Новая фишинговая кампания использует специально созданные текстовые файлы CSV для заражения устройств пользователей вредоносным ПО BazarBackdoor.
Файл значений, разделенных запятыми (CSV), представляет собой текстовый файл, содержащий строки текста со столбцами данных, разделенными запятыми. Во многих случаях первая строка текста является заголовком или описанием для каждого столбца.
Например, ниже показан очень простой текстовый файл CSV, содержащий столицы некоторых штатов США. Обратите внимание, как запятые разделяют каждый столбец данных (штаты и столицы).
State,Capital
Alabama,Montgomery
Alaska,Juneau
Arizona,Phoenix
Arkansas,Little Rock
California,Sacramento
Colorado,Denver
Connecticut,Hartford
Delaware,Dover
Florida,Tallahassee...
Поддерживаемая государством иранская хакерская группа, отслеживаемая как APT35 (также известная как Phosphorus или Charming Kitten), в настоящее время развертывает новый бэкдор под названием PowerLess, разработанный с использованием PowerShell.
Согласно отчету, опубликованному сегодня командой Cybereason Nocturnus, группа угроз также использовала ранее неизвестное вредоносное ПО для развертывания дополнительных модулей, в том числе похитителей информации и кейлоггеров .
Бэкдор PowerLess имеет зашифрованные каналы связи управления и контроля, позволяет выполнять команды и убивать запущенные процессы на скомпрометированных системах.
Он также избегает обнаружения, работая в контексте приложения .NET, что позволяет ему скрыться от...
Поддерживаемая Ираном хакерская группа MuddyWater проводит новую вредоносную кампанию, нацеленную на частные турецкие организации и государственные учреждения.
Эта группа кибершпионажа (также известная как Mercury, SeedWorm и TEMP.Zagros ) была связана в этом месяце с Министерством разведки и безопасности Ирана (MOIS) Киберкомандованием США (USCYBERCOM).
Хакерской группе приписывают атаки на организации в Центральной и Юго-Западной Азии, а также на многочисленные государственные и частные организации из Европы, Азии и Северной Америки в секторах телекоммуникаций, правительства (ИТ-услуги), нефтяной и авиационной промышленности .
При проведении атак злоумышленники используют различные типы файлов, такие как файлы PDF, XLS и...
Исследователи из Университета имени Бен-Гуриона (Израиль), Университета Лилля (Франция) и Университета Аделаиды (Австралия) разработали новую технику идентификации устройств пользователя через определение параметров работы GPU в web-браузере. Метод получил название "Drawn Apart" и основан на использовании WebGL для получения профиля производительности GPU, позволяющего значительно повысить точность пассивных методов отслеживания, работающих без применения Cookie и без сохранения идентификатора на системе пользователя.
Методы, учитывающие при идентификации особенности отрисовки, GPU, графического стека и драйверов использовались и ранее, но они ограничивались возможностью разделения устройств только на уровне разных моделей видеокарт и...
Белорусские хакеры впервые применили вирус-шифровальщик, чтобы оказать давление на власть. Это инновационный подход в политике.
Представитель группы Telegram «Кибер Партизаны» объяснил, что хакерская атака была направлена на учреждения и государственные компании в Беларуси. Ее цель – оказание давления на белорусскую власть. Применялась программа-вымогатель, шифровальщик.
Белорусские активисты утверждают, что получили доступ к сети государственной железнодорожной компании страны.
Что хотят «Кибер Партизаны»
Цель состоит в том, чтобы освободить политических заключенных и предотвратить вторжение российских войск в Беларусь и использование страны для интервенции в Украину.
«Кибер Партизаны» написали в Телеграме: «БелЖД по команде...
Популярный WordPress-плагин Essential Addons for Elementor, который в настоящее время используется более чем на миллионе сайтов, содержит критическую уязвимость, приводящую к удалённому выполнению кода. Затронутые версии — 5.0.4 и более поздние.
Брешь позволяет неаутентифицированному пользователю загрузить PHP-файл на сервер и выполнить код на целевом сайте. Проблема кроется в том, как вводимые пользователем данные используются внутри функции «include», включённой в ajax_load_more и ajax_eael_product_gallery.
Единственное условие для успешной атаки — наличие на сайте рабочих виджетов «dynamic gallery» и «product gallery». Специалисты привели кусок кода, использующий описанную брешь,
Исследователь Вай Ян Мо обнаружил уязвимость 25...
Исследователь решил не сообщать об уязвимости Microsoft, поскольку компания долго тянула с выплатой денег за его предыдущую находку.
В рамках январского «вторника исправлений» компания Microsoft исправила опасную уязвимость повышения привилегий, PoC-эксплоит для которой доступен в Сети. Уязвимость уже эксплуатируется в атаках высококвалифицированными хакерскими группировками.
Эксплоит был опубликован учредителем и гендиректором компании Privacy Piiano Гилом Дабой (Gil Dabah), обнаружившим уязвимость еще два года назад. По словам Дабы, он решил не сообщать о своей находке Microsoft, поскольку получить деньги в рамках ее программы вознаграждения за обнаруженные уязвимости оказалось очень сложно.
«Причина, по которой я не раскрыл ее, –...
Связанные с Россией хакеры, известные как «Гамаредон» (также известные как «Армагеддон» или «Шукворм»), были замечены в развертывании восьми пользовательских двоичных файлов в операциях кибершпионажа против украинских организаций.
Считается, что эта хакерская группа управляется непосредственно российской ФСБ (Федеральной службой безопасности) и несет ответственность за тысячи атак в Украине с 2013 года.
Исследователи из команды Symantec Threat Hunter, входящей в состав Broadcom Software, проанализировали восемь образцов вредоносного ПО, использованных Gamaredon против украинских целей в недавних атаках, которые могут предоставить защитникам важную информацию для защиты от продолжающихся волновых атак .
Файлы, использованные в...
Исследование, проведенное в Институте наук и технологий Кванджу, Южная Корея, показало, что натуральный шелк можно использовать для создания устойчивых к взлому цифровых систем безопасности. Уникальность генерируемых ключей достигается за счет непредсказуемого изменения интенсивности света, проходящего сквозь слой неупорядоченных природных волокон.
Предложенная исследователями концепция оптической ФНФ (физически неклонируемой функции, PUF) выгодно отличается от аналогов тем, что ее реализация не требует громоздкого устройства считывания — специальных линз, дополнительного источника когерентного света. На брутфорс ключа в этом случае, по оценкам, уйдет 5x1041 лет.
Новаторский метод использует хаотичную дифракцию, возникающую в...
Исследователь в области кибербезопасности опубликовал подробности эксплойта для уязвимости повышения прав в системе Windows. По словам специалиста, баг позволяет получить привилегии администратора в Windows 10.
Для успешной эксплуатации у злоумышленника должен быть хотя бы ограниченный доступ к целевому устройству. После этого он сможет повысить свои права и продвигаться по сети латерально, создавать новых администраторов и выполнять команды с высокими привилегиями.
Известно, что уязвимость затрагивает все версии Windows 10, на которых не установлен набор патчей, который вышел в январе 2022 года. Проблема в безопасности получила идентификатор CVE-2022-21882 и представляет собой обход заплатки для бреши с номером CVE-2021-1732.
На...
Обнаружена масштабная кампания банкера Chaes, ради которой были скомпрометированы около 800 сайтов на WordPress. Троян атакует преимущественно бразильских пользователей, и в своих атаках задействует пять вредоносных расширений для браузера Chrome.
Активность Chaes обнаружили эксперты компании Avast, которые сообщают, что новая кампания вредоноса стартовала в конце 2021 года. Исходно малварь была обнаружена еще в 2020 году, аналитиками компании Cybereason, и тогда (как и сейчас) она была нацелена на клиентов банков Banco do Brasil, Loja Integrada, Mercado Bitcoin, Mercado Livre и Mercado Pago.
Теперь исследователи рассказывают, что атака начинается, когда жертва посещает один из взломанных сайтов. Там пользователь видит всплывающее окно...
Брокер эксплойтов Zerodium объявил о повышении вознаграждения до 400 000 за уязвимости нулевого дня, которые позволяют удаленное выполнение кода (RCE) в почтовом клиенте Microsoft Outlook.
Новая выплата не является постоянной, говорится в коротком твите компании, но дата окончания подачи заявок еще не разглашается.
Ожидаются эксплойты с нулевым кликом
Обычная награда Zerodium за уязвимость RCE в Microsoft Outlook для Windows составляет 250 000 долларов, и ожидается, что она будет «сопровождаться полнофункциональным и надежным эксплойтом».
За 400 000 долларов Zerodium ожидает эксплойт, который обеспечивает удаленное выполнение кода без какого-либо взаимодействия, так называемый «нулевой щелчок», когда почтовый клиент Microsoft получает...
Ее эксплуатация позволила злоумышленникам использовать службу для отправки вредоносов пользователям Windows.
Исследователь в области кибербезопасности Риган Ричард Джаяпол из Trustwave SpiderLab обнаружили уязвимость ( CVE-2020-0696 ) в клиенте Microsoft Outlook для macOS. Уязвимость использовалась злоумышленниками в ходе вредоносной кампании для распространения вредоносных программ среди пользователей Windows.
В ходе вредоносной кампании преступникам удалось обойти систему безопасности электронной почты. Специально созданный парсинг вредоносных ссылок в системе защиты оказался ненадежным. По словам эксперта, проблема связана с анализатором ссылок систем безопасности электронной почты, который не может идентифицировать электронные...
Публикация исходного кода поставила под угрозу атак миллионы маршрутизаторов и IoT-устройств.
Исходный код вредоносного ПО BotenaGo опубликован на web-сервисе GitHub. Под угрозой оказались миллионы маршрутизаторов и IoT-устройств.
По словам специалистов из AT&T Alien Labs, загрузка исходного кода на GitHub «потенциально может привести к значительному увеличению числа новых вариантов вредоносных программ, поскольку разработчики смогут использовать исходный код и адаптировать его для своих целей
Alien Labs прогнозирует появление новых кампаний, основанных на вариантах BotenaGo и нацеленных на маршрутизаторы и IoT-устройства по всему миру. Согласно данным платформы VirusTotal, в настоящее время только 3 из 60 антивирусных решений...
Эксперты зафиксировали новые кампании киберпреступников, распространяющих вредоносные программы FluBot и TeaBot. Злоумышленники используют типичные приёмы смишинга (СМС-фишинг) и вредоносные Android-приложения в атаках на пользователей из Австралии, Германии, Польши, Испании и Румынии.
В СМС-сообщениях операторы кампаний прибегают уж совсем к избитым схемам. Пользователь получает приблизительно следующий текст: «Это ты на этом видео?». Также встречаются фейковые обновления браузера и якобы уведомления от голосовой почты.
С декабря 2021 года команда Bitdefender Labs перехватила более ста тысяч вредоносных СМС-сообщений. Это указывает на то, что киберпреступники неплохо разгулялись по масштабу. Причём интересно, что для пользователей...
«Лаборатория Касперского» рассказала о расценках на конфиденциальные данные россиян в даркнете. Например, скан паспорта с ИНН можно приобрести в русскоязычном сегменте даркнета в среднем за 100 рублей, а пакет со сканом паспорта, селфи с паспортом, ИНН, СНИЛС обойдётся в 300 рублей и дороже.
Источник изображения: Pixabay
Компания Opinium провела по заказу «Лаборатории Касперского» опрос, посвящённый цифровым привычкам пользователей, в результате которого выяснилось, что 30 % российских респондентов выкладывали в социальных сетях личную информацию о себе, в частности номер телефона, домашний адрес или место работы.
Каждый десятый пользователь делился в сетях конфиденциальными данными, включая документы, о чём сожалел впоследствии...
Киберпреступная группировка REvil (Sodinokibi) даже не думает останавливаться после ареста десятка участников в России. Об активности злоумышленников сообщают исследователи из компании ReversingLabs, продолжающие наблюдать за деятельностью популярной кибергруппы. Прошло около двух недель с момента задержания членов REvil. Напомним, что сотрудники ФСБ России провели следственные мероприятия по 25 адресам, а под арест попали 14 операторов шифровальщика.
Москве за последние год-два часто вменяли попустительство в отношении кибергруппировок, однако задержание членов REvil и другой группировки — The Infraud Organization продемонстрировало желание Кремля бороться с преступностью в цифровом пространстве.
Тем не менее, как отметили в...
Аналитики угроз Microsoft обнаружили крупномасштабную, многоэтапную фишинговую кампанию, в ходе которой украденные учетные данные использовались для регистрации устройств в целевой сети и их использования для рассылки фишинговых электронных писем.
Как подчеркивается в отчете, атаки проявлялись только через учетные записи, не защищенные многофакторной аутентификацией (MFA), что упростило их взлом.
Злоумышленник развернул атаки в два этапа, первый из которых был предназначен для кражи учетных данных электронной почты получателя, заманивая их электронными письмами на тему DocuSign, которые призывали просмотреть и подписать документ.
Приманка DocuSign отправлена в первой волне атаки
Источник: Microsoft
Встроенные ссылки перенаправляют...
Поддерживаемая Северной Кореей хакерская группа Lazarus добавила клиент Центра обновления Windows в свой список двоичных файлов, живущих за пределами земли (LoLBins), и теперь активно использует его для выполнения вредоносного кода в системах Windows.
Новый метод развертывания вредоносного ПО был обнаружен командой Malwarebytes Threat Intelligence при анализе январской фишинговой кампании, выдаваемой за американскую компанию по безопасности и аэрокосмической отрасли Lockheed Martin.
После того как жертвы открывают вредоносные вложения и разрешают выполнение макросов, встроенный макрос сбрасывает файл WindowsUpdateConf.lnk в папку автозагрузки и файл DLL (wuaueng.dll) в скрытую папку Windows/System32.
На следующем этапе LNK-файл...
Злоумышленники разместили в официальном магазине Google Play около полутысячи приложений, зараженных вирусом — именно оттуда они попали на устройства пользователей.
Более 105 млн Android-устройств были заражены зловредом Dark Herring, выяснила ИБ-компания Zimperium.
По ее данным, злоумышленники разместили в официальном магазине Google Play около полутысячи приложений, зараженных вирусом — именно оттуда они попали на устройства пользователей.
Используя функцию оплаты с лицевого счета сотового оператора, Dark Herring подписал десятки миллионов жертв без их ведома на "платные услуги", которые сводились просто к регулярному снятию денег с их счетов. Поскольку большинство не сразу замечали, что баланс тает подозрительно быстро, в среднем...