Новые угрозы , кибер - преступления,вирусы и тп

Автор soner30, 10-02-2016, 19:46:04

0 Пользователей и 6 Гостей просматривают эту тему.

Вниз

soner30

Хакеры массово блокируют старые Android-смартфоны и требуют выкуп в виде подарочных карт iTunes

Эксперт исследовательской компании Blue Coat Эндрю Брандт зафиксировал волну атак на смартфоны и планшеты под управлением Android. По его словам, для заражения мобильных устройств вымогательским ПО злоумышленники используют набор эксплоитов.



«Впервые на моей памяти набор эксплоитов успешно устанавливает вредоносные приложения на мобильное устройство без каких-либо действий со стороны пользователя», - цитирует Securitylab Брандта.

Исследователь обнаружил новый метод атак, когда после загрузки с веб-страницы вредоносной рекламы с JavaScript устройство на Android инфицируется вымогательским ПО. В ходе атаки на дисплей планшета (исследователь использовал устройство от Samsung на базе Android 4.2.2 с прошивкой Cyanogenmod 10) не выводилось привычное диалоговое окно, запрашивающее разрешения на установку приложений.



Проконсультировавшись с экспертом Zimperium Джошуа Дрейком, Брандт установил, что используемый в ходе атаки JavaScript содержит эксплоит для уязвимости в библиотеке libxslt, утекший после взлома компании Hacking Team. По словам Дрейка, полезная нагрузка эксплоита (исполняемый файл Linux ELF с названием module.so) содержит код инструмента Towelroot, появившегося в 2014 году. Полезная нагрузка ELF в свою очередь содержит код, загружающий и устанавливающий троян-вымогатель.

Некоторые домены, с которых осуществляется атака, были созданы менее месяца назад, однако сама атака началась самое позднее в середине февраля нынешнего года. Используемое злоумышленниками вымогательское ПО Cyber.Police имеет схожие черты с несколькими старыми семействами вымогателей, применяемых еще до появления шифровальщиков. Троян выводит на дисплей сообщение якобы от правоохранительных органов, сообщающее, будто пользователь просматривал в браузере запрещенный контент.



Инфицировав систему, Cyber.Police не шифрует файлы жертвы, а блокирует само устройство, превращая его в «кирпич». За возможность снова пользоваться смартфоном или планшетом требуется выплатить выкуп, предоставив злоумышленникам коды двух 100-долларовых подарочных карт магазина iTunes. Оплата в таком виде весьма необычна для подобных атак. Как правило, вымогатели требуют выкуп в биткойнах или другой криптовалюте.


soner30

Мошенники подписывают пользователей WhatsApp на платные SMS-сервисы

Мошенники придумали новый способ обогащения: они предлагают пользователям WhatsApp активировать функцию видеозвонков в приложении путем указания своего номера на стороннем сайте. После этого со счета жертвы списываются большие суммы за платную SMS-рассылку.



Жертвой мошенников стали пользователи популярного сервиса для обмена сообщениями WhatsApp. О новой схеме обмана рассказали эксперты лаборатории ESET. Как сообщили MacDigger в компании, пользователям мессенджера предлагают активировать функцию видеозвонков.

Появление бесплатных видеозвонков в WhatsApp было анонсировано в конце 2015 года. Пользуясь случаем, злоумышленники публикуют в соцсетях призывы получить доступ к функции уже сейчас. По ссылке из мошеннических постов открывается сайт с инструкцией по активации видеозвонков на iOS, Android, Windows Phone и BlackBerry.

После нажатия кнопки «Активировать видеозвонки» пользователю ставят новое условие: рекомендовать сайт десяти контактам или пяти группам в WhatsApp. Просьбу объясняют необходимостью проверки активности пользователя.



Поделившись мошеннической ссылкой, пользователь получает новые инструкции -- обновить ПО на устройстве. Под видом «новой версии WhatsApp» скрывается подписка на SMS-сервисы. Как отметили в ESET, данные сервисы являются достаточно дорогостоящими и со счета пользователя начинаю списываться немалые суммы.

Пока схема ориентирована на испаноговорящих пользователей WhatsApp, но ее легко можно перенацелить на другие аудитории, включая Рунет, констатируют в ESET.

Аналитики рекомендуют игнорировать подозрительные ссылки в соцсетях и мессенджерах, особенно полученные от неизвестных отправителей, и перепроверять информацию о новых функциях популярных программных продуктов в официальных источниках.



CaPa

мошенники подписывают идиотов.... надо было так называть.

а вообще ЕСЕТ, привет! спасибо за "новости" :)))

soner30

Представлен бесплатный сервис поиска фишинговых доменов
https://www.htbridge.com/radar/
Новый сервис предназначен для определения различной подозрительной или вредоносной активности, связанной с доменными именами. Швейцарская компания High-Tech Bridge запустила бесплатный фишинг-радар -- web-сервис поиска вредоносных доменов, позволяющий оперативно выявить фишинговые домены и проверить доменные имена на предмет тайпосквоттинга и киберсквоттинга. Новый сервис предназначен для определения различной подозрительной или вредоносной активности, связанной с доменными именами, такой как хищение личности, подделка торговых знаков, захват доменного имени или фишинг. На сегодняшний день киберсквоттинг (регистрация «значимых» доменных имен с целью их дальнейшей перепродажи или недобросовестного использования) и связанные с ним мошеннические схемы, является одной из серьезных проблем для интернет-пользователей. Эксперты Всемирной организации интеллектуальной собственности предупреждают о продолжающемся росте связанных с захватом доменов инцидентов. Злоумышленники активно применяют тайпосквоттинг (покупка доменных имен, очень схожих по графическому написанию с адресами наиболее посещаемых сайтов интернета) для компрометации и инфицирования мобильных устройств и компьютеров беспечных пользователей, а также хищения криптовалюты.


soner30

Злоумышленники атакуют российские сайты с помощью программ для тестирования безопасности браузеров

«Лаборатория Касперского» опубликовала информацию о новой серии кибератак на российские и зарубежные сайты. По заявлениям экспертов компании, все взломы были произведены разными кибергруппировками, однако злоумышленники использовали для этого один и тот же легальный инструмент -- фраймворк BeEF, который был создан для повышения эффективности тестирования безопасности браузеров.

Отмечается, что киберпреступники пользуются данной технологией для проведения атак типа watering hole. Фраймворк устанавливается на сайты, которые наиболее часто посещаются потенциальными жертвами, потом с его помощью определяется какими браузерами пользуются нужные пользователи, и используя BeEF злоумышленники похищают данные их учётных записей. Полученные сведения могут использоваться, например, для внедрения дополнительного вредоносного программного обеспечения в скомпрометированные устройства.
Сообщается, что с помощью фраймворка BeEF были взломаны сайты посольства одной из стран Ближнего Востока в Российской Федерации, компании по развитию бизнеса за рубежом, организации по управлению внешней торговлей, а также форум разработчиков игр. Согласно наблюдениям экспертов «Лаборатории Касперского», в последнее время всё чаще для кибератак используются инструменты, находящихся в свободном доступе в Интернете и предназначенные для исследовательских целей. Это эффективнее и дешевле, поскольку атаку намного сложнее обнаружить из-за применения легальных технологий. К тому же вредоносное программное обеспечение, специально предназначенное для взлома сайтов, стоит денег на «чёрном» рынке. Ситуация складывается такая, что даже начинающие киберпреступники, с недостатками ресурсов и опыта, представляют угрозу как для компаний, так и для частных пользователей.

«Легальные инструменты с открытым исходным кодом, предназначенные изначально для проведения тестов на проникновение, и раньше применялись для проведения целевых атак, но теперь это стало трендом, -- говорит ведущий антивирусный эксперт «Лаборатории Касперского» Курт Баумгартнер. -- Фреймворк BeEF особенно популярен среди самых разных кибергруппировок по всему миру. Сотрудникам отделов безопасности следует обратить на это внимание, чтобы принять меры для защиты организаций от атак данного типа».
Узнать более подробную информацию о данном исследовании можно в подробном отчёте.
Источник:
Лаборатория Касперского


soner30

Хакеры используют беспроводные мышки для взлома ПК

http://www.capa.me/forum/index.php/topic,80468.msg133552.html#msg133552
на одном "без башенном сайте ")))
порядочным и культурным людям .....не скажу какой адрес ))
нашел инструкцию к Sniffer - как работает,
https://github.com/RFStorm/mousejack/blob/master/doc/pdf/MouseJack-whitepaper-v1.1.pdf


аппаратные снифферы и их проекты на гитхабе.




условно WiFi Sniffer

Nrf24lu1 NRF24LU1P
https://aliexpress.com/item/NRF24LU1-NRF24LU1P-2-4G-Wireless-Transceiver-USB-Module-Wireless-Module-NEW/32294020974.html

Nrf24lu1 NRF24LU1P с SMA антенной (он же Crazyradio)
https://aliexpress.com/item/Free-Shipping-Hot-Selling-Crazyradio-2-4Ghz-nRF24LU1-USB-radio-dongle-with-antenna-3d-Printer-Accessories/32224256370.html

ZigBee CC2531 Sniffer
https://aliexpress.com/item/Zigbee-usb-dongle-cc2531-cc2530-bag-module-wireless-keyboard/1763694083.html

BlueTooth CC2540 Sniffer
https://aliexpress.com/item/Bluetooth-4-0-CC2540-USB-dongle-support-protocol-analysis-BTool-packet-sniffer/1994730581.html

Программаторы:

CC debugger (Zigbee и Bluetooth)
https://aliexpress.com/item/CC-Debugger-CCxxxx-Bluetooth-ZIGBEE-Wireless-Emulator-Programmer-for-RF-System-on-Chips/32417465960.html

nrfPRO
https://www.aliexpress.com/af/programmer-nRF24LU1.html

USBASP (кастрат nrfPRO дешевле в 10 раз, страшная ....... с перепрошивкой, ужасно медленный, но очень дешевый)
https://aliexpress.com/item/Free-Shipping-2PCS-USBASP-10PIN-TO-6PIN-ADAPTER-New-USBASP-USBISP-AVR-Programmer-USB-ATMEGA8-ATMEGA128/1807010158.html

SMA мелочи
https://aliexpress.com/store/714180


Программы

NRF Sniffer

https://www.nordicsemi.com/eng/Products/Bluetooth-Smart-Bluetooth-low-energy/nRF-Sniffer

SmartRF Protocol Packet Sniffer
http://www.ti.com/tool/packet-sniffer

Smart RF Studio
http://www.ti.com/tool/cc-debugger#Technical Documents

Программы для NRF PRO дебагера
http://danjuliodesigns.com/projects/projects/nrf_prog.html
http://danjuliodesigns.com/products/nrf_prog2/nrf_prog2.html

Прошивка кастрированного программатора, чтобы прошивать NRF модули
http://homes-smart.ru/index.php/oborudovanie/bez-provodov-2-4-ggts/55-programmirovanie-nrf24le1-cherez-usbasp
https://habrahabr.ru/post/208470/
https://habrahabr.ru/post/210974/



Самое ценное Crazy Radio и Python Sniffer
https://wiki.bitcraze.io/
https://forum.bitcraze.io/
https://www.bitcraze.io/crazyradio-pa/

Очень ..... как ценное

https://github.com/derekstavis/nrf24le1-libbcm2835
https://github.com/bitcraze/crazyradio-firmware
https://github.com/RFStorm/mousejack

RFStorm nRF24LU1+ Research Firmware

Описание как это работает
https://github.com/RFStorm/mousejack/blob/master/doc/pdf/MouseJack-whitepaper-v1.1.pdf

https://www.bastille.net/technical-details
https://www.mousejack.com/


CaPa


soner30


soner30

«Лаборатория Касперского» поможет вернуть файлы, зашифрованные CryptXXX


«Лаборатория Касперского» выпустила бесплатную утилиту Kaspersky RannohDecryptor, которая поможет расшифровать файлы, закодированные вымогателем CryptXXX.
Названная вредоносная программа атакует пользователей Windows. Зловред распространяется через веб-страницы, содержащие набор эксплойтов Angler. Любопытно, что процедуру шифрования файлов на всех подключенных к компьютеру накопителях CryptXXX запускает лишь через некоторое время после заражения. Его создатели предусмотрели эту задержку для того, чтобы было сложнее определить, какой именно сайт оказался заразным.

После осуществления кодирования CryptXXX уведомляет пользователя о том, что его файлы зашифрованы с помощью стойкого алгоритма RSA-4096. За возвращение данных злоумышленники требуют заплатить $500 в Bitcoin-эквиваленте.
Однако, как отмечается, заявленный алгоритм шифрования RSA-4096 -- это простое бахвальство со стороны киберпреступников. «Лаборатории Касперского» удалось создать алгоритм восстановления зашифрованных файлов.

Утилита Kaspersky RannohDecryptor позволит вернуть информацию в том случае, если у пользователя осталась (например, на внешнем носителе) оригинальная версия хотя бы одного файла из числа тех, что были «обработаны» CryptXXX. Загрузить утилиту дешифровки можно отсюда.http://media.kaspersky.com/utilities/VirusUtilities/EN/rannohdecryptor.zip?_ga=1.54068328.1165642488.1461729344
Кстати, программа RannohDecryptor изначально создавалась для расшифровки файлов, ставших пищей другого шифровальщика, Rannoh, но по мере появления новых троянов она обрастала дополнительной функциональностью.
Источник:
Лаборатория Касперского





soner30

Злоумышленники используют «Режим бога» в Windows для распространения вредоносного ПО

По данным McAfee Labs, хакеры закрепляют Dynamer в системе, используя функцию God Mode в Windows.
Начиная с Vista, Windows поставляется с «пасхалкой» - так называемым «режимом бога» («God Mode»). Эта функция позволяет создавать папки с особыми названиями, обеспечивающие быстрый доступ к отдельным настройкам компьютера. Как сообщают эксперты McAfee Labs, злоумышленники стали использовать «режим бога» для атак с помощью вредоносного ПО Dynamer.
Получить доступ к размешенным в таких папках файлам Windows Explorer довольно сложно, потому что они открываются не так, как обычные папки, а, скорее, перенаправляют пользователя. По данным McAfee Labs, последний вариант Dynamer устанавливается в одной из таких папок в %AppData%. Вредонос закрепляется в системе, создавая запись в реестре Windows (имя исполняемого файла является динамическим):

ЦитироватьHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe


Данная запись позволяет Dynamer нормально функционировать, однако, если пользователь попытается открыть папку
com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}, он будет автоматически перенаправлен на RemoteApp and Desktop Connections.
Разработчики вредоноса попытались сделать эту директорию постоянной, добавив в начало имени «com4». Как поясняют эксперты, использовать подобное имя в нормальном Windows Explorer и cmd.exe запрещено. Windows будет относиться к такой папке как к устройству, тем самым не давая пользователю удалить директорию.
Как бы то ни было, но избавиться от папки можно. Для этого следует выполнить команду

Цитировать> rd "\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}"
/S /Q.


ПРИМЕРЫ



ЦитироватьGodMode.{ED7BA470-8E54-465E-825C-9971204­3E01C}



CaPa

винда - нескончаемая дыра!
пора на линух уходить.   под мак, чувствую, тоже скоро будет полным-полно вирусни

soner30

Цитата: CaPa от 02-05-2016, 09:05:26
под мак, чувствую, тоже скоро будет полным-полно вирусни
вирусни и так полно )) просто яблочники не подозревают о них)))))

CaPa

но будет ещё больше)
сейчас то популярность уже такая, что майкрософт скоро локти кусать начнёт со своими "говнокомбайнами".

soner30

Хакеры из РФ похитили данные 272,3 млн аккаунтов почтовых служб
Российские хакеры украли и выставили на продажу логины и пароли от 272,3 млн аккаунтов самых популярных сервисов электронной почты. Об этом Reuters рассказал эксперт Алекс Холден, глава компании Hold Securities, которая специализируется на кибербезопасности.

По словам эксперта, это одна из самых крупных баз данных, украденных за последние два года.

Отловить информацию о взломе аккаунтов Холдену удалось после того, как один из русских хакеров стал предлагать на закрытом форуме конфиденциальные данные. Он провел расследование и выяснил, что жертвами хакеров могли стать более 250 млн аккаунтов.

Эксперт отметил, что наибольшие потери от масштабной атаки хакеров понесла Mail.ru -- 57 млн аккаунтов. Пострадали также Yahoo! (40 млн), Microsoft (33 млн) и Google (24 млн).

Однако пресс-служба Mail.ru сообщила, что по результатам случайной выборки в базе нет паролей, подходящих к активным живым аккаунтам.

Холден ранее сыграл важную роль в раскрытии некоторых из крупнейших в мире кибератак, затрагивающих десятки миллионов пользователей. Так, в свое время он первым обнаружил атаки на компанию Adobe, банк J.P.Morgan и розничную сеть торговли Target.


Новый вирус маскируется под обновление Chrome

К сожалению, достаточно часто приходится рассказывать о новых разновидностях вредоносного ПО для Android. Увы, владея смартфоном на Android, которая радует вас своей открытостью, стоит быть осторожным и с подозрением относиться ко всему, что вы видите в браузере, и к тому, что вам предложено сделать со своим смартфоном. Совершенно точно не следует скачивать обновление браузера Chrome откуда-либо, кроме Google Play.


Новое вредоносное ПО можно установить, посетив страницу сайта, который замаскирован под сайт Google. Он предложит вам установить обновление Chrome для Android. После загрузки файла Update_chrome.apk вам будет предложено произвести установку. Она возможна лишь в том случае, если в настройках безопасности вы разрешили установку приложений из неизвестных источников. Как только установка будет выполнена, вредоносная программа начнет сбор информации об истории ваших звонков, переписок, активности в браузере и многое другое. Вся эта информация будет отправлена на сервер злоумышленников.

Данный вирус был обнаружен компанией Zscaler, которая специализируется на безопасности. Ее сотрудники отмечают, что вирус умеет определять, установлено ли на вашем смартфоне антивирусное ПО, и маскироваться таким образом, чтобы не быть обнаруженным. Также, если пользователь открывает Google Play, вирус выводит страницу, на которой от пользователя просят уточнить данные его банковской карты. Скриншот этой страницы отправляется на телефонный номер абонента в России, по данным Zscaler.

Избавить от вируса сможет только полная очистка устройства. Гораздо проще избежать заражения. Стоит отключить в настройках безопасности своего устройства возможность установки приложений из неизвестных источников. Все обновления ваши приложения смогут получать из Google Play, и не стоит соглашаться на альтернативные варианты.


soner30

11-05-2016, 20:17:30 #104 Последнее редактирование: 11-05-2016, 20:48:34 от soner30
Новый троян крадёт документы жертвы

«Доктор Веб» предупреждает о появлении новой вредоносной программы -- бекдора Apper, атакующего компьютеры под управлением операционных систем Microsoft Windows.
Зловред распространяется с помощью дроппера, который представляет собой документ Microsoft Excel, содержащий специальный макрос. Этот макрос собирает по байтам и запускает самораспаковывающийся архив с исполняемым файлом. Последний имеет действительную цифровую подпись компании Symantec. В архив также входит динамическая библиотека, в которой сосредоточена основная функциональность бэкдора.

Троян регистрирует в автозагрузке исполняемый файл, который после своего запуска загружает в память атакуемого компьютера вредоносную библиотеку. Затем исходный файл удаляется.
Вредоносная программа предназначена для хищения документов и шпионажа. После успешного запуска зловред действует в качестве кейлоггера -- фиксирует нажатия клавиш и записывает их в специальный зашифрованный файл. Ещё одна функция Apper -- мониторинг файловой системы. Если на диске компьютера имеется конфигурационный файл, содержащий пути к папкам, состояние которых троян должен отслеживать, он будет фиксировать все изменения в этих папках и передавать информацию на управляющий сервер.

Перед установкой связи с командным сервером бэкдор собирает данные о заражённом компьютере: его имя, версию операционной системы, сведения о процессоре, оперативной памяти и дисках, после чего отсылает полученные сведения злоумышленникам. Затем троян добывает более подробную информацию о дисковых накопителях, которая также передается на управляющий сервер вместе с файлом журнала кейлоггера.
Зловред может по команде отправить злоумышленникам сведения о содержимом заданной папки или указанный киберпреступниками файл, удалить или переименовать какой-либо файловый объект, создать на заражённом компьютере новую папку, а также сделать снимок экрана и отправить его на принадлежащий вирусописателям сервер.
Источник:
drweb.com



В Сети появился дешевый троян-вымогатель
Распространяемый по модели RaaS вредонос AlphaLocker можно приобрести за $65.
В киберпространстве едва ли не каждую неделю возникают новые разновидности вымогательского ПО. На сей раз внимание исследователей безопасности привлек троян-вымогатель AlphaLocker. Самым «привлекательным» во вредоносе оказалась его цена.
AlphaLocker - вредонос, распространяемый по бизнес-модели RaaS (ransomware-as-a-service). Вымогатель можно приобрести непосредственно у разработчика всего за $65 в биткойнах. Оплатив стоимость вредоноса, покупатель получает его копию, программу расшифровки бинарного кода и собственную административную панель. Столь низкая стоимость вымогателя может серьезно увеличить количество его жертв.


Вредонос AlphaLocker шифрует информацию на всех логических дисках компьютера жертвы при помощи алгоритма AES. Согласно описанию вымогателя, он «продолжает шифрование файлов, даже если компьютер выключен». После того, как вредоносное ПО зашифрует информацию на компьютере, жертва получает текстовый файл с требованием выкупа. Сумма оплаты составляет 0,35 биткойнов (около $158). Разработчики вымогателя периодически обновляют его код, что позволяет AlphaLocker избегать обнаружения антивирусами.
AlphaLocker основан на открытом исходном коде EDA2. Проект EDA2 был разработан турецким исследователем Ютку Сеном (Utku Sen). Позднее он выложил исходный код EDA2 в Сеть с образовательной целью. На основе открытого исходного кода ранее был разработан вымогатель Magic.
По предположению специалистов из компании Cylance, вредонос AlphaLocker происходит из России, поскольку его рекламировали на российских форумах. Содержащиеся в некоторых файлах вредоносного ПО данные также говорят в пользу этого утверждения.





Вверх