Новые угрозы , кибер - преступления,вирусы и тп

Автор soner30, 10-02-2016, 19:46:04

0 Пользователей и 1 Гость просматривают эту тему.

Вниз

soner30

Хакеры закидали банки вредоносными письмами, действуя от лица ЦБ РФ

По сообщениям «Лаборатории Касперского», во вторник, 15 марта, десятки российских банков подверглись массированной атаке, организованной путём рассылки вредоносных писем на электронные адреса сотрудников.
Отмечается, что мошенники впервые выдавали себя за сотрудников FinCERT, специального отдела в структуре Центрального Банка Российской Федерации, задача которого -- информирование российских банков об инцидентах информационной безопасности в финансовой сфере. Вредоносная рассылка отправлялась с адреса info@fincert.net -- чтобы всё выглядело максимально убедительно, перед атакой злоумышленники зарегистрировали доменное имя fincert.net и заранее собрали специальную базу контактов.
Пример письма, полученного одним из банковских сотрудников 15 марта


Сами письма представляли собой инструкцию по запуску вложенного макроса, требующего ручной активации от пользователя. При его запуске происходила попытка соединения с удалённым ресурсом с целью загрузки некоего файла. Этот файл был подписан легальной цифровой подписью реально существующей московской компании и позволял киберпреступникам получить доступ к информационной системе банка.
«Мы видим, что киберпреступники не только обладают хорошими навыками и изощрёнными инструментами, но и тщательно продумывают сценарии атак, -- заявил главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. -- Что касается совершенствования техники киберпреступников, то это уже обычная практика -- использовать в атаках на банки легальные инструменты, чтобы скрыть следы вторжения в систему. Этот инцидент еще раз подтверждает, что человеческий фактор представляет серьезную угрозу безопасности банков, поэтому мы рекомендуем уделять большое внимание обучению сотрудников правилам информационной безопасности».
Источник:
Лаборатория Касперского


Жертвами киберпреступников каждый месяц становятся около 80 тыс. пользователей Steam

«Лаборатория Касперского» выяснила, с помощью каких инструментов киберпреступники чаще всего атакуют пользователей популярной кроссплатформенной системы цифровой дистрибуции контента Steam, принадлежащей компании Valve.

По статистике, каждый месяц около 77 тысяч пользователей Steam становятся жертвами сетевых злоумышленников, которые крадут их данные доступа к игровому аккаунту. Основным орудием киберпреступников в этом случае, как сообщает «Лаборатория Касперского», является троян под названием Steam Stealer. Эта вредоносная программа получила широкое распространение благодаря своей простоте и доступности.
От атак Steam Stealer чаще всего страдают российские любители компьютерных игр. Так, по статистике, в 2015 году 62 % всех нападений с применением названного зловреда пришлось именно на Россию. По всей видимости, такая ситуация отчасти объясняется тем, что троян Steam Stealer развился из исходного кода, опубликованного несколько лет назад на одном из русскоязычных форумов.
Доля пользователей, атакованных трояном Trojan-PSW.MSIL.Steam / «Лаборатория Касперского»

В настоящее время Steam Stealer распространяется по модели «вредоносное ПО как услуга». Базовая версия трояна доступна любому желающему в среднем за 30 долларов США. При этом заказчики могут самостоятельно дополнить зловред необходимыми функциями и возможностями -- для этого им достаточно знать языки программирования и архитектуру Steam. Если же подобных знаний у злоумышленника нет, то за дополнительную плату он может приобрести Steam Stealer с любыми модификациями и даже с «руководством пользователя».
Более подробно об исследовании «Лаборатории Касперского» можно узнать в материале «Все ваши учётные данные принадлежат нам».
Источник:https://securelist.ru/blog/issledovaniya/28184/all-your-creds-are-belong-to-us/
Лаборатория Касперского


Троян-загрузчик Nemucod начал экспансию в Европу и Северную Америку

Антивирусная компания ESET информирует пользователей о массовой спам-рассылке, в ходе которой злоумышленники распространяют троян-загрузчик Nemucod. Отмечается, что по сравнению с январским всплеском активности зловреда, география его распространения расширилась -- на сей раз под раздачу попали пользователи европейских стран, а также Северной Америки.
Как правило, письма, содержащие Nemucod, маскируются под счета, повестки в суд и другие официальные документы. Цель маскировки состоит в том, чтобы усыпить бдительность пользователя и заставить его открыть вредоносное вложение. После открытия запускается процесс инсталляции трояна, который начинает загружать в инфицированную систему другое вредоносное ПО.

«В рамках новой волны распространения Nemucod устанавливает трояны TeslaCrypt и Locky. Они шифруют файлы пользователей и требуют выкуп», -- отметил Питер Станцик, евангелист ESET. Примечательно, что оба вида вредоносного ПО применяют алгоритм шифрования, аналогичный используемым для защиты онлайн-платежей.
В январе наибольшая активность Nemucod отмечалась в Великобритании, Австралии, Канаде и Японии. Согласно данным ESET, в некоторых регионах число обнаружений трояна достигало 75 % от общего объёма детектированных вредоносных программ.
Чтобы не стать жертвами киберпреступников, использующих в своих корыстных целях рассылки с  Nemucod, антивирусные эксперты рекомендуют пользователям регулярно создавать резервные копии наиболее критичных данных данных, игнорировать письма от незнакомых отправителей, а также использовать антивирусное ПО с технологией распознавания ранее неизвестных угроз.
Источник:
esetnod32.ru




CaPa



soner30

Новая модификация шифровальщика CTB-Locker атакует веб-серверы

«Лаборатория Касперского» сообщает о появлении новой версии шифровальщика CTB-Locker: на этот раз вредоносная программа атакует исключительно веб-серверы.
Впервые об CTB-Locker (другое название -- Onion) стало известно ещё летом 2014 года. Этот зловред отличался от других вымогателей тем, что использовал анонимную сеть Tor, чтобы защитить от отключения свои командные серверы. Использование Tor также помогало вредоносной программе избегать обнаружения и блокирования.

И вот теперь появилась более сложная модификация CTB-Locker. Программа зашифровывает файлы в корневых папках веб-серверов и требует в качестве выкупа менее половины биткоина (примерно $150). Если деньги не заплачены вовремя, то размер выкупа удваивается. При этом два файла можно расшифровать бесплатно, но у жертв нет возможности выбрать, какие именно. В случае выполнения требований злоумышленников генерируется ключ для расшифровки файлов.

Пока не ясно, как именно зловред попадает на веб-серверы, но эксперты предполагают, что это может происходить через платформу WordPress, которую веб-серверы часто используют в качестве инструмента управления контентом, либо через её плагины. От атак на веб-серверы страдают не только их владельцы, но и обычные пользователи, которые в результате заражения теряют доступ к необходимому контенту, так как видят страницы в искажённом виде.

Ключ расшифровки хранится на удалённом сервере. Жертвы могут установить контакт со злоумышленником через специальный чат.
В данный момент доступного инструмента расшифровки файлов, закодированных новой версией CTB-Locker, не существует. Между тем, по оценкам, от зловреда пострадали более 70 веб-серверов в десяти странах. Приблизительно четверть из них находится в России.
Более подробную информацию о шифровальщике можно найти здесь.
Источник:
Лаборатория Касперского


В прошивке десятков Android-устройств обнаружен рекламный троян

«Доктор Веб» предупреждает о том, что в прошивках десятков мобильных устройств под управлением Android содержится вредоносная программа Android.Gmobi.1. Кроме того, этот зловред обнаружен в нескольких приложениях от известных компаний.

Android.Gmobi.1 представляет собой специализированный программный пакет (SDK-платформу), который расширяет функциональные возможности Android-приложений и используется как производителями мобильных устройств, так и разработчиками ПО. В частности, этот модуль предназначен для дистанционного обновления операционной системы, сбора аналитических данных, показа различных уведомлений (в том числе рекламы) и осуществления мобильных платежей.
Однако, несмотря на кажущуюся безобидность, Android.Gmobi.1 во многом ведёт себя как типичный троян. В частности, программа собирает и отправляет на управляющий сервер целый ряд конфиденциальных данных: это адреса электронной почты пользователя, текущие географические координаты, сведения технического характера, наличие установленного приложения Google Play и пр.

Основным предназначением Android.Gmobi.1 является демонстрация рекламы, которая может отображаться в панели уведомлений, в виде диалогового окна (в том числе интерактивного), в виде баннера поверх окон других приложений и графического интерфейса ОС. Кроме того, троян может открывать заданную страницу в веб-браузере или в приложении Google Play. Плюс ко всему Android.Gmobi.1 способен автоматически запускать программы, уже установленные на устройстве, а также скачивать приложения по указанным злоумышленниками ссылкам.
«Доктор Веб» обнаружил зловреда в предустановленном системном ПО почти 40 популярных мобильных устройств, а также в приложениях TrendMicro Dr.Safety, TrendMicro Dr.Booster и ASUS WebStorage. Все пострадавшие компании уже оповещены о проблеме и занимаются её решением.
Источник:
drweb.com




CaPa

я вообще эти апдейты вырезаю сразу. они всё равно бесполезны на смартфоне с рутом

soner30

да у тебя смартфон вообще уже забыл когда "родная" прошивка была установлена ))

CaPa

так это и к лучшему! а то кто знает, какую бомбу замедленного действия производитель туда заложил.



CaPa

график изменения цен за какой период? (я давно не следил за биткоином)


soner30

Tor может быстро обнаружить шпионское ПО

ПО можно проверить с помощью открытых криптографических ключей организации или других известных копий приложения. Разработчики проекта Tor усилили защиту программного обеспечения, поэтому теперь браузер может быстро обнаруживать попытки подделать сеть с целью слежения за пользователями.
Специалисты создают систему так, чтобы пользователи могли обнаружить изменение кода и устранить единые точки отказа, сообщает главный разработчик Майк Перри (Mike Perry). Последние несколько лет деятельность Tor Project была сконцентрирована на предоставлении пользователям исходного кода и создании их версий Tor.
ПО можно проверить с помощью открытых криптографических ключей организации или других известных копий приложения. В случае, если правительство или злоумышленник получит ключи, распределенная сеть и ее пользователи смогут обнаружить данный факт и уведомить специалистов о проблеме безопасности. С инженерной точки зрения обзор кода, а также открытый процесс разработки исходника позволяют быстро обнаружить бэкдор.

Потребуются два криптографических ключа для работы поддельной версии браузера без отключения по крайней мере начального уровня безопасности SSL и TLS. Протоколы обеспечивают безопасное соединение между пользователем и серверами проекта.
Также необходим ключ для подписи ПО. Даже в случае получения злоумышленником ключей, пользователи могут проверить кэш ПО и выяснить, имела ли место подделка.

http://www.securitylab.ru/news/480311.php

soner30

Вредонос-вымогатель, написанный на языке Windows PowerShell, обитает в макросах для Word

Программа, написанная на языке Windows PowerShell, уже атаковала крупные организации, в том числе и медицинские. PowerShell -- основа автоматизации и управления конфигурациями Windows, инструмент, использующийся обычно системными администраторами. Он имеет свой собственный язык сценариев, который уже не раз использовался для создания сложных вредоносных программ.


Новая программ-вымогатель, получившая название PowerWare, была обнаружена исследователями из охранной фирмы Carbon Black и распространяется среди жертв с помощью фишинговых писем, содержащих документы Word с вредоносным макросом. Такой способ распространения в последнее время применяется все чаще и чаще.

Команда Carbon Black нашла PowerWare, когда та уже почти достигла очередной своей жертвы: неназванной организации здравоохранения. Жертвами этой атаки уже стали несколько больниц до нее. Приходящие на почту документы прикидывались счетами. При открытии они просили разрешение на редактирование и доступ к данным, утверждая, что это нужно для просмота. В действительности же доступ к редактированию отключает предварительный просмотр и позволяет запускать макросы (по умолчанию эта возмжность отключена).

Если вредоносному коду разрешить запуститься, он открывает командную строку Windows (cmd.exe) и запускает два экземпляра PowerShell (powershell.exe). Первый экземпляр загружает собствено PowerWare с удаленного сервера, а второй -- выполняет скрипт. После этого все происходит по традиционному для вирусов сценарию.

Скрипт генерирует ключ шифрования; использует его для шифрования файлов с определенными расширениями, включая документы, картинки, видео, архивы и файлы исходного кода; отправляет ключ на сервер злоумышленников и генерирует записку с требованием выкупа в виде HTML-файла.

Чтобы скрыть местонахождение своего сервера, хакеры используют сеть Tor. Стоимость лечения сначала составляла 500$, но за пару недель хакеры подняли планку до 1000$. PowerWare -- не первая реализация программы-вымогателя на PowerShell. Исследователи из команды Sophos обнаружили подобный еще в 2013 году -- он, кстати, написан русскоязычными хакерами. Еще один был найден в 2015. он использовал логотип Los Pollos Hermanos из телесериала «Во все тяжкие».

Сама идея использования PowerShell во вредоносных целях не нова, но всплеск начался буквально несколько месяцев назад, и, вероятно, вычислять такие программы будет сложнее из-за популярности PowerShell, особенно в корпоративной среде.



soner30

Злоумышленники рассылают спам-сообщения держателям MasterCard

Компания ESET сообщила о новой волне мошенничества и фишинговой спам-рассылке от имени международной платёжной системы MasterCard.

Отмечается, что адрес отправителя имитирует официальный адрес электронной почты компании MasterCard -- eresumen@masterconsultas.com.ar. Сообщение начинается с обращения «дорогой партнёр», что уже должно вызвать подозрение у пользователя из-за отсутствия персонализации. Далее сообщается, что обслуживание банковской карты приостановлено и для восстановления её работы необходимо посетить сайт финансовой системы и ввести данные карты. В письме указывается подлинный интернет-адрес сайта MasterCard, однако при переходе по ссылке пользователь направляется на поддельный фишинговый сайт, не защищённый безопасным соединением и принадлежащий злоумышленникам. На поддельной странице жертве предлагается ввести данные своей карты, в том числе её номер и CVC-код.


Заполнив анкету и нажав кнопку отправки, пользователь получает сообщение, что доступ к сервисам восстановлен, а киберпреступники получают данные, используя которые можно списывать денежные средства с карты.
Специалисты компании ESET рекомендуют игнорировать неперсонализированные сообщения и подозрительные ссылки.
Источник:
esetnod32.ru


Вверх