В рамках исследования 8 из 17 ведущих защитных решений не смогли обнаружить модифицированные APK.
Антивирусные программы для Android продолжают оставаться уязвимыми к различным разновидностям вредоносных программ, создавая серьезный риск кибератак со стороны хакеров.
«Авторы вредоносных программ используют различные методы (морфинг/обфускация) для непрерывной разработки вредоносных клонов легитимных программ, препятствуя обнаружению сигнатурными детекторами. Атака клонов серьезно угрожает всем мобильным платформам, особенно Android», — заявили исследователи из Аданского научно-технического университета (Турция) и Национального университета науки и технологий (Пакистан).
В отличие от iOS, приложения для устройств под управлением...
В России начались блокировки VPN. Первые жертвы - Opera VPN и VyprVPN
Роскомнадзор начал блокировку сервисов Opera VON и VyprVPN из-за того, что через них возможен доступ к запрещенным сайтам. При этом 150 российским компаниям позволили продолжить работать с этими сервисами для обеспечения непрерывности технологических процессов.
Роскомнадзор начал блокировку VPN-сервисов
Роскомнадзор сообщил о вводе ограничительных мер в отношении VPN-сервисов VyprVPN и Opera VPN (принадлежит китайско-норвежской компании Opera). Ведомство объясняет это тем, что данные сервисы используются для доступа к запрещенной в России информации с детской порнографией, суицидальным, пронаркотическим и подобным запрещенным контентом.
Правовым основанием для...
Process Ghosting позволяет запускать уже удаленные исполняемые файлы.
Специалисты компании Elastic Security описали новый метод атак под названием Process Ghosting, который потенциально может использоваться хакерами для обхода защиты и выполнения вредоносного кода на системах под управлением Windows.
Process Ghosting представляет собой технику модификации исполняемых файлов, с помощью которой атакующий может записать вредоносный код на диск таким образом, чтобы его было сложно сканировать или удалить. Более того, он позволяет запускать уже удаленные исполняемые файлы.
Новый метод пополнил список известных техник обхода защиты, таких как Process Doppelgänging и Process Herpaderping.
Process Doppelgänging схожа с техникой Process...
Один компонент, четыре уязвимости
Эксперты компании Check Point выявили в офисном пакете Microsoft четыре уязвимости, которые позволяют начинять документы Office вредоносным содержимым.
Уязвимости получили следующие индексы: CVE-2021-31179 — уязвимость, позволяющая производить запуск удаленного кода, CVE-2021-31174 — вывод информации из Excel, CVE-2021-31178 — уязвимость вывода информации в китайской версии MSOffice, CVE-2021-31939 — уязвимость использования памяти после ее освобождения (use-after-free).
Все эти уязвимости выявлены в компонент MSGraph COM для отображения различных графиков и диаграмм. Компонент довольно старый — в Microsoft Office он присутствует с версии 2003. MSGraph и поныне применяется в нескольких версиях Office...
Специалисты компании Positive Technologies изучили актуальные киберугрозы, которые встречались в первом квартале 2021 года, и отметили рост активности операторов программ-вымогателей, а также появление новых семейств шифровальщиков. Но самое главное, что привлекло внимание экспертов, — разработчики вредоносов стали чаще адаптировать свои программы под атаки на средства виртуализации.
Анализ Positive Technologies показал, что общее число атак за первый квартал 2021 года увеличилось на 17% в сравнении с тем же периодом 2020 года. Также наблюдается прирост по отношению к четвёртому кварталу 2020 года — 1,2%. 77% кибератак оказались целевыми, а частных лиц атаковали в 12% случаев. Излюбленными жертвами киберпреступников стали...
Исследователи Microsoft 365 Defender разрушили облачную инфраструктуру, используемую мошенниками в недавней крупномасштабной кампании по взлому корпоративной электронной почты (BEC).
Злоумышленники скомпрометировали почтовые ящики своих целей, используя фишинг и перехваченную конфиденциальную информацию в электронных письмах, соответствующих правилам пересылки, что позволило им получить доступ к сообщениям, связанным с финансовыми транзакциями.
Первоначальный доступ через фишинг
«Использование инфраструктуры злоумышленников, размещенной в нескольких веб-службах, позволило злоумышленникам действовать незаметно, что характерно для кампаний BEC», - пояснил Ник Карр из исследовательской группы Microsoft 365 Defender Research Team и...
Эксперты полагают, что постквантовая криптография появится задолго до самих квантовых компьютеров.
Хотя квантовые вычисления все еще находятся на начальном этапе разработки, правительства и компании частного сектора, такие как Microsoft и Google, работают над воплощением данных идей в жизнь. В течение десятилетия квантовые компьютеры могут стать достаточно мощными, чтобы взломать криптографическую безопасность мобильных телефонов, банковских счетов, адресов электронной почты и биткойн-кошельков.
В настоящее время по всему миру используется так называемая асимметричная криптография, в которой используется пара закрытых и открытых ключей для доступа к таким учетным записям и криптокошелькам.
«Каждое финансовое учреждение, каждая...
Под ударом все пользователи интернета
В свободном доступе в Интернете оказался файл с 8,2 млрд паролей. Это больше всего населения Земли и почти вдвое больше суммарного количества пользователей интернета. Вероятность взлома при помощи этого файла тем выше, чем чаще конкретный пользователь использует один и тот же пароль в разных сервисах.
Утечка тысячелетия
Хакеры выложили в открытый доступ файл с более чем 8 млрд паролей. По информации профильного портала CyberNews, документ имеет объем около 100 ГБ и содержит свыше 8,459 млрд строчек, каждая из которых – это отдельный пароль. Это крупнейшая утечка паролей в истории человечества.
Распространение файла началось с неназванного хакерского форума. В Сеть его выложил пользователь под...
Ключи дешифрования в свободном доступе
Банда вымогателей Avaddon прекратила работу и предоставила ключи дешифрования своих жертв BleepingComputer.com .
Этим утром BleepingComputer получил анонимный совет от ФБР, который содержал пароль и ссылку на защищенный паролем ZIP-файл.
Этот файл утверждался как «программа-вымогатель ключей дешифрования Avaddon» и содержал три файла, показанные ниже.
Ключи расшифровки Avaddon используются совместно с BleepingComputer
После обмена файлами с Фабианом Восаром из Emsisoft и Майклом Гиллеспи из Coveware они подтвердили, что ключи являются законными.
Используя тестовый дешифратор, совместно используемый с BleepingComputer от Emsisoft , я расшифровал виртуальную машину, зашифрованную сегодня с...
Непривилегированные злоумышленники могут получить корневую оболочку, используя уязвимость обхода аутентификации в системной службе polkit auth, установленной по умолчанию во многих современных дистрибутивах Linux.
Polkit локальной ошибка привилегий (отслеживаются как CVE-2021-3560 ) была публично раскрыта, и исправление было выпущено 3 июня 2021 года.
Он был представлен семь лет назад в версии 0.113 и только недавно был обнаружен исследователем безопасности GitHub Security Lab Кевином Бэкхаусом .
Несмотря на то, что многие дистрибутивы Linux до недавнего времени не поставлялись с уязвимой версией polkit, любая система Linux, поставляемая с установленным polkit 0.113 или более поздней версии, подвержена атакам.
Список уязвимых в...
Неизвестные хакеры превратили учётные записи Steam в разносчиков вредоносного программного обеспечения. Злоумышленники спрятали загрузчики вредителей в изображениях профилей своих учётных записей. Уязвимость обнаружил пользователь Twitter с никнеймом Miltinhoc.
PortSwigger
Уязвимость назвали SteamHide. Как отметили аналитики G Data, игровой сервис фактически стал платформой для размещения вредоносных файлов. О таких способах распространения вредоносного ПО было известно и раньше, но никто ещё не использовал для этого игровые сервисы вроде Steam.
Для распространения вирусов злоумышленники использовали интернет-мемы, в частности «Гарольда, скрывающего боль». При этом, для заражения вредоносным софтом не обязательно даже иметь учётную...
Группа исследователей из нескольких университетов Германии разработала новый метод MITM-атаки на HTTPS, дающий возможность извлечь Cookie с идентификаторами сеанса и другие конфиденциальные данные, а также добиться выполнения произвольного кода JavaScript в контексте другого сайта. Атака получила название ALPACA и может быть применена к TLS-серверам, реализующим разные протоколы прикладного уровня (HTTPS, FTPS, SMTP, IMAP, POP3), но использующим общие TLS-сертификаты.
Суть атаки в том, что при наличии контроля над сетевым шлюзом или точкой беспроводного доступа атакующий может перенаправить web-трафик на другой сетевой порт и организовать установку соединения с FTP или почтовым сервером, поддерживающими TLS-шифрование и использующими...
Изображение: Ryoji Iwata
Исследователи Kaspersky Security обнаружили нового злоумышленника, получившего название PuzzleMaker, который использовал цепочку эксплойтов нулевого дня Google Chrome и Windows 10 в целенаправленных атаках против нескольких компаний по всему миру.
По словам Касперского, атаки, координируемые PuzzleMaker, были впервые обнаружены в середине апреля, когда были скомпрометированы сети первых жертв.
Цепочка эксплойтов нулевого дня, развернутая в кампании, использовала уязвимость удаленного выполнения кода в движке JavaScript Google Chrome V8 для доступа к целевым системам.
Затем злоумышленники PuzzleMaker использовали эксплойт повышения привилегий, специально разработанный для компрометации последних версий...
Фишинговая кампания, замеченная недавно исследователями по информационной безопасности, доставляет жертвам новый вариант старого трояна, открывающего злоумышленникам удалённый доступ (RAT). Основная цель операторов вредоноса — выкрасть имена пользователей, пароли и другую конфиденциальную информацию.
Речь идёт о зловреде Agent Tesla, который впервые попался специалистам в 2014 году. Создатели трояна делали изначальный упор на кражу учётных данных из Windows. Для этого вредоносная программа использовала кейлогер, отправляющий каждое нажатие клавиши жертвы злоумышленнику.
В новом исследовании компании Fortinet эксперты описывают новый вариант Agent Tesla, который доставляется на компьютеры пользователей посредством фишинговых...
Как предполагалось ранее, после переустановки приложения или смены устройства код безопасности Signal меняется, однако это происходит не всегда.
Исследователи безопасности сделали интересное открытие, используя мессенджер Signal на разных платформах. Когда пользователь или кто-то из списка его контактов переустанавливает приложение или переходит на новое устройство уникальный код безопасности Signal, защищающий разговоры и переписку между ними, меняется не всегда.
Код безопасности – это функция Signal, позволяющая пользователям проверять безопасность своих сообщений и звонков. У пользователя мессенджера и каждого его контакта есть уникальный номер безопасности, играющий роль отпечатка, который помогает обоим контактам проверять...
Новое вредоносное ПО, действующее более года, взламывает контейнеры Windows для компрометации кластеров Kubernetes с конечной целью скрыть их и прокладывать путь злоумышленникам для использования их в других вредоносных действиях.
Kubernetes , изначально разработанный Google и в настоящее время поддерживаемый Cloud Native Computing Foundation, представляет собой систему с открытым исходным кодом, которая помогает автоматизировать развертывание, масштабирование и управление контейнерными рабочими нагрузками, службами и приложениями в кластерах хостов.
Он организует контейнеры приложений в поды, узлы (физические или виртуальные машины) и кластеры, при этом несколько узлов образуют кластеры, управляемые мастером, который координирует...
Мультиплатформенное вредоносное ПО на основе Python, нацеленное на устройства Windows и Linux, теперь было обновлено, чтобы проникнуть на открытые в Интернете серверы VMware vCenter, не защищенные от уязвимости удаленного выполнения кода.
Вредоносная программа, названная в январе исследователями CheckPoint FreakOut (также известная как Necro и N3Cr0m0rPh), представляет собой обфусцированный скрипт Python, предназначенный для уклонения от обнаружения с помощью полиморфного движка и руткита пользовательского режима, скрывающего вредоносные файлы, попавшие в скомпрометированные системы.
FreakOut распространяется за счет использования широкого спектра уязвимостей ОС и приложений и перебора паролей через SSH, добавляя зараженные устройства...
Недавняя атака программ-вымогателей на Colonial Pipeline вдохновила злоумышленника создать новую фишинговую приманку, чтобы обманом заставить жертв загрузить вредоносные файлы.
Электронные письма предназначены для срочных уведомлений о загрузке и установке обновления системы, которое защитит от новейших штаммов программ-вымогателей.
Хорошо составленные электронные письма
Злоумышленники не потеряли много времени после инцидента с Colonial Pipeline и использовали его в качестве темы в новой фишинг-кампании, развернутой через пару недель.
Исследователи облачной платформы безопасности электронной почты INKY проанализировали атаку, которая пыталась скомпрометировать компьютерные системы с помощью инструмента тестирования на проникновение...
Спешка при переносе ключевых корпоративных приложений в облако ведет к ослаблению общей защищенности корпоративной среды. Для того, чтобы эти ошибки не стали критическими и не нанесли компании непоправимый вред, необходимо избегать ошибок, хотя бы самых распространенных.
Затраты на облачную безопасность растут опережающими темпами
В условиях пандемии во многих организациях увеличили объемы использования облачных приложений в связи с потребностью организовать дистанционную работу для сотрудников. Общие рекомендации по укреплению облачной безопасности соблюдают многие. Нужно обеспечить полную прозрачность обновленной инфраструктуры, особенно если это гибридная облачная среда, в которой данные распределены между локальными серверами и...
Исследователи безопасности обнаружили новое вредоносное ПО под названием SkinnyBoy, которое использовалось в целевых фишинговых кампаниях, приписываемых русскоязычной хакерской группе APT28.
Злоумышленник, также известный как Fancy Bear, Sednit, Sofacy, Strontium или PwnStorm, использовал SkinnyBoy в атаках на военные и правительственные учреждения в начале этого года.
Классическая тактика, новый инструмент
SkinnyBoy предназначен для промежуточного этапа атаки, для сбора информации о жертве и получения следующей полезной нагрузки с сервера управления и контроля (C2).
По данным Cluster25 исследованию угроз , APT28, вероятно, начал эту кампанию в начале марта, сосредоточив внимание на министерствах иностранных дел, посольствах...