Веб-технологии на службе у Malware и злоумышленников

Тема в разделе "Новости информационной безопасности", создана пользователем SNS-amigo, 16 июл 2015.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Технология захвата браузера с помощью WMI

    Как известно, в составе Windows есть Windows Management Instrumentation (WMI), который может быть использован системными администраторами для получения информации и уведомлений от Windows. С помощью WMI администратор может запросить любую системную информацию, в том числе, какие установлены программы, как используется память на жестком диске, и пр. WMI также может быть использован для запуска VBScript или PowerShell сценариев, когда происходит определенное событие, например, когда создается файл или произошло что-то ещё. К сожалению, эта последняя функция также может быть использована разработчиками вредоносных программ для вредоносной деятельности, такой, как создание бестелесных инфекторов.

    Сегодня мы хотим сообщить о новом бестелесном хайджекере браузера под названием Yeabests.cc . Он заражает ярлыки браузера жертвы путем добавления адреса http://yeabests.cc к ярлыку исполняемого файла в поле "Target" (в рус. версии "Объект"). При клике такого инфицированного ярлыка браузера автоматически откроется сайт yeabests.cc или TopYea.

    hijacked-shortcut.png

    Вредоносная программа регистрирует себя как экземпляр класса ActiveScriptEventConsumer в ROOT\subscription namespace. Этот экземпляр будет называться ASEC и содержать сценарий VBScript, выполняемый каждые 10 секунд. При запуске он будет заражать ярлыки браузера так, чтобы они при запуске открывали сайт Yeabests.cc. Вы можете увидеть этот сконфигурированный экземпляр на скриншоте ниже.

    wmi-explorer.png

    VBScript, который это запускает (в спойлере только часть, полностью см. на сайте-источнике):
    script.png

    При выполнении сценария будут заражаться ярлыки следующих веб-браузеров:
    международные: Internet Explorer, Chrome, Firefox, Opera, Safari, Maxthon;
    китайские: 360 Chrome, Baidu Browser, Liebao, QQ Browser, Sogou Explorer, Tencent Traveler, TheWorld Browser.

    Так как программа установки этой инфекции умеет самоудаляться, не создает каких-либо файлов на жестком диске, и находится только в WMI, большинство антивредоносного ПО и антивирусные программы не смогут обнаружить её.


    // Такая заточенность под китайские браузеры наводит на мысль о её происхождении.

    /// Надеемся, что данная статья и ее русскоязычный вариант дойдут до разработчиков защитных решений и они расширят функционал своих продуктов, который позволит находить и удалять эти типы вредоносных экземпляров, использующих WMI.
     
    lilia-5-0, machito, Охотник и ещё 1-му нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Компрометация сайтов с помощью легального инструмента Browser Exploitation Framework

    «Лаборатория Касперского» сообщила о новом используемом злоумышленниками способе компрометации сайтов. Как оказалось, десятки российских и зарубежных сайтов были взломаны с помощью фреймворка Browser Exploitation Framework (BeEF). Этот инструмент является легальным и применяется ИБ-экспертами для тестирования браузеров на проникновение.

    ru-watering-hole.jpg

    Злоумышленники используют BeEF для осуществления атаки Watering hole. Суть данной техники заключается в установлении фреймворка на сайтах, часто посещаемых потенциальными жертвами. BeEF позволяет хакерам определять, из каких браузеров заходят пользователи, и похищать их учетные данные для дальнейшего инфицирования систем вредоносным ПО.

    ЛК утверждает, что подобная техника применялась злоумышленниками для взлома сайтов посольства в РФ одной из ближневосточных стран, российской организации по управлению внешней торговлей, компании по развитию бизнеса за рубежом и форума разработчиков игр и другие (полный список на сайте исследователей).

    Вместо специально разработанного или приобретенного на подпольном рынке вредоносного ПО киберпреступники все чаще используют доступные в Сети инструменты, предназначенные для тестирования. Таким образом они могут сэкономить и повысить эффективность атак. Более того, использование легальных инструментов позволяет скрыть вредоносную активность.

     
    lilia-5-0 и Охотник нравится это.
  3. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Использование GodMode для атаки на систему

    Специалисты McAfee Labs обнаружили новый вредонос Dynamer, который использует для атаки на ПК пользователей "GodMode" Windows.
    Возможно, что этот метод атаки станет популярным. Так, недавно был еще один инцидент с использованием "GodMode". Тогда им воспользовались злоумышленники, распространяющие шпион Laziok.

    Бэкдор Dynamer, чтобы закрепиться в системе, создает запись в реестре, позволяющую ему загружаться вместе с Windows.
    ss1-1.png
    Рис.1. Демонстрация созданной папки на рабочем столе

    Создавшаяся на рабочем столе папка com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B защищается самой Windows и не позволяет пользователю её удалять, т.к. считает её устройством, которое используется системой.

    ss2.png
    Рис.2. Пользователю отображается окно, которое не содержит файлов.

    Если пользователь попытается открыть эту папку, то он будет автоматически перенаправлен на RemoteApp and Desktops (см. скриншот выше).
    Если пользователь попытается удалить папку из Проводника или командной строки, то получит сообщения о невозможности удаления (см. рис.3-4).

    ss7.png ss6-1.png
    Рис.3. Неудачная попытка удаления из Проводника Windows
    ...Рис.4. Неудачные попытки удаления из командной строки с правами администратора

    К счастью, есть способ удаления этой папки. Сначала следует завершить процесс вредоносной программы (с помощью диспетчера задач или других стандартных инструментов). Затем запустить специально созданную команду из командной строки (cmd.exe):
    Код (Text):
    > rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q

    Для справки:
    Создание пользователем папок, называющееся активацией «GodMode», на работе компьютера не сказывается. Это лишь инструмент, который позволяет получить доступ к полному списку настроек ПК. Кроме самой известной папки Бога, можно создать на рабочем столе и другие папки, которые обеспечат быстрый доступ к отдельным настройкам компьютера. Их неполный список см. в спойлере:

    Action Center.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}
    Backup and Restore.{B98A2BEA-7D42-4558-8BD1-832F41BAC6FD}
    Biometric Devices.{0142e4d0-fb7a-11dc-ba4a-000ffe7ab428}
    Credential Manager.{1206F5F1-0569-412C-8FEC-3204630DFB70}
    Default Location.{00C6D95F-329C-409a-81D7-C46C66EA7F33}
    Devices and Printers.{A8A91A66-3A7D-4424-8D24-04E180695C7A}
    Display.{C555438B-3C23-4769-A71F-B6D3D9B6053A}
    HomeGroup.{67CA7650-96E6-4FDD-BB43-A8E774F73A57}
    Location and Other Sensors.{E9950154-C418-419e-A90A-20C5287AE24B}
    Notification Area Icons.{05d7b0f4-2121-4eff-bf6b-ed3f69b894d9}
    Recovery.{9FE63AFD-59CF-4419-9775-ABCC3849F861}
    RemoteApp and Desktop Connections.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}
    Speech Recognition.{58E3C745-D971-4081-9034-86E34B30836A}
    Troubleshooting.{C58C4893-3BE0-4B45-ABB5-A63E4B8C8651}
    Administrative Tools.{D20EA4E1-3957-11d2-A40B-0C5020524153}
    All .NET Frameworks and COM Libraries.{1D2680C9-0E2A-469d-B787-065558BC7D43}
    All Tasks (Control Panel).{ED7BA470-8E54-465E-825C-99712043E01C}
    AutoPlay.{9C60DE1E-E5FC-40f4-A487-460851A8D915}
    BitLocker Drive Encryption.{D9EF8727-CAC2-4e60-809E-86F80A666C91}
    Computer Folder.{20D04FE0-3AEA-1069-A2D8-08002B30309D}
    Default Programs.{17cd9488-1228-4b2f-88ce-4298e93e0966}
    Ease of Access Center.{D555645E-D4F8-4c29-A827-D93C859C4F2A}
    Font Settings.{93412589-74D4-4E4E-AD0E-E0CB621440FD}
    Get Programs.{15eae92e-f17a-4431-9f28-805e482dafd4}
    Manage Wireless Networks.{1FA9085F-25A2-489B-85D4-86326EEDCD87}
    Network and Sharing Center.{8E908FC9-BECC-40f6-915B-F4CA0E70D03D}
    Network Connections.{7007ACC7-3202-11D1-AAD2-00805FC1270E}
    Network Folder.{208D2C60-3AEA-1069-A2D7-08002B30309D}
    Parental Controls.{96AE8D84-A250-4520-95A5-A47A7E3C548B}
    Performance Information and Tools.{78F3955E-3B90-4184-BD14-5397C15F1EFC}
    Personalization.{ED834ED6-4B5A-4bfe-8F11-A626DCB6A921}
    Power Options.{025A5937-A6BE-4686-A844-36FE4BEC8B6D}
    Programs and Features.{7b81be6a-ce2b-4676-a29e-eb907a5126c5}
    Sync Center.{9C73F5E5-7AE7-4E32-A8E8-8D23B85255BF}
    System.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}
    User Accounts.{60632754-c523-4b62-b45c-4172da012619}
    Windows Firewall.{4026492F-2F69-46B8-B9BF-5654FC07E423}
    Windows SideShow.{E95A4861-D57A-4be1-AD0F-35267E261739}
    Windows Update.{36eef7db-88ad-4e81-ad49-0e313f0c35f8}
     
    lilia-5-0 и Охотник нравится это.
  4. Охотник
    Оффлайн

    Охотник Активный пользователь

    Сообщения:
    281
    Симпатии:
    344
    SNS-amigo, Вредители уже до святого добрались!!!
    Че только не придумают чтобы навредить. Раньше мы думали что: вирусы, хакеры, трояны-шпионы.
    А тут оказывается всё, что люди придумали для интернета - всё опасно, и антивирусами одними уже не защититься.
     
    SNS-amigo нравится это.
  5. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Бесплатными, да, не защититься, уже лет 6-7. Потому те, кто до сих пор называет их панацеей от актуальных угроз, лгут.
    Они выпускают их для рекламы своего платного продукта, где больше функционала, т.е. лгут и берут деньги за поставку.
    Не надо вообще выпускать несостоятельный урезанный продукт, создающий у пользователя чувство ложной защищенности.
     
    Охотник нравится это.
  6. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Программы на службе у террористов, или Террористы-программисты

    В докладе Trend Micro рассказывается о программном обеспечении, которое используют участники террористических организаций. Некоторые из этих программ разработали сами террористы.

    Самым популярным среди террористов мессенджером оказался Telegram (34%). Второе место делят WhatsApp (15%) и пара менее известных сервисов: Signal (15%) и Wickr (14%). Эксперты Trend Micro замечают, что ранее террористы чаще пользовались WhatsApp, но после арестов стали опасаться, что этот сервис их выдаёт, и стали переходить на другие месседжеры с поддержкой шифрования сообщений.

    email-apps-used.jpg messaging-apps-used.jpg

    Почти половина террористов отправляет письма с обычных почтовых сервисов, таких как Gmail (34%) и Yahoo Mail (12%). Вторая использует почтовые сервисы, гарантирующие повышенную защищённость общения: SIGAINT, Ruggedinbox и Mail2Tor.

    Террористы считают одинаково опасными Android и iOS. На террористических форумах часто советуют держаться подальше от любых смартфонов.

    Специалисты компании Trend Micro обнаружили 6 популярных приложений, разработанных террористами. Большинство из них связаны с шифрованием.

    Первая тройка: Mojahedeen Secrets, Tashfeer al-Jawwal, Asrar al-Dardashah.

    Mojahedeen Secrets (переводится как "Секреты муджахидов"). Эта выпущенная в 2007 году программа представляет собой альтернативу PGP 2. Она позволяет шифровать электронные письма и передаваемые файлы при помощи алгоритма RSA. Кроме того, в неё включены функция создания закрытого ключа и средство для надёжного удаления файлов.

    Tashfeer al-Jawwal. Это мобильное криптографическое приложение разработано и выпущено в 2013 году организацией Global Islamic Media Front, которая имеет связи с «Аль-Каидой».

    Asrar al-Dardashah. Плагин для Pidgin, популярного мессенджера с открытыми исходниками, добавляющий функцию шифрования сообщений. Появился в 2013 году.
    moj-secrets.png tashfeer.jpg asrar.png

    Вторая тройка: Amn al-Mujahed, Alemarah, Amaq v 1.1.

    Amn al-Mujahed (переводится как "Безопасность муджахида"). Эта программа предназначена для шифрования электронных писем, сообщений, передаваемых посредством мессенджеров, и SMS. Выпущена в 2013 году, продолжает активно развиваться и дорабатываться до сих пор.

    Alemarah App. Новое приложение для Android, которое служит для распространения информации о деятельности террористов, объединяет потоки новостей, ссылки на сайты и календарные планы. Создано программистами-талибами, взятое на вооружение ИГИЛ. В апреле было заблокировано в Google App.

    Amaq v 1.1. Ещё одно приложение для Android. Террористические организации используют его для пропаганды, распространения информации, обмена информацией и видео.

    amn2.jpg alemarah-removed-from-google-play-store-1.jpg alemarah.png

     
    lilia-5-0, Охотник и orderman нравится это.
  7. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    MosQUito перенаправляет на сайты злоумышленников

    Компания eZanga, специализирующаяся на анти-фродинге, обнаружила вредоносную кампанию MosQUito ("москит"). Злоумышленники взламывают сайты, созданные в WordPress или Joomla, и добавляют туда специальный код, после чего MosQUito начинает перенаправлять посетителей на другие адреса.

    Как это работает?
    Хакеры ищут сайты, где загружается библиотека JavaScript Jquery и заменяют стандартный файл jQuery.min.js на jQuery.min.php. Этот вредоносный файл PHP следит за входящим трафиком сайта и случайным образом выбирает жертву, которую перенаправляет на другой сайт, находящийся под контролем злоумышленников, и демонстрирующий пользователям рекламные объявления, которые приносят им доход.
    mosquito-exploit.jpg
    Рис. Схема работы MosQUito

    Замена jQuery.min.js на jQuery.min.php известный трюк. Ранее мошенники использовали его, чтобы внедрять в код страницы скрытые ссылки, используемые для повышения SEO-рейтинга своих собственных доменов.

    eZanga опубликовала обширный список из 9285 сайтов, на которых замечен MosQUito. 43 из них находятся в зоне ru.

    Таким образом, мошенники воруют легальный трафик сайта, а владельцы и рекламные сети, которые показывают рекламу на этих сайтах, теряют доход. Остающийся незамеченным MosQUito не только уменьшает посещаемость заражённого сайта, но и вредит его репутации. Поисковики и рекламные системы могут подозрительный редирект посчитать мошенничеством и наложить на сайт санкции.

     
    lilia-5-0 и Охотник нравится это.
  8. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Технология использования TeamViewer не по назначению

    Здесь уже много раз рассказывалось, как белые технологии могут использоваться злоумышленниками для свои темных делишек.
    Например, было рассказано, как злоумышленники скомпрометировали Ammyy Admin и LiteManager, программы для удаленного администрирования и оказания помощи. Но и TeamViewer не является исключением среди программ этого типа, и также может использоваться для получения несанкционированного доступа к зараженному компьютеру и откровенного шпионажа. Замечен он был и среди попутных установок при использовании hacked-free программ, которые пользователи загружают откуда попало.


    Но новый троян BackDoor.TeamViewer.49, пойманный специалистами Др.Веб, эксплуатирует TeamViewer совершенно в других целях.
    Вредонос распространяется при помощи трояна-дроппера Trojan.MulDrop6.39120, маскирующегося под обновление Adobe Flash Player. Устанавливая Flash Player, он также сохраняет на диск TeamViewer и троян BackDoor.TeamViewer.49 как его конфигурационный файл. Во время инсталляции на экране отображается окно настоящего установщика Flash Player.

    BackDoor.TeamViewer.49 использует в работе различные функции процесса TeamViewer. При запуске программа автоматически загружает в память компьютера библиотеку avicap32.dll, чем и воспользовались преступники в своих целях. Они поместили в папку, в которую троян Trojan.MulDrop6.39120 загружает TeamViewer, вредоносную библиотеку с аналогичным названием. В момент активации приложения на компьютер загружается и библиотека.

    После запуска программы BackDoor.TeamViewer.49 удаляет ее значок из области уведомлений Windows и деактивирует функцию уведомления об ошибках. Затем регистрируется в автозагрузке и устанавливает атрибуты «системный» и «скрытый» для папки, где хранятся исполняемый файл, конфигурационный файл и вредоносная библиотека. Если данные атрибуты установить не удалось, троян удаляет из реестра все ключи, относящиеся к TeamViewer.

    Тело вредоноса содержит зашифрованную библиотеку со списком имен C&C-серверов, используемых для отправки инструкций трояну. Обмен информацией между C&C-сервером и вредоносным ПО осуществляется в зашифрованном виде.

     
    lilia-5-0, Охотник и orderman нравится это.
  9. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Купля-продажа эксплоитов уже в России

    Начала работу первая российская биржа по покупке и продаже эксплоитов для уязвимостей в популярном программном обеспечении (Adobe Flash, Windows, Tor, iOS и пр.), основанная командой из разработчиков и бывших хакеров.

    По информации с сайта expocod.com, за эксплоиты для уязвимостей в продуктах Adobe компания готова заплатить $55 тыс., в популярных браузерах – от $35 тыс. (Opera) до $80 тыс. (Tor). Уязвимости в операционных системах могут быть куплены за сумму от $35 тыс. до $80 тыс. Приобретенные экслоиты Expocod намерена перепродавать государственным органам и компаниям, специализирующимся в области информационной безопасности.

    экспл1.png экспл3.png экспл2.png

    Основатель компании Андрей Шолохов рассказал "КоммерсантЪ", что помимо купли-продажи эксплоитов, Expocod будет самостоятельно заниматься поиском уязвимостей и разрабатывать свое программное обеспечение с набором тестировочных эксплоитов, предназначенное для оценки степени защищенности IT-систем (например, в банках или на оборонных предприятиях).

    К концу года оборот биржи от сделок по покупке эксплоитов примерно составит 100-120 млн рублей. Расчет будут производиться посредством банковских переводов или в биткойнах. Купленные программы Expocod намерена перепродавать ИБ-компаниям или государственным органам. Как пояснил Шолохов, компания оставляет за собой право выбирать, кому и что продавать. По некоторым данным, сотрудники ФСБ уже обсуждали с Expocod возможность покупки эксплоитов, однако в самом ведомстве отказались прокомментировать этот вопрос.

    Expocod не собирается информировать производителей об уязвимостях, обнаруженных в их программном обеспечении. Как подчеркнул основатель компании, поиск и разглашение информации об ошибках не противоречит законодательству.

    PS. Еще одна прореха в законодательстве наруку ушлым дельцам.
     
    lilia-5-0 и Охотник нравится это.
  10. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Новая версия Angler EK может обходить EMET Microsoft

    EMET – это бесплатная утилита от Microsoft, которая позволяет защититься от эксплуатации уязвимостей, связанных с повреждением памяти. Она обладает следующим функционалом для предотвращения эксплуатации уязвимостей: ASR, Caller Check, EAF, EAF+, MemProt, SimExecFlow, StackPivot.

    Согласно анализу FireEye, Angler использует комплексный многоуровневый обфусцированный код для сокрытия эксплуатации уязвимости и обхода механизмов защиты EMET. Практически, Angler является самым продвинутым на сегодня набором эксплойтов, использующим оригинальные техники обфускации и эксплуатации.

    Ранее злоумышленники осуществляли попытки обхода EMET, используя необычные ROP-техники для обхода защиты DEP. Создатели Angler решили воспользоваться встроенными в Flash.ocx и Coreclr.dll механизмами обращений к методам VirtualProtect и VirtualAlloc. Такая техника позволяет обойти защиту DEP и эвристику, основанную на проверке валидности возвращаемого адреса в памяти.

    Таким образом, эксплойт к Silverlight использует механизмы coreclr.dll для обхода DEP и выполнения шелл-кода. Эксплойт к Flash использует Flash.ocx для вызова VirtualProtect, успешного обхода DEP и запуска шелл-кода. Техника эксплуатации уязвимости в Silverlight позволила злоумышленникам полностью обойти EAF и EAF+ фильтры EMET и успешно выполнить код.

    С учетом того, что Angler широко используется для развертывания криптовымогателей, то ситуация с EMET, для тех, кто его использует, аховая.

    Подробнее только в блоге FireEye.
     
    lilia-5-0, Охотник и orderman нравится это.
  11. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Фальшивые торрент-файлы устанавливают нежелательные приложения

    Доступность пиратского контента на торрент-сайтах может привести к неприятным последствиям. Исследователи из компании Symantec изучили популярные торрент-сайты и выявили кампанию по распространению потенциально нежелательных приложений (ПНП, англ. PUA).
    На нескольких сайтах были обнаружены поддельные торрент-файлы с названиями популярных игр, которые использовались в качестве приманки, чтобы в тайне от пользователей установить на их ПК свои ПНП. Symantec считает, что мошенники, распространяющие таким образом ПНП, злоупотребляют легитимными партнерскими программами, получая плату за массовую установку нежелательного ПО.

    Среди таких начиненных ПНП фальшивок оказались:
    World of Warcraft: Legion (Blizzard Entertainment)
    Assassin’s Creed Syndicate (Ubisoft)
    The Witcher 3: Wild Hunt (CD Projekt)
    Tom Clancy’s The Division (Ubisoft)
    Just Cause 3 (Square Enix)
    The Walking Dead: Michonne (Telltale Games)

    Здесь на помощь пользователю может придти UAC, если пользователь заранее его не отключил. Если UAC активен, то загруженный торрент-клиентом файл игры не может самостоятельно, без участия пользователя, выполнить установку. Если это происходит, то контроль учетных записей непременно запросит подтверждение пользователя, чтобы выполнить установку некоего приложения. Если UAC отключен, то установка неизвестного приложения и всех других пройдет беспрепятственно.

    [​IMG]

    Загрузчик ПНП может проверять наличие виртуальной среды, прежде чем загружать что-либо на ПК. И в случае отсутствия виртуальной среды, инициировать POST-запросы к следующим удаленным хостингам рекламного ПО:
    188.42.244.143
    188.42.244.207
    apibiggo.ru
    apifastmake.ru
    apifastrun.ru
    apiitheynow.ru
    apiquicklygo.ru
    apirapidlygo.ru
    lolappiifastr.ru
    lappiifaster.ru

    Чем опасны ПНП:
    Тайно установленные ПНП могут повлиять на безопасность системы и неприкосновенность частной жизни пользователей, усилить потребление ресурсов ПК, демонстрировать рекламные сообщений и изображения (причем не только в браузерах, но и в панели уведомлений), подменять домашнюю страницу браузеров, внедрять левые поисковые системы, и выполнять другие нежелательные для пользователя действия. Во многих случаях согласие пользователя не требуется, а более агрессивные ПНП используют автоматическую и/или фоновую установку, отследить которую пользователь самостоятельно вряд ли сможет.

    Пользователи должны придерживаться следующих рекомендаций, если не хотят пострадать от этой кампании:
    1) Избегать загрузки пиратского контента с торрент-сайтов. Злоумышленники часто используют эти сайты вместе с названиями популярных фильмов, телешоу, игр для массового распространения различных угроз безопасности и вредоносных программ.
    2) Всегда держать антивирусное ПО в актуальном состоянии, чтобы защитить себя от угроз безопасности и вредоносных программ.
    3) Обращать внимание на уведомления UAC, которые могут появиться при открытии файла. Вместо торрент-файла с расширением .torrent может под видом него попытаться запуститься вредоносный EXE-файл — верный признак того, что файл не является тем, за что себя выдаёт.

    Symantec и продукты Norton Security обнаруживают загрузчики PUA, связанные с этой кампанией, в следующих обнаружениях:
    PUA.ICLoader
    PUA.ICLoader!g2
    PUA.ICLoader!g3
    PUA.Downloader
    SMG.Heur!gen

     
    lilia-5-0 и Охотник нравится это.
  12. Охотник
    Оффлайн

    Охотник Активный пользователь

    Сообщения:
    281
    Симпатии:
    344
    Использование OLE-объектов вместо макросов

    Злоумышленники изменили тактику заражения систем через документы Microsoft Office. Теперь вместо вредоносных макросов используются встроенные OLE-объекты.

    Исследователь Алден Порнасдоро из Microsoft Malware Protection Center написал в своем блоге об обнаружении вредоносного ПО, использующего легитимный функционал ссылок на объекты Office совместно с OLE-объектами для доставки вредоносного ПО на систему жертвы.

    В рассылаемых документах с помощью технологии социальной инженерии пользователя заставляют разрешить использование объекта или контента внутри документа Office.

    Образец вредоносного ПО определяется Microsoft как TrojanDownloader:VBS/Vibrio и TrojanDownloader:VBS/Donvibs. Вредонос использует шифрование для доставки полезной нагрузки на систему. Такой подход позволяет обойти сигнатурное определение угрозы.

    В случае успешной эксплуатации уязвимости на систему устанавливается вымогатель Cerber.

     
    lilia-5-0 и SNS-amigo нравится это.
  13. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Поставщик Locky ботнет Necurs возвращается

    В начале июня было зафиксировано резкое снижение количества спам-писем, распространяющих вредоносы Dridex и Locky. Как оказалось, ответственный за их рассылку один из крупнейших в мире ботнетов Necurs некоторое время был неактивен и не управлял инфицированными компьютерами. Но 22-21 июня ботсеть возобновила активность, т.к. количество рассылаемых ботнетом спам-писем резко возросло.

    рост.png
    Рис.1 Диаграмма снижения и роста активности ботнета Necurs

    Necurs представляет собой не один, а целых семь ботнетов, а стоящие за ними группы связаны друг с другом. Пока Necurs дремал (точнее сказать: готовился к новой вредоносной кампании), активность в распространении Locky также замедлилась. Зато усилилась активность других криптовымогателей — Crysis и CryptXXX. Теперь, когда Locky "вернулся", наблюдается активность этих трёх больших вымогательских кампаний. По данным экспертов обновленный ботнет Necurs будет выдавать нагора от 80 до 100 миллионов email-сообщений каждый день.
    necurspam.png necurs-botnet01.png
    Рис.2-3. Пример писем с вредоносным вложением от Necurs и с доставкой Locky

    Названия вложений, доставляющийх Locky теперь:
    services_[name]_[6 random digits].zip,
    [name]_addition_[6 random digits].zip,
    [name]_invoice_[6 random digits].zip

    В зипах скрывается файл addition-[random digits].js, запускающий шифровальщик Locky при исполнении.

    [​IMG]
    Рис.4. Necurs: Схема поэтапного заражения

     
    lilia-5-0 и Охотник нравится это.
  14. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    С HTML5 Интернет безопаснее не станет

    Про опасности, которые таит в себе использование HTML5, мы уже не раз рассказывали в ранних статьях этой темы. Приводились исследования различных компаний.

    Так, недавно исследователи компании GeoEdge, занимающиеся безопасностью рекламных кампаний, опубликовали отчет о текущем состоянии рынка рекламной индустрии в сети Интернет. Документ описывает состояние безопасности Flash, HTML5 и видеоконтента.

    По этому отчету явствует, что HTML5 постепенно приходит на замену Flash-у, а планируемый отказ от этой технологии для браузеров вынуждает рекламодателей переходить на другие технологии доставки рекламного контента пользователю.

    Вредоносные рекламные кампании также не отстают от обычных рекламных сетей, поэтому вредоносный контент и редиректы на фишинговые сайты будут работать и при отсутствии Flash-плеера у пользователей. Основная проблема – уязвимости рекламных сетей.

    Предлагаем желающим самостоятельно ознакомиться с PDF-документов в спойлере.
    Интересующие материалом могут заказать перевод и получить на email аналогичный PDF-документ, но с русским текстом.

     
    Охотник и lilia-5-0 нравится это.
  15. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Уэйлинг: Новая технология развитого фишинга

    Фишинг, хоть и старичок, но не намерен сдавать позиции. Кроме того, этот промысел развивается и захватывает новые области. Всё больше набирает обороты тенденция, когда кибер-преступники ориентированы на руководителей высшего звена предприятий и стремятся получить нужные им сведения, как говорится, из первых рук. Этот вид мошеничества получил название "уэйлинг".

    Слово "уэйлинг" (whaling) переводится как "китоловля" (ловля китов), в противовес фишингу ("рыбалка, рыболовля, ловля рыбы). Злоумышленника, который занимается этим видом мошенничества, по-русски можно назвать китоловом.


    ...В прошлом году одного сотрудника из компании Alpha Payroll (штат Пенсильвания, США) уволили за то, что он попался в ловушку кибермошенников. Компания Alpha Payroll известна финансовыми и бухгалтерскими корпоративными решениями, но теперь запомнится как жертва очень крупной фишинговой аферы. Этот сотрудник получил email-письмо от руководителя компании, в котором тот велел прислать копии всех форм 2015 W-2, сделанные Alpha Payroll от имени своих клиентов. Сотрудник посчитал данное письмо вполне легитимным и добросовестно выполнил указание руководителя. Но, как оказалось впоследствии, руководитель компании не отправлял данное письмо, более того, компания имеет правило, согласно которому запрещает сотрудникам обмениваться информацией W-2. Но поставьте себя на место жертвы – работника нижнего уровня в иерархии компании… Возник бы у Вас вопрос относительно письма, которое вы получили от руководителя компании? Не подозревая, что он стал жертвой фишинговой аферы, и что кто-то выдавал себя за его босса, сотрудник был признан виновным, а позже был уволен.

    В итоге, Alpha Payroll была вовлечена в расследование аферы с документами, но по факту стала жертвой «уэйлинговой» схемы, успешно реализованной кибер-преступниками...

    Как работает уэйлинг?
    Хакерам достаточно просто узнать информацию о руководителе компании, чтобы потом обманывать её сотрудников. Далее мошенники выходят на тех сотрудников, которые не так внимательны, менее осторожны и меньше знакомы с онлайн-мошенничеством.

    По данным ФБР, уэйлинг стал такой большой проблемой, что за последние три года нанес компаниям в 80 странах мира совокупный ущерб в размере более 2,3 миллиона долларов США. С января 2015 года количество идентифицированных жертв увеличилось в 2,7 раза, включая такие хорошо известные компании как Mattel, Snapchat и Seagate Technologies.

    Уэйлинг нанес компаниям в 80 странах мира совокупный ущерб в размере более 2,3 миллиона долларов США.
    Хороший способ защитить Ваше предприятие – сделать это с помощью команды специально обученных сотрудников, особенно тех, кто имеет доступ к высокочувствительной информации или выполняет такие деликатные операции, как переводы денег. Также крайне важно установить четкие и ясные политики для передачи информации или отчетов между департаментами, сотрудниками и руководителями.

    Обычные решения безопасности начинают действовать уже после того, как атака успешно пройдет, в результате чего невозможно осуществлять требуемые изменения и восстановление. Чтобы превентивно защитить себя от подобного рода атак, есть EDR-решения, защищающие от известных и неизвестных уязвимостей. Они контролируют 100% всех процессов, вредоносных и невредоносных, и всегда держат под контролем любые странные поведения.

     
    lilia-5-0 и Охотник нравится это.
  16. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Технология удаленного заражения, которую в упор не видят AV

    Троян для удаленного доступа Adwind RAT (Remote Access Tool), известный под именами AlienSpy, Frutas, Unrecom, Sockrat, JSocket, jRat, продолжает свою вредоносную деятельность уже четвертый год.

    [​IMG]

    Создатели Adwind его регулярно совершенствуют и продают в Даркнете по бизнес-модели «вредонос-как-услуга», т.е. кто угодно может заплатить $25 до $300 и использовать Adwind в своих целях.

    Adwind может:
    - работать как клавиатурный шпион;
    - записывать видео, фото и звук с веб-камеры и микрофона;
    - воровать сохраненные пароли, VPN-сертификаты и ключи от электронных кошельков;
    - устанавливать на инфицированные ПК бэкдор;
    - удаленно управлять зараженными компьютерами.

    Новая кампания стартовала в прошлые выходные и пока затрагивает только жителей Дании. Но вскоре она распространится и на другие страны. Злоумышленники рассылают троян в электронных письмах, содержащих вредоносное вложение — файл Doc-[номер].jar.
    На момент написания оригинальной статьи, Adwind RAT не детектировался ни одним антивирусным решением, хотя впервые он был обнаружен еще четыре года назад.

    О вредоносе стало известно еще в 2012 году (как Frutas RAT). В февраля 2014 он назывался Unrecom RAT, в октябре 2014 — AlienSpy, а в июне 2015 — JSocket RAT.

    Заразив систему, Adwind RAT делает её частью ботнета, управляемого сервером jmcoru.alcatelupd.***, использующемся в других вредоносных кампаниях по распространению троянов RAT.

    adwindrat.png

     
    lilia-5-0 и Охотник нравится это.
  17. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Вредоносная технология использования инструмента SBDH

    ESET рассказали о ПО SBDH, предназначенном для кибершпионажа и атак на правительственные и общественные организации в Центральной и Восточной Европе (Чехии, Словакии, Польше, Украине и Венгрии). Ряд атак были осуществлены на организации, специализирующиеся на экономическом росте и сотрудничестве.

    Загрузчик SBDH распространяется с помощью фишинговых писем. Вредонос использует иконки нескольких легитимных приложений от Microsoft или маскируется под документ Word. После выполнения дроппер подключается к удаленному серверу и загружает основные компоненты SBDH – инструмент для похищения данных и бэкдор.

    Вредонос оснащен специальным фильтром, позволяющим злоумышленникам на основании расширений, размеров и дате создания точно указывать, какие именно файлы их интересуют. SBDH использует несколько способов подключения к C&C-серверу, в том числе HTTP-запросы и протокол SMTP.

    Если другие способы не срабатывали, более ранние версии вредоносного ПО также использовали Microsoft Outlook Express. В таком случае для подключения к серверу злоумышленники использовали принадлежащую авторизованному пользователю учетную запись в сервисе электронной почты. В более новых версиях SBDH механизм HTTP-соединения был усовершенствован, и для маскировки вредоносного трафика теперь используются поддельные файлы JPEG или GIF.

    PS. Некоторые используемые SBDH техники схоже с теми, что применялись в ходе вредоносной кампании «Операция Buhtrap», нацеленной на российские банки.

    Этот случай показывает, что даже современные угрозы до сих пор распространяются с помощью простых векторов атаки, таких как вредоносные вложения в email-сообщения. Тем не менее, такие риски могут быть замечены в организациях подготовленным должным образом персоналом, а риск смягчен за счет внедрения решений надежной многоуровневой системы безопасности.

     
    lilia-5-0 и Охотник нравится это.
  18. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Брендовый киберсквоттинг как инструмент вымогательства

    Компания TP-LINK, производитель бюджетного сетевого оборудования SOHO-класса, забыла продлить доменные имена и лишилась tplinklogin.net и tplinkextender.net, используемых при настройке устройств. Первый домен использовался для настроек маршрутизаторов, а второй для расширителей Wi-Fi.

    И этим фактом поспешили воспользовались киберсквоттеры. Оба доменных имени перерегистрированы на анонимного владельца и теперь продаются по цене в $2,5 млн каждый. Надо заметить, что среди регистраторов доменных имен практикуется почти вредоносная практика сообщать направо и налево об освобождающихся доменных именах.

    Инцидент достаточно неприятный, хотя пользователи и могут получить доступ к управлению сетевым оборудованием, обратившись к нему по IP-адресу (по умолчанию 192.168.1.1).

    TP-LINK уже не собирается перекупать эти домены. Последние несколько лет в качестве домена для управления маршрутизаторм используется tplinkwifi.net вместо tplinklogin.net. Но в данной ситуация всё же есть проблема, которая заключается в том, что перекупленные доменные имена напечатаны в инструкциях по настройке устройств и на наклейках самих устройств.

    [​IMG]
     
    lilia-5-0 и Охотник нравится это.
  19. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    SFG: Новое оружие спецслужб

    Специалисты компании SentinelOne Labs сообщили о SFG — новом образце вредоносного ПО, созданного по заказу спецслужб в мае сего года и инфицировавшем по крайней мере одну электростанцию в Европе. Они нашли SFG, как ни странно, на одном из хакерских форумов. Вредонос связан с обнаруженным ранее бэкдором Furtim, предоставляющим доступ к промышленным системам управления. Бэкдор может использоваться для доставки полезной нагрузки, с помощью которой злоумышленники могут похищать данные и даже отключать электростанцию.

    Есть все основания предполагать, что SFG бы создан не жаждущими наживы киберпреступниками, а работающими на правительство профессионалами с целью шпионажа.

    У исследователей не сомнения, что за SFG стоят правительственные спецслужбы, вероятно, восточноевропейские. Вредонос предназначен для Windows-систем и способен обходить антивирусные решения, межсетевые экраны, песочницы и виртуальные машины, т.к. написан таким образом, чтобы избежать статического и поведенческого обнаружения

    Технические подробности см. в блоге компании SentinelOne Labs:
    SFG: Furtim's Parent

     
    lilia-5-0, Охотник и Theriollaria нравится это.
  20. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    SFG: Дополнения от ThreatPost

    ...Подвергнутый анализу образец готовит почву для установки Furtim – даунлоудера, обнаруженного экспертами enSilo. У Furtim имеются три полезных нагрузки: утилита, отключающая режимы энергосбережения на Windows с целью сохранения связи с C&C-сервером; похититель информации Pony, а также файл, который отсылает на C&C список ИБ-процессов, запущенных на зараженной машине. Назначение этого файла пока не совсем ясно: зловред теоретически удаляет все имеющиеся антивирусы еще до инсталляции...

    ...командные серверы оказались отключены, и выявить другие нагрузки или команды не удалось. Лэндри полагает, что SFG применяется в обеспечение развития масштабной атаки. «Этот дает им точку входа в сеть, откуда они могли бы двигаться дальше и атаковать другие системы либо проводить разведку. Мы пока не видим, чтобы они что-то атаковали, но именно так происходит первичное внедрение. В отсутствие предупреждений от антивируса они смогут выполнить любой код»...

     
    lilia-5-0, Охотник и Theriollaria нравится это.