TrickBot проверяет разрешение экрана, чтобы ускользнуть от исследователей
Операторы вредоносного ПО TrickBot использовали новый метод для проверки разрешения экрана системы-жертвы, чтобы избежать обнаружения программного обеспечения безопасности и анализа исследователями.
В прошлом году банда TrickBot добавила в свое вредоносное ПО новую функцию, которая прерывала цепочку заражения, если устройство использовало нестандартные разрешения экрана 800x600 и 1024x768.
В новом варианте, обнаруженном исследователями угроз, код подтверждения был добавлен во вложение вредоносного спама в формате HTML, доставленное потенциальной жертве.
Заимствованный трюк
Исследователи обычно анализируют вредоносные программы на виртуальных машинах, которые...
Компания Google опубликовала отчёт «Threat Horizons» («Горизонты угроз»), подготовленный командой по кибербезопасности. В нём сообщается, что хакеры зачастую используют взломанные аккаунты Google Cloud для майнинга криптовалюты. «Было замечено, что злоумышленники занимались майнингом криптовалюты в скомпрометированных инстансах Cloud», — указано в отчёте Google.
Источник изображения: Pixabay
Согласно документу, 43 из 50 недавно взломанных аккаунтов Google Cloud использовались для майнинга криптовалюты. По словам Google, в большинстве случаев программное обеспечение для майнинга криптовалюты было загружено в течение 22 секунд после взлома аккаунта.
Около 10 % взломанных аккаунтов также использовалось для сканирования других...
Эксперты Morphisec выявили вредоносную кампанию, ориентированную на участников NFT- и DeFi-сообществ в Discord, а также поклонников блокчейн-игр. Для обхода антивирусов злоумышленники используют необычную программу-криптор, которой было присвоено кодовое имя Babadeda — по найденной в коде строке-заполнителе.
Новоявленный Windows-зловред уже засветился в киберкампаниях, нацеленных на засев инфостилеров, RAT-троянов и шифровальщика LockBit. С конца лета его в основном используют для доставки BitRAT и Remcos
Согласно блог-записи Morphisec, атаки в каналах Discord начинаются с рассылки тизеров с предложением загрузить полезную прогу — например, для игры Mines of Dalarnia. Кликнув по указанной ссылке, получатель попадает на...
Приближается Черная пятница, и киберпреступники оттачивают свои вредоносные программы, фишинговые приманки и поддельные сайты, в то время как покупатели готовятся открыть свои кошельки.
Как отмечают исследователи Kaspersky, мошенники уже нацелены на людей с поддельными билетами на чемпионат мира по футболу 2022 года.
Служба безопасности поделилась подробным отчетом, в котором освещаются наиболее распространенные угрозы, которые, как ожидается, возникнут в Черную пятницу этого года, а также в сезон рождественских покупок.
Фишинг для учетных записей данных и электронных платежей
Только продукты «Лаборатории Касперского» с января по октябрь 2021 года обнаружили более 40 миллионов фишинговых атак, из которых самыми популярными...
Команда датских экспертов из компании Sansec обнаружила новый троян для Linux, открывающий операторам удалённый доступ к системе жертвы. Отличительной чертой этого вредоноса является практически незаметная активность за счёт использования запланированных задач.
Эти отложенные команды или cron jobs содержали некорректную дату запуска — 31 февраля. Сам троян, получивший имя CronRAT, на текущий момент атакует онлайн-магазины, а также крадёт данные банковских карт с помощью помещённого на Linux-серверы веб-скиммера.
Специалисты не зря называют CronRAT сложным зловредом, а его создателей изобретательными, поскольку трояну удаётся обходить детектирование большинством антивирусных движков.
Как уже отмечалось выше, для сокрытия активности...
Иранская киберпреступная группировка крадёт учётные данные пользователей Google и Instagram, используя при этом вредоносную программу PowerShortShell и уязвимость в Microsoft MSHTML. О новой вредоносной кампании рассказали исследователи из SafeBreach Labs.
Зловред PowerShortShell также используется для слежки за пользователями Telegram и сбора информации о системах взломанных устройств. Все эти сведения отправляются на специальный сервер, находящийся под контролем киберпреступников.
По словам SafeBreach Labs, активность злоумышленников впервые была зафиксирована в июле, когда стартовали письма целевого фишинга. Преступники атаковали в первую очередь пользователей Windows, поскольку вложенный документ в формате Word содержал эксплойт...
Новые возможности вредоноса обеспечивают устойчивость к удалению с устройства и маскировку под безобидные обновления приложений.
Киберпреступная группировка APT-C-23 (также известная как GnatSpy, FrozenCell и VAMP) обновила функционал своего шпионского ПО для Android-устройств для проведения атак на пользователей на Ближнем Востоке. Новые возможности вредоноса позволяют ему быть более устойчивым к удалению с устройства и маскироваться под безобидные обновления приложений.
Группировка APT-C-23 активна по крайней мере с 2017 года. За годы существования группировка неоднократно обновляла свой инструмент для шпионажа, добавляя
новые функции. Теперь вредонос получил возможность слежки за изображениями, контактами и журналами вызовов...
Исследователи из HP обнаружили нового JavaScript-зловреда, который уже активно используется для засева троянов удаленного доступа и программ для кражи информации. Вредонос, получивший кодовое имя RATDispenser, пока плохо детектируется антивирусами.
Новоявленный загрузчик, по данным экспертов, объявился в интернете три месяца назад. Из 155 выявленных образцов 94% работали как дроппер, то есть не использовали сетевые соединения для доставки целевой полезной нагрузки.
Распространяется RATDispenser через спам-письма с вредоносным вложением. Для маскировки приаттаченный файл снабжен двойным расширением — .txt.js.
С той же целью вирусописатели используют обфускацию; при запуске зловред расшифровывает себя и записывает VBScript-файл в...
Проблема затрагивает 37% всех смартфонов в мире.
Тайваньская компания MediaTek, производящая широкий спектр микросхем для смартфонов и других IoT-устройств, выпустила обновления безопасности для устранения опасных уязвимостей, которые могут позволить вредоносным приложениям на Android записывать звук и шпионить за владельцами телефонов.
В октябре были исправлены три проблемы (CVE-2021-0661, CVE-2021-0662 и CVE-2021-0663), а четвертая (CVE-2021-0673) получит исправление в следующем месяце.
Чипы MediaTek содержат специальный блок обработки AI (APU) и процессор аудиосигналов (Digital signal processor, DSP) для повышения производительности мультимедиа и уменьшения загрузки процессора. APU и DSP имеют индивидуальную микропроцессорную...
Злоумышленники скомпрометировали 96% из 80 ханипотов Postgres всего за 30 секунд.
Злоумышленники постоянно сканируют интернет на предмет незащищенных сервисов, которые могут быть использованы для доступа к внутренним сетям или выполнения вредоносных действий. Специалисты подразделения Unit 42 компании Palo Alto Networks установили 320 приманок с целью узнать, как быстро злоумышленники будут атаковать открытые облачные сервисы. По словам экспертов, 80% из приманок были взломаны менее чем за 24 часа.
Установленные приманки включали устройства с протоколами Remote Desktop Protocol (RDP), Secure Shell (SSH), Server Message Block (SMB) и службами баз данных Postgres и поддерживались с июля по август 2021 года. Ханипоты были развернуты по...
Эксперты «Доктор Веб» обнаружили трояна Cynos (Android.Cynos.7.origin) в официальном магазине приложений для устройств Huawei, AppGallery. В общей сложности зараженные Cynos приложения (как правило, это были игры) установлены более 9,3 млн раз.
Исследователи пишут, что Android.Cynos.7.origin — это одна из модификаций программного модуля Cynos, который предназначен для встраивания в Android-приложения с целью их монетизации. Данная платформа известна как минимум с 2014 года. Некоторые ее версии имеют достаточно агрессивную функциональность: они отправляют SMS-сообщения на платные номера и перехватывают входящие SMS, загружают и запускают различные модули, а также скачивают и устанавливают другие приложения.
В новой версии, найденной в...
Вредоносная программа может адаптироваться к новой среде, маскироваться и даже работать автономно, когда нет связи с коммандным сервером.
Специалисты в области кибербезопасности из компании BioBright сообщили о кибератаке на предприятие по производству биопродуктов, в ходе которой использовалось необычное вредоносное ПО под названием Tardigrade.
Как обнаружили эксперты, Tardigrade имеет большой функционал и не ограничивается простым блокированием компьютеров по всему объекту. Вредоносная программа может адаптироваться к новой среде, маскироваться и даже работать автономно, когда она отключена от своего управляющего сервера. Сложность вредоноса и другие данные цифрового анализа указывают на хорошо финансируемую и мотивированную...
Работает во всех Windows
Обидевшийся на Microsoft исследователь безопасности сделал достоянием общественности эксплойт для новой уязвимости нулевого дня, которая может использоваться для локального повышения привилегий во всех поддерживаемых версиях Windows. По мнению специалиста, корпорация существенно недоплатила ему в рамках программы поиска ошибок в продуктах экосистемы Windows. Он не единственный, кто считает, что Microsoft стала скуповата на вознаграждения.
Уязвимость нулевого дня в Windows
Исследователь безопасности Абдельхамид Насери (Abdelhamid Naceri) обнаружил уязвимость в операционной системе Windows, которая позволяет пользователю локальной машины легко получить права администратора, пишет Bleeping Computer. Она...
Количество установок на отдельных программах превышает 50 000
Первые вирусы появились задолго до того, как большинство наших читателей смогли доползти до компьютера и взять в руки мышку. Какое-то время они создавались исключительно в опытных целях, хотя крупные компании могли нести немалые финансовые потери от уничтожения данных и блокировки работы компьютеров. Впервые вирусы стали донимать обычных пользователей после того, как их создатели придумали методику блокировки операционной системы, а вернуть функционал можно было только заплатив мошенникам выкуп. Сегодня этот нехитрый способ всё ещё популярен, но предполагает шифрование пользовательских файлов, что делает почти невозможным вернуть доступ к документам, фотографиям и другой...
Группа исследователей из Грацского технического университета (Австрия), ранее известная разработкой атак MDS, NetSpectre, Throwhammer и ZombieLoad, опубликовала новый метод атаки (CVE-2021-3714) по сторонним каналам на механизм дедупликации страниц памяти (Memory-Deduplication), позволяющий определить наличие в памяти определённых данных, организовать побайтовую утечку содержимого памяти или определить раскладку памяти для обхода защиты на основе рандомизации адресов (ASLR). От ранее демонстрируемых вариантов атак на механизм дедупликации новый метод отличается проведением атаки с внешнего хоста с использованием в качестве критерия изменения времени ответов на отправляемые атакующим запросы по протоколам HTTP/1 и HTTP/2. Возможность...
Тысячи файлов cookie браузера Firefox, которые используются для авторизации на интернет-ресурсах, оказались в открытом доступе на платформе для IT-разработчиков GitHub.
На GitHub выложены тысячи файлов cookie браузера Firefox, которые могут быть использованы для перехвата интернет-сессий пользователей, обнаружил британский эксперт Эйдан Марлин. Об этом сообщает «Коммерсантъ» со ссылкой на материал The Register.
Речь идёт о БД cookies.sqlite, которые обычно размещаются в директории профиля Firefox. Эти базы используются для хранения cookies между сессиями браузера.
В GitHub ответили исследователю, что «учётные данные, предоставленные пользователями сервиса, не входят в сферу охвата программы по поиску уязвимостей».
Через чужие...
Вредоносные пакеты также устанавливали оболочки удаленного доступа на компьютерных системах.
Администраторы каталога пакетов Python Package Index (PyPI) удалили со своего портала 11 Python-библиотек из-за различных вредоносных действий, включая сбор и кражу пользовательских данных, паролей и токенов доступа Discord, а также установку оболочек удаленного доступа на компьютерных системах.
По словам команды специалистов из DevOps JFrog, которая обнаружила набор вредоносных библиотек, 11 пакетов были загружены и установлены более 30 тыс. раз, прежде чем были обнаружены.
Пакеты, по всей видимости, были разработаны не одним и тем же автором, поскольку каждый из них содержал разный вредоносный код и метод удаления данных из зараженных...
Пока ботнет был отключен, операторы вымогательского ПО испытывали трудности с доставкой своих программ на системы.
Недавно SecurityLab сообщал о том, что ликвидированный Европолом в начале года ботнет Emotet снова начал подавать признаки жизни. Как оказалось, бывший оператор ботсети взялся за ее восстановление из-за высокого спроса, в особенности со стороны кибервымогательской группировки Conti.
По мнению специалистов ИБ-компании Advanced Intelligence (AdvIntel), возобновлению проекта в частности поспособствовало отсутствие предложений на рынке первоначального доступа, возникшее после ликвидации Emotet. В течение десяти месяцев, пока ботнет был отключен, децентрализованные операции по распространению вымогательского ПО испытывали...
Локальная уязвимость нулевого дня затронула все версии Windows
Исследователь безопасности Абдельхамид Насери раскрыл технические подробности уязвимости Windows нулевого дня, связанной с повышением привилегий, и PoC-эксплойта, который дает привилегии SYSTEM при определенных условиях. Уязвимости оказались подвержены все версии Windows, включая Windows 10, Windows 11 и Windows Server 2022.
Эксплойт запускает командную строку с повышенными привилегиями с правами SYSTEM / BleepingComputer
Хорошая новость заключается в том, что эксплойт требует от злоумышленника знать имя пользователя и пароль другого юзера, поэтому он, скорее всего, не будет широко использоваться в атаках.
Ранее Microsoft выпустила обновление безопасности для «уязвимости...
Google выпустила Chrome 95.0.4638.69 для Windows, Mac и Linux, чтобы исправить две уязвимости нулевого дня, которые активно использовались злоумышленниками.
«Google знает, что эксплойты для CVE-2021-38000 и CVE-2021-38003 существуют в дикой природе», - сообщил Google в списке исправлений безопасности в сегодняшнем выпуске Google Chrome.
Хотя Google заявляет, что новая версия может занять некоторое время, чтобы достичь всех, обновление уже начало развертывание Chrome 95.0.4638.69 для пользователей по всему миру в канале стабильного рабочего стола.
Чтобы установить обновление Chrome немедленно, перейдите в меню Chrome > Справка > О Google Chrome , и браузер начнет выполнять обновление.
Chrome 95.0.4638.69 был установлен сразу...