1. Команда «НАНО Секьюрити» и администрация SafeZone.cc проводят конкурс с ценными призами! Подробности можно узнать в этой теме
    Скрыть объявление

Важно Веб-технологии на службе у Malware и злоумышленников

Тема в разделе "SafenSoft", создана пользователем SNS-amigo, 16 июл 2015.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.906
    Технология взлома CMS: Эпопея продолжается
    Хоть обновляй CMS, хоть не обновляй, это решето было, есть и будет решетом...

    С начала текущего года были взломаны 15 769 сайтов на CMS WordPress. Специалисты компании Sucuri указали эти данные в отчёте за второй квартал сего года. Для ихх получения им пришлось проанализировать более 9 тыс. инфицированных ресурсов, рабботающих на платформе WordPress (78%), Joomla! (14%), Magento (5%) и Drupal (2%).
    hacked.jpg

    55% сайтов на WordPress использовали устаревшие версии ПО, но их далеко обошли сайты на устаревших платформах Magento (96%), Joomla! (86%) и Drupal (84%). Во втором квартале число устаревших версий Magento, Drupal и Joomla! возросло на 2%.
    hacked2.jpg
    На почти 75% всех зараженныхъ сайтах обнаружены бэкдоры, позволяющие злоумышленникам загружать вредПО и продолжать использовать скомпрометированные ресурсыы для дальнейших атак. Многие взломанные сайтыы потом станут промежуточными в инфраструктуре C&C-сети и/или будут используются для хостинга вредПО. В кодах 38% порталов были обнаружены спам-инъекции.
    hacked3.jpg
    Согласно отчету, взлом 22% сайтов на WordPress стал возможен из-за использования уязвимых плагинов, в частности RevSlider (46%), Gravity Forms (27%) и TimThumb (27%). Как отмечается, для всех трёх плагинов обновления не выходили уже больше года, а для TimThumb последний патч вышел ещё в 2011 году. Напомним, 2 года назад исследователи Sucuri обнаружили критическую уязвимость в PHP-скрипте TimThumb. Проблема есть в функции Webshot и позволяет удалённое выполнение кода.

     
    Охотник нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.906
    Технология использования вредоносом сайтов Yahoo и Quora для передачи инструкций ботам

    Исследователи из Palo Alto Network обнаружили вредонос, используемого в двух различных шпионских кампаниях.

    Это бэкдор CONFUCIUS_A, детектируемый с начала 2014 года. Им используется способ генерации IP-адреса C&C-сервера, к которому подключаются боты. Дешевое вредПО обычно использует жёстко прописанные в коде IP-адреса, а более дорогой софт генерирует IP-адреса C&C-серверов с помощью сложных алгоритмов генерации доменных имен.

    Однако CONFUCIUS_A не генерирует трафик на известные вредоносные IP и не использует сложные алгоритмы генерации доменных имен. Исследователи во время анализа деятельности вредоноса наблюдали лишь обычный HTTP-трафик к популярным сайтам.

    Злоумышленники использовали Q&A секции на сайтах Yahoo и Quora для передачи инструкций ботам. Первый вариант вредоноса искал 2 маркеры на Q&A-страницах на сайтах Yahoo и Quora. Между двумя маркерами было 4 или более слова. Вредонос сканировал содержимое страницы, выбирал все слова между двумя маркерами и конвертировал их в IP-адрес, используя таблицу соответствий слов цифрам.

    На скриншоте показан текст, анализируемый вредоносом. Маркеры в тексте: "suggested options are" и "hope it will help". Текст между маркерами: "fill plate clever road" конвертируется вредоносном в IP-адрес 91.210.107.104.
    Confucius_4.png

    conficus-a.png

    Второй образец бэкдора - CONFUCIUS_B, действовал по такому же принципу, но использовал другой алгоритм преобразования слов в цифры.

    CONFUCIUS_A – вредонос, используемый в атаках на ресурсы госорганов Пакистана в 2013 году.
    CONFUCIUS_B – более новый образец вредПО, используемый в целевых атаках хакерской группы Patchwork.
    ИБ-компании, исследовавшие оба инцидента, полагают, что злоумышленники действуют с территории Индии.

    Полную версию отчета с деталями и схемами см. в исследовании Palo Alto Network.
     
    Охотник нравится это.
  3. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.906
    Технология взлома Wi-Fi сеть WPA/WPA2 без брутфорса

    В исследовательских целях создан инструмент по имени FLUXION, который позволяет взломать Wi-Fi сеть WPA/WPA2 без использования брутфорс. Скрипт работает на Kali Linux/Parrot/Arch и совместим с последним релизом Kali (Rolling).

    Как это работает:
    Сканируется сеть.
    Захватывается хендшейк (FLUXION не заработает без правильного хендшейка).
    Используется веб-интерфейс.
    Запускается фальшивый экземпляр FakeAP для имитации исходной точки доступа.
    Запускается процесс MDK3 для деаутентификации всех пользователей целевой сети.
    Запускается фальшивый DNS-сервер для перенаправления всех DNS-запросов на хост с запущенным скриптом.
    Запускается портал на локальном веб-сервере, отображающий страницу, где пользователям необходимо ввести WPA-пароль.
    Каждый введенный пароль верифицируется по захваченному ранее хендшейку.
    Атака автоматически завершается при вводе правильного пароля.

     
    Охотник нравится это.
  4. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.906
    Magecart: от компрометации Magento до OpenCart и Powerfront

    Вредонос Magecart впервые проявил активность в мае 2016 года, когда была зафиксирована его первая малвар-кампания. Тогда вредонос атаковал сетевые магазины под управлением CMS Magento и использующие систему оплаты Braintree и соответственное расширение.

    Аналитики компаний ClearSky и RiskIQ всё прошеднее время продолжали следить за Magecart и теперь, по их данным, поставщики вредоноса расширили функционал своего детища. Его вредоносные скрипты, добавляемые в код скомпрометированного ресурса, адаптированы для атак уже не только Magento, но и платформ OpenCart и Powerfront. Само заражение осуществляется через различные уязвимости в CMS, но порой злоумышленники компрометируют и сам сервер, на котором работает ресурс.
    malwr1.png
    Рис. Страница, инфицированная Magecart

    Атака Magecart проходит в 2 этапа. Сначала Magecart проверяет переход пользователя на страницу оформления и оплаты заказа. После состоявшегося перехода Magecart активирует компонент, содержащий кейлоггер и начинается перехват данных, вводимых пользователем в поля и отсылает их на сервер злоумышленников. Если нужные для злоумышленников поля на странице оформления и оплаты заказа отсутствуют, то Magecart может автомтаически добавить их на страницу, чтобы потом похитить.

    Поставщики Magecart умеют заметать следы, т.к. вредоносные скрипты подгружаются посредством HTTPS, с разных доменов, которые чередуются от одной инфекции к другой. Передача похищенных данных тоже осуществляется через HTTPS.

    Аналитики RiskIQ говорят, что Magecart ворует данные как из магазинов, осуществляющих обработку платежей самостоятельно, так и из магазинов, которые используют для этих целей сторонние решения. К примеру, Magecart может воровать информацию о банковских картах с сайтов, которые пользуются услугами систем оплаты Braintree или VeriSign. От атак Magecart пострадали крупные магазины "Faber and Faber", "Everlast Worldwide" и другие. Полный очет см. в блоге компании RiskIQ.
     
    Охотник нравится это.
  5. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.906
    Eko - новый бич Faсebook

    Исследователи компании Malwarebytes сообщают о новом трояне Eko, атакующем пользователей с/с Facebook. Для распространения Eko злоумышленники используют методы социальной инженерии. Жертва получает в Facebook личное сообщение от пользователя из своего списка контактов, которое содержит фотографию получателя и ссылку, якобы на видео с участием получателя. Фотография сопровождается надписями «Video» и «xic.graphics».

    После нажатия на ссылку никакое видео не открывается, но через некоторое время пользователю приходит уведомление с предложением установить расширение для Chrome. Под видом расширения на систему устанавливается троян Eko, распространяющий назойливую рекламу.

    Eko также запрограммирован похищать учетные данные (в том числе банковские реквизиты) и рассылать фишинговые сообщения пользователям из списка контактов жертвы. Несмотря на предпринимаемые владельцами FB меры, вредонос продолжает активную деятельность.

    В случае инфицирования компьютера трояном необходимо деинсталлировать брраузерное расширение и изменить учетные данные для авторизации в Facebook и других сервисах.

     
  6. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.906
    Подтверждение совершеннолетия в Интернете может оказаться на руку мошенникам

    Предлагаемые методы ограничения доступа несовершеннолетних к коммерческой порнографии в Великобритании могут привести к росту мошенничества с банковскими картами, рассказывает исследователь Алек Маффит в своём блоге. В частности, предлагается подтверждать возраст, используя банковскую карту, т.к. предполагается, что владение кредитной картой исключает из процесса несовершеннолетних пользователей. Среди других вариантов - идентификация через социальную сеть, с предоставлением приложению с таким функционалом персональных данных в очень широком объёме.

    По прогнозам специалистов, сервис подтверждения совершеннолетия (Age verification) выйдет на готовность обслуживать более 25 миллионов человек в течение месяца с момента запуска.

    «Как ни странно, но подобные действия могут пойти на руку киберпреступникам», - рассказывает Светозар Яхонтов, директор по развитию бизнеса компании Safe`n`Sec Corporation. – «Чем больше людей принуждают к использованию банковских карт онлайн - тем привычнее для них будет вводить данные с карты по первому требованию. А ведь злоумышленники уже давно используют вредоносные программы, изображающие или подменяющие легитимные поля для ввода банковских данных. Кроме того, списание минимальных сумм с карточек усложнит работу антифрод-систем».

    «Использование социальных сетей для сбора данных по требованию тоже приучит людей к неправильному поведению в сети», - продолжает Светозар Яхонтов. «В наши дни совершать операции с банковским счётом или кредитной картой желательно с защищённого по максимуму компьютера, будь то банкомат или домашний компьютер с системой сохранения целостности системы. Чем больше данных будет идти извне таких защищённых систем - тем больше вероятность потери их по дороге». >>>
     

Поделиться этой страницей