.capa.me/smiles/sm_biggrin.gif)(http://www.capa.me/smiles/sm_biggrin.gif)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 12-02-2016, 14:13:30
лицуха на вирус ))
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 12-02-2016, 14:17:24
Троян Remtasu предлагает взлом учётных записей Facebook

Spoiler: показать
Компания ESET сообщила о повышении активности троянского приложения Win32/Remtasu. Специалистами компании был обнаружен ряд модификаций зловредной программы, которые используются для кражи личных данных пользователей. Сообщается, что с начала 2016 года была зафиксирована новая волна распространения троянца, который маскировался под программу для кражи паролей от Facebook.
(http://s010.radikal.ru/i312/1602/0d/d5661ff3fc0a.jpg)
Приложение загружает вредоносные файлы, при запуске которых происходит перехват конфиденциальной информации. Троян получает данные из буфера обмена и может сохранять их в отдельный файл. Кроме того, программа может сохранять данные о нажатии клавиш пользователем и отправлять полученную информацию на удалённый сервер.
Отмечается, что ранее Win32/Remtasu распространялся обычным для вредоносного приложения способом -- посредством сообщений, рассылаемых по электронной почте. Как правило, пользователи получали фальшивые письма от известных компаний, в которых предлагалось открыть вложенный файл, содержащий троянскую программу.
По заявлениям аналитиков ESET, только за первые недели 2016 года было зафиксировано более 24 модификаций Remtasu. Более всего троян проявляет активность в Таиланде, Турции, а также странах Латинской Америки.   
Для предотвращения заражения рекомендуется не читать сообщения от непроверенных пользователей, не открывать вложенные файлы, а также не переходить по подозрительным ссылкам. Сообщается, что в настоящее время все модификации троянского приложения Win32/Remtasu добавлены в антивирусную базу ESET и могут быть обнаружены программой ESET NOD32.
Источник:
esetnod32.ru
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 12-02-2016, 14:19:35
Над пользователями «умных» унитазов нависла киберугроза(http://www.capa.me/smiles/sm_lol.gif)
Spoiler: показать

Как показал эксперимент, проведённый компанией Panasonic, в наш век информационных технологий стать жертвами киберпреступников могут даже пользователи унитазов.
Сразу оговоримся, что речь идёт о так называемых «умных» унитазах, которые начинены различными электронными системами. Надо заметить, что функциональность этих необычных устройств, получивших наибольшее распространение у себя на родине -- в Японии, -- ограничена лишь фантазией их производителей. К примеру, одни обеспечивают автоматический подогрев сиденья и доступ в Интернет, другие могут предложить расслабляющий сеанс гидромассажа, и так далее.
(http://s019.radikal.ru/i606/1602/fc/340b9c3bfc5c.png)
Так вот, в недавнем интервью Mirror главный специалист по интернет-безопасности Panasonic Хикохиро Лин (Hikohiro Lin) рассказал, что в ходе проверки безопасности одного из представленных на рынке чудо-туалетов исследователям удалось получить доступ к его системе управления.
По словам Лина, пароль, который был установлен по умолчанию на подопытном экземпляре, оказался слишком слабым, и был взломан в два счёта. Таким образом, команда смогла подключиться у «умному» унитазу по Bluetooth и управлять всеми его функциями со смартфона.
(http://s020.radikal.ru/i709/1602/20/ef721223123b.jpg)
Конечно, взлом подобной сантехники  едва ли представляет серьёзную угрозу для жертвы -- в конце концов, таким способом хакер не сможет завладеть реквизитами её банковского счёта или скомпрометировать личные данные. Угроза, скорее, носит психологический характер: к примеру, злоумышленник может напугать ничего не подозревающую жертву, включив слив, ну или запустив в не самый неподходящий момент процедуру гидромассажа.
Источник:
http://www.mirror.co.uk/ (http://www.mirror.co.uk/)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 12-02-2016, 18:57:56
Опасный Android-зловред распространяется через сторонние магазины приложений

Spoiler: показать

Компания Trend Micro предупреждает о том, что сразу через несколько сторонних магазинов приложений для операционной системы Android распространяется опасная вредоносная программа.
(http://s019.radikal.ru/i640/1602/a0/c9ea346539c5.jpg)
Зловред получил обозначение ANDROIDOS_ LIBSKIN.A. Специалистам удалось выявить почти 1200 пакетов Android-приложений с внедрённым вредоносным кодом. Причём нежелательный компонент присутствует во вполне легитимных программах -- играх, различных утилитах и пр.
ANDROIDOS_ LIBSKIN.A распространяется через такие магазины приложений, как Aptoide, Mobogenie, mobile9 и 9apps. Вредоносную программу, сами того не желая, загрузили владельцы Android-устройств из 169 стран по всему миру, включая Россию.
(http://s016.radikal.ru/i336/1602/48/a5279c35497a.jpg)
Попав на смартфон или планшет, зловред пытается получить root-доступ. Вредоносная программа способна скачивать другие нежелательные модули, а также собирать информацию о мобильном устройстве и персональные пользовательские данные.
На сегодняшний день наибольшее количество случаев заражения ANDROIDOS_ LIBSKIN.A зафиксировано в Индии -- около 35 %. На Индонезию и Филиппины приходится соответственно около 28 % и 14 %. Далее следуют Япония и Россия с немногим более 2 % от общего числа заражений.
Источник:
http://www.pcworld.com/ (http://www.pcworld.com/)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 13-02-2016, 11:58:39
про умные унитазы - поржал (http://www.capa.me/smiles/sm_lol.gif)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 13-02-2016, 13:08:41
Цитата: CaPa от 13-02-2016, 11:58:39
про умные унитазы - поржал (http://www.capa.me/smiles/sm_lol.gif)

сидишь такой скучаешь..... и на тебе ..фонтанчик (http://www.capa.me/smiles/sm_lol.gif)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 14-02-2016, 13:34:48
серьёзная угроза )))
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 14-02-2016, 15:18:55
Цитата: CaPa от 14-02-2016, 13:34:48
серьёзная угроза )))
самое ценное - под прицелом хаЦкеров ))
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 14-02-2016, 16:19:02
Новый троян атакует клиентов российских банков

«Доктор Веб» предупреждает о появлении новой вредоносной программы, с помощью которой киберпреступники пытаются обокрасть клиентов крупных российских банков.
Нажмите для увеличения / «Доктор Веб»
[URL=http://radikal.ru/fp/756a884f0f4e46ccb48e62f06f5248bd][IMG]http://s008.radikal.ru/i306/1602/5f/868604a4d591t.jpg[/img][/URL]
Зловред Trojan.Proxy2.102 предназначен для хищения денег с банковских счетов. Для этого троян устанавливает в системе жертвы корневой цифровой сертификат и изменяет настройки соединения с Интернетом, прописывая в них адрес принадлежащего злоумышленникам прокси-сервера.
Нажмите для увеличения / «Доктор Веб»
[URL=http://radikal.ru/fp/04aae063088e4e478892a90de77d5e6f][IMG]http://s019.radikal.ru/i637/1602/36/dc253eaf1ffft.jpg[/img][/URL]
Если инфицирование проходит успешно, любые обращения браузера к веб-страницам системы интернет-банкинга нескольких ведущих российских кредитных организаций осуществляются через прокси-сервер киберпреступников. С его помощью в страницы систем «банк-клиент» при открытии на заражённом компьютере встраивается постороннее содержимое, позволяющее злоумышленникам похищать деньги с банковских счетов пользователя.
Нажмите для увеличения / «Доктор Веб»
[URL=http://radikal.ru/fp/35c1747fb72441fc9ef46d363e4e6476][IMG]http://s018.radikal.ru/i506/1602/52/bf667f9262fat.jpg[/img][/URL]
Уже установлено, что зловред способен подменять содержимое банковских веб-систем online.sberbank.ru, online.vtb24.ru и online.rsb.ru. Поскольку троян предварительно устанавливает на инфицированном компьютере поддельный цифровой сертификат, с использованием которого подписывает соответствующие веб-страницы, жертва вряд ли сможет вовремя заметить подмену.
О том, какое количество пользователей пострадало от действий Trojan.Proxy2.102 и во сколько оценивается нанесённый финансовый ущерб, не сообщается.
Источник:
drweb.com
Название: Re:Новые угрозы , кибер - преступления,вирусы l
Отправлено: CaPa от 15-02-2016, 12:47:43
а как же двойная авторизация, подтверждение СМС-кодом?
или это только на какой-нибудь "сбербанк" рассчитано?

слово сбербанк у меня уже нарицательное - на всё дырявое и мошенническое.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 15-02-2016, 19:00:36
я думаю сливают инфу в сбере
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 16-02-2016, 23:55:11
причём, такое ощущение, что вирусня уже установлена на ПК которые стоят в СБЕРАХ.
люди заходит через них в свои кабинеты и тю-тю...
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 17-02-2016, 19:34:47
филиалов много -безопасность ни какая
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 17-02-2016, 19:43:59
Новый вирус Mazar Bot способен получить полный контроль над Android-устройствами

Spoiler: показать
Android-смартфонам угрожает новый вирус Mazar Bot, который взламывает систему и получает административные права. Исследователи компании Heimdal Security подробно рассказали о вирусе.
Вредоносная программа распространяется через SMS/MMS-сообщения. После инфицирования смартфона или планшета злоумышленник может отправлять текстовые сообщения, открывать веб-страницы, переводить устройство в спящий режим и даже стереть всё содержимое.
(http://s019.radikal.ru/i601/1602/e9/70320a30f2c8.jpg)
Исследователи некоторое время отслеживали разработчиков Mazar Bot, пытающихся продать вирус через специализированные форумы хакеров. С недавних пор вирус используется в преступных целях.
После установки вредоносная программа загружает на устройство браузер Tor и через него подключается к серверу злоумышленников. Помимо этого, Mazar Bot устанавливает приложение Polipo Proxy, которое позволяет владельцу вируса следить за проходящим по телефону или планшету трафиком.
(http://s020.radikal.ru/i710/1602/99/54d1250dabbf.jpg)
Владельцу Mazar Bot не составляет труда похитить учётные данные к электронной почте и социальным сетям. Если при подключении к банковскому счёту жертвы используется SMS-авторизация, злоумышленник может перехватить сообщение с контрольным кодом.
Сотрудники Heimdal Security предполагают, что авторы Mazar Bot проживают в России. По мнению экспертов, создатели вируса продолжают работу над продуктом: «Злоумышленники могут тестировать новые типы вирусов для Android, разрабатывая дополнительные способы достижения своей цели».
Источник:
http://www.bbc.co.uk/ (http://www.bbc.co.uk/)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 23-02-2016, 17:51:48
«Доктор Веб» обнаружил троянца, который отказывается работать в России, Украине, Белоруссии и Казахстане

Spoiler: показать
Антивирусные аналитики компании «Доктор Веб» в этом месяце зафиксировали активность новой троянской программы под названием BackDoor.Andromeda.1407, которая распространяется при помощи другого троянца-загрузчика -- Trojan.Sathurbot.1.
Основное предназначение BackDoor.Andromeda.1407 -- выполнение поступающих от злоумышленников директив, в том числе загрузка и установка дополнительных плагинов, а также иного вредоносного ПО. При этом взаимодействие с управляющим сервером бекдор осуществляет с помощью специального зашифрованного ключа, адреса командных узлов также хранятся в теле вредоноса в зашифрованном виде. Передача информации реализована с использованием формата обмена данными JSON (JavaScript Object Notation) с применением метода криптографии.

При запуске в инфицированной системе бекдор проверяет командную строку на наличие ключа «/test» и в случае его обнаружения выводит в консоль сообщение «\n Test - OK», а затем завершается. В случае обнаружения любой опасной для себя программы, BackDoor.Andromeda.1407 переходит в бесконечный режим сна.
Затем бекдор считывает серийный номер системного тома жёсткого диска, который требуется для генерации значений различных именованных объектов. Сразу после своего запуска зловред путём инжекта пытается перебраться в новый процесс, а исходный -- завершить. Это позволяет ему попутно собирать различные сведения об инфицированной машине, включая разрядность и версию ОС, права текущего пользователя и настроенные на атакованном компьютере раскладки клавиатуры. И тут начинается самое интересное: если BackDoor.Andromeda.1407 обнаруживает в Windows наличие русской, украинской, белорусской или казахской раскладок, он завершается и сам удаляется из системы.
Источник:
Dr.Web

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 23-02-2016, 17:52:39
Linux Mint был скомпрометирован, в дистрибутиве нашли троян

Один из популярных дружественных дистрибутивов Linux Mint был скомпроментирован. Об этом сообщил руководитель проекта Клемент Лефебр.
http://www.capa.me/forum/index.php/topic,80066.msg131260.html#msg131260 (http://www.capa.me/forum/index.php/topic,80066.msg131260.html#msg131260)
По его информации, официальный сайт ОС был взломан, а ссылки на дистрибутивы изменены и вели на образы системы, содержащие вирус. По словам Лефебра, речь идёт только о Linux Mint 17.3 Cinnamon edition, который является базовым. Для проверки целостности образа Linux Mint было рекомендовано использовать хеши MD5. На всякий случай рекомендуется проверить все образы, особенно если их скачивали 20 февраля.
6e7f7e03500747c6c3bfece2c9c8394f  linuxmint-17.3-cinnamon-32bit.iso;
e71a2aad8b58605e906dbea444dc4983  linuxmint-17.3-cinnamon-64bit.iso;
30fef1aa1134c5f3778c77c4417f7238  linuxmint-17.3-cinnamon-nocodecs-32bit.iso;
3406350a87c201cdca0927b1bc7c2ccd  linuxmint-17.3-cinnamon-nocodecs-64bit.iso;
df38af96e99726bb0a1ef3e5cd47563d  linuxmint-17.3-cinnamon-oem-64bit.iso;
На сегодняшний день известно, какой троян был встроен в систему. В файл man.cy был добавлен троян tsunami, работающий по принципу IRC-бота и применяемый для DDoS-атак ещё с 2013 года. В случае если обнаружится, что образ всё же заражён, нужно переустановить систему с полным форматированием разделов, а также сменить пароли от сайтов, почты, мессенджеров и так далее.
Сообщается, что взлом осуществлял явно не специалист или даже дилетант. Причиной этому называют несерьёзный «чёрный ход», внедрённый в дистрибутивы, а также тот факт, что на сайте TheRealDeal в даркнете (скрытая часть Интернета) был выставлен на продажу доступ к сайту linuxmint.com.
Сообщается также, что уже известны имена трёх человек, которые причастны ко взлому.
Источник:
http://blog.linuxmint.com/ (http://blog.linuxmint.com/)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 24-02-2016, 13:35:47
это нашли неофициальный вирус, а официальные бэкдоры? )
ту же ФРИБСД, которая много лет считалась самой надёжной системой- тоже разоблачили. нашли в ней бэкдор (
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 24-02-2016, 20:08:06
Как говориться...бесплатный сыр ,всегда испорчен ))
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 25-02-2016, 13:53:43
что уж тут говорить о системах, когда закладки делаются ещё на уровне железа.
да и автоматически генерируемые ключи...  дыра
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 25-02-2016, 20:20:09
(http://www.capa.me/smiles/sml21.gif)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 25-02-2016, 20:37:18
Троян Acecard похищает личные данные у пользователей Android

Spoiler: показать
Компания «Лаборатория Касперского» сообщила об обнаружении троянской программы Acecard, атакующей пользователей мобильной операционной системы Android. Зловредное приложение считается одним из самых опасных, оно крадёт данные банковских карт и учётные данные для доступа к онлайновым и мобильным сервисам, подменяя их официальные сайты фишинговыми ресурсами. Отмечается, что Acecard, в отличие от аналогичных программ, может заблокировать практически любое приложение по команде киберпреступников, что делает его возможности безграничными. Сейчас троян активен во многих странах, однако более всего подвергаются заражению пользователи из России, Австралии, Германии, Австрии и Франции.
Приложение в Google Play с троянцем Acecard
(http://s017.radikal.ru/i406/1602/57/ec782653887d.png)
Последние версии Acecard умеют перехватывать данные из мобильных приложений известных социальных сетей (Instagram, Facebook, Twitter, «ВКонтакте», «Одноклассники») и систем онлайн-банкинга. Некоторые модификации троянца могут перехватывать информацию из программ Google Music и Google Play, чтобы получить данные банковской карты пользователя. Также программа умеет перехватывать SMS от банков с одноразовыми паролями для проведения транзакций. Кроме того, некоторые версии Acecard могут получить права суперпользователя в системе смартфона или планшета, вследствие чего избавиться от них становится практически невозможно.
Вредоносная программа чаще всего распространяется под именами PornoVideo или Flash Player. Иногда троян может содержаться и в других приложениях, названия которых похожи на известные программы, в том числе, некоторые из них распространяются через официальный магазин Google Play.
Примеры фишинговых страниц
(http://i023.radikal.ru/1602/79/0097910c25b7.png)
«Троянец Acecard заметно активизировался в последнее время, -- говорит антивирусный эксперт «Лаборатории Касперского» Роман Унучек, -- Злоумышленники используют практически все возможные способы для его распространения -- и под видом других программ, и через официальный магазин приложений, и через другие троянцы. Сочетание столь широких способов распространения с использованием уязвимостей в ОС, которые эксплуатирует Acecard, а также широкий набор функций и возможности зловреда делают этого мобильного банкера одной из самых опасных угроз для пользователей Android».
По предположениям экспертов «Лаборатории Касперского», создатели Acecard скорее всего из России. Они же являются авторами программы-шифровальщика Pletor и троянской программы для Android под названием Torec.
Более подробно об Acecard можно прочесть в отчёте «Лаборатории Касперского» на этой странице.
https://securelist.ru/blog/issledovaniya/27979/evolyuciya-acecard (https://securelist.ru/blog/issledovaniya/27979/evolyuciya-acecard)
Источник:
Лаборатория Касперского

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 27-02-2016, 14:01:23
кстати, а ты сам каким смартфоном/телефоном сейчас пользуешься?
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 27-02-2016, 16:17:27
              - основные функции
Nokia е66 - звоню
Lenovo A789 -навигация ,чего нибудь протестировать (http://www.capa.me/smiles/sml21.gif) ,иногда звоню
Samsung Galaxy Tab 2 7.0 - фильмы смотрю ,онлайн видео
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 28-02-2016, 12:26:44
ничёссе у тебя набор, при твоей то мании преследования и слежения )
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 28-02-2016, 15:20:55
Цитата: CaPa от 28-02-2016, 12:26:44
ничёссе у тебя набор, при твоей то мании преследования и слежения )
(http://www.capa.me/smiles/sm_lol.gif)
еще в закромах валяется "пару девайсов" (http://www.capa.me/smiles/sml74.gif)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 28-02-2016, 23:33:01
Хакеры имеют возможность запускать вредоносный код на любом сервере

Spoiler: показать
В системе доменных имен, известной как DNS, был обнаружен баг восьмилетней давности. «Дыра» в безопасности может быть использована для распространения вредоносного программного обеспечения по сети. Критическая ошибка, найденная в стандартной библиотеке GNU C под именем «glibc», позволяет серверу отвечать клиенту длинными DNS-именами, что приводит к переполнению буфера памяти. Теоретически, это даёт хакерам возможность удалённо запускать вредоносный код и получать контроль над компьютером жертвы.
(http://s19.radikal.ru/i192/1602/3c/975320436be2.jpg)
Критическая уязвимость в коде glibc присутствовала с мая 2008 года, пока недавно не была исправлена. Её масштабы сравнимы с Heartbleed и другими подобными уязвимостями. По словам Дэна Камински, уязвимость появилась как раз после исправления других критических багов DNS в 2008 году. Всем владельцам серверов на Linux он посоветовал немедленно применить патч, исправляющий критический баг. Также он добавил, что к устройствам на базе Android уязвимость не применима. Пока что доподлинно неизвестно, возможен ли удалённый запуск вредоносного кода, но RedHat и Google, которые и обнаружили баг, отметили, что правильно сформированный вредоносный ответ DNS способен нарушить иерархию кеша, но для атак посредника хакерам необходим физический доступ к уязвимым серверам.
Источники: 4pda.ru


Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 29-02-2016, 00:42:47
я так понимаю, что проблема только там, где есть ДНСсервер?
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 29-02-2016, 20:40:51
походу да
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 29-02-2016, 21:08:07
Главные мобильные угрозы 2015 года по версии «Лаборатория Касперского»

«Лаборатория Касперского» проанализировала угрозы для смартфонов и планшетов на основе данных за 2015 год и опубликовала на своём официальном сайте отчёт о проделанной работе. Среди выявленных тенденций -- рост числа троянцев-вымогателей, использование прав суперпользователя программами для показа навязчивых рекламных объявлений, а также увеличение количества вредоносного ПО для iOS.
Как отмечается, в 2015 году было зафиксировано в два раза больше программ-вымогателей для мобильных устройств, чем годом ранее, а число атакованных ими пользователей выросло в пять раз. Что характерно, больше всего от атак вымогателей пострадали россияне -- наша страна по данному показателю занимает первое место в мире.
Окно, которое открывает одна из мобильных программ-вымогателей
(http://s020.radikal.ru/i718/1602/fc/cf975a1f66c7.jpg)

Вместе с тем отмечается значительное увеличение количества программ, которые используют рекламу в качестве основного средства монетизации (с 20 до 41 %). В систему они внедряются чаще всего при помощи троянцев, которые, заполучив права суперпользователя, способны загружать и устанавливать рекламные приложения без ведома жертвы.
Также в 2015 году был развенчан миф о неприступности мобильной операционной системы Apple для вредоносного ПО.
Spoiler: показать
Apple удалила вредоносные приложения из китайского App Store

Компания Apple в буквальном смысле зачистила китайский App Store от приложений, заражённых модифицированной версией ПО для разработчиков Xcode. Таких приложений было всего около 40 -- среди них находились многие популярные китайские программы вроде социального приложения WeChat, сервиса для вызова такси Didi Chuxing и сканера карт CamCard. Некоторые такие приложения используются и за пределами Китая.

Как сообщила Tencent, разработавшая WeChat, заражение вредоносным кодом её приложения касается только версии 6.2.5 и старше -- новые версии программы для общения чисты, как и прежде. Разработчик добавил, что проблема уже устранена, а пользовательские данные похищены не были.
Palo Alto Networks,
https://www.paloaltonetworks.com/ (https://www.paloaltonetworks.com/)
занимающаяся сетевой безопасностью, предупредила, что вредоносный код XcodeGhost (именно так называется модифицированное ПО) может быть намного более опасен для корпоративной версии iOS и для OS X. Компания объединилась с Apple для устранения возникшей проблемы и порекомендовала всем разработчикам проверить свои приложения при возникновении подозрений на наличие вредоносного кода.
XcodeGhost назвали довольно опасной программой, поскольку она может самостоятельно открывать ссылки на устройстве, считывать и заменять данные в буфере обмена и похищать пользовательские данные -- в том числе и пароли. Модифицированная версия Xcode изначально появилась в облачном сервисе Baidu, однако китайская компания вскоре удалила опасные файлы.
Источник:
PCWorld



Случилось это стараниями неизвестных злоумышленников, которые при помощи модифицированной версии инструментария Xcode, содержащей вредоносный код, смогли заполонить App Store заражёнными приложениями. Apple оперативно произвела зачистку своего сервиса от вредоносов, однако принимая во внимание тот факт, что взломанная версия Xcode была доступна около шести месяцев, App Store теперь едва ли может считаться стерильным.
(http://s020.radikal.ru/i715/1602/a5/6b82fd75ff6c.jpg)
Что же касается банковских троянцев, крадущих деньги у пользователей мобильных устройств, то тут прослеживается положительная тенденция -- в 2015 году их количество не выросло. Более того, за отчётный период эксперты «Лаборатории Касперского» обнаружили в 2,6 раза меньше подобных зловредов, чем в 2014 году.
Источник:
http://www.kaspersky.ru/ (http://www.kaspersky.ru/)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 03-03-2016, 21:29:40
Власти США узрели в решениях «Лаборатории Касперского» троянскую угрозу

Spoiler: показать
Ранее на этой неделе западные СМИ распространили информацию о том, будто российские хакеры с помощью продуктов «Лаборатории Касперского» могут каким-то образом взломать американские промышленные компьютерные сети. По данным издания The Washington Free Beacon, разведывательное управление Минобороны США даже распространило соответствующее уведомление -- в нём сказано, что использование антивирусных решений «Лаборатории Касперского» американскими компаниями может привести к образованию брешей в их компьютерных системах. Это позволит хакерам получить доступ к системам управления и сбора данных, а также к программам, которые отвечают за функционирование электро-, нефте- и газовых сетей, водопровода и т. п.
(http://s019.radikal.ru/i644/1603/71/399c26477420.jpg)
Что характерно, сама «Лаборатория Касперского» считает подобные обвинения в свой адрес лишёнными всяких оснований. «Выдвигаемые обвинения не имеют под собой никаких оснований. Продукты и решения «Лаборатории Касперского» разработаны для защиты от киберпреступников, а не для того чтобы помогать им в проведении атак на организации», -- заявил в интервью РИА Новости представитель пресс-службы антивирусной компании.
«У «Лаборатории Касперского» нет связей ни с одной из правительственных структур, но мы гордимся тем, что регулярно помогаем бороться с киберпреступностью международным государственным и правоохранительным органам многих стран», -- добавил респондент.
Стоит отметить, что в прошлом российских хакеров уже подозревали в атаках на промышленные сети других стран. Из недавних инцидентов можно вспомнить кибератаку на украинскую энергосистему, в которой, по мнению экспертов по кибербезопасности США, были замешены хакеры из России.
Источник:
РИА Новости
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 03-03-2016, 21:31:06
Triada -- самый опасный Android-троян

«Лаборатория Касперского» обнаружила нового трояна для платформы Android, который с технической точки зрения значительно превосходит все другие аналогичные вредоносные программы. Зловред получил имя Triada.
(http://s019.radikal.ru/i639/1603/2f/acfe3ddebc68.jpg)
Отличительными особенностями Triada являются его способность внедрять свой код во все приложения, имеющиеся на заражённом устройстве, и возможность менять логику их работы. Кроме того, троян характеризуется модульной архитектурой и наличием ряда инструментов для эффективного сокрытия своих следов на инфицированном мобильном устройстве.
Доступ ко всем приложениям Triada получает в результате использования процесса Zygote, который является шаблоном для всех Android-приложений. Попадая в этот процесс, зловред становится частью шаблона. «Лаборатория Касперского» подчёркивает, что это первый известный случай эксплуатирования злоумышленниками процесса Zygote -- ранее подобные техники рассматривались исключительно с теоретической точки зрения.
(http://s020.radikal.ru/i708/1603/a4/9552d8239fdc.jpg)
Благодаря модульной архитектуре зловреда злоумышленники получают возможность загружать на устройство жертвы только те компоненты, которые требуются для проведения конкретной атаки. При этом троян скрывает свои модули из списка установленных приложений и пакетов, а также из списков запущенных сервисов. Все они хранятся в системных папках, доступ к которым зловред получает благодаря несанкционированно приобретённым правам суперпользователя.
В текущем виде Triada используется для кражи денег пользователей или разработчиков в процессе покупки дополнительного контента в легитимном приложении. Для этого троян перехватывает, модифицирует и фильтрует платёжные SMS. К примеру, когда пользователь покупает что-то во внутриигровом магазине, злоумышленники могут модифицировать исходящее платёжное SMS-сообщение таким образом, чтобы получить деньги пользователя вместо разработчиков игры.
Особую угрозу вредоносная программа представляет для пользователей Android версии 4.4.4 и младше. Более подробную информацию о Triada можно найти здесь. https://securelist.ru/analysis/obzor/28121/attack-on-zygote-a-new-twist-in-the-evolution-of-mobile-threats/ (https://securelist.ru/analysis/obzor/28121/attack-on-zygote-a-new-twist-in-the-evolution-of-mobile-threats/)
Источник:
Лаборатория Касперского
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 04-03-2016, 20:53:46
Новые рекламные трояны атакуют владельцев Apple-компьютеров

«Доктор Веб» предупреждает о появлении новых вредоносных программ семейства Mac.Trojan.VSearch, поражающих компьютеры под управлением операционных систем OS X.
Обнаруженные зловреды предназначены для несанкционированного показа рекламы. Атака начинается с установщика приложений, распространяющегося через Интернет под видом различных утилит и полезных программ. Пользователь, сам того не желая, может загрузить его с того или иного сайта.
(http://s015.radikal.ru/i330/1603/3b/b1bf5addfe2a.jpg)
Сразу после запуска установщика в его окне отображается традиционное приветствие. При нажатии на кнопку продолжения инсталлятор сразу переходит к диалогу с предложением указать папку установки, не предоставляя жертве возможность выбрать компоненты для загрузки. В результате на ПК попадает целый «букет» вредоносных программ.
После установки на атакуемом компьютере зловред обращается к серверу злоумышленников и загружает оттуда специальный скрипт, который подменяет в настройках браузера поисковую систему по умолчанию, устанавливая в качестве таковой сервер Trovi. С помощью этого скрипта троян может скачать и установить на инфицированный компьютер поисковый плагин для браузеров Safari, Chrome и Firefox.
(http://s019.radikal.ru/i641/1603/84/35e29d04a74b.jpg)
На ПК также подгружается ещё один троянский модуль, создающий в операционной системе нового пользователя (не отображается в окне приветствия OS X) и запускающий специальный прокси-сервер, с помощью которого во все открываемые в окне браузера веб-страницы встраивается сценарий на языке JavaScript, показывающий рекламные баннеры. Помимо этого, вредоносный сценарий собирает пользовательские запросы к нескольким популярным поисковым системам.
Специалистам компании «Доктор Веб» удалось установить, что в общей сложности на принадлежащие киберпреступникам серверы за время их существования поступило 1 735 730 запросов на загрузку вредоносных программ, при этом было зафиксировано 478 099 уникальных IP-адресов обращавшихся к этим серверам компьютеров.
Источник:
drweb.com
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 06-03-2016, 12:59:23
Да не, это фантастика. на Яблоке ведь "не бывает" вирусов )
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 06-03-2016, 13:01:52
(http://www.capa.me/smiles/sm_lol.gif)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 11-03-2016, 20:37:48
Троян для Android обходит двухфакторную аутентификацию банковских мобильных приложений

Компания ESET сообщает об активности мобильной троянской программы Android/Spy.Agent.SI. Зловредное приложение атакует планшеты и коммуникаторы под управлением операционной системы Android и крадёт банковские данные пользователя в обход двухфакторной аутентификации.
Поддельные экраны ввода учётных данных пользователя мобильного банка
(http://s001.radikal.ru/i193/1603/2f/36d99db2bad1.jpg)
Сообщается, что троян распространяется под видом мобильного приложения Flash Player. При установке Android/Spy.Agent.SI запрашивает доступ к функциям администратора, что защищает его от удаления. Кроме того, каждые 25 секунд программа отсылает на удалённый сервер подробную информацию об устройстве, в том числе название модели, язык, IMEI и данные об активации прав администратора. После этого троянец ищет в памяти устройства банковские программы. В случае их обнаружения Spy.Agent.SI. загружает с удалённого сервера поддельные экраны ввода учётной записи и пароля.
При запуске мобильного банковского приложения появляется поддельный экран, блокирующий банковскую программу до ввода учётных данных пользователя. Полученные данные оказываются в распоряжении киберпреступников, после чего они могут украсть денежные средства с банковского счёта жертвы. Кроме того, троян получает доступ к SMS-сообщениям, что позволяет перехватывать сообщения от банка и удалять их не вызывая подозрения у владельца заражённого устройства.
Отмечается, что в настоящее время Android/Spy.Agent.SI. очень активно развивается. Если первые версии было несложно обнаружить, то сейчас вредоносное приложение очень хорошо скрывает своё присутствие в операционной системе. Известно, что вредоносная кампания направлена на двадцать крупнейших банков Турции, Новой Зеландии и Австралии, имеющих мобильные приложения. По заявлениям специалистов ESET, троянское приложение может быть перенаправлено и на финансовые организации других стран.
Источник:
esetnod32.ru









Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 12-03-2016, 11:31:54
требуем таких же вирусов для АйОсь! )
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 12-03-2016, 14:07:22
скоро -скоро )))) всё в процессе (http://www.capa.me/smiles/sm_lol.gif)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 12-03-2016, 15:41:48
«Доктор Веб» обещает расшифровать файлы, поврежденные первым трояном-вымогателем для Mac

Spoiler: показать
В начале марта стало известно о распространении первого в истории троянца-шифровальщика, атакующего компьютеры Mac. Специалисты компании «Доктор Веб» анонсировали технологию расшифровки файлов, поврежденных троянцем Mac.Trojan.KeRanger.2.

(http://s017.radikal.ru/i407/1603/eb/490da39599f2.jpg)

Троянец-шифровальщик впервые был обнаружен в инфицированном обновлении популярного торрент-клиента Transmission 2.90 для OS X, распространявшегося в виде дистрибутива в формате DMG. Программа была подписана действующим сертификатом разработчика приложений для OS X, благодаря чему могла обойти встроенную систему защиты ОС от Apple.

Со своей стороны компания Apple оперативно устранила уязвимость для кибератак против компьютеров Mac, возникшую после обновления. В Купертино заявили, что сертификат разработчика ПО, которым и был подписан вирус-вымогатель KeRanger, был аннулирован, так что теперь попытка его повторной установки будет безуспешной.

Как рассказали специалисты «Доктор Веб», после установки на атакуемый компьютер Mac.Trojan.KeRanger.2 выжидает три дня, в течение которых пребывает в «спящем» режиме. После этого энкодер устанавливает соединение со своим управляющим сервером с использованием сети TOR. Затем начинает процесс шифрования пользовательских файлов: в папке пользователя Mac.Trojan.KeRanger.2 шифрует абсолютно все файлы, к которым у него имеются права доступа, при этом троянец может работать как с привилегиями обычного пользователя, так и от имени учетной записи root.

(http://i042.radikal.ru/1603/f1/f3c4757b4f5f.jpg)

После этого вредоносная программа пытается зашифровать содержимое логического раздела /Volumes, то есть файлы, хранящиеся на жестком диске и в смонтированных логических разделах. В этом случае файлы шифруются по имеющемуся списку -- всего злоумышленники предусмотрели в этом перечне 313 различных типов файлов, включая текстовые документы и графические изображения. Ключ для шифрования и файл с требованиями злоумышленников троянец получает с управляющего сервера. Характерным признаком работы этого энкодера является добавление к зашифрованным файлам расширения «.encrypted» и появление в папках файла с именем «README_FOR_DECRYPT.txt».

«Доктор Веб» разработал технологию, позволяющую расшифровывать файлы, поврежденные в результате вредоносной деятельности этого энкодера.

Для того, чтобы воспользоваться услугой расшифровки файлов, которые стали недоступны в результате проникновения Mac.Trojan.KeRanger.2, эксперты советуют выполнить следующие действия: обратиться с соответствующим заявлением в полицию; ни в коем случае не пытаться каким-либо образом изменить содержимое папок с зашифрованными файлами; не удалять никакие файлы на компьютере; не пытаться восстановить зашифрованные файлы самостоятельно; обратиться в службу технической поддержки компании «Доктор Веб».

Отметим, что KeRanger представляет собой первый обнаруженный шифровщик-вымогатель для платформы OS X. Он должен был активизироваться 7 марта и зашифровать данные на инфицированных машинах, после чего потребовать «выкуп» -- 1 биткоин, что равно примерно $400.

Примечательно, что «Доктор Веб» не дает полной гарантии расшифровки всех поврежденных в результате действия трояна файлов.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 13-03-2016, 03:06:43
Биткоины подешевели? вроде доходила цена и до 700-800 баков, если я ничего не путаю
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 13-03-2016, 15:20:39
на ONION сайтах глянь кто торгует и подчищает ,у них реальные цены ,
на Runion есть инфа - но полно мошенников и задирают цены
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 13-03-2016, 16:40:54
я помню ещё думал - купить или не купить, когда они по 70 баксов были.
эх... надо было на все деньги брать )
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 13-03-2016, 20:36:50
угу ..можно было и на все баксы купить - тоже не прогадал бы ))
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 17-03-2016, 20:23:11
Хакеры закидали банки вредоносными письмами, действуя от лица ЦБ РФ

Spoiler: показать
По сообщениям «Лаборатории Касперского», во вторник, 15 марта, десятки российских банков подверглись массированной атаке, организованной путём рассылки вредоносных писем на электронные адреса сотрудников.
Отмечается, что мошенники впервые выдавали себя за сотрудников FinCERT, специального отдела в структуре Центрального Банка Российской Федерации, задача которого -- информирование российских банков об инцидентах информационной безопасности в финансовой сфере. Вредоносная рассылка отправлялась с адреса info@fincert.net -- чтобы всё выглядело максимально убедительно, перед атакой злоумышленники зарегистрировали доменное имя fincert.net и заранее собрали специальную базу контактов.
Пример письма, полученного одним из банковских сотрудников 15 марта

(http://s12.radikal.ru/i185/1603/ff/af7f4ca1becf.jpg)
Сами письма представляли собой инструкцию по запуску вложенного макроса, требующего ручной активации от пользователя. При его запуске происходила попытка соединения с удалённым ресурсом с целью загрузки некоего файла. Этот файл был подписан легальной цифровой подписью реально существующей московской компании и позволял киберпреступникам получить доступ к информационной системе банка.
«Мы видим, что киберпреступники не только обладают хорошими навыками и изощрёнными инструментами, но и тщательно продумывают сценарии атак, -- заявил главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. -- Что касается совершенствования техники киберпреступников, то это уже обычная практика -- использовать в атаках на банки легальные инструменты, чтобы скрыть следы вторжения в систему. Этот инцидент еще раз подтверждает, что человеческий фактор представляет серьезную угрозу безопасности банков, поэтому мы рекомендуем уделять большое внимание обучению сотрудников правилам информационной безопасности».
Источник:
Лаборатория Касперского


Жертвами киберпреступников каждый месяц становятся около 80 тыс. пользователей Steam

Spoiler: показать
«Лаборатория Касперского» выяснила, с помощью каких инструментов киберпреступники чаще всего атакуют пользователей популярной кроссплатформенной системы цифровой дистрибуции контента Steam, принадлежащей компании Valve.

По статистике, каждый месяц около 77 тысяч пользователей Steam становятся жертвами сетевых злоумышленников, которые крадут их данные доступа к игровому аккаунту. Основным орудием киберпреступников в этом случае, как сообщает «Лаборатория Касперского», является троян под названием Steam Stealer. Эта вредоносная программа получила широкое распространение благодаря своей простоте и доступности.
От атак Steam Stealer чаще всего страдают российские любители компьютерных игр. Так, по статистике, в 2015 году 62 % всех нападений с применением названного зловреда пришлось именно на Россию. По всей видимости, такая ситуация отчасти объясняется тем, что троян Steam Stealer развился из исходного кода, опубликованного несколько лет назад на одном из русскоязычных форумов.
Доля пользователей, атакованных трояном Trojan-PSW.MSIL.Steam / «Лаборатория Касперского»
(http://s019.radikal.ru/i625/1603/7b/2b37ad6384cc.jpg)
В настоящее время Steam Stealer распространяется по модели «вредоносное ПО как услуга». Базовая версия трояна доступна любому желающему в среднем за 30 долларов США. При этом заказчики могут самостоятельно дополнить зловред необходимыми функциями и возможностями -- для этого им достаточно знать языки программирования и архитектуру Steam. Если же подобных знаний у злоумышленника нет, то за дополнительную плату он может приобрести Steam Stealer с любыми модификациями и даже с «руководством пользователя».
Более подробно об исследовании «Лаборатории Касперского» можно узнать в материале «Все ваши учётные данные принадлежат нам».
Источник:https://securelist.ru/blog/issledovaniya/28184/all-your-creds-are-belong-to-us/ (https://securelist.ru/blog/issledovaniya/28184/all-your-creds-are-belong-to-us/)
Лаборатория Касперского


Троян-загрузчик Nemucod начал экспансию в Европу и Северную Америку

Spoiler: показать
Антивирусная компания ESET информирует пользователей о массовой спам-рассылке, в ходе которой злоумышленники распространяют троян-загрузчик Nemucod. Отмечается, что по сравнению с январским всплеском активности зловреда, география его распространения расширилась -- на сей раз под раздачу попали пользователи европейских стран, а также Северной Америки.
Как правило, письма, содержащие Nemucod, маскируются под счета, повестки в суд и другие официальные документы. Цель маскировки состоит в том, чтобы усыпить бдительность пользователя и заставить его открыть вредоносное вложение. После открытия запускается процесс инсталляции трояна, который начинает загружать в инфицированную систему другое вредоносное ПО.

«В рамках новой волны распространения Nemucod устанавливает трояны TeslaCrypt и Locky. Они шифруют файлы пользователей и требуют выкуп», -- отметил Питер Станцик, евангелист ESET. Примечательно, что оба вида вредоносного ПО применяют алгоритм шифрования, аналогичный используемым для защиты онлайн-платежей.
В январе наибольшая активность Nemucod отмечалась в Великобритании, Австралии, Канаде и Японии. Согласно данным ESET, в некоторых регионах число обнаружений трояна достигало 75 % от общего объёма детектированных вредоносных программ.
Чтобы не стать жертвами киберпреступников, использующих в своих корыстных целях рассылки с  Nemucod, антивирусные эксперты рекомендуют пользователям регулярно создавать резервные копии наиболее критичных данных данных, игнорировать письма от незнакомых отправителей, а также использовать антивирусное ПО с технологией распознавания ранее неизвестных угроз.
Источник:
esetnod32.ru



Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 18-03-2016, 13:34:34
у меня нет Стима, живу спокойно (http://www.capa.me/smiles/sml21.gif)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 18-03-2016, 20:15:59
(http://www.capa.me/smiles/sml21.gif)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 18-03-2016, 20:25:38
Новая модификация шифровальщика CTB-Locker атакует веб-серверы

Spoiler: показать
«Лаборатория Касперского» сообщает о появлении новой версии шифровальщика CTB-Locker: на этот раз вредоносная программа атакует исключительно веб-серверы.
Впервые об CTB-Locker (другое название -- Onion) стало известно ещё летом 2014 года. Этот зловред отличался от других вымогателей тем, что использовал анонимную сеть Tor, чтобы защитить от отключения свои командные серверы. Использование Tor также помогало вредоносной программе избегать обнаружения и блокирования.
(http://s016.radikal.ru/i336/1603/32/41a8b5877ef2.jpg)
И вот теперь появилась более сложная модификация CTB-Locker. Программа зашифровывает файлы в корневых папках веб-серверов и требует в качестве выкупа менее половины биткоина (примерно $150). Если деньги не заплачены вовремя, то размер выкупа удваивается. При этом два файла можно расшифровать бесплатно, но у жертв нет возможности выбрать, какие именно. В случае выполнения требований злоумышленников генерируется ключ для расшифровки файлов.
(http://s018.radikal.ru/i518/1603/94/81904182985e.jpg)
Пока не ясно, как именно зловред попадает на веб-серверы, но эксперты предполагают, что это может происходить через платформу WordPress, которую веб-серверы часто используют в качестве инструмента управления контентом, либо через её плагины. От атак на веб-серверы страдают не только их владельцы, но и обычные пользователи, которые в результате заражения теряют доступ к необходимому контенту, так как видят страницы в искажённом виде.
(http://s45.radikal.ru/i109/1603/e5/f9893fa25c75.jpg)
Ключ расшифровки хранится на удалённом сервере. Жертвы могут установить контакт со злоумышленником через специальный чат.
В данный момент доступного инструмента расшифровки файлов, закодированных новой версией CTB-Locker, не существует. Между тем, по оценкам, от зловреда пострадали более 70 веб-серверов в десяти странах. Приблизительно четверть из них находится в России.
Более подробную информацию о шифровальщике можно найти здесь.
Источник:
Лаборатория Касперского


В прошивке десятков Android-устройств обнаружен рекламный троян

Spoiler: показать
«Доктор Веб» предупреждает о том, что в прошивках десятков мобильных устройств под управлением Android содержится вредоносная программа Android.Gmobi.1. Кроме того, этот зловред обнаружен в нескольких приложениях от известных компаний.

Android.Gmobi.1 представляет собой специализированный программный пакет (SDK-платформу), который расширяет функциональные возможности Android-приложений и используется как производителями мобильных устройств, так и разработчиками ПО. В частности, этот модуль предназначен для дистанционного обновления операционной системы, сбора аналитических данных, показа различных уведомлений (в том числе рекламы) и осуществления мобильных платежей.
Однако, несмотря на кажущуюся безобидность, Android.Gmobi.1 во многом ведёт себя как типичный троян. В частности, программа собирает и отправляет на управляющий сервер целый ряд конфиденциальных данных: это адреса электронной почты пользователя, текущие географические координаты, сведения технического характера, наличие установленного приложения Google Play и пр.
(http://s019.radikal.ru/i628/1603/93/183f491a2042.jpg)
Основным предназначением Android.Gmobi.1 является демонстрация рекламы, которая может отображаться в панели уведомлений, в виде диалогового окна (в том числе интерактивного), в виде баннера поверх окон других приложений и графического интерфейса ОС. Кроме того, троян может открывать заданную страницу в веб-браузере или в приложении Google Play. Плюс ко всему Android.Gmobi.1 способен автоматически запускать программы, уже установленные на устройстве, а также скачивать приложения по указанным злоумышленниками ссылкам.
«Доктор Веб» обнаружил зловреда в предустановленном системном ПО почти 40 популярных мобильных устройств, а также в приложениях TrendMicro Dr.Safety, TrendMicro Dr.Booster и ASUS WebStorage. Все пострадавшие компании уже оповещены о проблеме и занимаются её решением.
Источник:
drweb.com



Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 19-03-2016, 13:34:01
я вообще эти апдейты вырезаю сразу. они всё равно бесполезны на смартфоне с рутом
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 19-03-2016, 13:44:10
да у тебя смартфон вообще уже забыл когда "родная" прошивка была установлена ))
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 20-03-2016, 12:38:12
так это и к лучшему! а то кто знает, какую бомбу замедленного действия производитель туда заложил.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 20-03-2016, 14:56:25
(http://www.capa.me/smiles/sml21.gif)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 22-03-2016, 03:18:19
Цитата: CaPa от 13-03-2016, 03:06:43
Биткоины подешевели? вроде доходила цена и до 700-800 баков, если я ничего не путаю
;)
[URL=http://radikal.ru/fp/cc40d2bbf1284f998035c568c6b4ec37][IMG]http://s019.radikal.ru/i602/1603/9c/1df90e840809t.jpg[/img][/URL]
[URL=http://radikal.ru/fp/76ff3710c09d46f4b189d330777edc8e][IMG]http://s017.radikal.ru/i424/1603/42/260bb06ea50ft.jpg[/img][/URL]
[URL=http://radikal.ru/fp/e66605c3ebb343f0b9fed70fdbfda0e6][IMG]http://s16.radikal.ru/i191/1603/65/69c40268d01et.jpg[/img][/URL]
[URL=http://radikal.ru/fp/7cc1d0123b66473ba8ce77ba01b3ce0c][IMG]http://s010.radikal.ru/i314/1603/00/8aec7df30747t.jpg[/img][/URL]
[URL=http://radikal.ru/fp/6170bf7793c441af962bc8057a164ec8][IMG]http://s013.radikal.ru/i322/1603/84/34f00ac7cb53t.jpg[/img][/URL]
[URL=http://radikal.ru/fp/37e15acb4e044573b1116ab6b10f641d][IMG]http://s019.radikal.ru/i644/1603/85/27b322779578t.jpg[/img][/URL]
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 22-03-2016, 11:09:13
график изменения цен за какой период? (я давно не следил за биткоином)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 22-03-2016, 19:58:09
https://btc-e.com/ (https://btc-e.com/)

https://bitcoincharts.com/markets/ (https://bitcoincharts.com/markets/)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 22-03-2016, 21:06:37
Tor может быстро обнаружить шпионское ПО

ПО можно проверить с помощью открытых криптографических ключей организации или других известных копий приложения. Разработчики проекта Tor усилили защиту программного обеспечения, поэтому теперь браузер может быстро обнаруживать попытки подделать сеть с целью слежения за пользователями.
Специалисты создают систему так, чтобы пользователи могли обнаружить изменение кода и устранить единые точки отказа, сообщает главный разработчик Майк Перри (Mike Perry). Последние несколько лет деятельность Tor Project была сконцентрирована на предоставлении пользователям исходного кода и создании их версий Tor.
ПО можно проверить с помощью открытых криптографических ключей организации или других известных копий приложения. В случае, если правительство или злоумышленник получит ключи, распределенная сеть и ее пользователи смогут обнаружить данный факт и уведомить специалистов о проблеме безопасности. С инженерной точки зрения обзор кода, а также открытый процесс разработки исходника позволяют быстро обнаружить бэкдор.
(http://s41.radikal.ru/i091/1603/62/da3fb99e220b.jpg)
Потребуются два криптографических ключа для работы поддельной версии браузера без отключения по крайней мере начального уровня безопасности SSL и TLS. Протоколы обеспечивают безопасное соединение между пользователем и серверами проекта.
Также необходим ключ для подписи ПО. Даже в случае получения злоумышленником ключей, пользователи могут проверить кэш ПО и выяснить, имела ли место подделка.

http://www.securitylab.ru/news/480311.php (http://www.securitylab.ru/news/480311.php)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 27-03-2016, 17:48:52
Вредонос-вымогатель, написанный на языке Windows PowerShell, обитает в макросах для Word

Spoiler: показать
Программа, написанная на языке Windows PowerShell, уже атаковала крупные организации, в том числе и медицинские. PowerShell -- основа автоматизации и управления конфигурациями Windows, инструмент, использующийся обычно системными администраторами. Он имеет свой собственный язык сценариев, который уже не раз использовался для создания сложных вредоносных программ.

(https://cdn.tproger.ru/wp-content/uploads/2016/03/format_c.png)
Новая программ-вымогатель, получившая название PowerWare, была обнаружена исследователями из охранной фирмы Carbon Black и распространяется среди жертв с помощью фишинговых писем, содержащих документы Word с вредоносным макросом. Такой способ распространения в последнее время применяется все чаще и чаще.

Команда Carbon Black нашла PowerWare, когда та уже почти достигла очередной своей жертвы: неназванной организации здравоохранения. Жертвами этой атаки уже стали несколько больниц до нее. Приходящие на почту документы прикидывались счетами. При открытии они просили разрешение на редактирование и доступ к данным, утверждая, что это нужно для просмота. В действительности же доступ к редактированию отключает предварительный просмотр и позволяет запускать макросы (по умолчанию эта возмжность отключена).

Если вредоносному коду разрешить запуститься, он открывает командную строку Windows (cmd.exe) и запускает два экземпляра PowerShell (powershell.exe). Первый экземпляр загружает собствено PowerWare с удаленного сервера, а второй -- выполняет скрипт. После этого все происходит по традиционному для вирусов сценарию.

Скрипт генерирует ключ шифрования; использует его для шифрования файлов с определенными расширениями, включая документы, картинки, видео, архивы и файлы исходного кода; отправляет ключ на сервер злоумышленников и генерирует записку с требованием выкупа в виде HTML-файла.

Чтобы скрыть местонахождение своего сервера, хакеры используют сеть Tor. Стоимость лечения сначала составляла 500$, но за пару недель хакеры подняли планку до 1000$. PowerWare -- не первая реализация программы-вымогателя на PowerShell. Исследователи из команды Sophos обнаружили подобный еще в 2013 году -- он, кстати, написан русскоязычными хакерами. Еще один был найден в 2015. он использовал логотип Los Pollos Hermanos из телесериала «Во все тяжкие».

Сама идея использования PowerShell во вредоносных целях не нова, но всплеск начался буквально несколько месяцев назад, и, вероятно, вычислять такие программы будет сложнее из-за популярности PowerShell, особенно в корпоративной среде.

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 29-03-2016, 02:27:07
Системы бесключевого доступа в автомобиль остаются уязвимыми для взлома (http://www.capa.me/forum/index.php?topic=80590.msg133541#msg133541/htug)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 29-03-2016, 02:28:40
Злоумышленники рассылают спам-сообщения держателям MasterCard

Spoiler: показать
Компания ESET сообщила о новой волне мошенничества и фишинговой спам-рассылке от имени международной платёжной системы MasterCard.

Отмечается, что адрес отправителя имитирует официальный адрес электронной почты компании MasterCard -- eresumen@masterconsultas.com.ar. Сообщение начинается с обращения «дорогой партнёр», что уже должно вызвать подозрение у пользователя из-за отсутствия персонализации. Далее сообщается, что обслуживание банковской карты приостановлено и для восстановления её работы необходимо посетить сайт финансовой системы и ввести данные карты. В письме указывается подлинный интернет-адрес сайта MasterCard, однако при переходе по ссылке пользователь направляется на поддельный фишинговый сайт, не защищённый безопасным соединением и принадлежащий злоумышленникам. На поддельной странице жертве предлагается ввести данные своей карты, в том числе её номер и CVC-код.

(http://www.3dnews.ru/assets/external/illustrations/2016/03/25/930519/sm.fishing.750.jpg)
Заполнив анкету и нажав кнопку отправки, пользователь получает сообщение, что доступ к сервисам восстановлен, а киберпреступники получают данные, используя которые можно списывать денежные средства с карты.
Специалисты компании ESET рекомендуют игнорировать неперсонализированные сообщения и подозрительные ссылки.
Источник:
esetnod32.ru

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 30-03-2016, 03:26:29
Хакеры используют беспроводные мышки для взлома ПК
Spoiler: показать
Исследовательская компания Bastille обнаружила новый способ взлома компьютеров под управлением Windows, OS X и Linux. Злоумышленники разработали новую схему кибератак при помощи беспроводных мышек, не использующих подключение по Bluetooth.
Как оказалось, подключившись к компьютеру жертвы под видом беспроводной мыши, злоумышленник может отправлять на устройство любые команды. Для этого потребуется только передатчик и простая программа, которая заставляет систему считать подключенный приёмник мыши клавиатурой и принимать любые нажатия клавиш.
(http://www.3dnews.ru/assets/external/illustrations/2016/03/28/930633/sm.dell-wireless-mouse-wm324-raya-promo-fug4zi-1507-06-fug4zi@1.750.jpg)
Для успешного осуществления атаки хакеру нужно всего лишь находиться в радиусе действия беспроводного подключения между компьютером и передатчиком. Также ему придётся удостовериться, что он подключился к нужному компьютеру, а не случайно оказавшемуся в радиусе действия стороннему устройству.
По словам экспертов, уязвимость была обнаружена в самых популярных моделях беспроводных мышек крупнейших производителей -- HP, Lenovo и Dell. Продуктами этих компаний пользуются сотни миллионов пользователей по всему миру.
Исследователи сообщили об обнаруженной уязвимости производителям беспроводных мышек, однако в настоящий момент ни одна из компаний официально им не ответила.
Источник:
Reuters

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 30-03-2016, 13:58:33
надо находиться в непосредственной близости? как-то уже и не взлом.
с таким же успехом всталяйте USB-флэшку и делайте с ПК что хотите...)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 30-03-2016, 20:02:24
а ты уверен ,что твой сосед с низу не "ломает" твой комп, всего то ,пол метра  "до связи"  (http://www.capa.me/smiles/sm_lol.gif)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 31-03-2016, 14:16:16
уверен, что моя соседка не ломает мой ПК )
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 31-03-2016, 20:04:16
Симпотишная ?! ))
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 01-04-2016, 14:15:15
на любителя )  познакомить? )
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 01-04-2016, 20:24:54
а вдруг я столько не выпью ))
Название: Re:Новые угрозы , кибер - преступления,вирусы l
Отправлено: CaPa от 02-04-2016, 13:32:19
ну это уже не мои проблемы будут (http://www.capa.me/smiles/sm_cool.gif)
главное клавиатуру мою не подслушивайте и блютуз не ломайте ))
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 02-04-2016, 15:42:59
Цитироватьна любителя )

не мой тип ))
(http://s019.radikal.ru/i632/1604/01/0fcdae0247ac.gif) (http://s009.radikal.ru/i310/1604/f4/eebede851148.gif)(http://s010.radikal.ru/i312/1604/51/e865ecf3e17c.gif)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 04-04-2016, 14:06:47
Если главный критерий толщина - то тебе понравится )
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 04-04-2016, 20:37:05
а такие есть ? (http://www.capa.me/smiles/sm_lol.gif)

(http://s018.radikal.ru/i514/1604/5b/875864bd8e3f.gif)

(http://s002.radikal.ru/i198/1604/9c/c953ba910c66.gif)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 05-04-2016, 01:22:31
«Лаборатория Касперского» выяснила, с кем водят дружбу русскоговорящие хакеры

Spoiler: показать
Бразильские и российские киберпреступники тесно сотрудничают друг с другом и обмениваются методами проведения атак, тем самым стимулируя развитие вредоносных программ. К такому выводу пришли эксперты «Лаборатории Касперского», которые недавно провели собственное расследование.
Бразильское и русскоговорящее киберпреступные сообщества изучены экспертами по информационной безопасности лучше остальных -- в первую очередь благодаря их относительной открытости, активной деятельности и большому количеству нелегальных онлайн-форумов. Эти два сообщества, которые исторически развивались независимо друг от друга и создавали собственные техники кибератак, в последнее время начали активно сотрудничать друг с другом. К примеру, они находят образцы зловредов на местных нелегальных форумах, приобретают друг у друга вредоносное ПО, а также предлагают собственные услуги.
Киберпреступник-вирусописатель из Бразилии, автор TorLocker, обговаривающий условия сделки на российском подпольном форуме
(http://www.3dnews.ru/assets/external/illustrations/2016/04/01/930894/br-loads25-310498.jpg)
Ко всему прочему злоумышленники обмениваются вредоносной инфраструктурой и заимствуют друг у друга технологии для проведения атак. Так, с 2011 года бразильцы используют для перенаправления жертв на поддельные банковские страницы устаревшую технологию автоматической настройки прокси-сервера, которая все ещё поддерживается некоторыми браузерами. Впоследствии выяснилось, что этот же метод используется для распространения троянца Capper, нацеленного на российские банки. Предположительно он был создан русскоговорящими разработчиками.
Антивирусный эксперт «Лаборатории Касперского» Тьяго Маркес (Thiago Marques) также обращает внимание на то, что банковские зловреды бразильского происхождения эволюционируют угрожающими темпами, становясь всё более сложными и опасными. В частности, вирусописатели в последнее время начали активно применять разнообразные техники, позволяющие зловредам избегать обнаружения антивирусами. К подобным техникам, например, относятся обфускация кода, руткиты и буткиты. Кроме того, вирусописатели усложняют вредоносное ПО, используя для этого технологии, разработанные русскоговорящими киберпреступниками, а те, в свою очередь, используют методы бразильских «коллег», отметил Тьяго.
Источник:
Лаборатория Касперского
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 05-04-2016, 20:20:22
Червь Remaiten заражает модемы и роутеры и проводит DDoS-атаки

Spoiler: показать
Компания ESET сообщила о появлении новой вредоносной программы Linux/Remaiten. Сообщается, что зловредное приложение заражает модемы, роутеры и другие устройства, объединяя их в ботнет. В дальнейшем такая сеть может использоваться для загрузки троянов и вирусов и для DDoS-атак.

По мнению сотрудников ESET, Remaiten -- это доработанная версия ботов Kaiten и Gafgyt, направленных на встраиваемые устройства. Gafgyt сканирует IP-адреса и пытается обнаружить работающий порт Telnet. Затем приложение подбирает имя пользователя и пароль для входа в систему. При успешном подключении начинается загрузка исполняемых файлов вредоносной программы.
Remaiten также пытается обнаружить порт Telnet и пытается пройти аутентификацию на нем, однако он действует более избирательно при установке исполняемых файлов. Троян анализирует инфраструктуру жертвы и подбирает необходимый загрузчик. Затем загрузчик загружает полноценный бот с управляющего сервера.
После установки бота, Remaiten выполняет команды управляющего сервера. Он может загружать вредоносные файлы в систему и проводить DDoS-атаки. Кроме того, Remaiten может уничтожать другие боты, установленные на заражённом устройстве.
Источник:
esetnod32.ru
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 05-04-2016, 20:26:32
Фрагментация рынка Android-устройств только способствует усилению безопасности гаджетов

Spoiler: показать
По мнению эксперта компании Square Дино Даи Зови (Dino Dai Zovi), фрагментация рынка Android-устройств сильно осложняет жизнь киберпреступникам и играет на руку владельцам Android-гаджетов, работающих под управлением устаревших неисправленных версий ОС. Данную точку зрения Даи Зови высказал в ходе выступления на конференции Black Hat Asia

Согласно официальным данным компании Google, порядка 30% Android-устройств работают на базе выпущенной в 2013 году версии 4.4 (KitKat), еще столько же - под управлением версии 5 (Lollipop), вышедшей два года назад. Устаревшие версии ОС не получают обновлений безопасности даже для критических уязвимостей, более свежие версии также не обновляются вовремя, поскольку ответственность за выпуск патчей лежит на производителях.
Значительное количество компаний выпускают обновления с задержкой или вовсе отказываются от релиза патчей. Как считает Зови, фрагментация рынка Android-устройств только способствует усилению безопасности, поскольку за счет этого значительно усложняется массовая эксплуатация опасных уязвимостей, к примеру, Stagefright. Разработка эксплоитов, подходящих для различных Android-платформ, будет довольно дорогостоящей. Киберпреступники вряд ли заинтересованы в трате средств на создание подобных вредоносов, уверен Даи Зови. «Такая экосистема делает эксплуатацию [уязвимостей] более сложной, поскольку понадобится разрабатывать эксплоит для каждого отдельного устройства.
Функции безопасности Android, такие как верификация приложений и проверка программ в Google Play делают экосистему более безопасной», -- отметил эксперт. Напомним, в марте нынешнего года стало известно о новом эксплоите для уязвимости в компоненте ядра мобильной ОС Android под названием Stagefright. Как утверждают специалисты компании North-Bit, новый метод позволяет обойти защиту Android, а для полной компрометации системы жертве нужно всего лишь посетить подконтрольный злоумышленникам web-сайт.



Популярные расширения для Firefox могут скрывать вредоносную активность за легитимными процессами

Spoiler: показать
Популярные расширения для Firefox могут скрывать вредоносную активность за легитимными процессами Экспертам удалось загрузить в каталог дополнений Firefox вредоносное расширение ValidateThisWebsite, содержащее 50 строк необфусцированного кода. Наиболее популярные расширения для браузера Mozilla Firefox могут содержать вредоносный код, позволяющий злоумышленникам получить информацию о просматриваемых в интернет-обозревателе страницах, паролях, а также данные о системе и пр.,
В рамках проходившей в Сингапуре конференции Black Hat Asia профессор Северо-восточного университета в Бостоне Уильям Робертсон (William Robertson) и доктор Бостонского университета Ахмед Буйукайхан (Ahmet Buyukkayhan) продемонстрировали, как злоумышленники могут проэксплуатировать известные уязвимости в популярных дополнениях для Firefox и внедрить в них вредоносный код.

К примеру, киберпреступники могут создать копию легитимного расширения, добавив в него вредоносный функционал. Эксперты составили список дополнений, уязвимых к 255 эксплоитам. В него вошли NoScript (2,5 млн активных пользователей), Video DownloadHelper (6,5 млн пользователей), GreaseMonkey (1,5 млн пользователей) и пр.

Примечательно, расширение Adblock Plus (22 млн активных пользователей) оказалось не подвержено данным уязвимостям. Для идентификации уязвимых расширений специалисты использовали разработанный ими фреймворк Crossfire. В качестве PoC-демонстрации Робертсон и Буйукайхан загрузили вредоносное расширение ValidateThisWebsite в официальный каталог дополнений Firefox, содержащее 50 строк необфусцированного кода. Отметим, расширение успешно прошло все проверки Mozilla. Эксперты уже передали результаты своего исследования сотрудникам Mozilla. На данный момент черный список компании включает 161 расширение, однако с появлением нового вектора атаки их число может стать гораздо больше.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 07-04-2016, 21:00:01
Вирус из Facebook массово атакует пользователей

Вирус в одной из крупнейших мировых социальных сетей Facebook массово атакует пользователей. Владельцы аккаунтов сообщают, что вредоносное ПО скрывается за ссылкой на YouTube.
Сообщается, что вирус в Facebook расположен по ссылке «CLICK!!! YOUTUBE VIDEOUS GOOGLE.COM».
Пострадавшие юзеры рассказали, что вначале им пришло уведомление том, что кто-то из друзей отметил их на видео. Затем пользователям предлагалось перейти по вышеупомянутой ссылке.
После этого вирус распространялся ко всем друзьям пострадавшего юзера в Facebook. Из-за вредоносного ПО компьютеры атакованных пользователей работали некорректно, а зараженные браузеры не открывались. Программисты рассказали, что нужно делать в случае заражения вирусом из Facebook. Для этого достаточно переустановить «полетевший» браузер. Пароль в аккаунте лучше сменить, а все сторонние приложения на странице в Facebook - удалить. Эксперты не исключают, что вирус из социальной сети может блокировать работу установленного ПО на компьютере пострадавшего пользователя.

Ботнет Nitol установил новый рекорд мощности DDoS-атаки

Spoiler: показать
Эксперты из Imperva зафиксировали самую масштабную DDoS-атаку на web-приложения. HTTP-флуд мощностью в 8,7 Гб/с был направлен на сайт китайской лотереи. В атаке приняли участие примерно 2700 IP-адресов, находящихся под контролем ботнета Nitol. Практически все боты располагались на территории Китая. Для осуществления настолько мощной атаки злоумышленники генерировали большие файлы на стороне бота и пытались загрузить их на уязвимый сайт через HTTP POST запрос. Такие действия со стороны ботов привели к генерации огромного количества трафика. Исследователи Imperva не ожидали увидеть настолько мощную DDoS-атаку на уровне приложений. К тому же, подобную атаку очень сложно отразить гибридными средствами защиты от DDoS, поскольку генерируемый ботами трафик выглядит легитимным, а для обнаружения атаки на уровне приложений потребуется полноценное TCP соединение и анализ всех передаваемых данных. Современные решения по защите от DDoS на сетевом уровне без проблем могут заблокировать атаку мощностью в 150 Гб/с. Однако атаки на уровне приложений не позволяют защитить сайты стандартными средствами.



Хакеры берут 65 долларов за взлом Mail.ru и 194 доллара за ВКонтакте

Компания Dell SecureWorks опубликовала обзор подпольного рынка хакерских услуг. Чтобы узнать, какие услуги предлагают киберпреступники, её аналитики следили за активностью на хакерских форумах во второй половине 2015 года и первом квартале 2016 года. Данные Dell SecureWorks свидетельствуют, что взлом популярных почтовых сервисов стоит сущие копейки. Желающих вскрыть российские почтовые сервисы, такие как Mail.ru, почта «Яндекса» и «Рамблера», можно найти за сумму от 65 до 103 долларов.
(http://s018.radikal.ru/i525/1604/bc/131d24896cc7.jpg)
Американские (Gmail, Hotmail, Yahoo) и украинские (ukr.net) сервисы обойдутся немного дороже -- 129 долларов. За взлом корпоративного почтового ящика хакеры берут 500 долларов. Интересно, что со взломом учётных записей в социальных сетях всё наоборот: российские социальные сети дороже. В отчёте сообщается, что взлом аккаунта в популярной соцсети, штаб-квартира которой базируется в США, обычно предлагают за 129 долларов. Тариф за проникновение в чужой аккаунт «Вконтакте» или «Одноклассников» ощутимо выше: 194 доллара. Номера американских кредитных карт Visa и Mastercard продают по цене от семи до пятнадцати долларов за штуку (два года назад они стоили на три доллара дешевле). Стоимость номеров европейских кредиток составляет 40 долларов.

(http://s011.radikal.ru/i315/1604/75/53b71a7b6ad9.jpg)
Но дороже всего карты из Японии и других стран Азии. За них дают 50 долларов. Полный набор сведений о потенциальной жертве, включающий в себя, помимо номера банковской карты, ещё и ФИО, дату рождения, биллинговый адрес и номер социльного страхования, продают за суммы от 15 до 65 долларов (жители США), 20 долларов (жители Канады) и 25 долларов (жители Великобритании). Стоимость доступа к чужому банковскому счёту зависит от страны, где находится банк, и количества денег на балансе жертвы. Дешевле всего доступ к пустым счетам в турецких, шведских, норвежских, румынских, болгарских и хорватских банках.
(http://s020.radikal.ru/i715/1604/24/d47cdc5e731e.jpg)
Его можно получить за 400 долларов. Чужой счёт в американском банке обойдётся в 40 долларов, если на балансе тысяча долларов, и 500 долларов, если на балансе около 15 тысяч долларов. Взлом сайтов неуклонно дорожает. В 2013 году за него брали от ста до трёхсот долларов, а сейчас эта «услуга» обходится в 350 долларов. Добыча персональных данных (например, адреса или настоящего имени пользователя интернета) за три года подешевела с 25-100 долларов до 19.99 долларов. DDoS-атаку можно организовать за 5-10 долларов в час или 200-555 долларов в неделю.

https://www.secureworks.com/~/media/Files/US/Reports/SecureWorksSECO2123NUndergroundHackerMarketplace.ashx (https://www.secureworks.com/~/media/Files/US/Reports/SecureWorksSECO2123NUndergroundHackerMarketplace.ashx)


Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 08-04-2016, 01:24:07
хватит уже сидеть в соцсетях! )
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 08-04-2016, 19:59:28
Да делать там не чего!...по дому займитесь...и детей воспитывать начинайте!
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 08-04-2016, 20:24:33
Атаки на Facebook: мошенники собирают персональные и банковские данные

Spoiler: показать
Компании ESET и «Лаборатория Касперского» предупреждают о волне атак на пользователей социальной сети Facebook: злоумышленники пытаются завладеть персональной информацией и данными банковских карт.
Схема одной из атак выглядит следующим образом. Мошенники через Facebook-аккаунты, взломанные при помощи вредоносных программ или социальной инженерии, рассылают спам с предложением приобрести солнцезащитные очки Ray-Ban со скидкой в 90 %. Злоумышленники размещают ссылки на поддельные интернет-магазины от лица пользователя и отмечают в каждом посте несколько друзей жертвы. Рекламные картинки хранятся в фотоальбоме, открытом для всех пользователей социальной сети.
(http://www.3dnews.ru/assets/external/illustrations/2016/04/07/931170/fb1.jpg)
Оплата «выгодной покупки» производится на незащищённом сайте-приманке. Платёжная информация отправляется в незашифрованном виде и может быть использована мошенниками для кражи средств со счёта.
Вторая атака основана на эксплуатации человеческих слабостей, а именно -- любопытства. Используя реальный, но уже взломанный аккаунт, злоумышленники публикуют от имени ни в чём не повинного пользователя пост со ссылкой на некое видео для взрослых, якобы размещённое на популярном сервисе YouTube. Чтобы пост выглядел безобидным и вызывал желание его открыть, мошенники отмечают в нём пользователей из списка друзей скомпрометированного аккаунта.
(http://www.3dnews.ru/assets/external/illustrations/2016/04/07/931170/fb2.jpg)
Перейдя по ссылке, жертва попадает на страницу, оформленную в стиле YouTube, но на самом деле не имеющую к этому сайту никакого отношения. При попытке запустить видео появляется баннер с предложением установить расширение для браузера, без которого просмотр ролика невозможен. Установка же приводит к тому, что злоумышленники могут видеть все данные в браузере жертвы, а значит, в перспективе получать доступ к конфиденциальной информации.
Источники:
esetnod32.ru
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 09-04-2016, 23:53:17
Новый банковский троян формирует P2P-ботнет

Spoiler: показать
«Доктор Веб» предупреждает о появлении новой модификации вредоносной программы Gozi, инфицирующей компьютеры под управлением 32- и 64-разрядных версий операционных систем Windows.

Gozi -- это троян с весьма развитой функциональностью. Зловред, в частности, способен  похищать данные, которые пользователи вводят в различные экранные формы, фиксировать нажатия клавиш, встраивать в просматриваемые на заражённом компьютере веб-страницы постороннее содержимое и пр. Кроме того, программа даёт злоумышленникам возможность получить удалённый доступ к рабочему столу заражённого ПК.
Обнаруженный зловред обладает возможностью формировать одноранговые ботнеты, то есть обмениваться данными с другими заражёнными машинами напрямую, посредством создания P2P-сети. Передаваемая таким образом информация шифруется.
(http://www.3dnews.ru/assets/external/illustrations/2016/04/08/931221/gozi2.jpg)
Для определения адресов своих управляющих серверов троян использует специальный алгоритм генерации доменов. Для этого он загружает текстовый файл, используемый в качестве словаря, особым образом преобразует его с учётом текущей даты и на основе полученных значений формирует доменные имена. При этом троян автоматически меняет управляющий сервер каждые 15 дней.
Gozi способен похищать самую разнообразную персональную информацию, включая данные для доступа к платёжным и банковским системам. Таким образом, в случае заражения пользователи рискуют остаться без своих денежных сбережений.
Источник:
Dr.Web

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 12-04-2016, 21:59:37
Пользователям OS X угрожает троян OSX.Pirrit, способный получить полный контроль над системой

Исследователь компании Cybereason Labs Амит Серпер обнаружил новый вариант рекламного ПО Pirrit, разработанного для операционных систем семейства OS X, сообщает Securitylab. Программа создает прокси-сервер на инфицированных Mac и внедряет рекламные баннеры на просматриваемые пользователями веб-страницы. По словам Серпера, пока OSX.Pirrit ведет себя довольно безобидно и распространяет только рекламу, однако потенциально может представлять угрозу для безопасности компьютера.
(http://www.macdigger.ru/wp-content/uploads/2016/04/adware-1.jpg)


«Сейчас OSX.Pirrit считается угрозой низкого уровня, однако технически операторы рекламного ПО имеют полный доступ к целевым системам. Вместо того, чтобы заваливать вас рекламой, они могут легко получить доступ к персональным данным и корпоративной информации или установить кейлоггер, регистрирующий нажатия клавиш при вводе логина/пароля для банковской учетной записи», - написал Серпер в своем блоге.

Злоумышленники внедряют OSX.Pirrit в фальшивые обновления Adobe Flash, а также пакеты Microsoft Office 2016 и Adobe Photoshop CC. Единственным способом обнаружить присутствие рекламного ПО на системе является проверка всех работающих в OS X процессов. Эксперт разместил на GitHub скрипт, предназначенный для удаления рекламного ПО.
https://github.com/aserper/osx.pirrit_removal/blob/master/remove_pirrit.sh (https://github.com/aserper/osx.pirrit_removal/blob/master/remove_pirrit.sh)


(http://www.macdigger.ru/wp-content/uploads/2016/04/adware-2.jpg)


По словам исследователя, OSX.Pirrit не использует эксплоиты для компрометации Mac. Инфицирование осуществляется при помощи методов социальной инженерии, обманом заставляющих пользователей предоставить свои учетные данные для загрузки фальшивого обновления, возможно для Flash. Обнаруженный Серпером образец был написан с использованием Qt Framework и подписан валидным сертификатом Apple.

По мнению эксперта, автором программы является человек, владеющий навыками работы с Linux, но не особо разбирающийся в тонкостях разработки OS X.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 13-04-2016, 13:50:03
Ой, троян для OSX? я правильно прочитал? 
... как интересно! )
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 13-04-2016, 20:02:57
(http://www.capa.me/smiles/sml21.gif)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 14-04-2016, 20:32:10
Эксперты взломали опасную программу-вымогатель Petya

Spoiler: показать
Примерно две недели назад в Сети засветилась новая программа-вымогатель под названием Petya, озадачившая своим уровнем сложности многих экспертов. Теперь, тем не менее, в ней обнаружилась уязвимость, позволяющая жертве расшифровать данные без необходимости платить злоумышленникам.
Petya целиком затрагивала жесткий диск, с которого осуществлялся запуск системы. Программа зашифровывала основной загрузочный файл и показывала пользователю сообщение с требованием о «выкупе». Без пароля заражённый компьютер не загружался, а к файлам на всём жёстком диске невозможно было получить доступ.
(http://www.3dnews.ru/assets/external/illustrations/2016/04/12/931348/petya-ransomware-uses-dos-level-lock-screen-prevents-os-boot-up-502166-3.png)
Пользователь Twitter под псевдонимом leostone выложил в Сеть инструмент,
https://petya-pay-no-ransom-mirror1.herokuapp.com/ (https://petya-pay-no-ransom-mirror1.herokuapp.com/)
генерирующий пароль, который Petya запрашивает для расшифровки загрузочного файла. Чтобы использовать генератор паролей, пользователь должен отключить заражённый жёсткий диск от компьютера и подключить его к другому компьютеру с нормально функционирующей системой Windows. Затем пользователь должен извлечь некоторые данные из жёсткого диска. После этого извлечённые данные вводятся в веб-приложение, созданное leostone, которое предоставляет доступ к паролю для расшифровки.
Для многих извлечение нужных данных могло оказаться невыполнимой задачей, однако эксперт выпустил инструмент
http://download.bleepingcomputer.com/fabian-wosar/PetyaExtractor.zip (http://download.bleepingcomputer.com/fabian-wosar/PetyaExtractor.zip)
Petya Sector Extractor,

автоматически выполняющий все необходимые действия за считанные секунды. Приложение нужно запускать на компьютере, к которому подключен заражённый жёсткий диск.
При всём при этом стоит отметить, что в будущих версиях Petya эта уязвимость может быть исправлена, и разработанные экспертами инструменты больше не будут работать.
Источник:
http://arstechnica.com/ (http://arstechnica.com/)


Хакеры выпустили программу, которая «награждает» злоумышленников трояном

Spoiler: показать
Сразу несколько новых троянских программ-бэкдоров обнаружили специалисты компании «Доктор Веб». Вредоносное ПО для удаленного управления зараженным компьютером содержит код, представляющий опасность для самого злоумышленника.

ИЗ ПРЕСТУПНИКА -- В ЖЕРТВУ

Троянские программы Linux.BackDoor.Xudp.1, Linux.BackDoor.Xudp.2 и Linux.BackDoor.Xudp.3 включают ELF-файлы, в которых содержится вирус Linux.Downloader.77. Изначально этот флудер предназначался для организации атаки на удаленные узлы сети путем массовой отправки UDP-пакетов.

Однако впоследствии в тело флудера был включен троян. Когда пользователь, планирующий атаковать удаленный компьютер, устанавливает к себе в систему Linux.Downloader.77, то вредоносное ПО запрашивает root-доступ, без которого работать отказывается.

(https://htstatic.imgsmail.ru/pic_image/cf0926f27939951d0006b1de9edca4e0/1920/-/1213566/)
В дальнейшем Linux.Downloader.77 превращает пользователя из атакующего в жертву. Он может включать различные скрытые функции - загружать из глобальной сети другое вредоносное ПО, передавать своим создателям персональную информацию о жертве и т.п.

ТРОЯН В РАЗРАБОТКЕ

Вирусные аналитики установили, что Linux.Downloader.77 скачивает из интернета скрипт Linux.Downloader.116 и запускает его, а тот загружает основной модуль бэкдора Linux.BackDoor.Xudp.1 и выполняет нужные настройки и операции.

Сам же бэкдор периодически отправляет на сервер запросы и получает ответы, которые расшифровывает с помощью уникального ключа. Возможно, этот механизм используется для самообновления вируса. Модификации Linux.BackDoor.Xudp.2 и Linux.BackDoor.Xudp.3 отличаются именем, под которым сохраняются в системе, объемом информации, которая отправляется на сервер, и рядом других незначительных особенностей.

Linux.BackDoor.Xudp может выполнять произвольные команды на зараженном устройстве, осуществлять DDoS-атаки и другие действия Кроме того, вредоносное ПО отправляет на сервер дейтограмму, чтобы подтвердить свою работоспособность.

ЧТО ДЕЛАТЬ
В данном случае вина за заражение трояном Linux.BackDoor.Xudp целиком лежит на пользователе, который с помощью вредоносного ПО хотел совершить киберпреступление. Однако надежные антивирусы для Linux успешно борются с угрозой, удаляя троянскую программу из системы.




Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 15-04-2016, 20:13:17
Троян-вымогатель Jigsaw удаляет файлы, пока ему не заплатят

Spoiler: показать
Новый троян-вымогатель под названием Jigsaw не только шифрует файлы, но и даёт жертве действенный стимул не медлить с выкупом. Для этого он удаляет документы с диска один за другим, пока ему не заплатят. После запуска троян отыскивает на накопителях заражённого компьютера файлы 226 различных типов, шифрует их при помощи алгоритма AES и переименовывает, добавляя расширение .fun (другие модификации Jigsaw используют расширения .gws, .kkk и .btc).
(https://xakep.ru/wp-content/uploads/2016/04/Cf3dnRAWQAAj0Iv.jpg-large-1000x563.jpeg)
Когда файлы зашифрованы, вредоносная программа выводит на экран портрет Конструктора из серии фильмов «Пила» (по-английски этого персонажа зовут Jigsaw, чем и объясняется название трояна). К портрету прилагается витиеватая записка с угрозами и требованием заплатить выкуп. Размер выкупа составляет 0,4 биткоина (чуть больше 11 тысяч рублей). В том случае, если жертва не переведёт деньги в течение часа, Jigsaw удалит один из зашифрованных файлов.
(http://i1-news.softpedia-static.com/images/news2/jigsaw-ransomware-threatens-to-delete-your-files-free-decrypter-available-502824-3.png)
После этого с каждым прошедшим часом он будет удалять всё больше и больше файлов, но выключать или перезагружать компьютер лучше не стоит. Когда он заработает снова, пропадёт сразу тысяча файлов. Специалисты по вредоносному софту Майкл Гиллеспи, Лоуренс Абрамс и хакерская группа MalwareHunterTeam разработали программу JigSawDecrypter, которая вскрывает шифрование Jigsaw.
Перед её запуском необходимо вручную остановить процессы firefox.exe и drpbx.exe (этими названиями, как правило, маскируются процессы трояна).
https://download.bleepingcomputer.com/demonslay335/JigSawDecrypter.zip (https://download.bleepingcomputer.com/demonslay335/JigSawDecrypter.zip)


http://www.youtube.com/v/cliHZ4po8bw





Пользователям Windows рекомендуется удалить QuickTime: Apple не планирует исправлять найденные уязвимости

Spoiler: показать
QuickTime не очень популярен на Windows однако, если по какой-то причине он установлен на вашем компьютере, программу лучше удалить. Об этом сообщили эксперты компьютерной безопасности из Trend Micro.
(http://www.macdigger.ru/wp-content/uploads/2016/04/quicktime-1.jpg)


Разработчики обнаружили в QuickTime для Windows две критические уязвимости ZDI-16-241 и ZDI-16-242, позволяющие удаленно запускать произвольный код на компьютере, после открытия специальной веб-страницы или файла. На сегодняшний день атаки с использованием данных брешей не зарегистрированы, однако, что будет завтра - неизвестно.

Несмотря на серьезность уязвимостей, в Apple не будут их исправлять, так как решили прекратить поддержку QuickTime для Windows. Последнее обновление для этого приложения вышло в январе 2016 года, однако больше обновлений, в том числе и исправлений ошибок не планируется. Пользователям настоятельно рекомендуется больше не использовать данный продукт. В этом отношении QuickTime для Windows повторяет судьбу Windows XP и Oracle Java 6.


(http://www.macdigger.ru/wp-content/uploads/2016/04/quicktime-2.jpg)
Эксперты рекомендуют полностью удалить QuickTime из операционной системы. Для этого нужно зайти в Панель управления, затем в Программы и Программы и компоненты, выбрать программу и щелкнуть «Удалить». Также можно исключить компонент, используя поиск Windows, найти объект «Удалить QuickTime» и запустить процесс.

Несмотря на то что уже существуют антивирусные меры, которые смогут защитить Windows-ПК от атак с использованием данных уязвимостей, все же гораздо правильнее будет согласиться с предложением экспертов и удалить QuickTime.



В распространяемых через сторонние источники исполняемых файлах для Linux выявлен троян

Spoiler: показать


Компания Dr.Web сообщила о выявлении троянского ПО для Linux, встроенного в распространяемую в бинарном виде утилиту
http://vms.drweb.ru/virus/?_is=1&i=8036728 (http://vms.drweb.ru/virus/?_is=1&i=8036728)
для совершения атаки путем наводнения адреса жертвы UDP-пакетами. Кроме заявленной функциональности, утилита также выполняет троянские действия и оставляет в системе пользователя бэкдор. Для UDP-флуда требуется запуск программы с правами root, поэтому вредоносное ПО сразу получает полный доступ к системе. Пользователям рекомендуется избегать загрузки программ из непроверенных источников и не запускать сторонние бинарные файлы в системе.

После запуска троянского ПО в систему загружается и устанавливается один из трёх бэкдоров
1, http://vms.drweb.ru/virus/?_is=1&i=8036732 (http://vms.drweb.ru/virus/?_is=1&i=8036732)
2, http://vms.drweb.ru/virus/?_is=1&i=8036735 (http://vms.drweb.ru/virus/?_is=1&i=8036735)
3 , http://vms.drweb.ru/virus/?_is=1&i=8036738 (http://vms.drweb.ru/virus/?_is=1&i=8036738)
предоставляющих злоумышленникам возможность выполнять произвольные команды в системе пользователя. Бэкдор сохраняется в файлах /lib/.socket1 или /lib/.loves, очищает правила iptables и активируется через изменение файла /etc/rc.local и через создание задания в cron, после чего периодически соединяется с внешним управляющим сервером, получая от него команды. Например, поддерживаются команды участия в DDoS-атаке, запуска произвольного кода, сканирования портов, загрузки файлов и т.п.
https://news.drweb.ru/show/?i=9921&lng=ru&c=14 (https://news.drweb.ru/show/?i=9921&lng=ru&c=14)


Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 16-04-2016, 14:21:23
"Пользователям Windows рекомендуется удалить QuickTime: Apple не планирует исправлять найденные уязвимости"

:))

а зачем вообще любое говно от Апле ставить? )
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 16-04-2016, 18:34:45
ну как зачем ))) всем тем кто по накупал афонов ))
Название: Re:Новые угрозы , кибер - преступления,вирусы l
Отправлено: CaPa от 17-04-2016, 13:27:54
Ну тут и ежу понятно, что Апле ничего не будет оптимизировать или делать грамотно для Винды.
Но и второй момент, они сильно пачкают свою репутацию. после этого стоит задуматься - переводить ли остальные гаджеты на яблоко.
хотя кому сейчас можно доверять?  одни упыри (А), и другие упыри (М).
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 17-04-2016, 16:22:21
 :D
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 21-04-2016, 20:54:43
Хакеры массово уводят пароли от Apple ID с помощью SMS-рассылки

Эксперты зафиксировали волну фишинг-атак, направленных на пользователей учетных записей Apple ID. В SMS-рассылках, нацеленных на пользователей техники Apple, злоумышленники пытаются убедить людей в том, что их аккаунт заблокирован и предлагают обновить пользовательские данные, пройдя по специальной ссылке.
(http://www.macdigger.ru/wp-content/uploads/2016/04/login-2.jpg)


В SMS говорится, что это якобы автоматическое сообщение, сформированное системой безопасности Apple. Злоумышленники предлагают подтвердить свои данные , чтобы предупредить блокировку учетной записи.

«[Имя пользователя], срок действия вашего Apple ID подходит к концу. Чтобы предотвратить блокировку аккаунта, подтвердите параметры вашей учетной записи записи, пройдя по ссылке appleidlogin.co.uk», - говорится в сообщении злоумышленников. К сообщению прилагается подпись Apple Support.

Текст сообщения напоминает официальное обращение Адрес, поэтому невнимательный пользователь может поверить рассылке. Перейдя по прилагаемому линку, человек увидит стилизованный под apple.com веб-сайт, предлагающий ввести параметры учетной записи Apple ID.
(http://www.macdigger.ru/wp-content/uploads/2016/04/login-1.jpg)


Если пользователь не поймет подвоха и введет свой идентификатор Apple ID и пароль, он будет переадресован на подлинную страницу сервиса. Таким образом, человек может подумать, что ошибся при вводе учетных данных и успешно авторизоваться со второй попытки. Большинство пользователей будут уверены, что прошли процесс восстановления и от них больше ничего не требуется.

Будьте внимательны. Получив в распоряжение пароли от учетных записей Apple ID, хакеры могут использовать их по своему усмотрению. Пострадавшим следует обратиться в службу технической поддержки Apple, которая поможет восстановить доступ и сменить пароль учетной записи.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 22-04-2016, 13:47:25
мда.... дыра в сознании людей )
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 26-04-2016, 22:19:03
Хакеры массово блокируют старые Android-смартфоны и требуют выкуп в виде подарочных карт iTunes

Эксперт исследовательской компании Blue Coat Эндрю Брандт зафиксировал волну атак на смартфоны и планшеты под управлением Android. По его словам, для заражения мобильных устройств вымогательским ПО злоумышленники используют набор эксплоитов.


(http://www.macdigger.ru/wp-content/uploads/2016/04/Android-block-3.jpg)
«Впервые на моей памяти набор эксплоитов успешно устанавливает вредоносные приложения на мобильное устройство без каких-либо действий со стороны пользователя», - цитирует Securitylab Брандта.

Исследователь обнаружил новый метод атак, когда после загрузки с веб-страницы вредоносной рекламы с JavaScript устройство на Android инфицируется вымогательским ПО. В ходе атаки на дисплей планшета (исследователь использовал устройство от Samsung на базе Android 4.2.2 с прошивкой Cyanogenmod 10) не выводилось привычное диалоговое окно, запрашивающее разрешения на установку приложений.

(http://www.macdigger.ru/wp-content/uploads/2016/04/Android-block-1.jpg)

Проконсультировавшись с экспертом Zimperium Джошуа Дрейком, Брандт установил, что используемый в ходе атаки JavaScript содержит эксплоит для уязвимости в библиотеке libxslt, утекший после взлома компании Hacking Team. По словам Дрейка, полезная нагрузка эксплоита (исполняемый файл Linux ELF с названием module.so) содержит код инструмента Towelroot, появившегося в 2014 году. Полезная нагрузка ELF в свою очередь содержит код, загружающий и устанавливающий троян-вымогатель.

Некоторые домены, с которых осуществляется атака, были созданы менее месяца назад, однако сама атака началась самое позднее в середине февраля нынешнего года. Используемое злоумышленниками вымогательское ПО Cyber.Police имеет схожие черты с несколькими старыми семействами вымогателей, применяемых еще до появления шифровальщиков. Троян выводит на дисплей сообщение якобы от правоохранительных органов, сообщающее, будто пользователь просматривал в браузере запрещенный контент.

(http://www.macdigger.ru/wp-content/uploads/2016/04/Android-block-2.jpg)

Инфицировав систему, Cyber.Police не шифрует файлы жертвы, а блокирует само устройство, превращая его в «кирпич». За возможность снова пользоваться смартфоном или планшетом требуется выплатить выкуп, предоставив злоумышленникам коды двух 100-долларовых подарочных карт магазина iTunes. Оплата в таком виде весьма необычна для подобных атак. Как правило, вымогатели требуют выкуп в биткойнах или другой криптовалюте.

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 26-04-2016, 22:20:51
Мошенники подписывают пользователей WhatsApp на платные SMS-сервисы

Мошенники придумали новый способ обогащения: они предлагают пользователям WhatsApp активировать функцию видеозвонков в приложении путем указания своего номера на стороннем сайте. После этого со счета жертвы списываются большие суммы за платную SMS-рассылку.

(http://www.macdigger.ru/wp-content/uploads/2016/04/whatsapp-SMS-1.jpg)

Жертвой мошенников стали пользователи популярного сервиса для обмена сообщениями WhatsApp. О новой схеме обмана рассказали эксперты лаборатории ESET. Как сообщили MacDigger в компании, пользователям мессенджера предлагают активировать функцию видеозвонков.

Появление бесплатных видеозвонков в WhatsApp было анонсировано в конце 2015 года. Пользуясь случаем, злоумышленники публикуют в соцсетях призывы получить доступ к функции уже сейчас. По ссылке из мошеннических постов открывается сайт с инструкцией по активации видеозвонков на iOS, Android, Windows Phone и BlackBerry.

После нажатия кнопки «Активировать видеозвонки» пользователю ставят новое условие: рекомендовать сайт десяти контактам или пяти группам в WhatsApp. Просьбу объясняют необходимостью проверки активности пользователя.

(http://www.macdigger.ru/wp-content/uploads/2016/04/whatsapp-SMS-2.jpg)

Поделившись мошеннической ссылкой, пользователь получает новые инструкции -- обновить ПО на устройстве. Под видом «новой версии WhatsApp» скрывается подписка на SMS-сервисы. Как отметили в ESET, данные сервисы являются достаточно дорогостоящими и со счета пользователя начинаю списываться немалые суммы.

Пока схема ориентирована на испаноговорящих пользователей WhatsApp, но ее легко можно перенацелить на другие аудитории, включая Рунет, констатируют в ESET.

Аналитики рекомендуют игнорировать подозрительные ссылки в соцсетях и мессенджерах, особенно полученные от неизвестных отправителей, и перепроверять информацию о новых функциях популярных программных продуктов в официальных источниках.


Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 27-04-2016, 13:29:15
мошенники подписывают идиотов.... надо было так называть.

а вообще ЕСЕТ, привет! спасибо за "новости" :)))
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 27-04-2016, 20:37:13
Представлен бесплатный сервис поиска фишинговых доменов
https://www.htbridge.com/radar/ (https://www.htbridge.com/radar/)
Spoiler: показать
Новый сервис предназначен для определения различной подозрительной или вредоносной активности, связанной с доменными именами. Швейцарская компания High-Tech Bridge запустила бесплатный фишинг-радар -- web-сервис поиска вредоносных доменов, позволяющий оперативно выявить фишинговые домены и проверить доменные имена на предмет тайпосквоттинга и киберсквоттинга. Новый сервис предназначен для определения различной подозрительной или вредоносной активности, связанной с доменными именами, такой как хищение личности, подделка торговых знаков, захват доменного имени или фишинг. На сегодняшний день киберсквоттинг (регистрация «значимых» доменных имен с целью их дальнейшей перепродажи или недобросовестного использования) и связанные с ним мошеннические схемы, является одной из серьезных проблем для интернет-пользователей. Эксперты Всемирной организации интеллектуальной собственности предупреждают о продолжающемся росте связанных с захватом доменов инцидентов. Злоумышленники активно применяют тайпосквоттинг (покупка доменных имен, очень схожих по графическому написанию с адресами наиболее посещаемых сайтов интернета) для компрометации и инфицирования мобильных устройств и компьютеров беспечных пользователей, а также хищения криптовалюты.

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 28-04-2016, 21:34:44
Злоумышленники атакуют российские сайты с помощью программ для тестирования безопасности браузеров

Spoiler: показать
«Лаборатория Касперского» опубликовала информацию о новой серии кибератак на российские и зарубежные сайты. По заявлениям экспертов компании, все взломы были произведены разными кибергруппировками, однако злоумышленники использовали для этого один и тот же легальный инструмент -- фраймворк BeEF, который был создан для повышения эффективности тестирования безопасности браузеров.
(http://www.3dnews.ru/assets/external/illustrations/2016/04/28/932156/sm.hackers.750.jpg)
Отмечается, что киберпреступники пользуются данной технологией для проведения атак типа watering hole. Фраймворк устанавливается на сайты, которые наиболее часто посещаются потенциальными жертвами, потом с его помощью определяется какими браузерами пользуются нужные пользователи, и используя BeEF злоумышленники похищают данные их учётных записей. Полученные сведения могут использоваться, например, для внедрения дополнительного вредоносного программного обеспечения в скомпрометированные устройства.
Сообщается, что с помощью фраймворка BeEF были взломаны сайты посольства одной из стран Ближнего Востока в Российской Федерации, компании по развитию бизнеса за рубежом, организации по управлению внешней торговлей, а также форум разработчиков игр. Согласно наблюдениям экспертов «Лаборатории Касперского», в последнее время всё чаще для кибератак используются инструменты, находящихся в свободном доступе в Интернете и предназначенные для исследовательских целей. Это эффективнее и дешевле, поскольку атаку намного сложнее обнаружить из-за применения легальных технологий. К тому же вредоносное программное обеспечение, специально предназначенное для взлома сайтов, стоит денег на «чёрном» рынке. Ситуация складывается такая, что даже начинающие киберпреступники, с недостатками ресурсов и опыта, представляют угрозу как для компаний, так и для частных пользователей.

«Легальные инструменты с открытым исходным кодом, предназначенные изначально для проведения тестов на проникновение, и раньше применялись для проведения целевых атак, но теперь это стало трендом, -- говорит ведущий антивирусный эксперт «Лаборатории Касперского» Курт Баумгартнер. -- Фреймворк BeEF особенно популярен среди самых разных кибергруппировок по всему миру. Сотрудникам отделов безопасности следует обратить на это внимание, чтобы принять меры для защиты организаций от атак данного типа».
Узнать более подробную информацию о данном исследовании можно в подробном отчёте.
Источник:
Лаборатория Касперского

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 28-04-2016, 22:10:21
Хакеры используют беспроводные мышки для взлома ПК

http://www.capa.me/forum/index.php/topic,80468.msg133552.html#msg133552 (http://www.capa.me/forum/index.php/topic,80468.msg133552.html#msg133552)
на одном "без башенном сайте ")))
порядочным и культурным людям .....не скажу какой адрес ))
нашел инструкцию к Sniffer - как работает,
https://github.com/RFStorm/mousejack/blob/master/doc/pdf/MouseJack-whitepaper-v1.1.pdf (https://github.com/RFStorm/mousejack/blob/master/doc/pdf/MouseJack-whitepaper-v1.1.pdf)

Spoiler: показать

аппаратные снифферы и их проекты на гитхабе.




условно WiFi Sniffer

Nrf24lu1 NRF24LU1P
https://aliexpress.com/item/NRF24LU1-NRF24LU1P-2-4G-Wireless-Transceiver-USB-Module-Wireless-Module-NEW/32294020974.html (https://aliexpress.com/item/NRF24LU1-NRF24LU1P-2-4G-Wireless-Transceiver-USB-Module-Wireless-Module-NEW/32294020974.html)

Nrf24lu1 NRF24LU1P с SMA антенной (он же Crazyradio)
https://aliexpress.com/item/Free-Shipping-Hot-Selling-Crazyradio-2-4Ghz-nRF24LU1-USB-radio-dongle-with-antenna-3d-Printer-Accessories/32224256370.html (https://aliexpress.com/item/Free-Shipping-Hot-Selling-Crazyradio-2-4Ghz-nRF24LU1-USB-radio-dongle-with-antenna-3d-Printer-Accessories/32224256370.html)

ZigBee CC2531 Sniffer
https://aliexpress.com/item/Zigbee-usb-dongle-cc2531-cc2530-bag-module-wireless-keyboard/1763694083.html (https://aliexpress.com/item/Zigbee-usb-dongle-cc2531-cc2530-bag-module-wireless-keyboard/1763694083.html)

BlueTooth CC2540 Sniffer
https://aliexpress.com/item/Bluetooth-4-0-CC2540-USB-dongle-support-protocol-analysis-BTool-packet-sniffer/1994730581.html (https://aliexpress.com/item/Bluetooth-4-0-CC2540-USB-dongle-support-protocol-analysis-BTool-packet-sniffer/1994730581.html)

Программаторы:

CC debugger (Zigbee и Bluetooth)
https://aliexpress.com/item/CC-Debugger-CCxxxx-Bluetooth-ZIGBEE-Wireless-Emulator-Programmer-for-RF-System-on-Chips/32417465960.html (https://aliexpress.com/item/CC-Debugger-CCxxxx-Bluetooth-ZIGBEE-Wireless-Emulator-Programmer-for-RF-System-on-Chips/32417465960.html)

nrfPRO
https://www.aliexpress.com/af/programmer-nRF24LU1.html (https://www.aliexpress.com/af/programmer-nRF24LU1.html)

USBASP (кастрат nrfPRO дешевле в 10 раз, страшная ....... с перепрошивкой, ужасно медленный, но очень дешевый)
https://aliexpress.com/item/Free-Shipping-2PCS-USBASP-10PIN-TO-6PIN-ADAPTER-New-USBASP-USBISP-AVR-Programmer-USB-ATMEGA8-ATMEGA128/1807010158.html (https://aliexpress.com/item/Free-Shipping-2PCS-USBASP-10PIN-TO-6PIN-ADAPTER-New-USBASP-USBISP-AVR-Programmer-USB-ATMEGA8-ATMEGA128/1807010158.html)

SMA мелочи
https://aliexpress.com/store/714180 (https://aliexpress.com/store/714180)


Программы

NRF Sniffer

https://www.nordicsemi.com/eng/Products/Bluetooth-Smart-Bluetooth-low-energy/nRF-Sniffer (https://www.nordicsemi.com/eng/Products/Bluetooth-Smart-Bluetooth-low-energy/nRF-Sniffer)

SmartRF Protocol Packet Sniffer
http://www.ti.com/tool/packet-sniffer (http://www.ti.com/tool/packet-sniffer)

Smart RF Studio
http://www.ti.com/tool/cc-debugger#Technical (http://www.ti.com/tool/cc-debugger#Technical) Documents

Программы для NRF PRO дебагера
http://danjuliodesigns.com/projects/projects/nrf_prog.html (http://danjuliodesigns.com/projects/projects/nrf_prog.html)
http://danjuliodesigns.com/products/nrf_prog2/nrf_prog2.html (http://danjuliodesigns.com/products/nrf_prog2/nrf_prog2.html)

Прошивка кастрированного программатора, чтобы прошивать NRF модули
http://homes-smart.ru/index.php/oborudovanie/bez-provodov-2-4-ggts/55-programmirovanie-nrf24le1-cherez-usbasp (http://homes-smart.ru/index.php/oborudovanie/bez-provodov-2-4-ggts/55-programmirovanie-nrf24le1-cherez-usbasp)
https://habrahabr.ru/post/208470/ (https://habrahabr.ru/post/208470/)
https://habrahabr.ru/post/210974/ (https://habrahabr.ru/post/210974/)



Самое ценное Crazy Radio и Python Sniffer
https://wiki.bitcraze.io/ (https://wiki.bitcraze.io/)
https://forum.bitcraze.io/ (https://forum.bitcraze.io/)
https://www.bitcraze.io/crazyradio-pa/ (https://www.bitcraze.io/crazyradio-pa/)

Очень ..... как ценное

https://github.com/derekstavis/nrf24le1-libbcm2835 (https://github.com/derekstavis/nrf24le1-libbcm2835)
https://github.com/bitcraze/crazyradio-firmware (https://github.com/bitcraze/crazyradio-firmware)
https://github.com/RFStorm/mousejack (https://github.com/RFStorm/mousejack)

RFStorm nRF24LU1+ Research Firmware

Описание как это работает
https://github.com/RFStorm/mousejack/blob/master/doc/pdf/MouseJack-whitepaper-v1.1.pdf (https://github.com/RFStorm/mousejack/blob/master/doc/pdf/MouseJack-whitepaper-v1.1.pdf)

https://www.bastille.net/technical-details (https://www.bastille.net/technical-details)
https://www.mousejack.com/ (https://www.mousejack.com/)

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 29-04-2016, 01:57:23
похоже ты уже пошёл учиться )))
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 29-04-2016, 20:44:58
(http://www.capa.me/smiles/sml74.gif) просто инет ковырял))
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 30-04-2016, 01:42:26
«Лаборатория Касперского» поможет вернуть файлы, зашифрованные CryptXXX


«Лаборатория Касперского» выпустила бесплатную утилиту Kaspersky RannohDecryptor, которая поможет расшифровать файлы, закодированные вымогателем CryptXXX.
Названная вредоносная программа атакует пользователей Windows. Зловред распространяется через веб-страницы, содержащие набор эксплойтов Angler. Любопытно, что процедуру шифрования файлов на всех подключенных к компьютеру накопителях CryptXXX запускает лишь через некоторое время после заражения. Его создатели предусмотрели эту задержку для того, чтобы было сложнее определить, какой именно сайт оказался заразным.
(http://www.3dnews.ru/assets/external/illustrations/2016/04/28/932193/rannoh2.jpg)
После осуществления кодирования CryptXXX уведомляет пользователя о том, что его файлы зашифрованы с помощью стойкого алгоритма RSA-4096. За возвращение данных злоумышленники требуют заплатить $500 в Bitcoin-эквиваленте.
Однако, как отмечается, заявленный алгоритм шифрования RSA-4096 -- это простое бахвальство со стороны киберпреступников. «Лаборатории Касперского» удалось создать алгоритм восстановления зашифрованных файлов.
(http://www.3dnews.ru/assets/external/illustrations/2016/04/28/932193/rannoh1.jpg)
Утилита Kaspersky RannohDecryptor позволит вернуть информацию в том случае, если у пользователя осталась (например, на внешнем носителе) оригинальная версия хотя бы одного файла из числа тех, что были «обработаны» CryptXXX. Загрузить утилиту дешифровки можно отсюда.http://media.kaspersky.com/utilities/VirusUtilities/EN/rannohdecryptor.zip?_ga=1.54068328.1165642488.1461729344 (http://media.kaspersky.com/utilities/VirusUtilities/EN/rannohdecryptor.zip?_ga=1.54068328.1165642488.1461729344)
Кстати, программа RannohDecryptor изначально создавалась для расшифровки файлов, ставших пищей другого шифровальщика, Rannoh, но по мере появления новых троянов она обрастала дополнительной функциональностью.
Источник:
Лаборатория Касперского




Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 01-05-2016, 22:26:04
Злоумышленники используют «Режим бога» в Windows для распространения вредоносного ПО

По данным McAfee Labs, хакеры закрепляют Dynamer в системе, используя функцию God Mode в Windows.
Начиная с Vista, Windows поставляется с «пасхалкой» - так называемым «режимом бога» («God Mode»). Эта функция позволяет создавать папки с особыми названиями, обеспечивающие быстрый доступ к отдельным настройкам компьютера. Как сообщают эксперты McAfee Labs, злоумышленники стали использовать «режим бога» для атак с помощью вредоносного ПО Dynamer.
Получить доступ к размешенным в таких папках файлам Windows Explorer довольно сложно, потому что они открываются не так, как обычные папки, а, скорее, перенаправляют пользователя. По данным McAfee Labs, последний вариант Dynamer устанавливается в одной из таких папок в %AppData%. Вредонос закрепляется в системе, создавая запись в реестре Windows (имя исполняемого файла является динамическим):

ЦитироватьHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe


Данная запись позволяет Dynamer нормально функционировать, однако, если пользователь попытается открыть папку
com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}, он будет автоматически перенаправлен на RemoteApp and Desktop Connections.
Разработчики вредоноса попытались сделать эту директорию постоянной, добавив в начало имени «com4». Как поясняют эксперты, использовать подобное имя в нормальном Windows Explorer и cmd.exe запрещено. Windows будет относиться к такой папке как к устройству, тем самым не давая пользователю удалить директорию.
Как бы то ни было, но избавиться от папки можно. Для этого следует выполнить команду

Цитировать> rd "\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}"
/S /Q.


ПРИМЕРЫ

http://www.youtube.com/v/gKY8WuyA3iU

ЦитироватьGodMode.{ED7BA470-8E54-465E-825C-9971204­3E01C}


http://www.youtube.com/v/tHXDvwMTFuM
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 02-05-2016, 09:05:26
винда - нескончаемая дыра!
пора на линух уходить.   под мак, чувствую, тоже скоро будет полным-полно вирусни
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 02-05-2016, 15:48:08
Цитата: CaPa от 02-05-2016, 09:05:26
под мак, чувствую, тоже скоро будет полным-полно вирусни
вирусни и так полно )) просто яблочники не подозревают о них)))))
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 03-05-2016, 14:02:01
но будет ещё больше)
сейчас то популярность уже такая, что майкрософт скоро локти кусать начнёт со своими "говнокомбайнами".
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 07-05-2016, 01:27:34
Хакеры из РФ похитили данные 272,3 млн аккаунтов почтовых служб
Spoiler: показать
Российские хакеры украли и выставили на продажу логины и пароли от 272,3 млн аккаунтов самых популярных сервисов электронной почты. Об этом Reuters рассказал эксперт Алекс Холден, глава компании Hold Securities, которая специализируется на кибербезопасности.

По словам эксперта, это одна из самых крупных баз данных, украденных за последние два года.

Отловить информацию о взломе аккаунтов Холдену удалось после того, как один из русских хакеров стал предлагать на закрытом форуме конфиденциальные данные. Он провел расследование и выяснил, что жертвами хакеров могли стать более 250 млн аккаунтов.

Эксперт отметил, что наибольшие потери от масштабной атаки хакеров понесла Mail.ru -- 57 млн аккаунтов. Пострадали также Yahoo! (40 млн), Microsoft (33 млн) и Google (24 млн).

Однако пресс-служба Mail.ru сообщила, что по результатам случайной выборки в базе нет паролей, подходящих к активным живым аккаунтам.

Холден ранее сыграл важную роль в раскрытии некоторых из крупнейших в мире кибератак, затрагивающих десятки миллионов пользователей. Так, в свое время он первым обнаружил атаки на компанию Adobe, банк J.P.Morgan и розничную сеть торговли Target.


Новый вирус маскируется под обновление Chrome

Spoiler: показать
К сожалению, достаточно часто приходится рассказывать о новых разновидностях вредоносного ПО для Android. Увы, владея смартфоном на Android, которая радует вас своей открытостью, стоит быть осторожным и с подозрением относиться ко всему, что вы видите в браузере, и к тому, что вам предложено сделать со своим смартфоном. Совершенно точно не следует скачивать обновление браузера Chrome откуда-либо, кроме Google Play.


Новое вредоносное ПО можно установить, посетив страницу сайта, который замаскирован под сайт Google. Он предложит вам установить обновление Chrome для Android. После загрузки файла Update_chrome.apk вам будет предложено произвести установку. Она возможна лишь в том случае, если в настройках безопасности вы разрешили установку приложений из неизвестных источников. Как только установка будет выполнена, вредоносная программа начнет сбор информации об истории ваших звонков, переписок, активности в браузере и многое другое. Вся эта информация будет отправлена на сервер злоумышленников.

Данный вирус был обнаружен компанией Zscaler, которая специализируется на безопасности. Ее сотрудники отмечают, что вирус умеет определять, установлено ли на вашем смартфоне антивирусное ПО, и маскироваться таким образом, чтобы не быть обнаруженным. Также, если пользователь открывает Google Play, вирус выводит страницу, на которой от пользователя просят уточнить данные его банковской карты. Скриншот этой страницы отправляется на телефонный номер абонента в России, по данным Zscaler.

Избавить от вируса сможет только полная очистка устройства. Гораздо проще избежать заражения. Стоит отключить в настройках безопасности своего устройства возможность установки приложений из неизвестных источников. Все обновления ваши приложения смогут получать из Google Play, и не стоит соглашаться на альтернативные варианты.

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 11-05-2016, 20:17:30
Новый троян крадёт документы жертвы

Spoiler: показать
«Доктор Веб» предупреждает о появлении новой вредоносной программы -- бекдора Apper, атакующего компьютеры под управлением операционных систем Microsoft Windows.
Зловред распространяется с помощью дроппера, который представляет собой документ Microsoft Excel, содержащий специальный макрос. Этот макрос собирает по байтам и запускает самораспаковывающийся архив с исполняемым файлом. Последний имеет действительную цифровую подпись компании Symantec. В архив также входит динамическая библиотека, в которой сосредоточена основная функциональность бэкдора.
(http://www.3dnews.ru/assets/external/illustrations/2016/05/06/932535/backdoor2.jpg)
Троян регистрирует в автозагрузке исполняемый файл, который после своего запуска загружает в память атакуемого компьютера вредоносную библиотеку. Затем исходный файл удаляется.
Вредоносная программа предназначена для хищения документов и шпионажа. После успешного запуска зловред действует в качестве кейлоггера -- фиксирует нажатия клавиш и записывает их в специальный зашифрованный файл. Ещё одна функция Apper -- мониторинг файловой системы. Если на диске компьютера имеется конфигурационный файл, содержащий пути к папкам, состояние которых троян должен отслеживать, он будет фиксировать все изменения в этих папках и передавать информацию на управляющий сервер.
(http://www.3dnews.ru/assets/external/illustrations/2016/05/06/932535/backdoor1.jpg)
Перед установкой связи с командным сервером бэкдор собирает данные о заражённом компьютере: его имя, версию операционной системы, сведения о процессоре, оперативной памяти и дисках, после чего отсылает полученные сведения злоумышленникам. Затем троян добывает более подробную информацию о дисковых накопителях, которая также передается на управляющий сервер вместе с файлом журнала кейлоггера.
Зловред может по команде отправить злоумышленникам сведения о содержимом заданной папки или указанный киберпреступниками файл, удалить или переименовать какой-либо файловый объект, создать на заражённом компьютере новую папку, а также сделать снимок экрана и отправить его на принадлежащий вирусописателям сервер.
Источник:
drweb.com



В Сети появился дешевый троян-вымогатель
Spoiler: показать
Распространяемый по модели RaaS вредонос AlphaLocker можно приобрести за $65.
В киберпространстве едва ли не каждую неделю возникают новые разновидности вымогательского ПО. На сей раз внимание исследователей безопасности привлек троян-вымогатель AlphaLocker. Самым «привлекательным» во вредоносе оказалась его цена.
AlphaLocker - вредонос, распространяемый по бизнес-модели RaaS (ransomware-as-a-service). Вымогатель можно приобрести непосредственно у разработчика всего за $65 в биткойнах. Оплатив стоимость вредоноса, покупатель получает его копию, программу расшифровки бинарного кода и собственную административную панель. Столь низкая стоимость вымогателя может серьезно увеличить количество его жертв.
(https://www.cylance.com/hs-fs/hubfs/2015_cylance_website/Blog/Images/alpha_forum_1.png?t=1462681400817&width=1256&height=903)

Вредонос AlphaLocker шифрует информацию на всех логических дисках компьютера жертвы при помощи алгоритма AES. Согласно описанию вымогателя, он «продолжает шифрование файлов, даже если компьютер выключен». После того, как вредоносное ПО зашифрует информацию на компьютере, жертва получает текстовый файл с требованием выкупа. Сумма оплаты составляет 0,35 биткойнов (около $158). Разработчики вымогателя периодически обновляют его код, что позволяет AlphaLocker избегать обнаружения антивирусами.
AlphaLocker основан на открытом исходном коде EDA2. Проект EDA2 был разработан турецким исследователем Ютку Сеном (Utku Sen). Позднее он выложил исходный код EDA2 в Сеть с образовательной целью. На основе открытого исходного кода ранее был разработан вымогатель Magic.
По предположению специалистов из компании Cylance, вредонос AlphaLocker происходит из России, поскольку его рекламировали на российских форумах. Содержащиеся в некоторых файлах вредоносного ПО данные также говорят в пользу этого утверждения.




Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 11-05-2016, 20:59:16
Инструмент ЛК для восстановления зашифрованных CryptXXX файлов бессилен перед новой версией вымогателя

Версия CryptXXX 2.006 блокирует экран и делает компьютер бесполезным.
В настоящее время новые образцы вымогательского ПО появляются с завидной регулярностью, однако так же регулярно создаются инструменты для восстановления зашифрованных ими файлов без уплаты выкупа. Ярким примером является появившийся в прошлом месяце троян-шифровальщик CryptXXX. Всего через две недели с момента его обнаружения был создан инструмент для восстановления зашифрованным им файлов.
Тем не менее, по данным экспертов Proofpoint, предложенный «Лабораторией Касперского» RannohDecryptor не работает с последней версией CryptXXX. Версия 2.000 появилась 28 апреля, однако самая поздняя версия 2.006 была обнаружена исследователями 9 мая. По их словам, новая модификация CryptXXX претерпела ряд существенных изменений. Теперь вредонос блокирует экран и делает зараженный компьютер полностью бесполезным.
Согласно предположению экспертов, новая функция ПО блокирует экран, отображая страницу с требованием выкупа. Это может свидетельствовать о том, что компьютер регулярно подключается к C&C-серверу с целью проверить факт оплаты выкупа. Подобным функционалом обладает вредоносное ПО Reveton, создатели которого также ответственны за появление CryptXXX.
На первый взгляд функция блокировки экрана показалась исследователям попыткой злоумышленников затруднить использование разработанного ЛК инструмента. Однако более детальный анализ показал абсолютную бесполезность RannohDecryptor против CryptXXX 2.006.
Раньше имя файла, уведомляющего пользователей об инфицировании, было de_crypt_readme с расширением bmp, txt и html. Теперь имя файла представляет собой уникальный персональный идентификатор зараженного компьютера. Страница оплаты выкупа также претерпела незначительные изменения. Теперь вместо ПО для восстановления файлов, зашифрованных Cryptowall («Cryptowall Decrypter»), злоумышленники предлагают «Google Decrypter».   



В Adobe Flash Player обнаружена новая уязвимость нулевого дня

Spoiler: показать
Эксплуатация ошибки позволяет вызвать отказ в работе устройства и получить контроль над целевой системой.
Компания Adobe сообщила об обнаружении очередной критической уязвимости в плагине Flash Player. Проблеме CVE-2016-4117 подвержены Adobe Flash Player 21.0.0.226 и более ранние версии для Windows, Mac, Linux и Chrome OS.
По информации производителя, к данной уязвимости уже существует эксплоит, который активно используется злоумышленниками. Успешная эксплуатация ошибки позволяет вызвать отказ в работе устройства и получить контроль над целевой системой. Согласно сообщению Adobe, исправление для данной уязвимости будет представлено 12 мая текущего года.
Специалисты Adobe уже выпустили пакет патчей для проблем (CVE-2016-1113, CVE-2016-1114, CVE-2016-1115) в серверной платформе ColdFusion. Уязвимости затрагивают все версии ColdFusion 2016, 10 и 11. Проблема CVE-2016-1113 существует из-за ошибки проверки входных данных. Успешно проэкплуатировав данную уязвимость, злоумышленник может осуществить XSS-атаку. Пакет также содержит обновление библиотеки Apache Commons Collections, устраняющее опасную уязвимость десериализации объектов Java (CVE-2016-1114).
В начале мая стали доступны обновления Adobe Acrobat и Reader, устраняющие в общей сложности 92 уязвимости.

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 11-05-2016, 21:01:28
Stuxnet -Проблема затрагивает версии Windows 8 и выше, на которых не был установлен августовский патч 2010 года. 
Spoiler: показать
Проблема затрагивает версии Windows 8 и выше, на которых не был установлен августовский патч 2010 года. 
По данным экспертов Microsoft, уязвимость шестилетней давности, эксплуатируемая злоумышленниками для распространения вредоносного ПО Stuxnet, по-прежнему остается главным вектором кибератак и ключевым инструментом в популярном наборе эксплоитов Angler.
Критическая уязвимость CVE-2010-2568 затрагивает продукты Microsoft Windows и позволяет скомпрометировать целевую систему. Проблема существует из-за недостаточной обработки некоторых параметров в Windows Shell при обработке ярлыков (.lnk или .pif) во время подключения иконки. Удаленный пользователь может с помощью специально сформированного ярлыка выполнить произвольный код на системе.
Уязвимость хорошо известна и была исправлена с тех пор, как стало известно о мощном вредоносном ПО Stuxnet, инфицировавшем системы завода по обогащению урана в иранском городе Нетенз.   
Согласно отчету Security Intelligence Report компании Microsoft, по состоянию на первую половину 2015 года эта уязвимость являлась самой популярной у хакеров. Как правило, эксплуатирующий ее вредонос идентифицировался как представитель семейства Win32/CplLnk, однако фиксировались и другие образцы. Уязвимость затрагивает версии Windows 8 и выше, на которых не был установлен августовский патч 2010 года.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 12-05-2016, 13:59:00
на майкрософт у меня уже аллергия начинается. рукожопые твари ) пусть даже не надеятся что люди понаставят шпионов.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 14-05-2016, 22:03:28
«Доктор Веб» предупреждает о всплеске активности опасного Android-троянца, ворующего деньги со счетов пользователей


Spoiler: показать
Банковский троянец Android.SmsSpy.88.origin, терроризирующий пользователей мобильной ОС Android на протяжении последних несколько лет, серьёзно эволюционировал и стал ещё опаснее. Информация о новой модификации вредоносной программы была опубликована на официальном сайте антивирусной компании «Доктор Веб».
Что характерно, все ранние версии троянца атаковали только пользователей из России и ряда стран СНГ. Новые же версии заражаются смартфоны и планшеты под управлением Android по всему миру. Как и прежде, Android.SmsSpy.88.origin попадает на мобильные устройства под видом безобидных программ вроде известного всем проигрывателя Adobe Flash Player. После запуска Android.SmsSpy.88.origin запрашивает у пользователя доступ к правам администратора с целью затруднить свое удаление из заражённой системы.
География распространения Android.SmsSpy.88.origin
(http://www.3dnews.ru/assets/external/illustrations/2016/05/12/932808/android_smsspy_14_ru.png)
После этого троянец подключается к сети и поддерживает соединение в активном состоянии, используя для этого Wi-Fi или канал передачи данных мобильного оператора, что позволяет приложению обеспечить постоянную связь с управляющим сервером и избежать каких-либо перебоев в работе. Далее вредонос формирует для заражённого устройства уникальный идентификатор, который вместе с другой технической информацией передаётся на сервер злоумышленников, где происходит регистрация инфицированного смартфона или планшета.
(http://www.3dnews.ru/assets/external/illustrations/2016/05/12/932808/android-994910_960_720.jpg)
Таким образом Android.SmsSpy.88.origin пытается похитить логины и пароли от учётных записей мобильного банкинга с целью передачи их киберпреступникам. После того как владелец устройства запускает одно из атакуемых приложений, троянец при помощи компонента WebView показывает поверх его окна фишинговую форму ввода аутентификационных данных для доступа к учётной записи мобильного банкинга. Как только пользователь указывает нужные зловреду данные, программа скрытно передаёт их злоумышленникам, и те получают полный контроль над всеми счетами жертвы.
Главным отличием модифицированной версии Android.SmsSpy.88.origin от базовой стала функция самозащиты, которая пытается помешать работе целого ряда антивирусных программ и сервисных утилит, не позволяя им запуститься и «оказать сопротивление».
Источник:
Dr.Web


Мошенники всё чаще крадут средства с бесконтактных карт россиян

Spoiler: показать
Киберпреступники в России активно осваивают новый вид мошенничества, заключающийся в краже средств с банковских карт, поддерживающих бесконтактную оплату товаров и услуг.
(http://www.3dnews.ru/assets/external/illustrations/2016/05/12/932787/card1.jpg)
Речь идёт о технологиях MasterCard PayPass и Visa payWave, позволяющих осуществлять платежи путём близкого поднесения или прикосновения картой к считывающему терминалу. В данном случае проводить картой через ридер или вставлять её в считывающее устройство не требуется.
Как сообщают «Известия», ссылаясь на исследование компании Zecurion, в течение прошлого года злоумышленник украли с бесконтактных карт россиян около 2 млн рублей. А в течение первых четырёх месяцев этого года объём хищений уже достиг 1 млн рублей. Таким образом, полагают эксперты, по итогам 2016-го общая сумма краж составит примерно 2,5 млн рублей. Прогноз на 2017 год -- 5 млн рублей.
(http://www.3dnews.ru/assets/external/illustrations/2016/05/12/932787/card2.jpg)
Схема мошенничества сводится к тому, что злоумышленники с помощью специальных ридеров крадут информацию о бесконтактных картах. Обычно это происходит в переполненном транспорте, на рынках и в магазинах. Мошенникам достаточно получить номер карты и дату окончания срока её обслуживания. С помощью этого минимума уже можно проводить операции через подставные интернет-площадки или изготовить дубликат магнитной полосы, достаточной для списания средств клиентов.
Кроме того, киберпреступники воруют сведения об истории операций по карте. Любопытно, что в ряде случаев злоумышленникам даже не требуется специальное оборудование для скрытного считывания бесконтактных карт -- его заменяет смартфон с поддержкой NFC и специальным программным обеспечением.
Источник:
Известия
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 15-05-2016, 02:37:21
главное что антивирусы знаю об этом вирусе. можно жить спокойно.

а вообще, пора заводить в обязательном порядке второй номер, специально для интернет банкингов. и никому и никогда его не сообщать. и использовать только в простеньких звонилках
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 15-05-2016, 03:40:30
дык у меня так оно и есть ))
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 15-05-2016, 11:39:50
а на каком мобильном номере у тебя всё это привязано? )))
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 16-05-2016, 01:43:19
(http://www.capa.me/smiles/sm_lol.gif) погоди ,ща еще ключи под ковриком оставлю ))
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 16-05-2016, 16:40:47
да не!  ключи не нужны, просто не запирай! (http://www.capa.me/smiles/sm_lol.gif)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 16-05-2016, 20:17:32
(http://www.capa.me/smiles/sm_lol.gif)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 16-05-2016, 20:41:41
Вирусы Petya и Misha угрожают пользовательским данным


Вирусы являются неотъемлемой частью экосистемы операционных систем. В большинстве случаев речь идёт о Windows и Android, а если уж совсем не повезло -- об OS X и Linux. Причём если раньше массовые вирусы нацеливались разве что на похищение личных данных, а в большинстве случаев просто на порчу файлов, то сейчас «правят бал» шифровальщики.

И это неудивительно -- вычислительные мощности как ПК, так и смартфонов выросли лавинообразно, а значит аппаратные средства для подобных «шалостей» становятся всё мощнее.
Некоторое время назад специалистами был обнаружен вирус Petya. В G DATA SecurityLabs выяснили, что вирусу нужен административный доступ в систему, при этом он не шифрует файлы, а лишь блокирует доступ к ним. На сегодняшний день средства от Petya (Win32.Trojan-Ransom.Petya.A') уже существуют. Сам же вирус модифицирует загрузочную запись на системном накопителе и вызывает аварийное завершение работы компьютера, выдавая сообщение о повреждении данных на диске. На деле же это как раз шифрование.
За восстановление доступа разработчики зловреда требовали оплату.
(http://www.3dnews.ru/assets/external/illustrations/2016/05/14/932899/sm.ransom-note.750.png)
Однако на сегодняшний день вдобавок к вирусу Petya появился ещё более изощрённый -- Misha. Ему не нужны административные права, и он шифрует данные как классический Ransomware, создавая на диске или в папке с зашифрованными данными файлы YOUR_FILES_ARE_ENCRYPTED.HTML и YOUR_FILES_ARE_ENCRYPTED.TXT. В них содержится инструкция по получению ключа, цена которого составляет примерно 875 долларов.
http://www.youtube.com/v/QJkUwfa1Yvg
Важно отметить, что заражение происходит через электронную почту, на которую приходит exe-файл с вирусами, маскирующийся под pdf-документ. И здесь остаётся снова напомнить -- внимательно проверяйте письма с прикреплёнными файлами, а также старайтесь не скачивать документы из Интернета, поскольку сейчас вирус или вредоносный макрос можно встроить в doc-файл или веб-страницу.
Также отметим, что пока утилит для расшифровки «работы» вируса Misha не существует.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 17-05-2016, 10:47:26
Петя и Миша, кто ещё желает к ним присоединиться? )))
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 20-05-2016, 20:01:43
Новая версия зловреда Skimer атакует российские банкоматы

«Лаборатория Касперского» обнаружила новую модификацию вредоносной программы Skimer, инфицирующей банкоматы по всему миру, в том числе в России.
(http://www.3dnews.ru/assets/external/illustrations/2016/05/17/933047/bank1.jpg)
Бэкдор Skimer известен ещё с 2009 года. Этот зловред позволяет злоумышленникам красть деньги пользователей без применения переносных считывающих устройств -- так называемых скиммеров. Вредоносная программа даёт возможность получать напрямую из банковской машины всю информацию об используемых в ней банковских картах, включая номера счетов и PIN-коды, а также снимать наличные.
Чтобы получить данные карт пользователей, мошенники активируют бекдор, вставляя в картоприёмник специальную карту с «зашитым» в магнитную полосу определённым набором цифр. Skimer считывает этот код, в результате чего начинает действовать особое меню, через которое программа получает команды от злоумышленников.
(http://www.3dnews.ru/assets/external/illustrations/2016/05/17/933047/bank2.jpg)
Киберпреступники могут послать запрос на выдачу денежных средств (40 купюр из указанной кассеты), сбор данных вставляемых карт, распечатку накопленных сведений, обновление или самоудаление.
Сбор данных о картах происходит незаметно, без всяких активных действий со стороны бэкдора. Благодаря этому злоумышленники могут долгое время скрывать факт атаки. Чаще всего они накапливают огромное количество информации в памяти банкомата, а затем создают на её основе копии карт и снимают наличные в других, незаражённых машинах.
Новая версия зловреда стала более функциональной и опасной. География распространения Skimer, помимо России, затрагивает ОАЭ, Францию, США, Китай, Испанию, Германию, Грузию, Польшу, Бразилию и другие государства.
Источник:
Лаборатория Касперского
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 20-05-2016, 20:23:16
КРУПНЫЙ БОТНЕТ ПОДМЕНЯЕТ РЕЗУЛЬТАТЫ ПОИСКА GOOGLE И BING

Компания Bitdefender сообщает о крупном ботнете под названием Million-Machine. Название не врёт: образующих его машин действительно почти миллион. Ботнет перехватывает обращения к поисковикам и зарабатывает на рекламе.

Вредоносная программа, лежащая в основе этого ботнета, называется Redirector.Paco. Для её распространения злоумышленники используют заражённые версии таких популярных приложений, как WinRAR, YouTube Downloader, Connectify, KMSPico и Stardock Start8.

Попав на компьютер жертвы, она добавляет себя в список автозапуска в реестре под видом программ Adobe Flash Scheduler и Adobe Flash Update. Попутно Redirector.Paco меняет адрес прокси в настройках Internet Explorer. После этого все обращения к интернету проходят через локальный прокси на порте 9090.

Локальный прокси нужен трояну для того, чтобы перехватывать запросы, отправляемые жертвой на поисковые системы. Когда Redirector.Paco замечает, что пользователь направился на Google, Yahoo или Bing, он подменяет настоящую страницу поисковика очень похожей, но поддельной.
(https://xakep.ru/wp-content/uploads/2016/05/415134620_73dd4dde77_z-1000x618.jpg)
Поддельные результаты поиска, которые выдаёт программа, взяты из системы пользовательского поиска Google -- сервиса, который позволяет пользователям создавать специализированные поисковики. Создатели таких поисковиков могут менять их оформление и настройки. Кроме того, Google делится с ними доходом, которую приносит показанная на этих страницах реклама.

Именно в рекламных доходах и заключается смысл всей затеи. Эта вредоносная программа помогает злоумышленникам зарабатывать деньги на каждом рекламном объявлении Google, по которому кликают его жертвы.

По данным Bitdefender, Redirector.Paco действует с 2014 года и уже поразил более 900 тысяч компьютеров по всему миру. Большинство пострадавших располагается в Индии. Кроме того, немало жертв трояна в Малайзии, Греции, США, Италии, Пакистане, Бразилии и Алжире.

http://news.softpedia.com/news/million-machine-botnet-manipulates-search-results-for-popular-search-engines-504108.shtml (http://news.softpedia.com/news/million-machine-botnet-manipulates-search-results-for-popular-search-engines-504108.shtml)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 21-05-2016, 13:04:43
отличная идея! (http://www.capa.me/smiles/sm_clap.gif)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 31-05-2016, 21:51:18
Обнаружен новый вид саморазмножающегося вымогательского ПО

Вредонос шифрует 88 типов файлов и за их восстановление требует выкуп в размере 1,2 биткойна.
Специалисты компании Microsoft предупредили о появлении нового вида вымогательского ПО под названием ZCryptor, демонстрирующего поведение, напоминающее сетевого червя. Вредонос способен самостоятельно копировать себя на сетевые и съемные устройства, что делает его первым саморазмножающимся шифровальщиком.
Zcryptor распространяется привычным для подобных программ способом: посредством фальшивых установщиков (как правило, Adobe Flash Player) и спам-писем, содержащих документы Microsoft Office, макросы в которых инициируют загрузку вредоносного ПО. После того как жертва запустит такой инсталлятор или откроет файл, компьютер будет инфицирован.
По данным исследователей компании TrendMicro, шифровальщик работает на 64-разрядной версии Windows XP, а также всех версиях Windows 7 и 8. Оказавшись на системе, Zcryptor самостоятельно добавляет себя в реестр и начинает шифрование файлов, меняя их расширение на .zcrypt. Вредонос шифрует 88 типов файлов и за их восстановление требует выкуп в размере 1,2 биткойна ($500). Если в течение четырех дней жертва не выплатит деньги, сумма увеличивается до 5 биткойнов (порядка $2,2 тыс.).

(http://www.securitylab.ru/upload/007/zcryptor.png)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 31-05-2016, 21:51:49
Вот уроды ...,сами и написали вирусняк
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 01-06-2016, 20:57:51
Приложение Facebook постоянно прослушивает разговоры пользователей смартфонов

Мобильное приложение Facebook постоянно следит за разговорами и затем на основе услышанного предлагает релевантную подборку в ленте пользователя, утверждает профессор университета Южной Флориды Келли Бернс. По ее данным, приложение соцсети может иметь неограниченный доступ к микрофону мобильного устройства и распознавать ключевые слова, произнесенные вблизи девайса. После этого приложение редактирует алгоритм подачи новостей в ленту и предлагает вам соответствующую рекламу, рассказывает обозреватель флоридского канала WFLA Мелани Майкл:

Мелани Майкл обозреватель канала WFLA

«Скорее всего, вы даже не знаете, что Facebook имеет доступ к вашему микрофону. Вот я не знала. И если эта функция включена, приложение слушает все, что происходит вокруг. В настройках сайта открыто говорится: «Мы можем использовать ваш микрофон, чтобы идентифицировать, какую музыку вы слушаете или какие телешоу смотрите». Но нам удалось продемонстрировать, что Facebook фиксирует все ключевые слова и добавляет соответствующие посты в вашу ленту. Включив телефон, мы произнесли такую фразу: «Ах, как мне хотелось бы поехать на сафари и покататься на этих джипах». Буквально через минуту первый пост в ленте -- фотографии знакомого с его поездки в Африку. А в правой колонке появилась реклама автомобиля. Если вам не нравится, что вас подслушивают, вы можете отключить доступ Facebook к микрофону в настройках приватности». Из крупных изданий на заметку обратила внимание только The Independent. В газете приводится комментарий профессора Келли Бернс, в котором она допускает, что появление сафари и автомобилей в ленте может быть случайным совпадением или следствием предыдущих поисковых запросов.

Дмитрий Гориловский
руководитель IT-компании WoodenShark
«Единственное, что я могу предположить, может быть, Facebook действительно что-то внедрил, но именно ваши разговоры по мессенджеру Facebook ничем не отличаются от того же Gmail: если вы переписываетесь в Gmail, Google вам предлагает контекстную рекламу. Просто с точки зрения энергопотребления и так далее я в этом сильно сомневаюсь. Единственное, что сейчас появилось, это распознавание голоса, когда вы говорите кодовое слово «Окей, Google». С точки зрения ресурсов телефона, батарейки, его распознать куда легче, чем просто слушать все подряд. Такое скрыть невозможно, потому что десятки тысяч хакеров следят за тем, что телефон отсылает в Интернет, так что это бы всплыло намного раньше. Телефонный разговор записывать он не может, потому что такая опция есть не во всех телефонах, а в iPhone ее нет вообще: когда вы набираете номер, ни одно приложение записать ваш голос не может».

Пресс-служба Facebook опровергла информацию об использовании микрофона для фиксации ключевых слов. Но у соцсети есть схожая функция: пользователи при написании нового поста могут разрешить приложению в автоматическом режиме определить музыку или сериал,
которые звучат в данный момент в комнате. Опция на сегодняшний день доступна только на территории США. Facebook настаивает на том, что микрофон включается только при написании постов и только с позволения пользователя.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 01-06-2016, 21:01:55
Хакеры продают 0day к Windows за $90 000


Пользователь форумах exploit.in предлагает всем желающим приобрести эксплоит с технической поддержкой.
Сегодня Брайан Кребс опубликовал любопытную статью в своем блоге относительно стоимости эскплоитов на черном рынке. Эксплоит к ранее неизвестной уязвимости в Microsoft Windows можно приобрести за $90 000 на русском форуме exploit.in.
Согласно описанию уязвимости речь идет о локальном повышении привилегий в драйвере win32k.sys. На двух демонстрационных видео показано, что эксплоит работает на полностью обновленной Microsoft Windows с включенным EMET.
http://www.youtube.com/v/c-LAjCActx0
Продает уязвимость исследователь под ником BuggiCorp. По его словам, эксплоит работает на всех версиях ОС Windows, начиная с Windows 2000 и до Windows 10. Объявление было размещено на сайте 11 мая этого года, сразу после выхода месячных исправлений безопасности.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 02-06-2016, 14:17:36
Ого. солидно.  молодцы ребята, не зря свой хлеб едят. (http://www.capa.me/smiles/sm_clap.gif)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 02-06-2016, 22:00:37
Цитата: soner30 от 31-05-2016, 21:51:49
Вот уроды ...,сами и написали вирусняк

у меня тоже подозрения что большинство вирусов, во всяком случае тех, что сильно распиарены - это дело рук сами знаете кого )
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 05-06-2016, 17:37:09
Опаснейший банковский вирус Bolik атакует российских Windows-пользователей

«Доктор Веб» предупреждает о появлении очень опасного полиморфного файлового вируса, способного красть деньги со счетов клиентов российских банков, похищать конфиденциальную информацию и различными способами шпионить за своей жертвой. Вредоносная программа получила название Bolik.
(http://www.3dnews.ru/assets/external/illustrations/2016/06/03/934108/virus1.jpg)
Зловред наследует некоторые технические решения широко известных банковских троянов Zeus (Trojan.PWS.Panda) и Carberp, но в отличие от них умеет распространяться без участия пользователя и заражать исполняемые файлы. Функция самораспространения активируется по команде злоумышленников, после чего Bolik начинает опрашивать доступные для записи папки в сетевом окружении Windows и на подключенных USB-устройствах, ищет хранящиеся там исполняемые файлы и заражает их. При этом вирус может инфицировать как 32-х, так и 64-разрядные приложения.
Если пользователь запустит инфицированное приложение, вирус расшифрует банковского трояна и запустит его прямо в памяти атакуемого компьютера, без сохранения на диск. При этом зловред имеет специальные механизмы, затрудняющие работу антивирусов: программа, в частности, может «на лету» изменять код и структуру собственной части, а в её архитектуре предусмотрены своеобразные «замедлители», состоящие из множества циклов и повторяющихся инструкций.
(http://www.3dnews.ru/assets/external/illustrations/2016/06/03/934108/virus2.jpg)
Основное назначение Bolik -- кража различной ценной информации у клиентов российских банков. Для этого применяются разнообразные инструменты. Например, вирус может контролировать данные, передаваемые и отправляемые браузерами Internet Explorer, Chrome, Opera и Firefox. Благодаря этому троян способен похищать информацию, которую пользователь вводит в экранные формы.
Кроме того, в шпионский арсенал банкера входит модуль для создания снимков экрана (скриншотов) и фиксации нажатий пользователем клавиш (кейлоггер). Bolik умеет создавать на заражённой машине собственный прокси-сервер и веб-сервер, позволяющий обмениваться файлами со злоумышленниками. Вирус способен организовывать так называемые «реверсные соединения»: с их помощью киберпреступники получают возможность «общаться» с заражённым компьютером, находящимся в защищённой брандмауэром сети или не имеющим внешнего IP-адреса, то есть работающим в сети с использованием NAT (Network Address Translation). Вся информация, которой Bolik обменивается с управляющим сервером, шифруется по сложному алгоритму и сжимается.
Источник:
Dr.Web


Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 09-06-2016, 20:36:42
Троян Triada научился перехватывать и подменять URL в браузерах
(http://www.it-news.club/wp-content/uploads/2015/04/malware.jpg)
В марте 2016 года специалисты «Лаборатории Касперского» рассказали о мобильном трояне Triada, который атакует Android-устройства. Тогда эксперты писали, что этот вредонос является одним из самых технически сложных образцов малвари, что им доводилось видеть. Теперь исследователи «Лаборатории Касперского» сообщают, что Triada обзавелся опасным модулем и демонстрирует новую технику атак, перехватывая и подменяя ссылки в мобильных браузерах.
(https://xakep.ru/wp-content/uploads/2016/06/android-1000x563.jpg)
Напомню, что Triada -- это первый троян, который на практике научился осуществлять успешные атаки на процесс Zygote; ранее подобные техники рассматривались исключительно с теоретической точки зрения и в виде proof-of-concept. Родительский процесс Zygote содержит системные библиотеки и фреймворки, используемые практически всеми приложениями, и является своего рода шаблоном. После удачного осуществления атаки, троян становится частью этого шаблона, что дает ему возможность проникнуть во все приложения, установленные на зараженном устройстве, а затем изменить логику их работы.

Также Triada использует модульную структуру. То есть основной загрузчик устанавливает на устройство жертвы различные модули малвари, обладающие теми функциями, которые на данный момент нужны злоумышленникам.

6 июня 2016 года исследователи «Лаборатории Касперского» представили подробный разбор одного из модулей Triada, который был обнаружен еще в марте текущего года, вскоре после обнаружения самого трояна. Модуль Backdoor.AndroidOS.Triada.p/o/q атакует процессы четырех популярных браузеров для Android:

android.browser (стандартный Android-браузер);
com.qihoo.browser (защищенный 360 Browser);
ijinshan.browser_fast (браузер Cheetah);
oupeng.browser (браузер Oupeng).
Модуль осуществляет внедрение вредоносных DLL (Triada.q, который затем скачивает Triada.o) в перечисленные процессы. Эти DLL среагируют сразу, как только браузер получит и соберется обработать новую ссылку. Вредоносный компонент трояна передаст данные о ссылке на управляющий сервер злоумышленников, где ссылка пройдет проверку. В случае необходимости, URL может быть подменен на другой, то есть жертву перенаправят на сайт злоумышленников.

(https://xakep.ru/wp-content/uploads/2016/06/triada.png)

Исследователи пишут, что в основном злоумышленники использовали данную схему атак для доставки рекламы, в большинстве случаев просто изменяя домашнюю страницу браузера жертвы или поиск по умолчанию. По сути, модуль применялся как обычное adware-решение, несмотря на весь его вредоносный потенциал. Более того, авторы Triada, похоже, вообще забросили данную разработку и не используют этот компонент малвари уже некоторое время.

В заключение аналитики «Лаборатории Касперского» отмечают, что создатели малвари для Android весьма ленивы. Хотя в последнее время злоумышленники стали уделять больше внимания структуре ОС и пополнили свой арсенал новыми, более сложными векторами атак, чаще атакующие все же идут по пути наименьшего сопротивления. К примеру, им проще похищать деньги у жертв напрямую, посредством отправки сообщений на платные номера или подделывая окна банковских приложений.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 10-06-2016, 14:04:17
новый вирус от известной антивирусной лаборатории? )
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 10-06-2016, 20:48:31
«Бестелесный» троян Kovter скрывается в реестре Windows

«Доктор Веб» предупреждает о распространении вредоносной программы Kovter (Trojan.Kovter.297), особенность которой заключается в «бестелесной» архитектуре.
(http://www.3dnews.ru/assets/external/illustrations/2016/06/10/934471/kov1.jpg)
Троян работает в оперативной памяти инфицированного компьютера, не сохраняя собственную копию на диске в виде отдельного файла, что в определённой степени затрудняет его поиск и удаление. Зловред прячется в реестре Windows, где создаёт несколько записей: одна содержит само тело трояна в зашифрованном виде, вторая -- скрипт для его расшифровки и загрузки в память компьютера. Имена этих записей включают специальные нечитаемые символы, поэтому стандартная программа regedit не может их показать.
(http://www.3dnews.ru/assets/external/illustrations/2016/06/10/934471/kov2.jpg)
Kovter относится к рекламным троянам. Он незаметно для пользователя запускает в фоновом режиме несколько экземпляров браузера Microsoft Internet Explorer, «посещает» с их помощью указанные злоумышленниками сайты и накручивает количество просмотров рекламы, «нажимая» на рекламные ссылки и баннеры. Таким образом, киберпреступники получают прибыль от организаторов партнёрских программ и рекламодателей, размещающих рекламу с оплатой за нажатия и переходы.
Для распространения Kovter служит другая вредоносная программа -- троян MulDrop6. Он содержит множество случайных строк и вызовов функций, чтобы усложнить его анализ, а основная вредоносная библиотека замаскирована под картинку. Этот зловред умеет показывать на экране компьютера произвольные сообщения и отключать функцию контроля учётных записей пользователя Windows (User Accounts Control, UAC). Кроме того, вредоносная программа может копировать себя в корневые папки всех подключенных к заражённой машине дисков, создавая там файл автозапуска autorun.inf, то есть, распространяться подобно червю.
Источник:
drweb.com
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 11-06-2016, 14:30:41
вот тут я апплодирую. мало того что этот вирус в общем-то и не вирус, так ещё и сидит там, где его никто и никогда искать не будет (http://www.capa.me/smiles/sm_clap.gif)
да и зарабатывают парни почти легально )
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 15-06-2016, 21:58:55
Зловред Crysis шифрует файлы на всех доступных накопителях

Spoiler: показать
Компания ESET предупреждает о росте активности вредоносной программы Crysis, угрожающей пользователям компьютеров под управлением операционных систем Windows.

Зловред шифрует все типы файлов. Причём кодирование осуществляется не только на внутренних накопителях, но и на съёмных и сетевых устройствах хранения данных. Crysis использует сложные алгоритмы шифрования, что затрудняет восстановление информации.
Компания ESET идентифицировала две схемы заражения шифратором. Чаще всего Crysis распространяется в приложении к спам-письмам -- исполняемый файл скрывается при помощи двойного расширения. Вторая схема заключается в маскировке под безвредные установщики легитимных приложений в Интернете.

После заражения Crysis создаёт запись в реестре и шифрует все файлы, за исключением системных. Далее зловред отправляет на сервер злоумышленников идентификационные данные компьютера и число зашифрованных файлов.
Когда вредоносные действия завершены, на рабочий стол загружается текстовый файл How to decrypt your files.txt («Как расшифровать ваши файлы») с требованием выкупа. Некоторые версии Crysis устанавливают в качестве обоев рабочего стола файл DECRYPT.jpg с тем же содержанием. Сумма выкупа составляет от 400 до 900 евро, оплата -- в биткоинах.
Источник:
esetnod32.ru
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 15-06-2016, 22:00:03
ЖДЕМ ПАТЧ ДЛЯ УЖЕ АТАКУЕМОЙ УЯЗВИМОСТИ ВО FLASH

Spoiler: показать
Adobe обещает до конца недели выпустить патч для уязвимости во Flash Player, которая уже используется «в ограниченном объеме в целевых атаках». Брешь CVE-2016-4171 присутствует во всех версиях Flash вплоть до 21.0.0.242 включительно, установленных на платформах Windows, Macintosh, Linux и Chrome OS. «Успешная эксплуатация может повлечь крэш и потенциально позволяет атакующему установить контроль над уязвимой системой». О наличии атакуемой уязвимости во Flash разработчику доложил исследователь из «Лаборатории Касперского» Антон Иванов. Соответствующая заплатка появится, скорее всего, в четверг, хотя все ожидали, что Flash Player будет пропатчен в установленном порядке в минувший вторник. В итоге плановые обновления получили другие продукты, в том числе DNG Software Development Kit, Adobe Brackets, Adobe Creative Cloud Desktop Application и ColdFusion. Самый высокий приоритет был присвоен «горячим» заплаткам для ColdFusion; они предназначены для ColdFusion (выпуска 2016) Update 1, ColdFusion 11 Update 8 и ниже, а также для ColdFusion 10 Update 19 и ниже. Все они устраняют уязвимость CVE-2016-4159, связанную с проверкой входных данных; согласно Adobe, эту брешь потенциально можно использовать для проведения отраженных XSS-атак. Ныне закрываемая уязвимость в комплекте разработчика, обеспечивающем поддержку архивного формата DNG, представляет собой баг порчи памяти и затрагивает версии 1.4 и ниже этого SDK. В Adobe Brackets, редакторе с открытым исходным кодом, устранены две бреши, пока не эксплуатируемые itw. Одна из них открывает возможность для внедрения JavaScript и может быть использована в XSS-атаках, другая позволяет подать на вход менеджера расширений вредоносные данные. Этим уязвимостям подвержены Adobe Brackets версий 1.6 и ниже, работающие на Windows, Macintosh и Linux; пользователям продукта рекомендуется обновить его до версии 1.7. В пакете Adobe Creative Cloud для настольных ПК Windows, включающем такие приложения, как Photoshop, Illustrator, InDesign и Premiere Pro, закрыты две уязвимости, актуальные для версий 3.6.0.248 и ниже. Одна из этих брешей, ненадежный поиск пути каталога, обнаружена в инсталляторе, вторая связана с некорректным перечислением путей к службам (путь не заключается в кавычки, как положено, что позволяет внедрить вредоносный файл, который будет исполнен с привилегиями запущенной службы, обычно уровня SYSTEM).


Теневой рынок взломанных серверов

Spoiler: показать
«Лаборатория Касперского» при помощи европейского интернет-провайдера обнаружила крупную международную веб-площадку, на которой злоумышленники продают доступ к серверам коммерческих и государственных организаций. Минимальная цена одного сервера составляет всего 6 долларов США. На сегодняшний день этот ресурс, известный под именем xDedic, готов предложить покупателям свыше 70 тысяч взломанных серверов, многие из которых открывают доступ к популярным сайтам и веб-сервисам. Значительная доля взломанных серверов находится в России. Впрочем, и за торговой площадкой предположительно стоит русскоязычная группировка.

Существование xDedic свидетельствует о том, что киберпреступность выходит на новый уровень. Наличие четко организованной и хорошо поддерживаемой площадки такого рода позволяет любому - от начинающего хакера до профессионального кибершпиона - получить быстрый, легкий и дешевый доступ к легитимной инфраструктуре, благодаря чему вредоносная деятельность останется незамеченной максимально долго.
(http://www.kaspersky.ru/images/xDedic_RU25-318172.png)


Как выяснили эксперты «Лаборатории Касперского», данные на xDedic попадают в результате взлома серверов, как правило, при помощи прямых атак (брутфорса). Однако прежде чем выставить их на продажу, операторы площадки проверяют конфигурацию протоколов, память, программное обеспечение, историю браузера и другие детали - иными словами, все те особенности, которые будут интересовать покупателей. В итоге сегодня на xDedic можно найти серверы, принадлежащие государственным, коммерческим и образовательным организациям; серверы, на которых могут храниться данные для доступа к ресурсам азартных и онлайн-игр, интернет-магазинам, банковским и платежным системам, веб-сервисам сотовых сетей и интернет-провайдеров. Помимо этого, на xDedic продаются серверы с предустановленным ПО, облегчающим выполнение атак, например, с прямым доступом к почте, финансовым и POS-программам.

Законные владельцы серверов при этом зачастую даже не подозревают, что их IT-инфраструктура скомпрометирована и используется в киберпреступных операциях. Более того, по окончании вредоносной кампании задействованные в ней серверы вновь могут быть выставлены на продажу - и весь процесс начнется заново.

Площадка xDedic, по всей видимости, появилась в Сети в 2014 году, однако особой популярностью у злоумышленников она начала пользоваться в середине 2015-го. Сегодня на ней ведут торги более 400 продавцов, которые предлагают доступ к серверам из 173 стран. Помимо России, в числе наиболее пострадавших государств оказались также Бразилия, Китай, Индия, Испания, Италия, Франция, Австралия, ЮАР и Малайзия.

«Сайт xDedic - это очередное подтверждение того, что феномен «киберпреступление как услуга» набирает обороты. Существование коммерческих площадок и выстроенной вокруг них экосистемы позволяет любому желающему быстро развернуть эффективную вредоносную операцию при минимальных затратах. Конечными жертвами при этом становятся не только пользователи и организации, на которых направлены атаки, но также ничего не подозревающие владельцы серверов, которые в большинстве своем и не знают о вредоносных активностях, разворачивающихся у них под носом», - рассказывает Костин Райю, руководитель Глобального центра исследований и анализа угроз «Лаборатории Касперского».

Для того чтобы обезопасить свою IT-инфраструктуру, организациям следует установить надежное защитное ПО и придерживаться комплексного подхода к обеспечению информационной безопасности. Также «Лаборатория Касперского» рекомендует использовать устойчивые к взлому пароли для аутентификации сервера и настроить автоматическую установку обновлений программного обеспечения. Помимо этого, имеет смысл проводить регулярную проверку IT-инфраструктуры и рассмотреть возможность использования экспертных сервисов, которые помогут организации быть в курсе текущей ситуации с киберугрозами и адекватно оценивать степень риска.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 15-06-2016, 22:17:39
обойти двухфакторную аутентификацию

Киберпреступники нашли новый способ получения доступа к аккаунтам Google пользователей, которые включили двухфакторную авторизацию. Отправляя SMS с недостоверной информацией, они вынуждают пользователя передать им код, который отправляет сервис.
(https://lh6.googleusercontent.com/-LuhkMEyovlY/V1-qiCU64GI/AAAAAAAAZ7A/IW789PDL2Ik4aA2wRHARVimobyPITBIpwCL0B/w938-h802-no/%25D0%259A%25D1%2582%25D0%25BE-%25D1%2582%25D0%25BE%2B%25D0%25B7%25D0%25B0%25D0%25B2%25D0%25BB%25D0%25B0%25D0%25B4%25D0%25B5%25D0%25BB%2B%25D0%25B2%25D0%25B0%25D1%2588%25D0%25B8%25D0%25BC%2B%25D0%25BF%25D0%25B0%25D1%2580%25D0%25BE%25D0%25BB%25D0%25B5%25D0%25BC.jpg)


БЕЗ ВИРУСОВ И ВРЕДОНОСОВ Обычно злоумышленники применяют вредоносное программное обеспечение, которое устанавливается на мобильное устройство и перехватывает SMS. Однако пользователи, у которых включена двухфакторная аутентификация и Google, обычно более ответственно относятся к защите данных и используют антивирус или средства для блокировки подобного ПО. Схема, которую описывает сооснователь сервиса Clearbit.com Алекс Маккау, работает через обманные SMS.

Пользователи получают сообщение, якобы отправленное Google. В нем говорится, что в аккаунт пользователя пытались войти с определенного IP-адреса. Чтобы приостановить работу аккаунта и препятствовать дальнейшим попыткам взлома, нужно отправить шестизначный код из SMS, которое скоро придет.

ЧТО ПРОИСХОДИТ НА САМОМ ДЕЛЕ
Шестизначный код из SMS на самом деле является одноразовым кодом двухфакторной аутентификации. Он отправляется в ответ на попытку взлома аккаунта Google злоумышленниками, чтобы пользователь мог подтвердить, что это действительно он.
(http://s018.radikal.ru/i526/1606/65/0454a62e3bfe.jpg)

Аналогичные методы могут применяться и к банковским аккаунтам, а также другим сервисам. Бороться с этим просто: не отправляйте злоумышленникам код, а в любой непонятной ситуации связывайтесь со службой поддержки.


Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 17-06-2016, 13:54:19
ну это рассчитано совсем на дурачков.  идея не нова)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 18-06-2016, 19:12:53
(http://www.capa.me/smiles/sm_lol.gif) а их мало в инете?!
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 19-06-2016, 13:59:51
а их я бы вообще без предварительного обучения в сеть не пускал)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 22-06-2016, 22:15:53
Злоумышленники используют JavaScript для обхода антифишинговых фильтров

Фишинг является достаточно прибыльным бизнесом для злоумышленников. Обилие антивирусных решений и осведомленность пользователей заставляют фишеров изобретать новые техники социальной инженерии для осуществления своих замыслов. По прежнему, самым распространенным способом является спам-рассылка.
(http://s018.radikal.ru/i501/1606/52/d3e9d02b24e5.png)
Для обнаружения фишингового письма, обычно пользователям рекомендуется проверять, ведут ли ссылки в письме на корректный сайт. К сожалению, это иногда действенный, не самый надежный способ. Особенно, если его используют также и решения для борьбы с фишинг-атаками. Исследователь под ником dvk01uk опубликовал обнаруженное им необычное фишинговое письмо, рассчитанное на пользователей PayPal. Письмо содержало вложенный HTML файл с формой авторизации, ведущей на подлинный сайт PayPal, а также JavaScript сценарий, изменяющий поведение формы.
(http://s020.radikal.ru/i712/1606/83/fd909d844498.png)
Введенные в эту форму данные передаются на сервер злоумышленников, а сам пользователь перенаправляется впоследствии на настоящий сайт PayPal.
(http://s017.radikal.ru/i427/1606/08/a168162a365d.jpg)
Подобная техника, по словам исследователя, позволяет обойти популярные антифишинговые решения, такие как панели для браузера, антифишинговые фильтры и встроенные в антивирусы средства проверки фишинговых сайтов, полагающиеся на указанный адрес в HTML форме.

https://myonlinesecurity.co.uk/very-unusual-paypal-phishing-attack/ (https://myonlinesecurity.co.uk/very-unusual-paypal-phishing-attack/)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 22-06-2016, 22:21:58
Уязвимость в процессорах Intel позволяет считывать данные из оперативной памяти

Разработчик Дэмиен Заммит на ресурсе BoingBoing опубликовал информацию об уязвимости, которую содержат процессоры Intel. Проблема в системе безопасности позволяет считывать данные из оперативной памяти и передавать их через интернет, минуя любые файрволлы.
http://boingboing.net/2016/06/15/intel-x86-processors-ship-with.html (http://boingboing.net/2016/06/15/intel-x86-processors-ship-with.html)
ЗОНА РИСКА
Заммит подчеркнул, что уязвимость содержат многие компьютеры с процессорами Intel x86, правда, конкретные модели чипов не уточнил. В процессорах имеется микроконтроллер Intel Management Engine (Intel ME), расположенный отдельно от процессора и управляющий его функциями. Intel ME нужен для поддержки Intel Active Management Technology (AMT), которая позволяет администраторам управлять ПК дистанционно. Intel ME работает под управлением собственной микропрограммы и напрямую подключен к оперативной памяти. Его функционирование не прекращается даже тогда, когда система переходит в ждущий режим и лишь энергозависимая оперативная память находится под напряжением. При этом микроконтроллер может получить доступ к данным оперативной памяти в обход операционной системы. Кроме того, он включает собственный TCP/IP-сервер, с помощью которого может обмениваться пакетами с удаленным сервером через сетевой адаптер компьютера, минуя файрволл.
(http://s018.radikal.ru/i526/1606/34/53d489ea3623.jpg)
ЗАЩИТИТЬСЯ НЕЛЬЗЯ

Эксперт утверждает, что отключить контроллер невозможно, равно как и проверить его микропрограмму, которая, впрочем, защищена 2048-битным ключом шифрования RSA. Если в ней есть уязвимости, то устранить их нельзя. Разработчик добавляет, что ранние версии чипсетов с Intel ME хакерам удалось взломать. Система защиты Intel ME - «безопасность через неясность». Вредоносную активность нельзя обнаружить штатными средствами, так как микроконтроллер недоступен для операционной системы, но пока никто, кроме разработчиков, не знает, как устроен микроконтроллер. По словам Заммита, пользователям остается лишь надеяться на то, что Intel не будет эксплуатировать эту уязвимость и не передаст информацию злоумышленникам, а те, в свою очередь, не узнают о том, как она устроена.

Название: Re:Новые угрозы , кибер - преступления,вирусы l
Отправлено: CaPa от 23-06-2016, 13:33:51
вот и бэкдор нашёлся (а точнее один из... )
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 26-06-2016, 22:29:10
Российские компании атакует троян, написанный на языке 1С
http://news.drweb.com/show/?i=10034&lng=en (http://news.drweb.com/show/?i=10034&lng=en)
Spoiler: показать
Специалисты компании «Доктор Веб» обнаружили интересный образчик малвари. Троян 1C.Drop.1 нацелен не просто на российских пользователей, но на российские компании. Зловред заражает компьютеры с установленными бухгалтерскими приложениями 1С и запускает на устройствах криптовымогателя. При этом 1C.Drop.1 -- это первый попавший в вирусную лабораторию «Доктор Веб» троян, написанный на русском языке, то есть на встроенном языке программирования 1С.

1C.Drop.1 распространяется посредством электронной почты, среди зарегистрированных в базе контрагентов. Можно скать, что мошенники используют социальную инженерию, так как письма озаглавлены темой «У нас сменился БИК банка» и сопровождаются следующим текстом:

«Здравствуйте!

У нас сменился БИК банка.
Просим обновить свой классификатор банков.
Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8.
Файл -- Открыть обработку обновления классификаторов из вложения.
Нажать ДА. Классификатор обновится в автоматическом режиме.
При включенном интернете за 1-2 минуты».
К письму действительно прикреплен файл внешней обработки для программы «1С:Предприятие» с именем «ПроверкаАктуальностиКлассификатораБанков.epf». Тело этого модуля защищено паролем, поэтому просмотреть его исходный код стандартными средствами невозможно. Если получатель такого письма последует предложенным инструкциям и откроет этот файл в программе «1С:Предприятие», на экране отобразится такое диалоговое окно:
(https://xakep.ru/wp-content/uploads/2016/06/1c_4.png)
Какую бы кнопку после этого ни нажал пользователь, троян 1C.Drop.1 будет запущен, а в окне «1С:Предприятие» появится форма с изображением котиков:
(https://xakep.ru/wp-content/uploads/2016/06/1c_2.png)


Осуществив заражение, троян приступает к активным действиям. В первую очередь он ищет в базе 1С контрагентов, для которых заполнены поля с адресом электронной почты, и рассылает по этим адресам письмо с собственной копией. Вместо адреса отправителя малварь использует email, указанный в учетной записи пользователя 1С, а если таковой отсутствует, вместо него подставляется адрес 1cport@mail.ru.

В качестве вложения троянец прикрепляет к письму файл с именем «ОбновитьБИКБанка.epf», который и содержит копию малвари. Пользователи, попытавшиеся открыть такой файл в приложении 1С, также пострадают от запустившегося на их компьютере шифровальщика, однако эта копия 1C.Drop.1 разошлет по адресам контрагентов поврежденный EPF-файл, который программа «1С:Предприятие» уже не сможет открыть. Специалисты пишут, что 1C.Drop.1 поддерживает работу с базами следующих конфигураций 1С:

«Управление торговлей, редакция 11.1»
«Управление торговлей (базовая), редакция 11.1»
«Управление торговлей, редакция 11.2»
«Управление торговлей (базовая), редакция 11.2»
«Бухгалтерия предприятия, редакция 3.0»
«Бухгалтерия предприятия (базовая), редакция 3.0»
«1С:Комплексная автоматизация 2.0»
Завершив вышеперечисленные операции, троян наконец запускает на зараженной машине шифровальщика Trojan.Encoder.567, а затем требует у жертвы выкуп.
http://vms.drweb.ru/search/?q=Trojan.Encoder.567 (http://vms.drweb.ru/search/?q=Trojan.Encoder.567)
Исследователи «Доктор Веб» пишут, что вредоносные файлы для 1С, которые способны модифицировать или заражать другие файлы внешней обработки, известны еще с 2005 года, но полноценный троян-дроппер, скрывающий в себе шифровальщика, встретился им впервые.


ЗАМЕНА FLASH НА HTML5 НЕ ПОМОЖЕТ СДЕЛАТЬ РЕКЛАМУ БЕЗОПАСНЕЕ

Spoiler: показать
Специалисты компании GeoEdge представили исследование, которое доказывает, что Flash ошибочно называют корнем всех бед и основной проблемой, приводящей к распространению вредоносной рекламы. Исследователи утверждают, что переход на HTML5 ничего не изменит, так как уязвимы сами рекламные платформы и стандарты.

Flash заслуженно считается одним из самых взламываемых образчиков софта. Так, только в 2014 и 2015 годах во Flash было обнаружено 457 уязвимостей. Неудивительно, что злоумышленники тоже предпочитают использовать для своих кампаний именно Flash, а производители ПО все чаще отказываются работать с технологией. К примеру, браузер Microsoft Edge в Windows 10 автоматически запрещает выполнение Flash-контента на сайтах, если он не является основным элементом страницы (к примеру, игрой). В мае 2016 года разработчики Chrome также сообщили, что до конца года откажутся от Flash в пользу HTML5.

По данным компании GeoEdge, все эти меры не помогут бороться с вредоносной видеорекламой. Ведь дело совсем не в том, сколько уязвимостей насчитывается во Flash и HTML5, дело в самих рекламных платформах. Корень проблемы вредоносной рекламы кроется в стандартах VAST и VPAID, разработанных еще в 2012 году. Именно они определяют «правила игры», когда речь заходит о видеорекламе. Взаимодействовать в рекламными баннерами и объявлениями пользователю позволяют как Flash, так и HTML5.

«Так как данные стандарты позволяют рекламодателям получать данные о пользователях, они также позволяют встроить в рекламу сторонний код. А если сторонний код разрешен, дверь для злоумышленников открыта, можно заниматься размещением вредоносного кода», -- пишут исследователи.
Аналитики подчеркивают, что JavaScript - это базовый язык для HTML5, а значит, внедрение в такую рекламу вредоносного кода не доставит мошенникам никаких проблем. По сути, проблемой здесь выступает именно JavaScript, так как он позволяет рекламодателям добавлять сторонний JavaScript-код в баннеры, используя значение AdParameter. Его с легкостью можно использовать для распространения вредоносных решений, вместо отслеживания пользователя или каких-либо рекламных инструкций. И совершенно неважно, создана реклама с использованием Flash или HTML5.
(https://xakep.ru/wp-content/uploads/2016/06/malversting.png)


Разговоры о том, что HTML5 лучше Flash ведутся давно. Но так ли это на самом деле? Flash определенно предлагает лучшее качество изображения и рендеринга, тогда как реклама HTML5 обычно поставляется в большем размере. Для работы Flash нужен плагин, а HTML5 вообще не работает со старыми браузерами. Рекламу, созданную с использованием Flash, легче оптимизировать, но с HTML5 проще работать и адаптировать рекламу для мобильных устройств. Если говорить о безопасности, HTML5 безусловно выигрывает у Flash, однако, как уже было сказано выше, в случае с рекламой - дело не в этом.

«У Flash-рекламы есть ряд преимуществ, хотя с точки зрения безопасности HTML5 - это более надежный вариант. Тем не менее, основной корень проблемы вредоносной видеорекламы, к сожалению, более фундаментален», -- заключают исследователи.
Хотя исследование GeoEdge сконцентрировано вокруг видеорекламы, многие тезисы их отчета можно отнести и к статичным объявлениям. Ключ проблемы в том, что многие рекламные сети разрешают рекламодателям использовать кастомный JavaScript-код. Будь то изображение, Flash-объект или что-то иное, проблема кроется не в самих объявлениях и технологиях, но в лежащих под ними стандартах.


ФБР засекретило эксплоит для браузера Tor

Spoiler: показать
ФБР не желает раскрывать подробности уязвимости, позволяющей определить IP-адрес пользователя в сети.
Эксплоит для браузера Tor, а также техника эксплуатации уязвимостей и некоторые участки кода, применяемого для идентификации пользователя внутри Tor-сети получили гриф секретности. Ответ об отказе предоставления доступа к эксплоиту был направлен прокурором штата Вирджиния адвокату подозреваемого в посещении сайтов с детской порнографией Playpen. Об этом сообщает издание Motherboard.
(http://www.it-news.club/wp-content/uploads/2015/11/Tor.jpg)

Ранее свое желание получить доступ к эксплоиту высказывала компания Mozilla, разработчик браузера Tor Browser. Однако все попытки узнать подробности уязвимости провалились.
ФБР мотивирует нежелание раскрывать подробности уязвимости интересами национальной безопасности. Прошение о присвоении грифа секретности коду было направлено на утверждение в соответствующий департамент ФБР и ожидает в настоящий момент формальной подписи.
В феврале 2015 года ФБР получило контроль над сайтом с детской порнографией Playpen и использовало эксплоит к браузеру Tor для определения настоящих IP-адресов пользователей подпольного интернета. После этого был проведен ряд арестов и пользователям ресурсы были предъявлены обвинения в педофилии

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 30-06-2016, 02:25:05
Новый троян угрожает бухгалтериям российских компаний

«Доктор Веб» предупреждает о распространении вредоносной программы Trojan.MulDrop6.44482, предназначенной для внедрения на компьютер жертвы других зловредов, в том числе опасного шпиона, угрожающего бухгалтериям отечественных компаний.
(http://www.3dnews.ru/assets/external/illustrations/2016/06/27/935267/tr1.jpg)
Троян распространяется в виде приложения-установщика, которое при запуске проверяет наличие на инфицируемом компьютере антивирусов Dr.Web, Avast, ESET или Kaspersky: если таковые обнаруживаются, программа завершает свою работу. Троян также прекращает работу, если локализация Windows отличается от русскоязычной.
При помощи Trojan.MulDrop6.44482 злоумышленники распространяют вредоносные программы Trojan.Inject2.24412 и Trojan.PWS.Spy.19338. Первая предназначена для встраивания в запускаемые на зараженном компьютере процессы вредоносных библиотек.
Зловред Trojan.PWS.Spy.19338, в свою очередь, способен передавать киберпреступникам набираемый пользователем текст в окнах различных приложений, в том числе бухгалтерских. Троян, в частности, отслеживает активность пользователя в таких приложениях, как 1С версии 8, 1С версии 7 и 7.7, СБиС++, Skype, а также редакторах Microsoft Office.
(http://www.3dnews.ru/assets/external/illustrations/2016/06/27/935267/tr2.jpg)
Шпион запускается непосредственно в памяти атакуемого компьютера без сохранения на диск в расшифрованном виде, при этом на диске хранится его зашифрованная копия. Фиксирующий нажатия клавиш модуль-кейлоггер может передавать злоумышленникам данные из буфера обмена инфицированного компьютера. Троян также может запускать на заражённом ПК получаемые с управляющего сервера программы как с промежуточным сохранением их на диск, так и без него. Зловред состоит из нескольких модулей, каждый из которых выполняет собственный набор функций.
Вся информация, которой троян обменивается с управляющим сервером, шифруется в два этапа -- сначала с использованием алгоритма RC4, затем -- XOR. Записи о нажатиях клавиш зловред сохраняет на диске в специальном файле и с интервалом в минуту передаёт его содержимое на управляющий сервер.

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 03-07-2016, 13:30:44
Фишеры атакуют пользователей Facebook

Spoiler: показать
«Лаборатория Касперского» зафиксировала массированную фишинговую атаку на пользователей Facebook: в результате действий злоумышленников пострадали тысячи подписчиков социальной сети по всему миру.
(http://www.3dnews.ru/assets/external/illustrations/2016/07/01/935546/fb2.jpg)
Организаторы атаки отправляли потенциальным жертвам сообщения под видом уведомления Facebook о том, что они были отмечены в комментариях их друзей. При нажатии на такое «уведомление» происходит активация первой стадии атаки: на компьютер загружается троян, который устанавливает вредоносное расширение для браузера Google Chrome.
Войдя вновь в свой аккаунт на Facebook через уже зараженный браузер, пользователи активируют вторую фазу атаки, в результате которой злоумышленники получают доступ ко всем персональным данным, связанным с учётной записью жертвы. Киберпреступники используют полученную информацию для изменения настроек конфиденциальности аккаунта, распространения вредоносного ПО среди друзей пользователя, рассылки спама и генерации ложных «лайков» и «шеров».
(http://www.3dnews.ru/assets/external/illustrations/2016/07/01/935546/fb1.jpg)
Основной удар приняли на себя пользователи компьютеров на базе Windows, и эксперты не исключают, что владельцы телефонов на мобильной версии этой ОС также оказались в зоне риска. А вот пользователи устройств на платформах Android и iOS, по всей видимости, были не интересны злоумышленникам -- применявшийся в атаках зловред использовал библиотеки, несовместимые с этими операционными системами.
Сильнее всего пострадали пользователи соцсети из стран Латинской Америки, Европы, а также Туниса и Израиля. Россия в этом списке заняла 17 место.
Источник:
Лаборатория Касперского



Опасный зловред Satana шифрует файлы и главную загрузочную запись

Исследователи по вопросам компьютерной безопасности из компании Malwarebytes обнаружили опасную вредоносную программу под названием Satana, которая шифрует данные на компьютере жертвы с целью получения выкупа.
(http://www.3dnews.ru/assets/external/illustrations/2016/07/02/935572/satana1.jpg)
Проникнув на ПК, Satana кодирует доступные файлы с определёнными расширениями, в частности, .bak, .doc, .jpg, .txt, .db, .xls, .pdf, .mdb, .mdf, .rar, .zip, .7z и многие другие. Затем зловред ожидает перезагрузки компьютера и в этот момент шифрует главную загрузочную запись (Master Boot Record, MBR), заменяя её собственным кодом.
MBR содержит данные, необходимые для последующей загрузки операционной системы. В частности, эта запись определяет, с какого именно раздела накопителя следует производить загрузку ОС. Поэтому в результате действий Satana компьютер попросту перестаёт загружаться.
(http://www.3dnews.ru/assets/external/illustrations/2016/07/02/935572/satana2.jpg)
Вместо этого пользователь видит сообщение с предложением заплатить выкуп в размере 0,5 биткоина, что составляет приблизительно 340 долларов США. Получив деньги, злоумышленники обещают восстановить работоспособность системы.
Эксперты говорят, что способа восстановления доступа к данным, закодированным программой Satana, в обход требований киберпреступников, увы, пока нет. К счастью, на данный момент зловред не получил существенного распространения, поскольку всё ещё находится на стадии разработки. Однако в будущем на базе этой программы могут появиться крайне сложные и опасные шифраторы.

https://blog.malwarebytes.com/threat-analysis/2016/06/satana-ransomware/ (https://blog.malwarebytes.com/threat-analysis/2016/06/satana-ransomware/)

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 04-07-2016, 15:14:26
ЗЛОУМЫШЛЕННИКИ ОБМАНЫВАЛИ ЖЕРТВ ПРИ ПОМОЩИ СЕРВИСА GOOGLE И DATA URI

Сайт My Online Security сообщил об изобретательной фишинговой кампании против пользователей браузера Chrome. Она комбинировала укорачиватель ссылок goo.gl и скрытый в URL скрипт, чтобы получить поддельную страницу входа в учётную запись Google. Результат получался почти неотличимым от оригинала и мог обмануть даже внимательного пользователя.

Фишеры рассылали жертвам спам со ссылкой, пропущенный через принадлежащий Google укорачиватель goo.gl. Если нажать на неё, в браузере открывалась страница, предлагающая войти в учётную запись Google. Она выглядела в точности так же, как настоящая, и даже домен в адресной строке был совершенно верным -- accounts.google.com.

В действительности укороченная ссылка вела не на Google, а на принадлежащий злоумышленникам сайт nwfacilities.top. Жертва, впрочем, на нём не задерживалась. Фишинговая страница тут же перенаправляла браузер на адрес в домене accounts.google.com с прибавленной строчкой «data:text/html».

(https://myonlinesecurity.co.uk/wp-content/uploads/2016/06/google_phish_javascript.png)

«data:» -- это стандартная, хотя и не очень распространённая схема URI, которая позволяет включать данные для отображения прямо в адрес ресурса. Её понимают все популярные браузеры, кроме Internet Explorer, поддерживающего этот стандарт лишь частично.

После редиректа в браузере действительно открывалась страница с домена Google, но тут срабатывал включённый в URL скрипт злоумышленников. Он подменял содержимое гугловского HTML большим iframe, занимающим всё окно браузера. В iframe загружалась другая страница с nwfacilities.top, копирующая внешний вид формы для ввода логина и пароля, но отправляющая их не Google, а злоумышленникам.

Интересно, что в полной мере этот трюк срабатывает только в Google Chrome. Браузер Microsoft спотыкался на незнакомой схеме и уведомлял пользователя, что для просмотра такой страницы нужна другая программа. Это видимо, тот редкий случай, когда отсталость Internet Explorer оказывается полезна.

Когда My Online Security вывел фишеров на чистую воду, Google оперативно заблокировал укороченную ссылку. Правда, ничто не мешает злоумышленникам создать новую и продолжить сбор паролей. Поэтому лучше проявлять бдительность: теперь даже правильный URL не гарантирует, что всё в порядке.

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 07-07-2016, 17:41:14
Хакеры продолжают эксплуатировать исправленную 4 года назад уязвимость в Microsoft Office

Spoiler: показать
Стабильная эксплуатация одной и той же уязвимости столь продолжительное время - явление редкое.
Злоумышленники продолжают активно эксплуатировать уязвимость в Microsoft Office (CVE-2012-0158), исправленную еще в 2012 году. По словам исследователя Sophos Грэма Чантри (Graham Chantry), столь необычная «живучесть» устаревшей уязвимости, затрагивающей версии Office 2003, 2007 и 2010, объясняется ее присутствием в наборах эксплоитов и упорным нежеланием пользователей устанавливать обновления.
(http://www.it-news.club/wp-content/uploads/2015/06/Microsoft-uyazvimosti.jpg)
Как отметил исследователь, не только отдельные пользователи, но и серьезные компании отстают даже от пиратов, предлагающих на черном рынке нелицензионные копии новейшей версии Office. По его словам, тот факт, что злоумышленники предпочитают одни уязвимости другим, не является чем-то необычным. Однако стабильная эксплуатация одной и той же уязвимости столь продолжительное время встречается редко.
В настоящее время кампании, в ходе которых злоумышленники эксплуатируют данную уязвимость, не столь масштабные, но говорить об их прекращении пока еще рано. Наиболее резонансными операциями с использованием CVE-2012-0158 являются Red October, FakeM и Rotten Tomato. Как пояснил эксперт, хакеры нашли способ скрывать эксплоиты с помощью RTF-файлов и функций шифрования Word и Excel. 


МАЛВАРЬ АТАКУЕТ ПОЛЬЗОВАТЕЛЕЙ MACOS, ИСПОЛЬЗУЯ TOR

Spoiler: показать

(https://xakep.ru/wp-content/uploads/2016/07/cp-1000x736.png)
Аналитики компании Bitdefender обнаружили новую угрозу (PDF), направленную на пользователей macOS (бывшая OS X). Малварь Backdoor.MAC.Eleanor фактически добавляет в систему бекдор, размещая на компьютере жертвы домен .onion, так что для доступа к зараженной системе хакерам нужен только обычный браузер.
(https://xakep.ru/wp-content/uploads/2016/07/cp_main.png)

Вход в контрольную панель бекдора
Исследователи сообщают, что на данный момент Backdoor.MAC.Eleanor маскируется под приложение EasyDoc Converter -- конвертер файлов и распространяется через сторонние сайты ПО для Mac. На самом деле вместо конвертера пользователи получают вредоносный скрипт, который устанавливает и добавляет в автозагрузку три компонента: Tor hidden service, PHP Web service и клиент Pastebin.

Tor используется для установления автоматического соединения между зараженной машиной и «луковой» сетью, а также для создания домена в зоне .onion, который будет доступен для атакующих при помощи простого браузера.
(https://xakep.ru/wp-content/uploads/2016/07/tor.png)

Конфигурация Tor
PHP отвечает за контроль над зараженной машиной. Компонент осуществляет получение команд от злоумышленников и отвечает за интерпретацию этих команд для macOS.

Клиент Pastebin нужен для передачи данных о новой жертве злоумышленникам. Он загружает информацию о локальном домене .onion на Pastebin, предварительно зашифровав информацию публичным ключом RSA, с использованием алгоритма base64.
(https://xakep.ru/wp-content/uploads/2016/07/Pastebin.png)

Использование Pastebin
В итоге Backdoor.MAC.Eleanor позволяет злоумышленникам чувствовать себя в зараженной системе как дома. Фактически инфицированное устройство становится частью ботнета. Атакующие могут взаимодействовать с файловой системой, запускать реверс шеллы, выполнять root-команды, а также выполнять любые скрипты на PHP, PERL, Python, Ruby, Java или C.

Операторы ботнета могут заставить зараженную машину рассылать спам, участвовать в DDoS-атаках, могут похитить приватные данные или установить на устройство дополнительную малварь. Помимо прочего, атакующие способны перехватывать изображение и видео с веб-камеры жертвы. Вот так выглядит «галерея» в панели управления бекдором:
(https://xakep.ru/wp-content/uploads/2016/07/gallery-1040x742.png)






Новый троян заражает компьютеры только с русской Windows

Spoiler: показать
Специалисты «Яндекса» и Dr.Web открыли новую вирусную троянскую программу, которая выборочно поражает компьютерные устройствах. Следует учитывать, что вирусная программа запрограммирована таким образом, чтобы атаковать исключительно ПК российских пользователей.
Троян был создан с целью слежки за действиями россиян, а также атаки устройств другими вредоносными программами. Полное название программы звучит вирус Trojan.MulDrop6.44482.

Он функционирует следующим образом при попадании на компьютер, изучает страну, в котором он находится. В случае если на компьютере установлен не русскоязычный Windows, то вирус самоликвидируется.
Следует также учитывать тот факт, что пользователь самостоятельно заражает свой компьютер трояном, когда производит скачивания нужных для стандартных операций программ, или при открытии прикрепленных к электронным письмам файлов.

После распаковки Trojan.MulDrop6.44482 активирует действие таких вредоносных программ, как (Trojan.Inject2.24412, Trojan.PWS.Spy.19338), записывающие на свои носители все пароли, вводимые на зараженном компьютере, даже пароли в программах 1C, Skype, СБиС и Microsoft Office. Затем полученная незаконным путем информация попадает в руки злоумышленников.

Избежать подобных ситуаций возможно для этого следует постоянно обновлять базу вирусов на устройстве, а также время от времени сканировать жесткий диск для выявления вредоносного программного обеспечения. Скачивать и устанавливать необходимо лишь проверенные программы.









Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 07-07-2016, 17:43:18
RANSOMNOTECLEANER ЧИСТИТ КОМПЬЮТЕР ОТ МУСОРА, ОСТАВЛЕННОГО ТРОЯНАМИ-ВЫМОГАТЕЛЯМИ

(https://xakep.ru/wp-content/uploads/2016/07/Windows_10_Hero.jpg)

Специалист по информационной безопасности Майкл Гиллеспи выпустил несколько бесплатных утилит, вскрывающих шифрование троянов-вымогателей. Его новая разработка решает другую проблему, с которой сталкиваются жертвы вредоносных программ такого рода.

Как правило, трояны-вымогатели шифруют файлы пользователя, а затем удаляют оригиналы и требуют выкуп за расшифровку. Свои требования они предъявляют в самой разнообразной форме. Некоторые хранят инструкции для пользователя в текстовых файлах. Другие меняют обои рабочего стола на изображение с текстовым объяснением. Существует даже вредоносная программа, которая заявляет о себе вслух при помощи синтезированного голоса.

Утилиты для борьбы с троянами-вымогателями способны расшифровать файлы, над которыми поработали вредоносные программы, но вычищать оставленный ими мусор пользователю приходится самостоятельно. А это совсем не так просто, как кажется.

Многие трояны-вымогатели оставляют записки с требованиями выкупа в каждой папке с зашифрованными документами. Это значит, что если на компьютере, к примеру, 100 тысяч папок, то в каждой из них появится пара ненужных файлов. В этом случае для того, чтобы избавиться от следов трояна, пользователь должен вручную удалить 200 тысяч файлов.

Именно эту проблему и решает новая утилита Майкла Гиллеспи. Программа для Windows, получившая название RansomNoteCleaner, устраняет бесчисленные записки с требованиями выкупа, которыми трояны засыпают диски своих жертв.
https://download.bleepingcomputer.com/demonslay335/RansomNoteCleaner.zip (https://download.bleepingcomputer.com/demonslay335/RansomNoteCleaner.zip)
RansomNoteCleaner сканирует диск и определяет, какая вредоносная программа хозяйничала на компьютере. После этого пользователю остаётся нажать на кнопку с надписью «Clean!» («Очистить»), и утилита удалит все следы присутствия трояна.
(https://xakep.ru/wp-content/uploads/2016/07/ransomnotecleaner-removes-ransomware-junk-from-your-pc-505978-4.png)


Для идентификации вредоносной программы используется база данных ID Ransomware, содержащая образцы записок с требованиями выкупа, которые оставляют трояны-вымогатели. RansomNoteCleaner загружает её после первого запуска и может обновить по требованию пользователя.

В базе данных сервиса ID Ransomware, созданного и поддерживаемого самим Гиллеспи, есть сведения о 126 семействах троянов-вымогателей, то есть о подавляющем большинстве вредоносных программ такого типа, которые действуют в настоящее время.

http://news.softpedia.com/news/ransomnotecleaner-removes-ransomware-junk-from-your-pc-505978.shtml (http://news.softpedia.com/news/ransomnotecleaner-removes-ransomware-junk-from-your-pc-505978.shtml)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 11-07-2016, 00:27:17
БОЛЕЕ СТА МОДЕЛЕЙ КАМЕР, МАРШРУТИЗАТОРОВ И ДРУГИХ УСТРОЙСТВ D-LINK ИМЕЮТ ОПАСНУЮ УЯЗВИМОСТЬ

http://www.capa.me/forum/index.php/topic,80848.0.html (http://www.capa.me/forum/index.php/topic,80848.0.html)

Почему ни один мессенджер не защитит вашу переписку от спецслужб

http://www.capa.me/forum/index.php/topic,80850.0.html (http://www.capa.me/forum/index.php/topic,80850.0.html)

РАЗРАБОТЧИКИ ДИСТРИБУТИВОВ LINUX ИГНОРИРУЮТ ОПАСНУЮ УЯЗВИМОСТЬ В WGET
Spoiler: показать
Большинство популярных дистрибутивов Linux по-прежнему распространяет уязвимую версию утилиты Wget, при помощи которой злоумышленники могут удалённо загрузить и исполнить вредоносный код. Это происходит несмотря на то, что разработчики Wget исправили ошибку почти месяц назад.

Утилита командной строки Wget предназначена для загрузки файлов из интернета. Её разработка началась более двадцати лет в рамках проекта GNU. С тех пор она была портирована на все популярные системы. Большинство дистрибутивов Linux устанавливают её по умолчанию.

Уязвимость связана с тем, как Wget обрабатывает коды HTTP, вызывающие перенаправление на другой адрес. При редиректе по коду 302 утилита должна сохранять загруженный с нового адреса файл под названием, которое соответствует адресу оригинала. Однако в действительности так происходило только в том случае, если оба адреса используют протокол HTTP. Если новый адрес вёл на сервер FTP, название загруженного файла оставалось нетронутым.

Поскольку Wget нередко используют в скриптах для регулярной загрузки файлов по cron, это открывает злоумышленникам широкие возможности для атаки. Вот один из возможных сценариев. Если поставить редирект с одного из загружаемых файлов на файл с названием .bash_profile, лежащий на сервере FTP, то Wget загрузит и сохранит его именно под этим названием. Если затем жертва запустит оболочку Bash, команды из этого файла будут автоматически исполнены на её машине.

9 июня разработчики Wget выпустили обновлённую версию утилиты, в которой редиректы на FTP не вызывают такой проблемы. С тех пор прошёл почти целый месяц, но создатели многих дистрибутивов Linux так и не отреагировали на обновление.

Исключение составляют Ubuntu и Arch Linux, которые исправили Wget быстрее всех. С остальными дистрибутивами всё плохо. Новый Wget включён только в нестабильную ветвь Debian, стабильная же пока обходится уязвимой версией утилиты. В Red Hat обновления пока нет вовсе, и уже известно, что в пятой и шестой версии дистрибутива его и не будет. На улучшение ситуации стоит надеяться только пользователям Red Hat 7.x.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 11-07-2016, 11:51:11
про Вгет - очень понравилось. Надо ж было до такого додуматься )))
но это "слабая" уязвимость, т.к. пользователь сам добровольно что то загружает и как правило сразу же смотрит что загрузил.
но идея класс )
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 11-07-2016, 21:28:55
В Android 7.0 Nougat нашли защиту от вирусов-вымогателей

В последнее время среди злоумышленников всё большей популярностью пользуются так называемые вирусы-вымогатели. С их помощью хакеры блокируют часть пользовательских данных или и вовсе всё устройство, а затем требуют заплатить за разблокировку. При этом такой тип вирусов распространён как на компьютерах, так и на мобильных устройствах. Компания Symantec, занимающаяся исследованиями в области безопасности и разработкой программного обеспечения защиты информации, опубликовала отчёт, в котором сообщается, что в новой версии операционной системы Android 7.0 Nougat был найден скрытый код, защищающий пользователей от такого рода атак.

(http://s.4pda.to/vrpY8bFiPw2EKw8Jm91kiMXM17rLPOdz2ytsMhJ9UpXZz0CX3z2z2ukl06.png)

Исследователь Динеш Венкатесан выяснил, что нововведения в resetPassword API, которые Google внесла в Android 7.0 Nougat, защищают часть устройств от взлома. Главным изменением стало то, что новые API могут быть использованы только для первоначальной установки пароля, а не для его сброса. Это значит, что вредоносное приложение не сможет самостоятельно сбросить пароль устройства или графический ключ, чтобы получить доступ к пользовательским данным. Другими словами, отключить или изменить пароль можно только вручную из настроек, предварительно введя старый код.

Таким образом, пользователи, использующие пароли для разблокировки своих устройств, при переходе на Android 7.0 Nougat будут защищены от вирусов-вымогателей.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 12-07-2016, 11:42:34
скорее всего найдут обходной путь. Если будет РУТ-доступ,то кто мешает заменить блок памяти где хранится ключь, новым ключом ?  в общем... попытки конечно хорошие, но скорее всего бестолковые
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 13-07-2016, 05:05:57
Новый вирус маскируется под браузер Firefox

Spoiler: показать
Группа исследователей информационной безопасности из Barkly Projects обнаружила новый вирус, который маскируется под обновление для браузера Firefox. Об этом сообщается на сайте компании.
(https://cdn2.hubspot.net/hub/468115/hubfs/kovter_certificate.png?t=1468269508127&width=480)
Вирус относится к группе троянов Kovter, которые распространяют мошенническое ПО и программы-вымогатели. Новый вариант, попадая на компьютер под видом обновления браузера, имеет легальный сертификат, и антивирусы не обращают на него внимания. Согласно информации Barkly, антивирусные компании начали добавлять новый Kovter в список опасных программ, чтобы в дальнейшем блокировать его.

Специалисты советуют не обновлять Firefox со сторонних ресурсов и проверять наличие обновлений в настройках. Кроме этого, рекомендуется использовать последнюю версию антивирусного ПО.
https://blog.barkly.com/fileless-malware-kovter-posing-as-firefox-update (https://blog.barkly.com/fileless-malware-kovter-posing-as-firefox-update)


Американские ученые нашли способ взлома смартфонов через YouTube


Spoiler: показать
Группа ученых из американских университетов Беркли и Джорджтауна разработали эффективный способ взлома мобильных устройств с помощью скрытых голосовых команд, встроенных в видеоролики на хостинге YouTube, сообщает портал ZDNet.

По словам ученых, чтобы подвергнуть устройство взлому, владелец гаджета должен всего лишь смотреть ролики на YouTube.

Исследователи также подчеркнули, что взлом может произойти и «извне» -- при просмотре видеороликов на YouTube на любом соседнем устройстве, например, ноутбуке, ПК, смарт-ТВ команды могут быть направлены на девайс, после чего он будет взломан.

Отмечается, что подобный способ взлома позволит хакерам загрузить на мобильное устройство вредоносное ПО или подделать параметры конфигурации.
http://www.youtube.com/v/HvZAZFztlO0
Ранее российские исследователи из компании Positive Technologies продемонстрировали возможность взлома аккаунтов Facebook и WhatsApp, зная лишь номер мобильного телефона, который привязан к аккаунту.

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 13-07-2016, 05:23:27
Эксперты раскрыли схему скрытой подписки абонентов МТС на платные услуги

Spoiler: показать
«Лаборатория Касперского» совместно раскрыла схему, при которой мошенники могли подписывать абонентов МТС на платные контент-услуги без их ведома. В группе риска оказались владельцы смартфонов Android, пользующиеся стандартным браузером, который на сегодняшний день применяется в операционных системах, не обновленных до версии Android 5.0, сообщается в материалах «Лаборатории Касперского».



Для реализации мошеннической схемы киберпреступники использовали уязвимость двухлетней давности в браузере AOSP, которая позволяла вредоносному коду с сайта злоумышленников исполняться на легитимной веб-странице сотового оператора. Другими словами, именно вредоносный код «нажимал» на открытой странице платной подписки кнопку «Да», а пользователь оставался в неведении. При этом в браузере Chrome подобный сценарий невозможен.

Оператор сотовой связи при помощи «Лаборатории Касперского» предпринял меры для противодействия мошенничеству. Как только злоумышленники поняли, что их активность была замечена, они убрали вредоносный код с веб-страницы.



«Пока киберпреступники опробовали эту мошенническую схему на относительно не затратном для атакуемых пользователей сценарии. Однако ничто не мешает им двигаться дальше. Аналогичную схему мошенничества можно реализовать и в других случаях, например, при совершении покупок через мобильные версии сайтов или при работе с интернет-банкингом в браузере, а не в приложении.

Если учесть, что производители бюджетных версий смартфонов не всегда вовремя выпускают обновления для штатного ПО, а пользователи отнюдь не торопятся устанавливать эти обновления, то можно предположить, что в группе потенциального риска во всем мире оказывается почти 500 млн устройств, на которых по умолчанию установлен браузер AOSP», - отметил Денис Горчаков, старший аналитик «Лаборатории Касперского».

Для того чтобы не стать жертвой этой мошеннической схемы, пользователям рекомендуется обновить прошивку смартфона при условии, что производитель выпустил официальное обновление.
Название: Re:Новые угрозы , кибер - преступления,вирусы l
Отправлено: CaPa от 15-07-2016, 03:08:19
ой... ну "конечно же МТС ничего не знал" )

если бы хотели побороть "мошенников", то давно бы сделали публичной опцию запрета платных подписок. ну или хотя бы контентный счёт.
а сейчас по факту что бы это сделать надо ехать с паспортом, да ещё и не в любой салон... писать заявление. Сначала правда целый час объяснять что ты не верблюд и что на самом деле в МТС есть такая услуга... а потом уже если не пошлют куда подальше - написать заявление.
и то судя по отзывам - не сильно то это работает.

Короче - МТС кал.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 15-07-2016, 17:44:13
(http://www.capa.me/smiles/sml21.gif)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 16-07-2016, 01:05:31
Пользователям Windows угрожает ошибка 20-летней давности

На протяжении 20 лет в системах Windows существует уязвимость, позволяющая устанавливать на компьютеры вредоносное ПО. Дыра безопасности была обнаружена в Windows Print Spooler - программном обеспечении, которое отвечает за связь с принтерами.

(http://s017.radikal.ru/i425/1607/88/a6a86e4fc4b9.jpg)

Windows Print Spooler управляет процессом подключения к принтерам и печати файлов. Протокол Point-and-Print позволяет компьютерам, впервые подключающимся к сетевым принтерам, автоматически скачивать нужный драйвер, который хранится на сервере печати.

Исследователи установили, что Windows Print Spooler имеет изъяны в процедуре аутентификации драйверов при дистанционной установке. Благодаря этому атакующие могут использовать несколько методов по доставке модифицированных драйверов. В результате принтеры и выдающие себя за принтеры сетевые устройства могут использоваться как уязвимость для инфицирования Windows.

По словам исследователей, хакеры смогут инфицировать компьютеры неоднократно и источник проблемы найти будет сложно, поскольку принтеры не являются в таких случаях подозреваемыми.

(http://www.macdigger.ru/wp-content/uploads/2016/07/printer-driver-1.jpg)

По данным Oszone, есть много вариантов использования этой уязвимости. Один - подключить портативное устройство вроде ноутбука, выдающего себя за сетевой принтер. Когда пользователи локальной сети подключаются к нему, устройство автоматически может рассылать вредоносный драйвер. Другой вариант - мониторинг трафика настоящего сетевого принтера, обнаружение подключения компьютеров, перехват запроса и отправка поддельного драйвера.

Атака типа «человек посередине» может быть выполнена в открытых сетях Wi-Fi или с применением ARP-спуфинга в проводных сетях. Также методом обратной инженерии хакеры могут изменить прошивку принтера для доставки поддельного драйвера, что сумели показать исследователи.

Специалисты проверяли свои открытия на разных устройствах и системах, включая Windows XP 32 бит, Windows 7 32 бит, Windows 7 64 бит, Windows 2008 R2 AD 64, Ubuntu CUPS и на сервере печати на Windows 2008 R2 64. Уязвимость относится к версиям вплоть до Windows 95.

Между тем Microsoft не планирует выпускать исправление для Windows XP, а более поздние версии системы получат соответствующий патч безопасности.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 16-07-2016, 11:55:41
в случае с Microsoft - это всё бесполезно. всегда будут дыры, всегда будет опасность.
Рассчитывать можно только на себя самого.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 16-07-2016, 22:43:59
(http://www.capa.me/smiles/sml21.gif)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 17-07-2016, 05:46:31
Взломан официальный форум проекта Ubuntu

Компания Canonical сообщила о взломе официального форума дистрибутива Ubuntu - ubuntuforums.org. В результате инцидента атакующие смогли получить доступ к СУБД и выполнить произвольные SQL-запросы к БД форума. 14 июля в компанию Canonical поступило уведомление от участников форума о том, что один из пользователей небездоказательно заявил о наличии копии БД сайта. Проверка подтвердила, что имела место утечка данных.

Атака была совершена через неисправленную уязвимость в вовремя необновлённом дополнении Forumrunner к используемому на форуме движку vBulletin. Уязвимость позволяла выполнить произвольный SQL-код, чем и воспользовался атакующий для загрузки содержимого таблиц с параметрами пользователей и логами, включающими IP-адреса участников обсуждений. Всего утечка затронула персональные данные примерно 2 млн пользователей форума.

Примечательно, что ровно три года назад, 14 июля 2013 года произошёл аналогичный инцидент, в результате которого злоумышленники воспользовались уязвимостью в форумном движке vBulletin для загрузки базы пользователей. В процессе восстановления прошлого взлома, разработчики перевели форум на использование централизованной аутентификации через сервис Ubuntu Single Sign On, поэтому при нынешнем взломе атакующие смогли добраться только до таблицы с такими параметрами как имя и email, не содержащей реальные хэши паролей (в таблице вместо хэшей от паролей были сохранены хэши от случайных строк).

В настоящее время работа форума восстановлена из резервной копии, уязвимость устранена и предприняты меры по увеличению безопасности. В частности, для блокирования возможных атак установлен модуль ModSecurity. Также организовано отслеживание своевременной установки исправлений к vBulletin.

Отмечается, что администраторы форума уверены в том, что атакующие не смогли получить доступ к репозиториям Ubuntu, механизму обновлений и реальным паролям пользователей. С меньшей долей уверенности (в заявлении использована формулировка "мы полагаем") заявлено о том, что атака ограничилась чтением данных из СУБД и не затронула другие сервисы Canonical и Ubuntu, а атакующие не модифицировали данные в БД и не получили shell-доступ на серверах с сайтом и СУБД.

http://insights.ubuntu.com/2016/07/15/notice-of-security-breach-on-ubuntu-forums/ (http://insights.ubuntu.com/2016/07/15/notice-of-security-breach-on-ubuntu-forums/)

http://www.forumrunner.net/ (http://www.forumrunner.net/)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 19-07-2016, 01:22:16
Обнаружен первый троян для вербовки инсайдеров в компаниях
Spoiler: показать
Троян собирает конфиденциальные данные, позволяющие злоумышленникам шантажировать жертву.
Исследователи израильской компании Diskin Advanced Technologies обнаружили первое вредоносное ПО, использующее методы социальной инженерии и вымогательство для вербовки инсайдеров в компаниях. Вредонос, получивший название Delilah, чаще всего распространяется через игровые сайты и ресурсы с контентом «для взрослых». Оказавшись на системе, троян собирает конфиденциальные данные, в том числе относящиеся к семье и месту работы, позволяющие злоумышленникам шантажировать жертву.
Помимо сбора персональных сведений, троян способен записывать видеоматериал с web-камеры пользователя без его ведома. По словам эксперта компании Gartner Research Авивы Литан (Avivah Litan), в своих инструкциях злоумышленники требуют от жертвы использовать VPN-сервисы и анонимную сеть Tor, а также удалять историю просмотров в браузере. По всей видимости, это нужно для сокрытия следов несанкционированной деятельности в случае проведения аудита. 
В настоящее время троян не продается на черном рынке и доступен только на закрытых хакерских форумах. Судя по количеству ошибок, вредоносное ПО пока находится на стадии разработки. Как отмечают исследователи, использование Delilah требует непосредственного участия авторов вредоносного ПО, в частности в том, что касается применения социальной инженерии для идентификации потенциальных жертв.
За последнее время проблема вредоносного инсайдерского ПО стала довольно актуальной. Как утверждается в докладе компании Verizon, в большинстве случаев подобные угрозы обнаруживаются только спустя несколько месяцев, а то и лет, после инфицирования системы. Авива Литан прогнозирует рост числа инцидентов с использованием Delilah и подобных вредоносов в будущем и рекомендует организациям принять меры по предотвращению возможного заражения.


Обход защиты OpenSSH, препятствующей определению наличия пользователя

Spoiler: показать
В OpenSSH выявлена уязвимость (CVE-2016-6210), позволяющая на основе ответа сервера определить существует или нет пользователь в системе. Исправление с устранением уязвимости пока не выпущено, прямой опасности проблема не представляет, а лишь снижает трудоёмкость атак по подбору параметров входа в систему.

Для противодействия попыткам перебора пользователей в OpenSSH присутствует защита - для несуществующих пользователей выполняется проверка по фиктивному хэшу пароля, что позволяет выровнять время обработки операции проверки для существующего и несуществующего пользователя. Без выравнивания времени проверки атакующий может проанализировать время выполнения операции и если очередная проверка выполняется дольше обычного, сделать вывод о наличии запрошенного пользователя в системе и перейти к подбору пароля для конкретного логина.

Суть выявленной уязвимости в том, что для несуществующих пользователей применяется фиктивный хэш BLOWFISH, который проверяется заметно быстрее, чем хэши SHA256/SHA512. В системах, использующих SHA256/SHA512 для хэширования паролей, при проверке паролей размером около 10Кб различия в скорости обработки запроса становятся явными, что позволяет по времени выполнения операции определить применялся алгоритм BLOWFISH или SHA256/SHA512 и, соответственно, узнать, существует ли пользователь в системе.
http://seclists.org/fulldisclosure/2016/Jul/51 (http://seclists.org/fulldisclosure/2016/Jul/51)


Исследователь нашёл метод кражи денег в Instagram, Google и Microsoft

Spoiler: показать
Бельгийский исследователь в сфере информационной безопасности Арне Свиннен нашёл способ вытягивания денег из Facebook через сервис Instagram, у Google и Microsoft с применением голосовой системы распределения токенов при двухфакторной аутентификации (2FA).
Большинство использующих 2FA компаний отправляют своим пользователям короткие коды через сообщения СМС. Если пользователь пожелает, то вместо СМС он может получать голосовой звонок, во время которого автоматизированный оператор говорит код вслух. Звонок выполняется на привязанный к учётной записи номер телефона.
(http://www.oszone.net/figs/u/316767/160718091847/researcher-finds-way-to-steal-money-from-instagram-google-and-microsoft-506387-2.png)
Свиннен сумел создать аккаунты в Instagram, Google и Microsoft Office 365, а потом привязать их к премиальному номеру телефона вместо обычного. Звоня на этот номер, компании получают за это счёт на оплату. C применением скриптов хакеры могут запрашивать метки аутентификации у всех аккаунтов и зарабатывать на телефонных звонках.
Подсчёты показывают, что за год теоретически можно заработать 2.066.000 евро на Instagram, 432.000 евро на Google и 669.000 евро на Microsoft. Технические подробности отличаются для каждого сервиса. Информация была отправлена в программы поиска багов соответствующих компаний. От Facebook за это была получена награда в $2000, в Microsoft - $500, в Google - упоминание в зале славы компании.
Ранее Свиннен нашёл баг в учётных записях Facebook и помог Instagram защитить механизм входа в систему от инновационных атак перебора.


Android-троян умеет блокировать звонки в банки
Spoiler: показать
Новый троян крадёт финансовые данные пользователей и старается предотвратить оповещение банков о взломе. Компания Symantec сообщает о функции запрета звонков в новой версии семейства вредоносных приложений Android.Fakebank.B. C её помощью хакер может замедлить блокировку взломанной кредитной карты.
Приложение Fakebank впервые было обнаружено в 2013 году. Выдавая себя за Android-приложение, на самом деле оно предназначено для кражи денег. Сначала приложение сканирует смартфоны на наличие определённых банковских приложений. Найдя их, троян старается заставить пользователей удалить подлинные версии и установить поддельные.

Новый вариант Fakebank.B идёт ещё дальше, ведя мониторинг телефонных звонков. Если набран номер службы поддержки определённых банков, троян останавливает звонок. Пользователям придётся использовать другой телефон или электронную почту, чтобы связаться с банком. Пока что троян был обнаружен только в России и Южной Корее. Symantec советует не скачивать приложения из сторонних магазинов и пользоваться официальным Play Store.
Данный случай показывает, что банковские трояны продолжают эволюционировать. Ранее в этом году Symantec нашла троян Android.Bankosy, способный обходить двухфакторную аутентификацию при помощи перенаправления звонков на телефон злоумышленников.
http://www.pcworld.com/article/3095965/security/this-android-trojan-blocks-the-victim-from-alerting-banks.html (http://www.pcworld.com/article/3095965/security/this-android-trojan-blocks-the-victim-from-alerting-banks.html)


GOOGLE DOCS СЛУЖИТ КОМАНДНЫМ СЕРВЕРОМ ДЛЯ ТРОЯНА-ВЫМОГАТЕЛЯ CUTERANSOMWARE
Spoiler: показать
Исследователи обнаружили новое семейство вредоносных программ, получившее название cuteRansomware. Его представители, как и другие трояны-вымогатели, шифруют файлы жертв и требует выкуп, но сохраняют ключи от файлов не на специальном командном сервере, а в Google Docs.

В основу cuteRansomware легла разработка китайского программста Ма Шэнгхао -- программа my-Little-Ransomware, выложенная на Github. Согласно описанию, она представляет собой простенький модуль для создания троянов-вымогателей, написанный на C#.

Это не первый случай, когда опенсорсные эксперименты превращаются в реальный вредоносный софт. То же самое произошло с EDA2 и Hidden Tear -- парой проектов с открытыми исходниками, которые опубликовал турецкий специалист по информационной безопасности Утку Сен. Есть и более свежий пример: демонстрация эксплойта в VBScript почти сразу же перекочевала с Github в эксплойт-кит Neutrino, Это определённо не входило в планы автора, но что он может поделать?

Первые трояны, основанные на my-Little-Ransomware, были замечены в середине июня. Их обнаружил специалист компании AVG Якуб Крустек. А несколько дней назад фирма Netskape обратила внимание на появление ещё одного похожего трояна. Судя по всему, он тоже действует с июня. В его коде присутствует строка cuteRansomware, которая и дала имя всему семейству.

Жертвами cuteRansomware становятся в певую очередь пользователи из Китая. Даже сообщение с требованиями выкупа написано по-китайски. Автор трояна, судя по всему, тоже оттуда. Об этом свидетельствуют комментарии в коде на китайском языке.

Попав на компьютер, cuteRansomware использует RSA для шифрования файлов пользователя. Он пересохраняет их с расширением «encrypted», записанным на китайском языке, а затем отправляет ключи в Google Docs. Интересно, что этот вариант трояна пропускает некоторые типы файлов, которые шифровал my-Little-Ransomware.
(https://xakep.ru/wp-content/uploads/2016/07/cuteransomware_8.jpg)


Компания Netskape уведомила Google о существовании cuteRansomware, но реакции пока не последовало. Форма, используемая троянам, по-прежнему доступна на Google Docs.
http://news.softpedia.com/news/cuteransomware-uses-google-docs-as-c-c-server-506340.shtml (http://news.softpedia.com/news/cuteransomware-uses-google-docs-as-c-c-server-506340.shtml)
https://www.fireeye.com/blog/threat-research/2016/07/exploit_kits_quickly.html (https://www.fireeye.com/blog/threat-research/2016/07/exploit_kits_quickly.html)



Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 19-07-2016, 01:31:33
Троян перехватывает контроль над камерой Mac и отправляет изображение через сеть Tor
Программа-вредитель OSX/Eleanor-A выдает себя за утилиту EasyDoc Converter и подключает Mac к анонимной сети Tor, через которую хакер может полностью контролировать компьютер, включая встроенную веб-камеру.
(http://www.macdigger.ru/wp-content/uploads/2016/07/tapedOverWebcam-3.jpg)

Как сообщает Cnews, операционная система компьютеров Mac столкнулась с серьезным врагом - вредоносной программой OSX/Eleanor-A. Программа выдает себя за утилиту EasyDoc Converter, предназначенную для конвертации под Mac файлов Windows.

Эту утилиту можно найти на сайтах в Интернете, однако она не проверялась Apple и не имеет их цифровой подписи. Чтобы упаковать себя под EasyDoc Converter, вредоносная программа использует бесплатный инструмент Platypus.

(http://www.macdigger.ru/wp-content/uploads/2016/07/tapedOverWebcam-7.png)

OSX/Eleanor-A создает скрытую папку в фоновом режиме. После того, как сам вредитель уже выявлен и удален, эта папка остается на компьютере. Ее содержимое - различные фолдеры и скрипты, которые по отдельности выглядят как инструменты, имеющиеся в свободном доступе. Из этих вроде бы безобидных компонентов OSX/Eleanor-A при помощи системных утилит собирает опасную конфигурацию OS X LaunchAgents. Загрузка OS X LaunchAgents тоже происходит в фоновом режиме, поэтому пользователь может ее проигнорировать или вообще не заметить. Никаких прав администратора на запуск система не запрашивает.

После установки на компьютере начинают действовать три фоновых программы. Одна подключает Mac к анонимной сети Tor, делая компьютер видимым в «глубоком» интернете. Этот скрытый сервис соединяет ПК с локальным сервером, который действует как C&C-центр. Tor также устанавливает связь с криптографическим сервисом SSH, с которого компьютер можно достать даже за фаерволом. Параллельно этому действует вторая фоновая программа - PHP-скрипт, открывающий доступ к файлам через браузер.

(http://www.macdigger.ru/wp-content/uploads/2016/07/tapedOverWebcam-8.png)

Вместе эти две программы полностью передают Mac под контроль злоумышленника. Ему достаточно знать лишь имя скрытого сервиса, уникальное для зараженного компьютера. Чтобы его выяснить, нужна третья программа, которая загружает произвольное 16-значное имя в профиль Pastebin. Открыв преступнику доступ к вашим файлам, программа автоматически удаляется.

Что OSX/Eleanor-A делает с компьютером
Одна из интереснейших обнаруженных функций трояна -- это перехват им контроля над iSight -- встроенной камерой компьютеров Mac.
(http://www.macdigger.ru/wp-content/uploads/2016/07/tapedOverWebcam-1.jpg)


Доступ к веб-камере позволяет OSX/Eleanor-A круглосуточно наблюдать за пользователем. За пересылку данных на компьютер хакера отвечает утилита Netcat, за работу с веб-камерой - компонент Wacaw.

Работу со снимками, скрыто сделанными камерой, облегчает программа просмотра изображений, написанная на PHP. Как полагают эксперты из Bitdefender, изучающие проблему, отследить, куда отправляются данные, невозможно.

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 19-07-2016, 13:43:12
да ну глупости всё это, не бывает троянов на маках )

а по факту - сейчас мак слишком популярный, а раз так, что хотят яблочники того или нет, но вирусов там будет полно.
а учитывая что аудитория ещё и слишком наивная, вирусов будет совсем много
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 19-07-2016, 20:27:02
я думаю уже давно все маки заражены))) просто об этом ни кто не знает...по смотри кто их покупает))
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 21-07-2016, 00:17:23
вот я об этом же )
покупают те, кто в большинстве своём совершенно ничего не понимают и понимать не хотят. Самая лёгкая добыча.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 21-07-2016, 00:55:42
(http://www.capa.me/smiles/sm_victory.gif)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 21-07-2016, 01:04:19
Нашумевшая кибератака Lurk: злоумышленники распространяли трояна через легальное ПО

Исследование, проведённое «Лабораторией Касперского», показало, что для распространения нашумевшего трояна Lurk злоумышленники использовали не только программы-эксплойты и бреши внутри корпоративных сетей различных организаций, но и легитимное программное обеспечение (ПО).
(http://www.3dnews.ru/assets/external/illustrations/2016/07/20/936466/lurk1.jpg)
Напомним, что именно с помощью Lurk киберпреступники смогли украсть более 3 миллиардов рублей со счетов клиентов российских банков. Злоумышленники действовали в течение пяти лет, и лишь недавно группировку удалось ликвидировать.
С целью минимизировать риск детектирования трояна антивирусными программами киберпреступники использовали различные VPN-сервисы, анонимную сеть Tor, серверы атакованных IT-организаций и другие приёмы. Как теперь выясняется, зловред также попадал на компьютеры жертв вместе с легитимной программой удалённого администрирования Ammyy Admin.
Lurk распространялся с официального сайта разработчика ammyy.com как минимум с февраля 2016 года. Как оказалось, сайт был скомпрометирован киберпреступниками и загружаемый с него файл-установщик Ammyy Admin по сути представлял собой программу-дроппер, предназначенную для скрытой установки зловреда в системе.
(http://www.3dnews.ru/assets/external/illustrations/2016/07/20/936466/lurk2.jpg)
Выбор преступников на программу удалённого администрирования пал не случайно. Дело в том, что установка подобных продуктов часто сопровождается уведомлением о потенциальном риске со стороны защитных решений. И в данном случае уведомление о наличии зловреда многие пользователи, среди которых были и системные администраторы компаний, могли принять просто за ложное срабатывание антивируса.
Примечательно, что 1 июня содержимое дроппера изменилось -- вместо Lurk, об аресте создателей которого было объявлено в тот же день, с сайта ammyy.com начала распространяться вредоносная программа Trojan-PSW.Win32.Fareit, предназначенная для кражи персональной информации. Это позволяет предположить, что злоумышленники, стоящие за взломом ресурса Ammyy, за определённую плату предлагали всем желающим «место» в трояне-дроппере для распространения с ammyy.com.

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 21-07-2016, 13:17:17
ВРЕДОНОСНЫЕ РАСШИРЕНИЯ ИЗ GOOGLE CHROME WEB STORE ВОРУЮТ ЧУЖИЕ «ФЕЙСБУКИ»

Google Chrome Web Store нашли целые залежи вредоносных расширений для браузера Google Chrome. Они обманом попадали на компьютеры своих жертв, а потом похищали их учётные записи в социальной сети. Кроме того, эти расширения могли использоваться для проведения DDoS-атак, кражи паролей, добычи Bitcoin -- и это ещё не полный список.

Вредоносные расширения обнаружил датский студент по имени Максим Кейа (Maxime Kjaer). Он заметил, что злоумышленники распространяют в Facebook ссылки на сомнительный сайт, проверяющий возраст посетителей. Метод проверки необычен: сайт требует установить специальное расширение для браузера. Впрочем, пользователи привыкли и не к такому и послушно делают, что велено.

Все расширения, распространявшиеся таким образом, имели похожие названия, состоящие из различных комбинаций слов «возраст», «проверка» и «вирусный» (aga, verify, viral), и были загружены на официальный сайт Google. Это помогало злоумышленникам убедить в безвредности затеи особенно осторожных пользователей.

После установки вредоносные расширения требовали максимальных прав и работали от момента запуска браузера и до его закрытия.

К проверке возраста эти программы не имели ни малейшего отношения. Расширения состояли из трёх файлов. Один из них представляет собой безвредный модуль для разбора URL, а функциональность сосредоточена в двух других: background.js и install.js. Один имитирует процесс проверки возраста, а другой при первой же возможности загружает с сервера злоумышленников ещё один скрипт.

Вся вредоносная функциональность скрывается именно в нём. Такая многоступенчатая схема установки понадобилась для того, чтобы обмануть автоматику Google. Она может заметить и остановить откровеную малварь, которая включена в состав самого расширения, но не следит за тем, что оно делает уже после установки.

Загруженный скрипт подключается к командному серверу и исполняет получаемые указания. В данный момент его основная функциональность заключается в захвате учётных записей Facebook. Кейа пишет, что после входа в социальную сеть расширение передало на командный сервер токен доступа к его аккаунту Facebook. Токен позволил софту злоумышленников действовать от его имени. Тот немедленно воспользовался такой возможностью и начал расставлять рекламные лайки.

По подсчётам Кейа, вредоносные аддоны установлены на 132265 компьютеров.
http://news.softpedia.com/news/google-removes-suite-of-chrome-extensions-that-hijacked-facebook-accounts-506433.shtml (http://news.softpedia.com/news/google-removes-suite-of-chrome-extensions-that-hijacked-facebook-accounts-506433.shtml)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 22-07-2016, 11:40:15
да уж...  вообще у гугла с безопасностью всё очень плохо.  что плэй завален весь троянным софтом, что в рекламной сети без конца подсовывают рекламу с вирусами, теперь ещё и тут...

как можно после этого гуглу доверять свои пароли и всё остальное?
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 07-08-2016, 19:09:05
Новая версия трояна Kovter маскируется под обновление для Chrome

Spoiler: показать
Вирусописатели реализовали механизм, усложняющий обнаружение и нейтрализацию трояна.
Специалисты Microsoft Malware Protection Center предупредили о появлении нового варианта трояна Kovter. Свежая версия Kovter распространяется под видом обновления для Chrome и обладает новым механизмом, усложняющим обнаружение и нейтрализацию трояна. Кроме того, он использует ряд новых цифровых сертификатов, что обеспечивает более высокий процент инфицирования.
Новый вариант Kovter генерирует и регистрирует при установке специфическое расширение. Вредонос создает определенные ключи реестра, позволяющие запустить троян при каждом открытии файла с данным расширением.

(https://msdnshared.blob.core.windows.net/media/2016/07/kovter1.png)
Также вредоносная программа использует mshta для выполнения вредоносного скрипта JavaScript. Для обеспечения постоянного запуска скрипта Kovter создает в разных местах серию «мусорных» файлов со специфическим расширением. На завершающем этапе установки троян реализует механизм автозапуска, автоматически открывающий эти файлы.
«Хотя новый вариант Kovter нельзя назвать полностью бестелесным, большая часть вредоносного кода по-прежнему сохраняется только в реестре. Для того чтобы полностью удалить троян с инфицированного компьютера, потребуется удалить все созданные им файлы и внести изменения в реестре», - отметил специалист Microsoft Malware Protection Center Дак Нгуен (Duc Nguyen).
Последние несколько месяцев авторы вредоноса не сидели сложа руки. В минувшем апреле вирусописатели добавили в троян функционал шифровальщика, а в начале июля стали маскировать его под обновление для Firefox.



Сексуальное вымогательство: гроза подростков и не только

Воспитывать детей вообще не слишком легко, но 13-17 лет -- едва ли не самый сложный возраст. В это время подростки пытаются найти себя, поэтому многие из них начинают сомневаться в авторитете родителей. Им практически невозможно что-либо объяснить -- они часто не принимают советы просто из чистого упрямства. В таком возрасте многие умудряются натворить дел -- тинейджеры либо не понимают, что делают, либо поступают так из чувства противоречия.

В это время гормоны бушуют вовсю, во многом усложняя подросткам жизнь: их начинает интересовать противоположный пол, но они не знают, как начать знакомство и как его поддержать. И часто делают то, чего делать вообще не стоит.

Например, по данным The National Campaign, 20% тинейджеров делятся своими обнаженными фотографиями. Почти 40% размещают сообщения непристойного содержания. 15% из тех, кто отправлял кому-либо фото без одежды, признались, что делились ими с людьми, которых не знали в реальном мире -- только в Сети.

При этом тинейджерам часто нет дела до безопасности, как в реальном мире, так и в Интернете. Они катаются на крышах поездов и думать не думают о том, насколько сложные пароли защищают их аккаунты в соцсетях и мессенджерах.

Этим пользуются преступники. В английском языке даже существует специальный термин -- «sextortion», который означает «шантаж разоблачениями чьей-то половой жизни». Злоумышленники либо втираются подросткам в доверие, либо взламывают их слабо защищенные учетные записи -- в общем, каким-либо образом получают в свое распоряжение фото- или видеоматериалы, с помощью которых шантажируют своих жертв -- угрожают выложить компрометирующие данные в Сеть в открытом виде.
(http://twitter.com/Kaspersky_ru/status/637287612257038336/photo/1)
Чтобы этого не произошло, преступники либо требуют денег, либо пытаются управлять подростками, давя на их чувство стыда и вины. Чаще всего они заставляют тинейджеров отправлять им все новые и новые непристойные фотографии и видеозаписи.

Жертвы повинуются. Они в большинстве случаев не знают, что могут обратиться в полицию, боятся или стесняются это сделать. Ничем хорошим это обычно не заканчивается: несмотря на демонстративную грубость и отрицание всего, подростки очень чувствительны. Сексуальное вымогательство может привести к психическим травмам. СМИ не единожды писали о случаях самоубийства, совершенных по этой же причине.

С такими проблемами сталкиваются не только подростки, хотя на них приходится около 70% случаев, но и взрослые, в основном женщины. А вот преступники, занимающиеся сексуальным вымогательством, почти всегда мужчины. Что, впрочем, порой не останавливает их от аналогичных действий по отношению к другим мужчинам. Недавно австралиец Мэтт получил письмо с видеороликом щекотливого содержания, единственным участником которого был он сам, и требованием заплатить $10 тысяч за то, чтобы это видео не увидели все его друзья на Facebook.

Причем Мэтт никому ничего не отправлял -- злоумышленники заразили его компьютер трояном, который дал им доступ к веб-камере. Так шантажисты записали то интимное видео.
(http://twitter.com/Kaspersky_ru/status/725645258520809472/photo/1)
Старший научный сотрудник Брукингского института Бенджамин Уитс (Benjamin Wittes) полагает, что проблема сексуального вымогательства недооценена и на самом деле жертв намного больше, чем фигурирует в официальных отчетах. Уитс считает, что эту тему важно периодически поднимать -- во-первых, чтобы люди о ней знали, а во-вторых, чтобы о ней не забывали в органах законодательной власти. Проблема в том, что часто власти просто не могут ничего предъявить злоумышленникам.

Как защититься от сексуального вымогательства и, что даже более важно, как защитить от него своих детей?

1. Необходимо понимать, что вы пересылаете по Интернету и кому. Лучше вообще не отправлять никому откровенных снимков или видеозаписей. Особенно людям, которых вы не знаете в реальности.

2. Важно знать азы кибербезопасности. Хороший пароль и двухфакторная аутентификация защитят ваши аккаунты в соцсетях, мессенджерах и почтовых сервисах, не позволив злоумышленникам украсть из них конфиденциальную информацию вроде обнаженных фотографий. А хороший антивирус не позволит заразить компьютер трояном. Кстати, в Kaspersky Internet Security есть специальная функция «Защита веб-камеры», не позволяющая использовать вашу камеру для шпионажа.
(http://twitter.com/Kaspersky_ru/status/745883623128109056/photo/1)
3. Предупрежден -- значит вооружен. О таком явлении, как сексуальное вымогательство, нужно знать. Именно поэтому мы и написали эту заметку.

4. Все это нужно знать и вашим детям -- до того, как они с этим столкнутся. Поэтому наш совет: говорите с ними. Да, с детьми сложно обсуждать секс, а уж сексуальное вымогательство -- и подавно, но лучше им все же рассказать. Быть может, они отнесутся к этому несерьезно, но, если кто-то попробует их так шантажировать, они вспомнят ваш совет.




Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 09-08-2016, 21:20:14
СПЕЦИАЛИСТЫ ИЗ RED BALOON SECURITY ВЗЛОМАЛИ МОНИТОР

Всем известно, что компьютер, смартфон или планшет могут взломать хакеры, а потом получить доступ к персональным данным. Но кто бы мог подумать, что монитор тоже не так безопасен, как кажется на первый взгляд?! Да, именно тот компьютерный монитор, с которого вы, вероятно, прямо сейчас читаете этот пост. Оказалось, что он -- не просто обычная светящаяся штука со всеми этими пикселями, выводом изображения на экран и прочим. Как правило, мониторы значительно умнее, чем о них думают пользователи, поэтому ими хакеры тоже интересуются.


Исследователи из Red Balloon Security во главе с Энг Цуем, ведущим специалистом по кибербезопасности и сооснователем компании, пришли к неутешительным выводам: как и многие другие современные устройства, мониторы содержат внутри своих корпусов микроконтроллеры, а это значит, что монитор может быть взломан.

Очень скоро опасения Энг Цуя подтвердились, и он сообщил, что теперь его команда умеет взламывать мониторы и получать к ним доступ. Поэтому, по его словам, теперь диплеям не следует слепо доверять, а то мало ли, что там может вам вывести на экран монитор, контроль над которым получили злоумышленники.

В прошлом году на мероприятии Black Cat Цуй смог взломать принтер, после чего превратил его в устройство для подслушивания. Теперь, когда Цуй и команда его специалистов научилась взламывать мониторы, на экран можно выводить всё, что захочется, заменяя нормальное изображение своими. Пока всё не так гладко, ведь хакеры не могут быстро менять изображение на захваченном мониторе, но и прогресс не стоит на месте, могут и научиться. Чем опасен взлом монитора? Энг Цуй привёл простой пример: вывод ложной информации на мониторы электростанции, например. Страшновато.

Приложение-вымогатель выглядит как экран активации Windows


Новое блокирующее экран приложение-вымогатель появилось в сети и нацелено главным образом на пользователей из США. Оно выглядит как окно активации системы Windows и просит позвонить на бесплатный номер для возвращения доступа к своему компьютеру.
Приложение было обнаружено компанией Symantec и не распространяется столь же массово, как другие программы подобного рода. Также приложение отличается тщательным планированием. Инфицирование происходит через файл под названием freedownloadmanager.exe. Попав на компьютер, оно отображает стандартные обои Windows 10 и поле ввода. Над ним написано:
Your Windows Licence has Expired, Please get a new one by calling on 1-888-303-5121
(http://www.oszone.net/figs/u/316767/160807155940/ransomware-mimics-windows-activation-screen-uses-poisoned-search-results-507041-2.jpg)
Над сообщением находятся иконки приложений LogMeIn и TeamViewer. Это известные приложения для дистанционного доступа к компьютерам. Роль этих ярлыков пока неясна, однако сама их природа заставляет серьёзно насторожиться и забеспокоиться за конфиденциальность своих данных.
Специалисты Symantec звонили по указанному номеру, но ответа не получили, так что стоимость разблокировки остаётся неизвестной. Зато стало известно, что если ввести в поле активации 8716098676542789, приложение-вымогатель будет устранено.


Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 09-08-2016, 21:50:49
Обнаружен Linux-троян, написанный на языке Go

«Доктор Веб» предупреждает о появлении новой вредоносной программы, способной инфицировать компьютеры под управлением операционных систем Linux. Зловред получил обозначение Linux.Lady.1.
(http://www.3dnews.ru/assets/external/illustrations/2016/08/09/937467/tr1.jpg)
Особенностью названного трояна является то, что он написан на языке Go. Этот компилируемый, многопоточный язык программирования разработан компанией Google. Go разрабатывался как язык системного программирования для создания высокоэффективных программ, работающих на современных распределённых системах и многоядерных процессорах.
В своей архитектуре троян использует множество библиотек, опубликованных на популярном сервисе хранения и совместной разработки приложений GitHub. После запуска зловред передаёт на управляющий сервер информацию об установленной на компьютере версии Linux и наименовании семейства ОС, к которой она принадлежит, данные о количестве процессоров, имени, числе запущенных процессов и иные сведения. В ответ троян получает конфигурационный файл.
(http://www.3dnews.ru/assets/external/illustrations/2016/08/09/937467/tr2.jpg)
Основное предназначение вредоносной программы -- добыча криптовалют. Полученные деньги троян зачисляет на принадлежащий злоумышленникам электронный кошелек.
Нужно отметить, что опасные приложения, созданные с использованием языка Go, попадались вирусным аналитикам и ранее, но пока они встречаются относительно нечасто. Зловред Linux.Lady.1 -- один из примеров подобных вредоносных программ.
Источник:
drweb.com
Название: Re:Новые угрозы , кибер - преступления,вирусы l
Отправлено: CaPa от 10-08-2016, 13:51:00
не то что бы вирус, особенно если учесть, что его ещё надо установить.  но всё же...
хотя сейчас для яблока и то больше вирусов (http://www.capa.me/smiles/sm_victory.gif)

а вообще спасибо большое, что мониторишь эту тему и пишешь обо всех новинках
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 11-08-2016, 20:57:27
(http://www.capa.me/smiles/sml21.gif)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 11-08-2016, 21:07:13
Уязвимость в ядре Linux позволяет внедрять вредоносное ПО в загрузки
(http://www.securitylab.ru/upload/iblock/757/757bc81c0d07ca3b2022c0fa77fe4cd1.png)
Для прерывания соединения и внедрения вредоносного ПО не нужно осуществлять MiTM-атаку.
Эксперты Калифорнийского университета в Риверсайде обнаружили уязвимость в ядре Linux, позволяющую удаленно внедрять вредоносное ПО в web-страницы и загрузки, прерывать соединение с Tor, осуществлять DoS-атаки и пр.
Серьезная ошибка, связанная с TCP/IP, затрагивает версии ядра, начиная с 3.6. С ее помощью злоумышленник может определить, общаются ли между собой по сети две какие-либо системы, прервать соединение между ними или внедрить в передаваемый трафик вредоносный код, если он не зашифрован должным образом. Для этого не нужны ни атака «человек посередине», ни прослушивание сети. Злоумышленник может отправлять специальным образом сформированные пакеты обеим сторонам соединения, находясь в стороне. Достаточно лишь знать IP-адреса клиента и сервера и иметь возможность отправлять им пакеты.
Уязвимость связана с реализацией RFC 5961 - сравнительно нового стандарта, предназначенного для защиты от кибератак определенного класса. Однако в данном случае именно он является причиной проблемы. Как пояснил руководитель исследования Чжиюнь Цянь (Zhiyun Qian), уникальная особенность атаки заключается в том, что для ее осуществления практически ничего не нужно.
«По существу, провести атаку может каждый, если атакуемая машина находится в сети, позволяющей осуществить IP-спуфинг. Все, что требуется - лишь пара адресов (клиента и сервера), получить которые не составит труда», - отметил Цянь.
Исследователи наглядно продемонстрировали атаку в ходе 25-й конференции USENIX Security Symposium в среду, 10 августа. Эксперты атаковали главный сайт издания USA Today, внедрив JavaScript-код, способный похищать вводимые в авторизационную форму пароли пользователей.
Исследователи продемонстрировали атаку на сервер Tor (в ходе презентации использовался специально созданный сервер, поэтому атака не затронула легитимный трафик), а также исследовали 40 серверов Tor по всему миру. 16 из них отразили атаку, вероятно, с помощью межсетевых экранов, однако 88,8% остальных соединений были прерваны. На одну атаку у экспертов ушло в среднем 51,1 с.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 12-08-2016, 01:06:52
вот это уже дыра.... и похоже, ей уже лет 5, если ни больше
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 13-08-2016, 00:05:10
Новый вариант вымогательского ПО Shade научился отыскивать компьютеры бухгалтеров

Злоумышленники продолжают расширять возможности зловредов, стремясь извлечь максимальную выгоду от компрометации заражённых компьютеров. Интересный пример подобной «модернизации» мы обнаружили недавно: в новой версии широко распространённого на территории России и СНГ шифровальщика Shade появилась новая логика, в соответствии с которой зловред проверяет компьютер на причастность к бухгалтерии и в случае успеха устанавливает в скомпрометированную систему инструменты удалённого управления вместо стандартного шифрования файлов.



В качестве первичной проверки зараженной машины обновленный троянец (вердикт Trojan-Ransom.Win32.Shade.yb) перебирает список установленных в системе приложений и ищет строки, связанные с банковским ПО. Затем зловред ищет подстроки «BUH», «BUGAL», «БУХ», «БУГАЛ» в имени компьютера и пользователя. Если совпадение было найдено, троянец пропускает обычную процедуру поиска и шифрования файлов. Вместо этого он скачивает и запускает файл по заданной в конфигурации ссылке, а сам завершает исполнение.

Технически новые возможности выглядят так: в теле зловреда есть новый (по сравнению с предыдущими версиями Shade) блок данных, закодированных в base64:

(https://cdn.securelist.ru/files/2016/08/shade_not_only_ru_1.png)

После раскодирования видим конфигурационный блок:

(https://cdn.securelist.ru/files/2016/08/shade_not_only_ru_2.png)

Сразу после старта Shade начинает проверку зараженной системы в соответствии с этим конфигурационным блоком.

Троянец Shade.yb скачивает на компьютер пользователя бот Teamspy, который для коммуникации со своим командным сервером использует легальную утилиту удалённого управления TeamViewer 6, на лету модифицируя ее для незаметной работы. Вместе с ботом распространяются плагины (в нашем случае это installvpn.pg, rdw.pg, scankey.pg), которые хранятся на диске в зашифрованном виде и расшифровываются зловредом только в оперативной памяти. Расшифрованный плагин представляет собой DLL с экспортом InitPg, который и вызывается основным модулем бота. Отдельно отметим два плагина, выполнение которых предоставляет злоумышленникам возможность осуществить удаленный доступ к зараженной машине по протоколу Remote Desktop Protocol (RDP):

installvpn.pg: в скрытном режиме устанавливает драйвер TeamViewer VPN.
rdw.pg: в скрытном режиме устанавливает приложение «RDP Wrapper Library» и меняет настройки системы таким образом, чтобы разрешить соединение по протоколу RDP.
Автоматического соединения с VPN зловред не производит: возможно, эта возможность оставлена злоумышленниками для каких-то особых случаев.

Заражение системы

Скачиваемый исполняемый файл Teamspy представляет собой NSIS-инсталлер. Его содержимое включает:

NSIS-скрипт script.bin (сценарий, управляющий распаковкой);
стандартные плагины NSIS -- nsExec.dll, StdUtils.dll, System.dll;
легальную утилиту NirCmd (файл 6kzi6c94h2oeu4);
легальную утилиту 7zip (файл vuoup3teqcux6q);
картинку 2b6zfhf3ui7e03iv6.jpg

(https://cdn.securelist.ru/files/2016/08/shade_not_only_ru_3.jpg)
картинку 6nmxxselb250du8c.jpg с «приклеенным» запароленным архивом 7z
(https://cdn.securelist.ru/files/2016/08/shade_not_only_ru_4.jpg)

При запуске инсталлер исполняет скрипт script.bin: с помощью StdUtils.dll вычисляет хэш BLAKE2-512 от содержимого 2b6zfhf3ui7e03iv6.jpg и использует полученную строку как пароль к 7z-архиву, спрятанному внутри 6nmxxselb250du8c.jpg.

Из архива распаковывается скрытая папка «%APPDATA%\Div» со следующим содержимым:

Подпапка x64, содержащая файлы install64.exe, teamviewervpn.cat, TeamViewerVPN.inf и teamviewervpn.sys (легальные компоненты TeamViewer).
Подпапка x86, содержащая файлы install.exe, teamviewervpn.cat, TeamViewerVPN.inf и teamviewervpn.sys (легальные компоненты TeamViewer).
Тело бота avicap32.dll.
Легальный исполняемый файл TeamViewer - cfmon.exe.
Зашифрованные плагины бота installvpn.pg, rdw.pg, scankey.pg.
Зашифрованный конфиг бота tv.cfg.
Легальные компоненты TeamViewer: TeamViewer_Desktop.exe, TeamViewer_Resource_en.dll, tv_w32.dll, tv_w32.exe, tv_x64.dll,tv_x64.exe.
После распаковки инсталлер запускает cfmon.exe. При старте этого процесса происходит загрузка и передача управления расположенному в той же директории вредоносному файлу avicap32.dll, являющемуся телом бота (данная техника подмены легальной DLL на вредоносную известна под названием «DLL hijack»). Это тело имеет несколько слоев шифрования и обфусцировано для усложнения анализа.

Принцип работы бота

Вредоносный avicap32.dll в процессе исполнения модифицирует функциональность запущенного процесса TeamViewer путем перехвата нескольких системных вызовов, а также внутренних процедур TeamViewer. Одним из последствий этой модификации является сокрытие окна программы и ее значка в области уведомлений. Пользователь зараженного компьютера не видит графического интерфейса программы и может не подозревать о его наличии, если не посмотрит в список запущенных процессов.
(https://cdn.securelist.ru/files/2016/08/shade_not_only_ru_5.png)


Фрагмент псевдокода процедуры установки перехватов

Помимо сокрытия интерфейса TeamViewer, avicap32.dll расшифровывает и использует данные из конфигурационного файла tv.cfg.

(https://cdn.securelist.ru/files/2016/08/shade_not_only_ru_6.png)

Расшифрованное содержимое tv.cfg

Значение поля szadminhost - это адрес сервера C&C, с которым общается бот. Коммуникация происходит по протоколу HTTP, пример перехваченного трафика представлен на скриншоте.
(https://cdn.securelist.ru/files/2016/08/shade_not_only_ru_7.png)
В первом запросе бот сообщает C&C о своем существовании. В ответ C&C посылает команду (в данном случае lexec - загрузка и исполнение файла, о других командах ниже). Третьим запросом бот сообщает серверу результат выполнения команды: «cmd=1» - успех, «cmd=2» - ошибка.

Обработка команд от сервера производится в отдельном потоке, запущенном из процедуры, установленной на перехват API-функции SetWindowTextW.
(https://cdn.securelist.ru/files/2016/08/shade_not_only_ru_8.png)


Общий вид графа исполнения функции обработки команд
(https://cdn.securelist.ru/files/2016/08/shade_not_only_ru_9.png)

Фрагмент графа исполнения функции, разбирающей и выполняющей команды от сервера

(https://cdn.securelist.ru/files/2016/08/shade_not_only_ru_10.png)

Список строк, среди которых находятся принимаемые ботом команды

Из наиболее интересных команд, принимаемых зловредом, отметим следующие:

startaudio / stopaudio: начать/завершить запись звука
startvideo / stopvideo: начать/завершить запись видео с экрана
lexec: скачать и запустить файл по предоставленной сервером C&C ссылке
cmd: предоставить злоумышленникам консоль удаленного управления
Остальные команды связаны с обновлением конфигурационного файла и отдельных его полей, обновлением или удалением плагинов, управлением питанием ПК (выключение, перезагрузка), перезапуском собственного процесса или самоудалением бота.

Заключение

Использование бота открывает перед злоумышленниками широкие перспективы обогащения и в случае даже единичного успешного заражения может принести им значительные суммы денег. Троянцы-шифровальщики, по сути, отдают инициативу пользователю (который волен не платить за свои файлы), а их хозяева должны учитывать усредненную платежеспособность жертв при назначении выкупа. Возможность удаленного доступа к зараженной бухгалтерской системе позволяет злоумышленнику скрытно следить за деятельностью жертвы и собирать подробные сведения о ее платежеспособности, чтобы впоследствии использовать наиболее эффективный способ получения денег.

Продукты «Лаборатории Касперского» детектят тело бота как Trojan-Spy.Win32.Teamspy.gl; этот зловред также известен как TVSPY, TVRAT, SpY-Agent.

У жертв троянца Shade версий 1 и 2 есть шанс восстановить данные без оплаты выкупа киберпреступникам. ИТ-компании объединили усилия с правоохранительными органами, чтобы создать инструмент для дешифрования данных, его можно найти на сайте NoMoreRansom
https://www.nomoreransom.org/decryption-tools.html (https://www.nomoreransom.org/decryption-tools.html)
MD5

Trojan-Ransom.Win32.Shade.yb 21f4bbcd65d0bff651fa45d442e33877

Trojan-Spy.Win32.Teamspy.gl 4235f3730bbd303d9b3956f489ff240d
Название: Re:Новые угрозы , кибер - преступления,вирусы l
Отправлено: CaPa от 14-08-2016, 13:54:37
Обалдеть! прочитал на одном дыхании как интереснейший детектив. Это вам не др.Вэб или ЕСЕТ, тут действительно всё по полочкам разобрано.
Появилось представление, чем сейчас живут вирусописатели и как они "шифруются".

Спасибо за интересную статью!
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 14-08-2016, 16:00:11
(http://www.capa.me/smiles/sml21.gif)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 16-08-2016, 21:18:29
Представлен новый метод обнаружения аппаратных троянов

Принцип действия метода заключается в отслеживании потока информации в логических элементах процессора и определении нарушений безопасности.
Команда исследователей из Калифорнийского университета в Сан-Диего и Северо-Западного политехнического университета разработали новый метод обнаружения троянов, внедряемых на аппаратном уровне (аппаратная закладка). Принцип действия метода заключается в отслеживании потока информации в логических элементах процессора и определении нарушений безопасности и их причин.
Новая разработка использует технику под названием GLIFT (gate-level information flow tracking), которая назначает ярлык для важных данных в аппаратном модуле. Если цель заключается в определении участков, где хранится, обрабатывается или передается информация, например, криптографический ключ, «конфиденциальные» ярлыки будут назначены элементам ключа.
Любая конфиденциальная информация (в данном случае криптографический ключ) должна содержаться в пределах определенного безопасного участка чипа. Если ключ находится за его рамками, значит, аппаратное обеспечение может быть скомпрометировано.
По словам соавтора исследования, профессора Райана Кастнера (Ryan Kastner), трояны специально разрабатываются таким образом, чтобы избегать активации во время тестирования. Новый метод позволит обнаружить даже самые незначительные ошибки в дизайне и определить, существует проблема из-за трояна или нет.
http://ucsdnews.ucsd.edu/pressrelease/nowhere_to_hide_uc_san_diego_researchers_devise_proactive_method_for_detect (http://ucsdnews.ucsd.edu/pressrelease/nowhere_to_hide_uc_san_diego_researchers_devise_proactive_method_for_detect)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 18-08-2016, 15:25:12
вот это пять! апплодирую стоя (http://www.capa.me/smiles/sm_clap.gif)
я надеюсь это всё попадёт в открытый доступ и каждый желающий сможет проверить своё железо
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 28-08-2016, 14:42:36
Ученые научились по Wi-Fi перехватывать нажатия клавиш на клавиатуре

Технология WiKey позволяет определять нажатия на клавиши с точностью до 97,5%.
Группа исследователей из Университета штата Мичиган (США) и Нанкинского университета (КНР) обнаружила новый способ перехвата нажатий клавиш на клавиатуре, находясь неподалеку от жертвы. Для успешного осуществления атаки достаточно использовать готовое компьютерное оборудование (т.е. ничего собирать не надо) и стандартное Wi-Fi соединение.
Разработанная учеными технология WiKey не идеальна, но позволяет определять нажатия на клавиши с точностью до 97,5% в контролируемой среде и до 77,5% в реальных условиях. WiKey работает подобно другим технологиям распознавания движений и жестов, например, Intel RealSense. Однако в отличие от них она распознает куда более мелкие движения, такие как нажатия на кнопки.
Для осуществления атаки исследователи использовали недорогостоящее доступное оборудование (маршрутизатор TP-Link WR1043ND и ноутбук Lenovo X200) и протокол 802.11n/ac Wi-Fi. С помощью значений информации о состоянии канала (Channel State Information, CSI) им удалось уловить движения в заданной среде.
Ранее CSI использовалась для распознавания более крупных движений и позволяла определять присутствие человека в комнате и улавливать жесты. На базе этой технологии была разработана система WiHear, способная распознавать движения рта, то есть читать по губам. WiKey вывела WiHear на совершенно другой уровень - теперь с ее помощью можно не только читать по губам, но и определять движения пальцев, рук и клавиш.
Распознавать микродвижения довольно сложно. В контролируемой среде без посторонних движений ученые смогли уловить даже малейшие изменения в активности беспроводного канала. Для получения данных с помощью Wi-Fi исследователи использовали каналы MIMO. MIMO - метод пространственного кодирования сигнала, позволяющий увеличить полосу пропускания канала, в котором передача и прием данных осуществляются системами из нескольких антенн.
«Каждый канал MIMO между каждой парой антенн передатчика и приемника состоит из множества поднесущих частот. Эти Wi-Fi устройства осуществляют постоянный мониторинг состояния беспроводного канала для эффективного распределения передаваемой мощности и адаптации скорости для каждого потока MIMO с целью максимально использовать доступный объем беспроводного канала. Эти устройства определяют состояние канала в значениях CSI. По существу, значения CSI являются частотной характеристикой канала для каждой поднесущей частоты между каждой парой антенн передатчика и приемника», - говорится в докладе ученых.         
Далее ученые отфильтровали посторонние радиошумы и движения, не связанные с нажатиями на клавиши. После удаления помех они определили время, потраченное на нажатие каждой кнопки. Сопоставив полученные значения, ученые привязали к каждой клавише числовое значение, как показано на приведенной ниже таблице. 
(http://www.securitylab.ru/upload/medialibrary/662/662c8712648134f0849f213a5964ab6a.jpg)
По мнению исследователей, WiHear является не только потенциальным вектором атак, но также предоставляет большие возможности для взаимодействия человека с компьютером.
https://www.sigmobile.org/mobicom/2015/papers/p90-aliA.pdf (https://www.sigmobile.org/mobicom/2015/papers/p90-aliA.pdf)

Уязвимость в vBulletin привела к утечке данных 25 млн пользователей поддоменов Mail.ru

Пароли защищены только с помощью MD5 и расшифровать их не составит особого труда. 
Уязвимость в движке vBulletin, позволяющая осуществлять SQL-инъекции, в очередной раз стала причиной утечки данных. На этот раз жертвами хакеров стали порядка 25 млн пользователей поддоменов Mail.ru. Как сообщает LeakedSource, ответственность за инцидент лежит на двух неизвестных злоумышленниках.
Если говорить точнее, жертвами утечки стали 12 881 787 пользователей cfire.mail.ru, 5 029 530 пользователей игрового сайта parapa.mail.ru (игра), 3 986 234 пользователя форумов parapa.mail.ru и 3 236 254 пользователя tanks.mail.ru. В результате атак, осуществленных в июле-августе текущего года, злоумышленникам удалось похитить имена, хешированные пароли, электронные адреса и даты рождения.
Поскольку учетные данные защищены только с помощью MD5, расшифровать их не составит особого труда. Эксперты LeakedSource уже восстановили большую часть паролей и представили рейтинг самых популярных и ненадежных из них. Наиболее часто встречается пароль 123456789 (263 347 раз), а далее следуют 12345678 (201 977 раз), 123456 (89 756 раз), 1234567890 (89 497 раз), qwertyuiop (32 584 раза), 123123123 (31 268 раз) и 11111111 (30 827 раз).
Напомним, за последнее время произошел целый ряд атак с эксплуатацией уязвимости в vBulletin. На днях жертвами утечки данных стали поклонники игры Grand Theft Auto. Кроме того, на этой неделе по той же причине в сеть утекли данные свыше 800 тыс. пользователей форумов Epic Games. Еще раньше злоумышленникам удалось взломать форум для разработчиков Dota 2, форум Clash of Kings, геймерский сайт DLH.net и форум, посвященный Ubuntu.
Комментарий от пресс-службы Mail.Ru Group
Пароли, о которых идет речь в сообщении LeakedSource, давно не актуальны. Это старые пароли от форумов игровых проектов, которые компания приобретала в разные годы. Все форумы и игры Mail.Ru Group уже давно переведены на единую безопасную систему авторизации. К почтовым аккаунтам и другим сервисам компании эти пароли вообще никогда не имели никакого отношения.
Нужно понимать, что распространением информации о подобных сливах занимаются компании, предлагающие услуги в области кибербезопасности и нуждающиеся в продвижении этих услуг. Одна из таких компаний - LeakedSource, за плечами у которой уже несколько громких информационных вбросов, осуществленных в нарушение правила responsive disclosure. Это правило принято среди «белых» хакеров во всем мире и лежит в основе всех авторитетных bug bounty-программ: прежде чем публично рассказывать об уязвимости или утечке, нужно связаться с сервисом и дать ему возможность ее закрыть. Напрашивается вывод, что в основе действий LeakedSource лежит не забота о защищенности пользователей, а стремление к выгоде (например, в процессе взаимодействия с компаниями, пострадавшими от вбросов, LeakedSource агрессивно продвигают подписки на свои платные услуги)


Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 28-08-2016, 14:43:08
Ученые разработали микросхему для обнаружения аппаратных закладок в процессорах

Интегральная схема предназначена для постоянного сканирования центрального процессора на предмет ошибок.
Ученые Инженерной школы Тэндона при Нью-Йоркском университете (NYU Tandon School of Engineering) разработали интегральную схему специального назначения (ASIC), предназначенную для обнаружения скрытых уязвимостей в процессорах.
В настоящее время очень немногие производители могут похвастаться собственными мощностями для производства чипов. Как правило, процессоры разрабатываются одной компанией, а производством занимается другая, обладающая всем необходимым дорогостоящим оборудованием. Проблема заключается в том, что эта компания может внести изменения в архитектуру процессора (добавить аппаратную закладку), сделав его уязвимым к хакерским атакам.
Разработанная учеными интегральная схема предназначена для постоянного сканирования центрального процессора на предмет ошибок, сигнализирующих о наличии трояна. Безусловно, производитель ASIC должен быть полностью доверенным.
«В настоящее время система работает таким образом, что я могу получить от производителя чип со встроенным трояном. Послепроизводственное тестирование может не выявить его, и я отправлю процессор клиентам, - пояснил доцент кафедры электрической и компьютерной инженерии Сиддхартх Гарг (Siddharth Garg). - Однако через два года он начнет работать неправильно. Благодаря нашей разработке я могу не полагаться на чип. Обрабатывая входящие данные, он производит исходящие, а также доказательства корректности. Внешний модуль позволит мне каждый раз проверять эти доказательства».
Напомним, ранее метод для обнаружения аппаратных закладок также представили исследователи из Калифорнийского университета в Сан-Диего и Северо-Западного политехнического университета. 

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 28-08-2016, 14:54:37
СМИ: шпионский софт, из-за которого Apple выпустила iOS 9.3.5, маскировался под сайты российских компаний

Шпионский софт для устройств Apple, после обнаружения которого американская корпорация выпустила новую версию операционной системы iOS 9.3.5, маскировался под 305 различных сайтов, среди которых были клоны официальных ресурсов российских компаний и организаций. Об этом сообщает RNS со ссылкой на источник, близкий к компании Lookout.

(http://www.macdigger.ru/wp-content/uploads/2016/08/kabluk-1.jpg)

По его словам, вредоносное ПО распространялось через ссылки на сайты, маскировавшиеся под «Одноклассники» (odnoklasniki-ru.com ), «Яндекс» (yanidex.net), «Билайн» (beeline-info.uz), «ВКонтакте»(vk-image.net), МЧС (mchs-net.com). Вирус распространялся через ссылки на сайты, дублирующие ресурсы и таких крупных компаний, как WhatsApp, YouTube, Twitter и др., в том числе замаскированные под арабские, мексиканские, японские и другие версии, говорит источник.

Пользователю, против которого осуществлялась атака, присылали уникальную ссылку, скачать вирус можно было только один раз. В последующие разы ссылка отправляла пользователя на видеоролики на YouTube. Источник указал на два ролика -- оба на арабском языке, один из них посвящен новости о роли России в ситуации вокруг Сирии.
(http://www.macdigger.ru/wp-content/uploads/2016/08/kabluk-2.jpg)


Накануне Apple выпустила новую версию мобильной iOS 9.3.5 для iPhone и iPad, чтобы устранить критическую уязвимость после взлома смартфона эмиратского диссидента Ахмеда Мансура. Он получил SMS-сообщение со ссылкой на вирус, но вместо перехода по ссылке переслал сообщение экспертам Citizen Lab. Эксперты компании в сотрудничестве с Lookout изучили вирус и уведомили о нем Apple.

Citizen Lab приписывает атаку частному поставщику систем наблюдения - израильской компании NSO Group. Эта компания разрабатывает для правительств программное обеспечение, способное тайно собирать информацию со смартфонов пользователей.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 29-08-2016, 14:02:53
ну что-вы, что-вы!  в айфонах не бывает вирусов, тем более шпионов. Это всё происки клятого гугля (http://www.capa.me/smiles/sm_lol.gif)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 31-08-2016, 03:02:55
Вымогательское ПО FairWare взламывает Linux-серверы и удаляет корневые папки сайтов

Вымогатель загружает похищенные файлы на сервер злоумышленников и требует 2 биткойна за их возвращение.
Как сообщает Лоуренс Абрамс (Lawrence Abrams) из Bleeping Computer, пользователей Linux атакует новый вид вымогательского ПО. FairWare взламывает Linux-серверы, удаляет web-папки и требует от жертв 2 биткойна за их восстановление. В отличие от другого вымогательского ПО этот вредонос не шифрует файлы, а загружает их на подконтрольный злоумышленникам сервер.
Атака была впервые обнаружена, когда администраторы столкнулись с внезапным отключением своих сайтов. Попытавшись авторизоваться на Linux-сервере, они обнаружили , что корневые папки сайтов были удалены, а в /root/folder появился файл READ_ME.txt. Файл содержал ссылку на записку с требованием выкупа, опубликованную на Pastebin. Согласно ей, жертва может получить обратно свои файлы, если в течение двух недель перешлет на указанный кошелек 2 биткойна.
В записке также указан электронный адрес для связи с вымогателями. По словам злоумышленников, они не будут отвечать на «глупые» вопросы наподобие «можно ли мне сначала увидеть файлы?», и намерены сотрудничать только с теми, кто готов платить. После уплаты выкупа хакеры обещают предоставить жертвам доступ к файлам. «Когда все будет готово, вы сможете удалить их с нашего сервера», - сообщается в записке. Тем не менее, в настоящее время пока неизвестно, действительно ли злоумышленники возвращают файлы.

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 31-08-2016, 03:03:48
Обнаружен троян, способный менять настройки прокси и перехватывать HTTPS-трафик

Вреднос модифицирует настройки прокси в реестре Windows и устанавливает сертификат, позволяющий злоумышленникам прослушивать зашифрованный трафик.
Эксперты компании Microsoft предупредили о появлении нового трояна, способного модифицировать настройки прокси-сервера, «прослушивать» зашифрованный трафик, похищать учетные данные, а также другую важную информацию.
Для распространения вредоноса, получившего название Trojan:JS/Certor.A., злоумышленники используют традиционные методы, в частности, спам-рассылку. Электронные письма включают вложение в виде документа Microsoft Word, содержащее встроенный объект OLE, при открытии которого запускается скрипт Jscript. Данный скрипт замаскирован под безобидный файл, не вызывающий подозрений у пользователя. На самом деле код содержит несколько скриптов PowerShell и собственный сертификат, который далее используется для отслеживания и перехвата HTTPS-трафика.
Оказавшись на системе, вреднос модифицирует настройки прокси Internet Explorer в реестре Windows и устанавливает клиент Tor, планировщик задач, утилиту для туннелирования через прокси, а также сертификат, позволяющий злоумышленникам прослушивать зашифрованный трафик. Кроме того, троян устанавливает еще один сертификат для браузера Mozilla Firefox, поскольку данный интернет-обозреватель использует собственные настройки прокси.
Далее весь трафик перенаправляется на подконтрольный атакующим прокси-сервер. В результате они могут удаленно отслеживать, перенаправлять, модифицировать трафик и похищать важные данные жертвы.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 01-09-2016, 13:59:16
И этот троян называется любой из браузеров! ) 
он так же вытягивают всё из своих клиентов.... логины, пароли, сайты, заполнения всех форм. И всё это лежит в ГУГЛЕ! "Задарма", конечно же )
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 02-09-2016, 03:12:02
МАЛВАРЬ USBEE ПОЗВОЛЯЕТ ИСПОЛЬЗОВАТЬ ЛЮБУЮ ФЛЕШКУ ДЛЯ КРАЖИ ДАННЫХ С ИЗОЛИРОВАННЫХ ПК

Spoiler: показать

руппа исследователей из израильского университета имени Бен-Гуриона хорошо известна тем, что создала уже целый ряд экзотических способов для извлечения данных с компьютеров, которые физически изолированы от любых сетей и вторжений. Теперь исследователи представили еще один способ, благодаря которому в шпионский гаджет можно превратить почти любой USB-девайс и использовать его как RF-трасмиттер для передачи данных с защищенного ПК.

Превратить в передающее устройство практически любую флешку, не производя с ней никаких физических модификаций, позволяет созданная исследователями малварь, которую назвали USBeehttp://cyber.bgu.ac.il/t/USBee.pdf (http://cyber.bgu.ac.il/t/USBee.pdf) (PDF). Сам по себе метод, в ходе которого для извлечения данных с зараженного ПК используются USB-устройства, передающие на радиочастотах, известен давно. Еще в 2013 году, среди документов Сноудена, встречалось описание инструмента с подобной функциональностью.

Вдохновившись примером АНБ, исследователи создали малварь USBee , которая использует шину USB для создания электромагнитного излучения. Малварь способна передавать бинарные данные на расположенный неподалеку ресивер, посредством электромагнитных волн. Для этих целей исследователи использовали RTL-SDR за $30, подключенный к ноутбуку.

Передача данных достигается путем отправки на UBS-устройство (например, флешку или внешний жесткий диск) последовательности «0», что вызывает электромагнитное излучение в диапазоне 240 и 480 МГц. Контролируя эту передачу, можно добиться от устройства «излучения» распознаваемых ресивером единиц и нулей, которые затем могут быть преобразованы в бинарные данные.

USBee может передавать информацию в пределах трех метров, если для передачи используется обычная флешка, вставленная в USB-порт. Радиус передачи может быть расширен до восьми метров, если USB-девайс имеет провод, который может сыграть роль антенны для усиления сигнала.

Видео ниже демонстрирует работу USBee в лабораторных условиях. Способ можно смело назвать эффективным, так как данные передаются со скоростью примерно 80 байт в секунду, то есть для передачи 4092-битного ключа шифрования понадобится менее десяти секунд.
http://www.youtube.com/v/E28V1t-k8Hk

Ранее исследователи из университета имени Бен-Гуриона описывали и другие, весьма неочевидные методы перехвата данных с изолированных машин. К примеру, при помощи FM-приемника в мобильном телефоне, который используется для анализа электромагнитного излучения, исходящего от видеокарты компьютера (AirHopper). Также исследователи предлагали извлекать информацию при помощи термодатчиков и колебаний тепловой энергии (BitWhisper), а в июне 2016 года вообще предложили записывать звук вентиляторов, который, как оказалось, тоже может рассказать о многом (Fansmitter). В середине августа 2016 года также была представлена техника DiskFiltration, которая использует для передачи информации с зараженного ПК шум, который во время работы создают HDD и SSHD.
http://cyber.bgu.ac.il/t/USBee.pdf (http://cyber.bgu.ac.il/t/USBee.pdf)



В более 40% атак хакеры используют SSL-шифрование для сокрытия вредоносного ПО
Spoiler: показать

Практика внедрения вредоносного ПО в зашифрованный трафик представляет существенный риск для корпоративных сетей.
Как показало исследование, проведенное по заказу компаний A10 и Ponemon Institute, шифрование работает настолько эффективно, что киберпреступники используют его для сокрытия вредоносного ПО.
В проведенном опросе приняло участие 1 023 IT-специалиста из Северной Америки и Европы, работающих в финансовом и общественных секторах, а также в сфере здравоохранения. По признанию 80% респондентов, за прошедший год их компании становились жертвами кибератак, причем в 41% случаев злоумышленники использовали SSL-шифрование для сокрытия вредоносного ПО в попытках избежать обнаружения.
Как отметили 75% опрошенных, практика внедрения вредоносного ПО в зашифрованный трафик представляет существенный риск для корпоративных сетей. При этом две трети специалистов признались в том, что в системах их компаний не реализованы инструменты для обнаружения вредоносного трафика.
Согласно отчету, главные причины, по которым компании не дешифруют зашифрованный трафик, заключаются в отсутствии инструментов защиты (47%), нехватке сетевых и финансовых ресурсов (45%) и снижении продуктивности сети (45%).
Как прогнозирует большинство респондентов, в следующем году угроза риска значительно увеличится в связи с ростом использования злоумышленниками шифрованного трафика для обхода защиты и уклонения от обнаружения решениями, обеспечивающими безопасность.


НЕЗАМЫСЛОВАТЫЙ ТРОЯН УДАЛЕННОГО ДОСТУПА REVENGE БЕСПЛАТНО РАСПРОСТРАНЯЕТСЯ НА ФОРУМАХ
(https://xakep.ru/wp-content/uploads/2016/09/revenge-rat.png)

Независимый исследователь, известный под псевдонимом Rui, решил изучить новый RAT (Remote Access Trojan) Revenge. Внимание исследователя привлек тот факт, что образчик малвари, загруженный на VirusTotal, показал результат 1/54, то есть практически не обнаруживался антивирусными продуктами. Выяснилось, что Revenge написан человеком, который известен под ником Napoleon, и распространяется совершенно бесплатно.
(https://xakep.ru/wp-content/uploads/2016/09/tweet.png)

(https://xakep.ru/wp-content/uploads/2016/09/virustotal-1040x569.png)
О трояне Rui случайно узнал из твиттера, где другой исследователь опубликовал ссылку на результаты проверки, произведенной VirusTotal, а также приложил ссылку на арабский форум Dev Point, на котором распространялась малварь. Rui заинтересовался вопросом, перешел на указанный в сообщении форум, где действительно обнаружил ссылку на сайт разработчика вредоноса, размещенный на платформе blogger.com. С сайта исследователь без проблем скачал архив, содержащий Revenge-RAT v.0.1.

(https://xakep.ru/wp-content/uploads/2016/09/Dev-Point--1040x610.png)

Изучение трояна не представляло большой проблемы, так как его автор не озаботился даже базовой защитой и обфускацией кода. В этом свете не совсем ясно, почему сканеры VirusTotal не обнаруживали угрозу, но ответа на этот вопрос Rui пока найти не смог.

Первая версия малвари появилась на форумах Dev Point еще 28 июня 2016 года. Revenge написан на Visual Basic и, в сравнении с другими RAT, нельзя сказать, что вредонос обладает широкой функциональностью. Исследователь перечислил некоторые возможности малвари: Process Manager, Registry Editor, Remote Connections, Remote Shell, а также IP Tracker, который использует для обнаружения местоположения зараженной машины ресурс addgadgets.com. Фактически троян умеет работать кейлоггером, отслеживать жертву по IP-адресу, перехватывать данные из буфера, может составить список установленных программ, хостит файловый редактор, умеет редактировать список автозагрузки ОС, получает доступ к веб-камере жертвы и содержит дампер для паролей. Автор малвари, Napoleon, не скрывает, что его «продукт» находится в стадии разработки, и именно поэтому пока распространяется бесплатно.
(https://xakep.ru/wp-content/uploads/2016/09/rar.png)

Содержимое архива, скачанного Rui
«Такое чувство, что я зря потратил время, увидев этот результат 1/54 с VirusTotal, --  подводит итог исследователь. -- Автор [трояна] даже не попытался спрятать код хоть как-то, а архитектура слаба и банальна. Хорошо, что автор не пытается продавать свой RAT и, вероятно, только учится кодить. В любом случае, удивительно (или нет), что такие простейшие инструменты по-прежнему способны успешно скомпрометировать некоторые системы, что и демонстрирует нам видео на YouTube, размещенное автором [малвари]».

http://www.youtube.com/v/z5mE6ERcPiY


Результаты своих изысканий исследователь передал операторам VirusTotal, и теперь рейтинг обнаружения Revenge уже составляет 41/57. Так как некоторые известные антивирусы по-прежнему «не видят» трояна, Rui пишет, что «это просто демонстрирует, насколько ущербна вся антивирусная индустрия в целом».


Название: Re:Новые угрозы , кибер - преступления,вирусы l
Отправлено: CaPa от 04-09-2016, 12:28:36
ну и статейка...
читаешь сначала, что вирус ерунда и почти ничего не умеет, а затем перечисляют то, что он умеет: "Process Manager, Registry Editor, Remote Connections, Remote Shell, а также IP Tracker, который использует для обнаружения местоположения зараженной машины ресурс addgadgets.com. Фактически троян умеет работать кейлоггером, отслеживать жертву по IP-адресу, перехватывать данные из буфера, может составить список установленных программ, хостит файловый редактор, умеет редактировать список автозагрузки ОС, получает доступ к веб-камере жертвы и содержит дампер для паролей."
и этого МАЛО? (http://www.capa.me/smiles/sm_good.gif). Простите, а что ещё бывает? Я сейчас себя школьником почувствовал)

а потом ещё больше - "такое чувство что я зря потратил время - вирус обнаружился на 1 из 55 антивирусов" - расстраивается автор.  А как надо было? 0 ? )))
Что то эти журналисты совсем зажрались
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 04-09-2016, 13:05:51
(http://www.capa.me/smiles/sm_lol.gif)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 04-09-2016, 14:46:41
40 приложений с опасным Android-трояном   В магазине Google Play
http://blog.checkpoint.com/2016/08/31/dresscode-android-malware-discovered-on-google-play/ (http://blog.checkpoint.com/2016/08/31/dresscode-android-malware-discovered-on-google-play/)
Spoiler: показать
com.dark.kazy.goddess.lp
com.whispering.kazy.spirits.pih
com.shelter.kazy.ghost.jkv
com.forsaken.kazy.game.house
com.dress.up.Musa.Winx.Stella.Tecna.Bloom.Flora
com.dress.up.princess.Apple.White.Raven.Queen.Ashlynn.Ella.Ever.After.High
com.monster.high.Dracubecca.freaky.Fusion.draculaura
com.dress.up.Cerise.Hood.Raven.Queen.Apple.White.Ever.After.Monster.High
com.ever.after.high.Swan.Duchess.barbie.game
com.cute.dressup.anime.waitress
com.rapunzel.naughty.or.nice
guide.slither.skins
clash.royale.guide
guide.lenses.snapchat
com.minecraft.skins.superhero
com.catalogstalkerskinforminecraft_.ncyc
com.applike.robotsskinsforminecraft
com.temalebedew.modgtavformcpe
com.manasoft.skinsforminecraftunique
com.romanseverny.militaryskinsforminecraft
com.temalebedew.animalskinsforminecraft
com.temalebedew.skinsoncartoonsforminecraft
com.str.carmodsforminecraft
com.hairstyles.stepbystep.yyhb
com.str.mapsfnafforminecraft
com.weave.braids.steps.txkw
mech.mod.mcpe
com.applike.animeskinsforminecraftjcxw
com.str.furnituremodforminecraft
com.vladgamerapp.skin.editor.for_.minecraft
ru.sgejko.horror.mv
com.vladgamerapp.skins.for_.minecraft.girls
com.zaharzorkin.cleomodsforgtasailht
com.temalebedew.ponyskins
com.my.first.date.stories
com.gta.mod.minecraft.raccoon
com.applike.hotskinsforminecraft
com.applike.serversforminecraftpe
com.zaharzorkin.pistonsmod
wiki.clash.guide
mobile.strike.guide
prank.calling.app
sonic.dash.guide


Эксперты исследовательской компании Check Point обнаружили новый тип вредоносных приложений для Android. Троян, получивший название DressCode, делает смартфон частью ботнета, который похищает данные с защищенных серверов и осуществлять атаки на сервисы в Сети.

Троян способен перехватывать контроль над инфицированным Android-смартфоном и подключать его к ботнету. По сути, «зловред» действует в качестве маяка, постоянно поддерживающего связь с командным сервером злоумышленников. Как только оператор ботнета решает, какие вредоносные действия нужно выполнить, он отправляет соответствующий код на нужные устройства.


Оказавшись на устройстве, DressCode связывается с управляющим сервером. После того, как связь будет установлена, C&C-сервер переводит троян в «спящий» режим до тех пор, пока не возникнет необходимость в использовании инфицированного устройства. При активации вредоносного ПО зараженный гаджет превращается в SOCKS-прокси, который может использоваться для перенаправления трафика.

Таким образом злоумышленник может получить доступ даже к защищенным межсетевым экраном сетям. Отправив вредоносную команду на инфицированное мобильное устройство, атакующий может заставить его сканировать сеть на наличие полезной информации.

Злоумышленники активно используют ботнет для распространения нежелательной рекламы и накрутки кликов в целях получения личной выгоды. Согласно статистике Google Play, содержащие DressCode приложения были загружены около 2 миллионов раз.


Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 07-09-2016, 01:24:59
Обнаружен новый руткит для Linux

Троян внедряется в функционал libc, поэтому обнаружить его могут только инструменты, не использующие данную библиотеку.
Исследователи компании Trend Micro сообщили о появлении нового руткита, работающего исключительно на Linux-системах, включая системы на базе процессоров Intel и ARM. По данным экспертов, руткит, получивший название Umbreon (в честь одноименного персонажа Pokémon), активно используется злоумышленниками в кибератаках.
Инсталляция вредоноса на скомпрометированной системе осуществляется вручную. Таким образом атакующие могут каждый раз менять место установки руткита, что значительно усложняет его автоматическое обнаружение. По словам исследователей, троян внедряется в функционал libc, поэтому обнаружить его могут только инструменты, не использующие данную библиотеку.
Функционал Umbreon довольно обширен. Троян может перехватывать сетевой трафик, модифицировать команды консоли, устанавливать связь с C&C-сервером и работать в качестве бэкдора, предоставляя злоумышленнику полный доступ к скомпрометированному устройству.
Поскольку руткит работает на пользовательском уровне, его устранение возможно осуществить вручную путем загрузки Linux Live CD и удаления вредоносных файлов. Данную процедуру рекомендуется выполнять только опытным пользователям.

http://blog.trendmicro.com/trendlabs-security-intelligence/pokemon-themed-umbreon-linux-rootkit-hits-x86-arm-systems/ (http://blog.trendmicro.com/trendlabs-security-intelligence/pokemon-themed-umbreon-linux-rootkit-hits-x86-arm-systems/)



Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 07-09-2016, 21:38:22
Представлен способ похищения учетных данных с заблокированного компьютера с помощью USB-донгла

Атака предполагает наличие физического доступа к компьютеру и занимает 13 секунд.
Консультант по кибербезопасности Роб Фуллер (Rob Fuller) представил способ, позволяющий с помощью USB-устройства с системой на кристалле похищать конфиденциальные данные даже с заблокированных компьютеров.
Разработанная экспертом атака базируется на модификации донгла: после подключения к компьютеру донгл определяет себя как Ethernet-адаптер и регистрирует себя в системе как шлюз, DNS-сервер и WPAD-сервер. После успешной инициализации нового Ethernet-адаптера ОС пытается отправить учетные данные по поддельной сети. Поскольку компьютер пытается подключиться к сети через адаптер Ethernet, последний нужно модифицировать таким образом, чтобы он захватывал отправляемые компьютером учетные данные.
Как пояснил Фуллер, если компьютер может видеть как проводную так и беспроводную сеть, он попытается подключиться к наиболее быстрой из них и выберет USB-донгл.
По словам исследователя, представленная им атака по определению не должна была бы работать, однако она работает. Фуллер успешно протестировал ее на Windows 10 и более ранних версиях (за исключением Windows 8    ), а также на OS X El Capitan. В ходе исследования он использовал два донгла - USB Armory и Hak5 Turtle. Вышеописанный метод предполагает наличие физического доступа к целевой системе, однако, по словам эксперта, на осуществление атаки ему понадобилось в среднем 13 секунд.
На видео продемоснтрирована разблокировка компьтера на базе ОС Windows 10.

http://www.youtube.com/v/Oplubg5q7ao


Обнаружено первое вредоносное ПО для Linux, написанное на языке Lua

LuaBot инфицирует серверы и устройства «Интернета вещей» и делает их частью ботнета.
Исследователи компании MalwareMustDie! сообщили о ботнете из компьютеров, зараженных трояном LuaBot, написанном на скриптовом языке Lua. Данное семейство представляет собой наиболее новое вредоносное ПО для Linux, инфицирующее серверы и устройства «Интернета вещей».

(https://lh3.googleusercontent.com/t-eFpdt5RwkpI4zCearc2BI0a4O35H0ee49LHWFTrvhxicpqkKkAYTOq9enWIddH7_39sXUQJo4evg=w580-h623-no)

В настоящее время предназначение ботнета точно не известно. В ходе анализа LuaBot эксперты MalwareMustDie! обнаружили код, ответственный за DDoS-атаки, однако о его функциональности говорить пока еще рано. LuaBot представляет собой исполняемый файл в формате ELF, заражающий встраиваемые устройства с процессорами на базе архитектуры ARM. По словам исследователей, ранее им не приходилось сталкиваться с написанном на Lua вредоносным ПО для Linux в формате ELF.
С помощью реверс-инжиниринга части кода трояна экспертам удалось обнаружить, что он подключается к C&C-серверу в Нидерландах, принадлежащему хостинг-провайдеру WorldStream.NL. Исследователи также нашли код, помеченный как «penetrate_sucuri». Вероятно, это указывает на способность LuaBot обходить межсетевой экран Sucuri Web Application Firewall, однако эксперты пока не провели соответствующие тестирования.  

(https://lh3.googleusercontent.com/b3UcRnOOMY4wADYJPbdM_rZOXpjHw_Mku9dku8HQjVMgH9hvjGSOp7AU0wyEIfvTIfJ9f_7LfPc0uQ=w430-h344-no)

Как оказалось, автор LuaBot оставил послание для тех, кто попытается проанализировать код вредоноса: «Hi. Happy reversing, you can mail me: [адрес в доменной зоне .ru]» («Привет. Счастливого реверс-инжиниринга, вы можете написать мне: [адрес в доменной зоне .ru]»).
В настоящее время LuaBot находится на ранней стадии разработки. Впервые троян был обнаружен на прошлой неделе и не числится в VirusTotal.

http://blog.malwaremustdie.org/2016/09/mmd-0057-2016-new-elf-botnet-linuxluabot.html (http://blog.malwaremustdie.org/2016/09/mmd-0057-2016-new-elf-botnet-linuxluabot.html)

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 08-09-2016, 14:51:41
ничего удивительного, учитывая, что ЮСБ-порт, это прямой доступ ко всему.
Другое дело, что если отключена автозагрузка, а у нормальных людей всё отключено, то грош цена этому вирусу.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 08-09-2016, 22:40:24
Обнародовано секретное промо-видео, демонстрирующее шпионское ПО в действии

Spoiler: показать
Журналисты опубликовали рекламное видео для клиентов поставщика шпионского ПО.
Как и любое другое коммерческое предприятие, поставщики инструментов для слежки за владельцами компьютеров и мобильных устройств наподобие Hacking Team или NSO Group должны рекламировать свою продукцию с целью привлечения покупателей. Они обязаны убедить клиентов в том, что предлагаемые ими дорогостоящие технологии действительно стоят каждого потраченного цента.
Для заинтересованных покупателей (как правило, это правоохранительные органы) компании снимают «живое» видео, демонстрирующее шпионское ПО в действии. Такие ролики доступны лишь ограниченному кругу лиц - сотрудникам компаний-производителей, потенциальным покупателям и их посредникам. Изданию Motherboard удалось получить ранее никогда не публиковавшееся десятиминутное видео, демонстрирующее работу шпионской программы. Данное ПО было разработано малоизвестным итальянским подрядчиком RCS Lab, работающим на спецслужбы.
В отличие от Hacking Team компании RCS Lab в течение многих лет удавалось оставаться в тени, и о ее продуктах или клиентах практически ничего не известно. В опубликованном Motherboard видео показан сотрудник RCS Lab, демонстрирующий неизвестному лицу работу шпионского ПО. В ролике поясняется, как с его помощью осуществлять атаки «человек посередине» и заражать вредоносным ПО компьютеры посетителей определенных сайтов.
Разработанный RCS Lab шпионский инструмент Mito3 позволяет с легкостью осуществлять MITM-атаки, лишь установив в ПО соответствующие настройки. Сотрудник правоохранительных органов может указать, какой сайт использовать в качестве вектора атаки, кликнуть на выпадающее меню и выбрать опцию «inject HTML», после чего на выбранном сайте будут появляться вредоносные всплывающие окна.
Mito3 позволяет перехватывать телефонные и видеозвонки жертвы, текстовые сообщения, переписку в чатах, а также следить за ее передвижениями (благодаря GPS) и активностью в соцсетях. Вредонос работает как на десктопных, так и на мобильных ОС. Согласно полученной журналистами рекламной брошюре, Mito3 даже может автоматически переводить записи разговоров в текст.
На 4:45 минуте видео сотрудник RCS Lab демонстрирует атаку в действии на примере mirc.com (сайта клиента популярного чата IRC). Когда жертва заходит на web-страницу, на экране появляется поддельное уведомление о необходимости установить Adobe Flash. После того, как жертва нажмет на «Install», на ее систему загрузится вредоносное ПО


http://www.youtube.com/v/3HFPUIYUMvo

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 08-09-2016, 22:48:51
Новый кроссплатформенный бэкдор способен работать на системах Windows, Linux и Mac OS X

Вредонос может похищать различные данные с компьютера жертвы.
Исследователи «Лаборатории Касперского» сообщили о появлении нового семейства бэкдоров под названием Mokes, способного работать на всех ключевых операционных системах, в том числе Windows, Linux и Mac OS X. Впервые версии для Windows и Linux были обнаружены в январе нынешнего года, а в сентябре эксперт ЛК Стефан Ортлофф (Stefan Ortloff) подтвердил существование варианта для Mac OS X.
Функционал Backdoor.OSX.Mokes.a схож с возможностями версий для Windows и Linux. Вредонос может похищать различные данные с компьютера жертвы. В частности, он способен работать как кейлоггер, перехватывать аудио/видео, делать снимки экрана, отслеживать подключение/отключение внешних носителей, выполнять полученные с управляющего сервера произвольные команды на системе и проверять наличие документов Microsoft Office, включая файлы с расширениями .docx, .doc, .xlsx и .xls.
Оказавшись на системе, вредонос устанавливает связь с C&C-сервером злоумышленников и передает полученную информацию в зашифрованном виде. После запуска Backdoor.OSX.Mokes.a копирует себя в различные папки, в том числе связанные со Skype, Dropbox, Google и Firefox. Эксперт не раскрыл информацию о векторе заражения бэкдора или масштабе его распространения.
Ранее специалисты Trend Micro обнародовали информацию о новом рутките для Linux-систем, способном перехватывать сетевой трафик, модифицировать команды консоли, устанавливать связь с C&C-сервером, а также работать в качестве бэкдора.

https://securelist.com/blog/research/75990/the-missing-piece-sophisticated-os-x-backdoor-discovered/ (https://securelist.com/blog/research/75990/the-missing-piece-sophisticated-os-x-backdoor-discovered/)

Хакеры снова используют атаку десятилетней давности на Windows Media Player
Spoiler: показать
В ходе атаки злоумышленники используют реализованные в Media Player технические средства защиты авторских прав. 
Как сообщили исследователи безопасности Амитай Дан (Amitay Dan) и Ави Туриэль (Avi Turiel), хакеры до сих пор успешно используют атаку десятилетней давности на Windows Media Player. С помощью уже подзабытой техники социальной инженерии злоумышленники заставляют своих жертв запускать вредоносные исполняемые файлы через реализованные в Media Player технические средства защиты авторских прав (Digital Rights Management, DRM).
Механизм DRM в Media Player работает следующим образом: каждый раз, когда пользователь пытается воспроизвести защищенный контент (например, фильм), в плеере отображается всплывающее уведомление с URL-адресом, по которому можно легально приобрести желаемый контент. Если пользователь нажмет «OK», он сможет пройти по указанной ссылке и ввести все необходимые данные, чтобы заплатить за продукт. После оплаты поставщик контента разблокирует фильм, и он станет доступным для просмотра.
Вместо ссылки на легальный продукт злоумышленники оснащают контент ссылкой на подконтрольный им фишинговый сайт. Когда жертва попадает на данный ресурс, ей под видом кодека, якобы необходимого для воспроизведения видео, предлагается установить троян.
Впервые атаки с использованием ссылок в уведомлениях DRM были зафиксированы 10 лет назад. Тем не менее, они по-прежнему малоизвестны и раз в несколько лет всплывают вновь. По словам Дана и Туриэля, злоумышленники снова стали использовать данную атаку. По их словам, через BitTorrent распространяется пиратская копия недавно вышедшего на экран фильма «Парни со стволами» («War Dogs»), с помощью которой хакеры осуществляют вышеупомянутую атаку. Фильм оснащен ссылкой, ведущей на сайт, где наряду с настоящим кодеком Div-X (он необходим для сокрытия вредоносной активности) жертва загружает на свою систему дроппер.

http://blog.cyren.com/articles/windows-media-player-drm-feature-used-for-malware-delivery-again.html (http://blog.cyren.com/articles/windows-media-player-drm-feature-used-for-malware-delivery-again.html)


Халатность стала причиной утечки данных более 20 млн госслужащих США

Spoiler: показать
С 2005 года руководство Управления кадровой службой США игнорировало предупреждения об уязвимости компьютерных систем.
Пренебрежение базовыми мерами защиты информации руководством Управления кадровой службой США привело к масштабной утечке персональных данных более 20 млн американских граждан. К такому выводу пришел Комитет Палаты представителей по надзору и правительственной реформе США (United States House Committee on Oversight and Government Reform) по итогам проведенного расследования.
Речь идет о кибератаках на компьютерные системы Управления кадровой службой США в 2014-2015 годах. В результате взломов неизвестные похитили конфиденциальную информацию, включая адреса, данные медицинских карт, финансовую историю и изображения отпечатков пальцев 21,5 млн бывших и настоящих госслужащих, а также соискателей на государственную должность. Предположительно, атакующие использовали бэкдор для доступа с правами администратора к системе Управления кадровой службой США. В совершении кибератак подозревались хакеры, спонсируемые правительством Китая, однако власти КНР категорически отрицали свою причастность к инцидентам. 
Согласно докладу, с 2005 года государственные инспекторы неоднократно предупреждали руководство Управления кадровой службой США об уязвимости компьютерных систем ведомства, однако эти сообщения были проигнорированы. В 2012 году команда реагирования на компьютерные инциденты US-CERT предупредила ведомство о присутствии на сервере вредоносного ПО Hikit, а спустя некоторое время были обнаружены свидетельства несанкционированного проникновения в систему одного или нескольких хакеров.
В марте 2014 года эксперты US-CERT сообщили, что неизвестным удалось похитить данные о спецификациях сети и ряд файлов. US-CERT и АНБ США развернули операцию под названием Big Bang, в ходе которой наблюдали за действиями злоумышленников. Когда хакеры загрузили несколько кейлоггеров на компьютеры, используемые сотрудниками с доступом к важным данным, специалисты отключили серверы. Тогда экспертам удалось пресечь деятельность только одного атакующего, второй так и не был выявлен. Как показал дальнейший анализ, хакеру удалось получить доступ к серверу при помощи похищенных у одного из подрядчиков Управления кадровой службой учетных данных.
Согласно отчету, за первой кибератакой стояла группировка Axiom Threat Actor Group (единственная группа, использующая Hikit). Вторую осуществила команда Deep Panda. Обе группировки подозревают в связи с китайским правительством, поэтому, вполне возможно, хакеры координировали свои действия.

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 17-09-2016, 22:44:51
Кто-то изучает, как «положить» интернет

Брюс Шнайер, один из самых известных в мире специалистов в области киберзащиты и криптографии, на днях опубликовал в блоге Lawfare немного пугающую заметку. По его утверждениям, крупные компании, обеспечивающие работоспособность всего интернета (доменные регистраторы, провайдеры первого уровня) последнее время целенаправленно подвергаются нарастающим разведывательным и DDoS-атакам. У их истоков, вероятней всего, стоят спецслужбы одной из крупных стран.
https://www.lawfareblog.com/someone-learning-how-take-down-internet (https://www.lawfareblog.com/someone-learning-how-take-down-internet)

Последние пару лет кто-то проверял защиту компаний, которые управляют критическими частями инфраструктуры интернета. Эти проверки обрели форму точно нацеленных атак, спланированных таким образом, чтобы определить, как хорошо эти компании могут защитить себя, и что нужно, чтобы вывести их из строя. Мы не знаем, кто за этим стоит. Но выглядит так, как будто это очень большая страна. Я бы назвал первыми кандидатам Китай и Россию.

Для начала немного вводных. Если вы хотите отключить сеть от интернета, самый простой метод сделать это -- провести распределенную атаку типа «отказ в обслуживании» (DDoS). Как понятно из ее названия, это атака, призванная не дать законным пользователям попасть на сайт. Есть множество тонкостей, но, по сути, это означает направление такого объема данных на сайт, который приводит к его перегрузке. Эти атаки не новы: хакеры пользуются ими против сайтов, которые им не нравятся, а преступники -- для вымогательства. Существует целая индустрия с внушительным арсеналом технологий, посвященная защите от DDoS. Но в основном проблема лежит в пропускной способности сети. Если у атакующего пожарный шланг с данными шире, чем у защищающегося, то первый побеждает.
(http://it-news.club/wp-content/uploads/2016/09/DDoS.jpg)
Не так давно некоторые крупные компании, предоставляющие базовую инфраструктуру для работы всего интернета, зафиксировали рост количества DDoS-атак против них. Более того, они наблюдали определенные типы атак. И эти атаки значительно масштабней, чем они привыкли. Атаки длятся дольше. Они более сложны и выглядят как разведка. На одной неделе атака начинается на определенном уровне, который постепенно нарастает, прежде чем затухнуть. На следующей, она начинается в точке повыше, продолжает расти, и так далее. Выглядит так, будто атакующие ищут конкретную точку, в которой система не выдержит.

Атаки также построены таким образом, чтобы оценить все возможности защиты компании. Существует множество способов запуска DDoS-атаки. Чем больше векторов атаки используется одновременно, тем больше разных способов защиты должен применять защищающийся. Пострадавшие наблюдают все больше атак, использующих три-четыре вектора одновременно. Это означает, что компании должны использовать все методы защиты, которые у них есть в наличии. Они не могут спрятать туз в рукаве и вынуждены продемонстрировать атакующему все свои возможности.

Я не могу рассказать детали, потому что эти компании общались со мной на условиях анонимности. Но их рассказ совпадает с тем, что сообщает Verisign -- регистратор для многих популярных доменов верхнего уровня, вроде .com или .net. Если он упадет, то произойдет отключение всех веб-сайтов и email-адресов, использующих наиболее распространенные домены верхнего уровня. Каждый квартал Verisign публикует отчет о DDoS-трендах.

https://www.verisign.com/assets/report-ddos-trends-Q22016.pdf (https://www.verisign.com/assets/report-ddos-trends-Q22016.pdf)
Хотя в этих публикациях нет такой детальной информации, как я слышал от пострадавших от атак компаний, тренды одни и те же: «Во втором квартале 2016 года атаки продолжили нарастать по частоте, продолжительности и сложности».

Но это еще не все. Одна из компаний рассказала мне в добавок к DDoS и о множестве разведывательных атак. Злоумышленники тестируют возможности манипулировать интернет-адресами и маршрутизацией, наблюдают за тем, сколько времени требуется защищающимся для ответных действий и так далее. Кто-то активно тестирует ключевые защитные возможности компаний, предоставляющих критически важные интернет-услуги.

Кто на такое способен? Не похоже на активиста, преступника или исследователя. Прощупывание ключевой инфраструктуры -- типичная практика для шпионажа и сбора разведданных. Компании таким не занимаются. Более того, масштаб таких атак, и особенно их продолжительность, указывает на игроков государственного уровня. Выглядит так, будто военное киберкомандование какой-то из наций пристреливает свое оружие на случай кибервойны. Мне это напоминает программу США во время Холодной войны, когда их высотные самолеты летали над Советским союзом, чтобы привести в действие его систему ПВО и испытать ее возможности.

Что мы можем сделать с этим? На самом деле -- ничего. Мы не знаем источника атак. Данные, которые я видел, указывают на Китай. Эту точку зрения разделяют люди, с которыми я общался. С другой стороны, страну происхождения такого рода атак можно скрыть. АНБ (Агентство нацбезопасности США), у которого возможностей наблюдения за опорной сетью интернета больше, чем у всех остальных вместе взятых, должно иметь идеи получше. Но мы не увидим никаких обвинений, если только США не захотят сделать из этого международный инцидент.

Но это происходит. И люди должны знать





Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 17-09-2016, 22:46:13
Эксперт нашел способ использовать безопасный режим в Windows для хищения учетных данных

Метод работает на всех версиях Windows, в том числе Windows 10, несмотря на реализованный в данной версии модуль VSM.
Сотрудник CyberArk Labs Дорон Наим (Doron Naim) обнаружил способ хищения учетных данных путем эксплуатации безопасного режима (Safe Mode), реализованного в ОС Windows.
По словам исследователя, для успешной атаки злоумышленнику сначала потребуется получить доступ с привилегиями локального администратора к компьютеру или серверу под управлением Windows. Далее злоумышленник может удаленно активировать безопасный режим для обхода средств защиты. В безопасном режиме преступник может запускать различные инструменты для сбора учетных данных и компрометации других компьютеров в сети, оставаясь незамеченным на протяжении всего времени. Как отметил Наим, данный метод работает на всех версиях Windows, в том числе Windows 10, несмотря на реализованный в данной версии модуль VSM (Microsoft Virtual Secure Module).
Безопасный режим загружает только основные службы и функции, необходимые для запуска Windows и блокирует запуск сторонних служб и программ, в том числе инструментов безопасности. В результате злоумышленники могут удаленно запустить безопасный режим на скомпрометированных компьютерах и впоследствии осуществить атаки. Учитывая популярность Windows, под угрозой находятся миллиарды компьютеров и серверов на базе данной ОС по всему миру, отметил Наим.
Успешная эксплуатация проблемы предполагает три этапа: изменение системных настроек для активации безопасного режима во время следующей загрузки операционной системы, создание вредоносных инструментов для загрузки в безопасном режиме и осуществление принудительной перезагрузки компьютера для эксплуатации уязвимости

http://www.cyberark.com/blog/cyberark-labs-from-safe-mode-to-domain-compromise/ (http://www.cyberark.com/blog/cyberark-labs-from-safe-mode-to-domain-compromise/)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 22-09-2016, 22:45:41
ФСБ ищет способ перехватывать и изучать весь интернет-трафик россиян

ФСБ, Минкомсвязь и Минпромторг намерены разработать механизмы дешифровки всего интернет-трафика российских пользователей. Об этом сообщает «Коммерсантъ» со ссылкой на собственные источники.

(http://www.macdigger.ru/wp-content/uploads/2016/09/user-FSB-1.jpg)

В настоящее время закон обязывает владельцев площадок-организаторов распространения информации (социальные сети, мессенджеры и т.п.) сдавать ключи шифрования по требованию ФСБ. Однако большое количество сайтов не являются организаторами распространения информации, но используют защищенное https-соединение. Без расшифровки трафика не всегда можно понять, куда и зачем заходил пользователь, заявляет собеседник газеты.

Дешифровать трафик планируется с помощью MITM-атак (Man in the Middle). Специальное оборудование для пользователя будет притворяться сайтом, а для сайта - пользователем. Перехваченный от сервера трафик перед отправкой должен шифроваться обратно SSL-сертификатом, выданным российским удостоверяющим центром, отмечает источник издания.

По данным издания, анализ трафика планируется осуществлять по ключевым словам с помощью систем DPI (Deep Packet Inspection), которые в настоящее время активно используются операторами мобильной связи для фильтрации запрещенных сайтов. Предполагается, что такие меры помогут предотвращать потенциальные угрозы, связанные с распространением террористических идей через интернет. Обсуждаемая схема позволит даже строить профили поведения пользователей в сети, включая оценку их психологического состояния и вкусовых предпочтений.

Согласно информации одного из источников газеты, ФСБ выступает за то, чтобы расшифровывать весь трафик в режиме реального времени и анализировать его по ключевым параметрам, например по слову «бомба», а министерства настаивают на расшифровке трафика лишь по тем абонентам, которые привлекут внимание правоохранительных органов. Как отмечает издание, в Минпромторге отказались от комментариев на этот счет, в Минкомсвязи и ФСБ не ответили за запрос издания.


(http://www.macdigger.ru/wp-content/uploads/2016/09/user-FSB-2.jpg)
Ранее в рамках уточнения требований «закона Яровой» ФСБ утвердила порядок расшифрования электронных сообщений пользователей. Организатор распространения информации в интернете обязан передать данные для декодирования на основании запроса уполномоченного подразделения, указало ведомство. Ключи шифрования могут быть переданы на магнитном носителе по почте или по электронной почте, еще один вариант для интернет-компаний -- предоставить доступ структуре ФСБ непосредственно к самой системе. Согласно антитеррористическому пакету законов, нераскрытие интернет-компаниями информации для декодирования электронных сообщений грозит штрафом до 1 млн рублей.

О том, что решение для дешифровки интернет-трафика понадобится, говорилось и в технических требованиях для исполнения «закона Яровой», которые еще в августе направлял «Ростелеком» в профильные министерства

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 22-09-2016, 22:47:47
Хакеры нашли способ автоматизировать процесс распространения вредоносного ПО с помощью торрентов
(http://www.securitylab.ru/upload/iblock/fed/fed865442af4e4d29f6fd76aea400647.jpg)

Сервис RAUM позволяет внедрять вредоносную полезную нагрузку в торрент-файлы.
Эксперты американской ИБ-компании InfoArmor обнаружили киберпреступную сеть RAUM, используемую вирусописателями для автоматизации процесса распространения вредоносного ПО. Управляет сетью предположительно восточноевропейская группировка, называющая себя Black Team.
По данным исследователей, RAUM позволяет внедрять вредоносную полезную нагрузку в торрент-файлы и тем самым автоматизировать процесс ее распространения. С целью инфицировать как можно больше систем, Black Team внимательно следит за новинками, пользующимися большой популярностью у любителей скачать нелегальный контент, и использует поддельные или взломанные учетные записи на популярных торрент-сайтах.
С помощью поддельных/взломанных аккаунтов злоумышленники повышают свой рейтинг на торрент-трекерах с целью попасть в топ поисковой выдачи и привлечь как можно больше потенциальных жертв. Авторы вредоносного ПО могут зарегистрировать учетную запись в сети RAUM, внеся соответствующую оплату и пройдя строгий процесс проверки. Сервис даже подсказывает вирусописателям, какие торрент-файлы в настоящий момент пользуются наибольшей популярностью, чтобы они могли инфицировать своим ПО как можно больше компьютеров.
Клиенты RAUM могут распространять как легитимные программы по схеме Pay-Per-Install (модель распространения ПО с оплатой за каждую установку), так и вредоносные инструменты. Согласно данным InfoArmor, ежемесячно жертвами загруженных с торрент-трекеров вредоносных программ становятся порядка 12 млн пользователей. В частности, злоумышленники используют Pirate Bay, ExtraTorrent, Demonoid и Kickass Torrents (до его закрытия). 

https://www.infoarmor.com/infoarmor-uncovers-malicious-torrent-distribution-network/ (https://www.infoarmor.com/infoarmor-uncovers-malicious-torrent-distribution-network/)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 23-09-2016, 00:46:08
хорошая попытка запугать... но вряд ли получится )
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 30-09-2016, 02:57:09
Новые версии трояна Linux.Mirai научились удалять себя и отключать таймер watchdog


Первая версия Linux-трояна Mirai, была обнаружена в мае 2016 года и попала в вирусные базы компании под именем Linux.DDoS.87. Данный троян способен работать на устройствах с архитектурой х86, ARM, MIPS, SPARC, SH-4 и M68K, и предназначен для организации атак на отказ в обслуживании, то есть DDoS-атак.

Linux.DDoS.87 содержал в своем коде ряд ошибок, которые были устранены авторами малвари в последующих версиях. Аналитики отмечают, что троян во многом похож на семейство вредоноснов Linux.BackDoor.Fgt, обнаруженное еще в 2014 году. Так, после запуска на зараженном устройстве Linux.DDoS.87 ищет в памяти процессы других троянских программ и прекращает их выполнение. Чтобы избежать случайной остановки собственного процесса, малварь создает в своей папке файл с именем .shinigami и периодически проверяет его наличие. Затем Linux.DDoS.87 пытается установить соединение с управляющим сервером для получения дальнейших инструкций. На сервер отправляется идентификатор, определяющий архитектуру инфицированного компьютера, а также сведения о MAC-адресе сетевой карты.

По команде операторов Linux.DDoS.87 может выполнять следующие виды DDoS-атак:

UDP flood;
UDP flood over GRE;
DNS flood;
TCP flood (несколько разновидностей);
HTTP flood.

В начале августа 2016 года исследователи обнаружили новую версию данной малвари, получившую идентификатор Linux.DDoS.89. Эта вредоносная программа имеет множество общих черт со своей предшественницей, однако прослеживаются и некоторые отличия от Linux.DDoS.87. К примеру, в обновленной версии изменился порядок действий при запуске. Также механизм защиты от выгрузки собственного процесса претерпел изменения: теперь вредоносная программа не пытается определить наличие специального файла в собственной папке, а выполняет проверку на основе идентификатора процесса (PID). Среди отсылаемой Linux.DDoS.89 на управляющий сервер информации отсутствует МАС-адрес сетевого адаптера. Кроме того, из списка поддерживаемых типов атак исчез HTTP flood. В то же время формат получаемых от злоумышленников команд остался прежним. Кроме того, в Linux.DDoS.89 появился новый компонент -- telnet-сканнер, который ранее использовался во всех версиях Linux.BackDoor.Fgt.

В конце августа - начале сентября 2016 года была обнаружена еще одна обновленная версия трояна, получившая название Linux.Mirai. В некоторых образцах вредоносной программы появилась функция самоудаления. Троян научился отключать предотвращающий зависание операционной системы сторожевой таймер watchdog (чтобы исключить перезагрузку устройства), а в перечень выполняемых типов атак вновь вернулся HTTP flood. Тем не менее, Linux.Mirai во многом похож на своих предшественников. Для сравнения на иллюстрации ниже приведены фрагменты кода Linux.DDoS.87 (слева) и Linux.Mirai (справа).
(https://xakep.ru/wp-content/uploads/2016/09/ddos87_cmp.png)
(https://xakep.ru/wp-content/uploads/2016/09/mirai_cmp2.png)
Исследователи пишут, что другие эксперты тоже успели изучить Linux.Mirai и заметили, что когда трояну удается обнаружить в сети уязвимое telnet-устройство, он выполняет встроенный в его тело bash-сценарий. Такое поведение тоже характерно для Linux.BackDoor.Fgt, однако ни в одном из образцов Linux.Mirai, имеющихся в распоряжении аналитиков «Доктор Веб», подобного сценария обнаружено не было. Специалисты компании обратились к коллегам с просьбой предоставить образцы Linux.Mirai, в которых такая функция предусмотрена

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 01-10-2016, 17:34:44
«Лаборатория Касперского» вернёт жертвам шифровальщика Polyglot потерянные файлы

Spoiler: показать
«Лаборатория Касперского» выпустила бесплатный инструмент RannohDecryptor, при помощи которого жертвы опасного шифровальщика Polyglot смогут вернуть доступ к закодированным файлам.
Зловред Polyglot появился в конце августа. Программа распространяется в спам-письмах, которые содержат вредоносный исполняемый файл, упакованный в RAR-архив. После запуска у пользователя создаётся впечатление, что ничего не произошло. Однако на деле Polyglot копирует себя под случайными именами в десяток мест и прописывается в автозапуске.
(http://www.3dnews.ru/assets/external/illustrations/2016/09/30/940267/polyglot2.jpg)
После внедрения в систему начинается шифрование. Внешне закодированные пользовательские файлы не меняются, поскольку их имена остаются оригинальными. Однако открыть такие файлы уже не удастся.
(http://www.3dnews.ru/assets/external/illustrations/2016/09/30/940267/polyglot1.jpg)
Закончив шифрование, зловред меняет заставку рабочего стола и выводит окно с требованиями выкупа. При этом пользователю предлагается бесплатно расшифровать несколько файлов -- тем самым демонстрируется возможность восстановления доступа к данным. Вместе с тем, если оплата не производится в срок, указанный злоумышленниками, зловред оставляет файлы зашифрованными и самоудаляется с заражённого устройства.
(http://www.3dnews.ru/assets/external/illustrations/2016/09/30/940267/polyglot3.jpg)
Любопытно, что новый шифровальщик очень похож на давно известный CTB-Locker. Несмотря на то, что общего кода в двух программах не обнаружилось, Polyglot повторяет CTB-Locker буквально во всем.
Анализ, проведённый специалистами «Лаборатории Касперского», показал, что Polyglot использует весьма нестойкий алгоритм генерации ключа. Благодаря этому стало возможным быстро подобрать ключ методом перебора и создать инструмент, помогающий жертвам зловреда восстановить зашифрованные файлы.
Источник:
http://www.kaspersky.ru/ (http://www.kaspersky.ru/)

инструмент RannohDecryptor
http://support.kaspersky.com/viruses/utility (http://support.kaspersky.com/viruses/utility)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 02-10-2016, 12:22:27
порой начинаешь задумываться. а не сами ли антивирусы пришут эти вирусы, что бы потом горомко пукнуть заявить об успешной победе и дешифровании всего и вся ?

что думаешь на этот счёт?
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 02-10-2016, 23:34:53
Согласен со всем сказанным)) и пишут сами, и сами ловят)) должны же они как то тестить свои системы безопасности )) , а скучающий программер.... посидев ... дота надоела.. ))... возьмёт да и впарит в онионе "зверька", за четверть битки))
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 04-10-2016, 22:07:21
Исходный код трояна для создания IoT-ботнетов выложен в открытый доступ

Spoiler: показать
Исходный код трояна, заразившего сотни тысяч IoT-устройств и использовавшего их для DDoS-атак, был выложен в открытый доступ.

Исходники вируса, которого его создатель назвал Mirai, были выложены в пятницу на англоязычном форуме хакеров, сообщает автор сайта KrebsOnSecurity, на который была совершена рекордная по мощности атака.

Создатель вируса, известный под ником Anna-senpai, заявил, что принял решение открыть исходный код трояна из-за повышенного внимания, уделяемого DDoS-атакам, совершённым при помощи IoT-устройств. Mirai «порабощал» примерно 380 тысяч устройств каждый день, используя брутфорс-атаки по протоколу Telnet. Тем не менее, после атаки на вышеупомянутый сайт, многие организации обратили внимание на ситуацию, что привело к снижению мощности ботнета: количество устройств снизилось примерно до 300 тысяч и продолжает снижаться.

Стоит заметить, что публикация исходного кода вируса скорее всего приведёт к созданию большего количества ботнетов, ведь это уже не первый случай. В начале 2015 года группа Lizard Squad выложила исходники LizardStresser, DDoS-бота для Linux-систем. В июне этого года эксперты безопасности обнаружили уже более ста ботнетов, использующих наработки LizardStresser

https://github.com/jgamblin/Mirai-Source-Code/blob/6a5941be681b839eeff8ece1de8b245bcd5ffb02/mirai/bot/scanner.c#L123 (https://github.com/jgamblin/Mirai-Source-Code/blob/6a5941be681b839eeff8ece1de8b245bcd5ffb02/mirai/bot/scanner.c#L123)



Разработан скрипт для взлома Wi-Fi сети WPA/WPA2 без брутфорса

Spoiler: показать
Скрипт работает на Kali Linux/Parrot/Arch.
На GitHub опубликован инструмент под названием FLUXION, позволяющий взломать Wi-Fi сеть WPA/WPA2 без необходимости использования метода брутфорс. Скрипт работает на Kali Linux/Parrot/Arch и совместим с последним релизом Kali (Rolling).
Инструмент работает следующим образом:
Сканирует сеть.
Захватывает «рукопожатие» (программу не получится использовать без правильного рукопожатия, он нужен для проверки пароля).
Использует web-интерфейс.
Запускает фальшивый экземпляр FakeAP для имитации исходной точки доступа.
Запускает процесс MDK3, который деаутентифицирует всех пользователей, подключенных к целевой сети.
Запускает фальшивый DNS-сервер для перенаправления всех DNS-запросов на хост с запущенным скриптом.
Запускает портал на локальном web-сервере, отображающий страницу, где пользователям необходимо ввести WPA-пароль.
Каждый введенный пароль верифицируется по захваченному ранее рукопожатию.
Атака автоматически завершается при вводе правильного пароля

https://github.com/deltaxflux/fluxion (https://github.com/deltaxflux/fluxion)


Название: Re:Новые угрозы , кибер - преступления,вирусы l
Отправлено: CaPa от 06-10-2016, 01:00:40
"Разработан скрипт для взлома Wi-Fi сети WPA/WPA2 без брутфорса"
новость интересная. но это не взлом, а наверное даже "подстава".  осложнено всё тем что надо быть в непосредственной близости, а то жертва может и не достучаться до тебя.  и не факт что она вообще решить постучаться.
а если и постучится, то кто в зрелой памяти решится вводить свой пароль в какой-то новой непонятной вэб-форме ?

в общем интересно, но надо пробовать )

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 06-10-2016, 02:23:57
давай -расскажешь потом))
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 06-10-2016, 13:30:25
я чисто в научных целях! (http://www.capa.me/smiles/sm_biggrin.gif)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 07-10-2016, 01:34:36
отмазку для органов уже придумана))  чисто ради науки))
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 07-10-2016, 02:11:39
Хакеры используют файлы ядра WordPress для перенаправления трафика

Spoiler: показать
Речь идет о файле wp-includes/template-loader.php, предназначенном для управления шаблонами страниц сайта.
Эксперты Sucuri сообщили о новой технике, используемой злоумышленниками для взлома сайтов, работающих на базе WordPress. По данным исследователей, хакеры используют один из файлов ядра WordPress для внедрения вредоносного кода в скомпрометированный сайт и перенаправления трафика на вредоносный ресурс.
Речь идет о wp-includes/template-loader.php - файле WordPress, предназначенном для управления шаблонами страниц сайта. В ходе последнего зафиксированного исследователями инцидента злоумышленники использовали его для перенаправления легитимного трафика ресурса на вредоносную страницу, предлагающую ключи активации продуктов Microsoft по сниженной цене.
В течение многих лет хакеры компрометировали сайты и в большинстве случаев загружали на взломанные серверы собственные кастомизированные файлы. Поэтому web-разработчики создали решения безопасности, способные обнаруживать новые добавленные файлы и уведомлять об этом пользователей. Данные продукты стали набирать популярность и постепенно эволюционировали до межсетевых экранов для web-приложений (WAF). Киберпреступникам пришлось адаптироваться и научиться внедрять вредоносный код в плагины, темы и даже файлы ядра.
https://blog.sucuri.net/2016/10/wordpress-hack-shares-spam-when-core-modified.html (https://blog.sucuri.net/2016/10/wordpress-hack-shares-spam-when-core-modified.html)



В Linux 4.8 обнаружен код, способный «убить» ядро

Spoiler: показать
Линус Торвальдс отчитал отладчика, неверно использовавшего BUG_ON(). 
В начале текущей недели состоялся релиз версии ядра Linux 4.8. Тем не менее, по словам главного разработчика Линуса Торвальдса, в ней присутствует код, способный «убить ядро». Анонсируя выход финальной версии в воскресенье, 2 октября, Торвальдс заявил, что она получила «несколько поразительных исправлений с момента выхода релиз-кандидата 8». Однако уже во вторник разработчик извинился перед пользователями, поскольку исправление оказалось еще хуже, чем исправляемая им ошибка.
Проблема связана с попыткой исправить ошибку, присутствующую в ядре, начиная с версии 3.15. Не скупясь в выражениях, Торвальдс в привычной для него манере отчитал разработчика Эндрю Мортона (Andrew Morton), в чьи обязанности входит отладка. По его словам, исправление «еще хуже, чем сама ошибка, поскольку ошибка не могла убить машину».
Как пояснил Торвальдс, Мортон неверно использовал BUG_ON(). «Раньше я уже объяснял людям, как использовать BUG_ON() для отладки, так какого черта эти проблемы до сих пор возникают?», - заявил разработчик, имея в виду свою публикацию за 2002 год, в которой объясняется, как правильно использовать BUG_ON(). 
Мортон воспринял критику шефа достойно, однако, по мнению Торвальдса, он мог и должен был справиться с задачей лучше. «Я должен был отреагировать на проклятые добавленные строки BUG_ON().  Я так и думал, что в итоге мне придется раз и навсегда удалить идиотский концепт BUG_ON(), потому что сознательному убийству ядра нет никакого чертового извинения», - заявил разработчик.

http://lkml.iu.edu/hypermail/linux/kernel/1610.0/00878.html (http://lkml.iu.edu/hypermail/linux/kernel/1610.0/00878.html)

https://lwn.net/Articles/13183/ (https://lwn.net/Articles/13183/)

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 14-10-2016, 02:07:41
Вымогатель DXXD меняет экран входа в Windows на требование о выкупе
Spoiler: показать


(http://www.securitylab.ru/upload/iblock/588/588e164771713d2a34f1ef6081880cbd.jpeg)
Оказавшись на системе программа шифрует файлы на компьютере, добавляя к ним расширение .dxxd
В Сети появилось новое семейство вымогателей под названием DXXD, способным добавлять ключи в реестр Windows и менять экран входа на сообщение с требованием выкупа за восстановление зашифрованных файлов. Данное уведомление закрывается простым нажатием на кнопку «ОК», после чего пользователи могут авторизоваться в системе.
Первая версия вредоноса была обнаружена в конце сентября нынешнего года. Оказавшись на системе, программа шифрует файлы на компьютере, добавляя к ним расширение .dxxd. В начале октября исследователь Майкл Гиллеспи (Michael Gillespie) взломал алгоритм шифрования, используемый DXXD, и выпустил инструмент для восстановления зашифрованного вымогателем контента. Вслед за релизом утилиты автор DXXD создал вторую версию ПО - DXXD 2.0 с исправленным алгоритмом шифрования.
Вирусописатель также попытался сбить исследователей с толку утверждая, что инфицирование компьютеров жертв осуществляется при помощи RCE-эксплоита для уязвимости нулевого дня, присутствующей во всех версиях Windows, выпущенных в период с 1995 по 2016 годы. Однако по мнению основателя ресурса Bleeping Computer Лоуренса Абрамса (Lawrence Abrams), данное заявление не соответствует действительности, поскольку стоимость подобного эксплоита на черном рынке наверняка оценивалась бы в миллионы долларов, а сам инструмент мог бы использоваться для более серьезных атак, нежели для заражения низкопробным вымогательским ПО.
«Согласно полученной мной информации, я думаю, что разработчик вымогателя взламывает серверы, используя протокол удаленного рабочего стола (Remote Desktop Protocol) и подбирает пароли методом перебора», - отметил Абрамс, добавив, что жертвам DXXD стоит переустановить все пароли на инфицированном компьютере

http://www.bleepingcomputer.com/news/security/the-dxxd-ransomware-displays-legal-notice-before-users-login/ (http://www.bleepingcomputer.com/news/security/the-dxxd-ransomware-displays-legal-notice-before-users-login/)


Злоумышленники используют платформу WTP для внедрения трояна LatentBot

Spoiler: показать
Преступники распространяют вредоносный документ Microsoft Word, использующий файл .DIAGCAB для инфицирования системы.
Платформа диагностики Windows (Windows Troubleshooting Platform, WTP) пополнила список легитимных служб Windows, эксплуатируемых киберпреступниками для распространения вредоносного ПО. Исследователи компании Proofpoint зафиксировали спам-кампанию, в ходе которой распространялся вредоносный документ Microsoft Word, использующий файл .DIAGCAB для инфицирования компьютера жертвы бекдором LatentBot.
После открытия документа на экране отображался бессмысленный набор символов и предупреждение о неправильной кодировке. Для решения проблемы пользователю предлагалось дважды кликнуть на уведомление. Двойной клик запускал файл .DIAGCAB, содержащий набор PowerShell скриптов, загружающих и устанавливающих на компьютер жертвы троян LatentBot.
Как отмечают эксперты, функционально вредоносные макросы и используемые злоумышленниками скрипты «диагностики» практически не отличаются, так как оба позволяют атакующим выполнить серию операций на целевом компьютере. Разница заключается в том, что установленные на устройстве антивирусные решения отслеживают вредоносное ПО, которое может быть загружено вредоносными макросами, тогда как скрипты диагностики по большей части остаются незамеченными.
Платформа Windows Troubleshooting Platform представляет собой средство для выполнения специальных модулей (Troubleshooting Packages), которые создаются на языке PowerShell и призваны решать различные проблемы, касающиеся конфигурации операционной системы, ее отдельных компонентов, устройств, сервисов и приложений


Уязвимость в OpenSSH позволяет использовать IoT в качестве прокси

Spoiler: показать
В настройках старых версий клиентов OpenSSH по умолчанию активирована функция TCP-перенаправления.
С помощью конфигурационной опции в демонах SSH хакеры используют устройства «Интернета вещей» (IoT) в качестве прокси при передаче вредоносного трафика. Для этого они эксплуатируют уязвимость в OpenSSH 12-летней давности.
CVE-2004-1653 была обнаружена в 2004 году и исправлена в начале 2005 года. Уязвимость затрагивала конфигурацию по умолчанию в OpenSSH (sshd). Дело в том, что в заводских настройках старых версий клиентов OpenSSH была активирована функция TCP-перенаправления, благодаря чему удаленные аутентифицированные пользователи могли осуществлять проброс портов.
Уязвимость не считалась опасной, поскольку для ее эксплуатации у атакующего должен быть доступ к устройству по SSH. Тем не менее, если злоумышленнику удастся получить доступ к системе с помощью брутфорс-атаки (путем подбора учетных данных из списка незащищенных паролей), он может использовать ее в качестве прокси.
Вышеупомянутая функция уже в течение многих лет отсутствует в OpenSSH, однако данное ПО используется во многих устройствах «Интернета вещей» по всему миру. Поскольку функции их аппаратного обеспечения весьма ограниченны, ботнеты из IoT-устройств используются только для осуществления брутфорс- и DDoS-атак, а также для передачи трафика.
Согласно отчету Akamai, опубликованному 12 октября текущего года, эксперты зафиксировали большой объем вредоносного трафика, источником которого являются IoT-устройства. Злоумышленники осуществляют брутфорс-атаки на гаджеты «Интернета вещей», изменяют настройки конфигурации SSH, активировав опцию «AllowTcpForwarding», а затем используют эти устройства в качестве прокси для передачи трафика. Таким образом хакерам удается скрыть истинный источник любой атаки, будь то брутфорс или DDoS


ФБР помогает пользователям, которых обокрали в даркнете
Spoiler: показать
5 октября 2016 года на официальном сайте Министерства юстиции США был опубликован очень любопытный пресс-релиз. Казалось бы, обманутым покупателям с подпольных торговых площадок даркнета, чьи деньги похитили злоумышленники, не к кому обращаться за помощью. Идти в полицию в такой ситуации довольно странно. Однако документы дела, которым занимаются прокуратура Коннектикута и ФБР, доказывают обратное.

Правоохранительные органы предъявили обвинения 34-летнему Майклу Ричо (Michael Richo) из Валлингфорда. Его обвиняют в том, что он обманом выманивал у своих жертв в даркнете учетные данные от аккаунтов на подпольных торговых площадках. Согласно пресс-релизу и документам дела, Ричо публиковал на хакерских форумах в даркнете ссылки, якобы ведущие на различные торговые площадки. Перешедшие по этим ссылкам пользователи попадали на фишинговые страницы, которые контролировал Ричо. Страницы маскировались под настоящие торговые сайты, где жертв просили ввести свои учетные данные.

Следователи пишут, что таким образом злоумышленник собрал более 10 000 логинов и паролей от чужих аккаунтов на различных подпольных торговых площадках. Получив доступ к аккаунту жертвы, он, как правило, также получал доступ к ее биткоин-кошельку, привязанному к аккаунту. После этого Ричо похищал все средства пострадавших, обменивал на доллары и хранил на собственном счете в банке.

Сообщается, что на данный момент Ричо был отпущен под залог в размере 100 000 долларов. Ему предъявлены обвинения в мошенничестве с применением устройств доступа к данным, мошенничестве с использованием электронных средств сообщения, краже личности и отмывании денег. В итоге злоумышленнику грозит долгий тюремный срок, так как максимальное наказание по многим пунктам обвинения составляет до 20 лет лишения свободы

https://www.justice.gov/usao-ct/pr/wallingford-man-charged-stealing-bitcoins-dark-web-phishing-scheme (https://www.justice.gov/usao-ct/pr/wallingford-man-charged-stealing-bitcoins-dark-web-phishing-scheme)


Ученые продемонстрировали, как АНБ прослушивает зашифрованный трафик

Spoiler: показать
Протокол Диффи-Хеллмана повсеместно применяется для реализации HTTPS, SSH и VPN-соединений.
Бывший подрядчик Агентства национальной безопасности США Эдвард Сноуден обнародовал немало информации относительно деятельности и возможностях спецслужбы, в том числе способности перехватывать VPN-соединения и взламывать зашифрованный трафик, эксплуатируя слабые места в реализациях протокола Диффи-Хеллмана.
Протокол Диффи-Хеллмана повсеместно применяется для реализации HTTPS, SSH и VPN-соединений и до недавнего времени считался абсолютно надежным, однако в прошлом году исследователи обнаружили уязвимость в протоколе обмена ключами. В алгоритме применяется ограниченный набор простых чисел, часто используемых повторно. Для того чтобы взломать хотя бы одно число в 1024-битном ключе понадобится в течение года пытаться расшифровать его с помощью суперкомпьютера. Такой процесс может обойтись в сотни миллионов долларов.
Тем не менее, группе ученых из Университета Пенсильвании, французского Центра по научным исследованиям (CNRS) и Университета Лотаргинии при помощи 3 тыс. процессоров всего за два месяца удалось взломать 1024-битный ключ, что позволило им пассивно дешифровать сотни миллионов HTTPS- и TLS-соединений. Как пояснили исследователи, сам по себе алгоритм не содержит бэкдор, однако его слабое место заключается в том, как различные приложения генерируют простые числа. По словам специалистов, разработанный ими метод применим только для 1024-битных ключей.
По данным проекта SSL Pulse по состоянию на сентябрь текущего года, 22% из 140 тыс. топ-сайтов, использующих соединение по HTTPS, применяют 1024-битные ключи, которые, как оказывается, могут взломать государственные хакеры или спецслужбы вроде АНБ
https://eprint.iacr.org/2016/961.pdf (https://eprint.iacr.org/2016/961.pdf)





Название: Re:Новые угрозы , кибер - преступления,вирусы l
Отправлено: CaPa от 15-10-2016, 17:06:51
делаешь 4096-битный ключ и не паришься... а ещё круче - туннель внутри туннеля, вообще не развернуть.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 18-10-2016, 01:57:02
Вымогатель CryPy шифрует каждый файл отдельным ключом

В сети появилось новое приложение-вымогатель, на сей раз написанное на языке программирования Python. Программа CryPy (сочетание слов crypt и Python) выделяется среди других присвоением уникального ключа каждому шифруемому файлу, что значительно усложняет процесс расшифровки.
Используется уязвимость системы управления контентом Magento, позволяющая применять скрипт PHP уязвимого сервера в Израиле, который является командным сервером CryPy. Этот сервер используется не только для атак вымогателя, но и для фишинговых атак с поддельными сообщениями от платёжной системы PayPal. Предположительно, родным языком авторов приложения является иврит.
(http://www.oszone.net/figs/u/316767/161015170215/1_backup-disaster_story.jpg)
CryPy состоит из двух файлов под названиями «boot_common.py» и «encryptor.py». Первый отвечает за фиксирование ошибок в системе Windows, второй является самим шифратором. При инфицировании системы отключается редактор реестра, диспетчер задач, командная строка и автозапуск. Вскоре после начинается процесс шифрования файлов пользователя.
Каждый файл получает собственный ключ шифрования. Разблокировка файлов выполняется программой дешифрования, которая находится на «секретном сервере». Каждые 6 часов один из файлов пользователей удаляется, чтобы они не затягивали с выплатой выкупа. Через 96 часов ключи удаляются и вернуть файлы будет невозможно. Лаборатория Касперского утверждает, что приложение находится на раннем этапе разработки и не способно зашифровать файлы: недавно злоумышленники переехали на новый сервер и не успели прописать его адрес в коде
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 20-10-2016, 13:28:09
но Кашперовский уже готов выпустить собственный модуль способный всё расшифровать и совершенно бесплатно? )
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 20-10-2016, 21:19:32
Уязвимость в процессорах Intel позволяет обойти ASLR
http://www.cs.ucr.edu/~nael/pubs/micro16.pdf (http://www.cs.ucr.edu/~nael/pubs/micro16.pdf)
Spoiler: показать
Атака заключается в инициировании коллизий в буфере адресов перехода.
Группа исследователей Калифорнийского университета в Риверсайде и Университета штата Нью-Йорк в Бингемптоне обнаружили уязвимость в компоненте центрального процессора, позволяющую злоумышленникам получить доступ к компьютеру и хранящейся на нем информации. Проблема затрагивает модуль предсказания переходов в процессорах Intel Haswell и позволяет обойти механизм безопасности ASLR.
ASLR (Address Space Layout Randomization - «рандомизация размещения адресного пространства») представляет собой технологию, применяемую в большинстве операционных систем и программ для защиты от таких распространенных типов атак, как переполнение буфера и возвратно-ориентированное программирование. ASLR случайным образом изменяет расположение в адресном пространстве процесса ключевых структур (образа файла, стека, подгружаемых библиотек). Благодаря этому атакующему сложнее определить расположение адреса полезной нагрузки в памяти.
По словам исследователей, атака заключается в инициировании коллизий в буфере адресов перехода (Branch Target Buffer, BTB), используемом в процессоре для предсказания переходов и хранения таблицы истории переходов. Злоумышленник может циклично формировать обращения к различным адресам памяти, тем самым создавая коллизии с командами перехода в атакуемом процессе. Далее оценивается время реагирования. Если в некоторых случаях время отклика существенно увеличилось, значит, возникла коллизия. Из этого можно сделать вывод, что адрес уже отражен другим процессом в BTB. Таким образом атакующий может восстановить значение случайного смещения и определить адреса команд перехода.
Исследователям удалось успешно осуществить атаку на последней версии Ubuntu Linux. Тем не менее, метод также работает для Windows и OS X

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 21-10-2016, 13:58:36
мне кажется что всё это изначально было специально заложено.
в том числе и "рандомайзер", который вовсе и не рандомайзер...
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 23-10-2016, 17:11:44
Критическая уязвимость в ядре Linux, уже эксплуатируемая злоумышленниками

Spoiler: показать
В ядре Linux выявлена опасная уязвимость CVE-2016-5195, которой присвоено кодовое имя "Dirty COW", позволяющая непривилегированному локальному пользователю повысить свои привилегии в системе. Проблема отмечена некоторыми экспертами как одна из наиболее опасных уязвимостей в ядре, чему способствует наличие надёжно рабочего прототипа эксплоита, простота проведения атаки (экплоит не зависит от особенностей окружения) и сведения о длительном использовании данной уязвимости злоумышленниками до исправления проблемы (проблема была выявлена на основе изучения перехваченного эксплоита). Уязвимость присутствует с 2007 года и проявляется в ядрах Linux, начиная с выпуска 2.6.22.

Уязвимость вызвана состоянием гонки при обработке copy-on-write (COW) операций в подсистеме управления памятью и позволяет нарушить работу маппинга памяти в режиме только для чтения. С практической стороны, проблема позволяет осуществить запись в области памяти, отражённые в режиме только для чтения. Например, в прототипе эксплоита показано как использовать данную проблему для изменения содержимого файла, принадлежащего пользователю root и доступного только на чтение. В том числе, при помощи предложенного метода атаки непривилегированный злоумышленник может изменить исполняемые системные файлы, обойдя штатные механизмы управления доступом.


   $ sudo -s
   # echo this is not a test > foo
   # chmod 0404 foo
   $ ls -lah foo
   -r-----r-- 1 root root 19 Oct 20 15:23 foo
   $ cat foo
   this is not a test

   $ gcc -lpthread dirtyc0w.c -o dirtyc0w
   $ ./dirtyc0w foo m00000000000000000
   mmap 56123000
   madvise 0
   procselfmem 1800000000

   $ cat foo
   m00000000000000000
Уязвимость устранена
https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=19be0eaffa3ac7d8eb6784ad9bdbc7d67ed8e619 (https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=19be0eaffa3ac7d8eb6784ad9bdbc7d67ed8e619)
в выпусках ядра Linux 4.8.3, 4.7.9 и 4.4.26. Обновления пакетов с ядром уже сформированы для дистрибутивов Debian, Ubuntu, Mageia, SUSE, Fedora. Для openSUSE, CentOS и RHEL исправления пока не выпущены (в RHEL/CentOS 5 и 6 представленный эксплоит не работает из-за закрытия /proc/self/mem на запись, но в RHEL/CentOS 7 такого ограничения нет). Для временного блокирования уязвимости в RHEL/CentOS 7 подготовлен сценарий SystemTap
https://bugzilla.redhat.com/show_bug.cgi?id=1384344#c13 (https://bugzilla.redhat.com/show_bug.cgi?id=1384344#c13)


[spoiler]https://github.com/dirtycow/dirtycow.github.io/wiki/VulnerabilityDetails (https://github.com/dirtycow/dirtycow.github.io/wiki/VulnerabilityDetails)
https://security-tracker.debian.org/tracker/CVE-2016-5195 (https://security-tracker.debian.org/tracker/CVE-2016-5195)
http://dirtycow.ninja/ (http://dirtycow.ninja/)
https://github.com/dirtycow/dirtycow.github.io/blob/master/dirtyc0w.c (https://github.com/dirtycow/dirtycow.github.io/blob/master/dirtyc0w.c)




[/spoiler]
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 24-10-2016, 13:48:05
спасибо, обновлюсь
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 24-10-2016, 21:10:27
В сети появился поддельный антивирус Microsoft Security Essentials

Spoiler: показать
Один из последних методов сетевых мошенников основан на использовании бесплатного антивируса Microsoft Security Essentials, который доступен на системах от Windows 7 и более ранних. Компания опубликовала предупреждение, описывающее поддельный Microsoft Security Essentials, который распознаётся антивирусами как SupportScam:MSIL/Hicurdismos.A. Цель этого вредоносного приложения - убедить пользователей в неисправности компьютера и заставить заплатить «техподдержке» за его «ремонт».
Подозрение должно вызвать уже то, что под прицелом оказались пользователи систем Windows 8 и Windows 10. В реальности на этих системах используется предустановленный Windows Defender.
(http://www.oszone.net/figs/u/316767/161023130355/fake-microsoft-security-essentials-antivirus-out-in-the-wild-509538-2.jpg)
После установки приложение выдаёт экран BSoD, имитируя проблемы с компьютером. На экране отображается номер телефона, тогда как в настоящих сообщениях об ошибках от Microsoft никогда не содержится подобной контактной информации. BSOD создаётся при помощи сокрытия курсора мыши и отключения диспетчера задач, простым выводом изображения на весь экран. Позвонившим предлагается платное восстановление компьютера, а под видом нужных для этого программ могут быть скачаны другие вредоносные приложения.
Есть ещё несколько способов понять, что антивирус поддельный. Установочный файл называется setup.exe, но Microsoft не использует такое название для Security Essentials. В свойствах файла издателем указана не Microsoft; SmartScreen показывает уведомление, что издатель setup.exe не может быть распознан.


Эксперты зафиксировали новую волну атак ShellShock
Spoiler: показать
Атаки осуществлялись всего с четырех IP-адресов и были направлены на различные цели по всему миру.
В начале октября нынешнего года специалисты подразделения IBM X-Force зафиксировали новый виток атак, предполагающих эксплуатацию уязвимости ShellShock. По всей видимости, киберпреступники осуществляли атаки в разведывательных целях, пытаясь выявить устройства, уязвимые к данной проблеме. По данным специалистов, атаки осуществлялись с четырех IP-адресов (208.100.26.233, 208.100.26.235, 208.100.26.236 и 208.100.26.237) и затрагивали цели по всему миру.
Наибольшее число атак пришлось на Японию (35,32%) и США (29,58%). Далее следуют Франция (11,04%), Великобритания (9,28%) и Германия (6,49%).
Напомним, об уязвимости ShellShock стало известно в сентябре 2014 года. Проблема содержится в одном из фундаментальных компонентов Linux-систем - командной оболочке bash. Уязвимость затронула не только интернет-серверы и рабочие станции, но и используемые в повседневной жизни устройства - смартфоны и планшеты, домашние маршрутизаторы, ноутбуки. В скором времени после обнаружения проблемы было выпущено исправление, однако многие владельцы серверов не спешили его устанавливать.
Как свидетельствуют данные телеметрии IBM X-Force, даже спустя два года после обнаружения ShellShock киберпреступники продолжают выказывать интерес к уязвимости - в сентябре нынешнего года было зафиксировано 20 тыс. сканирований систем на наличие ShellShock
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 26-10-2016, 23:06:38
Хакеры отомстили Эквадору за отключение интернета Ассанжу

Spoiler: показать
Хакеры из организации Anonymous остановили работу электронной почты правительства Эквадора, после того как власти этой страны отключили Интернет основателю Wikileaks Джулиану Ассанжу. Об этом взломщики сами сообщили в "Твиттере", подкрепив пост скриншотом, подтверждающим отсутствие соединения.
(http://s017.radikal.ru/i411/1610/36/005a6a92fe19.jpg)

https://twitter.com/AnonyInfo (https://twitter.com/AnonyInfo)
ЦитироватьAnonymous @AnonyInfo
Tango Down! | TARGET: http://webmail.presidencia.gob.ec (http://webmail.presidencia.gob.ec)  |
#Wikileaks | Shut Down The Internet; We'll Shut Down Your Communications! |
05:42 - 24 октября 2016

 
-- Отключите Интернет -- мы отключим ваши линии связи, -- говорится в сообщении.

В октябре Эквадор ограничил доступ в Интернет главе международной организации WikiLeaks Джулиану Ассанжу, после того как ресурс Daily Kos обвинил его в педофилии. В официальном заявлении властей говорилось, что "Эквадор использовал своё суверенное право временно отключить доступ к некоторым частным сетям внутри посольства в Великобритании"



Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 27-10-2016, 13:46:59
мда уж.... оказывается педофилом стал, пока сидел в посольстве...  а если не выдадут его властям бриташек/америкашек, то ещё и террористом станет, насильником и вообще страшно даже предположить кем он ещё мог бы быть )
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 29-10-2016, 03:16:50
Атака AtomBombing взломает все версии Windows

Spoiler: показать
Вредоносное ПО может модифицировать таблицы атомов и заставить легитимные приложения выполнять вредоносные действия.
Специалисты компании enSilo описали новый метод внедрения вредоносного кода в легитимные процессы Windows, позволяющий обойти современные решения безопасности.
Техника, получившая название AtomBombing, основана на использовании таблиц атомов, в которых Windows хранит идентификаторы и строковые переменные для поддержки функций других приложений. Поскольку таблицы являются общедоступными, любое приложение может модифицировать содержащиеся в них данные.
По словам исследователей, вредоносное ПО может модифицировать таблицы атомов и заставить легитимные приложения выполнять вредоносные действия.
«Многие решения безопасности полагаются на списки доверенных процессов. Атакующий может внедрить вредоносный код в один из процессов и таким образом обойти защиту», - пояснил аналитик enSilo Тал Либерман (Tal Liberman).
Применение техники AtomBombing позволяет вредоносному ПО осуществить MitB-атаки, делать снимки экрана, перехватывать зашифрованные пароли и производить любые действия, которые может выполнять легитимное доверенное приложение.
Атака AtomBombing работает на всех версиях Windows. Особенность техники заключается в использовании базовых механизмов операционной системы, что затрудняет создание патча, поскольку для этого потребуется переработка ОС. По мнению экспертов, единственным способом предотвратить подобные атаки станет отслеживание вызовов API на предмет любых вредоносных изменений


Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 30-10-2016, 13:25:52
текст начинается как учебник для физика-ядерщика...  а потом всё к банальным вирусам скатывается )
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 02-11-2016, 01:11:33
ВНЕДРЕНИЕ КОДА С ИСПОЛЬЗОВАНИЕМ ТАБЛИЦ АТОМОВ WINDOWS

Spoiler: показать
Исследователи из enSilo показали, как можно использовать таблицы атомов для внедрения вредоносного кода в процессы Windows и обхода защитных решений.

Разработанная ими техника, получившая наименование AtomBombing, открывает возможность для атак «человек-в-браузере», получения паролей в открытом виде и снимков экрана из удаленной позиции.

«К сожалению, эту проблему не решить патчем, поскольку атака полагается не на битый код или ошибку программиста, а на функциональность, заложенную в этот механизм операционной системы», -- пишет в блоге enSilo Таль Либерман (Tal Liberman), руководитель ИБ-исследований компании. Во избежание реальных атак эксперт рекомендует вести мониторинг вызовов API на предмет инъекции кода.

Согласно Либерману, таблицы атомов, которые обеспечивает операционная система, позволяют приложениям временно сохранять и использовать данные, а также обмениваться ими. «Мы обнаружили, что инициатор атаки может записать вредоносный код в таблицу атомов и тем самым заставить легитимную программу получить этот вредоносный код из таблицы, -- пишет исследователь. -- Мы также обнаружили, что легитимной программой, вобравшей вредоносный код, можно манипулировать с целью выполнения этого кода».

Необходимым условием вредоносной атаки является запуск кода пользователем, который тот может загрузить из веба или получить вложением в письмо. «Любой мало-мальски эффективный брандмауэр приложений, если он есть в наличии, заблокирует коммуникации вредоносного исполняемого кода», -- отметил Либерман. Атака AtomBombing помогла исследователям решить эту задачу, так как коммуникации зловредного «экзешника» стала вместо него осуществлять легитимная программа.

«Многие защитные продукты оперируют белым списком доверенных процессов, -- пишет далее Либерман. -- Если атакующему удалось внедрить вредоносный код в один из доверенных процессов списка, он сможет без труда обойти этот защитный продукт».

AtomBombing также облегчает получение паролей, сохраненных в браузере, и модификацию контента посредством MitB-атаки. Инъекция кода в процесс, отвечающий за скриншоты и работающий в контексте пользователя, позволит атакующему делать снимки экрана, не запуская службу удаленного рабочего стола.

Возможность злоупотребления механизмами Windows для внедрения кода и ранее тревожила исследователей. Так, в апреле стало известно, что APT-группа Platinum зачастую использует легитимную Windows-функцию HotPatching для внедрения вредоносного кода в запущенные процессы без перезагрузки системы. Технология HotPatching была впервые реализована в Windows Server 2003 и упразднена с выходом Windows 8

http://blog.ensilo.com/atombombing-a-code-injection-that-bypasses-current-security-solutions (http://blog.ensilo.com/atombombing-a-code-injection-that-bypasses-current-security-solutions)



Microsoft недоволен публикацией Google подробностей об уязвимости Windows

Spoiler: показать
Корпорация Microsoft недовольна публикацией Google подробностей о критической уязвимости операционной системы Windows, сообщает CNET.

В понедельник, 31 октября, Google рассказал в своем блоге об этом недочете. Как отметили в корпорации, они проинформировали Microsoft, но никаких рекомендаций или исправлений сделано не было. «Эта уязвимость особенно серьезна, поскольку мы знаем, что ее активно используют», - заявили в Google.

Microsoft, очевидно, недовольна раскрытием информации со стороны Google, пишет издание. «Мы верим в координированное раскрытие уязвимостей, и сегодняшнее раскрытие от Google может подвергнуть клиентов потенциальному риску», - отметили в Microsoft. Они не уточнили, когда ожидать исправления.

Что касается Google, то они исправили этот недочет для пользователей Chrome, а Adobe выпустила обновление для Flash еще на прошлой неделе.

Ранее сообщалось, что в США уязвимость в iOS парализовала работу колл-центров службы спасения

https://security.googleblog.com/2016/10/disclosing-vulnerabilities-to-protect.html (https://security.googleblog.com/2016/10/disclosing-vulnerabilities-to-protect.html)


Вредонос Linux/IRCTelnet способен совершать DDoS-атаки на сети IPv6

Spoiler: показать
Вредоносная программа разработана на основе старых кодов ботнета Aidra.
Исследователь безопасности под псевдонимом MalwareMustDie обнаружил новое вредоносное ПО в формате ELF, способное атаковать устройства из сферы «Интернета вещей» (IoT), использующие протоколы Telnet и IRC. Вредонос, получивший название Linux/IRCTelnet, может осуществлять DDoS-атаки на сети IPv4 и IPv6 (в том числе подменять IP-адреса для усложнения обнаружения источника атаки), а также вызывать отказ в обслуживании, используя методы UDP flood, TCP flood и другие.
По словам эксперта, вредоносная программа разработана на основе старых кодов ботнета Aidra. Судя по некоторым признакам, автором вредоноса является вирусописатель из Италии. Первые атаки с применением данного вредоноса были зафиксированы 25 октября нынешнего года.
В Linux/IRCTelnet разработчик дополнил функционал сканером открытых портов Telnet и списком, включающим учетные данные уязвимых IoT-устройств, использовавшимся ботнетом Mirai. Напомним, в начале октября нынешнего года в открытом доступе был опубликован исходный код Mirai, который немедленно взяли на вооружение различные хакеры для создания своих IoT-ботнетов



Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 04-11-2016, 14:40:34
Пользователи Mac стали жертвой вредоноса, который распространяется через рекламу Google

В рекламе Google обнаружена вредоносная рекламная кампания, нацеленная на пользователей компьютеров Mac. Об этом сообщают специалисты из исследовательской компании Cylance.

(http://www.macdigger.ru/wp-content/uploads/2016/11/macbook-user-2.jpg)

По данным экспертов, мошенники приобрели в рекламе AdWords топoвые места по запросу «Google Chrome», и объявление якобы ведет на www.google.com/chrome (http://www.google.com/chrome). На самом деле, реклама отсылает пользователей по адресу googlechromelive.com, где размещается поддельная страница загрузки.

«Затем вредоносная ссылка на скачивание приводит пользователя macOS на сайты ttb.mysofteir.com, servextrx.com и www.bundlesconceptssend.com (http://www.bundlesconceptssend.com), где в итоге происходит загрузка вредоноснoго файла FLVPlayer.dmg», -- пишут эксперты.

При каждой загрузке хэш вредоносного ПО изменяется, что усложняет его обнаружение и отслеживание. Эксперты отмечают, что пользователи Windows-ПК теоретически тоже находятся в опасности, так как в их случае происходит редирект на admin.myfilessoft.com. В настоящий момент сайт отображает ошибку из-за сбоя DNS, однако злоумышленники могут это исправить.

(http://www.macdigger.ru/wp-content/uploads/2016/11/macbook-user-1.jpg)
Что касается пользователей Mac, то файл FLVPlayer.dmg, маскирующийся пoд FLV Player, на самом деле является лжеантивирусом Macpurifier, информирующим пользователя о наличии вредоносного ПО на системе и вынуждает «маковода» скачать и установить дополнительные приложения.

Специалисты Cylance сообщили Google о происходящем 25 октября 2016 года, и кампания в AdWord уже была заблокирована. Тем не менее, всем пользователям macOS, кто недавно искал Chrome, рекомендуется провести сканирование системы на предмет вредоноса
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 04-11-2016, 15:00:36
Мошенническая техподдержка применяет баг Chrome двухлетней давности

В июле 2014 в браузере Google Chrome был найден баг, который позволял включать миллионы URL-адресов в историю браузера. Это заставляет компьютер работать медленнее, расходуя системные ресурсы. Google знает о проблеме, пометив её как низкоуровневую атаку отказа в обслуживании и отложив выпуск патча.
В этом году мошенники, выдающие себя за техподдержку, решили взять этот баг на вооружение и использовать для получения персональной информации и денег пользователей. Группа злоумышленников активно использует его на сайте фальшивой технической поддержки.

Если нажать на кнопку «Запретить этой странице создавать дополнительные диалоги», баг активируется и система замедляется. Благодаря этому мошенники надеются, что пользователи позвонят по указанному на экране номеру телефона, чтобы продать им ненужные цифровые продукты и попутно выманить полезную информацию.
Решить проблему можно в диспетчере задач, закрыв процесс Chrome. Если компьютер замедлится настолько, что до диспетчера задач не добраться, можно выполнить перезагрузку вручную. В любом случае, звонить при подобных проблемах по номерам телефона на экране не следует.
В мае сообщалось, что мошенники используют поддельный экран обновления Windows, где также был указан номер телефона
(http://www.oszone.net/figs/u/316767/161103185733/1478175322_alert2_story.jpg)


Уязвимость в GitLab, позволяющая прочитать содержимое системных файлов

В корректирующих обновлениях платформы для организации совместной разработки GitLab 8.13.3, 8.12.8, 8.11.10 и 8.10.13 устранена критическая уязвимость (CVE-2016-9086), позволяющая аутентифицированному в web-интерфейсе GitLab пользователю получить доступ к произвольным файлам на сервере.

Проблема вызвана ошибкой в реализации функции импорта и экспорта проектов, впервые появившейся в GitLab 8.9 и позволяющей пользователю загрузить файлы своих проектов в форме tar-архива. До версии 8.13 функция была разрешена только администраторам, но после 8.13 стала доступна всем пользователям. Суть уязвимости в некорректной проверке символических ссылок в передаваемом архиве, что позволяет заменить типовые файлы проекта на ссылку на внешний файл и получить доступ к этому файлу.

Например, в архив можно добавить ссылку project.json, указывающую на /etc/passwd и после импорта проекта будет выведена ошибка о некорректности данных JSON, включающая содержимое всего файла. Таким способом можно прочитать файлы с ключами аутентификации и получить доступ к серверу. Всем пользователям рекомендуется срочно обновить GitLab или применить патч. В качестве обходного пути защиты можно отключить в настройках поддержку импорта/экспорта проектов ("Admin Area/Settings/Import Sources/GitLab export")

(https://www.opennet.ru/opennews/pics_base/0_1478241103.png)

https://gitlab.com/gitlab-org/gitlab-ce/issues/23822 (https://gitlab.com/gitlab-org/gitlab-ce/issues/23822)

https://about.gitlab.com/2016/11/02/cve-2016-9086-patches/ (https://about.gitlab.com/2016/11/02/cve-2016-9086-patches/)

https://hackerone.com/reports/178152 (https://hackerone.com/reports/178152)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 07-11-2016, 23:40:01
Ботнет Shadows Kill нацелился отключить от Интернета целую страну

В конце октября была совершена мощная DDoS-атака на сеть крупнейшего провайдера Dyn, которая на несколько часов отрезала доступ ко множеству популярных интернет-ресурсов. Напомним, основным инструментом для атаки стало зловредное программное обеспечение Mirai, которое объединяет уязвимые IoT-устройства в ботнет. Согласно данным ботнет-трекера MalwareTech, активизировался очередной опасный ботнет, который специалисты именуют #14 или Shadows Kill.
Карта активности Mirai
(http://www.3dnews.ru/assets/external/illustrations/2016/11/04/942167/mirai.png)
Транзитные провайдеры фиксируют DDoS-трафик более 500 Гбит/c. Shadows Kill является одним из крупнейших ботнетов в истории. Как и в случае с многими другими ботнетами, организаторы Shadows Kill тщательно выбирают цели для атаки, чтобы нанести максимальный урон. На этот раз жертвой хакеров стала целая страна. В Либерии доступ в Интернет обеспечивается одной-единственной подводной магистралью, проложенной в 2011 году. Если его «перерубить», то страна останется совсем без Интернета. Целями нового ботнета стали провайдеры, имеющие доступ к этой магистрали.

(http://www.3dnews.ru/assets/external/illustrations/2016/11/04/942167/mirai-botnet-linked-to-massive-ddos-attacks-on-dyn-dns-main.jpg)
Интересно отметить, что многочисленные атаки были короткими. По мнению экспертов, хакеры просто оттачивают свои методики и готовятся к чему-то очень масштабному. На момент подготовки материала ботнет периодически атаковал ключевых телекоммуникационных провайдеров Либерии.
Источник:
Medium

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 10-11-2016, 00:01:06
«Лаборатория Касперского» обнаружила первую вредоносную программу для Telegram

«Лаборатория Касперского» обнаружила первую вредоносную программу, шифрующую текстовые и графические файлы, которая использует мессенджер Telegram Павла Дурова для взаимодействия со злоумышленниками и требует от пользователей выкуп в размере 5 000 рублей. Об этом говорится в сообщении компании.

(http://www.macdigger.ru/wp-content/uploads/2016/08/motionsafe-2.jpg)

«В этом месяце мы обнаружили нацеленный на российских пользователей шифровальщик, одна из особенностей которого -- использование протокола мессенджера Telegram для отправки злоумышленнику ключа для расшифровки», -- сообщила Лаборатория.

Шифровальщик является ботом Telegram и атакует российских пользователей. Создатели программы заранее получили от серверов мессенджера уникальный токен (служит для авторизации пользователя, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам и надежного хранения персональных данных) для идентификации бота и поместили его в тело шифровальщика.

Это позволяет программе использовать публичный API мессенджера и поддерживать связь со злоумышленниками. Например, программа отправляет сообщения в чат с заданным номером, тем самым оповещая киберпреступников о факте заражения компьютера.

(http://www.macdigger.ru/wp-content/uploads/2016/11/emogi-1.jpg)

Отмечается, что программа использует один из простейших алгоритмов шифрования, в зависимости от настройки она может добавлять зашифрованным файлам расширение .Xcri или не менять названия файла.

«Если вы стали жертвой этого шифровальщика, мы убедительно просим вас не платить злоумышленникам. Можно обратиться в нашу службу поддержки, и мы поможем расшифровать файлы. Мы видим, что угроза, исходящая от шифровальщиков, растет крайне быстрыми темпами. Именно поэтому мы делаем все возможное, чтобы помочь пользователям справиться с этой бедой», - отметил старший антивирусный аналитик «Лаборатории Касперского» Фёдор Синицын

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 10-11-2016, 00:19:00
Обнаружен новый метод взлома аккаунтов в мобильных приложениях

https://www.blackhat.com/docs/eu-16/materials/eu-16-Yang-Signing-Into-Billion-Mobile-Apps-Effortlessly-With-OAuth20.pdf (https://www.blackhat.com/docs/eu-16/materials/eu-16-Yang-Signing-Into-Billion-Mobile-Apps-Effortlessly-With-OAuth20.pdf)
Атака возможна из-за ошибки в реализации протокола аутентификации OAuth 2.0.
Группа специалистов из Университета Гонконга продемонстрировала новый метод, позволяющий удаленно получить доступ к любой учетной записи в Android- и iOS-приложениях без ведома жертвы.
В рамках исследования эксперты проанализировали 600 наиболее популярных в США и Китае Android-приложений, 182 из которых поддерживали технологию единого входа (Single Sign-On). В 41% приложений исследователи обнаружили проблему, связанную с реализацией протокола авторизации OAuth 2.0. Данный протокол, позволяющий реализовать безопасную аутентификацию пользователей, предоставляет возможность подписчикам Google, Facebook, Microsoft или Twitter получить доступ из своих учетных записей на другие web-сайты.
При использовании OAuth 2.0 для авторизации в стороннем приложении, программа обращается к ID-провайдеру (скажем, Facebook) для верификации данных аутентификации. В случае, если информация достоверна, Facebook отправляет маркер доступа (Access Token), который затем передается на сервер мобильного приложения. В результате пользователь может авторизоваться в приложении, используя учетные данные Facebook.
Как оказалось в ходе анализа, в огромном числе Android-приложений некорректно реализован механизм, проверяющий наличие взаимосвязи между пользователем и ID-провайдером. То есть, сервер проверяет только идентификатор пользователя. Как поясняют эксперты, злоумышленники могут удаленно загрузить уязвимое приложение, авторизоваться при помощи собственных учетных данных, а затем изменить логин на имя пользователя жертвы при помощи сервера, способного модифицировать данные, отправленные Facebook, Google или другими сервисами. Таким образом атакующие могут получить доступ ко всем данным в приложении.
Например, хакеры могут взломать приложения для планирования путешествий или бронирования гостиничных номеров и получить доступ к планировщику жертвы, оплатить номер в отеле или похитить персональную информацию, такую как данные банковского счета или адрес проживания
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 12-11-2016, 00:11:39
Браузер Microsoft Edge дважды взломали на фестивале PwnFest 2016

На фестивале PwnFest 2016, в ходе которого участники должны взломать какое-то программное обеспечение с целью повышения его уровня безопасности, браузер Edge был взломан дважды - двумя разными командами специалистов. Взлому подлежала 64-битная версия Windows 10 с обновлением Red Stone 1. Первыми с задачей справились китайские специалисты по безопасности, представляющие компанию Qihoo 360, а спустя всего 18 секунд - житель Южной Кореи Юнг Хун Ли, известный под ником lokihardt.

(http://s.4pda.to/iZJLz2J28gkvZLWYPSxAUo0xJ6z2z0T.jpg)
Обе команды получили от Microsoft по $120 000, а также дополнительную награду в размере $20 000 за предоставление кода, который был использован для взлома браузера. Интересно, что команда компании Qihoo 360 переработала свой способ взлома Microsoft Edge спустя примерно 30 часов после выхода в этот вторник патча безопасности, в котором было исправлено три из четырёх уязвимостей, через который должен был осуществляться взлом.

Известно, что Microsoft будет использовать полученные данные для повышения защиты браузера Edge
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 18-11-2016, 15:33:12
да майкрософт разорится, если так будет платить налево и направо за свои дырки )
это ж никогда не кончится (http://www.capa.me/smiles/sm_biggrin.gif)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 22-11-2016, 22:40:31
В Facebook под видом SVG-картинки распространяется новый вирус

В Facebook начал распространяться новый вирус, заражающий компьютеры под видом обычной картинки. Обнаружил его исследователь безопасности Барт Блейз (Bart Blaze): программное обеспечение принимает форму картинки с расширением SVG, отправляемой с украденного аккаунта. В SVG-изображениях, в отличие от других часто используемых типов файлов, могут содержаться элементы JavaScript. К тому же, эти изображения можно открывать почти через все современные браузеры.
(http://www.3dnews.ru/assets/external/illustrations/2016/11/21/943066/sm.Capture.750.PNG)
Нажатие на картинку перенаправляет пользователя на поддельный сайт, позиционируемый как YouTube. Facebook не распознаёт сайт как опасный и не предупреждает пользователя о потенциальной угрозе. При переходе по ссылке пользователю будет предложено загрузить расширение для Chrome, которое якобы добавляет в браузер поддержку кодека, необходимого для просмотра видео.
Устанавливая это расширение, пользователь тем самым предоставляет злоумышленникам доступ к модификации своих данных на разных сайтах. К тому же, согласно Блейзу, при его загрузке хакеры получают доступ к аккаунту пользователя в Facebook, что способствует дальнейшему распространению вредоносного ПО.
(http://www.3dnews.ru/assets/external/illustrations/2016/11/21/943066/FB_Nemucod.png)
Питер Крузе (Peter Kruse), коллега Блейза, отметил, что в некоторых случаях изображение содержало в себе загрузчик Nemucod, скачивающий на компьютер вирус-вымогатель Locky. Неясно, как злоумышленникам удалось обойти ограничения фильтра расширений Facebook, однако сообщается, что команда по обеспечению безопасности социальной сети уже уведомлена о проблеме. Вредоносное расширение для Chrome также было удалено из магазина расширений

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 23-11-2016, 14:14:56
вот тебе и защита... все проморгали и пропустили и ссылки и расширения
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 28-11-2016, 21:22:13
Специалисты Google удивили пользователей заявлением про антивирусы


Spoiler: показать
Ведущие специалисты Google удивили общественность заявлением об антивирусах. По их мнению, соответствующие программы бесполезны и не способны в полной мере защитить компьютер от сторонних вторжений.
Разработчики Google также признались, что всем крупным компаниям это давно известно, однако в широких кругах факт бесполезности антивирусного ПО не афишируется, ведь это очень прибыльный бизнес - продажа данного софта приносит миллионы долларов. Антивирусы не могут защитить компьютер от хакерских атак и вирусов, заявляют эксперты Google.
В частности, это происходит потому, что они всегда на «шаг позади» хакерских программ, а также, люди сами зачастую являются виновниками поражения компьютера вредоносным софтом - они пользуются чужими непроверенными флешками, переходят по подозрительным ссылкам, ставят слабые пароли и не обновляют программы


Уязвимость в LXC, позволяющая получить доступ к файлам вне контейнера

Spoiler: показать

В инструментарии управления изолированными контейнерами LXC выявлена уязвимость (CVE-2016-8649), позволяющая при наличии прав root внутри непривилегированного контейнера (работающего в отдельном user namespace) получить доступ к файлам хост-системы и выполнить свой код вне изолированного окружения.

Атака может быть совершена при запуске в контейнере процессов при помощи утилиты lxc-attach. Пользователь root в контейнере имеет возможность влиять на работу утилиты lxc-attach, что, в сочетании с достаточно просто достигаемым состоянием гонки при выполнении lxc-attach, может привести к отключению ограничений и получению доступа к хост-системе. Уязвимость охватывает две проблемы: использование в lxc-attach данных из источников, подконтрольных пользователю контейнера, и возможность применения вызова ptrace для экземпляров lxc-attach, созданных в другом пространстве пользователей (root из контейнера может получить доступ к процессу, созданному во внешнем user namespace).

В частности, lxc-attach оставляет открытым файловый дескриптор к одному из файлов /proc на стороне хост-системы, что позволяет атакующему получить через него доступ к остальным частям файловой системы, используя системные вызовы семейства openat(). В том числе через файловый дескриптор могут быть записаны данные в файлы /proc/PID/attr/current или /proc/PID/attr/exec на стороне хост-системы для установки меток AppArmor и SELinux к прикреплённому процессу, что даёт возможность отключить сброс привилегий для процесса, запускаемого при помощи lxc-attach.

Уязвимость уже устранена в Ubuntu Linux и ожидает исправления в Debian, RHEL/CentOS, Fedora, Fedora EPEL и SUSE/openSUSE. Патч для блокирования уязвимости принят в дерево исходных текстов LXC, но для полного устранения возможных альтернативных векторов атаки также требуется внесение исправлений в ядро Linux для реализации проверки прав доступа к ptrace с учётом user namespace.

http://openwall.com/lists/oss-security/2016/11/23/6 (http://openwall.com/lists/oss-security/2016/11/23/6)
https://security-tracker.debian.org/tracker/CVE-2016-8649 (https://security-tracker.debian.org/tracker/CVE-2016-8649)
https://bugs.launchpad.net/ubuntu/+source/lxc/+bug/1639345 (https://bugs.launchpad.net/ubuntu/+source/lxc/+bug/1639345)
https://ru.wikipedia.org/wiki/%D0%A1%D0%BE%D1%81%D1%82%D0%BE%D1%8F%D0%BD%D0%B8%D0%B5_%D0%B3%D0%BE%D0%BD%D0%BA%D0%B8 (https://ru.wikipedia.org/wiki/%D0%A1%D0%BE%D1%81%D1%82%D0%BE%D1%8F%D0%BD%D0%B8%D0%B5_%D0%B3%D0%BE%D0%BD%D0%BA%D0%B8)
https://lists.linuxfoundation.org/pipermail/containers/2016-November/037647.html (https://lists.linuxfoundation.org/pipermail/containers/2016-November/037647.html)



Роскомнадзор предупредил об опасности писем Деду Морозу

Spoiler: показать

На своей официальной странице в социальной сети «ВКонтакте» Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) разместила не совсем обычный документ -- образец письма Деду Морозу. Какое отношение ведомство имеет к главному сказочному персонажу новогоднего праздника? Да ровным счётом никакого, а опубликованный образец лишь призван уберечь неосторожных пользователей и, в особенности, их детей от разглашения личной информации.
(http://www.3dnews.ru/assets/external/illustrations/2016/11/26/943410/01.jpg)
К письму прилагаются рекомендации с перечислением тех сведений, которые Деду Морозу сообщать не следует: ФИО полностью, домашний адрес, адрес школы, класс и т. п. Роскомнадзор напоминает, что в письме достаточно указать только имя и возраст ребёнка, чтобы «Дедушка знал, какой подарок подарить, и кому он дарит».
(http://www.3dnews.ru/assets/external/illustrations/2016/11/26/943410/02.jpg)
Поводом для составления данных рекомендаций послужил тот факт, что с приближением новогодних праздников резко возросло число сайтов с письмами Деду Морозу, на которых распространяются персональные данные детей. На данный момент Роскомнадзор принимает меры в отношении 76 подобных ресурсов, говорится в сообщении ведомства

https://vk.com/rkn?w=wall-76229642_108036 (https://vk.com/rkn?w=wall-76229642_108036)


Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 29-11-2016, 13:56:41
то что антивирус на шаг позади - это верно, но разве это гарантия того что вы обязательно соберёте все самые свежие вирусы?  - нет!
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 29-11-2016, 22:53:50
Вымогатель Kangaroo блокирует пользователям доступ к Windows

Spoiler: показать
Автоpы шифровальщика Apocalypse и его более поздних модификаций (Fabiansomware, Esmeralda) создали еще одного криптовымогателя -- Kangaroo.
Эта версия малвари отличается не только другим сообщением с требованиeм выкупа, но также пытается не дать пользователю войти в Windows.
Сообщение с требованием выкупа отобpажается перед экраном логина, что лишает пользователя возмoжности войти в систему. Кроме того, малварь вносит изменения в реестр: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon «LegalNoticeText», что привoдит к отображению дополнительного предупреждения. Также Kangaroo останавливaет процесс Explorer и предотвращает запуск «Диспетчера зaдач». Хотя обойти такую блокировку можно при помощи сочетания клавиш Alt + F4 или загpузив ОС в безопасном режиме, многие неискушенные пользователи не сумeют преодолеть даже такой простой блок.
[spoiler](https://xakep.ru/wp-content/uploads/2016/11/legal-notice.png)
(https://xakep.ru/wp-content/uploads/2016/11/windows-lock-screen.png)

Исследoватель Bleeping Computer, Лоренс Абрамс, пишет, что в отличие от других вымогателей Kangaroo распространяется не посредством эксплоит китов, скомпрометировaнных сайтов или спама. Создатели Kangaroo взламывают машины жертв вручную (!), при помощи Remote Desktop, и зaпускают шифровальщика в систему. Во время первого запуска шифровальщик отображает уникaльный ID жертвы и ключ шифрования, которые операторы малвари должны скопиpовать. Затем вымогатель шифрует файлы пользователя, изменяя их расширение на .crypted_file. Довольно странно, но пpи этом шифровальщик также создает сообщение с требованием выкупа для каждого зашифрованнoго файла.
(https://xakep.ru/wp-content/uploads/2016/11/first-run.png)
Расшифровать файлы, зашифрованные Kangaroo, пока не представляется возможным. Впpочем, некоторым пользователям может улыбнуться удача, дело в том, что шифровaльщик не всегда корректно справляется с удалением теневых копий, в некoторых случаях они сохраняются и позволяют попытаться восстановить данные

http://www.bleepingcomputer.com/news/security/the-kangaroo-ransomware-not-only-encrypts-your-data-but-tries-to-lock-you-out-of-windows/ (http://www.bleepingcomputer.com/news/security/the-kangaroo-ransomware-not-only-encrypts-your-data-but-tries-to-lock-you-out-of-windows/)
[/spoiler]
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 30-11-2016, 23:00:05
Предупреждение об атаках на Tor Browser с применением неисправленной уязвимости

Spoiler: показать
Разработчиками анонимной сети Tor обнаружен вредоносный JavaScript-код, активно используемый для атаки на пользователей Tor Browser.
Атака производится через эксплуатацию ещё неисправленной (0-day) уязвимости, позволяющей получить контроль за системой пользователя Tor Browser, в том числе выполнить свой код и осуществить деанонимизацию пользователя.
Уязвимость также присутствует в кодовой базе Firefox и подтверждена разработчиками Mozilla, которые занимаются подготовкой внепланового экстренного обновления. Опубликованный пример эксплоита поражает только системы Windows, но после модификации может быть адаптирован и для атаки на другие ОС. После успешной эксплуатации уязвимости на поражённой системе запускается код, осуществляющий определение реального IP-адреса системы и отправку сведений на внешний сервер.
Эксплоит подходит для атаки на Firefox начиная с выпуска 41 и заканчивая 50, а также на Tor Browser 6, основанный на ESR-ветке Firefox 45. Эксплуатация производится через переполнение кучи, которое проявляется только при обработке JavaScript. Выполняемый после проникновения вредоносный код представляет собой улучшенную версию кода, применявшегося в 2013 году ФБР для раскрытия личностей владельцев крупнейшего хостинга нелегального контента, работающего в форме скрытых сервисов Tor.
До выхода обновления пользователям Tor Browser рекомендуется применить NoScript для временной блокировки выполнения JavaScript на не заслуживающих доверия сайтах. На надёжных сайтах можно ограничиться блокировкой сторонних JavaScript-блоков, загружаемых с внешних источников (реклама, аналитика, счётчики, виджеты социальных сетей и т.п.). Для защиты анонимности следует избегать запуска Tor Browser в основной системе или в окружении, имеющем прямое подключение к сети. В случае взлома браузера, даже при использовании Live-окружения Tails, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать многоуровневые системы, например, дистрибутив Whonix


Волна атак на клиентские маршрутизаторы

Spoiler: показать
Исследователи безопасности предупредили пользователей о выявлении вредоносной активности, поражающей беспроводные и DSL маршрутизаторы Zyxel, Speedport и, возможно, других производителей, устанавливаемые клиентам некоторыми крупными операторами связи, такими как Deutsche Telekom и Eircom.

С учётом того, что проблемные устройства сосредоточены в подсетях нескольких провайдеров, устанавливающих клиентам типовое оборудование, поиск уязвимых устройств существенно упрощается. В настоящее время атака приобретает лавинообразный характер: на подставных honeypot-серверах, запущенных Центром изучения сетевых угроз при институте SANS для изучения характера атаки, новые попытки эксплуатации фиксируются раз в 5-10 минут.

Точное число потенциально уязвимых устройств неизвестно, но утверждается, что проблема может затрагивать миллионы домашних маршрутизаторов. По информации от Deutsche Telekom, проблеме подвержено 900 тысяч их клиентов. Deutsche Telekom уже выпустил обновление прошивок для устанавливаемых клиентам устройств, но для его применения необходимо, чтобы пользователь перезапустил маршрутизатор, что происходит не так часто. До перезагрузки устройство остаётся уязвимым. Предварительное сканирование портов показало, что в сети присутствует около 5 млн проблемных устройств.

Уязвимость связана с некорректной организацией доступа к протоколам TR-069 и TR-064, применяемым для автоматизации настройки абонентского оборудования операторами связи. Протокол основан на HTTP/SOAP и принимает соединения на сетевом порту 7547. Протокол рассчитан только на доступ из внутренней сети оператора связи, но на проблемных устройствах ограничения не были реализованы и соединения принимаются из любых сетей, в том числе для обращений через внешний интерфейс (WAN). Техника атаки достаточно проста и сводится к передаче набора shell-команд в числе настроек (должным образом не экранируются обратные кавычки, что даёт возможность выполнить произвольные команды в shell).
(https://www.opennet.ru/opennews/pics_base/0_1480434758.png)
Проанализировав результаты некоторых атак на подставные устройства исследователи выяснили, что после эксплуатации уязвимости на устройство внедряется один из вариантов червя Mirai, формирующего новый ботнет для совершения DDoS-атак. Предполагается, что неизвестные злоумышленники воспользовались ранее опубликованными исходными текстами червя Mirai, которые были дополнены эксплоитом, обеспечивающим запуск кода через манипуляции с сервисами, поддерживающими протокол TR-064 (LAN-Side CPE Configuration).
Атака проводится через перебор IP-адресов. В случае обнаружения открытого порта 7547, осуществляется попытка изменения настроек при помощи команд TR-064 для открытия доступа к административному web-интерфейсу, после чего червь подключается к нему при помощи одного из трёх задаваемых по умолчанию паролей. Далее червь последовательно загружает с разных хостов (например, с «l.ocalhost.host» -- поддомен «ocalhost» в домене первого уровня «host», не путать с localhost) и перебирает семь вариантов сборок вредоносного ПО для маршрутизаторов, построенных на базе чипов MIPS Big Endian, MIPS Little Endian, ARМ, Renesas SH, PowerPC (cisco 4500), SPARC и Motorola 68020. После чего закрывает пакетным фильтром порт 7547 и убивает процесс telnetd для блокирования установки обновлений провайдером.
Для удаления червя достаточно перезагрузить устройство, после чего следует убедиться в доставке обновления прошивки. Проверку наличия открытого порта 7547 также следует проводить после перезагрузки, так как в случае если устройство уже атаковано, данный порт будет закрыт пакетным фильтром
https://devicereversing.wordpress.com/2016/11/07/eirs-d1000-modem-is-wide-open-to-being-hacked/ (https://devicereversing.wordpress.com/2016/11/07/eirs-d1000-modem-is-wide-open-to-being-hacked/)
https://isc.sans.edu/forums/diary/Port+7547+SOAP+Remote+Code+Execution+Attack+Against+DSL+Modems/21759 (https://isc.sans.edu/forums/diary/Port+7547+SOAP+Remote+Code+Execution+Attack+Against+DSL+Modems/21759)
Deutsche Telekom
https://www.telekom.de/hilfe/geraete-zubehoer/router/speedport-w-921v/firmware-zum-speedport-w-921v?samChecked=true (https://www.telekom.de/hilfe/geraete-zubehoer/router/speedport-w-921v/firmware-zum-speedport-w-921v?samChecked=true)
https://badcyber.com/new-mirai-attack-vector-bot-exploits-a-recently-discovered-router-vulnerability/ (https://badcyber.com/new-mirai-attack-vector-bot-exploits-a-recently-discovered-router-vulnerability/)
червь Mirai
https://github.com/jgamblin/Mirai-Source-Code (https://github.com/jgamblin/Mirai-Source-Code)
https://www.exploit-db.com/exploits/40740/ (https://www.exploit-db.com/exploits/40740/)
https://www.broadband-forum.org/technical/download/TR-064.pdf (https://www.broadband-forum.org/technical/download/TR-064.pdf)



Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 30-11-2016, 23:07:41
В России зафиксированы первые DDoS-атаки с шифрованием
Spoiler: показать
«Лаборатория Касперского» зафиксировала первые в России DDoS-атаки, осуществлённые через соединения, защищённые шифрованием.

Эксперты отмечают, что шифрование серьёзно усложняет работу специализированных систем, предназначенных для защиты от DDoS-атак. В ходе таких нападений раскодирование трафика «на лету» для анализа содержимого сетевых пакетов зачастую попросту невозможно по техническим причинам. А это означает, что эффективность атак существенно возрастает.
Зафиксированные в России DDoS-атаки с шифрованием были нацелены на одно из известных СМИ. Злоумышленники задействовали метод Wordpress Pingback, суть которого сводится к эксплуатации уязвимости в платформе WordPress.

Схема нападения предусматривает вовлечение сайтов, построенных с применением Wordpress CMS с включенным режимом Pingback, изначально созданным для автоматического оповещения авторов об обновлениях в их постах. Киберпреступники отправляют на такие сайты специально созданный http-запрос с ложным обратным адресом (адресом жертвы), на который сервер отсылает ответы. Атака формируется из потока подобных ответов, в результате чего возникают сбои в работе веб-ресурса жертвы.
В данном случае атака была дополнена шифрование потока трафика в направлении жертвы. Такие нападения могут создавать большую нагрузку на атакованный ресурс, чем стандартные, поскольку установка зашифрованного соединения является более сложной с технологической точки зрения
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 01-12-2016, 14:05:55
последнее по-моему вообще из пальца высосанная проблема. более того, шифрование не ДО, а ширование ПОСЛЕ. так в чём проблема то?
человек видит что его сайт используют для бомбёжки "других", отключаешь этот сервис и проблемы нет.
а ещё лучше все внешние запросы сразу в банан.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 03-12-2016, 01:54:18
Android-троян Gooligan заразил свыше миллиона смартфонов

Spoiler: показать
Эксперты из компании Check Point обнаружили новый вирус, который успел заразить свыше миллиона Android-смартфонов. По данным экспертов, «зловред» под названием Gooligan инфицирует около 13 000 устройств в сутки.



Троянец распространяется под видом приложений (например, Slots Mania или Sex Photo), загружаемых пользователями из магазина ПО. Попав на смартфон, Gooligan эксплуатирует уязвимости ядра Linux в версиях Android 4 и 5 (Jelly Bean, KitKat и Marshmallow), что позволяет ему завладеть полным контролем над устройством жертвы.

Помимо прочего вредоносное ПО умеет перехватывать данные авторизации Google, получая доступ к почте Gmail, «Диску Google» и фотографиям.

Gooligan не компрометирует личные данные пользователя, такие как файлы или электронные письма, и не крадет конфиденциальную информацию. Вместо этого он устанавливает другие программы из Google Play и ставит им 5-звездочный рейтинг. А с учетом количества зараженных Android-смартфонов, хакеры могут помочь заказчику очень быстро продвинуть его приложение на верхние позиции официального магазина.

(http://www.macdigger.ru/wp-content/uploads/2016/12/Check-Point-1.jpg)

Избавиться от Gooligan можно только путем полной переустановки системы. Google закрыла данную уязвимость в старых версиях ОС, но из-за фрагментированной экосистемы патч попал только на четверть Android-устройств во всем мире.

В Check Point заявили, что тесно работают с Google для поиска решения проблемы, и призвали Android-пользователей внимательно относиться к скачиванию приложений, внимательно читать отзывы пользователей о ПО и регулярно проверять свои устройства на наличие вирусов и несанкционированного использования данных
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 06-12-2016, 21:15:26
Новый метод позволяет взломать карту Visa за 6 секунд

Эксперты описали, как можно обойти защиту платежной системы при помощи метода распределенного перебора.
Исследователи из Ньюкаслского университета продемонстрировали новый метод, позволяющий подобрать номер, дату истечения срока действия и код безопасности карты Visa всего за 6 секунд. В исследовании, опубликованном в журнале IEEE Security & Privacy, эксперты описали, как можно обойти защиту при помощи так называемой атаки распределенного перебора (Distributed Guessing Attack).
По словам ученых, ни современные платежные системы, ни банки не могут обнаружить многочисленные неудачные попытки хакеров получить доступ к данным кредитных карт. Проверяя разные варианты номеров, дат и кодов безопасности карт на различных сайтах, злоумышленники могут за несколько секунд получить совпадения и подтвердить все необходимые данные.
Как пояснил ведущий автор исследования Мохаммед Али (Mohammed Ali), атака подобного рода эксплуатирует две уязвимости, которые сами по себе не представляют особой опасности, но при комбинированном использовании представляют серьезную угрозу для всей платежной системы. Прежде всего, современные системы электронных платежей не фиксируют неудачные попытки платежа на разных web-сайтах. Таким образом, возможно бесконечно перебирать варианты для каждого из реквизитов карты, используя количество разрешенных сайтом попыток (обычно 10 или 20). Во-вторых, различные сайты запрашивают разные реквизиты для подтверждения покупки. То есть, собрать фрагменты информации и сложить их вместе - довольно просто, отмечает Али.
С помощью одного верно угаданного поля подбираются другие. Если посылать запросы одновременно на множество сайтов, можно получить положительные ответы на каждый из них в течение двух секунд.
Для получения данных кредитных карт атака распределенного перебора использует интернет-магазины. Перебираются разные варианты и в зависимости от реакции сайта на попытку осуществить транзакцию, определяется правильный вариант.
По словам исследователя, при помощи данной атаки довольно легко взломать платежную систему VISA. Система никак не реагирует на неудачные попытки платежа, предпринятые на разных сайтах с использованием одной и той же карты. Централизованная сеть MasterCard смогла распознать атаку методом перебора менее чем за десять попыток, даже в тех случаях, когда платежи были распределены по нескольким сетям

http://www.ncl.ac.uk/press/news/2016/12/cyberattack/ (http://www.ncl.ac.uk/press/news/2016/12/cyberattack/)

http://www.youtube.com/v/uwvjZGKwKvY


Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 06-12-2016, 21:22:55
С помощью AirDroid хакеры воруют информацию с телефонов пользователей
Spoiler: показать
Приложение AirDroid, предназначенное для удалённого управления Android-устройствами, сейчас в сетевом сервисе Google Play Store пользуется нешуточной популярностью. Но, как предостерегают специалисты по информационной безопасности из компании Zimperium, использовать его следует с особой осторожностью.   
После тщательного изучения AirDroid эксперты обнаружили в приложении ряд уязвимостей, с помощью которых киберпреступники могут заполучить доступ к логинам и паролям, хранящимся в памяти телефона жертвы. Что ещё хуже, разработчики программы прекрасно осведомлены о существовании проблемы, но по каким-то причинам не торопятся её устранять.

Сейчас с помощью AirDroid злоумышленники могут осуществлять атаки типа «человек посередине» (Man-in-the-Middle) и перехватывать отправляемую приложением информацию, включая запросы на обновление. Проблема в том, что приложение использует небезопасные каналы связи. Вдобавок запросы шифруются при помощи DES (режим ECB), но ключ шифрования жёстко запрограммирован внутри самого приложения.
При проведении атаки типа «человек посередине» киберпреступники могут распространять на устройствах вредоносные файлы APK и получать к полный доступ к телефонам жертв. В результате вся хранящаяся на них информация, включая адрес электронной почты, пароли и данные кредитных карт, оказывается скомпрометирована
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 07-12-2016, 00:19:33
по дыре в Визе понравилось.
странно что они этого не предусмотрели и позволяют хакерам такое...
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 12-12-2016, 00:21:07
PowerShell становится популярным инструментом распространения вредоносного ПО

Оболочка Microsoft PowerShell является мощным инструментом для опытных пользователей и профессионалов на операционной системе Windows.
В последних сборках Windows 10 разработчики сделали её оболочкой по умолчанию, однако эксперты по информационной безопасности говорят, что и киберпреступники также используют её всё чаще.
Компания Symantec проанализировала вредоносные скрипты PowerShell и сообщает, что число угроз растёт быстрыми темпами, особенно это относится к предприятиям, где данный фреймворк широко используется. Большинство скриптов PowerShell применяют с целью выполнять код на компьютере и распространять вредоносные скрипты по сети.
Есть три популярных семейства вредоносных приложений, распространяющихся посредством скриптов PowerShell: W97M.Downloader (9,4% из рассмотренных примеров), Trojan.Kotver (4,5%) и Downloader (4%). За последние шесть месяцев Symantec блокировала в среднем по 466028 писем с вредоносным кодом JavaScript в день и это число растёт. Не все файлы JavaScript используют PowerShell для скачивания файлов, но популярность фреймворка у хакеров увеличивается.
(http://www.oszone.net/figs/u/316767/161210181823/microsoft-powershell-becomes-a-more-popular-malware-spreading-tool-510871-2.jpg)
Создаются всё более сложные скрипты PowerShell, способные работать в несколько этапов. Вместо взлома компьютера напрямую они запускают другие скрипты, которые занимаются распространением вредоносных приложений. Это позволяет обойти определённые меры защиты, некоторые скрипты могут даже удалять антивирусные программы и красть пароли.
Специалисты рекомендуют пользоваться последними версиями приложений и последней версией PowerShell. Поскольку большинство скриптов распространяются по электронной почте, не следует открывать вложенные файлы и переходить по ссылкам в письмах от неизвестных адресатов
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 12-12-2016, 13:09:38
да чего уж душой кривить  - сам майкрософт является рассадником вирусов )
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 18-12-2016, 21:05:30
Старый вымогатель ловит жертв на «клубничку»

Spoiler: показать
Вымогательское ПО первого поколения атакует посетителей сайтов «для взрослых».
Исследователи предупредили о вредоносной рекламе, отображаемой на некоторых сайтах «для взрослых». Баннеры рекламируют квадрокоптеры и заражают системы жертв вымогательским ПО BandarChor. Новая версия вредоноса была обнаружена ИБ-экспертом Kafeine и проанализирована Лоуренсом Абрамсом (Lawrence Abrams) из Bleeping Computer и исследователем Malwareforme.
Оригинальный BandarChor относится к вымогательскому ПО первого поколения наряду с CTB-Locker, CryptoWall, TorrentLocker и TeslaCrypt. Впервые вредонос был обнаружен в ноябре 2014 года, и к 2016 году его активность постепенно снижалась. За два года тактика операторов BandarChor не изменилась - жертва по-прежнему должна связываться с ними по электронной почте, указанной в уведомлении с требованием выкупа.
(http://s017.radikal.ru/i431/1612/13/70c9b6a4b0ce.jpg)

Адрес help@decryptservice .info также используется в расширении, добавляемом к зашифрованным файлам. К примеру, по завершении процесса шифрования файл test.jpg будет переименован в test.jpg.id-1235240425_help@decryptservice .info. Как и прежде, для связи с C&C-сервером вредоносу необходимо интернет-подключение.
По словам исследователей, новая версия BandarChor представляет собой лишь незначительное обновление старого вымогательского ПО, умудрившегося выжить за все это время. Как отмечают эксперты, BandarChor удалось сохранить активность благодаря небольшому числу инфекций, позволившему ему долгое время оставаться в тени
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 21-12-2016, 22:24:00
Банковский Android-троян Faketoken шифрует пользовательские данные
Spoiler: показать


«Лаборатория Касперского» обнаружила опасную версию банковского зловреда Trojan-Banker.AndroidOS.Faketoken, которая способна шифровать пользовательские данные.
Вредоносная программа распространяется под видом различных приложений и игр для операционной системы Android. Сразу после запуска троян запрашивает права администратора устройства. Если пользователь не соглашается, Faketoken снова и снова перезапускает окно с соответствующим требованием, практически не оставляя шансов отказаться.
Троян под видом приложения «Яндекс.Навигатор» запрашивает права администратора устройства
(http://www.3dnews.ru/assets/external/illustrations/2016/12/20/944725/tr1.jpg)
Получив права администратора, зловред начинает запрашивать необходимые ему разрешения: на доступ к SMS, файлам и контактам, на отправку SMS и совершение звонков. Кроме того, Faketoken пытается сделать себя утилитой для работы с SMS по умолчанию.
Далее троян загружает с сервера базу данных, содержащую фразы на десятках разных языков. Используя эту базу, Faketoken демонстрирует жертве различные фишинговые сообщения с целью кражи учётной информации Gmail и данных банковских карт.
(http://www.3dnews.ru/assets/external/illustrations/2016/12/20/944725/tr2.jpg)
Кроме того, от управляющего сервера троян может получить список атакуемых приложений и страницу-шаблон, на основе которой генерируются фишинговые страницы для других программ.
Наконец, Faketoken может вымогать деньги, блокируя экран инфицированного устройства, а также шифруя файлы пользователя. Для кодирования используется симметричный алгоритм AES. Среди шифруемых данных есть как медиафайлы (картинки, музыка, видео), так и документы.
Жертвами зловреда уже стали более 16 000 человек в 27 странах, в основном это пользователи из России, Украины, Германии и Таиланда

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 23-12-2016, 21:26:58
Новый вид мошенничества с iPhone в России, или почему Apple может заблокировать ваш смартфон в любой момент


Spoiler: показать

В России раскрыт новый вид мошенничества с iPhone. Схема позволяет недобросовестным сервисным центрам выставлять на продажу новые смартфоны. При этом владельцы могут остаться без таких устройств в любой момент.
Очень часто на сайтах бесплатных объявлений можно увидеть предложения о продаже iPhone и iPad значительно дешевле, чем в официальном ритейле. Стремясь сэкономить 10-15 тыс. и более, покупатели соглашаются приобрести такие устройства. Смартфоны «белые» - официальные, не подделка. Однако такие iPhone могут отключить в любой момент.

«Вероятно, сотрудники российских сервисных центров Apple закупают на сайтах объявлений подержанные iPhone и iPad. В них имитируется поломка, и они проводятся по документам как брак, что даёт основание запросить у Apple аналогичное устройство на обмен», - приводит Life слова экспертов.

В подобных ситуациях Apple не запрашивает коробку от смартфона или ее содержимое. Поврежденный смартфон обменивается на новый - с коробкой, наушниками, зарядным устройством и т.п. Сервисный центр проводит смартфон как «замену сломанного клиентского аппарата на новый» и выставляет новый iPhone на продажу.
Подобная практика пользуется растущей популярностью как в Москве, так и в регионах. В России выданных по этой схеме iPhone тысячи. На каждом аппарате мошенники зарабатывают до 35 000 рублей. Устройство можно купить с рук за 50% цены нового, а то и дешевле. В месяц на этом можно заработать 100-300 тыс.

Исполнительный директор HEADS Consulting Никита Куликов отмечает, что Apple пока доверяет российским сервисным центрам и дополнительно не проверяет устройства:

«Подобного рода возвраты производители делают, только получив соответствующую претензию от сертифицированного сервисного центра, а это означает, что и юридическое лицо, и сотрудники сервисного центра уже прошли предварительную проверку и одобрение со стороны производителя».

Так как пока публично известных случаев такого мошенничества не было, Apple мер не предпринимала. Однако если практика обнаружится, сервис лишат лицензии и отберут права на обслуживание. Если суд установит факт мошенничества, iPhone заблокируют.

Возможностей отследить смартфон у Apple предостаточно. Компания без труда установит, какие устройства были сданы и какие поставлены на замену, определит их серийные номера и IMEI.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 23-12-2016, 22:21:37
IT-безопасность в 2017-м: какие сюрпризы готовят киберпреступники в новом году


Spoiler: показать


«Лаборатория Касперского» обнародовала прогноз по рынку информационной безопасности на 2017 год.
Уходящий год ознаменовался бурным ростом количества программ-вымогателей и развитием мошенничества в финансовой сфере. Зафиксированы сложные кибератаки класса АРТ (целевые вредоносные операции).
(http://www.3dnews.ru/assets/external/illustrations/2016/12/22/944852/hack1.jpg)
В 2017-м, полагают эксперты, киберпреступники продолжат совершенствовать технологии кражи денег. Под прицелом окажутся фондовые биржи и инвестиционные фонды.
В свете роста популярности криптовалют неизбежно ухудшение ситуации с безопасностью в соответствующем сегменте. Ряд банковских транзакций, в которых используются технологии блокчейна и основанные на них цифровые валюты, могут столкнуться с новыми угрозами и уязвимостями.
(http://www.3dnews.ru/assets/external/illustrations/2016/12/22/944852/hack2.jpg)
«Лаборатория Касперского» отмечает, что в новом году тенденция скрытности и незаметности сложных атак класса АРТ обретёт новый вектор развития. Хакеры будут всё чаще выбирать те инструменты и программы, для которых продолжительность нахождения в системе -- не главное. К примеру, киберпреступники могут выбрать тактику создания небольших по размеру программ для размещения в оперативной памяти, из которой они будут удалены при перезагрузке системы. Таким образом, злоумышленники могут получать данные из систем жертв, не оставляя следов.
(http://www.3dnews.ru/assets/external/illustrations/2016/12/22/944852/hack3.jpg)
«Лаборатория Касперского» также указывает на проблему безопасности, напрямую не связанную с противозаконными действиями злоумышленников. Речь идёт о накоплении персональных данных пользователей большими корпорациями и веб-сервисами. Фактически пользователи оказываются в ситуации заложников, потому не могут получить онлайн-услуги, не оставив взамен свои личные данные. Компании обещают надёжно хранить эту информацию, однако случаи утечки происходят всё чаще. «Вероятно, в самом ближайшем будущем мы увидим, что пользователи захотят контролировать эту ситуацию и самостоятельно решать, какие данные они готовы доверить компаниям, а какие предпочтут сохранить в тайне», -- резюмируют эксперты



Каждый двадцатый пользователь в России рискует потерять деньги в результате кибератак

Spoiler: показать

Статистика, собранная «Лабораторией Касперского», говорит о том, что в уходящем году российские пользователи стали чаще сталкиваться с вредоносными программами, предназначенными для хищения денег.

Отмечается, что Россия возглавила список стран, в которых пользователи наиболее подвержены риску заражения финансовыми зловредами. В частности, за год с банковским вредоносным ПО столкнулись около 5 % отечественных пользователей, то есть каждый двадцатый.
Увеличение числа финансовых атак, по мнению, экспертов, отчасти объясняется ростом популярности приложений мобильного банкинга. Так, из 10 наиболее популярных сегодня банковских троянов пять предназначены для кражи финансовых данных с устройств на базе Android. По сравнению с 2015 годом доля подобных атак на смартфоны и планшеты увеличилась в 4,5 раза.
География атак финансового вредоносного ПО в 2016 году (доля атакованных пользователей в стране)
(http://www.3dnews.ru/assets/external/illustrations/2016/12/21/944803/money2.jpg)
Кроме того, в этом году появилось восемь новых семейств зловредов для платёжных терминалов (POS) и банкоматов. В результате, общее число вредоносного ПО для этих устройств выросло на 20 % по сравнению с 2015 годом.
В 2017 году киберпреступники, разумеется, продолжат изобретать различные способы кражи денег с помощью кибератак. Эксперты «Лаборатории Касперского» считают, что в зону  внимания злоумышленников в новом году попадут не столько банки, сколько другие финансовые организации, например, фондовые биржи или инвестиционные фонды




28 февраля состоится конференция «Диджитализация и кибербезопасность: инновации на службе бизнеса»

Spoiler: показать

28 февраля 2017 года состоится конференция «Диджитализация и кибербезопасность: инновации на службе бизнеса». Мероприятие пройдёт при поддержке комитета по IT CCI France Russie.
(http://www.3dnews.ru/assets/external/illustrations/2016/12/20/944735/image001.jpg)
Программа мероприятия включает две сессии.
В ходе первой сессии на тему «Что должен знать об IT генеральный директор. Диджитализация и новые горизонты для развития бизнеса» предполагается обсудить следующие вопросы:
Развитие инноваций и диджитализация в России: особенности регулирования. Хранение и защита персональных данных, «закон Яровой»
Госрегулирование в режиме онлайн. Внедрение облачных технологий в госструктурах. IT-решения как способ оптимизации госуправления
Оптимизация бизнес-процессов с помощью Internet of Things и Big Data Products
Интернет вещей в России в «умном предприятии»: миф или реальность
Как можно использовать VR (виртуальную реальность) в бизнесе?

Тема второй сессии: «Киберугрозы и информационная безопасность для бизнеса». На ней пройдёт обсуждение следующих вопросов:
Информационная безопасность в России и в мире: аналитика за 2016 год
Киберугрозы современности. Кто входит в «группу риска»? Форензик -- что это такое и что компаниям важно знать?
Безопасная обработка и передача персональных данных. Снижение рисков при хранении и передаче информации
Новейшие способы пресечения кибер-преступлений
Противостояние киберугрозам. Case-study
Управление кибер-рисками
Аналитика по защищенности компаний от киберугроз и инструменты страхования кибер-рисков.
Регистрация для участи в конференции обязательна. Подробную информацию об участии можно посмотреть по ссылке.
http://www.ccifr.ru/ru/index.php?pid=129&id=593&utm_source=S-director&utm_medium=link&utm_campaign=Conf_IT (http://www.ccifr.ru/ru/index.php?pid=129&id=593&utm_source=S-director&utm_medium=link&utm_campaign=Conf_IT)




Интенсивность атак программ-вымогателей в 2016 году выросла вдвое
Spoiler: показать

«Лаборатория Касперского» подводит итоги уходящего года в сегменте информационной безопасности: одной из тенденций 2016-го стало стремительное развитие программ-вымогателей.
В течение года эксперты зафиксировали появление 62 новых семейств зловредов-вымогателей. При этом количество новых модификаций таких вредоносных программ подскочило в 11 раз -- с 2900 в период с января по март до 32 тыс. в июле-сентябре.
(http://www.3dnews.ru/assets/external/illustrations/2016/12/21/944800/tr1.jpg)
Интенсивность атак на пользователей удвоилась: так, если в начале года атаки вымогателей проводились в среднем раз в 20 секунд, то в конце -- уже раз в 10 секунд. Интенсивность нападений на компании выросла с двух минут до 40 секунд. При этом каждая пятая компания малого или среднего бизнеса, заплатившая выкуп, так и не получила доступ к своим данным.
В 2016-м «Лаборатория Касперского» зафиксировала рост сложности и разнообразия программ-вымогателей. Так, отмечено увеличение числа вымогателей, написанных на скриптовых языках, а также зловредов, рассчитанных на отдельные группы пользователей.
(http://www.3dnews.ru/assets/external/illustrations/2016/12/21/944800/tr2.jpg)
В 2016-м появился опасный класс вымогателей, шифрующих не отдельные типы файлов, а весь накопитель в целом. Такие зловреды могут, например, кодировать главную файловую таблицу (Master File Table, MFT) диска и делать невозможной нормальную перезагрузку компьютера.
В течение всего 2016 года наиболее популярные семейства программ-шифровальщиков по-прежнему требовали оплату в биткойнах. Отмечено дальнейшее развитие схемы «вымогатель как услуга».
Эксперты полагают, что в 2017 году киберпреступники продолжат совершенствовать программы-вымогатели. С полным отчётом «Лаборатории Касперского» можно ознакомиться
https://securelist.ru/analysis/ksb/29788/kaspersky-security-bulletin-2016-story-of-the-year/ (https://securelist.ru/analysis/ksb/29788/kaspersky-security-bulletin-2016-story-of-the-year/)







Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 28-12-2016, 22:05:37
Выпущена утилита для расшифровки файлов, поражённых одним из самых опасных троянов

«Лаборатория Касперского» выпустила утилиту, позволяющую восстановить доступ к файлам, зашифрованным одним из самых опасных троянов последнего времени.

Речь идёт о вредоносной программе CryptXXX. Для распространения этого зловреда применяются популярные среди злоумышленников наборы эксплойтов Angler и Neutrino. Используя уязвимости в программном обеспечении, они позволяют преступникам получить практически полный контроль над устройством жертвы.
По оценкам, вредоносные программы семейства CryptXXX поразили сотни тысяч пользователей по всему миру. Больше половины заражений пришлось на шесть стран -- США, Россию, Германию, Японию, Индию и Канаду.
До недавнего времени полная расшифровка файлов, закодированных зловредами CryptXXX, была невозможна. «Лаборатория Касперского» уже выпускала утилиты для расшифровки данных в апреле и мае 2016 года, однако с тех пор появились новые модификации трояна.
(https://3dnews.ru/assets/external/illustrations/2016/12/27/945085/kasp2.jpg)
Новая утилита RannohDecryptor расшифровывает большинство файлов с расширениями crypt., .cryp1 и .crypz. Загрузить эту программу можно отсюда.https://support.kaspersky.ru/viruses/disinfection/8547#block1 (https://support.kaspersky.ru/viruses/disinfection/8547#block1)
Специалисты по вопросам кибербезопасности также рекомендуют пользователям ни в коем случае не платить выкуп злоумышленникам, поскольку гарантии расшифровки файлов попросту нет



Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 30-12-2016, 22:33:21
Стирающая диски вредоносная программа стала ещё и вымогателем

Вредоносное приложение под названием KillDisk, которое занимается уничтожением файлов на жёстких дисках и повреждением самих дисков, получило новый компонент.
Теперь оно может действовать как приложение-вымогатель, умея блокировать файлы пользователей и требуя за них выкуп.
KillDisk разработана группой под названием TeleBots, которая выпустила также одноимённый троян и известна кибератаками на украинские компании и банки. Собрав важную информацию с заражённых систем, KillDisk уничтожает и изменяет системные файлы, а также меняет расширения файлов. После этого компьютер перестаёт загружаться.

(http://www.oszone.net/figs/u/316767/161230080401/1483020365_killdisk-ransom.jpg)

В настоящее время KillDisk чаще работает как вымогатель. При этом авторы не стали мелочиться и размер выкупа составляет 222 биткоина, что равнозначно $217000 долларов. KillDisk использует сильное шифрование, шифруя каждый файл ключом AES, а затем каждый ключ зашифровывается алгоритмом RSA-1028. Это делает процесс расшифровки намного более сложным по сравнению с большинством обычных приложений-вымогателей.
Вряд ли обычные пользователи станут платить более $200 тысяч за возврат своих файлов, однако некоторые организации и компании наверняка могут пойти на это для получения обратно критически важных для своей деятельности файлов.





Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 31-12-2016, 13:43:31
ничего себе ценник
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 10-01-2017, 00:45:24
Новый троян для macOS вызывает зависание компьютера путем открытия множества окон программы Mail

Spoiler: показать

Эксперты антивирусной компании Malwarebytes Labs обнаружили новое вредоносное ПО для macOS, действия которого приводят к «отказу в обслуживании» путем создания множества черновиков в почтовом приложении Mail. В результате операционная система замедляется и работа с компьютером становится невозможной.
(http://www.macdigger.ru/wp-content/uploads/2017/01/hot-1.jpg)
Как выяснили специалисты, вредоносный код использует уязвимости браузера Safari и приложения Почта. Достаточно посетить сайт с эксплоитом на компьютере со старой версией macOS, чтобы в системе начали массово открываться черновики писем. При большом количестве открытых окон свободная память заканчивается и Mac зависает. Другой известный вариант этого вредоносного приложения открывает магазин iTunes, правда с какой целью, пока неизвестно.
(http://www.macdigger.ru/wp-content/uploads/2017/01/hot-3.jpg)
Вредоносное приложение распространяется в спаме по электронной почте, который выдаёт себя за письма техподдержки. Письма приходят с двух адресов: dean.jones9875@gmail.com и amannn.2917@gmail.com. Последняя версия macOS 10.12.2 не испытывает проблем с этим вредоносным приложением.
(http://www.macdigger.ru/wp-content/uploads/2017/01/hot-2.jpg)
Malwarebytes Labs сравнивает эти уязвимости с багом Google Chrome HTML двухлетней давности на Windows, который нашел применение в ноябре прошлого года. Из-за него браузер зависает, когда жертва пытается закрыть сообщение с предупреждением об инфицировании системы. Далее от пользователя требуется позвонить по указанному на экране номеру для решения проблемы.

Специалисты рекомендуют не переходить по ссылкам, не открывать файлы от неизвестных отправителей и обновиться на самую свежую версию ОС.


Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 10-01-2017, 01:04:51
Пользователям Linux угрожает приложение KillDisk

Spoiler: показать


KillDisk является одним из вредоносных приложений, которые в 2016 году несколько раз попадали в заголовки новостей.
Эта программа использовалась для взлома различных целей, вроде энергетических предприятий Украины. Результатом стали проблемы с подачей электроэнергии в этой стране.
Теперь это же приложение нацелилось на операционную систему Linux, однако используется уже другой подход, о чём говорит компания ESET. Приложение стало применять тактику в стиле программ-вымогателей, не позволяя загружать компьютеры и требуя выкуп за возврат доступа к данным.
(http://www.oszone.net/figs/u/316767/170109121839/killdisk-system-destructive-malware-now-targeting-linux-511600-2.png)
KillDisk отображает записку с требованием выкупа в загрузчике GRUB. Каждый файл шифруется с применением разных 64-разрядных ключей шифрования и шифра Triple-DES.
Вымогатели требуют за возврат доступа к файлам огромную сумму в 222 биткоина. Естественно, платить не следует; кроме того, есть подозрение, что ключи шифрования не хранятся на локальных дисках и не передаются на сервер, так что они могут автоматически удаляться после создания. В таком случае даже выплата выкупа не позволит вернуть файлы


Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 12-01-2017, 15:09:31
опять 222 биткоина, да они там совсем охренели?
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 15-01-2017, 16:54:53
Россиянин обнаружил в Viber ошибку, позволяющую прослушивать разговоры
Spoiler: показать

В мессенджере Viber обнаружили уязвимость, позволяющую прослушивать чужие разговоры. Находкой поделился пользователь ресурса «Хабрахабр» под ником Tambovchanin.
Использовать эту брешь можно, когда два человека общаются через Viber голосом. Если одному из них поступает звонок, например, по обычной мобильной сети, и он ставит своего собеседника в режим удержания, тот может нажать на кнопку «Удержание» дважды.

В результате второй человек снимает режим удержания со своей стороны и соединение с абонентом, который разговаривает по второй линии, установится вновь, и можно услышать, о чем тот говорит. Сам юзер участвовать в разговоре не сможет, зато сможет подслушать чужую беседу, оставаясь незамеченным.
Tambovchanin обнаружил проблему в октябре прошлого года и уведомил о ней службу поддержки Viber. Похоже, разработчики сначала проигнорировали сообщение, поэтому пользователь решил предать огласке подробности о проблеме.

До недавнего времени баг затрагивал Viber для Android, а проверить его наличие в версии для iPhone у исследователя не было возможности. В пришедшем обновлении 11 января уязвимость была исправлена, однако она может оставаться актуальной для пользователей, еще не получивших патч.



В WhatsApp обнаружена уязвимость, которая позволяет перехватывать сообщения пользователей

Spoiler: показать

Исследователи из Университета Беркли обнаружили уязвимость в мессенджере WhatsApp, которая позволяет читать переписку пользователей. Об этом пишет в пятницу британская The Guardian.
Система шифрования end-to-end была внедрена в WhatsApp таким образом, чтобы оставить лазейку, с помощью которой руководство Facebook, которому принадлежит мессенджер, смогло бы в случае необходимости перехватить переписку пользователей. Для этого WhatsApp самостоятельно заново генерирует ключи шифрования, после чего система сама перешифровывает и снова отправляет сообщения, которые не были отмечены как «доставленные».

Получатель не узнаёт о смене ключа, а отправитель может обнаружить проблему в том случае, если в настройках учетной записи включены уведомления о подозрительных действиях с ключами шифрования. Оповещение о проблеме он получит только после того, как сообщения окажутся перешифрованы и заново отправлены получателю.

По мнению экспертов, повторная генерация ключей шифрования и отправка сообщений позволяют WhatsApp перехватывать и читать сообщения пользователей.

Facebook была уведомлена об этой уязвимости еще в 2016 году, но не предприняла никаких действий, так как назвала это «естественным поведением» мессенджера. Исследователи утверждают, что брешь безопасности существует в приложении до сих пор.

Сегодня же издание Lenta сообщило, что чеченские силовики нашли боевиков ИГ через WhatsApp. На след экстремистов, ликвидированных в Чечне в среду, 11 января, удалось выйти благодаря вскрытию их переписки в популярном мессенджере.






Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 18-01-2017, 13:40:21
да, в вайбере действительно косяк )
хотя у меня всегда вызов обрывался, когда происходил входящий звонок.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 20-01-2017, 01:52:04
Эксперты обнаружили троян, который перехватывает контроль над камерой Mac

Spoiler: показать

Пользователи компьютеров Apple подвергаются атакам вируса, который позволяет злоумышленникам шпионить за владельцами Mac.
Вредоносное ПО обнаружил системный администратор, который обратил внимание на странный трафик. «Зловред», который назвали Fruifly, может дистанционно управлять веб-камерой, создавать скриншоты и имитировать нажатия клавиш мыши или клавиатуры, давая хакеру возможность удаленного управления Mac.

О Fruitfly написали исследователи из компании Malwarebytes, которая идентифицирует вредонос как OSX.Backdoor.Quimitchin. Сообщается, что вирус использует давно устаревшие функции, созданные еще до появления Mac OS X в 2001 году. Это не означает, конечно, что он был активен еще в 90-х: по версии специалистов, злоумышленники просто могли быть плохо знакомы с архитектурой Apple и пользовались устаревшей документацией.

Кроме того, программа отлично себя чувствует и на машинах с Linux, за исключением разве что пары команд, предназначенных исключительно для программной платформы Apple.
Экспертов удивило, что сам по себе Fruitfly достаточно примитивен и может быть легко обнаружен и удален любым, кто обратит внимание на нестандартный трафик. Успешно скрываться несколько лет ему удалось только из-за чрезвычайно узкой направленности, что замедляло его распространение.

Apple оперативно выпустила обновление, защищающее Mac от инфицирования Fruitfly.




Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 20-01-2017, 15:51:57
Как это троян? не может такого быть! ведь вирусов не бывает на Маках, тем более , чтобы они ещё и сами устанавливались (http://www.capa.me/smiles/sm_clap.gif)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 28-01-2017, 17:12:39
Бывший инженер компании Mozilla советует удалить антивирус
Spoiler: показать


Большинство обладателей персональных компьютеров считают за аксиому при начале работы с ним установить антивирус, иногда даже платный.
Как минимум, на помощь приходит встроенный в систему Windows 10 Защитник Windows, который автоматически отключается при установке стороннего антивируса.
Однако иногда раздаются мнения о том, что антивирусы являются бесполезными программами, а могут быть даже вредными. В частности, такое мнение в блоге высказал бывший инженер известной своим браузером Firefox компании Mozilla Роберт О'Каллахан. По его словам, антивирусы могут повредить если не самой операционной системе, то работающим в ней другим приложениям.
По мнению специалиста, на Windows вредны все антивирусы, кроме антивируса самой Microsoft. Их установка создаёт в системе дополнительные уязвимости, которыми могут воспользоваться злоумышленники. Защитник Windows он называет качественным программным обеспечением, а о сторонних производителях говорит как о нарушающих стандарты безопасности и подвергающих риску пользовательские данные.
Далее О'Каллахан описывает, как некоторые антивирусы блокируют обновления браузера Firefox, что повышает риск работы в интернете. В результате разработчикам приложений приходится слишком много времени тратить на исправления вносимого антивирусами хаоса вместо того, чтобы делать свои программы лучше, и виноватыми считаются производители программ, а не антивирусов



Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 30-01-2017, 14:50:14
полубред.  Надо было сразу назвать антивирусы, которые мешают обновляться ФФ.  Не знаю я таких антивирусов.
То что Виндовс Дефендер бесполезное решето - не сомневается вообще никто, кроме этого единственного Роберта ОКалахана. Этот дефендер не способен защитить даже от простейших вирусов.
Только действительно опытные пользователи могут не ставить антивирус на винду, всем остальным категорически обязательно ставить.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 30-01-2017, 20:01:21
ЦитироватьТолько действительно опытные пользователи могут не ставить антивирус на винду, всем остальным категорически обязательно ставить.


щас прочтут тебя  ..... -"опытные пользователи".....
ну че ждем - хелпа)))
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 31-01-2017, 01:11:15
Опасные вирусы для Linux

Spoiler: показать

С давних времен между пользователями ходят споры есть ли вирусы для Linux и если есть, то стоит ли использовать антивирусы на своем компьютере.
Операционная система Linux спроектирована таким образом, чтобы быть максимально безопасной и защищенной от вирусов.
Она действительно намного безопаснее Windows и менее подвержена атакам вирусов и вирусам. Но разработчики -- тоже люди и иногда они ошибаются. Из-за недосмотра или еще по каким-либо причинам в системе появляются уязвимости, которые могут быть использованы вирусами. В наши дни Linux стремительно набирает популярность. Если на персональных компьютерах она используется не так часто, то на серверах Linux занимает лидирующие позиции, а теперь еще и на различных IoT устройствах, которых становится все больше.
Хакерам становится все выгоднее делать вирусы для Linux. Ими сложнее заразиться чем в Windows, и в большинстве случаев они используют уже устраненные в новых версиях linux и всем известные уязвимости для проникновения в систему, а также недочеты в настройке.
Так что если ваша система правильно настроена и вовремя обновляется, то вам нечего бояться. Но многие IoT устройства, роутеры или серверы долго не обновляются, и именно они становятся жертвами таких вирусов. В нашей сегодняшней статье мы рассмотрим самые опасные вирусы для Linux, которые появились за последние несколько лет.
1. Linux.Encoder
Linux.Encoder известный, как первый шифровальщик для операционных систем на базе ядра Linux. Распространение вируса началось 5 ноября 2015 года. Используя различные уязвимости в системе вирус шифровальщик linux проникал на сервер и зашифровывал все доступные для записи файлы с помощью симметричного шифрования AES и RSA.
Открытый ключ, которым было выполнено шифрование доступен всем, а вот за закрытый, нужный для расшифровки, злоумышленники требовали деньги в валюте bitcoin. Основным путем для проникновения в систему для этого вируса была уязвимость в популярной CMS для создания онлайн магазинов -- Magento. Естественно, уязвимость была давно закрыта, но не все небольшие ресурсы установили обновление, за что и поплатились.
Было обнаружено несколько версий вируса Linux.Encoder.0, Linux.Encoder.1 , Linux.Encoder.2. Но для всех из них со временем были найдены способы расшифровки файлов.
2. Linux.Mirai
Первая версия Linux.Mirai была обнаружена в мае 2016. У него совсем другая специфика работы. Вирус не причиняет вреда владельцу устройства и пытается остаться незамеченным. Он нацелен больше на IoT устройства, под управлением Linux, которые подключены к сети интернет и использует их для осуществления DDoS атак. Пользователь, скорее всего, ничего не заметит кроме существенного снижения пропускной способности сети.
Попадает вирус на машину путем совсем простым. Он ищет устройства на которых работает служба telnet с доступом без пароля или паролем по умолчанию. Linux.Mirai находится на устройстве до перезагрузки. Но если логин и пароль telnet не были изменены, то устройство будет инфицировано снова.
http://www.youtube.com/v/wLo70PcoVCo
Этот вирус еще известен под именами Bashlite, GayFgt, LizKebab, Torlus, Bash0day и Bashdoor. Именно с помощью ботнена, организованного этим вирусом были осуществлены несколько нашумевших DDoS атак этой осенью. Как бы то ни было, но успех Mirai вдохновил хакеров разрабатывать другие linux вирусы, для организации DDoS атак.
3. Linux.NyaDrop
Это еще один троян, который инфицирует IoT устройства под управлением Linux точно так же, как это делает Mirari. Он не просто ищет устройства без пароля, но и пытается перебрать самые часто используемые пароли для telnet, чтобы попасть на устройство.
Работает вирус немного другим образом, после проникновения на устройство, он загружает исполняемые файлы бэкдора, который позволяет получить удаленный доступ к устройству. Пока что инициируются только роутеры на архитектуре MIPS, но в будущем вирус может расширить круг своих жертв. Хакеры смогут использовать зараженные устройства не только для DDoS атак, но и, например, в качестве прокси.
4. Linux.BackDoor.Gates
Этот троян для Linux был обнаружен еще в мае 2014. Он атакует устройства, под управлением 32 битной версии операционной системы Linux. Вирус состоит из двух частей, бэкдора, который позволяет злоумышленникам выполнять на вашем компьютере необходимые ему команды, а также DDoS бота. Основное предназначение, как и у двух предыдущих -- проведение DDoS атак.
В процессе работы вирус передает злоумышленникам много данных о вашей системе, среди них: количество ядер, скорость CPU, использование CPU, MAC адрес, информация о сетевых интерфейсах, объем памяти, объем передаваемых и получаемых данных.
5. Linux.Lady
Еще один троян для операционных систем семейства Linux обнаруженный в октябре 2016. Он написан на новом языке, разработанном в корпорации Google. Он заражает серверы через неправильно настроенную программу Redis. Троян способен сам распространяться от машины к машине и постоянно исследует сеть на наличие уязвимых компьютеров.
Кроме распространения и заражения других машин, у этого вируса есть еще одна задача, он майнит криптовалюту на вашей машине, тем самым расходуя ваши ресурсы процессора и памяти.
6. Linux.DnsAmp
Этот троян для Linux был обнаружен еще в 2014 году, он может заражать как 32, так и 64 битные системы Linux. После заражения вирус прописывает себя в автозагрузку через /etc/rc.local и начинает ожидать команд от сервера. Основная цель вируса -- участие в DDoS атаках.
Попадая на вашу машину, как и другие linux вирусы, он отправляет на свои сервера информацию о ней, например, объем памяти и количество swap пространства, а также другие характеристики.
7. Linux.Hanthie
Троян для Linux, обнаруженный еще в 2013 году, сам распространяться не умеет, но может попасть на компьютер путем социальной инженерии. После запуска прописывается в автозагрузку и пытается подключить свою библиотеку ко всем процессам.
Вирус подключается ко всем браузерам и следит за трафиком HTTP и HTTPS перехватывая и отправляя злоумышленникам данные форм, которые заполняет пользователь. Также он предоставляет злоумышленникам доступ к вашей системе и имеет средства защиты от антивирусов и обнаружение запуска в виртуальных окружениях.
8. Linux.Myk
Еще один троян для операционных систем Linux, созданный китайскими программистами. Как и Mirori, этот вирус предназначен для организации DDoS атак, но также может предоставить злоумышленнику доступ к вашему компьютеру. Характерная особенность этого вируса в том, что он способен отключать брандмауэр. Инфицирование осуществляется с помощью социальной инженерии. Впервые вирус был обнаружен весной 2015.
9. Linux.Rex
В 2016 году появилось несколько вирусов для Linux, написанных на новом языке от Google -- Go. Вирус инфицирует сервера, под управлением различных систем управления контентом, используя обнаруженные в них уязвимости. Он может рассылать электронные письма и самостоятельно искать уязвимые сервера. Чаще всего вирус заражает серверы с Durpal, WordPress, Magento, JetSpeed, в которых не исправлены уязвимости. В WordPress вирус пытается использовать уязвимые плагины WooCommerce, Robo Gallery, Rev Slider, WP-squirrel, Site Import, Brandfolder, Issuu Panel и Gwolle Guestbook. Для сайтов Magento используются уязвимости CVE-2015-1397, CVE-2015-1398 и CVE-2015-1399.
Он используется злоумышленниками для организации DDoS атак, способен собирать доступную информацию о сервере, в том числе логины и пароли пользователей. Также вирус рассылает email сообщения с угрозой DDoS атаки и требует выкуп.
10. Linux.Sshcrack
Эта вредоносная программа пытается заразить как можно большее количество устройств путем перебора паролей ssh. Когда программа получает доступ к новому компьютеру, она запускает на нем 200 потоков, выбирает случайный адрес и пытается перебрать ssh пароль для него. Перебор осуществляется по словарю, в котором есть более 10000 значений.
11. Linux.Rekoobe
Этот простой вирус для Linux был обнаружен в ноябре 2015. Он способен выполняться на машинах с архитектурой x86 и x64, хотя изначально был разработан только для SPARC. Вирус распространяется путем социальной инженерии, и может даль злоумышленнику доступ к вашему компьютеру, а также способен загружать на ваш компьютер различные файлы и передавать команды интерпретатору команд linux.
12. Linux.Ellipsis
Этот вирус создает на инфицированном сервере или компьютере с операционной системой Linux прокси-сервер, с помощью которого злоумышленник может делать нужные ему действия в сети и оставаться незамеченным. Вирус распространяется путем перебора логина и пароля к службе удаленного доступа -- ssh.
В процессе работы вирус отключает iptables и мешающие ему программы, ведение логов. А также передает контроль над вашим компьютером злоумышленникам.
13. Linux.Ekoms
Этот вирус под Linux передает злоумышленникам снимки вашего экрана каждые 30 секунд. Также может загружать на сервер содержимое папки /tmp. Кроме снимков экрана, вирус может записывать звук. Заражение машины, как и во многих других способах выполняется путем социальной инженерии.
P.S. Как видите, вирусы и операционные системы Linux, вещи все же совместимые. За последнее время их появилось очень достаточно много. Другое дело, что они ориентированны, либо на уязвимые и не обновляемые системы, IoT устройства, или социальную инженерию. Это не повод ставить антивирус, но это не значит что нужно терять бдительность и расслабляться. Не забывайте обновлять свою систему вовремя, особенно если у вас есть сервер.



Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 31-01-2017, 20:40:44
В маршрутизаторах Netgear выявлена уязвимость, позволяющая узнать пароль входа

В беспроводных маршрутизаторах Netgear выявлена
https://www.trustwave.com/Resources/SpiderLabs-Blog/CVE-2017-5521--Bypassing-Authentication-on-NETGEAR-Routers/ (https://www.trustwave.com/Resources/SpiderLabs-Blog/CVE-2017-5521--Bypassing-Authentication-on-NETGEAR-Routers/)
очередная критическая уязвимость (CVE-2017-5521)
https://www.trustwave.com/Resources/Security-Advisories/Advisories/TWSL2017-003/?fid=8911 (https://www.trustwave.com/Resources/Security-Advisories/Advisories/TWSL2017-003/?fid=8911)
, позволяющая без аутентификации узнать пароль входа с правами администратора, отправив специальный запрос к скрипту passwordrecovered.cgi. Проблема вызвана тем, что при определённых условиях скрипт выдаёт информацию о пароле, независимо от прохождения аутентификации и заданных в запросе параметров. Компания Netgear
http://kb.netgear.com/30632/Web-GUI-Password-Recovery-and-Exposure-Security-Vulnerability (http://kb.netgear.com/30632/Web-GUI-Password-Recovery-and-Exposure-Security-Vulnerability)
подтвердила наличие уязвимости в более 30 моделей своих устройств и уже выпустила обновление прошивки для 18 моделей.

Уязвимость может быть атакована из локальной сети, а при включении интерфейса удалённого управления и через интернет. Компания Netgear заявляет о том, что web-интерфейс по умолчанию отключен для внешней сети, но выявивший уязвимость исследователь утверждает, что по его данным в глобальной сети имеется доступ к сотням тысяч уязвимых устройств (вероятно, web-интерфейс включают провайдеры, предустанавливающие оборудование клиентам). Проблема проявляется только при выключенной функции восстановления пароля (по умолчанию отключена и требует задания контрольных вопросов и ответов), поэтому в качестве обходной меры борьбы с уязвимостью рекомендует в web-интерфейсе включить поддержку восстановления пароля.

Для проверки наличия уязвимости опубликован прототип эксплоита.
https://www.trustwave.com/Resources/Security-Advisories/Advisories/TWSL2017-003/?fid=8911 (https://www.trustwave.com/Resources/Security-Advisories/Advisories/TWSL2017-003/?fid=8911)
По сути достаточно отправить запрос "http://router/passwordrecovered.cgi?id=TOKEN". Значение TOKEN можно узнать на странице аутентификации после неправильного ввода пароля ("http  ://router/..../unauth.cgi?id=TOKEN"). Если в настройках включена функция восстановления пароля при обращении к passwordrecovered.cgi будет выведены форма с вопросами для восстановления пароля, а если не включена будет сразу показан пароль. Интересно, что компания Netgear была уведомлена об уязвимости ещё 4 июня 2016 года, но обновления пока выпущены только примерно для половины уязвимых устройств.

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 31-01-2017, 20:44:59
Google незаметно подслушивает вас через микрофон. Вот как найти запись
Компания Google не скрывает того факта, что подслушивает своих пользователей, но она это, мягко говоря, и не афиширует.
Интернет-гигант не только записывает разговоры, но и хранит их на собственных серверах. Причём робот «подслушивает» вас не только, когда смартфон включен, но и когда он просто лежит себе рядом с вами, например, на рабочем столе.
Зачем это нужно Google? В компании объясняют подслушивание необходимостью сбора и анализа информации, которая впоследствии поможет алгоритму подобрать для вас рекламу соответственно интересам. Звучит не так уж и страшно, но! Во-первых, личная информация может попасть в чужие руки, если кто-то взломает ваш аккаунт. Во-вторых, случись у вас какой-либо конфликт или просто недопонимание с властями, ваши разговоры компания обязана будет передать в соответствующие органы. В-третьих, откровенно говоря, «подогнанная» под интересы пользователей реклама часто совершенно не попадает под эти самые интересы и только зря раздражает пользователя. В этом случае сбор информации становится просто бессмысленным.

(https://scontent-waw1-1.xx.fbcdn.net/v/t31.0-8/16299762_1854320048180090_364423031231455862_o.jpg?oh=d502aa48521bf6843f1fb800b930ddb0&oe=5949B3C5)

Впрочем, к чести компании, Google не скрывает факт сбора личных данных, поэтому каждый может авторизоваться в своём аккаунте и почистить собранную там информацию.
Здесь (https://myactivity.google.com/myactivity?restrict=vaa (https://myactivity.google.com/myactivity?restrict=vaa)) хранятся все данные с микрофона вашего смартфона. Если тут пока ничего нет, значит, вы ещё не пользовались голосовым помощником, то есть никогда не говорили: «ОК, Google».
А вот полное досье (https://myactivity.google.com/myactivity (https://myactivity.google.com/myactivity)), которое на вас собрал Google, основываясь на том, что вы делаете в интернете.
Среди прочего, тут есть информация, где и когда вы были (точнее, ваш телефон); все, что вы искали в интернете; все странички, которые вы загружали. К счастью, удобная навигация позволяет быстро и без следа всё удалить.

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 01-02-2017, 14:06:08
ну не "подслушивает".
а просто хранит логи всего и вся. раньше они так же хранили логи перемещения.  можно в настройках аккаунта всё это поотключать и ничего тогда не хранится. а голосовой поиск я вообще сразу отключаю. 
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 02-02-2017, 21:01:09
Инсайдеры добровольно продают корпоративную информацию в даркнете

Сотрудники компаний продают конфиденциальную корпоративную информацию в даркнете. В некоторых случаях они даже сотрудничают с хакерами, добровольно заражая корпоративные сети вредоносным ПО.
К такому выводу пришли исследователи из RedOwl и IntSights, которым удалось получить доступ на закрытую торговую площадку Kick Ass Marketplace.
Оплатив месячную подписку (стоимость составляет до 1 биткойна), любой желающий может получить доступ к представленной на Kick Ass Marketplace достоверной инсайдерской информации, а затем использовать ее, например, для игры на бирже.
сайтом управляют семь администраторов. Трое из них являются хакерами, еще двое - торговыми аналитиками, исследующими рынок и проверяющими целостность информации перед ее публикацией. Каждый выставленный на продажу товар сопровождается рекомендацией, продавать или покупать акции.
Как сообщается в отчете RedOwl и IntSights,
http://secure.redowl.com/rs/145-MYR-237/images/RedOwl_Intsights_Report.pdf (http://secure.redowl.com/rs/145-MYR-237/images/RedOwl_Intsights_Report.pdf)
еженедельно на сайте Kick Ass Marketplace появляется в среднем пять инсайдерских отчетов. Торговая площадка приносит своим администраторам около $35,8 тыс. в неделю.
Еще один сайт, The Stock Insiders, пользуется услугами продавцов в торговых точках для обналичивания средств, похищенных в результате мошенничества с данными кредитных карт, и покупки дорогостоящих товаров. Ресурс также предлагает работу всем, кто согласен расплачиваться в магазинах похищенными банковскими картами под видом их законных владельцев.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 07-02-2017, 23:31:13
76 популярных приложений с 18 млн загрузок в App Store позволяют перехватывать данные пользователей

Специалист по информационной безопасности изучил особенности работы приложений в App Store и обнаружил, что некоторые из них лишь имитируют защиту. По данным экспертов Sudo Security Group, десятки программ, шифрующих информацию пользователей, делают это ненадлежащим образом.

Как сообщает Securitylab, глава Sudo Security Group Уилл Страфач обнаружил 76 приложений для iPhone, iPod touch и iPad, которые уязвимы к атакам, позволяющим перехватить данные.

Страфач утверждает, что из-за ошибок в связанном с передачей данных коде программы могут принимать недействительные сертификаты TLS. Протокол TLS используется для защиты информации, передаваемой приложением через интернет-соединение. Без него хакер может прослушивать трафик и перехватывать любые интересующие его данные, например, логины и пароли.

«Подобные атаки может осуществить кто угодно, находящийся в зоне действия сети Wi-Fi, пока вы пользуетесь вашим устройством. Атаки возможны в общественных местах или даже у вас дома, если атакующему удастся подобраться достаточно близко», - заявили в Sudo Security Group.

Страфач обнаружил проблему в 76 iOS-приложениях, просканировав их с помощью разработанного компанией сервиса verify.ly. Исследователь протестировал уязвимые программы на iPhone, работающем под управлением iOS 10. Используя прокси-сервер, эксперт успешно внедрил в соединение недействительный сертификат TLS.

Эксперт утверждает, что 43 из 76 мобильных разработок представляют высокий и средний уровень риска, поскольку злоумышленник может перехватить передаваемые ими логины, пароли и токены. Остальные 33 приложения несут меньшую угрозу, поскольку позволяют перехватывать лишь электронные адреса.

В общей сложности 76 исследуемых приложений были загружены из магазина Apptopia 18 млн раз. Страфач не раскрывает названия программ, однако уже уведомил их создателей о проблеме.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 07-02-2017, 23:54:46
Windows-троян заражает Linux-компьютеры

Spoiler: показать

«Доктор Веб» предупреждает о появлении новой вредоносной программы с довольно необычным набором функций.
Зловред получил название Trojan.Mirai.1. Он инфицирует компьютеры под управлением операционных систем Windows, способствуя при этом распространению трояна Linux.Mirai для программных платформ на основе ядра Linux.
(https://3dnews.ru/assets/external/illustrations/2017/02/06/947118/tr2.jpg)
При запуске троян соединяется со своим управляющим сервером, скачивает оттуда конфигурационный файл и извлекает из него список IP-адресов. Затем зловред запускает сканер, который обращается к сетевым узлам по адресам из конфигурационного файла и пытается авторизоваться на них с заданным в том же файле сочетанием логина и пароля.
Если трояну удаётся соединиться с атакуемым узлом по любому из доступных протоколов, он выполняет указанную в конфигурации последовательность команд.
Помимо этого, при подключении по протоколу Telnet к устройству под управлением Linux он загружает на скомпрометированное устройство бинарный файл, который в свою очередь скачивает и запускает вредоносную программу Linux.Mirai.

Вредоносная программа может выполнять на удалённом компьютере команды, использующие технологию межпроцессного взаимодействия (inter-process communication, IPC). Троян также умеет запускать новые процессы и создавать различные файлы.

http://news.drweb.ru/show/?i=11140&c=5&lng=ru&p=0 (http://news.drweb.ru/show/?i=11140&c=5&lng=ru&p=0)


Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 08-02-2017, 13:57:20
т.е. по факту это почти ботнет, который просто долбит по всем сервакам и пытается подобрать пароль.
для юзеров винды он получается не вреден, ну разве что только тем, что трафиг генерирует.

а вообще давно пора на линух переходить)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 10-02-2017, 21:40:07
Хакер подшутил над тысячами пользователей, взломав их принтеры
Критическая уязвимость в принтерах привела к взлому 150 тысяч устройств, причём не только в одном городе, а по всему миру.
(https://tproger2.azureedge.net/wp-content/uploads/2017/02/printer-hacked.png)

https://www.hackread.com/printers-hacked-worldwide-with-warning/ (https://www.hackread.com/printers-hacked-worldwide-with-warning/)

Уязвимость была обнаружена хакером под псевдонимом Stackoverflowin, который сообщил об изъяне безопасности в компанию HP.
Какие цели преследовал хакер?
Шутка хакера была способом информировать мир об уязвимости принтеров. Он обнаружил, что подключенные через Интернет принтеры не защищены межсетевыми экранами. Это и является основной причиной, по которой практически любой хакер сможет сделать это. Stackoverflowin рассказывает:
Люди делали это и до меня, отправляя листовки расистского содержания и т.п. Я не собирался делать этого. Я хочу помочь людям и в то же время немного повеселиться. Тем более, у всех были лишь положительные реакции. Некоторые даже поблагодарили меня.
Как он это провернул?
Stackoverflowin использовал автоматический скрипт и сканировал сеть для поиска печатающих устройств, использующих открытый порт 9100, протокол межсетевой печати (IPP) и протокол демона построчной печати (LPD). Когда ему удалось найти устройства, подходящие под данный запрос, он послал данным принтерам команду распечатать подготовленный им файл. В данном файле хакер предупреждает атакованных пользователей, что они были побеждены и теперь являются частью «горящего ботнета». Хакер отослал два разных сообщения. На одном из них был робот в стиле ASCII, а на другом -- компьютер.
Пользователи были в недоумении, и многие даже не знали, что с этим поделать. Проблема оказалась куда более серьёзной, чем кажется на первый взгляд, так как уязвимость присутствует в устройствах всех известных брендов, включая HP, Epson, Canon, Brother и Samsung

(https://tproger2.azureedge.net/wp-content/uploads/2017/02/printer-hacked-2.png)





Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 12-02-2017, 13:42:55
что с этим делать? ничего не подключать напрямую (под прямой IP) в интернет.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 12-02-2017, 17:09:23
Обнаружен первый вредонос, который использует макросы Word для атаки на пользователей Mac
Эксперты обнаружили новый вид вредоносных программ для Mac. Техника, ранее применявшаяся только для взлома Windows, теперь используется для атак на пользователей компьютеров Apple.
Как сообщает Securitylab со ссылкой на экспертов Снорре Фагерланда и Патрика Уорлда, использующее макросы вредоносное ПО стирает границы между Windows и Mac. Техника заражения вредоносным ПО с помощью макросов известна уже давно. До недавнего времени таким образом происходило инфицирование компьютеров, работающих только под управлением Windows. Однако теперь макросы стали также использоваться в атаках на пользователей Mac.

Для заражения Mac хакеры используют все ту же технику - отправляют жертве фишинговое письмо с прикрепленным документом, содержащим вредоносные макросы. Письма якобы содержат доклад некоммерческой организации «Фонд Карнеги за международный мир» (Carnegie Endowment for International Peace), посвященный победе Дональда Трампа на выборах президента США.

(http://www.macdigger.ru/wp-content/uploads/2017/02/warning-1.jpg)


Когда жертва пытается открыть документ, появляется диалоговое окно с уведомлением о необходимости активировать макросы, чтобы просмотреть его содержимое. Если макросы включены, на системе выполняется полезная нагрузка, пытающаяся загрузить дополнительное ПО с подконтрольного злоумышленникам сайта. Экспертам не удалось изучить загружаемый вредонос, поскольку на момент проведения исследования его сервер был отключен.

Как сообщил Фагерланд изданию Motherboard, за атаками могут стоять хакеры, работающие на правительство. «Я не могу точно сказать, кто именно за этим стоит. Тем не менее, некоторые признаки указывают на русскоговорящих хакеров (правда, они могут быть из разных стран), но не исключено, что эти признаки сфабрикованы», -- сообщил Снорре.

Атака работает только с версией Word для Mac. Какие цели преследовали хакеры, исследователям выяснить не удалось



Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 14-02-2017, 00:53:55
Новый банковский троян атакует пользователей Windows

Spoiler: показать
«Доктор Веб» предупреждает о появлении новой вредоносной программы, разработанной с целью хищения средств со счетов в различных финансовых организациях.
(https://3dnews.ru/assets/external/illustrations/2017/02/13/947472/tr1.jpg)
Зловред , атакующий пользователей операционных систем Windows, получил название Trojan.PWS.Sphinx.2. Он создан на основе исходных кодов другого опасного банковского трояна -- Zeus (Trojan.PWS.Panda).
Основное предназначение банкера заключается в выполнении веб-инжектов. Троян встраивает в просматриваемые пользователем веб-страницы постороннее содержимое -- например, поддельные формы для ввода логина и пароля, информация из которых передаётся злоумышленникам. Потенциальная жертва обычно не замечает подмены: URL интернет-ресурса в адресной строке браузера и оформление сайта остаются прежними, поддельная форма или текст добавляются на веб-страницу непосредственно на заражённом компьютере.
(https://3dnews.ru/assets/external/illustrations/2017/02/13/947472/tr2.jpg)

Зловред имеет модульную архитектуру. Троян скачивает с сервера киберпреступников дополнительные плагины. Два из используемых банкером модулей предназначены для выполнения веб-инжектов в 32- и 64-разрядных версиях Windows, ещё два -- для запуска на заражённом компьютере VNC-сервера, с помощью которого киберпреступники могут подключаться к системе жертвы.
Кроме того, в составе вредоносной программы имеется так называемый граббер -- функциональный модуль, перехватывающий и передающий на удалённый сервер информацию, которую пользователь вводит в формы на различных сайтах.
Более подробную информацию о банковском зловреде Trojan.PWS.Sphinx.2 можно найти https://news.drweb.ru/show/?i=11172&c=5&lng=ru&p=0 (https://news.drweb.ru/show/?i=11172&c=5&lng=ru&p=0)

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 14-02-2017, 23:49:07
опасная штука, но скорее всего отлично распознаётся всеми антивирусами, т.к. алгоритм действий весьма не скромный )
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 16-02-2017, 23:02:38
Троян Xagent для Mac, созданный российскими хакерами, похищает пароли, скриншоты и бекапы iPhone
Spoiler: показать

Эксперты компании BitDefender обнаружили Mac-версию вредоносного программного обеспечения, используемого хакерской группировкой APT 28, также известной как Fancy Bear, Pawn Storm, Sednit, Sofacy и Tsar Team. Троян похищает с компьютера пароли, скриншоты и резервные копии iPhone.
Многие связывают группировку APT 28 с правительством России. Эксперты Bitdefender уверены в причастности к кибератакам на европейские государственные организации и предприятия оборонной промышленности. И именно этой группировке приписывается взлом Национального комитета Демократической партии США, имевший место летом прошлого года.

По мнению исследователей, хакеры разработали эксклюзивное вредоносное ПО Xagent, использующееся исключительно в ее кампаниях по кибершпионажу. Ранее эксперты сталкивались с версиями Xagent для Windows, Linux, iOS и Android. Теперь же специалисты BitDefender сообщили о варианте вредоноса для macOS. При каких обстоятельствах был обнаружен вредонос, неизвестно.

«Операторы APT 28 расширили игру - полезная нагрузка X-Agent теперь может атаковать пользователей Mac, перехватывать пароли, делать снимки экрана и похищать хранящиеся на компьютере резервные копии iPhone», - сообщили эксперты.

Как сообщает Securitylab, Xagent представляет собой модульный бэкдор, загружающийся на компьютеры жертв с помощью дроппера Komplex. Вредонос способен докачивать на инфицированный компьютер дополнительные модули, а также собирать информацию о его аппаратном и программном обеспечении.
Ранее эксперты Bitdefender пришли к выводу, что участники группировки, создавшей Xagent, являются «либо российскими гражданами, либо гражданами соседних государств, разговаривающими на русском языке». В пользу данной теории свидетельствует наличие русских слов в коде используемых хакерами инструментов.

По данным исследователей, большая часть информации была похищена хакерами в рабочие часы в соответствии с часовым поясом, Азербайджана, Грузии и части России (GMT +4). Согласно отчету, Россия является единственной из трех стран, имеющей все необходимые возможности и ресурсы для осуществления подобных атак. Целями APT 28, как правило, являются государства, входящие в круг интересов российского правительства.


Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 16-02-2017, 23:26:50
Разработан метод атаки на процессоры, позволяющий обойти защиту ASLR

Spoiler: показать

Группа ученых из Амстердамского свободного университета разработала новый метод атаки, позволяющий обойти механизм ASLR (Address Space Layout Randomization - «рандомизация размещения адресного пространства») на системах под управлением по меньшей мере 22 двух моделей центральных процессоров от Intel, AMD, ARM, Allwinner, Nvidia и прочих производителей.
Атака, получившая название ASLR⊕Cache или AnC, базируется на том, что модуль управления памятью, встроенный в современные процессоры, делится элементами кэша с недоверенными приложениями, в том числе браузерами. Таким образом, при помощи вредоносного скрипта JavaScript, возможно прочитать содержимое общедоступной области памяти.
Исследователи разработали атаку по сторонним каналам, а именно атаку EVICT+TIME, позволяющую определить, к каким таблицам страниц осуществляется доступ во время ходьбы по страничным таблицам, производимой модулем управления памятью. Иными словами, AnC-атака позволяет обойти механизм ASLR и получить доступ к фрагментам памяти компьютера, что затем может использоваться для запуска сложных эксплоитов и повышения прав на системе.
Ученые успешно протестировали новый метод, используя браузеры Google Chrome и Mozilla Firefox на системах на базе 22 моделей процессоров. По их словам, единственным способом защиты от данной атаки является установка расширений наподобие NoScript, предотвращающих исполнение в браузере недовереных скриптов JavaScript.
(https://www.vusec.net/wp-content/uploads/2016/11/capture.png)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 16-02-2017, 23:51:28
Новый троян атакует Android-устройства, маскируясь под обновление Adobe Flash Player

Spoiler: показать

Компания ESET зафиксировала новую кибератаку, нацеленную на пользователей мобильных устройств под управлением операционных систем Android.
(https://3dnews.ru/assets/external/illustrations/2017/02/15/947609/atr2.jpg)
На этот раз злоумышленники распространяют вредоносную программу Android/TrojanDownloader.Agent.JI. Этот троян предназначен для загрузки и исполнения других зловредов, включая банковское ПО для кражи средств в системах мобильного банкинга.
Загрузчик распространяется через веб-сайты и социальные сети, маскируясь под обновление для Adobe Flash Player. Проникнув на устройство жертвы, троян сохраняется под видом сервиса Saving Battery («Экономия заряда батареи») и запрашивает расширенные права в системе. Получив необходимые разрешения, зловред устанавливает контакт с удалённым сервером и загружает в систему другие вредоносные программы.

Признаком наличия загрузчика на мобильном устройстве является появление в меню «Специальные возможности» (Accessibility) сервиса Saving Battery. В текущем виде зловред служит для загрузки банковского ПО для кражи денег. Но эксперты отмечают, что программа может быть перенастроена на работу с шифраторами или шпионскими инструментами.



Три четверти шифровальщиков разработаны русскоязычными хакерами

Spoiler: показать

«Лаборатория Касперского» проанализировала ситуацию с развитием вредоносных программ, осуществляющих шифрование пользовательских данных с целью получения выкупа.
В прошлом году было обнаружено 62 семейства зловредов-шифровальщиков. Как минимум 47 из них были созданы русскоговорящими киберпреступниками. Таким образом, более 75 % выявленных вредоносных программ данного типа были разработаны при непосредственном участии русскоязычных хакеров.
(https://3dnews.ru/assets/external/illustrations/2017/02/14/947547/hack1.jpg)
«Лаборатория Касперского» выявила три основных пласта в структуре «бизнеса» по созданию и распространению программ-шифровальщиков. Наиболее продвинутые в техническом плане люди занимаются написанием новых и обновлением уже созданных семейств зловредов -- это самые привилегированные участники киберпреступного сообщества.
Другая группа «специалистов» развивает и поддерживает партнёрские программы, помогающие распространять вредоносное ПО через эксплойты, спам и другие вспомогательные инструменты.
(https://3dnews.ru/assets/external/illustrations/2017/02/14/947547/hack2.jpg)
На низшей же ступени этой иерархии находятся собственно «партнёры» -- киберпреступники, которые помогают в распространении зловредов в обмен на свою долю денег, полученных от жертв шифровальщиков в виде выкупа.
Отмечается, что в прошлом году от программ-шифровальщиков пострадали как минимум полтора миллиона пользователей. Ежедневная выручка, получаемая киберпреступниками в рамках одной партнёрской программы, может составлять десятки или даже сотни тысяч долларов. При этом 60 % выручки -- это чистая прибыль.



(https://3dnews.ru/assets/external/illustrations/2017/02/15/947609/atr1.jpg)
Название: Re:Новые угрозы , кибер - преступления,вирусы l
Отправлено: CaPa от 17-02-2017, 02:04:43
да никто уже и не качает этот хлам адобовский.
а новички тем более не знаю что это такое и зачем это "нужно" - так что  тем более не качают)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 22-02-2017, 19:21:06
Обнаружен новый метод отслеживания пользователей Firefox

Spoiler: показать
Разработчики браузеров постоянно внедряют новый функционал, призванный улучшить производительность браузера или его совместимость с операционной системой.
В некоторых случаях эти возможности могут использоваться в неблаговидных целях, например, для отслеживания пользователей. Исследователь безопасности Александр Клинк (Alexander Klink) описал метод, позволяющий отследить пользователей Mozilla Firefox.
Дело в том, что Firefox кэширует промежуточные сертификаты для ускорения загрузки web-сайтов тем самым позволяя третьим сторонам определить различную информацию о посетителях ресурсов. По словам Клинка, сторонние лица (например, рекламодатели) могут определить, какие сертификаты хранятся в кэше Firefox при помощи небольшого теста.
В частности, третья сторона незаметно может загрузить контент (такой как иконки сайта) с неправильно сконфигурированных HTTPS ресурсов. Поскольку большинство таких сайтов использует один и тот же промежуточный сертификат, некоторые будут загружаться корректно (так как сертификат сохранен в кэше браузера). Если при загрузке возникает сообщение об ошибке, значит, пользователь не заходил ни на один из сайтов, использующих определенный промежуточный сертификат. При помощи данного метода рекламодатели смогут определить, какие ресурсы посещал пользователь.
Используя данную технику, можно собрать только ограниченную информацию, такую как данные о местонахождении или о том, что и как просматривают пользователи. Методом могут воспользоваться не только рекламодатели, но и злоумышленники, в часности для того, чтобы определить, работает ли браузер в «виртуальной песочнице», а затем использовать полученную информацию для доставки различного контента, отметил Клинк.
Исследователь уже уведомил Mozilla о проблеме. Сейчас специалисты компании работают над внедрением системы телеметрии, которая позволит собрать данные об эффективности функции кэширования промежуточных сертификатов. Судя по всему, устранение проблемы займет у разработчиков довольно продолжительное время.

https://shiftordie.de/blog/2017/02/21/fingerprinting-firefox-users-with-cached-intermediate-ca-certificates-fiprinca/ (https://shiftordie.de/blog/2017/02/21/fingerprinting-firefox-users-with-cached-intermediate-ca-certificates-fiprinca/)

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 23-02-2017, 04:31:10
Новая вредоносная кампания атакует пользователей Chrome

Специалист компании Malwarebytes Жером Сегура (Jérôme Segura) сообщил о новой вредоносной кампании,затрагивающей пользователей Google Chrome.
В ходе кампании злоумышленники используют всплывающие сообщения Add Extension to Leave для перенаправления жертв на web-сайт, с которого они не могут уйти, пока не загрузят и установят предлагаемое расширение Chrome.
После установки расширение выполняет несколько действий. Прежде всего, программа блокирует доступ пользователя к страницам chrome://extensions и chrome://settings. При попытке открыть разделы произойдет автоматическое перенаправление на страницу chrome://apps.
(http://www.securitylab.ru/upload/007/544564.png)
Также расширение перехватывает трафик и перенаправляет жертву на вредоносные сайты при обнаружении определенных ключевых слов в адресе сайта, который пользователь пытается посетить. Перенаправление происходит на различные типы ресурсов -- от подозрительных сайтов, предлагающих быстрые способы обогащения до фальшивых сайтов техподдержки.
По словам Сегуры, такое поведение вызывает некоторое удивление, поскольку большинство вредоносных кампаний перенаправляют пользователей на страницы, содержащие наборы эксплоитов, которые, в свою очередь, доставляют более опасное вредоносное ПО -- криптовымогателей, банковские трояны, нежелательное рекламное ПО и т.д.


Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 23-02-2017, 12:44:06
разве такие окна не закрываются?  крест нажимаешь и выходишь
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 27-02-2017, 02:06:01
Монетизация атак на непропатченные WordPress-сайты
Spoiler: показать

Как и ожидалось, вандалы, использующие отсутствие патча для REST API на сайтах WordPress, в итоге решили, что пора обратить эксплойт в звонкую монету.
По оценкам экспертов, к середине февраля количество непропатченных WordPress-сайтов, подвергнутых дейфейсу, достигло 1,5 млн. В настоящее время наблюдаются также попытки оставить после взлома ссылки на нелицензированные онлайн-аптеки, свободно торгующие контролируемыми препаратами, покупка которых в данном случае грозит также кражей платежных данных.
Жертвами подобных атак становятся сайты, не обновившиеся до последней версии WordPress (4.7.2). По оценке SiteLock, заработать на фармарекламе уже пытаются около 20 хакеров, которые при этом конкурируют между собой: многократно атакуют одну и ту же мишень, удаляют чужие страницы-заставки и рекламные ссылки, оставленные после дефейса, а также заменяют их своими.
«Эти атаки предельно просты в исполнении, эксплойт активно осваивают скрипт-кидди и веселятся от души, - комментирует Логан Кипп (Logan Kipp) из SiteLock. - Мы различаем порядка 20 злоумышленников, соревнующихся за контроль над сайтами и старающихся переписать чужие результаты дефейса, зачастую с разницей в считанные минуты».
Массовый дейфейс уязвимых WordPress начался как тривиальный вандализм с целью похвастаться своим умением, однако эти эскапады быстро переросли в атаки, движимые жаждой наживы. «Это первый случай в нашей практике, когда кто-то пытается получить прибыль по денежной позиции, - говорит собеседник Threatpost. - Они стараются заманить вас на сайты нелицензированных аптек, где велик также шанс кражи номеров кредитных карт. Более чем в 50% случаев это и происходит на таких сайтах».
(https://4b5cdn3ehl27vid713r9dl9eso-wpengine.netdna-ssl.com/files/2017/02/WordPress-attacks-pharmacy-ad.png)
Уязвимость в интерфейсе REST API, обнаруженная исследователем из Sucuri, позволяет без аутентификации изменять содержимое сайта и архивные ссылки. Эксплойт в данном случае осуществляется с помощью одной строки кода, рабочие образцы которого уже растиражированы и доступны в интернете. «Он очень прост в исполнении, - отметил Кипп. - По нашим наблюдениям, в настоящее время им пользуются 20 хакеров, осуществляющих по 100 и более дефейсов за один прием, и они уже пытаются с его помощью получить прибыль. Такой исход был неизбежен».
Уязвимость, о которой идет речь, была привнесена в WordPress 4.7 в декабре прошлого года. Патч для нее стал доступен в начале текущего месяца, с выпуском WordPress 4.7.2, однако в анонсе его умышленно не упомянули: разработчики были заинтересованы в том, чтобы важная заплатка установилась на возможно большем количестве сайтов, хотя бы на тех, где включено автообновление. По оценке SiteLock, в настоящее время данная уязвимость не закрыта на 15-20% сайтов, использующих WordPress. «Если не ставить патч, исправить положение легко: как и в случае с XSS, нужно попросту наладить санацию значений, поступающих через API-контроллер, - свидетельствует Кипп. - Это поможет нейтрализовать проблему».
По данным двухнедельной давности, число дефейсов, связанных с уязвимостью в REST API, за двое суток возросло с десятков тысяч до более 800 тысяч. Столь взрывной рост случаев эксплойта исследователи из WordFence, компании-производителя одноименного ИБ-плагина для WordPress, объясняют тем, что злоумышленники нашли способы обхода правил, реализованных WordFence и другими защитниками. По данным WordFence, на тот момент лишь двум из 20 наблюдаемых групп хакеров удалось осуществить дефейс порядка 700 тыс. раз.
«Уязвимость в ядре платформы - большая редкость, - резюмирует Кипп. - Эта, действительно, весьма серьезна, но проблема была решена оптимальным образом, и патч появился в кратчайшие сроки. Большинство пользователей не пострадали».

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 27-02-2017, 20:29:54
Новый шифратор угрожает пользователям macOS

Spoiler: показать

Главной задачей зловреда является шифрование пользовательских файлов с целью получения выкупа за восстановление доступа к информации. Программа, написанная на языке Swift, распространяется через торрент-трекеры. При этом шифратор маскируется под утилиту для взлома Adobe Premiere Pro, Microsoft Office для Mac и другого платного софта.
При запуске «патчера» открывается окно с кнопкой Start на прозрачном фоне. На этом этапе шифрование файлов ещё можно предотвратить -- достаточно закрыть окно, которое уже не откроется повторно. Но после нажатия кнопки зловред приступает к кодированию данных.
(https://3dnews.ru/assets/external/illustrations/2017/02/27/948230/eset2.jpg)
Требования выкупа содержатся в файле README!.txt. Жертве предлагается перечислить 0,25 биткоина или около 17 000 рублей на указанный кошелёк и сообщить об оплате по электронной почте на открытом сервисе Mailinator.
Проблема в том, что даже в случае оплаты выкупа восстановить файлы не удастся. В коде программы не предусмотрена функция связи с командным сервером -- это означает, что у операторов зловреда нет ключа расшифровки. Программа задаёт ключ шифрования при помощи функции генерации случайного числа: длина ключа в 25 символов не позволяет подобрать его путём полного перебора в разумные сроки.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 01-03-2017, 21:11:34
В Google Play нашли погодное приложение, которое крадет пароли от банковских программ

Эксперты обнаружили мобильный банковский троян для Android, который ворует пароли от банковских приложений, маскируясь под приложения с прогнозом погоды. Зловред размещается в официальном магазине приложений Google Play.
В ходе установки приложение запрашивает у пользователя расширенные права в системе. После завершения троян выводит на рабочий стол виджет с прогнозом погоды, «позаимствованный» у легального приложения. Параллельно с этим информация об устройстве передает в фоновом режиме на командный сервер.

Так, троян распознает популярные банковские приложения, собирает логины и пароли при помощи фальшивых форм ввода и направляет эти данные своим операторам. Функция перехвата текстовых сообщений позволяет обойти двухфакторную аутентификацию на базе SMS. Кроме того, программа может блокировать и разблокировать экран устройства по команде злоумышленников, меняя пароль, - предположительно, эта функция используется в момент списания средств со счета, чтобы скрыть кражу от жертвы.

Первая версия трояна была обнаружена в Google Play 4 февраля. Тогда программа искала одно из 22 банковских приложений, используемых в Турции. Через два дня программу удалили из магазина, однако 14 февраля она вернулась под названием World Weather. Причем на этот раз количество интересных трояну банковских приложений увеличилось до 69. Затронуты оказались не только пользователи во многих странах мира.
(http://www.macdigger.ru/wp-content/uploads/2017/03/karadet-2.jpg)
Вскоре после обнаружения World Weather снова удалили из Google Play.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 02-03-2017, 13:41:56
вопрос - куда смотрит Гугл?
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 02-03-2017, 21:50:18
в кошелек))
Название: Re:Новые угрозы , кибер - преступления,вирусы l
Отправлено: CaPa от 02-03-2017, 23:05:21
точно, это сам гугл и придумал, а как запалили, сделал вид, что борется с хакИрами)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 03-03-2017, 00:52:02
Новый вектор атаки позволяет получить доступ к персональным данным
Специалист по информационной безопасности из Израиля Омер Гиль (Omer Gil) выявил новый метод, позволяющий получить доступ к скрытым персональным данным пользователей.
Дело в том, что кэширующие серверы, используемые крупными online-сервисами, часто сохраняют некорректный контент страницы, в том числе персональную информацию, когда пользователь пытается посетить несуществующий ресурс.
Как выяснил Гиль, данная проблема, получившая название Web Cache deception attack (примерно переводится как «обманная атака на web-кэш»), затрагивает web-сайты трех крупных компаний, одна из которых PayPal. По словам исследователя, проблема, скорее всего, распространяется и на другие online-сервисы, хотя соответствующее исследование он не проводил.
Атака основана на том, как серверы кэшируют страницы. Некоторые из них сохраняют страницы с разным объемом персональных данных. Как правило, эти страницы недоступны неавторизованным пользователям. Специалист пояснил принцип действия метода на примере PayPal.
Если пользователь перейдет по ссылке на несуществующий ресурс, сервер PayPal создаст соответствующий кэш URL. Например, при переходе по ссылке https://www.paypal.com/myaccount/home/attack.css (https://www.paypal.com/myaccount/home/attack.css) будет создан кэш https://www.paypal.com/myaccount/home/. (https://www.paypal.com/myaccount/home/.) В данном примере кэшированная страница будет содержать такие сведения, как баланс счета, данные транзакций, адрес электронной почты, последние четыре цифры дебетовой\кредитной карты и, возможно, другую информацию. Для того чтобы похитить данные, атакующему потребуется только перейти по тому же специально сформированному URL и получить доступ к кэшированной странице.
По словам Гиля, атака не ограничена только определенными типами файлов, такими как JS или CSS. Злоумышленники могут использовать более 40 форматов -- от популярных AVI, DOC и JPEG до CCT или AIFF.
В качестве подтверждения исследователь опубликовал ряд видео с демонстрацией атаки
http://www.youtube.com/v/pLte7SomUB8

http://www.youtube.com/v/e_jYtALsqFs

http://www.youtube.com/v/dgZVe7D8SRE
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 03-03-2017, 01:02:42
«Лаборатория Касперского» зафиксировала трёхкратный рост числа вредоносных программ для Android
Spoiler: показать

Владельцы мобильных устройств под управлением операционной системы Android всё чаще становятся жертвами киберпреступников, использующих различные каналы распространения вредоносного софта, в том числе магазин приложений Google Play. Об этом свидетельствуют результаты исследования, проведённого «Лабораторией Касперского».
По данным вирусных аналитиков, в 2016 году вредоносных установочных пакетов для смартфонов и планшетов Android стало почти в три раза больше, чем годом ранее. При этом больше всего -- в 8,5 раз -- выросло количество программ-вымогателей, делающих невозможным использование мобильного устройства и требующих денег за его разблокировку. Активное развитие на протяжении всего прошедшего года получили также умеющие обходить защитные механизмы Android рекламные и банковские троянцы. Последней угрозе наиболее подвержены оказались российские пользователи.

По мнению специалистов, такой внушительный рост числа вредоносного ПО для Android обусловлен тем, что большинство устройств не получают (или получают поздно) обновления операционной системы. «Это приводит к тому, что смартфоны и планшеты оказываются уязвимы к старым, хорошо известным и легко доступным эксплойтам, которыми и пользуются зловреды, -- поясняет антивирусный эксперт «Лаборатории Касперского» Роман Унучек. -- Мы полагаем, что в 2017 году пользователи мобильных устройств по-прежнему будут чаще всего сталкиваться с раздражающими и потенциально опасными рекламными троянцами».

https://securelist.ru/analysis/ksb/30301/mobile-malware-evolution-2016/ (https://securelist.ru/analysis/ksb/30301/mobile-malware-evolution-2016/)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 04-03-2017, 03:09:05
Уязвимость в антивирусе ESET для Mac позволяет выполнить произвольный код с root-правами

Spoiler: показать

Исследователи команды безопасности Google Джейсон Геффнер и Жан Би обнаружили уязвимость в антивирусном приложении ESET Endpoint Antivirus 6, позволяющую удаленно выполнить код на Mac с привилегиями ядра. Осуществить атаку очень просто - достаточно перехватить подключение продукта к серверам ESET и проэксплуатировать уязвимость в библиотеке XML.
Как сообщает Securitylab, уязвимость в одной из старых библиотек в составе антивируса ESET для Mac может представлять серьезную опасность для пользователей компьютеров Apple.

«Уязвимые версии ESET Endpoint Antivirus 6 статически связаны с устаревшей библиотекой синтаксического анализа XML и не проводят надлежащим образом аутентификацию сервера, тем самым позволяя удаленному неавторизованному атакующему выполнить код с привилегиями ядра», -- сообщили исследователи.

По словам экспертов, esets_daemon использует устаревшую версию библиотеки POCO XML, в которой присутствует уязвимость переполнения буфера (CVE-2016-0718). Помимо прочего, библиотека запрашивает лицензию по адресу https://edf.eset. com/edf. Злоумышленник может осуществить атаку «человек посередине» и отправить в качестве ответа данные для эксплуатации с последующим выполнением кода с привилегиями ядра.

Демон не проверяет сертификат сервера ESET, что дает возможность атакующему выдать себя за сервер ESET и предоставить клиенту самоподписанный SSL-сертификат. К своему отчету Геффнер приложил эксплоит, который провоцирует краш антивируса для Mac.

Осуществив атаку, злоумышленник может отправить на Mac вредоносный контент, взломать уязвимую библиотеку, а затем выполнить код. Всем, кто по каким-то причинам пользуется антивирусом для macOS, настоятельно рекомендуется как можно быстрее обновиться до исправленной версии ESET Endpoint Antivirus 6.4.168.0.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 04-03-2017, 13:36:56
Вот так вот!  главный спамер интернета, компания ESET, теперь стала ещё и главной дырой безопасности операционной системы MacOS.  Шедеврально! (http://www.capa.me/smiles/sm_clap.gif)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 08-03-2017, 01:13:36
Опасный зловред уничтожает все данные на инфицированном компьютере

Spoiler: показать

«Лаборатория Касперского» предупреждает о появлении очень опасной вредоносной программы, безвозвратно удаляющей всю информацию на заражённом компьютере.
Зловред получил название StoneDrill. Своим поведением он напоминает нашумевшую пять лет назад аналогичную программу Shamoon (также известную как Disttrack): в 2012-м она парализовала работу 35 тысяч компьютеров в нефтегазовой компании на Ближнем Востоке и поставила таким образом под удар существенную долю мировой нефтепромышленности.
Новый зловред-стиратель -- StoneDrill -- способен шпионить за своими жертвами. Разработчики этой программы предусмотрели ряд сложных инструментов, позволяющих скрываться от защитных решений. В частности, реализованы две антиэмуляционные техники, которые не позволяют детектировать StoneDrill по поведению.
(https://3dnews.ru/assets/external/illustrations/2017/03/07/948715/data1.jpg)
Исследователям до сих пор неизвестно, как именно распространяется новый зловред. Но анализ показывает, что после проникновения StoneDrill на компьютер зловред встраивается в процесс памяти того браузера, который используется на устройстве чаще всего. Сразу же после установки программа начинает уничтожать файлы на накопителях.
Эксперты «Лаборатории Касперского» также обнаружили четыре сервера управления, с помощью которых злоумышленники вели слежку на заражённых устройствах. Вредоносная программа атакует компьютеры на Ближнем Востоке и в Европе. Более подробно о зловреде можно узнать https://securelist.ru/blog/issledovaniya/30350/from-shamoon-to-stonedrill/ (https://securelist.ru/blog/issledovaniya/30350/from-shamoon-to-stonedrill/)

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 08-03-2017, 13:31:23
Штаты, не ?
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 08-03-2017, 15:16:48
все вопросы к касперскому)))
Название: Re:Новые угрозы , кибер - преступления,вирусы l
Отправлено: CaPa от 10-03-2017, 03:15:38
точно! ты правильно мыслишь...это касперский или есет )))
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 10-03-2017, 20:09:50
(http://www.capa.me/smiles/sm_lol.gif)
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 13-03-2017, 00:33:44
Proton - самый опасный троян для Mac
Spoiler: показать

Давно прошли те времена, когда считалось, что Mac не страшны трояны, так как их попросту никто не пишет. Эксперты Sixgill обнаружили на русскоязычном форуме в даркнете и выставили на продажу самый опасный «вредонос» для macOS, получивший название Proton. Авторы рассчитывают продать его за 40 биткоинов, что по текущему курсу равняется примерно $50 000. Для тех, у кого нет таких денег, есть предложение подешевле: 2 биткоина ($2500) за одну установку.
Согласно данным специалистов, Proton написан на Objective C и не обнаруживается существующими антивирусными решениями. Вредонос рекламируется как «профессиональное FUD-решение для слежки и контроля», способное получить root-доступ к компьютеру и фактически перехватить над ним контроль. Распространять зловред предлагается под видом различных легитимных приложений. Покупатель сможет легко изменить иконку и название вируса.

Proton включает себя функции кейлоггера, может делать снимки рабочего стола, дистанционно активировать веб-камеру. Также он способен похищать пользовательские файлы, загружая их на удаленный сервер, или скачивать произвольные файлы на зараженную машину. Помимо этого, Proton может показывать жертве кастомное окно, запрашивая информацию о банковской карте, водительских правах или другие конфиденциальные данные. Кроме того, по данным Xaker, вредонос способен получить доступ к iCloud маковода, даже если активна двухфакторная аутентификация.
(http://www.macdigger.ru/wp-content/uploads/2017/03/proton-2.jpg)

Но хуже всего тот факт, что создатели Proton смогли обойти механизмы контроля Apple, ведь компания предъявляет строгие требования к приложениям сторонних разработчиков. В итоге код трояна обладает подлинной подписью, которая обманывает защитные механизмы. Исследователи предполагают, что вирусописатели либо используют поддельный Apple ID для Apple Developer Program, либо используют похищенные у других разработчиков учетные данные. Как бы то ни было, в результате у злоумышленников есть все необходимые сертификаты.

Proton рекламируется не только в даркнете. Помимо этого у вредоноса есть официальный сайт и даже демонстрационные ролики на YouTube.

По мнению экспертов, для получения root-привилегий на компьютере Proton эксплуатирует уязвимость «нулевого дня», которая, очевидно, неизвестна широкой публике и является собственностью авторов малвари
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 13-03-2017, 00:50:02
Крупнейшие хакерские группировки мира
Spoiler: показать

C каждым годом новостей о деятельности хакерских организаций становится все больше.
Их атаки могут иметь совершенно разные цели: правозащитную -- для борьбы за какие-либо идеалы и для протеста против различных социальных и политических явлений, или же чисто экономическую, когда речь идет о взломе банковских счетов, продаже через интернет полученных данных.
В последнее время немалый шум в СМИ вызывают публикации личных переписок и фотографий знаменитостей. Хакеры крадут PIN-коды и пароли от аккаунтов звезд и могут хорошо заработать, продав данные желтым изданиям или шантажируя жертву.
Хакерские группы стали сегодня вполне реальной угрозой и для крупных корпораций, военных ведомств и правительств. Причём речь идет не о хакерах-любителях, а о серьезных, профессиональных группах. Они вызывают опасения у организаций, над защитой информационных систем которых трудятся целые подразделения, при этом сами долгое время остаются в тени.
Предлагаем посмотреть в инфографике, какие действующие и прекратившие существование организации стоят за самыми известными хакерскими атаками в истории интернета.
(http://static1.repo.aif.ru/1/1b/797335/9a759befc25a0323eb7d780786f0fb6d.jpg)

Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 13-03-2017, 01:06:48
Более тысячи моделей IP-камер подвержены root-уязвимости
Spoiler: показать

В результате изучения прошивки камеры Wireless IP Camera (P2P) WIFICAM была выявлена возможность удалённого доступа к устройству с правами root, используя жестко прописанный в прошивке пароль.
Более дательный разбор показал, что в прошивке также присутствуют и другие уязвимости, позволяющие выполнить свой код с правами root, в том числе обнаружена уязвимость в http-сервере GoAhead, который используется многими другими производителями IP-камер.
Так как камера Wireless IP Camera (P2P) WIFICAM построена на типовой платформе, на основе которой выпускаются многие другие модели IP-камер, некоторые уязвимости проявляются и в моделях других производителей. В сумме проблемам оказались подвержены около 1250 различных моделей камер. Сканирование сети через севис Shodan выявило более 185 тысяч уязвимых устройств. Миллионы камер во внутренних подсетях потенциально уязвимы для атак через облачную инфраструктуру.
Среди уязвимых отмечены некоторых модели камер 3com, 7Links, A4Tech, APKLINK, AQUILA, AVACOM, Acromedia, Agasio, Airsight, Alecto, Allnet, Apexis, Atheros, Bionics, Chinavasion, D-Link, Dericam, EST, EasyCam, EasyN, Elro, EyeCam, Foscam, GoAhead, Heden, iView ,ICam, Kogan, LifeTech, Logitech, Maginon, Mediatech, Netcam, Pixpo, Polariod, Provision, Pyle, Scricam, skylink, Skytronic, SmartEye, Sricam, Sricctv, StarCam, Sumpple, Suneyes, Supra+Space, Swann, Techview, Tenvis, Vantech, Vstarcam, Wanscam, Wansview, X10 и т.д.
Выявленные уязвимости:
• В прошивке определён фиксированный пароль root («root:$1$ybdHbPDn$ii9aEIFNiolBbM9QxW9mr0:0:0::/root:/bin/sh») и по умолчанию запущен сервис «telnetd». Для входа с правами root достаточно подобрать пароль по хэшу и подключиться при помощи telnet;
• В прошивке сохранён закрытый RSA-ключ для Apple Production IOS Push Services (/system/www/pem/ck.pem);
• Утечка информации в http-сервере GoAhead, позволяющая получить информацию об учётных записях. Параметры доступа сохраняются в файлах system.ini и system-b.ini, на которые присутствуют символические ссылки из директории для отдачи данных в Web. Из-за ошибки, в отличии от cgi-скриптов, требующих аутентификации, к файлам можно обратиться без аутентификации, указав пустые логин и пароль. Например, для получения параметров входа достаточно запросить файл «http://192.168.1.1/system.ini?loginuse&loginpas»;
• Через манипуляциею со скриптом set_ftp.cgi, предназначенным для настройки доступа по FTP, можно выполнить произвольную команду с правами root через подстановку shell-конструкции «$(...)». Например, для запуска процесса telnetd для входа без пароля можно выполнить:
Цитировать
$ wget -qO- 'http://192.168.1.1/set_ftp.cgi?next_url=ftp.htm&loginuse=admin&loginpas=admin&svr=192.168.1.1&port=21&user=ftp&pwd= (http://192.168.1.1/set_ftp.cgi?next_url=ftp.htm&loginuse=admin&loginpas=admin&svr=192.168.1.1&port=21&user=ftp&pwd=)$(telnetd -p25 -l/bin/sh)&dir=/&mode=PORT&upload_interval=0'

   $ wget -qO- 'http://192.168.1.1/ftptest.cgi?next_url=test_ftp.htm&loginuse=admin&loginpas=admin' (http://192.168.1.1/ftptest.cgi?next_url=test_ftp.htm&loginuse=admin&loginpas=admin')

   $ telnet 192.168.1.107 25
   Trying 192.168.1.107...
   Connected to 192.168.1.107.
   Escape character is '^]'.

   / # id
   uid=0(root) gid=0


Комбинируя данную уязвимость с утечкой параметров аутентификации, можно обеспечить удалённый вход на камеру с правами root. Для упрощения проведения атаки и организации обратного канала связи для обхода межсетевого экрана подготовлен универсальный эксплоит.
• Возможность просмотра передаваемой камерой видеоматериалов без аутентификации. Для просмотра достаточно обратиться к TCP-порту 10554 по протоколу RTSP, например «vlc rstp://192.168.1.1:10554/tcp/av0_1» или «vlc rstp://192.168.1.1:10554/tcp/av0_0»;
• По умолчанию камера обеспечивает работу с облачными сервисами, что позволяет использовать мобильные приложения для управления камерой, размещённой за транслятором адресов или межсетевым экраном. По умолчанию камера периодически отправляет UDP-пакеты к сервисам www.baidu.com (http://www.baidu.com), openapi.xg.qq.com и ряду жестко прошитых IP-адресов. Протокол взаимодействия с облачными сервисами достаточно простой и не использует шифрование. В качестве идентификатора для подключения к камере через облачную сеть используется серийный номер, что позволяет зная или подобрав серийный номер, подключиться к камере во внутренней подсети, к которой нет прямого доступа из интернет.
(https://pierrekim.github.io/blog/images/2017-cam-cloud-auth-fail.png)

Дополнительно можно отметить выявленную другими исследователями уязвимость в CCTV и IP-камерах американской компании Dahua Techology. Уязвимость позволяет внешнему неаутентифицируемому атакующему загрузить содержимое базы с именами и паролями пользователей устройства, в том числе учётной записью администратора. Атака свозится к загрузке файла с учётными записями и входу на устройство с полученными параметрами администратора. Рабочий эксплоит планируется опубликовать 5 апреля, дав пользователям время на установку обновления




Ущерб от махинаций с помощью ботов превышает потери от вымогателей и DDoS-атак
Spoiler: показать

В последнее время атаки с использованием вымогательского ПО и DDoS-атаки занимают верхние строчки в рейтинге основных киберугроз, но в плане финансового ущерба лидирует мошенничество с использованием ботов.
По данным специалистов, в 2016 году потери от атак вымогателей составили порядка $1 млрд, тогда как ущерб от махинаций в сфере рекламы только в одних США оценивается в $31 млрд.
Рекламное мошенничество работает достаточно просто. Рекламодатели платят поисковым системам или другим интернет-издателям либо за один клик по рекламе, либо за тысячу показов. Мошенники используют ботнеты из «зомби»-компьютеров или подключенных к интернету устройств для накрутки кликов и получения финансовой выгоды.
По словам руководителя компании White Ops Майкла Тиффани (Michael Tiffany), по текущим расценкам стоимость бот-трафика составляет 1 цент за визит на сайт. Если оператор ботнета заставит 100 тыс. уникальных компьютеров посетить определенный сайт и сымитировать поведение реальных пользователей, то он сможет заработать порядка $1 тыс.
Организаторы ботнетов научились хорошо имитировать поведение пользователей. Они используют несколько IP-адресов, а также программное обеспечение, создающее естественные паузы во время «прочтения» страниц, последующие клики или другие действия, обычно выполняемые посетителями сайтов.
В минувшем году был опубликован доклад, раскрывающий подробности схемы обмана крупных компаний и СМИ, размещающих рекламу в интернете. В рамках операции Methbot группа хакеров ежедневно зарабатывала от $3 млн до $5 млн.
Мошенники создали более 250 тыс. фальшивых сайтов, якобы принадлежащих крупным компаниям и издательствам (ESPN, Vogue, New York Times, The Wall Street Journal, Verizon и пр.). За счет использования большого количества IP-адресов, поддельных учетных записей в соцсетях, манипуляции данными о геолокации, имитации клика или движения мыши, мошенники создавали иллюзию того, что могут привлекать миллионы людей к просмотру видеороликов. За это они получалит крупные суммы от заказчиков (в основном из США)

http://www.whiteops.com/methbot (http://www.whiteops.com/methbot)



Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 15-03-2017, 23:40:22
Новый вид сетевого мошенничества нацелен на владельцев веб-сайтов
Spoiler: показать

«Доктор Веб» раскрыл новую мошенническую схему в Интернете: на этот раз киберпреступники атакуют владельцев веб-сайтов.
Потенциальные жертвы получают электронные письма, отправленные якобы от имени компании «Яндекс». Эксперты полагают, что при организации рассылки злоумышленники воспользовались базой контактов администраторов интернет-ресурсов.
(https://3dnews.ru/assets/external/illustrations/2017/03/15/949108/mail2.jpg)
Почтовый ящик, с которого отправлено письмо, зарегистрирован на бесплатном сервисе Yandex Mail и потому включает в себя домен yandex.ru. Это может вводить в заблуждение получателей.
В письмах злоумышленники предлагают владельцам сайтов повысить позиции ресурса в поисковой выдаче. Предложение якобы является персональным и ориентировано только на качественные интернет-ресурсы, содержащие уникальный контент, а также размещённые на домене, который был зарегистрирован до 1 августа 2012 года.
(https://3dnews.ru/assets/external/illustrations/2017/03/15/949108/mail1.jpg)
Послания содержат ссылку на страницу, на которой получателю предлагают на выбор способы оплаты этой услуги. Разумеется, после внесения платежа жертва не получает обещанного -- деньги выводятся мошенниками с использованием ресурсов одного из популярных платёжных агрегаторов.
В рамках мошеннической кампании преступники арендовали несколько IP-адресов, к каждому из которых было привязано больше сотни URL веб-страниц для оплаты этой мнимой услуги. О количестве жертв злоумышленников ничего не сообщается


Троян PetrWrap осуществляет целевые атаки на бизнес-пользователей
Spoiler: показать

«Лаборатория Касперского» предупреждает о появлении новой вредоносной программы, которая используется киберпреступниками для проведения целевых атак на бизнес-пользователей

Зловред получил название PetrWrap. Его главная особенность заключается в том, что он базируется на опасном шифровальщике Petya, причём использует эту программу без разрешения разработчиков.
Petya -- один из наиболее заметных зловредов, распространяемых по модели «вымогатели как услуга» (Ramsomware-as-a-Service, RaaS). Авторы распространяют его через многочисленных посредников, получая часть прибыли.
Для того чтобы избежать неавторизованного использования шифровальщика, разработчики вставили в его код несколько защитных механизмов, однако создателям PetrWrap удалось их обойти. Троян оснащён собственными криптографическими алгоритмами и в процессе работы изменяет код Petya, что позволяет преступникам, стоящим за PetrWrap, скрыть факт использования Petya в процессе заражения.
(https://3dnews.ru/assets/external/illustrations/2017/03/15/949105/pet2.jpg)
При этом новый троян использует собственные ключи шифрования вместо тех, что применяются в Petya по умолчанию, поэтому для расшифровки данных в случае уплаты выкупа PetrWrap не требуется помощь авторов оригинального вымогателя.
Важно отметить, что Petya в последних версиях обладает очень мощным криптографическим алгоритмом, а поэтому расшифровать файлы чрезвычайно сложно. В предыдущих версиях программы был найден ряд ошибок, которые несколько раз позволяли экспертам расшифровывать закодированные данные, однако с тех пор авторы закрыли почти все уязвимости



Вредоносные приложения оказались предустановлены на мобильные устройства крупнейших производителей
Spoiler: показать

Компания Check Point обнаружила серьёзное вредоносное ПО на 38 моделях устройств на базе Android от крупнейших производителей -- Samsung, LG, Xiaomi, Lenovo и других. Сам факт заражения смартфонов и планшетов вряд ли можно назвать чем-то неординарным, однако если обычно оно происходит в результате действий пользователя, то в данном случае программное обеспечение было предустановлено на устройства.

Как выяснилось, вредоносное программное обеспечение присутствовало на устройствах ещё до их передачи в руки пользователей. Эти приложения не входили в состав официальных прошивок, а устанавливались кем-то из поставщиков. В шести случаях вредоносные программы устанавливались с использованием системных привилегий, из-за чего они не могли быть удалены пользователем вручную и прошивку приходилось переустанавливать.
По большей части на смартфоны и планшеты предустанавливались программы для хищения пользовательских данных и приложения для распространения рекламы. Одной из вредоносных программ оказался Slocker -- мобильный вирус-вымогатель. Последний использует алгоритм шифрования AES, блокирует доступ ко всем файлам на устройстве и требует выплаты злоумышленникам определённой денежной суммы в обмен на ключ для расшифровки.
Среди обнаруженных рекламных вирусов особого внимания заслуживает Loki. Эта сложная вредоносная программа задействует сразу несколько различных компонентов -- каждый со своей собственной функциональностью и ролью в осуществлении злого умысла авторов ПО. В частности, Loki показывает пользователю незаконную рекламу -- для этого приложение похищает данные об устройстве и устанавливается в систему.
Обычно пользователям рекомендуется лишь избегать входа на подозрительные сайты и загружать приложения только из доверенных источников. Тем не менее, в данном случае этого недостаточно, поскольку предустановленное ПО ставит под угрозу безопасность даже самых осторожных пользователей.
Полный список заражённых устройств и обнаруженных на них вредоносных файлов можно найти  ссылке.
http://blog.checkpoint.com/2017/03/10/preinstalled-malware-targeting-mobile-users/ (http://blog.checkpoint.com/2017/03/10/preinstalled-malware-targeting-mobile-users/)









Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: CaPa от 16-03-2017, 14:02:01
я встречал предустановленные вирусы в официальные прошивки, но это было как правило на китайчиках.  а вот на именитых брендах не попадалось такой откровенной наглости.
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: soner30 от 16-03-2017, 18:31:41
ну от этого ни кто не застрахован ,люди работают ,люди устанавливают , хитрожопый программист просто захотел подзаработать))
Название: Re:Новые угрозы , кибер - преступления,вирусы и тп
Отправлено: so