Пресловутая банда TrickBot выпустила новый легкий инструмент разведки, используемый для обнаружения в сети зараженной жертвы важных целей.
На прошлой неделе исследователи безопасности начали замечать фишинговую кампанию, обычно используемую для распространения вредоносного ПО TrickBot BazarLoader, переключающегося на установку нового вредоносного сценария PowerShell.
Как и фишинговые кампании BazarLoader, фишинговые электронные письма LightBot якобы отправлены сотрудниками отдела кадров или юридическим отделом в связи с жалобой клиента или увольнением получателя.
Как видно из электронного письма LightBot, отправленного на мой адрес электронной почты, они содержат ссылки на документ на Meet Google Drive – One place for all your files...
GO SMS Pro, Android-приложение для обмена мгновенными сообщениями, которое было установлено более чем 100 миллионами, публично раскрывает личные мультимедийные файлы, которыми пользуются его пользователи.
Злоумышленники, злоупотребляющие уязвимостью в приложении, могут получить доступ к приватным голосовым сообщениям, видео и фотографиям, которыми обмениваются пользователи GO SMS Pro, как обнаружили исследователи безопасности Trustwave три месяца назад.
Как раскрываются личные медиафайлы
К частным медиафайлам, отправленным пользователями контактам, на устройствах которых не установлено приложение, можно получить доступ с серверов приложения с помощью сокращенного URL-адреса, который перенаправляет на сервер сети доставки контента...
Злоумышленники злоупотребляют бесплатными инструментами и услугами Google для создания убедительных фишинговых кампаний, которые крадут ваши учетные данные или заставляют вас установить вредоносное ПО.
Google предлагает широкий спектр бесплатного программного обеспечения и услуг, которые позволяют пользователям создавать документы, электронные таблицы, онлайн-формы и бесплатные веб-сайты. Эти инструменты используются учащимися, учителями, потребителями и предприятиями как простой способ обмена документами, проведения опросов или даже создания сайтов бесплатно.
К сожалению, если услуга бесплатна для нас, злоумышленники также могут злоупотреблять ею по своему усмотрению.
Злоумышленники бесплатно злоупотребляют сервисами Google
В новом...
Корпорация Microsoft представила аппаратное решение, предназначенное для защиты будущих компьютеров под управлением Windows. Речь идёт о системе Microsoft Pluton, которая интегрируется в процессоры и представляет собой замену используемому для обеспечения безопасности в настоящее время модулю Trusted Platform Module (TPM), располагаемому отдельно от процессора.
За последние два года некоторые крупнейшие производители микросхем столкнулись с проблемами, связанными с аппаратными уязвимостями в выпускаемых ими чипах, такими как Meltdown и Spectre. Несмотря на то, что разработчики исправили опасные уязвимости, им пришлось переосмыслить подход к обеспечению безопасности микросхем.
Теперь же был представлен новый сопроцессор безопасности...
Исследователи из компании Morphisec рассказали о малвари Jupyter, написанной на .NET и обнаруженной в сети неназванного учебного заведения в США.
По данным экспертов, троян активен как минимум с мая текущего года и в первую очередь нацелен на хищение данных из браузеров Chromium, Firefox и Chrome. Помимо этого малварь также пытается создать в скомпрометированной системе устойчивый бэкдор, который позволяет злоумышленникам выполнять скрипты и команды PowerShell, а также дает злоумышленникам возможность загружать и выполнять дополнительную малварь.
Установщик Jupyter, как правило, представляет собой исполняемый файл, спрятанный в ZIP-архиве. Этот исполняемый файл часто маскируют, используя иконки Microsoft Word и имена файлов, которые...
Согласно новому отчету, опубликованному исследователями из компании Intel 471, в настоящее время более 25 хак-групп предлагают свои услуги по схеме «вымогатель как услуга» (Ransomware-as-a-Service, RaaS). То есть они сдают вымогательскую малварь в аренду другим преступникам.
По сути, разработчики RaaS-малвари предоставляют готовый код шифровальщиков другим хакерам. Такие «клиенты» арендуют код шифровальщика у его авторов, настраивают его под себя, а затем используют в атаках по своему усмотрению. Так, арендованный шифровальщик может распространяться при помощи целевых фишинговых кампаний, массовых спам-рассылок, использования скомпрометированных учетных данных RDP или эксплуатации уязвимостей в различных сетевых устройствах. У таких...
Microsoft отслеживает текущую фишинговую атаку Office 365, в которой используются несколько методов, позволяющих избежать автоматического анализа атак на корпоративные объекты.
«Мы отслеживаем активную фишинговую атаку с учетными данными, нацеленную на предприятия, которая использует несколько изощренных методов обхода защиты и социальной инженерии», - заявили в Microsoft.
«В кампании используются своевременные приманки, относящиеся к удаленной работе, такие как обновление паролей, информация для конференц-связи, билеты в службу поддержки и т. Д.»
Пользовательские поддомены и автоматическое перенаправление на легитимные домены
Одна из тактик уклонения, используемая в этой атаке с кражей учетных данных, - это использование URL-адресов...
Группа исследователей из Университета Цинхуа и Калифорнийского университета в Риверсайде разработали новый вид атаки (CVE-2020-25705), позволяющей осуществить подстановку фиктивных данных в кэш DNS-сервера, что может использоваться для подмены IP адреса произвольного домена и перенаправления обращений к домену на сервер злоумышленника. Атака позволяет обойти защиту, добавленную в DNS-серверы для блокирования классического метода отравления кэша DNS, предложенного в 2008 году Дэном Камински (Dan Kaminsky).
Метод Каминского манипулирует незначительным размером поля с идентификационным номером запроса DNS, который составляет всего 16 бит. Для подбора корректного идентификатора, необходимого для спуфинга имени хоста, достаточно отправить...
На этих выходных Egregor атаковал одного из крупнейших ритейлеров в Южной Америке Cencosud.
Международная компания розничной торговли со штаб-квартирой в Чили Cencosud подверглась кибератаке вымогательского ПО Egregor, затронувшей работу ее магазинов.
Cencosud является одной из крупнейших компаний розничной торговли в Южной Америке. Ритейлер насчитывает 1,4 тыс. сотрудников, а его доход в 2019 году составил $15 млрд. Cencosud управляет множеством магазинов в Аргентине, Бразилии, Чили, Колумбии и Перу, в том числе магазинами товаров домашнего пользования Easy, супермаркетами Jumbo и универмагами Paris.
На этих выходных компьютерные сети компании атаковало вымогательское ПО, зашифровавшее устройства в магазинах и затронувшее ее...
Ноябрьский набор патчей от Microsoft выглядит серьёзно, поскольку устраняет преимущественно уязвимости, приводящие к удалённому выполнению кода. При этом часть таких брешей получила статус критических.
Всего в ноябре разработчики устранили 112 уязвимостей, 17 — критических. 12 при этом позволяют выполнить код удалённо.
Одна из самых опасных дыр этого месяца получила идентификатор CVE-2020-17087, она присутствует в ядре Windows и позволяет повысить привилегии в системе. Особую тревогу она вызывает из-за наличия эксплойта, который злоумышленники используют в реальных атаках.
По словам исследователей Google Zero Project, которые обнаружили проблему безопасности, баг существует из-за способа обработки ввода-вывода системным драйвером...
Среди публикаций на портале npm найдено несколько пакетов с подозрительными функциями. Один из них при тестировании показал явно враждебное поведение: он пытался извлечь и слить на сторону локальные данные таких приложений, как Google Chrome, Brave, Opera, Яндекс.Браузер и мессенджер Discord, популярный у геймеров. Вредоносная dll-библиотека просуществовала в реестре npm пять месяцев; за это время ее скачали 100 раз.
Эксперты ИБ-компании Sonatype обнаружили потенциально опасные пакеты в результатах мониторинга открытого репозитория. Три из них схожи по назначению: они инициируют запуск конкретного исполняемого файла (bd.exe, dropper.exe или lib.exe). Что это за экзешники, и каким образом они могут появиться в системе, выяснить не...
Исследователи из Лаборатории Касперского выявили версию вымогательского вредоносного ПО RansomEXX для Linux. Изначально RansomEXX распространялся только на платформе Windows и стал известен, благодаря нескольким крупным инцидентам с поражением систем различных госучреждений и компаний, включая Департамент транспорта штата Техас и компанию Konica Minolta.
RansomEXX выполняет шифрование данных на диске, после чего требует выкуп для получения ключа расшифровки. Шифрование организовано при помощи открытой библиотеки mbedtls. После запуска вредоносное ПО генерирует 256-битный ключ и использует его для шифрования всех доступных файлов, применяя блочный шифр AES в режиме ECB. Каждую секунду генерируется новый AES-ключ, т.е. разные файлы...
Атака включает в себя 15 шагов и предполагает использование легитимных инструментов для тестирования безопасности.
Русскоязычная киберпреступная группировка, атакующая компании с высоким доходом с помощью вымогательского ПО Ryuk, получила от одной из своих жертв $34 млн за ключ для восстановления зашифрованных файлов.
Обозначенная как группа «один» в соответствии с идентификацией, полученной от ботнета Trickbot, который способствует развертыванию Ryuk в сетях атакуемых компаний, весьма неразборчива в жертвах. По данным специалиста компании Advanced Intelligence Виталия Кремеза, в число недавних жертв группы «один» входят предприятия технологической и энергетической сфер, финансовые сервисы, организации здравоохранения и госорганы...
Новая программа-вымогатель под названием Pay2Key нацелена на организации из Израиля и Бразилии, зашифровывая их сети в течение часа в целевых атаках, которые все еще расследуются.
Майкл Гиллеспи , создатель ID Ransomware , также видел сообщения от жертв Pay2Key, преимущественно с бразильских IP-адресов.
Хотя эта программа-вымогатель использовалась в атаках против нескольких бразильских организаций, она не связана со вчерашними атаками RansomExx, нацеленными на правительственные сети Бразилии.
Шифрует сети за один час
В новом отчете Check Point исследователи говорят, что злоумышленники, стоящие за вымогателем Pay2Key, скорее всего, используют публично открытый протокол удаленного рабочего стола (RDP) для получения доступа к сетям жертв...
Новая программа-вымогатель RegretLocker использует множество расширенных функций, которые позволяют ей шифровать виртуальные жесткие диски и закрывать открытые файлы для шифрования.
RegretLocker был обнаружен в октябре и представляет собой простую программу-вымогатель с точки зрения внешнего вида, поскольку он не содержит длинных записок о выкупе и использует для связи электронную почту, а не сайт оплаты Tor.
Записка о выкупе RegretLocker
Источник: BleepingComputer
При шифровании файлов он добавляет безобидно звучащее расширение .mouse к зашифрованным именам файлов.
Зашифрованные файлы
RegretLocker Источник: BleepingComputer
Однако недостаток внешнего вида компенсируется расширенными функциями, которые мы обычно не видим при...
Вчера Google выпустила Chrome 86.0.4240.183 для Windows, Mac и Linux, чтобы устранить 10 уязвимостей безопасности, включая удаленное выполнение кода (RCE) нулевого дня, эксплуатируемое в дикой природе.
О нулевом дне сообщили Клемент Лесин из группы анализа угроз Google и Самуэль Гросс из Google Project Zero 29 октября 2020 года.
Нет подробностей относительно атак в дикой природе
Уязвимость RCE отслеживается как CVE-2020-16009 и описывается как несоответствующая реализация в V8 , высокопроизводительном движке WebAssembly и JavaScript с открытым исходным кодом Google и на основе C ++.
Хотя Google заявляет, что ему «известны сообщения о том, что эксплойт для CVE-2020-16009 существует в дикой природе», компания не предоставила никаких...
Чтобы воспользоваться праздником «кошелек или жизнь», банда вредоносных программ Emotet рассылает спам-сообщения, приглашающие вас на вечеринку в честь Хэллоуина.
Emotet - это вредоносное ПО, которое распространяется через электронные письма, содержащие документы Word, содержащие вредоносные макросы. Как только эти документы будут открыты, они попытаются обманом заставить пользователя включить макросы, которые загружают вредоносное ПО Emotet на компьютер.
После установки вредоносного ПО Emotet будет использовать компьютер для рассылки спама и, в конечном итоге, установки другого вредоносного ПО, которое может привести к атаке программ-вымогателей в сети жертвы.
Emotet разыгрывает трюк на Хэллоуин
Банда вредоносных программ Emotet...
Специалисты Google Project Zero обнаружили проблему нулевого дня в ядре Windows (CVE-2020-17087). Сообщается, что данный баг может использоваться злоумышленником с локальным доступом для повышения привилегий и побега из песочницы. Хуже того, его уже применяют в целевых атаках.
Уязвимость связана с работой Windows Kernel Cryptography Driver (cng.sys), а точнее функции cng!CfgAdtpFormatPropertyBlock, и относится к категории багов переполнения буфера (pool-based buffer overflow).
Исследователи опубликовали не только писание уязвимости, но и PoC-эксплоит для нее, использование которого может приводить к сбою в работе уязвимых Windows-устройств, даже если те работают под управлением системы с настройками по умолчанию.
PoC-эксплоит был...
В некоторых случаях развертывание вымогателей происходило в течение 24 часов после взлома.
Специалисты компании FireEye рассказали о ряде вредоносных кампаний по распространению вымогательского ПО, в рамках которых использовалось новые загрузчики KEGTAP (также известный как BEERBOT), SINGLEMALT (также известный как STILLBOT) и WINEKEY (также известный как CORKBOT). В некоторых случаях развертывание вымогателей происходило в течение 24 часов после взлома.
Хотя данные семейства вредоносов взаимодействуют с одним и тем же C&C-сервером и имеют общие функциональные особенности, сходство в коде между ними минимально. Операторы, осуществляющие вредоносные кампании, активно нацелены на больницы, пенсионные сообщества и медицинские центры...
Киберпреступная банда Maze прекращает свою деятельность после того, как стала одним из самых известных игроков, осуществляющих атаки с использованием программ-вымогателей.
Программа-вымогатель Maze начала работать в мае 2019 года, но активизировалась в ноябре.
Именно тогда операция, ориентированная на средства массовой информации, произвела революцию в атаках программ-вымогателей, применив тактику двойного вымогательства.
Сначала они крадут ваши файлы, а затем шифруют их
Хотя программы-вымогатели всегда дразнили новостные сайты и исследователей , по большей части они, как правило, игнорировали электронные письма журналистов.
Это изменилось в ноябре 2019 года, когда Maze связался с BleepingComputer, чтобы сообщить нам, что они украли...