Новые угрозы , кибер - преступления,вирусы и тп

Автор soner30, 10-02-2016, 19:46:04

0 Пользователей и 17 Гостей просматривают эту тему.

Вниз

soner30

Количество жертв бекдора Adwind приближается к полумиллиону


«Лаборатория Касперского» опубликовала результаты анализа вредоносной кампании Adwind, от которой пострадали более 440 тысяч пользователей и организаций по всему миру, в том числе и в России.

Впервые зловред Adwind был обнаружен ещё в 2013 году; с тех пор он встречался под различными именами: AlienSpy, Frutas, Unrecom, Sockrat, JSocket и jRat Особенность Adwind заключается в том, что этот бекдор распространяется по модели «вредоносное ПО как услуга». Иными словами, злоумышленники предоставляют желающим доступ к программе за определённую плату. По данным «Лаборатории Касперского», в конце 2015 года в этой «сервисной» системе было около 1800 пользователей.
Adwind написан целиком на Java, а поэтому работоспособен на различных платформах, в частности Windows, OS X, Linux и Android. Вредоносная программа позволяет злоумышленникам собирать и извлекать из системы данные, а также удалённо управлять зараженным устройством.

Зловред обладает довольно развитой функциональностью. Он способен делать снимки экрана, запоминать нажатия клавиш, красть пароли и данные, хранящиеся в браузерах и веб-формах, фотографировать и осуществлять видеозапись с помощью веб-камеры, делать аудиозаписи при помощи микрофона, встроенного в устройство, собирать общие данные о пользователе и о системе, красть ключи от криптовалютных кошельков, а также VPN-сертификаты.
Атаки Adwind затрагивают самые разные секторы: производство, финансы, строительство и проектирование, розничная торговля, логистика, телекоммуникации, разработка ПО, образование, здравоохранение, энергетика, СМИ и правительство. При этом почти половина (49 %) жертв Adwind находится всего в 10 странах: в России, ОАЭ, Германии, Индии, США, Италии, Вьетнаме, Гонконге, Турции и Тайване.
Источник:
Лаборатория Касперского




Раскрыта новая кибершпионская группировка Poseidon


«Лаборатория Касперского» раскрыла неизвестную кибергруппировку, которой удавалось скрывать свою деятельность в течение многих лет.

Сообщается, что преступное объединение Poseidon действует как минимум с 2005 года. Злоумышленники крадут конфиденциальные данные у компаний по всему миру, включая Россию, а затем под угрозой их перепродажи требуют заключения контракта на предоставление консалтинговых услуг по информационной безопасности.
Жертвами атак становятся финансовые, телекоммуникационные, промышленные и энергетические компании, государственные учреждения, СМИ, PR-агентства и даже кейтеринговые службы, клиентами которых являются топ-менеджеры корпораций. Уже пострадали десятки организаций по всему миру, включая Россию, Казахстан, США, Францию, ОАЭ, Индию и Бразилию.

Для сокрытия следов своей деятельности злоумышленники используют ряд хитроумных инструментов, включая вредоносные программы с очень коротким жизненным циклом. Для атак используются специально разработанные зловреды, подписанные поддельными цифровыми сертификатами. Чаще всего такие вредоносные программы попадают в систему с помощью фишинговых писем с RTF- и DOC-вложениями. После проникновения на ПК осуществляется сбор самых разнообразных конфиденциальных данных, в том числе финансовых. Именно эта информация впоследствии применяется для шантажа.
Источник:
Лаборатория Касперского


Неуловимый троянец-невидимка компрометирует разговоры по Skype

Исследователи Palo Alto Networks предупреждают о появлении новой разновидности вредоносного программного обеспечения T9000, обладающего продвинутой стелс-системой, которая позволяет ему в момент внедрения в систему обходить большинство антивирусных решений, включая Kaspersky и «Доктор Веб».
T9000 является модифицированной версией вредоносного ПО T5000, обнаруженного в 2013 году. Как правило, заражение происходит через фишинговые рассылки с прикреплёнными файлами в формате .rtf. Как показывают наблюдения, зачастую целями киберпреступников, использующих T9000, становятся американские компании.

После успешно внедрения в систему вредонос начинает делать снимки экрана и отправлять полученную информацию на удалённый сервер. Если же жертва использует Skype, то T9000 отправляет запрос на доступ к приложению от имени explorer.exe. Когда пользователь принимает запрос, ошибочно полагая, что он поступил от браузера Microsoft Internet Explorer, троянец получает доступ к программе. С этого момент он может вести непрерывную регистрацию всех звонков, видеосессий и текстовых переписок. Всё это делается с одной единственной целью -- передать скомпрометированные данные злоумышленнику.
Источник:
http://www.theinquirer.net/



«Доктор Веб»: СМИ устроили Trojan.Dyre преждевременные похороны

Спустя два месяца после того, как российские правоохранители ликвидировали кибер-группировку, которая стояла за опасным троянцем Trojan.Dyre, терроризировавшим с лета 2014 года финансовые организации всего мира, СМИ заговорили о победе над этой вредоносной программой.
Однако, как утверждают специалисты компании «Доктор Веб», которые всё это время пристально следили за активностью Trojan.Dyre, угроза ещё не миновала. В качестве основного аргумента они приводят тот факт, что данный зловред имеет уникальную инфраструктуру, абсолютно несвойственную многим другим печально известным банковским троянцам.

В большинстве случаев данные с инфицированных систем передаются троянцами на сервер, где развернута панель, при помощи которой злоумышленники управляют своими ботами. Однако в Trojan.Dyre вирусописатели сумели реализовать куда более продвинутые алгоритмы: так, например, приёмом и обработкой данных от ботов занимались «самописные» серверы на .Net, а панели управления ботнетом были написаны с использованием php-фреймворка Kohana.
Кроме того, для хранения и обработки массивов данных, поступавших практически со всех концов света, использовались базы postgres и mysql, а также система полнотекстового поиска sphinx, отмечается в отчёте. Для защиты серверов от обнаружения использовались Tor-серверы и proxy-серверы, объединённые в сеть с помощью openvpn. Ещё одной защитной мерой являлось размещение первичных проксирующих «прокладок» на взломанных злоумышленниками роутерах, где соответствующим образом была изменена таблица маршрутизации.

Несмотря на это, антивирусным аналитикам удалось определить целый ряд конечных серверов, которые использовались злоумышленниками, что позволило получить важную информацию о Trojan.Dyre и передать её финансовым учреждениям и  правоохранительным органам нескольких стран.
Тем не менее, специалисты «Доктора Веба» до сих пор продолжают фиксировать спам-рассылки с сэмплами троянца, а это может косвенно указывать на то, что не все серверы инфраструктуры были успешно деактивированы. Праздновать победу над Trojan.Dyre пока ещё рано, убеждены аналитики.
Источник:
Dr.Web




soner30

Распространяемый по модели подписки вирус принёс владельцам $200 000

Специалисты Лаборатории Касперского Александр Гостев и Виталий Камлюк рассказали о программном продукте Adwind, с помощью которого взломщикам за последние 3 года удалось скомпрометировать более чем 68 тыс. устройств по всему миру. Adwind -- это кросс-платформенный троян для получения удалённого доступа (Remote Access Trojan, RAT), который распространяется как сервис.
Adwind разработан на Java, поэтому продукт можно использовать для взлома Windows, Mac OS X, Linux и Android. Впервые о трояне стало известно в 2012 году, с тех пор он постоянно дорабатывается.

Область применения у вируса широка -- взломщик может воровать файлы, вести запись из микрофона и веб-камеры и выполнять произвольные команды на системе. Архитектура Adwind позволяет устанавливать на заражённую систему дополнительные модули и плагины.
Разработчик вируса предоставляет доступ Adwind по подписке. Взломщик может пользоваться продуктом 15 дней за $25, или оформить годовую подписку за $300. В стоимость входит техническая поддержка, службы по обходу защиты антивирусом, доступ в VPN и другие бонусы.
По словам экспертов ЛК, в 2015 году Adwind чаще всего применялся против жителей Российской Федерации. Троян также часто использовался в ОАЭ, Турции, США и Германии. За этот период Adwind воспользовались приблизительно 1800 человек, которые заплатили в общем $200 000.
Источник:
http://www.securelist.com/

CaPa

т.е. создали вирус и просто продавали его всем нуждающимся?

soner30


soner30

Троян Remtasu предлагает взлом учётных записей Facebook

Компания ESET сообщила о повышении активности троянского приложения Win32/Remtasu. Специалистами компании был обнаружен ряд модификаций зловредной программы, которые используются для кражи личных данных пользователей. Сообщается, что с начала 2016 года была зафиксирована новая волна распространения троянца, который маскировался под программу для кражи паролей от Facebook.

Приложение загружает вредоносные файлы, при запуске которых происходит перехват конфиденциальной информации. Троян получает данные из буфера обмена и может сохранять их в отдельный файл. Кроме того, программа может сохранять данные о нажатии клавиш пользователем и отправлять полученную информацию на удалённый сервер.
Отмечается, что ранее Win32/Remtasu распространялся обычным для вредоносного приложения способом -- посредством сообщений, рассылаемых по электронной почте. Как правило, пользователи получали фальшивые письма от известных компаний, в которых предлагалось открыть вложенный файл, содержащий троянскую программу.
По заявлениям аналитиков ESET, только за первые недели 2016 года было зафиксировано более 24 модификаций Remtasu. Более всего троян проявляет активность в Таиланде, Турции, а также странах Латинской Америки.   
Для предотвращения заражения рекомендуется не читать сообщения от непроверенных пользователей, не открывать вложенные файлы, а также не переходить по подозрительным ссылкам. Сообщается, что в настоящее время все модификации троянского приложения Win32/Remtasu добавлены в антивирусную базу ESET и могут быть обнаружены программой ESET NOD32.
Источник:
esetnod32.ru

soner30

Над пользователями «умных» унитазов нависла киберугроза

Как показал эксперимент, проведённый компанией Panasonic, в наш век информационных технологий стать жертвами киберпреступников могут даже пользователи унитазов.
Сразу оговоримся, что речь идёт о так называемых «умных» унитазах, которые начинены различными электронными системами. Надо заметить, что функциональность этих необычных устройств, получивших наибольшее распространение у себя на родине -- в Японии, -- ограничена лишь фантазией их производителей. К примеру, одни обеспечивают автоматический подогрев сиденья и доступ в Интернет, другие могут предложить расслабляющий сеанс гидромассажа, и так далее.

Так вот, в недавнем интервью Mirror главный специалист по интернет-безопасности Panasonic Хикохиро Лин (Hikohiro Lin) рассказал, что в ходе проверки безопасности одного из представленных на рынке чудо-туалетов исследователям удалось получить доступ к его системе управления.
По словам Лина, пароль, который был установлен по умолчанию на подопытном экземпляре, оказался слишком слабым, и был взломан в два счёта. Таким образом, команда смогла подключиться у «умному» унитазу по Bluetooth и управлять всеми его функциями со смартфона.

Конечно, взлом подобной сантехники  едва ли представляет серьёзную угрозу для жертвы -- в конце концов, таким способом хакер не сможет завладеть реквизитами её банковского счёта или скомпрометировать личные данные. Угроза, скорее, носит психологический характер: к примеру, злоумышленник может напугать ничего не подозревающую жертву, включив слив, ну или запустив в не самый неподходящий момент процедуру гидромассажа.
Источник:
http://www.mirror.co.uk/

soner30

Опасный Android-зловред распространяется через сторонние магазины приложений


Компания Trend Micro предупреждает о том, что сразу через несколько сторонних магазинов приложений для операционной системы Android распространяется опасная вредоносная программа.

Зловред получил обозначение ANDROIDOS_ LIBSKIN.A. Специалистам удалось выявить почти 1200 пакетов Android-приложений с внедрённым вредоносным кодом. Причём нежелательный компонент присутствует во вполне легитимных программах -- играх, различных утилитах и пр.
ANDROIDOS_ LIBSKIN.A распространяется через такие магазины приложений, как Aptoide, Mobogenie, mobile9 и 9apps. Вредоносную программу, сами того не желая, загрузили владельцы Android-устройств из 169 стран по всему миру, включая Россию.

Попав на смартфон или планшет, зловред пытается получить root-доступ. Вредоносная программа способна скачивать другие нежелательные модули, а также собирать информацию о мобильном устройстве и персональные пользовательские данные.
На сегодняшний день наибольшее количество случаев заражения ANDROIDOS_ LIBSKIN.A зафиксировано в Индии -- около 35 %. На Индонезию и Филиппины приходится соответственно около 28 % и 14 %. Далее следуют Япония и Россия с немногим более 2 % от общего числа заражений.
Источник:
http://www.pcworld.com/

CaPa


soner30

Цитата: CaPa от 13-02-2016, 11:58:39
про умные унитазы - поржал

сидишь такой скучаешь..... и на тебе ..фонтанчик

CaPa


soner30

Цитата: CaPa от 14-02-2016, 13:34:48
серьёзная угроза )))
самое ценное - под прицелом хаЦкеров ))

soner30

Новый троян атакует клиентов российских банков

«Доктор Веб» предупреждает о появлении новой вредоносной программы, с помощью которой киберпреступники пытаются обокрасть клиентов крупных российских банков.
Нажмите для увеличения / «Доктор Веб»
http://radikal.ru/fp/756a884f0f4e46ccb48e62f06f5248bd][IMG]http://s008.radikal.ru/i306/1602/5f/868604a4d591t.jpg[/img][/URL]
Зловред Trojan.Proxy2.102 предназначен для хищения денег с банковских счетов. Для этого троян устанавливает в системе жертвы корневой цифровой сертификат и изменяет настройки соединения с Интернетом, прописывая в них адрес принадлежащего злоумышленникам прокси-сервера.
Нажмите для увеличения / «Доктор Веб»
http://radikal.ru/fp/04aae063088e4e478892a90de77d5e6f][IMG]http://s019.radikal.ru/i637/1602/36/dc253eaf1ffft.jpg[/img][/URL]
Если инфицирование проходит успешно, любые обращения браузера к веб-страницам системы интернет-банкинга нескольких ведущих российских кредитных организаций осуществляются через прокси-сервер киберпреступников. С его помощью в страницы систем «банк-клиент» при открытии на заражённом компьютере встраивается постороннее содержимое, позволяющее злоумышленникам похищать деньги с банковских счетов пользователя.
Нажмите для увеличения / «Доктор Веб»
http://radikal.ru/fp/35c1747fb72441fc9ef46d363e4e6476][IMG]http://s018.radikal.ru/i506/1602/52/bf667f9262fat.jpg[/img][/URL]
Уже установлено, что зловред способен подменять содержимое банковских веб-систем online.sberbank.ru, online.vtb24.ru и online.rsb.ru. Поскольку троян предварительно устанавливает на инфицированном компьютере поддельный цифровой сертификат, с использованием которого подписывает соответствующие веб-страницы, жертва вряд ли сможет вовремя заметить подмену.
О том, какое количество пользователей пострадало от действий Trojan.Proxy2.102 и во сколько оценивается нанесённый финансовый ущерб, не сообщается.
Источник:
drweb.com

CaPa

а как же двойная авторизация, подтверждение СМС-кодом?
или это только на какой-нибудь "сбербанк" рассчитано?

слово сбербанк у меня уже нарицательное - на всё дырявое и мошенническое.

soner30


CaPa

причём, такое ощущение, что вирусня уже установлена на ПК которые стоят в СБЕРАХ.
люди заходит через них в свои кабинеты и тю-тю...

Вверх