Новые угрозы , кибер - преступления,вирусы и тп

Автор soner30, 10-02-2016, 19:46:04

0 Пользователей и 1 Гость просматривают эту тему.

Вниз

CaPa

Кстати, знаешь какие-нибудь снифферы для дроида? пробовал вообще пакеты разбирать?

soner30


soner30

В ноутбуках HP найден скрытый клавиатурный шпион


Специалист по безопасности Майкл Минг (Michael Myng) обнаружил, что на сотнях моделей ноутбуков компании HP предварительно установлено ПО, способное записывать каждое нажатие клавиши. Речь идёт о коде в драйверах клавиатуры, используемых в 460 различных моделях, выпущенных компанией начиная с 2012 года.

HP подтвердила, что это ПО является потенциальной уязвимостью, и пообещала выпустить программные заплатки для своих аппаратов серий EliteBook, ProBook, Pavilion, Envy и других. В заявлении производитель отметил: «HP использует сенсорные панели от Synaptics в некоторых мобильных ПК и работает с Synaptics над предоставлением исправлений их ошибки для затронутых систем HP».
Господин Минг обнаружил клавиатурный шпион при анализе ПО для тачпадов Synaptics в процессе выяснения принципов управления подсветкой клавиатуры на ноутбуках HP. Он отметил, что по стандарту потенциально вредоносное ПО неактивно, но злоумышленники или спецслужбы с доступом к системе могут включить его, чтобы вести журнал всех совершаемых нажатий.

Как же такое программное обеспечение вообще попало в драйвер? По словам HP, изначально оно было встроенное в ПО от Synaptics в целях отладки работы контроллеров и выявления ошибок. Компания признаёт, что такая уязвимость может привести к потере конфиденциальности, но ни Synaptics, ни HP в результате ошибки не имели доступа к данным пользователей.
Это вполне логичное объяснение, однако в мае текущего года подобный клавиатурный шпион был обнаружен в предустановленных на ряде моделей ноутбуков HP аудиодрайверах. И тогда компания заявляла, что код был совершенно случайно добавлен в программное обеспечение



CaPa

второй раз на одни и те же грабли...
я бы больше не покупал ноутбуки ХП. Да и не планировал )

soner30

вот не поверишь я как только столкнулся с железом от ХП .... сразу всем своим знакомым говорил не брать это барахло))
причем что ноуты что смарты ......это постоянно головная боль ))

CaPa

От чего же нет? поверю! я и сам послушаю твою рекомендацию - не буду покупать ХП :)

soner30

Windows 10 комплектовалась менеджером паролей с серьёзной уязвимостью


Есть веские причины, заставляющие известных экспертов по безопасности нервничать, когда какое-либо ПО комплектуется сторонними программами: ведь последние могут включать в себя уязвимости, которые компании не всегда способны контролировать. И Microsoft, к сожалению, лишний раз доказала обоснованность подобных опасений.

Исследователь из Google Тэвис Орманди (Tavis Ormandy) обнаружил, что образ Windows 10 комплектовался утилитой для управления паролями, Keeper, которая включала дополнение для браузера с серьёзной уязвимостью: вредоносные веб-ресурсы могли просто красть пароли. Копия ОС господина Орманди -- официальный образ MSDN для разработчиков, но пользователи ресурса Reddit сообщают, что некоторые из них получили копию Keeper с уязвимостью после свежей установки ОС и даже с купленными в магазинах ноутбуками.

Представитель Microsoft сообщил журналистам ресурса Ars Technica, что команда разработчиков Keeper уже выпустила заплатку, закрывающую уязвимость (в ответ на сообщение Тэвиса Орманди, сделанное ранее в частном порядке). Так что пользователи актуального ПО не должны сталкиваться с проблемой. Вдобавок, чтобы стать объектом атаки, необходимо заранее включить дополнение для браузера.
Впрочем, существование дыры по-прежнему ставит важный вопрос: проводит ли Microsoft настолько же тщательные тесты безопасности сторонних приложений, как и своего ПО? Компания не стала давать комментариев на этот счёт. Но вопрос серьёзный, потому что не важно, насколько код самой Microsoft безопасен, если в комплекте могут поставляться приложения со столь серьёзными уязвимостями


CaPa



soner30

Выявлен новый способ проникновения трояна Loki через Microsoft Office


Новый способ проникновения на компьютер вируса Loki обнаружили эксперты из Lastline Labs. Троян использует для внедрения документы программ Microsoft Office.

Выявить вирусную атаку на первом этапе практически невозможно, она осуществляется в обход традиционных вирусных защит и отклоняется как ложноположительная по причине использования в документах Microsoft Office скриплетов, ссылающихся на внешние ресурсы.
Специалисты Lastline Labs исследовали зараженный Excel-файл, который мог загружать вирусы с внешних источников. При исследовании файла не было обнаружено макросов, shell-кодов или DDE. Анализ через службу Virus Total дал низкий уровень обнаружения, что может означать либо ложноположительный результат, либо принципиально новый вид атаки.
В ходе анализа специалисты выяснили, что для обхода традиционных антивирусных программ хакеры применили встроенный URL в скриплеты Office-документов. Пользователь при открытии файла Excel получает уведомление о необходимости обновить внешние ссылки рабочей книги. Эта функция Office разрешает ссылаться на внешние ресурсы, не встраивая их в документ (предназначена данная функция для уменьшения объёма файла и упрощения обновления). Этим и воспользовались злоумышленники -- внешние ссылки отсылают на вредоносные скриплеты и загружают хакерские программы.
В исследуемый Excel-документ хакеры внедрили троян Loki, в функции которого входит похищение учётных данных пользователя. Троян проникает на компьютер при помощи фишинговых писем. Атакующие используют исправленную уязвимость CVE-2017-0199 в Microsoft Office/WordPad, которая разрешает удаленно исполнять код


soner30

Лицевую аутентификацию Windows 10 взломали с помощью фотографии

Функцию Windows Hello, предназначенную для входа в Windows 10 посредством распознавания лица, удалось взломать с помощью распечатанной на принтере фотографии. Немецкая компания из области кибербезопасности SYSS смогла обойти защиту на старых версиях операционной системы. Дыра присутствует в нескольких версиях Windows 10 и на различных устройствах.

SYSS провела опыты на Microsoft Surface Pro 4, на котором было установлено прошлогоднее обновление для Windows 10 -- Anniversary Update. Против взлома не устояла даже специальная система защиты, которую пользователь волен активировать при включении Windows Hello. Компания выяснила, что если эта система отключена на выпущенном ранее в этом году обновлении Creators Update или вышедшем в октябре Fall Creators Update, то Windows Hello всё равно можно обойти.
Даже установки последней версии Fall Creators Update, в которой уязвимость системы защиты Windows Hello исправлена, может быть недостаточно. Если вы настраивали лицевое распознавание на старой версии Windows 10, то вам компьютер по-прежнему уязвим. Поэтому эксперты советуют тем, кто пользуется Windows Hello, перейти в параметры ОС и настроить распознавание лиц заново.

Для взлома нужна распечатанная на принтере фотография владельца учётной записи, сделанная на инфракрасную камеру. Похожая уязвимость ранее была обнаружена в сканере лица Samsung Galaxy S8, однако тогда для разблокировки устройства было достаточно обычного селфи






Модульный Android-троян Loapi способен добывать криптовалюту




«Лаборатория Касперского» изучила сложную вредоносную программу, атакующую владельцев мобильных устройств под управлением операционной системы Android.
Зловред носит имя Trojan.AndroidOS.Loapi. Он имеет модульную архитектуру и может выполнять широкий спектр операций, включая майнинг криптовалюты, проведение DDoS-атак, демонстрацию рекламы и пр.

Трояны семейства Loapi распространяются с помощью рекламных кампаний, а загрузка зловреда осуществляется путём перенаправления пользователя на сайты злоумышленников. При этом вредоносные программы маскируются под мобильные защитные решения и приложения «для взрослых».
После проникновения на устройство троян запрашивает права администратора. В случае отказа зловред повторно выводит окно запроса -- и так до тех пор, пока пользователь не согласится. Loapi может имитировать деятельность антивируса или скрываться в системе.

Вредоносная программа может использовать самые разнообразные модули. Так, рекламный компонент используется для агрессивного показа рекламы на инфицированном устройстве, а также для скрытой накрутки сайтов и аккаунтов в социальных сетях.
Майнер-модуль использует Android-реализацию minerd для добычи Monero (XMR), а SMS-модуль служит для различных манипуляций с текстовыми сообщениями.

Ещё один компонент создаёт прокси-сервер, который позволяет злоумышленникам выполнять HTTP запросы от имени устройства: подобные действия могут производиться в том числе и для организации DDoS-атак.
Веб-краулер служит для скрытого исполнения JavaScript-кода на страницах WAP-биллинга и оформления на пользователя платных подписок. При этом зловред может обойти механизм подтверждения подписки: SMS-модуль скроет сообщение от пользователя, ответит на него нужным образом и затем удалит все следы.




CaPa

Винда решето! 
как вообще можно доверять авторизации по видеокамере?

soner30

В карточках памяти Toshiba Memory FlashAir с интерфейсом Wi-Fi обнаружена уязвимость



На сайте компании Toshiba на днях было опубликовано сообщение, которое может заинтересовать пользователей карточек памяти Toshiba Memory FlashAir.
В этих сменных носителях с интерфейсом Wi-Fi обнаружена уязвимость. Точнее говоря, об обнаружении уязвимости производитель сообщил еще в октябре, пообещав до конца декабря устранить ее.
По словам производителя, уязвимость выявлена в протоколе WPA2 и связана с генерацией ключей для шифрования данных и управлением этими ключами. Воспользовавшись уязвимостью, злоумышленник может перехватить данные, передаваемые между карточкой и другим устройством по беспроводному каналу.

Уязвимость есть в карточках FlashAir W-04. Она устраняется обновлением встроенного ПО с помощью специальной программы W-04 Software Update Tool. Предварительно следует проверить версию встроенного ПО с помощью мобильного приложения для работы с карточкой, которое доступно для ОС Android и iOS, или с помощью настольного приложения. Обновлению подлежит версия 4.00.01 и более ранние версии








soner30

Хакеры маскируют вредоносное ПО под документы, отправленные принтерами HP, Canon и Epson


Исследователи безопасности из компании Barracuda сообщили о новой мошеннической кампании, в ходе которой злоумышленники рассылают вредоносные письма, замаскированные под PDF-документы, якобы отправленные принтерами и сканерами HP, Epson и Canon. Специалисты обнаружили кампанию в ноябре 2017 года. Эксперты зафиксировали несколько миллионов попыток заражения.
Как пояснили эксперты, большинство современных принтеров имеют функцию отправки отсканированного документа на электронную почту. Поскольку данная практика довольно распространена, множество пользователей считают отправленные принтером электронные письма с вложением в виде PDF-документа полностью безопасными, чем и пользуются злоумышленники.
В ходе новой вредоносной кампании мошенники рассылают сообщения, замаскированные под электронные письма якобы от принтеров и сканеров крупных производителей, таких как Canon, Epson и HP. В теме таких писем указано «Scanned from HP,» «Scanned from Epson,» или «Scanned from Canon». Сами же сообщения содержат вложение в виде вредоносного PDF-документа.
По словам исследователей, чтобы избежать обнаружения антивирусными решениями, вредоносное ПО использует различные методы, в том числе эксплуатирует уязвимость в WinRAR, позволяющую изменить расширение файлов. Таким образом программа может успешно маскироваться под файлы с расширением .txt, .jpg и пр.
Вредонос позволяет злоумышленникам следить за пользователем, а также получить контроль над устройством жертвы, в том числе изменять настройки компьютера, просматривать и копировать файлы, получить доступ к подключенным системам и пр


soner30

Хакеры использовали Facebook Messenger для скрытого майнинга Monero

Неизвестные вломщики создали бота, который без ведома может майнить криптовалюту Monero. Для распространения вредоносного кода используется приложение Facebook Messenger, -- сообщаеет TrendLabs.


Бот-майнер называется Digmine. Первые упоминания бота впервые появились в отчёте TrendLabs, касающемся Южной Кореи. Затем он начал распространяться и появился в Азербайжане, Украине, Вьетнаме, Тайланде, Венесуэллле и ряде других стран. Судя по скорости его распространения, скоро он появится много где ещё.

Бот Digmine работает только на десктопной версии Facebook Messenger и содержится в файле «video_xxxx.zip». Если его открыть через Facebook Messenger, то он начинает докачивать остальные компоненты, необходимые для начала майнинга Monero. Далее он устанавливает в браузер Chrome расширение, через которое получает доступ к учётным записям Facebook и передаётся далее.

Специалисты из TrendLabs уведомили Facebook о сложившейся ситуации, поэтому сейчас социальная сеть активно борется с распространением бота-майнера.

Майнить криптовалюту и ничего не подозревать можно и другими способами. К примеру, многие сайты интернет-магазинов используют мощности компьютеров своих посетителей для добычи криптовалюты. Ранее в Google Chrome обнаружили расширение для сокращения ссылок, которое тоже тайно добывало Monero



Обнаружена уязвимость, подвергающая опасности сотни тысяч IoT-устройств


Специалисты по информационной безопасности австралийской компании Elttam нашли способ удаленно запускать вредоносный код на IoT-устройствах, использующих небольшой веб-сервер GoAhead.
Исследователи проверили GoAhead только до версии 2.5.0, но, предположительно, уязвимы все версии до 3.6.5. Технические подробности, касающиеся уязвимости CVE-2017-17562, Elttam опубликовала в своем блоге.
Об обнаруженной бреши Elttam сообщила компании Embedthis, владеющей GoAhead, и вскоре вышел патч. Теперь производители должны его установить на пострадавшую технику. Это займет месяцы, если не годы, а некоторые устройства так и не получат обновление из-за истечения срока службы.
22]Посмотреть изображение в Твиттере
Посмотреть изображение в Твиттере
[/color]
nt][/size][/color]
Цитировать❄️🎄3ncr1ptmas🎄❄️@3ncr1pt3d
CVE-2017-17562: Remote LD_PRELOAD exploitation of GoAhead web server. 
So this runs a hell of a lot of things: printers, network gear, CC cameras. Users of telecoms hosting stuff. Convenience without proper configuration.

What I found on Shodan now:
8:07 - 19 дек. 2017 г.
[color][size][font][color][font]
Информация о рекламе в Твиттере и конфиденциальность[/font][/color]
nt][/size][/color]
Сервис Shodan показывает, что к серверу GoAhead подключены от 500 до 700 тысяч устройств. Elttam опубликовала в своем блоге тестовый код, который другие специалисты могут использовать для проверки уязвимости к CVE-2017-17562


Утечка идентификаторов пользователя через встроенный в браузер менеджер паролей

[/b]
Исследователи из Принстонского университета обратили внимание на применение некоторыми системами аналитики и показа рекламы особенности автозаполнения полей браузером для скрытого определения логина пользователя на текущем сайте.
В частности, на 1110 из миллиона крупнейших сайтов по рейтингу Alexa загружался скрипт, который извлекал данные о email пользователя для использования в качестве идентификатора.
Скрипт пользуется недоработкой во встроенных в браузеры менеджерах паролей, которые автоматически заполняют формы для входа. На страницах, на которых нет штатных форм входа, формируются подставные невидимые формы ввода логина и пароля, после чего проверяется какие данные в них подставил менеджер паролей. Если в качестве логина указан email, то на его основе формируется хэш и отправляется на внешний сервер. Метод позволяет определить и пароль, но выявленные скрипты ограничиваются передачей хэша от email. Так как email уникален и обычно не меняется, хэш от него является отличным идентификатором конкретного пользователя, позволяющего сохранить привязку к профилю активности пользователя независимо от чистки cookie, выбора иного браузера и смены устройства.
Проблеме подвержены менеджеры паролей всех популярных браузеров, но если Firefox, Internet Explorer, Edge и Safari заполняют форму входа сразу после загрузки страницы, то Chrome лишь после клика пользователя в любой части страницы. Примечательно, что способ определения информации через автозаполнения форм известен уже более 10 лет, но раньше использовался только для перехвата данных в рамках XSS-атак, а теперь стал применяться и для отслеживания пользователей легитимными сервисами. На проанализированных сайтах выявлено как минимум два сервиса для отслеживания перемещений (Adthink -- audienceinsights.net и OnAudience -- behavioralengine.com, применяющих рассмотренный способ. Оценить работу метода можно на специально подготовленной демонстрационной странице.

Дополнительно можно упомянуть публикацию компанией Akamai исследования возможности косвенной идентификации пользователя в сети на основании анализа параметров и полей в заголовках протокола HTTP/2, которые отличаются для разных браузеров и операционных систем. Имеющихся различий недостаточно для явной идентификации, но она вполне может использоваться в качестве дополнительного источника информации для классификации пользователей, для определения входа через VPN и прокси, для получения деталей о типе и версии браузера и определения ОС, при указании фиктивных значений User Agent.



Вверх