Эксплойт-брокер Zerodium объявил сегодня о своём намерении приобрести уязвимости нулевого дня в трёх самых популярных VPN-клиентах для Windows: ExpressVPN, NordVPN и Surfshark. Основанная в 2015 году компания Zerodium, занимающаяся вопросами кибербезопасности, за годы существования приобрела репутацию скупщика эксплойтов для уязвимостей нулевого дня. Затем Zerodium продаёт их правительству и правоохранительным органам.
therecord.media
Zerodium поддерживает программу обнаружения ошибок в ПО, в рамках которой исследователи безопасности могут получить до $2,5 миллиона за обнаруженные уязвимости в зависимости от их типа и характера. Кроме того, на протяжении многих лет компания проводила так называемые временные акции по выявлению...
SmashEx позволяет получать доступ к чувствительной информации внутри защищенных анклавов.
Специалисты Швейцарской высшей технической школы Цюриха, Национального университета Сингапура и Оборонного научно-технического университета НОАК представили атаку на процессоры Intel. Атака, получившая название SmashEx, позволяет злоумышленникам получать доступ к чувствительной информации внутри защищенных анклавов и даже запускать произвольный код на уязвимых системах.
Атака возможна благодаря уязвимости CVE-2021-0186 в Intel SGX (в настоящее время исправлена в версиях SGX SDK 2.13 и 2.14 для Windows и Linux соответственно).
Расширения SGX (Software Guard eXtensions) впервые были представлены в процессорах Intel Skylake.
Они позволяют...
Microsoft заявляет, что регулярно проверяет обновления Windows на предмет истечения срока действия, чтобы сделать весь процесс обновления быстрее и безопаснее, удаляя старые выпуски, которые уже были заменены новыми пакетами.
Установка обновлений происходит медленнее, и их размер постепенно увеличивается из-за длительного отставания, вызванного выпуском двух или более обновлений для каждой платформы Windows каждый месяц.
Кроме того, более старые пакеты доставляются через Центр обновления Windows как часть накопительных обновлений, что еще больше снижает производительность обновления и заставляет весь процесс занять больше времени, чем необходимо.
Microsoft увеличивает общую производительность Центра обновления Windows, отмечая более...
Заманив жертву на подконтрольный ему web-сайт, злоумышленник создать ее цифровой отпечаток и использовать его для незаконной деятельности.
Американские ученые представили новый метод под названием Gummy Browsers, с помощью которого можно создать «клонированный» цифровой отпечаток пользователя путем копирования характеристик его браузера. Для этого злоумышленнику нужно заманить жертву на подконтрольный ему web-сайт и создать ее цифровой отпечаток, который затем можно использовать для подмены личности на разных платформах, нелегальной деятельности, обхода двухфакторной аутентификации и пр.
В рамках исследования специалисты разработали следующие методы подмены личности на различных сайтах:
Внедрение скрипта – подмена цифрового...
11:34 / 20 Октября, 2021
Positive Technologies выпустила новую версию песочницы для риск-ориентированной защиты PT Sandbox — 2.4. В новом релизе продукта поддерживается не имеющая аналогов на российском рынке сетевых песочниц технология проактивного и скрытого детектирования руткитов как на этапе их установки, так и в процессе работы.
Positive Technologies выпустила новую версию песочницы для риск-ориентированной защиты
PT Sandbox — 2.4. В новом релизе продукта поддерживается не имеющая аналогов на российском рынке сетевых песочниц технология проактивного и скрытого детектирования руткитов как на этапе их установки, так и в процессе работы. Разработанный специалистами экспертного центра безопасности PT Expert Security Center плагин...
Twitter заблокировал аккаунты, используемые для обмана ИБ-экспертов
10:41 / 19 Октября, 2021
Хакеры загружали вредоносное ПО на устройства жертв в рамках длительной кампании по кибершпионажу.
Администрация социальной сети Twitter отключила две учетные записи (@lagal1990 и @shiftrows13), которые использовались злоумышленниками для обмана исследователей в области кибербезопасности. Хакеры загружали вредоносное ПО на устройства жертв в рамках длительной кампании по кибершпионажу, связанной с Северной Кореей.
Кампания была выявлена командой специалистов Google Threat Analysis Group (TAG) в январе нынешнего года. Злоумышленники создали «исследовательский» блог и использовали учетные записи в Twitter для распространения ссылок на...
Специалисты по кибербезопасности из компании Sophos выявили как минимум один криптокошелёк, наполненный биткоинами на сумму $1,4 миллиона за счёт успешных мошеннических операций. Целью злоумышленников стали пользователи приложений для знакомств вроде Tinder и Bumble из Азии, владеющие iPhone, но география преступлений продолжает расширяться.
ndtv.com
По данным Sophos, помимо украденных денег пользователи понесли и другой ущерб — были скомпрометированы их персональные данные. Использовалась простая схема: после того, как с жертвой налаживался контакт в приложении для знакомств, мошенники предлагали перейти к общению в мессенджере, где пытались убедить одинокого человека использовать фейковое приложение для торговли криптовалютами.
По...
Преступники стали чаще использовать «криптовалюту с повышенной анонимностью», такую как Monero.
Сеть по борьбе с финансовыми преступлениями (Financial Crimes Enforcement Network, FinCEN) Министерства финансов США опубликовала отчет, согласно которому в первой половине 2021 года было зафиксировано больше атак с использованием программ-вымогателей, чем за весь 2020 год.
Отчет охватывает данные о тенденциях опубликован на фоне инициативы правительства США по более тщательному отслеживанию и пресечению криптовалютной активности среди групп программ-вымогателей. Информация в основном поступала из уведомлений о подозрительной деятельности (SAR), поданных в FinCEN отчетов, когда клиент учреждения подозревался в совершении финансового...
Утилита от Trustwave эксплуатирует уязвимость в процессе шифрования BlackByte.
ИБ-компания Trustwave выпустила бесплатную утилиту для восстановления данных, зашифрованных вымогательским ПО BlackByte, позволяющую жертвам вымогателя вернуть свои файлы без уплаты выкупа. Скачать утилиту можно с GitHub.
Декриптор эксплуатирует уязвимость в процессе шифрования BlackByte. В состоящем из двух частей техническом анализе специалисты Trustwave сообщают, что процесс шифрования BlackByte начинается после загрузки поддельного графического файла forest.png на все компьютеры атакуемой организации.
Этот файл содержит криптографический "ключ-заготовку", из которого вымогательское ПО извлекает ключи для шифрования файлов жертв.
С его же помощью...
Новая фишинговая кампания, получившая название MirrorBlast, развертывает документы Excel с оружием, которые чрезвычайно сложно обнаружить для взлома финансовых организаций.
Наиболее примечательной особенностью MirrorBlast является низкий уровень обнаружения вредоносных документов Excel кампании программным обеспечением безопасности, что подвергает высокому риску фирмы, полагающиеся исключительно на средства обнаружения.
Макрос Featherlight с нулевым обнаружением
Разработчики этих вредоносных документов приложили значительные усилия для сокрытия вредоносного кода, добившись нулевого обнаружения на VirusTotal.
Результаты VirusTotal без обнаружений
Источник: Morphisec
Однако у этих оптимизированных документов есть недостатки, которые...
Наиболее активными смействами вымогателей оказались GandCrab, Babuk и Cerber.
По меньшей мере 130 различных семейств вымогательского ПО проявляли активность на протяжении 2020 года и первой половины 2021 года, говорится в отчете VirusTotal, основанном на анализе более 80 млн образцов вымогательских программ, загруженных в сервис в указанный период.
При этом чаще всего образцы загружались из Израиля, Южной Кореи, Вьетнама, Китая, Сингапура, Индии, Казахстана, Филиппин, Ирана и Великобритании. Как пояснил инженер по безопасности VirusTotal Винсенте Диаз (Vicente Diaz), высокое число загрузок вовсе не значит, что вышеуказанные страны являются наиболее атакуемыми. Например, высокие показатели Израиля (число загрузок образцов вымогателей...
Эксперты компании Imperva обнаружили вредоносный блокировщик рекламы AllBlock. Хотя это браузерное расширение выполняет свою задачу и действительно блокирует рекламу, вместо нее AllBlock внедряет в браузер скрытые партнерские ссылки.
Расширение по-прежнему доступно в Chrome Web Store и позиционируется как средство для блокировки рекламы на YouTube и в Facebook, в том числе для борьбы со всплывающими окнами и ускорения просмотра.
Исследователи говорят, что AllBlock в самом деле борется с рекламой, но лишь для того, чтобы внедрить собственную. Так, AllBlock заставляет законные URL-адреса перенаправлять пользователей на партнерские ссылки, контролируемые разработчиками расширения. Это позволяет мошенникам зарабатывать деньги на рекламе...
Microsoft выпустила Linux-версию очень популярной утилиты системного мониторинга Sysmon для Windows, позволяющую администраторам Linux отслеживать устройства на предмет вредоносной активности.
Для тех, кто не знаком с Sysmon (он же Системный монитор), это инструмент Sysinternals, который отслеживает систему на предмет вредоносной активности, а затем записывает любое обнаруженное поведение в файлы системного журнала.
Универсальность Sysmon проистекает из способности создавать пользовательские файлы конфигурации, которые администраторы могут использовать для отслеживания определенных системных событий, которые могут указывать на злонамеренную активность в системе.
Sysmon перенесен на Linux
Сегодня Марк Руссинович из Microsoft...
Прибыль операторов ботнета MyKings с 2019 года составила примерно $24,7 млн.
Ботнет MyKings (таке же известный как Smominru или DarkCloud) спустя пять лет после своего появления все еще активно распространяется, позволяя разработчикам зарабатывать огромные суммы денег в криптовалюте.
MyKings — ботнет, известный благодаря своей обширной инфраструктуре и универсальным функциям, включая буткиты, майнеры, загрузчики, похитители буфера обмена и пр. Ботнет использует большое количество адресов криптовалютных кошельков. Прибыль операторов ботнета MyKings с 2019 года составила примерно $24,7 млн.
Для защиты встроенного значения адреса кошелька от хищения и анализа операторы вредоноса шифруют его с помощью простого шифра ROT. Однако, в...
Аналитики Juniper Threat Labs заметили, что обновление Python-ботнета FreakOut (также известного как Necro и N3Cr0m0rPh) добавило в арсенал малвари недавно опубликованный PoC-эксплоит для Visual Tools DVR. Уязвимые устройства представляют собой девайсы для цифровой видеозаписи (DVR), применяемые в области профессионального видеонаблюдения и поддерживающие до 16 камер и передачу видео в реальном времени на два монитора.
Изучив свежий образец FreakOut, эксперты предупредили, что Visual Tools DVR VX16 4.2.28.0 с сайта visual-tools.com подвергается атакам с использованием свежей уязвимости, которая пока не имеет идентификатора CVE.
Взлом таких устройств в теории позволяет злоумышленникам проникнуть во внутреннюю сеть компании, а также...
В ландшафте киберугроз появилась новая программа-вымогатель, операторы которой не только шифруют данные жертв, но и угрожают компаниям в попытке повысить шансы на выплату выкупа. Вредонос получил имя Yanluowang, о его атаках рассказала команда Symantec Threat Hunter. Угрозы операторов нового шифровальщика касаются, например, запуска DDoS-атаки против жертвы или травли сотрудников (в некоторых случаях — деловых партнёров), если пострадавшая организация не заплатит требуемую сумму.
Согласно исследованию Symantec Threat Hunter, операции Yanluowang попали в поле зрения экспертов при расследовании кибератаки на одну крупную компанию (имя не раскрывается). К счастью, сама атака не увенчалась успехом, но зато раскрыла специалистам...
Британские исследователи в области кибербезопасности рассказали, что смартфоны на Android передают значительный объем информации о пользователях разработчику ОС даже при минимальной настройке или простое. Под данный тип сведений подпадают постоянные идентификаторы, показатели об использовании приложений и телеметрическая информация.
Исследователи изучили устройства Samsung, Huawei, Xiaomi, Realme, работающие на Android или ее форках — /e/OS и LineageOS.
Авторы исследования говорят, что помимо Google, информация со смартфонов также доставляется Microsoft, LinkedIn, Facebook и другим компаниям. Специалисты отмечают, что пользователи мобильных устройств на Android оказываются бессильны против сбора информации, так как его невозможно...
Фишеры позаимствовали имя Verizon, заменив букву математическим символом КорпорацииФишинг При разборе недавней имейл-атаки, нацеленной на сбор учетных данных пользователей Microsoft 365, эксперты американской ИБ-компании INKY обнаружили не совсем обычный трюк, призванный ввести в заблуждение получателей фишинговых писем.
Имя Verizon на скопированном логотипе в поддельном послании слегка искажено за счет использования спецсимволов. Разосланные с Gmail сообщения мошенников имитировали уведомление о новой голосовой почте. В тело письма была встроена кнопка Play, привязанная к сайту фишеров. Как отметили специалисты, логотип телеком-провайдера, позаимствованный фишерами, воспроизведен не совсем точно: вместо заглавной «V» подставлен...
Ресурс поддерживается такими общественными организациями, как Fight for the Future, "Фонд электронных рубежей" и пр.
Поскольку в последнее время Facebook находится в эпицентре непрекращающейся пиар-бури, состоящей из различных взаимосвязанных кризисов, ряд общественных организаций запустили web-сайт, призванный "закрутить гайки" технологическому гиганту.
Сайт HowToStopFacebook.Org обвиняет алгоритмы Facebook в том, что они "причиняют вред детям, подрывают демократию в США и по всему миру и обостряют дискриминацию". Ресурс поддерживается такими общественными организациями, как Fight for the Future, "Фонд электронных рубежей" и десятками других.
На сайте в основном представлены факты, вызвавшие большой общественный резонанс в...
Уязвимость в Azure Container Instances позволяла выходить за пределы контейнера и получать доступ к любой информации в чужих контейнерах Azure.
Оставаться в границах
Корпорация Microsoft устранила уязвимость в Azure Container Instances, которая позволяла перехватывать контроль над чужими контейнерами.
Уязвимость под названием Azurescape давала возможность злоумышленникам выполнять команды в контейнерах, принадлежащих другим пользователям, и получать доступ к любым данным в них.
Azure Container Instances (ACI) — это облачный сервис, позволяющий компаниям размещать контейнированные приложения (контейнеры) в облаках. Все исполняемые файлы, зависимости и прочие данные, необходимые для запуска конкретного приложения, хранятся внутри...