Новые угрозы , кибер - преступления,вирусы и тп

Автор soner30, 10-02-2016, 19:46:04

0 Пользователей и 2 Гостей просматривают эту тему.

Вниз

Vadia

цены упадут , там и мошенники успокоятся, не верю, что биткоин вечно будет 20к стоить
Пламя...оно манит и притягивает...дает ощущение уюта и тепла...Но стоит к нему неосторожно приблизится и останется лишь горстка пепла...пепла развеянных иллюзий.

soner30

с чего им успокаиваться ?!
если есть лох ,то будет и тот кому нужны его деньги ,даже мелочь!

CaPa

Цитата: Vadia от 13-03-2018, 12:08:09цены упадут , там и мошенники успокоятся, не верю, что биткоин вечно будет 20к стоить
Да он и так уже в районе 8 - 9000 $ крутится уже второй месяц.
А мошенники будут всегда, если есть возможность хоть что-то заработать.  Особенно учитывая что тут ещё и анонимность и лохи инвесторы сами несут деньги )

soner30

14-03-2018, 22:57:10 #573 Последнее редактирование: 14-03-2018, 23:14:35 от soner30
Сотрудники «Лаборатории Касперского» нашли неубиваемый компьютерный вирус


Чуть ли не каждый день во Всемирной паутине обнаруживают несколько новых компьютерных вирусов. И очень редко бывает так, что вирусы невозможно уничтожить. Более того, редкий вирус способен скрываться годами от разработчиков антивирусного ПО. Но, согласно недавнему сообщению специалистов «Лаборатории Касперского», им удалось обнаружить именно такой вирус: его почти невозможно уничтожить, а «работал» он с 2012 года.


Вирусное ПО получило название Slingshot и используется для точечной слежки за пользователями. Вирус может сохранять нажатия клавиш, отправлять скриншоты, перехватывать трафик, пароли и все данные до того, как они будут зашифрованы. Более того, работа вируса не вызывает никаких ошибок в ядре системы. Также удалось выяснить, как вирус внедрялся в систему: происходило это через уязвимость маршрутизаторов MikroTik. Производители уже выпустили новую прошивку, однако в «Лаборатории Касперского» допускают, что вирус может использовать и другие пути внедрения. Проникнув на маршрутизатор, вирус заменяет одну из DDL-библиотек вредоносной, загружая ее в память компьютера при запуске. Таким образом, вредоносная DLL-библиотека запускается на компьютере и подключается к удаленному серверу для загрузки самой программы Slingshot. Как отметили эксперты, вредоносное ПО включает в себя две части: Cahnadr (модуль режима ядра) и GollumApp (модуль пользовательского режима), предназначенные для сбора информации, сохранения присутствия на системе и хищения данных. Как заявили сотрудники «Лаборатории Касперского»,

«Модуль Cahnadr, также известный как NDriver, имеет функции антиотладки, руткита и анализа трафика, установки других модулей и многое другое. Написанный на языке программирования C, Canhadr обеспечивает полный доступ к жесткому диску и оперативной памяти, несмотря на ограничения безопасности устройства, и выполняет контроль целостности различных компонентов системы, чтобы избежать обнаружения системами безопасности».

Высокий уровень защиты самого вируса от обнаружения также заслуживает отдельного упоминания. Например, еще один из его модулей называется Spork. Он собирает информацию об ОС и о том, какие антивирусы на ней установлены. В зависимости от этого, вирус использует разные способы заражения.

«Например, вирус использовал зашифрованную виртуальную файловую систему, которая создавалась в неиспользуемой части жесткого диска. Это решение очень сложное, и Slingshot - чуть ли единственный вирус, который оснащен такой технологией. Более того, каждая текстовая строка в модулях вируса зашифрована».

Кто является автором вируса, на данный момент выяснить не удалось, но, как пишет издание Engadget, исходя из анализа кода, можно сделать вывод, что вредоносное ПО создали, скорее всего, англоязычные программисты. Также сообщается, что основными жертвами хакеров стал ряд правительственных организаций Кении, Йемена, Ливии, Афганистана, Ирака, Танзании, Иордании, Маврикия, Сомали, Демократической Республики Конго, Турции, Судана и Объединенных Арабских Эмиратов






Из App Store удалили календарь для macOS, в который был встроен майнер



Приложение Calendar 2, которое его создатели позиционировали как замену стандартному календарю на macOS, исчез из App Store после того, как в нём появилась функция майнинга криптовалюты, выступавшая как замена премиум-подписке. Вслед за жалобами пользователей и публикацией на Ars Technica разработчик Qbix заявил, что уберёт функцию из «будущих версий приложения». Однако программа вообще исчезла из магазина, из-за чего до сих пор не ясно, нарушала ли она правила сервиса.


До этого в macOS-версии App Store не было ни одного приложения, в котором можно было бы разблокировать платные возможности посредством майнинга криптовалюты. В Calendar 2 был интегрирован майнер Monero, который в прошлом году был задействован на The Pirate Bay -- из-за него каждый посетитель популярного торрент-трекера невольно добывал для его владельцев криптовалюту.

Qbix, в отличие от The Pirate Bay, не скрывала то, что в её приложение встроен майнер. Компания добавила соответствующую функцию в настройки Calendar 2 и заверила, что добыча криптовалюты начнётся только после того, как пользователь выберет нужную опцию.


Вскоре выяснилось, что майнер включается сам по себе и потребляет гораздо больше ресурсов, чем должен. Вместо заявленных 10-20 % приложение затрачивало не менее 40 % вычислительной мощности компьютера. Qbix заявила, что уберёт функцию из своего продукта и «покинет бизнес майнинга».

Apple так и не рассказала, нарушало приложение условия использования App Store или нет. Также по-прежнему не известно, кто решил удалить Calendar 2 из магазина -- его разработчик или сам купертинский гигант






Российских пользователей Google Play атаковали приложения-подделки




«Доктор Веб» предупреждает о появлении в магазине Google Play многочисленных фальшивых приложений с троянскими функциями, которые замаскированы под популярные программы.

Зловреды имеют названия известных приложений, а также схожие с оригиналами значки. В частности, обнаружены подделки под «Qiwi Кошелёк», «Сбербанк Онлайн», «Одноклассники», «ВКонтакте» и НТВ. Кроме того, выявлены фальшивые игры, сборники рецептов и пособия по вязанию.


В общей сложности, как сообщает «Доктор Веб», найдены более 70 вредоносных программ, которые загрузили свыше 270 000 пользователей. Трояны распространяются как минимум четырьмя разработчиками -- Tezov apps, Aydarapps, Chmstudio и SVNGames.


Попав на мобильное устройство под управлением Android, фальшивое приложение соединяется с управляющим сервером, который в ответ может передавать заданную злоумышленниками веб-ссылку. Открытие страницы выполняется с применением WebView непосредственно в самих приложениях, где ссылка на целевой интернет-адрес не видна. При этом содержимое показываемых страниц может быть абсолютно любым. В частности, это могут оказаться поддельные формы входа в учётную запись онлайн-банкинга или социальных сетей. В результате владельцы смартфонов и планшетов рискуют стать жертвами фишинговых атак.

Ситуация ухудшается тем, что на момент написания заметки многие фальшивые приложения продолжали распространяться через площадку Google Play. Можно предположить, что такие программы присутствуют и в неофициальных магазинах Android-приложений












soner30

Новые данные об инциденте с CCleaner указывают на подготовку третьего этапа атаки



Инцидент с CCleaner в прошлом году наделал много шума, и специалисты по безопасности продолжают его изучение. Напомним: 18 сентября 2017 года компания Avast сообщила, что CCleaner был использован киберпреступниками, чтобы распространять вредоносное ПО через установочный файл утилиты. Изменённый файл установки был загружен 2,27 млн пользователей. Вредоносное ПО попало на серверы Piriform, разрабатывающей CCleaner, в период с 11 марта по 4 июля 2017 года до приобретения Piriform компанией Avast 18 июля 2017 года.


Первый этап вредоносного ПО был разработан для сбора нечувствительной информации от пользователей CCleaner, включая, например, имя компьютера, список установленного программного обеспечения и список запущенных процессов. Этот этап включал в себя возможности загрузчика, которые были использованы для установки двоичного кода второго этапа всего лишь на 40 компьютеров из миллионов устройств, заражённых первой волной. То есть атака была крайне избирательной. Недавно Avast опубликовала информацию о том, что мог быть и третий предполагаемый этап атаки. Впрочем, доказательств того, что бинарный файл третьего этапа был загружен на заражённые компьютеры, у компании нет.

Чтобы устранить угрозу из сети Piriform, компания перенесла среду сборки Piriform в инфраструктуру Avast, заменила всё оборудование и перевела персонал на внутреннюю IT-систему Avast. Компания осуществила тщательную проверку инфраструктуры Piriform и компьютеров и обнаружила предварительные версии первого и второго этапов, а также доказательства использования на четырёх компьютерах специализированного инструмента ShadowPad, который применяется некоторыми киберпреступниками. Версия была, похоже, специально разработана для атаки на Piriform и установлена вторым этапом атаки.


Предположительно, за всеми атаками на CCleaner стоит китайская группа хакеров Axiom, которая и является автором ShadowPad. Avast обнаружила и журнальные файлы ShadowPad, которые содержали зашифрованные нажатия клавиш из установленного на компьютерах клавиатурного шпиона, который работал с 12 апреля 2017 года. С помощью ShadowPad киберпреступники могли управлять четырьмя заражёнными системами удалённо, собирать учётные данные и анализировать операции. Помимо клавиатурного шпиона на компьютерах были установлены другие инструменты, в том числе утилиты для похищения паролей и удалённой установки дополнительного ПО.

ShadowPad был установлен на системах сети Piriform, но ни один из компьютеров пользователей CCleaner, похоже, не был заражён. Впрочем, Avast полагает, что это планировалось в рамках третьего этапа. В то время как порядка 2,27 млн клиентов CCleaner и предприятий загрузили заражённый продукт CCleaner, злоумышленники установили вредоносный код второго этапа только на 40 систем, обслуживаемых высокотехнологичными и телекоммуникационными компаниями.






Создатель Linux раскритиковал отчёт CTS Labs об уязвимостях AMD




На днях неизвестная израильская контора CTS Labs опубликовала отчёт об обнаружении свыше дюжины уязвимостей процессоров AMD Ryzen и EPYC. При этом не были соблюдены стандартные процедуры информирования производителя и в целом история оказалась как минимум неоднозначной. Но широкий резонанс она всё же получила, так что среди прочих создатель Linux Линус Торвальдс (Linus Torvalds) решил её прокомментировать.

В ветке обсуждения Google+ он написал: «Когда вы в последний раз видели описание проблем с безопасностью, которые бы в основном сводились к тому, что если заменить BIOS или микрокод процессора зловредной версией, у пользователя может возникнуть проблема с защитой данных? Угу». Другой комментатор развил мысль: «А я обнаружил уязвимости во всём аппаратном обеспечении. Нет безопасных устройств: если у вас есть физический доступ, вы можете просто взять его под мышку и унести. Я уже эксперт по безопасности?».


CTS Labs дала AMD менее суток на исправление выявленных ошибок, которые назвала броскими именами Ryzenfall, Master Key, Fallout и Chimera. В беседе с ресурсом Tom's Hardware израильская фирма пояснила, что пошла на этот шаг по той причине, что хотела скорее проинформировать общественность, а AMD якобы всё равно не сможет исправить уязвимости в течение многих, многих месяцев или даже за год.

Почему CTS Labs могла это сделать? Господин Торвальдс делает более простой и приземлённый вывод: «Для меня вся эта история больше походит на манипулирование курсом акций, чем на советы по безопасности». Да, ошибки были выявлены, но они требуют наличия прав администратора и едва ли не физического доступа к системе -- по мнению Линуса Торвальдса, всё это совершенно не стоит шумихи, которая была поднята.

Это не первый случай. Например, в Linux недавно была выявлена уязвимость Chaos, главным условием для работы которой является наличие у злоумышленника root-пароля. Но если хакер имеет такой пароль, то система уже по сути взломана, остальное -- детали. По мнению господина Торвальдса, сейчас индустрия безопасности научила всех относиться к выводам экспертов некритически, и это сильно вредит. Он полагает, что есть настоящие исследователи безопасности, но большинство спекулируют на самых мелких дырах, придумывая при этом броские имена и создавая специальные сайты -- из-за этого, по мнению создателя Linux, они часто выглядят клоунами.

Господин Торвальдс далеко не в первый раз в грубой форме критикует положение дел в индустрии кибербезопасности из-за того, что важные проблемы часто игнорируются, а мелкие ошибки раздуваются до небес



soner30

20-03-2018, 21:53:53 #575 Последнее редактирование: 20-03-2018, 22:33:45 от soner30
Новый Android-вирус перехватывает звонки в банк



Ежедневно антивирусные компании обнаруживают сотни новых вирусов. И среди них могут быть как вполне безобидные, так и весьма опасные компьютерные программы, которые могут оставить вас без единой копейки на банковском счете. И недавно такой вирус на системе Android засекли специалисты компании Symantec. Уникальность нового вируса в том, что он не проявляет себя до тех пор, пока вы решите позвонить в банк, после чего перенаправляет звонок мошенникам.


Вирус под названием FakeBank, как уже было упомянуто, инфицирует смартфоны на операционной системе от Google и на устройствах под управлением других систем пока замечен не был. Согласно данным экспертов, FakeBank внедряется в смартфоны, анализирует информацию о банковских приложениях и после этого совершает операции под видом финансовых организаций. Также в Symantec сообщили, что на данный момент им удалось обнаружить 22 инфицированных приложения, которые распространяются в основном через альтернативные магазины приложений, а также через социальные сети. Наибольшее количество зараженных устройств зарегистрировано в Южной Корее и азиатском регионе, но специалисты не исключают, что вирус может вырваться за пределы этой области.

Как заявили эксперты, новому вирусу проще всего заражать смартфоны с версиями Android 5 и ниже, так как в них проще получить разрешения, необходимые для обмана пользователя. Ну а рекомендации по безопасности в данном случае вполне стандартные: не пользуйтесь «левыми» магазинами приложений и устанавливайте только самую свежую и, главное, официальную версию операционной системы на ваш смартфон



Современные яхты могут быть уязвимы к атакам хакеров




Новые модели яхт могут быть оснащены роутерами и другими системами, уязвимыми ко взлому, отметил Стефан Герлинг (Stephan Gerling) из компании ROSEN Group во время конференции Security Analyst Summit 2018. По его словам, в современных суднах есть «дыры» вроде работающих по FTP-протоколу роутеров, которые могут использовать злоумышленники.


На яхте могут быть установлены устройство для обслуживания судов, системы автоматической идентификации и контроля двигателя, автопилот, GPS-приёмники, радар, камеры, эхолоты и так далее. Все эти технологии подключены к сети, которой можно управлять с внешнего устройства вроде смартфона. Поэтому у хакеров есть возможность взять под контроль всю яхту целиком.

В рамках демонстрации Герлинг открыл на смартфоне, планшете и компьютере приложение для управления судном, которое подключилось к роутеру и загрузило XML-файл с его полной конфигурацией -- в том числе с именем и паролем беспроводной точки доступа. Поскольку файл передавался по незащищённому FTP-протоколу, злоумышленники могли получить контроль над роутером и сетью. После этого у них появилась бы возможность перехватывать HTTP-ссылки и потоки аудио и видео, а также управлять устройствами на судне.


Помимо этого, был обнаружен аккаунт с root-доступом к маршрутизатору -- его, вероятно, создали разработчики для удалённой технической поддержки. После демонстрации поставщик яхты, на которой проводились опыты, выпустил обновление, исправив ряд уязвимостей -- например, он заменил FTP-протокол на SSH. Но вот учётную запись с root-доступом поставщик так и не удалил.

«В целом, у нас не особо много советов для владельцев яхт, -- говорится в отчёте «Лаборатории Касперского», в котором появилась информация о потенциальной уязвимости. -- Если вкратце, то мы рекомендуем выбирать производителя информационно-развлекательного решения с умом»




В магазине Google Play обнаружены вредоносные криптомайнеры



Специалисты компании Avast обнаружили в магазине Google Play два приложения со встроенными средствами для скрытого майнинга. Эти программы загрузили тысячи владельцев мобильных устройств под управлением Android.


Вредоносный код для добычи криптовалюты Monero скрывается в приложениях SP Browser и Mr. MineRusher. Схема работы майнеров выглядит следующим образом. После запуска программы происходит автоматическое соединение с веб-сайтом apptrackers.org, где размещён CoinHive Java Script для добычи Monero. Как только соединение с доменом выполняется, начинается собственно майнинг.

Важно отметить, что весь процесс проходит незаметно для пользователя -- в фоновом режиме, когда экран выключен, а устройство использует передачу данных или подключено к Wi-Fi. Результатом работы майнера могут стать сбои. Кроме того, происходит быстрый разряд аккумулятора.


Любопытно, что одновременно компания ESET обнаружила ряд криптовалютных зловредов в каталоге программного обеспечения популярной площадки Download.com. Вредоносный код, распространяющийся вместе с легитимными программами, предназначен для кражи биткоинов. Когда пользователь копирует и вставляет адрес своего биткоин-кошелька, чтобы перевести туда средства, зловред перехватывает эти данные и заменяет собственными. Если жертва не заметит подмену, её средства будут переведены на счёт злоумышленников. На сегодняшний день атакующие собрали 8,8 биткоина -- больше 4 млн рублей по курсу на 15 марта




CaPa

риторический вопрос - гугл когда-нибудь наведёт порядок в своём магазине приложений?

soner30

Пользователям YouTube угрожает опасный троян



«Доктор Веб» предупреждает о том, что сетевые злоумышленники используют популярный видеохостинг YouTube с целью распространения опасной вредоносной программы, инфицирующей компьютеры под управлением операционных систем Windows.


Зловред, получивший обозначение Trojan.PWS.Stealer.23012, написан на языке Python. Злоумышленники публикуют ссылки на вредоносную программу в комментариях к видеороликам на YouTube. Многие из таких роликов посвящены использованию жульнических методов прохождения игр с применением специальных приложений. Как раз за такие программы и другие полезные утилиты злоумышленники и выдают трояна.

При попытке перейти по указанной ссылке на компьютер жертвы загружается самораспаковывающийся RAR-архив с вредоносным кодом. После его запуска происходит инфицирование ПК, и зловред приступает к работе.


Главной задачей трояна является сбор конфиденциальной информации. Вредоносная программа похищает сохранённые логины/пароли из браузеров, копирует файлы с рабочего стола, делает снимки экрана.

Полученная таким образом информация упаковывается в архив spam.zip, который вместе с данными о расположении заражённого устройства отправляется на сервер злоумышленников. В результате, преступники могут получить доступ к учётным записям жертвы в социальных сетях и различных веб-сервисах, а также завладеть сведениями персонального характера





Письма с фишинговыми ссылками -- самый эффективный метод социальной инженерии




Компания Positive Technologies изучила эффективность атак с применением методов социальной инженерии: полученные результаты представлены в подробном отчёте.


Исследование говорит о том, что киберпреступники всё чаще используют методы социальной инженерии для проникновения в инфраструктуру организации при целевой атаке. Дело в том, что в системе защиты практически любой сложности слабым звеном остаётся именно человеческий фактор.

В ходе анализа защищённости корпоративной инфраструктуры эксперты имитировали активность хакеров и отправляли сотрудникам компаний сообщения, содержащие вложенные файлы, ссылки на веб-ресурсы и формы для ввода паролей. Оказало, что примерно шестая часть -- 17 % -- таких нападений в реальной жизни могли бы в итоге привести к компрометации компьютера сотрудника, а впоследствии -- и всей корпоративной инфраструктуры.


Самым эффективным методом социальной инженерии оказались сообщения с фишинговой ссылкой: по ней перешли 27 % получателей. Пользователи невнимательно читают адрес или даже не утруждают себя его проверкой, сразу переходя на поддельный сайт.

Для повышения эффективности атаки злоумышленники могут комбинировать различные методы: в письме одновременно может присутствовать и вредоносный файл, и ссылка на сайт с набором эксплойтов и формой для ввода пароля.

Исследование показало, что эффективность рассылок от лица поддельных компаний снижается: на долю таких писем пришлось 11 % потенциально опасных действий. С другой стороны, если сообщение приходит от имени реальной компании и реального человека, вероятность успеха взломщиков резко возрастает (33 %).





soner30

Уязвимость в камере iOS может направить пользователей на вредоносные сайты



Уязвимость в считывателе QR-кодов, который встроен в приложение камеры на iOS, может без спроса направлять пользователей на вредоносные веб-сайты. Об этом сообщает Infosec.



Начиная с iOS 11, владельцы iPhone могут просто навести смартфон на QR-код и он будет считан. В случае, если в QR встроен URL какого-либо сайта, iOS должна показать адрес ссылки и спросить, желает ли пользователь перейти по ней.

Infosec обнаружил, что систему можно легко обмануть: она будет отображать один URL-адрес, но посещать другой. Все происходит так: пользователь считывает QR-код, iOS спрашивает, нужно ли перейти, например, на facebook.com, владелец дает свое согласие, а в Safari открывается совсем другой сайт.

Для того, чтобы на себе испытать ошибку, нужно проделать все вышеперечисленные действия с этим QR-кодом:



Вместо facebook.com должен открыться портал https://infosec.rm-it.de/. Проблема все еще не устранена и присутствует, как минимум, в iOS 11.2.1. Как сообщается, Apple узнала о сбое еще 23 декабря 2017 года, но так и не исправила его.

iOS 11 -- мобильная операционная система Apple, преемник iOS 10. ПО было представлено на WWDC 2017 года, релиз состоялся 19 сентября 2017 года. Самой новейшей на данный момент версией является iOS 11.2.6.



В macOS High Sierra обнаружили новую ошибку, которая показывает пароли зашифрованных дисков



Пользователи обнаружили ошибку в безопасности macOS High Sierra 10.13.1. С помощью простых действий можно посмотреть пароли от зашифрованных дисков APFS, сообщает 9to5Mac.
Ошибка работает с ранее незашифрованными дисками APFS, которые были преобразованы в зашифрованные. Проблема присутствует в macOS High Sierra 10.13.1 и более ранних версиях. В последних сборках системы её исправили.

Для просмотра паролей надо ввести команду в терминале:

log stream -info -predicate 'eventMessage contains "newfs_"'

Хотя эта ошибка не такая серьёзная, как проблема с root-доступом, когда любой человек мог посмотреть и изменить файлы в системе, тем не менее это серьёзная дыра в безопасности. В конце февраля 2018 года разработчик обнаружил ошибку в файловой системе APFS macOS High Sierra, которая приводит к потере данных.

Apple работает над обновлением macOS 10.14, в котором помимо улучшения производительности обещают исправить некоторые ошибки безопасности. Будем надеется, что Apple продолжит устранять уязвимости, прежде чем их обнаружат пользователи.


CaPa

:) оххх. всё, я окончательно убедился в том, что это решето :thanx

soner30


В Windows 7 появилась более серьёзная уязвимость после выпуска патча от Meltdown


Microsoft выпустила патч для Windows 7 и Windows 2008 R2, который должен был окончательно устранить уязвимость Meltdown, но создал более серьёзную проблему. Об этом сообщили в блоге Pentestit на «Хабрахабре».
Проблема затрагивает 64-битную Windows 7 и Windows 2008 R2, которые получили обновление 2018-01 или 2018-02. Уязвимость не затронула системы, которые либо не обновлялись с декабря 2017 года, либо, если был установлен патч 2018-03.

Из-за ошибки в обновлениях 2018-01 или 2018-02, любое приложение может читать содержимое ядра и записывать свои данные. Уязвимость обнаружил шведский эксперт по безопасности Ульф Фриск. По его словам, исправление Microsoft случайно перевернуло бит, который контролирует права доступа для памяти ядра. В обновлении 2018-03 эту ошибку исправили.

Уязвимость Meltdown была обнаружена в конце 2017 года, хотя существовала в процессорах Intel с середины девяностых. Она позволяет получить доступ на чтение памяти, используемой ядром операционной системы.



Рекламный вирус в Android-приложениях заразил не меньше миллиона устройств



Киберпреступникам удалось установить на сотни тысяч устройств под управлением Android вредоносное ПО, спрятав его в нескольких приложениях. Вирус попал в Google Play в обличье семи программ -- шести сканеров QR-кодов и одного «умного компаса».

После установки приложения должно было пройти шесть часов, прежде чем оно начнёт показывать на весь экран вредоносную рекламу, открывать навязчивые объявления на интернет-страницах и присылать уведомления с подозрительными ссылками.

Предположительно, вирус под названием Andr/HiddnAd-AJ, обнаруженный SophosLabs, заразил устройства как минимум миллиона пользователей. Эта цифра может быть гораздо больше -- одно из приложений было загружено 500 тысяч раз, прежде чем его удалили из Google Play.

При первом запуске заражённое приложение отправляет запрос на сервер злоумышленников, чтобы получить необходимую конфигурацию. Чтобы это скрыть, в первые несколько часов после установки программа не производит никаких вредоносных действий.


После этого приложение получает доступ к списку ссылок, сообщений и иконок, которые вскоре начинают захламлять смартфон жертвы. Вирусу «помогает» специальный код, замаскированный под обычную библиотеку Android.

В дополнение к стандартным компонентам злоумышленники оснастили приложения «графической» секцией. Она выглядит невинно, но содержит инструкции по получению всей информации и файлов для запуска вредоносной рекламы.

SophosLabs уведомила Google о проблеме, и та удалила приложения с вирусами из магазина. Несмотря на то, что калифорнийскому гиганту самостоятельно не удалось выявить вредоносный код в этих приложениях, SophosLabs рекомендует загружать программы только из Google Play.








CaPa

"да не уязвимость это", кричали агента АНБ )


soner30

Исследователи обнаружили ещё одну Spectre-подобную атаку BranchScope



Команда учёных из четырёх университетов США обнаружила новый вариант атаки по сторонним каналам (side-channel attack), которая использует особенности спекулятивного исполнения в современных процессорах для извлечения важных данных из процессоров пользователей. По сути речь идёт об ещё одном варианте Meltdown- и Spectre-подобных атак, о которых общественность узнала в самом начале года.

Впрочем, специалисты в своём исследовании отмечают, что в отличие от предыдущих уязвимостей, их метод атакует новую секцию процесса спекулятивного исполнения команд. Уязвимость получила имя BranchScope, потому что наиболее сходна со Spectre CVE-2017-5715 (branch target injection -- целевое внедрение в ветвь).



BranchScope позволяет злоумышленникам направить конвейер спекулятивных расчётов по нужному им пути для получения доступа к определённым областям памяти процессора и извлечения данных, доступа к которым в нормальных условиях у них нет. Уязвимость в целом работают похоже с CVE-2017-5715, но последняя нацелена на атаку буфера адресов ветвлений (Branch Target Buffer), который является компонентом кеша для операций прогнозирования ветвлений. В свою очередь BranchScope атакует предсказатель направленного ответвления (directional branch predictor) -- процесс, который решает, какие спекулятивные операции выполняются.

Учёные отмечают, что BranchScope -- первая атака по сторонним каналам, которая нацелена непосредственно на предсказатель ветвлений, и что она может использоваться в том числе для извлечения содержимого, хранящегося в анклавах SGX, наиболее защищённых областях процессоров Intel. Исследовательская группа уже успешно проверила свой метод и доказала, успешное извлечение данных из последних чипов Intel, включая Sandy Bridge, Haswell и Skylake. Команда заявила, что атака может быть запущена из пользовательского пространства (без прав администратора) и имеет коэффициент ошибок менее 1 %.

Специалисты также заявили, что поскольку речь идёт о новой атаке, в настоящее время нет никаких заплаток против BranchScope, а исправления против Spectre неэффективны. Впрочем, по их словам, закрыть уязвимость можно как аппаратными, так и программными средствами. Но в своём заявлении Intel утверждает обратное:

«Мы работаем с этими исследователями и определили, что метод, который они описывают, аналогичен ранее известным вариантам атак по сторонним каналам. Мы ожидаем, что существующие программные исправления для известных уязвимостей такого рода, такие как использование криптографии с защитой от стороннего канала, будут также эффективны против метода, описанного в этом документе. Мы считаем, что тесное партнёрство с исследовательским сообществом является одним из лучших способов для защиты клиентов и их данных, и высоко ценим работу этих исследователей».

Помимо Meltdown, Spectre и теперь BranchScope, недавно были обнаружены и другие варианты атак по сторонним каналам: SgxSpectre, MeltdownPrime и SpectrePrime.




Производители сами встраивают вирусы в смартфоны



Сотрудники "Доктор Веб" выяснили, что во многие относительно популярные смартфоны производители сами встраивают вирусы. Об этом заявил генеральный директор компании Борис Шаров.



"Доктор Веб" занимается разработкой антивирусов, а также периодически проводит различные исследования, связанные с этой отраслью. В ходе проверки было рассмотрено множество смартфонов, а встроенные вирусы шали в более, чем 40 моделях.

"Пользователи сообщили нам о том, что в их телефоне наш антивирус нашел вредоносное программное обеспечение. После проведенного анализа мы поняли, что оно находится в системной области, куда никакой вирус не может попасть извне, а может быть только заложен на этапе производства", -- сообщил Шаров.

Что интересно, проблемы были обнаружены только в китайских смартфонах с системой Android. Среди них такие устройства, как Leagoo, Zopo Speed 7 Plus, UHANS A101, Doogee, Umi London, Tesla SP6.2, Haier T51 и Cherry Mobile Flare. Они не очень известны на территории РФ, но в большей части остального мира ими активно пользуются.

Конечно, эта информация не только повлияет на репутацию производителей, но и на безопасность большого количества пользователей. Стоит понимать, что помимо вышеназванных телефонов, с такой же проблемой могут быть и другие.

Согласно словам Шарова, найденные вирусы были способны сотворить со смартфонами что угодно: установить любую программу, украсть любые данные, передать всю доступную на гаджете информацию третьем лицам


soner30

Сотрудники Facebook читают сообщения пользователей ради их безопасности



Несмотря на и без того сложное положение сотрудники Facebook смогли усугубить ситуацию, признавшись в том, что время от времени читают переписки пользователей соцсети.




Все сообщения, отправленные через приложение Messenger или в веб-версии Facebook, сканируются ботом. Он проверяет содержимое чатов на соответствие правилам соцсети и только после этого разрешает их отсылку. Если бот решит, что какое-то из сообщений может нести угрозу, то оно автоматически попадает в руки модераторов и уже они решат судьбу переписки.

«Мы разработали этот инструмент, чтобы мгновенно предотвращать любое неприемлемое поведение в соцсети и мессенджере», - добавил один из представителей Facebook.

Разработчики Facebook Messenger настаивают на том, что беседы в чатах остаются конфиденциальными и никогда не используются с целью создания рекламных профилей для каждого пользователя. Тем не менее в мессенджере компании не работает сквозное шифрование, как на других платформах вроде Telegram и iMessage, что автоматически делает его менее безопасным и приватным.

Многим людям тяжело отказаться от Facebook из-за большой аудитории соцсети, но сотрудники корпорации продолжают давать поводы поскорее сбежать от них.

Ранее проект Марка Цукерберга уличили в утечке данных 50 миллионов пользователей, которые использовались сторонней аналитической фирмой. Позднее выяснилось, что были задействованы данные 87 миллионов пользователей. В связи с этим сотрудникам компании пришлось создать упрощенный инструмент для удаления персональных данных и публично извиниться за свои действия


Вверх