Новые угрозы , кибер - преступления,вирусы и тп

Автор soner30, 10-02-2016, 19:46:04

0 Пользователей и 4 Гостей просматривают эту тему.

Вниз

soner30

Обнаружен новый вид саморазмножающегося вымогательского ПО

Вредонос шифрует 88 типов файлов и за их восстановление требует выкуп в размере 1,2 биткойна.
Специалисты компании Microsoft предупредили о появлении нового вида вымогательского ПО под названием ZCryptor, демонстрирующего поведение, напоминающее сетевого червя. Вредонос способен самостоятельно копировать себя на сетевые и съемные устройства, что делает его первым саморазмножающимся шифровальщиком.
Zcryptor распространяется привычным для подобных программ способом: посредством фальшивых установщиков (как правило, Adobe Flash Player) и спам-писем, содержащих документы Microsoft Office, макросы в которых инициируют загрузку вредоносного ПО. После того как жертва запустит такой инсталлятор или откроет файл, компьютер будет инфицирован.
По данным исследователей компании TrendMicro, шифровальщик работает на 64-разрядной версии Windows XP, а также всех версиях Windows 7 и 8. Оказавшись на системе, Zcryptor самостоятельно добавляет себя в реестр и начинает шифрование файлов, меняя их расширение на .zcrypt. Вредонос шифрует 88 типов файлов и за их восстановление требует выкуп в размере 1,2 биткойна ($500). Если в течение четырех дней жертва не выплатит деньги, сумма увеличивается до 5 биткойнов (порядка $2,2 тыс.).


soner30

Вот уроды ...,сами и написали вирусняк

soner30

Приложение Facebook постоянно прослушивает разговоры пользователей смартфонов

Мобильное приложение Facebook постоянно следит за разговорами и затем на основе услышанного предлагает релевантную подборку в ленте пользователя, утверждает профессор университета Южной Флориды Келли Бернс. По ее данным, приложение соцсети может иметь неограниченный доступ к микрофону мобильного устройства и распознавать ключевые слова, произнесенные вблизи девайса. После этого приложение редактирует алгоритм подачи новостей в ленту и предлагает вам соответствующую рекламу, рассказывает обозреватель флоридского канала WFLA Мелани Майкл:

Мелани Майкл обозреватель канала WFLA

«Скорее всего, вы даже не знаете, что Facebook имеет доступ к вашему микрофону. Вот я не знала. И если эта функция включена, приложение слушает все, что происходит вокруг. В настройках сайта открыто говорится: «Мы можем использовать ваш микрофон, чтобы идентифицировать, какую музыку вы слушаете или какие телешоу смотрите». Но нам удалось продемонстрировать, что Facebook фиксирует все ключевые слова и добавляет соответствующие посты в вашу ленту. Включив телефон, мы произнесли такую фразу: «Ах, как мне хотелось бы поехать на сафари и покататься на этих джипах». Буквально через минуту первый пост в ленте -- фотографии знакомого с его поездки в Африку. А в правой колонке появилась реклама автомобиля. Если вам не нравится, что вас подслушивают, вы можете отключить доступ Facebook к микрофону в настройках приватности». Из крупных изданий на заметку обратила внимание только The Independent. В газете приводится комментарий профессора Келли Бернс, в котором она допускает, что появление сафари и автомобилей в ленте может быть случайным совпадением или следствием предыдущих поисковых запросов.

Дмитрий Гориловский
руководитель IT-компании WoodenShark
«Единственное, что я могу предположить, может быть, Facebook действительно что-то внедрил, но именно ваши разговоры по мессенджеру Facebook ничем не отличаются от того же Gmail: если вы переписываетесь в Gmail, Google вам предлагает контекстную рекламу. Просто с точки зрения энергопотребления и так далее я в этом сильно сомневаюсь. Единственное, что сейчас появилось, это распознавание голоса, когда вы говорите кодовое слово «Окей, Google». С точки зрения ресурсов телефона, батарейки, его распознать куда легче, чем просто слушать все подряд. Такое скрыть невозможно, потому что десятки тысяч хакеров следят за тем, что телефон отсылает в Интернет, так что это бы всплыло намного раньше. Телефонный разговор записывать он не может, потому что такая опция есть не во всех телефонах, а в iPhone ее нет вообще: когда вы набираете номер, ни одно приложение записать ваш голос не может».

Пресс-служба Facebook опровергла информацию об использовании микрофона для фиксации ключевых слов. Но у соцсети есть схожая функция: пользователи при написании нового поста могут разрешить приложению в автоматическом режиме определить музыку или сериал,
которые звучат в данный момент в комнате. Опция на сегодняшний день доступна только на территории США. Facebook настаивает на том, что микрофон включается только при написании постов и только с позволения пользователя.

soner30

Хакеры продают 0day к Windows за $90 000


Пользователь форумах exploit.in предлагает всем желающим приобрести эксплоит с технической поддержкой.
Сегодня Брайан Кребс опубликовал любопытную статью в своем блоге относительно стоимости эскплоитов на черном рынке. Эксплоит к ранее неизвестной уязвимости в Microsoft Windows можно приобрести за $90 000 на русском форуме exploit.in.
Согласно описанию уязвимости речь идет о локальном повышении привилегий в драйвере win32k.sys. На двух демонстрационных видео показано, что эксплоит работает на полностью обновленной Microsoft Windows с включенным EMET.

Продает уязвимость исследователь под ником BuggiCorp. По его словам, эксплоит работает на всех версиях ОС Windows, начиная с Windows 2000 и до Windows 10. Объявление было размещено на сайте 11 мая этого года, сразу после выхода месячных исправлений безопасности.

CaPa

Ого. солидно.  молодцы ребята, не зря свой хлеб едят.

CaPa

Цитата: soner30 от 31-05-2016, 21:51:49
Вот уроды ...,сами и написали вирусняк

у меня тоже подозрения что большинство вирусов, во всяком случае тех, что сильно распиарены - это дело рук сами знаете кого )

soner30

Опаснейший банковский вирус Bolik атакует российских Windows-пользователей

«Доктор Веб» предупреждает о появлении очень опасного полиморфного файлового вируса, способного красть деньги со счетов клиентов российских банков, похищать конфиденциальную информацию и различными способами шпионить за своей жертвой. Вредоносная программа получила название Bolik.

Зловред наследует некоторые технические решения широко известных банковских троянов Zeus (Trojan.PWS.Panda) и Carberp, но в отличие от них умеет распространяться без участия пользователя и заражать исполняемые файлы. Функция самораспространения активируется по команде злоумышленников, после чего Bolik начинает опрашивать доступные для записи папки в сетевом окружении Windows и на подключенных USB-устройствах, ищет хранящиеся там исполняемые файлы и заражает их. При этом вирус может инфицировать как 32-х, так и 64-разрядные приложения.
Если пользователь запустит инфицированное приложение, вирус расшифрует банковского трояна и запустит его прямо в памяти атакуемого компьютера, без сохранения на диск. При этом зловред имеет специальные механизмы, затрудняющие работу антивирусов: программа, в частности, может «на лету» изменять код и структуру собственной части, а в её архитектуре предусмотрены своеобразные «замедлители», состоящие из множества циклов и повторяющихся инструкций.

Основное назначение Bolik -- кража различной ценной информации у клиентов российских банков. Для этого применяются разнообразные инструменты. Например, вирус может контролировать данные, передаваемые и отправляемые браузерами Internet Explorer, Chrome, Opera и Firefox. Благодаря этому троян способен похищать информацию, которую пользователь вводит в экранные формы.
Кроме того, в шпионский арсенал банкера входит модуль для создания снимков экрана (скриншотов) и фиксации нажатий пользователем клавиш (кейлоггер). Bolik умеет создавать на заражённой машине собственный прокси-сервер и веб-сервер, позволяющий обмениваться файлами со злоумышленниками. Вирус способен организовывать так называемые «реверсные соединения»: с их помощью киберпреступники получают возможность «общаться» с заражённым компьютером, находящимся в защищённой брандмауэром сети или не имеющим внешнего IP-адреса, то есть работающим в сети с использованием NAT (Network Address Translation). Вся информация, которой Bolik обменивается с управляющим сервером, шифруется по сложному алгоритму и сжимается.
Источник:
Dr.Web



soner30

Троян Triada научился перехватывать и подменять URL в браузерах

В марте 2016 года специалисты «Лаборатории Касперского» рассказали о мобильном трояне Triada, который атакует Android-устройства. Тогда эксперты писали, что этот вредонос является одним из самых технически сложных образцов малвари, что им доводилось видеть. Теперь исследователи «Лаборатории Касперского» сообщают, что Triada обзавелся опасным модулем и демонстрирует новую технику атак, перехватывая и подменяя ссылки в мобильных браузерах.

Напомню, что Triada -- это первый троян, который на практике научился осуществлять успешные атаки на процесс Zygote; ранее подобные техники рассматривались исключительно с теоретической точки зрения и в виде proof-of-concept. Родительский процесс Zygote содержит системные библиотеки и фреймворки, используемые практически всеми приложениями, и является своего рода шаблоном. После удачного осуществления атаки, троян становится частью этого шаблона, что дает ему возможность проникнуть во все приложения, установленные на зараженном устройстве, а затем изменить логику их работы.

Также Triada использует модульную структуру. То есть основной загрузчик устанавливает на устройство жертвы различные модули малвари, обладающие теми функциями, которые на данный момент нужны злоумышленникам.

6 июня 2016 года исследователи «Лаборатории Касперского» представили подробный разбор одного из модулей Triada, который был обнаружен еще в марте текущего года, вскоре после обнаружения самого трояна. Модуль Backdoor.AndroidOS.Triada.p/o/q атакует процессы четырех популярных браузеров для Android:

android.browser (стандартный Android-браузер);
com.qihoo.browser (защищенный 360 Browser);
ijinshan.browser_fast (браузер Cheetah);
oupeng.browser (браузер Oupeng).
Модуль осуществляет внедрение вредоносных DLL (Triada.q, который затем скачивает Triada.o) в перечисленные процессы. Эти DLL среагируют сразу, как только браузер получит и соберется обработать новую ссылку. Вредоносный компонент трояна передаст данные о ссылке на управляющий сервер злоумышленников, где ссылка пройдет проверку. В случае необходимости, URL может быть подменен на другой, то есть жертву перенаправят на сайт злоумышленников.



Исследователи пишут, что в основном злоумышленники использовали данную схему атак для доставки рекламы, в большинстве случаев просто изменяя домашнюю страницу браузера жертвы или поиск по умолчанию. По сути, модуль применялся как обычное adware-решение, несмотря на весь его вредоносный потенциал. Более того, авторы Triada, похоже, вообще забросили данную разработку и не используют этот компонент малвари уже некоторое время.

В заключение аналитики «Лаборатории Касперского» отмечают, что создатели малвари для Android весьма ленивы. Хотя в последнее время злоумышленники стали уделять больше внимания структуре ОС и пополнили свой арсенал новыми, более сложными векторами атак, чаще атакующие все же идут по пути наименьшего сопротивления. К примеру, им проще похищать деньги у жертв напрямую, посредством отправки сообщений на платные номера или подделывая окна банковских приложений.

CaPa

новый вирус от известной антивирусной лаборатории? )

soner30

«Бестелесный» троян Kovter скрывается в реестре Windows

«Доктор Веб» предупреждает о распространении вредоносной программы Kovter (Trojan.Kovter.297), особенность которой заключается в «бестелесной» архитектуре.

Троян работает в оперативной памяти инфицированного компьютера, не сохраняя собственную копию на диске в виде отдельного файла, что в определённой степени затрудняет его поиск и удаление. Зловред прячется в реестре Windows, где создаёт несколько записей: одна содержит само тело трояна в зашифрованном виде, вторая -- скрипт для его расшифровки и загрузки в память компьютера. Имена этих записей включают специальные нечитаемые символы, поэтому стандартная программа regedit не может их показать.

Kovter относится к рекламным троянам. Он незаметно для пользователя запускает в фоновом режиме несколько экземпляров браузера Microsoft Internet Explorer, «посещает» с их помощью указанные злоумышленниками сайты и накручивает количество просмотров рекламы, «нажимая» на рекламные ссылки и баннеры. Таким образом, киберпреступники получают прибыль от организаторов партнёрских программ и рекламодателей, размещающих рекламу с оплатой за нажатия и переходы.
Для распространения Kovter служит другая вредоносная программа -- троян MulDrop6. Он содержит множество случайных строк и вызовов функций, чтобы усложнить его анализ, а основная вредоносная библиотека замаскирована под картинку. Этот зловред умеет показывать на экране компьютера произвольные сообщения и отключать функцию контроля учётных записей пользователя Windows (User Accounts Control, UAC). Кроме того, вредоносная программа может копировать себя в корневые папки всех подключенных к заражённой машине дисков, создавая там файл автозапуска autorun.inf, то есть, распространяться подобно червю.
Источник:
drweb.com

CaPa

вот тут я апплодирую. мало того что этот вирус в общем-то и не вирус, так ещё и сидит там, где его никто и никогда искать не будет
да и зарабатывают парни почти легально )

soner30

Зловред Crysis шифрует файлы на всех доступных накопителях

Компания ESET предупреждает о росте активности вредоносной программы Crysis, угрожающей пользователям компьютеров под управлением операционных систем Windows.

Зловред шифрует все типы файлов. Причём кодирование осуществляется не только на внутренних накопителях, но и на съёмных и сетевых устройствах хранения данных. Crysis использует сложные алгоритмы шифрования, что затрудняет восстановление информации.
Компания ESET идентифицировала две схемы заражения шифратором. Чаще всего Crysis распространяется в приложении к спам-письмам -- исполняемый файл скрывается при помощи двойного расширения. Вторая схема заключается в маскировке под безвредные установщики легитимных приложений в Интернете.

После заражения Crysis создаёт запись в реестре и шифрует все файлы, за исключением системных. Далее зловред отправляет на сервер злоумышленников идентификационные данные компьютера и число зашифрованных файлов.
Когда вредоносные действия завершены, на рабочий стол загружается текстовый файл How to decrypt your files.txt («Как расшифровать ваши файлы») с требованием выкупа. Некоторые версии Crysis устанавливают в качестве обоев рабочего стола файл DECRYPT.jpg с тем же содержанием. Сумма выкупа составляет от 400 до 900 евро, оплата -- в биткоинах.
Источник:
esetnod32.ru

soner30

ЖДЕМ ПАТЧ ДЛЯ УЖЕ АТАКУЕМОЙ УЯЗВИМОСТИ ВО FLASH

Adobe обещает до конца недели выпустить патч для уязвимости во Flash Player, которая уже используется «в ограниченном объеме в целевых атаках». Брешь CVE-2016-4171 присутствует во всех версиях Flash вплоть до 21.0.0.242 включительно, установленных на платформах Windows, Macintosh, Linux и Chrome OS. «Успешная эксплуатация может повлечь крэш и потенциально позволяет атакующему установить контроль над уязвимой системой». О наличии атакуемой уязвимости во Flash разработчику доложил исследователь из «Лаборатории Касперского» Антон Иванов. Соответствующая заплатка появится, скорее всего, в четверг, хотя все ожидали, что Flash Player будет пропатчен в установленном порядке в минувший вторник. В итоге плановые обновления получили другие продукты, в том числе DNG Software Development Kit, Adobe Brackets, Adobe Creative Cloud Desktop Application и ColdFusion. Самый высокий приоритет был присвоен «горячим» заплаткам для ColdFusion; они предназначены для ColdFusion (выпуска 2016) Update 1, ColdFusion 11 Update 8 и ниже, а также для ColdFusion 10 Update 19 и ниже. Все они устраняют уязвимость CVE-2016-4159, связанную с проверкой входных данных; согласно Adobe, эту брешь потенциально можно использовать для проведения отраженных XSS-атак. Ныне закрываемая уязвимость в комплекте разработчика, обеспечивающем поддержку архивного формата DNG, представляет собой баг порчи памяти и затрагивает версии 1.4 и ниже этого SDK. В Adobe Brackets, редакторе с открытым исходным кодом, устранены две бреши, пока не эксплуатируемые itw. Одна из них открывает возможность для внедрения JavaScript и может быть использована в XSS-атаках, другая позволяет подать на вход менеджера расширений вредоносные данные. Этим уязвимостям подвержены Adobe Brackets версий 1.6 и ниже, работающие на Windows, Macintosh и Linux; пользователям продукта рекомендуется обновить его до версии 1.7. В пакете Adobe Creative Cloud для настольных ПК Windows, включающем такие приложения, как Photoshop, Illustrator, InDesign и Premiere Pro, закрыты две уязвимости, актуальные для версий 3.6.0.248 и ниже. Одна из этих брешей, ненадежный поиск пути каталога, обнаружена в инсталляторе, вторая связана с некорректным перечислением путей к службам (путь не заключается в кавычки, как положено, что позволяет внедрить вредоносный файл, который будет исполнен с привилегиями запущенной службы, обычно уровня SYSTEM).


Теневой рынок взломанных серверов

«Лаборатория Касперского» при помощи европейского интернет-провайдера обнаружила крупную международную веб-площадку, на которой злоумышленники продают доступ к серверам коммерческих и государственных организаций. Минимальная цена одного сервера составляет всего 6 долларов США. На сегодняшний день этот ресурс, известный под именем xDedic, готов предложить покупателям свыше 70 тысяч взломанных серверов, многие из которых открывают доступ к популярным сайтам и веб-сервисам. Значительная доля взломанных серверов находится в России. Впрочем, и за торговой площадкой предположительно стоит русскоязычная группировка.

Существование xDedic свидетельствует о том, что киберпреступность выходит на новый уровень. Наличие четко организованной и хорошо поддерживаемой площадки такого рода позволяет любому - от начинающего хакера до профессионального кибершпиона - получить быстрый, легкий и дешевый доступ к легитимной инфраструктуре, благодаря чему вредоносная деятельность останется незамеченной максимально долго.



Как выяснили эксперты «Лаборатории Касперского», данные на xDedic попадают в результате взлома серверов, как правило, при помощи прямых атак (брутфорса). Однако прежде чем выставить их на продажу, операторы площадки проверяют конфигурацию протоколов, память, программное обеспечение, историю браузера и другие детали - иными словами, все те особенности, которые будут интересовать покупателей. В итоге сегодня на xDedic можно найти серверы, принадлежащие государственным, коммерческим и образовательным организациям; серверы, на которых могут храниться данные для доступа к ресурсам азартных и онлайн-игр, интернет-магазинам, банковским и платежным системам, веб-сервисам сотовых сетей и интернет-провайдеров. Помимо этого, на xDedic продаются серверы с предустановленным ПО, облегчающим выполнение атак, например, с прямым доступом к почте, финансовым и POS-программам.

Законные владельцы серверов при этом зачастую даже не подозревают, что их IT-инфраструктура скомпрометирована и используется в киберпреступных операциях. Более того, по окончании вредоносной кампании задействованные в ней серверы вновь могут быть выставлены на продажу - и весь процесс начнется заново.

Площадка xDedic, по всей видимости, появилась в Сети в 2014 году, однако особой популярностью у злоумышленников она начала пользоваться в середине 2015-го. Сегодня на ней ведут торги более 400 продавцов, которые предлагают доступ к серверам из 173 стран. Помимо России, в числе наиболее пострадавших государств оказались также Бразилия, Китай, Индия, Испания, Италия, Франция, Австралия, ЮАР и Малайзия.

«Сайт xDedic - это очередное подтверждение того, что феномен «киберпреступление как услуга» набирает обороты. Существование коммерческих площадок и выстроенной вокруг них экосистемы позволяет любому желающему быстро развернуть эффективную вредоносную операцию при минимальных затратах. Конечными жертвами при этом становятся не только пользователи и организации, на которых направлены атаки, но также ничего не подозревающие владельцы серверов, которые в большинстве своем и не знают о вредоносных активностях, разворачивающихся у них под носом», - рассказывает Костин Райю, руководитель Глобального центра исследований и анализа угроз «Лаборатории Касперского».

Для того чтобы обезопасить свою IT-инфраструктуру, организациям следует установить надежное защитное ПО и придерживаться комплексного подхода к обеспечению информационной безопасности. Также «Лаборатория Касперского» рекомендует использовать устойчивые к взлому пароли для аутентификации сервера и настроить автоматическую установку обновлений программного обеспечения. Помимо этого, имеет смысл проводить регулярную проверку IT-инфраструктуры и рассмотреть возможность использования экспертных сервисов, которые помогут организации быть в курсе текущей ситуации с киберугрозами и адекватно оценивать степень риска.

soner30

обойти двухфакторную аутентификацию

Киберпреступники нашли новый способ получения доступа к аккаунтам Google пользователей, которые включили двухфакторную авторизацию. Отправляя SMS с недостоверной информацией, они вынуждают пользователя передать им код, который отправляет сервис.



БЕЗ ВИРУСОВ И ВРЕДОНОСОВ Обычно злоумышленники применяют вредоносное программное обеспечение, которое устанавливается на мобильное устройство и перехватывает SMS. Однако пользователи, у которых включена двухфакторная аутентификация и Google, обычно более ответственно относятся к защите данных и используют антивирус или средства для блокировки подобного ПО. Схема, которую описывает сооснователь сервиса Clearbit.com Алекс Маккау, работает через обманные SMS.

Пользователи получают сообщение, якобы отправленное Google. В нем говорится, что в аккаунт пользователя пытались войти с определенного IP-адреса. Чтобы приостановить работу аккаунта и препятствовать дальнейшим попыткам взлома, нужно отправить шестизначный код из SMS, которое скоро придет.

ЧТО ПРОИСХОДИТ НА САМОМ ДЕЛЕ
Шестизначный код из SMS на самом деле является одноразовым кодом двухфакторной аутентификации. Он отправляется в ответ на попытку взлома аккаунта Google злоумышленниками, чтобы пользователь мог подтвердить, что это действительно он.


Аналогичные методы могут применяться и к банковским аккаунтам, а также другим сервисам. Бороться с этим просто: не отправляйте злоумышленникам код, а в любой непонятной ситуации связывайтесь со службой поддержки.



CaPa

ну это рассчитано совсем на дурачков.  идея не нова)

Вверх