По мере увеличения размера и частоты кампаний QBot исследователи ищут способы разорвать цепочку распространения трояна и устранить угрозу.
За последние несколько лет Qbot (Qakbot или QuakBot) превратился в широко распространенное вредоносное ПО для Windows, которое позволяет злоумышленникам красть банковские учетные данные и учетные данные домена Windows, распространяться на другие компьютеры и предоставлять удаленный доступ бандам вымогателей.
Жертвы обычно заражаются Qbot через другое вредоносное ПО или через фишинговые кампании с использованием различных приманок, включая поддельные счета, платежную и банковскую информацию, отсканированные документы или счета.
Банды программ-вымогателей, которые, как известно, использовали Qbot для...
9 декабря 360 Security Center проверил, что Apache официально выпустил версию log4j-2.15.0-rc1 7 декабря 2021 года. Согласно исследованию и заключению экспертов по безопасности 360 Group, эта версия позволяет обходить риски и риски безопасности. Производитель выпустил последнюю версию log4j-2.15.0-rc2, пожалуйста, обновите ее как можно скорее.
После включения функции ведения журнала компонент может быть успешно использован путем вставки кода эксплойта везде, где может быть запущен журнал ошибок. Если журнал, записываемый этим компонентом, содержит журнал других систем, это может вызвать непрямое заражение. Через промежуточную систему компонент косвенно считывает агрессивный код эксплойта, который также может косвенно вызвать...
Исследователи в области кибербезопасности обнаружили ранее неизвестные методы запуска кибератак с URL-редиректами на слабые имплементации OAuth 2.0. Такие атаки могут приводить к обходу средств детектирования фишинга и защиты электронной почты, а также внушать жертвам ложное чувство безопасности при посещении фишинговых страниц. На проблемы в безопасности указали специалисты компании Proofpoint. По их словам, злоумышленники атакуют Outlook Web Access, PayPal, Microsoft 365 и Google Workspace, используя бреши в имплементации OAuth 2.0.
Кстати, уязвимостям протокола OAuth 2.0 мы посвятили аналитическую статью, в которой эксперт объясняет, опасно ли аутентифицироваться через профиль в соцсетях. При разработке приложений с поддержкой...
Новый вектор атаки получил название LaserShark и осуществляется путем направления лазеров на встроенные светодиоды компьютеров.
Физическая изоляция (так называемые воздушные зазоры) является эффективным методом защиты критически важных компьютерных систем и сетей. Несмотря на то, что вредоносный код может быть внедрен через цепочку поставок или внутренние атаки, взаимодействие с внешним миром отсутствует. Различные подходы к прорыву подобной линии защиты были разработаны на основе электромагнитных, акустических и оптических каналов связи. Однако все эти подходы ограничены либо скоростью передачи данных, либо расстоянием и часто предлагают только хищение данных.
Немецкие ученые смогли разработать новый способ взлома систем с...
300 тысяч роутеров MikroTik угрожают безопасности всего интернета
По словам исследователей, около 300 тысяч маршрутизаторов MikroTik уязвимы для удалённых атак, которые могут тайно включать устройства в ботнеты, предназначенные для кражи конфиденциальных данных пользователей и осуществления DDoS-атак, наносящих ущерб интернету.
Источник изображения: GettyImages
Оценка, проведённая исследователями безопасности из компании Eclypsium, основана на сканировании интернета с целью обнаружения роутеров MikroTik, использующих версии прошивки, которые содержат уязвимости, обнаруженные за последние три года. Хотя производитель выпустил исправления, исследование Eclypsium показывает, что многие пользователи их не установили. Компания отмечает...
Злоумышленники уже сканируют Сеть на предмет приложений, которые могут быть уязвимы к атакам Log4Shell.
Организация Apache Software Foundation выпустила экстренное обновление безопасности, исправляющее уязвимость удаленного выполнения кода ( CVE-2021-44228 ) в библиотеке Java Log4j. Библиотека обеспечивает возможности ведения журналов.
Уязвимость, получившая название Log4Shell , может быть использована путем принуждения приложений и серверов на основе Java с библиотекой Log4j к регистрации определенной строки в своих внутренних системах. Когда приложение или сервер обрабатывают журналы, данная строка может заставить уязвимую систему загрузить и запустить вредоносный скрипт из домена, контролируемого злоумышленником. Таким образом...
По словам самих хакеров, с сентября по ноябрь 2021 года они взломали сети более 40 жертв.
Специалисты ИБ-компании Accenture Security рассказали о группе высокопрофессиональных хакеров, активизировавших свою деятельность в третьем квартале нынешнего года.
Хакеры, преследующие финансовую выгоду и называющие себя Karakurt, попали в поле зрения исследователей в июне 2021 года, когда зарегистрировали два домена и завели страницу в Twitter.
Основной деятельностью группировки является похищение данных и вымогательство, при этом ПО для шифрования файлов она не использует. По словам самих хакеров, с сентября по ноябрь 2021 года они взломали сети более 40 жертв и опубликовали похищенные файлы на своем сайте.
Порядка 95% жертв находятся в...
Аналитики из Recorded Future и MalwareHunterTeam обнаружили шифровальщика ALPHV (он же BlackCat). Исполняемый файл вымогателя написан на Rust, что нетипично вредоносных программ, но такой подход постепенно набирает популярность среди киберпреступников из-за высокой производительности и безопасности памяти.
Сами разработчики вредоноса называют его ALPHV и активно продвигают свою малварь на русскоязычных хак-форумах. Однако из-за того, что на сайте злоумышленников используется икнока, с изображением черного кота, исследователи окрестили вредоноса BlackCat.
Технически этот вымогатель является уже третьим шифровальщиком, написанным на Rust: в 2020 году на GitHub был опубликован PoC-вредонс такого рода, и в том же году был замечен уже...
Исследователи обнаружили еще 17 вредоносных пакетов в репозитории npm. На этот раз малварь похищала учетные данные, токены, другую информацию о серверах Discord и не только. Токены действуют как аутентификационные cookie и позволяют захватить чужую учетную запись в Discord.
О проблеме рассказывают специалисты компании JFrog. Они пишут, что пейлоады вредоносных пакетов отличались: от инфостилеров до бэкдоров с полным удаленным доступом. То есть предполагается, что пакеты были созданы и распространялись разными злоумышленниками.
JFrog сообщает, что вредоносной функциональностью обладали следующие пакеты:
Пакет
Версия
Полезная нагрузка
Метод заражения
prerequests-xcode
1.0.4
Троян удаленного доступа (RAT)
Неизвестно...
Группа высококвалифицированных киберпреступников, известная под именем StrongPity, распространяет модифицированные установщики текстового редактора Notepad++. Цель — заразить жертв вредоносной программой, скрывающейся в этом инсталляторе.
Эта APT-группировка также известна под именами APT-C-41 и Promethium, ранее её участники использовали вредоносные установщики архиватора WinRAR. В период между 2016 и 2018 годом злоумышленники особенно активно проводили целевые кибератаки, в ходе которых и «обкатали» использование фейковых инсталляторов. На этот раз выбор хакеров пал на Notepad++, поскольку этот текстовый редактор с открытым исходным кодом используется во многих организациях. На недавние атаки обратил внимание исследователь под...
Генпрокурор Игорь Краснов рассказал, что планируется принять законы, которые будут регулировать рынок обращения криптовалют.
Генпрокуратура разрабатывает закон для ареста и конфискации незаконных биткоинов. Помимо этого, власти намерены ввести в законодательство понятие «криптовалюта». С инициативой выступил Генеральный прокурор Игорь Краснов.
«Нами разработаны изменения в ряд нормативных правовых актов для того, чтобы находящиеся в незаконном обороте криптовалюты не только признавались предметом преступления, но и имелась юридическая возможность их ареста и конфискации», — сказал в интервью РИА «Новости» глава ведомства Игорь Краснов.
Какие конкретно изменения были разработаны, он не уточнил.
Генпрокурор отметил, что судебная...
Microsoft Defender для бизнеса, новое решение для обеспечения безопасности конечных точек, специально созданное для малого и среднего бизнеса (SMB), в настоящее время распространяется по всему миру в предварительной версии.
Он помогает компаниям со штатом до 300 сотрудников защищаться от угроз кибербезопасности, включая программы-вымогатели, вредоносные программы и фишинг, на устройствах Windows, macOS, iOS и Android.
Он имеет упрощенную конфигурацию клиента с помощью мастера настройки и поставляется со всеми рекомендованными политиками безопасности, включенными прямо из коробки, что упрощает использование даже организациями, не имеющими специальной группы безопасности.
По словам министра внутренней безопасности США Алехандро...
Список уязвимостей, используемых для распространения зловредов семейства Moobot, пополнился еще одной позицией — CVE-2021-36260. Проведенный в Fortinet анализ показал, что загружаемые через эксплойт боты по-прежнему способны выполнять команды на проведение DDoS-атак.
Критическая уязвимость CVE-2021-36260 в IP-камерах и видеорегистраторах Hikvision позволяет захватить контроль над устройством и получить доступ к внутренней сети. Эксплойт не требует аутентификации и возможен при наличии доступа к порту 80 или 443.
Обновления прошивок производитель выпустил в сентябре, однако из-за широкого распространения уязвимости патчинг на местах протекает не так быстро, как хотелось бы, и злоумышленники охотно этим пользуются.
Столкнувшись с...
Немецкие исследователи в области кибербезопасности обнаружили в Windows 10 и 11 уязвимость класса «drive-by» (скрытая загрузка), приводящую к удалённому выполнению кода. По словам специалистов, Microsoft проигнорировала их обращение и до сих пор не устранила брешь должным образом.
Проблема кроется в стандартном обработчике URI вида «ms-officecmd:» и допускает инъекцию аргумента. В связке с обходом ограничений в ОС эту уязвимость можно использовать для запуска «эксплойтов одного клика».
Эксперты опубликовали демонстрационный эксплойт и технические детали выявленной бреши. В отчёте упоминается, что Microsoft изначально не отреагировала должным образом на проблему и отказалась выплачивать причитающееся вознаграждение.
Также...
В стане шифровальщиков объявился плагиатор: новая находка ИБ-экспертов заимствует некогда грозное имя Cerber, но атакует не только Windows, но и Linux. В частности, для проникновения на серверы зловред использует недавно опубликованные RCE-уязвимости в Atlassian Confluence и GitLab.
Изначальный Cerber появился на интернет-арене в 2016 году и начал быстро набирать обороты. Через пару лет его активность стала снижаться и к концу 2019 года практически угасла.
В прошлом месяце ИБ-исследователи обнаружили в дикой природе новые образцы вымогательской программы, именуемой Cerber. Вредонос способен шифровать файлы и в Windows, и в Linux; к итогу он добавляет расширение .locked и оставляет на машине записку __$$RECOVERY_README$$__.html с...
Изображение: Иван Диас
Немецкая компания по разработке программного обеспечения для обеспечения безопасности G DATA выпустила "вакцину" STOP Ransomware, которая блокирует от шифрования файлов жертв, после заражения.
«Этот инструмент сам по себе не предотвращает заражение. Программа-вымогатель STOP по-прежнему будет размещать заметки о выкупе и может изменять настройки в системе», - пояснили аналитики вредоносных программ G DATA Карстен Хан и Джон Парол .
«Но программа-вымогатель STOP больше не будет шифровать файлы, если в системе есть вакцина. Вместо личного идентификатора в примечаниях о выкупе будет строка, указывающая, что файлы были защищены вакциной».
Вы можете скачать утилиту STOP Ransomware здесь в виде скомпилированного...
Печально известная вредоносная программа Emotet теперь устанавливает маяки Cobalt Strike напрямую, обеспечивая немедленный доступ к сети злоумышленникам и делая атаки программ-вымогателей неизбежными.
Emotet - это вредоносное ПО, которое распространяется через спам-сообщения, содержащие вредоносные документы Word или Excel. В этих документах используются макросы для загрузки и установки троянца Emotet на компьютер жертвы, который затем используется для кражи электронной почты и развертывания дополнительных вредоносных программ на устройстве.
Исторически сложилось так, что Emotet устанавливал троянов TrickBot или Qbot на зараженные устройства. Эти трояны в конечном итоге развертывали Cobalt Strike на зараженном устройстве или выполняли...
Хакеры, ворующие платежные данные с помощью веб-скиммеров, начали использовать Google Tag Manager (GTM) для сокрытия своего JavaScript-кода. За девять месяцев исследователи из Gemini Advisory (собственность Recorded Future) обнаружили вредоносные GTM-контейнеры на 316 коммерческих сайтах — в основном небольших.
Менеджер тегов от Google позволяет создавать контейнеры для ресурсов, что облегчает обновление кодов, подключение сервисов и добавление скриптов на сайт (например, с целью сбора аналитики или показа рекламы). В данном случае злоумышленники создают собственный контейнер GTM с вредоносным содержимым и незаметно загружают его на взломанный сайт, а соответствующий тег script внедряют в целевые страницы.
Такая тактика позволяет...
Mozilla представила новую технологию песочницы под названием RLBox.
Компания Mozilla представила новую функцию безопасности, которая призвана сделать браузер Mozilla Firefox «самым безопасным браузером, доступным для потребителей». Новый инструмент песочницы, получивший название RLBox, доступен в версии браузера Firefox 95 и был разработан компанией в сотрудничестве с Калифорнийским университетом в Сан-Диего и Техасским университетом.
Все современные браузеры используют песочницу для защиты пользователей от вредоносного кода. Проблема в том, что многие из наиболее продвинутых эксплоитов объединяют две уязвимости для обхода данной защиты. Новый метод использует WebAssembly для изоляции потенциально уязвимого кода и основан на...
Мошенники используют маркетинговый ход, известный как airdrop, для заманивания жертв на фишинговый сайт.
Мошенники рассылают владельцам криптовалютных кошельков кастомные токены и заманивают на фишинговые сайты, созданные с единственной целью – похитить криптовалюту из этих самых кошельков.
Одной из первых на проблему обратила внимание разработчица Solidity (языка программирования самовыполняющихся контрактов Ethereum) под псевдонимом Shegenerates. На прошлой неделе она сообщила в Twitter, что кто-то прислал ей токенов якобы на $30 тыс., но на самом деле все оказалось обманом.
Как сообщила Shegenerates изданию Motherboard, мошенническая схема заключается в следующем: жертве отправляются бесполезные токены, которые она не может не...