1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Веб-технологии на службе у Malware и злоумышленников

Тема в разделе "Новости информационной безопасности", создана пользователем SNS-amigo, 16 июл 2015.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Дилайла — троян для вербовки инсайдеров в компаниях

    Исследователи израильской компании Diskin Advanced Technologies обнаружили "Дилайла" (Delilah) — по их заверению первое вредоносное ПО, использующее методы социальной инженерии и вымогательства для вербовки инсайдеров в компаниях.

    Вредонос чаще всего распространяется через игровые сайты и ресурсы с контентом «для взрослых». После установки троян собирает конфиденциальные данные пользователя, в том числе относящиеся к семье и месту работы, что в перспективе позволит злоумышленникам шантажировать жертву.

    Помимо сбора персональных сведений, троян способен тайно записывать видео с веб-камеры пользователя. По словам эксперта компании Gartner Research Авивы Литан, в своих инструкциях злоумышленники требуют от жертвы использовать VPN-сервисы и анонимную сеть Tor, а также удалять историю просмотров в браузере. Видимо, это нужно для скрытия следов несанкционированной деятельности на случай аудита.

    В настоящее время троян доступен только на закрытых хакерских форумах. Судя по количеству ошибок, особенно в работе с веб-камерой, он пока находится на стадии разработки. Использование Delilah требует непосредственного участия авторов вредоносного ПО, в частности в том, что касается применения социальной инженерии для идентификации потенциальных жертв.

    Авива Литан прогнозирует рост числа инцидентов с использованием Delilah и подобных вредоносов в будущем и рекомендует организациям принять меры по предотвращению возможного заражения.

     
    lilia-5-0, Охотник и Theriollaria нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Сайт Ammyy Admin распространял вредоносы

    Исследователи ЛК обнаружили что те, кто пострадал от банковского вредоноса Lurk устанавливали на своем устройстве программу удаленного администрирования Ammyy Admin. Исследование подтвердило, что официальный сайт Ammyy Admin был скомпрометирован. Вредонос загружался на устройства пользователей вместе с официальным ПО от компании Ammyy Admin.
    hacked2.
    Размещенный на легитимном сайте установщик программы Ammyy Admin не имел цифровой подписи и представлял собой NSIS-архив. После запуска этого архива во временном каталоге создавались и запускались на исполнение два файла: aa_v3.exe – установщик утилиты администрирования Ammyy Admin, подписанный цифровой подписью, и ammyysvc.exe – вредоносная программа-шпион Trojan-Spy.Win32.Lurk.

    По данным исследователей, загружаемый с официального сайта файл-установщик Ammyy Admin представляет собой троян-дроппер, предназначенный для скрытой установки в системе вредоноса, хотя внешне процесс выглядит, как установка легитимного ПО.

    Раздача дроппера совместно с легитимным ПО шла постоянно, по нескольку часов в будние дни. Для этого злоумышленники модифицировали php-скрипт на веб-сервере Ammyy Group таким образом, чтобы при запросе на скачивание пользователям выдавался вредоносный дроппер.

    Злоумышленники уже не раз использовали сайт Ammyy Group для распространения Lurk. Специалисты ЛК несколько раз уведомляли компанию о кибератаках. Каждый раз проблема устранялась, но временно. С 1 июня содержимое дроппера изменилось. Вместо Lurk с сайта начал распространятся вредонос Trojan-PSW.Win32.Fareit, предназначенный для кражи персональной информации.

     
    lilia-5-0, Охотник, orderman и ещё 1-му нравится это.
  3. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Алгоритм генерации доменных имен вредоноса Mad Max взломан!

    Исследователи из Arbor Networks сумели взломать сложный обфусцированный алгоритм генерации доменных имен вредоноса Mad Max. С помощью данного трояна злоумышленникам удалось создать ботнет, инфицировав компьютеры в 16 странах (Бразилии, Канаде, Китае, Финляндии, Франции, Германии, Индии, Италии, Японии, Южной Корее, Норвегии, Тайване, Таиланде, Украине, Великобритании, США).

    Специалисты сумели обнаружить все связанные с вредоносным ПО домены начиная с 2015 года, а также те, которые, предположительно, могли использоваться до 2017 года. Исследование Mad Max раскрыло некоторые важные подробности о трояне, однако эксперты Arbor Networks пока отложили публикацию информации. Оригинальную статью Arbor Networks см. в спойлере "Read to".

    По данным Virtus Total, вредонос Mad Max может быть обнаружен только с помощью эвристики. Вредонос загружает на систему несколько DLL-файлов и выполняет их с помощью rundll32.exe. Использует обфускацию и его код состоит в основном из фиктивных команд. Обфускация делает Mad Max весьма трудным для обнаружения как с помощью отладчика, так и реверс-инжиниринга.

    Несмотря на все сложности, экспертам удалось создать деобфускатор, способный выявлять реальные команды, а не фиктивные. После удаления фиктивных команд, специалисты обнаружили, что Mad Max действительно использует алгоритм генерации доменных имен.
    По словам экспертов, вредонос каждую неделю меняет генерируемое новое доменное имя, используя определенный шаблон домена верхнего уровня в зависимости от текущей недели месяца. В частности, троян будет генерировать домен в зоне .com для первой недели месяца, затем перейдет к .org, далее к .info и в конце месяца будет использовать .net.

     
    lilia-5-0, Охотник и Theriollaria нравится это.
  4. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Вредоносная кампания по распространению Chthonic и AZORult

    Исследователи Proofpoint зафиксировали вредоносную кампанию, использующую сервис PayPal для распространения банковского трояна Chthonic (один из вариантов вредоноса Zeus).

    В ходе этой кампании злоумышленники используют взломанные или новые учетные записи PayPal для рассылки электронных сообщений якобы от администрации сервиса с просьбой вернуть ошибочно отправленные на счет деньги. В сообщении указывается, что на счет пользователя случайно были переведены $100 и эти средства требуется вернуть. К уведомлению прикреплена ссылка на скриншот, предположительно демонстрирующий подробности ошибочной транзакции.

    На самом деле включенная в письмо ссылка перенаправляет пользователя на страницу katyaflash*com/pp.php, с которой на компьютер загружается обфусцированный JavaScript-файл с именем paypalTransactionDetails.jpeg.js. При его открытии на устройство загружается банковский троян Chthonic.
    paypal-blog02.

    Оказавшись на ПК жертвы, троян связывается с C&C-сервером и загружает неизвестный ранее вид вредоносного ПО – AZORult.
    paypal-blog03.
    Этот логотип находится внутри самого вредоносного модуля.

    «Запрос средств в PayPal позволяет прикреплять к нему уведомление, в котором может оказаться персональное сообщение или вредоносная ссылка. Действует двойная схема – пользователь может стать жертвой обмана и лишиться $100, или загрузить на свой ПК банковский троян, или то и другое», - отмечают эксперты Proofpoint.

    Масштаб вредоносной кампании пока невелик. Переход по вредоносной ссылке был совершен всего 27 раз. Эксперты уже уведомили компанию PayPal о проблеме.

     
    lilia-5-0, Охотник и Theriollaria нравится это.
  5. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    QRLJacking - использование QR-кода для компрометации учетной записи

    Исследователь из Seekurity Inc. Мохамед Бассет продемонстрировал, как можно скомпрометировать учетные записи пользователей сервисов, реализующих аутентификацию с помощью QR-кода.

    Сейчас сайты и приложения используют проект открытого стандарта для безопасного входа на вебсайт и аутентификации. Данная система на основе QR-кода позволяет пользователю заходить в свою учетную запись без ввода логина и пароля. Ресурсы с поддержкой этой системы отображают на своей странице QR-код, сканируя который пользователи попадают на свой аккаунт.

    Подобный тип аутентификации считается безопасным, однако специалисту из Seekurity Inc. удалось продемонстрировать его недостатки. Все, что необходимо злоумышленнику для успешной атаки, это убедить жертву в необходимости сканирования QR-кода.

    QRLJacking-attack.

    Злоумышленник инициализирует клиентскую QR-сессию и копирует "вход с QR-кода" на фишинговую страницу. Затем атакующий отправляет эту страницу жертве. Если пользователь сканирует код с помощью определенного мобильного приложения, приложение отправляет секретный маркер для завершения процесса аутентификации. В результате злоумышленник получает все данные жертвы и полный контроль над его учетной записью.

     
    lilia-5-0, Охотник и Theriollaria нравится это.
  6. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    ФСБ выявило шпионское ПО в госучреждениях

    Федеральная служба безопасности РФ выявила факт внедрения вредоносного ПО, предназначенного для кибершпионажа, в компьютерные сети порядка 20 организаций, расположенных на территории России.

    Было установлено, что заражению подверглись информационные ресурсы органов государственной власти и управления, научных и военных учреждений, предприятий оборонно-промышленного комплекса и иные объекты критически важной инфраструктуры страны. Данное обстоятельство указывает на целевой характер распространения вируса, профессионально спланированную и осуществленную операцию.

    По оценке специалистов указанное вредПО по стилистике написания, наименованию файлов, параметрам использования и методам инфицирования схоже с программным обеспечением, использованным в нашумевших операциях по кибершпионажу, выявленных ранее, как на территории Российской Федерации, так и по всему миру. Новейшие комплекты данного программного обеспечения изготавливаются для каждой «жертвы» индивидуально, на основе уникальных характеристик атакуемой ПЭВМ.

    Распространение вируса осуществляется путем проведения целевых атак на ПЭВМ посредством отправки электронного сообщения содержащего вредоносное вложение. После своего внедрения в систему вредоносная программа подгружает необходимые модули, с учетом особенностей «жертвы», после чего способна осуществлять перехват сетевого трафика, его прослушивание, снятие скриншотов экрана, самостоятельное включение вебкамер и микрофонов ПЭВМ, мобильных устройств, запись аудио и видео файлов, данных о нажатии клавиш клавиатуры и т. п.

    ФСБ совместно с Министерствами и ведомствами провели комплекс мероприятий по выявлению всех «жертв» данной вредоносной программы на территории Российской Федерации, а также локализации угроз и минимизации последствий, нанесенных ее распространением.

     
    lilia-5-0, Охотник и Theriollaria нравится это.
  7. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Вредоносные технологии на службе властьимущих Казахстана

    Критикующие правительство Казахстана журналисты и политические активисты стали жертвами вредоносной кампании с целью кибершпионажа, в осуществлении которой подозреваются власти Республики. Об этом сообщается в отчете правозащитной организации «Фонд электронных рубежей».

    Вредоносное ПО было отправлено редакторам независимой газеты Казахстана «Республика», занимающейся разоблачением коррупционных схем, Ирине и Александру Петрушевым. Под давлением правительства газета перестала выходить в печать, но продолжила работу на своем сайте. Жертвами фишинговой кампании также стали члены семьи, адвокаты и соратники соучредителя и лидера опозиционной партии «Демократический выбор Казахстана» Мухтара Аблязова. Регулярно отслеживалось местонахождение жены и маленькой дочери Аблязова.

    Кампания «Операция Манул», включала рассылку электронных писем с документами, содержавшими вредоносное вложение, предназначенное для установки шпионского вредоносного ПО. Скрытно устанавившись, оно способно записывать нажатия клавиш, вести видеонаблюдение через вебкамеру, определять местонахождение пользователя и многое другое.

    Авторы отчета подозревают в причастности к шпионажу индийскую компанию, действующую от лица правительства Казахстана. Исследователи обнаружили IP-адреса и инфраструктуру, связывающие фишинговые атаки с компанией под названием Appin Security Group. Та же инфраструктура была выявлена в ходе анализа шпионских атак с целью шпионажа, направленных на одну из норвежских телекоммуникационных компаний и пенджабских сепаратистов.

     
    lilia-5-0 и Охотник нравится это.
  8. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Рекуррентная нейронная сеть SNAP_R

    ИБ-исследователи Джон Сеймур и Филипп Талли Балтимор из компании ZeroFox представили на конференции Black Hat в Лас-Вегасе новый инструмент для мошенничества в соцсетях.

    Созданная ними рекуррентная нейронная сеть SNAP_R может создавать вредоносные сообщения, ориентированные на конкретного пользователя. В ходе эксперимента выяснилось, что двое из трех пользователей Twitter без опаски открывали созданное SNAP_R сообщение.

    SNAP_R может работать в двух направлениях. Первое включает метод искусственного интеллекта "глубокое изучение", используемый, например, Google для создания систем, понимающих и переводящих иностранные языки. SNAP_R обучалась на 200 млн сообщений в Twitter, что позволило ей создавать собственные максимально реалистические твиты.

    Второе направление является более целенаправленным. SNAP_R учится создавать сообщения, изучая твиты конкретного пользователя, его подписчиков и тех, на которых он подписан, с помощью так называемой цепи Маркова. Сгенерированное SNAP_R сообщение будет очень похоже на твиты конкретного пользователя, который может подумать, что твит был написан его единомышленником.

    SNAP_R также может определять наиболее влиятельных и популярных пользователей, находить специальные хэштегы и количество подписчиков пользователя.

    По словам исследователей, опасаться роста кибератак с использованием рекуррентных нейтронных сетей в ближайшее время не стоит. Однако алгоритмы машинного обучения становятся проще с каждым днем, и злоумышленникам не обязательно обучать программу идеальной грамматике и синтаксису для осуществления мошеннических кампаний в соцсетях.

     

    Вложения:

    lilia-5-0 и Охотник нравится это.
  9. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Технология кибершпионажа против России и Китая

    Исследователи из компании Symantec сообщили о тайной группировке Strider, специализирующейся на кибершпионаже. Их ориентир — избранные цели в России, Китае, Швеции и Бельгии. Strider используют сложное вредоносное ПО Remsec, имеющее возможную связь с атаками Flamer (в частности использование модулей Lua). Одна из целей Strider ранее была инфицирована шпионским ПО Regin.

    Группировка действует примерно с октября 2011 года. Её жертвами стали как отдельные пользователи, так и целые организации, интересующие правительственные спецслужбы. Всего исследователи обнаружили следы инфицирования Remsec на 36 компьютерах в семи не связанных между собой организациях (в том числе на ПК нескольких российских пользователей и организаций, китайской авиакомпании, шведской организации и посольства в Бельгии).

    Как показал анализ образца, Remsec разработан специально для шпионажа, т.к. имеет функции бэкдора и кейлоггера (в коде упомянут Саурон, главный антигерой саги «Властелин колец»), а также похищает данные с зараженных ПК.

    Remsec состоит из ряда модулей, работающих вместе как фреймворк, позволяющий злоумышленнику получить полный контроль над инфицированным ПК, перемещаться внутри сети, похищать данные и при необходимости использовать дополнительные модули. Избежать обнаружения вредоносу удается несколькими способами. К примеру, некоторые компоненты Remsec представляют собой исполняемые BLOB-объекты (Binary Large Objects), которые весьма сложно обнаружить с помощью традиционных антивирусных решений. Большая часть функционала Remsec развертывается по сети, потому сохраняется только в памяти компьютера.

    Поскольку хакеры из Strider создают собственные вредоносные инструменты и не были обнаружены около пяти лет, по мнению исследователей, они могут работать на правительство какого-то государства.
     
    lilia-5-0 и Охотник нравится это.
  10. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Технология внедрения вредоносного кода в файлы с легитимной цифровой подписью

    Исследователь из израильской компании Deep Instinct Том Ниправски в рамках конференции по безопасности Black Hat представил разработанный им метод, позволяющий внедрить вредоносный код в файлы с легитимной цифровой подписью без нарушения сигнатуры и загрузить их в память другого процесса.

    Метод Ниправски может оказаться ценным инструментом для злоумышленников или хакерских группировок, занимающихся кибершпионажем, т.к. позволит им инфицировать систему вредоносным ПО незаметно для антивирусных решений.

    С его помощью вредоносный код можно спрятать в файл с легитимной цифровой подписью, которая априори гарантирует подлинность файла. Информация о цифровом сертификате содержится в заголовке файла в поле таблицы Атрибутов Сертификата (ACT), не учитываемой при подсчете хэш-суммы файла. Информация о цифровом сертификате добавляется уже после того, как файл был скомпилирован. Таким образом злоумышленники смогут добавлять данные без нарушения цифровой подписи.

    В ОС Windows есть технология проверки подлинности ПО Microsoft Authenticode, но из-за ошибки в дизайне инструмент проверяет только два значения размера файла (их то злоумышленник и может модифицировать без нарушения ЦП) в его заголовке, но не третье, неизменяемое значение.

    При исполнении модифицированного файла добавленный в ACT вредоносный код не загружается в системную память, т.к. содержится в заголовке, а не теле файла. Тем не менее, ACT может служить отличным укрытием, позволяющим вредоносному файлу избежать обнаружения антивирусными решениями. К примеру, злоумышленники могут внедрить вредоносный код в легитимные системные файлы Windows или Microsoft Office. Их подписи будут действительны, а сами файлы – функциональны.

    certif-1-2.
    Слева: оригинальный ntdll.dll с действительной цифровой подписью.
    Справа: модифицированный ntdll.dll, с действительной цифровой подписью и вредоносным содержимым, встроенным в таблицу сертификатов.

     

    Вложения:

    lilia-5-0, Охотник и Kиpилл нравится это.
  11. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Вымогатели для термостатов — это только верхушка айсберга

    В прошлые выходные на конференции по вопросам безопасности CON DEF, исследователи из Pen Test Partners продемонстрировали, как можно легко взломать смарт-термостат, чтобы можно было бы установить на него вымогателя.

    Smart Thermostat — это устройство с сенсорным дисплеем, предназначенное для домашней или офисной эксплуатации. Служит для регуляции потребления электроэнергии и поддержки комфортной температуры в помещении. Может управляется с помощью смартфона, а также отправлять своим хозяевам на смартфон или на e-mail разные оповещения. Уведомления отправляются в ситуациях, когда, например, температура воздуха и его влажность вышли за указанные пределы, или когда нужно поменять фильтр, или когда возник перепад напряжение или произошло разъединение связи с Интернетом.

    Pen Test Partners использовали термостат, имеющий слот для обычной SD-карты, которую пользователь может настроить с помощью приложения на ПК или Mac на показ собственных изображений на дисплее, как это работает на фоторамках. При анализе этой SD-карты исследователи обнаружили способ изменить встроенную ОС таким образом, чтобы они могли получить административные привилегии. Это позволило им изменить ПО и установить на нем свой собственный код вымогателя. Они заявили, что могут запрограммировать вымогателя так, чтобы он поднял высокую температуру на термостате или сделал его более холодным, пока жертва не заплатит выкуп.

    [​IMG]
    Рис.1. Пример вымогательского сообщения, показанный исследователями

    Глядя на предыдущие сообщения в блоге Pen Test Partners, мы можем видеть, что они таким образом тест-компрометировали не только термостаты, но и кофе-машины, детские игрушки и камеры видеонаблюдений. Их испытания ясно показывают, что всё больше и больше бытовых приборов становятся смарт-управляемыми устройствами, что одновременно с удобством использования по назначению ещё и открывает злоумышленникам массу возможностей для компрометации и других злонамеренных действий.

     
    lilia-5-0 и Охотник нравится это.
  12. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Почему личные фото, выложенные пользователями в соцсетях, могут представлять угрозу их конфиденциальности

    Исследователей из универа штата Северная Каролина (США) показали как работает новый метод обхода систем безопасности, построенных на технологии распознавания лиц, при помощи доступных фотографий пользователей соцсетей. В их докладе показано, что их атака стала возможной благодаря потенциальным уязвимостям, имеющимся в социальных ресурсах.

    «Не удивительно, что личные фото, выложенные пользователями в соцсетях, могут представлять угрозу их конфиденциальности. Большинство крупных соцсетей рекомендуют пользователям установить лишь настройки конфиденциальности при публикации фото на сайте, но многие из этих снимков зачастую оказываются доступны широкой публике или могут быть просмотрены только друзьями. Ещё пользователи не могут сами контролировать доступность своих фото, размещенных другими подписчиками», - написано в докладе по исследовательской атаке.

    лица1.

    В этом эксперименте исследователи выбрали фото отобранных для эксперимента 20 добровольцев (из Facebook, Google+, LinkedIn и других соцресурсов). Затем они использовали данные снимки для создания трехмерных моделей лиц, "оживили" их с помощью эффектов анимации, наложили текстуру кожи и подправили взгляд. Получившиеся модели исследователи протестировали на пяти системах безопасности, четыре из них удалось обмануть в 55-85% случаев.

     
    Последнее редактирование: 23 авг 2016
    lilia-5-0 и Охотник нравится это.
  13. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    BASHLITE управляет вебкамерами и видеорегистраторами

    Больше миллиона веб-камер и видеорегистраторов инфицированы вредПО семейства Lizkebab и являются частью ботнета, используемого для осуществления DDoS-атак. Алиасы Lizkebab: BASHLITE, Torlus, Gafgyt.

    Выбрав довольно известные среднестатистические ботнеты для исследования, экспертов из Level 3 Threat Research Labs решили испытать себя и узнать о них как можно больше. Результаты оказались весьма неожиданными. Во время исследования вредоносного ПО BASHLITE обнаружилось, что оно связано с ботнетами, гораздо более организованными и структурированными, чем ранее предполагалось.

    За короткое время число устройств, входящих в ботнеты BASHLITE резко увеличилось. В июле было обнаружено сначала 74 бота, подключенных к C&C-серверам злоумышленников. Потом их число дошло до 120 тыс. Дальнейшее исследование исследование BASHLITE вывело экспертов на 100 C&C-серверов. С некоторых из них велось до 100 DDoS-атак в день, 75% из которых - не более 5 минут.

    По словам экспертов, 96% от 1 млн зараженных устройств являются частью «интернета вещей», почти 4% составляют маршрутизаторы и менее 1% - Linux-серверы. Больше всего ботов исследователи зафиксировали на Тайване, в Колумбии и Бразилии.
    [​IMG]
     
    lilia-5-0, Охотник и Kиpилл нравится это.
  14. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Троян, меняющий настройки прокси и перехватывающий https-трафик

    Эксперты Microsoft предупредили о появлении нового трояна Trojan:JS/Certor.A., способного модифицировать настройки прокси-сервера, прослушивать зашифрованный трафик, похищать учетные данные, а также другую важную информацию.

    Для распространения используются традиционные методы, в том числе, спам-рассылка. Аттачмент в виде документа Word содержит встроенный объект OLE, при открытии которого запускается скрипт Jscript, замаскированный под безобидный файл, не вызывающий подозрений. На самом деле код содержит несколько скриптов PowerShell и собственный сертификат, который далее используется для отслеживания и перехвата HTTPS-трафика.
    тр11. тр12.
    Оказавшись на системе, Certor.A. модифицирует настройки прокси Internet Explorer в реестре Windows и устанавливает клиент Tor, планировщик задач, утилиту для туннелирования через прокси, а также сертификат, позволяющий злоумышленникам прослушивать зашифрованный трафик. Троян также ставит дополнительный сертификат для браузера Mozilla Firefox, поскольку данный интернет-обозреватель использует собственные настройки прокси.

    Далее весь трафик перенаправляется на прокси-сервер, контролируемый атакующими злоумышленниками. Потому они могут удаленно отслеживать, перенаправлять, модифицировать трафик и похищать важные данные жертвы.

    Источник краткого перевода
     
    lilia-5-0 и Охотник нравится это.
  15. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Половина пользователей Интернета поддаётся на кликбейт

    Группа исследователей недавно обнаружила, что более 50% интернет-пользователей поддаются на кликбейт ("кричащий заголовок" в рассылках и отправленных сообщениях) и открывают ссылки, отправленные неизвестными людьми, несмотря на понимание опасностей заражения вредоносными программами или хищения личных данных.

    Эксперимент, состоящий из двух исследований, был проведен в одном из университетов Германии, группой во главе с доктором Зинаидой Бененсон из отдела компьютерных наук. В рамках исследования получателям, которыми выступили 1700 студентов университета, отправлялись "мошеннические" электронные письма и сообщения от неизвестных адресатов в с/с Facebook. Сообщения пытались заманить получателей на определенные страницы, убеждая их щелкнуть по ссылке, которая якобы содержит фотографии с последней вечеринки.

    При открытии ссылки получатели сталкивались с предупреждение "Доступ запрещен". Это позволило исследователям зарегистрировать число кликов. В одном исследовании были рассмотрены варианты с указанными именами получателей, в другом получатель по имени не назывался. Исследователи обнаружили, что в первом исследовании 56% получателей email-сообщении открыли кликбейт-ссылку, 38% из них были пользователями Facebook. Во втором случае только 20% получателей email-сообщения из любопытства открыли ссылку, но процент пользователей Facebook, которые поддались на кликбейт, вырос до 42%.

    Кроме того, исследователи потом направили вопросник всем испытуемым, где попросили их оценить свое собственное понимание компьютерной безопасности, прежде чем объяснили им задачу эксперимента. Они также спросили их, почему они нажали или не нажали на ссылку.

    Доктор Бененсон сказала:
    "В целом результаты удивили нас: 78% участников указали в анкете, что они знали о рисках при открытии неизвестных ссылок. И только 20% из 1-го исследования и 16% из 2-го исследования указали, что они нажали на ссылку. Однако, когда мы оценивали реальные клики, мы обнаружили, что на самом деле 45% и 25% соответственно нажали на ссылки".

    Когда испытуемых спросили, почему они нажали на ссылку, большинство ответили, что из любопытства в отношении содержания фотографий или личности отправителя. Другие заявили, что имя поддельного отправителя, указанное в сообщении, показалось им знакомым, или потому, что они на самом деле были на вечеринке за неделю до этого.

    Эти ответы показали, что кликбейт является эффективным методом социальной инженерии в Интернете. Этот метод был разработан, чтобы вызывать любопытство или шок у аудитории, что пойдет по ссылке. Но некоторые люди делают это невольно, поэтому киберпреступники и используют этот факт для того, чтобы распространять вредоносное ПО, способное причинить вред компьютеру или мобильному телефону.

    Доктор Бененсон подытожила свое исследование:
    "Я думаю, что при тщательном планировании и исполнении замысла любого человека можно вынудить нажать на этот тип ссылки, даже просто из любопытства. Я не думаю, что тут можно чем-то обеспечить 100% безопасности. Тем не менее, необходимы дальнейшие исследования для разработки методов защиты, информирования и обучения пользователей, например, таких как сотрудники в компаниях".

     
    Последнее редактирование: 4 сен 2016
    lilia-5-0 и Охотник нравится это.
  16. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Новые технологии позволят Dridex похищать кошельки для криптовалют

    Эксперты Forcepoint Labs Security, проанализировав код последних версий банковского трояна Dridex, также известного как Bugat и Cridex, пришли к выводу, что несмотря на уменьшившееся употребление, его функционал уже получил ряд изменений, позволяющих трояну обходить решения безопасности, а некоторые элементы вскоре позволят Dridex похищать кошельки для криптовалют.

    Конфигурационный файл теперь передается с C&C-сервера на компьютеры жертв в виде зашифрованного двоичного кода, а не открытого текста в XML-файле, что существенно затрудняет реверс-инжиниринг. Кроме того, теперь троян способен составлять черные списки «подозрительных» хостов.

    Dridex не сразу инфицирует систему жертвы. Сначала на ПК попадает загрузчик, собирающий информацию о хосте и отправляющий ее на C&C-сервер. Загрузчик собирает такие данные, как имя компьютера, тип и версию и дату установки ОС, системную информацию и списки установленного ПО.
    [​IMG]
    Благодаря созданной злоумышленниками обширной базе данных ПК теперь её можно использовать для определения компьютеров с ПО, имеющим отношение к информационной безопасности и реверс-инжинирингу. Авторы трояна в последних его версиях внесли некоторые хосты в черный список. Если загрузчик Dridex попадает на систему из черного списка, то основной модуль вредоноса загружаться не будет. Данная функция является уникальной и нехарактерна для банковских троянов.

    Без сомнения, вскоре троян сможет сканировать инфицированную систему на наличие популярных кошельков для криптовалют. Операторы вредоносного ПО, способного похищать учетные данные для авторизации на банковских порталах, в PoS-терминалах и профессиональных банковских программах, сейчас работают на созданием базы популярного ПО для работы с криптовалютами. В настоящее время троян сканирует инфицированную систему в поисках биткойн-кошельков Coinbase, Bitcore, CoinsBank, BreadWallet и др. Появление в следующих версиях Dridex функции похищения биткойнов и других цифровых валют – только вопрос времени.
     
    lilia-5-0 и Охотник нравится это.
  17. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Использования файлов PUB для распространения бэкдоров

    publisher-2.

    Исследователи компании Bitdefender обнаружили вредоносную спам-кампанию, в которой распространяется бэкдор, замаскированный под файл Microsoft Office Publisher (.pub), служащий для хищения конфиденциальной корпоративной информации. Под ударом, в основном, предприятия среднего и малого бизнеса.

    Распространяемые электронные письма, ссылающиеся на известные китайские и британские бренды, содержат вложение в виде файла Microsoft Publisher. После его открытия (в письме рекомендуется использовать Microsoft Office Publisher) запускается скрипт VBScript, загружающий на ПК жертвы самораспаковывающийся CAB-файл. Последний содержит скрипт AutoIt, инструмент для запуска скрипта и еще один файл, зашифрованный при помощи алгоритма AES-256. Ключом дешифрования для второго файла служит строка в скрипте AutoIt.

    infected-publisher.

    Зашифрованный файл является бэкдором, после расшифровки и запуска которого злоумышленники могут получить доступ к инфицированному компьютеру. Троян способен запоминать нажатия клавиш, записывать учетные данные в браузерах и почтовых клиентах, просматривать информацию о системе и пр.

    Необычность данной кампании как раз в использовании PUB-файлов для поставки вредоносного ПО. Обычно, даже продвинутые пользователи не ассоциировали файлы этого типа с риском заражения вредоносным ПО. Но теперь точно придётся.

    Bitdefender обнаруживает и блокирует файл .pub, как W97M.Downloader.EGF, а бэкдор пэйлоад как Generic.Malware.SFLl.545292C0.

     
    lilia-5-0 и Охотник нравится это.
  18. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Охота на кошельки криптовалют идёт полным ходом

    Пользователи криптовалюты порой становятся жертвами различных мошеннических схем и хакерских атак. Так в ходе одной их таких мошеннических кампании злоумышленники распространяют ссылки на сайт CryptoChartiq, при переходе на который на устройство загружается вредоносное ПО, предназначенное для хищения криптовалюты из онлайн-кошельков пользователей Reddit.

    По словам одного из пользователей Reddit, ставшего жертвой атаки, злоумышленники взломали его профиль и разместили несколько подреддитов, посвященных криптовалюте. Во всех сообщениях была ссылку, якобы ведущая на обновленный прайс-лист, но на деле он перенаправляет жертву на специальный сайт, с которого загружается вредоносное ПО.

    Злоумышленникам удалось взломать Bittrex-кошелек и вывести средства с нескольких счетов. Сумма и вид криптовалюты не уточняются. Пока очень мало известно о самой атаке и вредПО, которое используют злоумышленники для этой цели.

    В зависимости от криптовалюты и используемого ею протокола, в общедоступных файлах регистрации транзакций существует фиксированная открытая область, где данные могут сохраняться или помещаться в зашифрованные транзакции и их записи. Именно эта область, по мнению экспертов, представляет угрозу. Злоумышленники могут на постоянной основе хранить в ней вредоносное ПО, и способов его удаления из этой области в ещё не придумали.

     
    lilia-5-0 и Охотник нравится это.
  19. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Преступная киберсеть RAUM заражает более 12 млн ПК пользователей в месяц

    Эксперты InfoArmor обнаружили преступную киберсеть RAUM, используемую злоумышленниками для автоматизации процессов распространения вредоносного ПО и работающую на основе модели "Pay-Per-Install" (PPI). Управляет сетью, по некоторым неуточненным данным, восточноевропейская группировка Black Team.

    Согласно статистическим данным экспертов, вредоносные потоки торрентов позволяют заразить более 12 миллионов пользователей в месяц, что создает значительные риски безопасности для пользователей на мириадах платформ. Во многих случаях, популярные вымогателей, такие как CryptXXX, CTB-Locker и Cerber, троян-банкер Trojan Dridex, похитителей паролей Poni, и другие были связаны с идентифицированными экземплярами Raum. InfoArmor определили свыше 1,639,000 записей за последние несколько месяцев у инфицированных жертв с различными учетными данными для онлайн-сервисов, игр, социальных сетей, корпоративных ресурсов и нефильтрованные данные из некаталогизированных участком Сети.

    По данным исследователей, RAUM позволяет внедрять вредоносную "полезную нагрузку" в торрент-файлы и тем самым автоматизировать процесс ее распространения. Black Team отслеживает новинки, пользующиеся большой популярностью у любителей скачать нелегальный контент, и использует поддельные или взломанные учетные записи на популярных торрент-сайтах.

    С помощью этих поддельных/взломанных аккаунтов злоумышленники повышают свой рейтинг на торрент-трекерах для выхода в топ поисковой выдачи и привлечения большего числа потенциальных жертв. Создатели вредПО могут зарегистрировать учетную запись в сети RAUM, внеся оплату и пройдя строгий процесс проверки. Сервис ещё и подсказывает вирусописателям, какие торрент-файлы в данный момент наиболее популярны, чтобы они могли инфицировать как можно больше компьютеров.

    Torrent-Flowchart.
    Рис. Схема работы RAUM и распределения "полезной нагрузки" через торренты

    Одним из самых привлекательных категорий для мониторинга и переупаковки торрентов с вредПО являются онлайн-игры вместе с файлами активации для современных операционных систем, включая Microsoft Windows и Mac OS.

    Клиенты RAUM могут распространять как легитимные программы по схеме Pay-Per-Install (модель распространения программ с оплатой за каждую установку), так и вредоносные инструменты. Согласно данным InfoArmor, ежемесячно жертвами загруженных с торрент-трекеров вредоносных программ становятся порядка 12 млн пользователей. В частности, злоумышленники используют Pirate Bay, ExtraTorrent, Demonoid и Kickass Torrents (до его закрытия).

     
    Охотник и lilia-5-0 нравится это.
  20. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Макрос, способный обходять механизмы защиты

    Исследователь Калеб Фэнтон из компании SentinelOne обнаружил документ Microsoft Word с вредоносным макросом, который может обойти механизмы обнаружения.

    Вначале вредонос проверяет историю недавно открытых документов Word и анализирует систему на наличие виртуальных машин. Если запущена VM или на компьютере ранее никогда не открывались файлы Word, то он ничем не вредит. Также вредоносом проверяется IP-адрес пользователя, чтобы обнаружить IP-адреса, принадлежащие определённым хостинговым и антивирусным компаниям.

    Фэнтон провел эксперимент, в ходе которого ему удалось активировать вредоносное ПО и проанализировать его код. Как оказалось, вредонос запускал скрипт PowerShell, загружавший кейлоггер.

    Предлагаю всем желающим ознакомиться с полной авторской версией отчёта.
    PDF-версия: Anti VM Tricks - SentinelOne.pdf
    Онлайн-версия: Anti VM Tricks - SentinelOne

    Предлагаю специалистам отчеты анализов файла worddata.dat с HA и VT:
    https://www.hybrid-analysis.com/sam...592bcd73f85a0e4b79749f2a744?environmentId=100
    https://www.virustotal.com/ru/file/...17096d15592bcd73f85a0e4b79749f2a744/analysis/
     
    Охотник и lilia-5-0 нравится это.

Поделиться этой страницей