Операторы малвари Purple Fox пополнили свой арсенал новым вариантом трояна удаленного доступа FatalRAT, а также обновили механизмы уклонения от защитных механизмов, сообщают эксперты Trend Micro.
Исследователи пишут, что атаки на машины пользователей осуществляются с помощью троянов, замаскированных под установщики обычных приложений. К примеру, вредоносы маскируются пол WhatsApp, Adobe Flash Player и Google Chrome, Telegram и так далее.
Такие фальшивки представляют собой загрузчики первого этапа, запуская цепочку заражения, которая в итоге приводит к развертыванию полезной нагрузки второго уровня с удаленного сервера и завершается выполнением бинарника, наследующего свои функции от FatalRAT.
FatalRAT написан на C++ и...
30.03.22
Checkmarx обнаружили угрозу, связанную с деятельностью злоумышленника RED-LILI, отметившегося созданием и доставкой сотен вредоносных пакетов в экосистему NPM в режиме автоматизации, что вызывает серьёзные опасения в контексте атак на цепочки зависимостей, особенно на фоне последних инцидентов с саботажем отдельных разработчиков.
По данным Checkmarx, RED-LILI полностью автоматизировал процесс создания учеток NPM для проведения атак с путаницей зависимостей, которые трудно обнаружить.
Обычно злоумышленники для этих целей используют анонимную одноразовую учетную запись NPM, с которой они запускают свои атаки. В этой ситуации
злоумышленник полностью автоматизировал процесс их создания, создав выделенные учетные записи на каждый...
Microsoft теперь позволяет пользователям Windows блокировать драйверы, в которых содержатся известные уязвимости. За эту функциональность будут отвечать приложение Windows Defender Application Control (WDAC) и список уязвимых драйверов.
Новая функция является частью набора Core Isolation, предназначенного для устройств, использующих основанную на виртуализации защиту. Блокировка потенциально опасных драйверов работает на Windows 10, Windows 11 и Windows Server 2016 с включённой целостностью кода (HVCI).
В сущности, WDAC представляет собой дополнительный софтовый слой безопасности, отвечающий за блокировку уязвимых драйверов и защиту систем Windows от потенциально опасных программ. Задача WDAC — убедиться, что ОС загружает только...
Microsoft выпустила необязательную предварительную версию накопительного обновления KB5011563 для Windows 11 с исправлениями стоп-ошибок, вызывающих появление синих экранов смерти (BSOD) и других проблем.
Это предварительное обновление является частью запланированных Microsoft ежемесячных обновлений «C» на март 2022 года, что позволяет пользователям Windows 11 тестировать предстоящие исправления, выпущенные 12 апреля в рамках вторника исправлений в следующем месяце.
В отличие от обычных обновлений Windows по вторникам исправлений, запланированные предварительные выпуски «C», не связанные с безопасностью, являются необязательными. Они используются только для тестирования исправлений ошибок и улучшения производительности перед общим...
28 марта, 2022
Преступники распространяют троянизированное ПО, замаскированное под легитимные программы.
Операторы вредоносного ПО Purple Fox дополнили свой арсенал новым вариантом трояна для удаленного доступа под названием FatalRAT, а также обновили свои методы методы обхода антивирусных решений.
По словам исследователей из Trend Micro, преступники атакуют пользователей, распространяя троянизированное ПО, замаскированное под легитимные программы, включая Telegram, WhatsApp, Adobe Flash Player и Google Chrome.
Установщики запускают последовательность заражения, которая приводит к развертыванию полезной нагрузки второго уровня с удаленного сервера и завершается выполнением двоичного файла с функциями FatalRAT.
FatalRAT — бэкдор...
28.03.22
Проблема безопасности позволяет злоумышленникам проводить успешные фишинговые атаки
Специалисты обнаружили метод, который позволял злоумышленникам создавать правдоподобные фишинговые сообщения в iMessage, WhatsApp, Signal и других мессенджерах в течение последних трёх лет.
В атаках использовались уязвимости, связанные с ошибкой рендеринга. Это приводило к тому, что URL-адреса с символами Unicode RTLO отображались в приложениях неправильно, что позволяло осуществлять атаки с подменой URL.
При вставке символа RTLO в строку браузер или приложение для обмена сообщениями отображает строку справа налево, а не ее обычную ориентацию слева направо. Этот символ преимущественно используется для отображения сообщений на арабском языке...
27 марта 2022 г.
Компания Sophos устранила критическую уязвимость в своем продукте Sophos Firewall, позволяющем выполнять удаленное выполнение кода (RCE).
Отслеживаемая как CVE-2022-1040, уязвимость обхода аутентификации существует в пользовательском портале и в областях веб-администрирования брандмауэра Sophos.
Ошибка RCE в консоли веб-администрирования
В пятницу Sophos сообщила о критической уязвимости удаленного выполнения кода, затрагивающей Sophos Firewall версии 18.5 MR3 (18.5.3) и более ранних версий, для которой компания выпустила исправления.
Уязвимость, присвоенная CVE-2022-1040 с оценкой CVSS 9,8 , позволяет удаленному злоумышленнику, который может получить доступ к пользовательскому порталу брандмауэра или интерфейсу...
26.03.22
Эксперты Trustwave SpiderLabs проанализировали заинтересовавшую их вредоносную email-кампанию, выявленную месяц назад. Ее целью являлся засев хорошо известного инфостилера Vidar, но его доставка осуществлялась новым, многоступенчатым методом, притом с использованием файла в безобидном формате .chm.
Вредонос Vidar не ассоциирован с какой-либо криминальной группой; это коммерческий продукт, который всегда можно приобрести на черном рынке. Написанный на C++ код часто обновляют, чтобы уберечь от детектирования, и распространяют в основном через спам-рассылки.
В данном случае письма злоумышленников были снабжены вредоносным вложением и использовали форму ответа на некое предыдущее послание. Получателю предлагали ознакомиться с...
25 марта 2022 г.
Современные наборы для фишинга, продаваемые на форумах по киберпреступности в виде готовых пакетов, включают несколько сложных систем предотвращения обнаружения и фильтрации трафика, чтобы гарантировать, что решения для интернет-безопасности не пометят их как угрозу.
В Интернете много поддельных веб-сайтов, имитирующих известные бренды, чтобы заманить жертв и украсть их платежные реквизиты или учетные данные.
Большинство этих веб-сайтов создаются с использованием фишинговых наборов , которые содержат логотипы брендов, реалистичные страницы входа и, в случае расширенных предложений, динамические веб-страницы, собранные из набора базовых элементов.
Расширенный словарь комплекта фишинга (Касперский)
Злоумышленники...
Северокорейские государственные хакеры использовали уязвимость нулевого дня для удаленного выполнения кода в веб-браузере Google Chrome более чем за месяц до того, как стало доступно исправление, в атаках, направленных на средства массовой информации, ИТ-компании, криптовалютные и финтех-организации.
Группа анализа угроз Google (TAG) приписала две кампании, использующие недавно исправленную CVE-2022-0609 (на данный момент описываемую только как «использовать после бесплатного использования в анимации»), двум отдельным группам злоумышленников, поддерживаемым правительством Северной Кореи.
Эксплойт активно развертывается с начала января
В отчете, предварительно предоставленном BleepingComputer, Google TAG подробно описывает тактику...
24.03.22
С начала пандемии число кибермошенничества во всем мире увеличилось. Снова и снова компании, занимающиеся кибербезопасностью, выпускают отчеты, связанные с неправомерным использованием наших личных и финансовых данных.
В недавнем исследовании поставщик услуг VPN NordVPN указал, что в среднем дебетовую или кредитную карту можно взломать всего за шесть секунд. Компания опубликовала свои результаты после исследования около 4 миллионов дебетовых и кредитных карт, которые в настоящее время используются в 140 странах.
В отчете отмечается, что наиболее распространенным методом получения доступа к платежной карте является брутфорс. В компании пояснили, что брутфорс можно провести всего за несколько секунд.
Мариюс Бриедис...
затронуты серии Inspiron, Vostro, XPS и Alienware
24.03.2022
В BIOS компьютеров компании Dell обнаружены пять новых уязвимостей, эксплуатация которых позволяет осуществить выполнение произвольного кода на затронутых проблемой системах. Эти баги присоединились к списку недавно обнаруженных проблем в UEFI от Insyde Software.
Источник изображения: thehackernews.com
Новые уязвимости отслеживаются под идентификаторами CVE-2022-24415, CVE-2022-24416, CVE-2022-24419, CVE-2022-24420 и CVE-2022-24421. Все они представляют серьёзную угрозу и оценивают в 8,2 балла из 10 возможных по шкале CVSS. Все новые уязвимости связаны с некорректной проверкой вводимых данных и оказывают влияние на работу System Management Mode прошивки, что позволяет...
Исследователи провели технический эксперимент, протестировав десять вариантов программ-вымогателей, чтобы определить, насколько быстро они шифруют файлы, и оценить возможность своевременного реагирования на их атаки.
Программа-вымогатель — это вредоносное ПО, которое перечисляет файлы и каталоги на скомпрометированной машине, выбирает допустимые цели шифрования, а затем шифрует данные, поэтому они недоступны без соответствующего ключа дешифрования.
Это не позволяет владельцу данных получить доступ к файлам, поэтому атаки программ-вымогателей осуществляются либо для уничтожения данных и нарушения работы, либо для финансового вымогательства с требованием выплаты выкупа в обмен на ключ дешифрования.
Скорость шифрования устройства важна...
Смартфоны на Android отправляют в Google все данные о звонках и переписке пользователей. Отменить это нельзя
Исследование ирландского ученого показало, что стандартные приложения Android для совершения телефонных звонков и обмена текстовыми сообщениями собирают множество информации о пользователе, в том числе чувствительной. Помимо истории вызовов, Google хранит на своих серверах переписку владельца устройства, хоть и в хешированном виде. В Google ознакомились с исследовательской работой и согласились внести кое-какие полезные для потребителя изменения.
Google знает больше, чем нужно
Мобильные приложения Google для совершения звонков и отправки SMS для устройств на базе операционной системы Android уличили в сборе широкого спектра...
По мнению эксперта, РФ может последовать примеру КНДР и использовать APT-группы как источник дохода в условиях жестких санкций.
До сих пор российские киберпреступники атаковали западные компании практически безнаказанно, и теперь, когда Россия оказалась изолирована от мира и на грани дефолта, кибератаки на западные компании могут усилиться.
Запад уже давно называет Россию «раем» для киберпреступников, и, хотя многие хакеры заявляли о совей аполитичности, эксперты не придают этим заявлениям большого значения, поскольку основной мишенью для их атак всегда были западные компании.
По мнению директора нью-йоркской ИБ-компании Redpoint Labs Дэвида Дункана (David Duncan), российские APT-группы теперь сосредоточатся на западных компаниях и...
Билл Тулас
22 марта 2022 г.
Продолжается новая кампания по распространению вредоносного ПО BitRAT, в ходе которой пользователи хотят бесплатно активировать пиратские версии ОС Windows с помощью неофициальных активаторов лицензий Microsoft.
BitRAT — это мощный троян для удаленного доступа, который продается на форумах по киберпреступности и на рынках даркнета всего за 20 долларов (пожизненный доступ) любому киберпреступнику, который этого захочет.
Таким образом, каждый покупатель придерживается собственного подхода к распространению вредоносного ПО, начиная от фишинга, водопоя и заканчивая троянским программным обеспечением.
Ориентация на пиратов с помощью вредоносных программ
В ходе новой кампании по распространению вредоносных...
Android-вредонос, крадущий пароли от Facebook, заразил 100 000 устройств Екатерина Быстрова 22 марта 2022 - 09:05 Домашние пользователиAndroidТрояныУтечки информацииУмышленные утечки информации ... Вредоносная программа для Android, нацеленная на кражу учётных данных Facebook-аккаунтов, пробралась более чем на 100 тысяч мобильных устройств через официальный магазин приложений — Google Play Store.
Зловред до сих пор можно загрузить, поэтому пользователям стоит быть внимательнее. Авторы замаскировали свой инфостилер под софт для стилизации фотографий. Программа получила имя «Craftsart Cartoon Photo Tool», а в описании заявлено, что она превратит ваши снимки в карикатуры (сел-шейдинг). Как выяснили специалисты компании Pradeo, это...
22 марта, 2022
Группировка Lapsus$ предположительно взломала внутренние репозитории исходного кода Azure DevOps и украла данные.
Специалисты компании Microsoft начали расследование утверждений о том, что хакерская группировка Lapsus$ взломала внутренние репозитории исходного кода Azure DevOps и украла данные.
Участники Lapsus$ опубликовали в мессенджере Telegram скриншот предполагаемых внутренних репозиториев исходного кода. Снимок экрана относится к репозиторию Azure DevOps, содержащему исходный код для Cortana и различных проектов Bing с именами «Bing_STC-SV», «Bing_Test_Agile» и «Bing_UX». На скриншоте также показаны другие репозитории исходного кода, но неизвестно, что в них содержится.
Microsoft пока не подтвердила, что их...
Microsoft добавила поддержку Audio CD в новый медиаплеер
Windows 11
21.03.22
На днях компания Microsoft выпустила сборку Windows 11 под номером 22579 для участников программы предварительной оценки (Windows Insiders). Помимо усовершенствования ряда функций, включая папки и меню «Пуск», появилась новая возможность в медиаплеере — теперь он способен работать с Audio CD.
Источник изображения: Bru-nO/pixabay.com
Компакт-диски давно уже не являются самыми востребованными носителями аудиотреков, многие компьютеры даже не имеют соответствующих приводов. Тем не менее в 2021 году, впервые с 2004 года в США выросли продажи CD — с 31,6 млн до 46,6 млн, а среди меломанов всё ещё очень много сторонников старого формата.
Microsoft добавила...
11:30 / 21 марта, 2022
В рамках атаки создается полностью поддельное окно браузера, включая значки доверия.
Исследователь в области информационной безопасности, использующий псевдоним mr.d0x, описал новую атаку «браузер в браузере» (browser-in-the-browser, BitB). Новый способ кражи учетных данных для входа в систему имитирует всплывающие окна браузера от Google, Microsoft и других поставщиков услуг аутентификации, которые запрашивают имя пользователя и пароль.
Такие службы, как Google Sign-In, будут отображать URL-адрес Google на панели навигации всплывающего окна, убеждая пользователя в безопасности процесса аутентификации. А обход данных средств защиты, встроенных в браузер пользователя, затруднен из-за отсутствия уязвимостей и...