Жертвами MATA оказались представители разных отраслей по всему миру.
Специалисты из «Лаборатории Касперского» обнаружили новый вредоносный фреймворк, который злоумышленники используют для осуществления кибератак на операционные системы Windows, Linux и macOS по всему миру.
Вредоносная программная платформа, получившая название MATA, впервые была обнаружена исследователями в апреле 2018 года. Жертвами MATA оказались представители разных отраслей — разработчики ПО, интернет-провайдеры, online-магазины и пр. Вредоносная активность преступников была зафиксирована в Польше, Германии, Турции, Корее, Японии и Индии.
Первые атаки с использованием MATA были направлены на устройства под управлением Windows и осуществлялись в несколько...
Для критической уязвимости в .NET опубликован PoC-эксплоит
22 Июля, 2020
По мнению ИБ-экспертов, эксплуатация уязвимости в .NET куда более вероятна по сравнению с нашумевшей SigRed.
Исправленная на прошлой неделе червеобразная уязвимость SigRed в Windows Server 2003-2019 затмила другие опасные уязвимости, также исправленные Microsoft в рамках июльского «вторника исправлений». К таковым в частности относится уязвимость CVE-2020-1147 в Microsoft SharePoint, позволяющая удаленно выполнить код. Учитывая, что на этой неделе для нее был опубликован PoC-эксплоит, пользователям настоятельно рекомендуется установить обновление безопасности от Microsoft.
Уязвимость присутствует в двух компонентах .NET (DataSet и DataTable), использующихся...
Спустя неделю после «вторника обновлений» и исправления более чем десятка уязвимостей компания Adobe выпустила несколько внеплановых патчей. Свежие «заплатки» устраняют ряд критических уязвимостей в продуктах компании, включая Bridge, Photoshop и Prelude.
В пакет исправлений вошли патчи для пяти критических ошибок в Photoshop (для Windows и macOS). Все они позволяют выполнить произвольный код в уязвимой системе. Три из них — результат бага out-of-bounds записи (CVE-2020-9684, CVE-2020-9685, CVE-2020-9687), тогда как еще две связаны с out-of-bounds чтением (CVE-2020-9683 и CVE-2020-9686). Пользователям Photoshop CC 2019 рекомендуется обновиться до версии 20.0.10 и выше, а пользователям Photoshop CC до версии и 21.2.1 или новее.
Для...
Малварь ThiefQuest больше не шифрует файлы своих жертв
21.07.20
В конце июня 2020 года ИБ-специалисты обнаружили вымогательское ПО ThiefQuest, нацеленное на устройства под управлением macOS. ThiefQuest представлял собой не просто шифровальщик: малварь также устанавливала на зараженные машины кейлоггер и реверс шелл для полного контроля над скомпрометированными хостами. ТакжеThiefQuest позволяет своим операторам похищать различную информацию с зараженных машин, включая изображения, документы, базы данных, исходный код, ключи шифрования и данные криптовалютных кошельков.
Специалисты писали, что шифровальщик распространяется с пиратским софтом, например, ThiefQuest был найден в программном пакете Google Software Update, в пиратской...
В сеть утекли 1,2 ТБ данных от семи провайдеров VPN, которые обещали не собирать логи
21.07.20
Сразу несколько провайдеров VPN с «без регистрации» обвинили в открытом хранении пользовательских журналов, которые оказались доступны в интернете. В сети появилось 1,2 ТБ данных, которые в некоторых случаях включают пароли, личную информацию и список посещенных веб-сайтов, всего более миллиарда записей.
Первым утечку обнаружил Боб Дьяченко из Comparitech. Он нашел 894 ГБ записей в незащищенном кластере Elasticsearch, который принадлежал UFO VPN. База включала пароли, токены сеансов VPN, IP-адреса пользовательских устройств и серверов VPN, к которым они подключались, временные метки подключения, информация о местоположении, характеристиках...
Bad Power атака на адаптеры быстрой зарядки
21.07.20
Исследователи безопасности из китайской компании Tencent представили (интервью) новый класс атак BadPower, нацеленный на поражение зарядных устройств для смартфонов и ноутбуков, поддерживающих протокол быстрой зарядки. Атака позволяет инициировать передачу зарядным устройством чрезмерной мощности, на которую не рассчитано оборудование, что может привести к выходу из строя, расплавлению частей или даже возгоранию устройства.
Атака производится со смартфона жертвы, управление которым захвачено атакующим, например, через эксплуатацию уязвимости или внедрение вредоносного ПО (устройство одновременно выступает в качестве источника и объекта атаки). Метод может применяться для...
Инструмент для Windows Store позволяет отключить защиту антивирусного ПО
21.07.20
Злоумышленник может с помощью инструмента wsreset.exe удалять произвольные файлы.
Исследователь безопасности Дэниел Геберт (Daniel Gebert) обнаружил , что легитимный инструмент wsreset.exe для Windows Store может быть использован злоумышленниками для удаления произвольных файлов.
Wsreset.exe представляет собой инструмент для устранения неполадок, позволяющий пользователям диагностировать проблемы в Windows Store и сбрасывать его кэш. Поскольку wsreset.exe работает с повышенными привилегиями, взаимодействуя с настройками Windows, обнаруженная проблема позволяет злоумышленникам удалять произвольные файлы.
При создании файлов временного кэша и...
Android-малварь BlackRock ворует пароли и данные карт
17.07.20
Исследователи компании ThreatFabric опубликовали отчет об изучении нового Android-трояна, получившего название BlackRock. Данная малварь ориентирована на кражу данных из различных приложений, включая приложения для знакомств, мессенджеры, продукты банков, социальные сети и так далее. В общей сложности троян может атаковать 337 приложений.
Впервые эта угроза была замечена в мае текущего года, но своими корнями BlackRock уходит гораздо дальше. Дело в том, что троян основан на «утекших» исходных кодах другой малвари, Xerxes, которая, в свою очередь, тоже базировалась на исходниках другого вредоносного ПО.
Корни BlackRock лежат где-то в коде LokiBot
Отмечается, что при...
Исследователи в области кибербезопасности из компании Check Point раскрыли новую критическую уязвимость, которая затрагивает версии Windows Server 2003–2019 с оценкой критичности 10 из 10 по шкале CVSS.
17-летний программный недостаток приводит к удаленному выполнению кода (CVE-2020-1350), названному Check Point «SigRed» и может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, получить права администратора домена над целевыми серверами и получить полный контроль над ИТ-инфраструктурой организации.
Атакующий может использовать уязвимость SigRed, отправляя специально созданные вредоносные DNS-запросы на DNS-сервер Windows и выполнять произвольный код, позволяя хакеру перехватывать и обрабатывать электронные...
Google хочет проникнуть в жизнь каждого через носимую электронику: новые очки, VR и умные татуировки
16.07.2020
Во время последней пандемии люди во всём мире застряли в своих домах, и технологии выручили многих, давая возможность по-новому развлекаться и общаться друг с другом. Компания Google активно работает над несколькими новыми идеями, которые могут очень скоро повлиять на нашу жизнь.
Ресурс CNet выпустил большой и подробный рассказ о нескольких проектах, над которыми трудятся специалисты Google. Некоторые из них разрабатываются внутри компании в рамках «Лаборатории Взаимодействия» (Interaction Lab) — части исследовательского подразделения Google Research.
Алекс Овал (Alex Olwal), который в настоящее время возглавляет...
Официально запущен сервис Mozilla VPN
16.07.20
Компания Mozilla ввела в строй сервис Mozilla VPN, который позволяет организовать работу до 5 устройств пользователя через VPN по цене $4.99 в месяц. Доступ к Mozilla VPN пока открыт для пользователей из США, Великобритании, Канады, Новой Зеландии, Сингапура и Малайзии. VPN-приложение доступно только для Windows, Android и iOS. Поддержку Linux и macOS обещают добавить позднее. Подключение к сервису производится при помощи протокола WireGuard.
Работу сервиса обеспечивает около 280 серверов шведского VPN-провайдера Mullvad, размещённых в более чем 30 странах. Mullvad обязался выполнять рекомендации Mozilla по соблюдению конфиденциальности, не отслеживать сетевые запросы и не сохранять...
Twitter: беспрецедентная атака хакеров на аккаунты знаменитостей была скоординирована
16.07.2020
Социальная сеть Twitter обнародовала некоторые подробности беспрецедентной хакерской атаки, в ходе которой для мошенничества с криптовалютой были взломаны аккаунты крупных компаний, политиков и знаменитостей. Проверка показала, что атака не могла быть осуществлена без доступа к внутренним инструментам администрирования.
«Мы обнаружили скоординированную атаку со стороны группы людей, которые использовали в качестве объектов внедрения некоторых наших сотрудников, имеющих доступ к внутренним системам и инструментам. Мы знаем, что злоумышленники использовали административный доступ, чтобы взять под контроль учётные записи знаменитых людей...
Приложение Welcome Chat шпионит за пользователями
16.07.20
Аналитики компании ESET обнаружили вредоносное Android-приложение Welcome Chat. Оно распространяется через веб-сайт, на котором пользователям предлагают попробовать новый защищенный чат, якобы доступный в Google Play.
Сайт Welcome Chat
На самом деле приложение было спайварью, операторы которой хранили данные пострадавших в открытом доступе, и оно никогда не было доступно в официальном каталоге. Это подтверждается тем, что для установки Welcome Chat требуется дать соответствующее разрешение на установку приложения из стороннего источника.
Рассматриваемый вредонос нацелен преимущественно на арабоязычных пользователей из стран Ближнего Востока. И следователи полагают, что за...
Microsoft устранила критическую уязвимость 17-летней давности в Windows
15.07.20
В мае текущего года специалисты компании Check Point обнаружили критическую уязвимость в составе Windows DNS Server, получившую кодовое имя SigRed и идентификатор CVE-2020-1350. Уязвимость получила 10 баллов из 10 возможных по шкале оценки уязвимостей CVSSv3. Такой рейтинг означает, что ошибка крайне проста в использовании, и ее эксплуатация почти не требует технических знаний. Также уязвимость может быть использована для автоматизированных удаленных атак и не требует предварительной аутентификации.
Так как уязвимость существовала в коде 17 лет, проблема представляет опасность для всех версий Windows Server, выходивших с 2003 по 2019 год.
Эксперты...
Microsoft исправила 123 уязвимости в 13 продуктах
15 Июля, 2020
22 исправленные уязвимости позволяют удаленное выполнение кода.
Во вторник, 14 июля, компания Microsoft выпустила плановые июльские обновления безопасности, исправляющие 123 уязвимости в 13 продуктах. Ни одна из исправленных уязвимостей не эксплуатировалась в реальных атаках.
Самой опасной из исправленных уязвимостей является SigRed ( CVE-2020-1350 ), затрагивающая DNS-компонент Windows Server. Уязвимость позволяет захватить полный контроль над IT-инфраструктурой предприятия и автоматизировать атаки, позволяя им в мгновение ока распространиться по всей корпоративной сети.
В список опасных уязвимостей, исправленных Microsoft в рамках «вторника исправлений», также...
ПО Joker в очередной раз обошло механизмы Google Play Store
13 Июля, 2020
На этот раз вредоносная программа Joker скрывает вредоносный код внутри файла манифест Android в легитимных приложениях.
Печально известное вредоносное ПО Joker скрывается в файле манифеста Android –– в этом файле содержится вся необходимая информация для работы приложения. Каждое приложение содержит этот файл. Благодаря этому Joker незаметно подписывает жертв на платные сервисы
Команда исследователей Check Point Research рассказало о новом способе, который использует Joker обхода механизмов защиты Google Play Store . Впервые его обнаружили в 2017 году: это шпионское ПО может получить доступ к уведомлениям, читать и отправлять SMS-сообщения. Joker использует...
Малварь распостраняется через неактивные домены
13.07.20
Аналитики «Лаборатории Касперского» обнаружили необычную схему распространения вредоносного ПО. Злоумышленники используют более тысячи неактивных доменов для для перенаправления пользователей на нежелательные и вредоносные сайты.
Исследователи рассказывают, что давно обращали внимание на ссылки под старыми роликами на YouTube или в статьях «Википедии», которые в какой-то момент становились вредоносными и начинали вести на страницы партнерских программ, фишинговые сайты или загрузку малвари. Складывалось впечатление, что злоумышленники целенаправленно выкупали домены, но такой сценарий всегда казался специалистам чересчур сложным.
Изучив поведение легитимной...
Avira Free Antivirus крадёт пароли пользователей из основных браузеров
7.05.20
Константин Николенко (@Veliant), один из участников площадки «Хабр», рассказал о сомнительных функциях бесплатного антивирусного продукта от компании Avira (Avira Free Antivirus). По словам исследователя, один из компонентов бесплатной версии собирает учётные данные пользователей.
Первым делом Николенко обращает наше внимание на компонент с именем «Avira.PWM.NativeMessaging.exe», скомпилированный для платформы .NET и при этом ничем не обфусцированный.
Изучив часть программы, специалист отметил функцию считывания при помощи «Read», проверки формата и передачи команды в другую функцию — «ProcessMessage». Последняя проверяет полученную команду на...
Microsoft и Intel упростят идентификацию вредоносного ПО путём его преобразования в изображения
12.05.2020
Стало известно о том, что специалисты компаний Microsoft и Intel занимаются совместной разработкой нового метода идентификации вредоносного программного обеспечения. В основе метода лежит глубокое обучение и система представления вредоносного ПО в виде графических изображений в градациях серого.
Источник сообщает, что исследователи Microsoft из аналитической группы по защите от угроз совместно с коллегами из Intel изучают возможность использования глубокого обучения для борьбы с вредоносным ПО. Разрабатываемая система получила название STAtic Malware-as-Image Network Analysis, или STAMINA. Система обрабатывает бинарные файлы...
Уязвимость PrintDemon опасна для всех версий Windows,выпущенных после 1996г.
14.05.20
ИБ-специалисты Алекс Ионеску и Ярден Шафир опубликовали информацию об уязвимости PrintDemon, которая связана со службой печати в Windows. По словам исследователей, эта проблема затрагивает все версии ОС, начиная с Windows NT 4, выпущенной в далеком 1996 году. На GitHub уже доступен PoC-эксплоит для PrintDemon.
Корень проблемы PrintDemon кроется в компоненте Windows Print Spooler, который управляет операциями печати в Windows. Служба используется для отправки данных для печати на USB или параллельный порт (для физически подключенных принтеров), на порт TCP (для принтеров, находящихся в локальной сети или в интернете), или в локальный файл (в тех...