+38 (044) 361-14-80 +38 (0482) 428-755      Пн - Пт, с 11.00 до 18.00

 Новости компьютерной безопасности

Втр, 26 Дек 2017 06:23:00
ИБ-исследователи предупреждают о новой спам-кампании, направленной на бразильские организации: вложения в формате Compiled HTML используются для доставки банковского трояна.
Подробнее...

ИБ-исследователи предупреждают о новой спам-кампании, направленной на бразильские организации: вложения в формате Compiled HTML используются для доставки банковского трояна.

Вредоносные вложения распространяются под именем comprovante.chm, как пишет Родель Мендрез (Rodel Mendrez), старший аналитик компании Trustwave, в отчете о проведенном исследовании.

Также он указывает, что многоэтапная методика заражения, используемая для доставки трояна, эффективно маскирует вредоносный код и препятствует его обнаружению: на данный момент всего восемь антивирусных сканеров из 60 идентифицируют вложения с этим CHM-файлом как вредоносные.

Злоумышленники используют проприетарный формат контекстной справки, разработанный Майкрософт, — Microsoft Compiled HTML Help, или CHM. Такие файлы доступны в интерактивном режиме и могут, например, запускать сценарий JavaScript, с помощью которого в данном случае злоумышленники перенаправляют жертву на внешний URL-адрес. В последнее время CHM-файлы уже несколько раз использовались в различных атаках, в том числе в ноябре в атаках группы, стоящей за трояном Silence.

«Как только пользователь открывает такой CHM-файл, выполняется простая команда PowerShell, которая скачивает сценарий PowerShell для второго этапа атаки. После этого зловред обеспечивает себе сохраняемость, добавляя в запланированные задачи запуск вредоносного кода при входе пользователя в систему», — рассказывает Мендрез.

Распаковка контейнеров CHM-файла показала, что он состоит из HTML-объектов, один из которых называется Load_HTML_CHM0.html.

«Когда в окно справки Майкрософт (hh.exe) загружается этот HTML-объект, он запускает JavaScript-функцию с именем open(), — продолжает Мендрез. — Функция open() декодирует блок данных, который затем подвергается двухуровневому декодированию с помощью алгоритмов Base64 и XOR».

После декодирования данные образуют объект ClassID, который активирует вредоносный сценарий PowerShell.

«Таким образом, злоумышленнику удается незаметно прокрасться мимо радаров: команда PowerShell тихо выполняется в фоновом режиме, завершая работу экземпляров hh.exe (программы, которая запускает CHM-файл) и устанавливая в стиле окна атрибут «скрытое». Затем она вызывает команду, закодированную с помощью Base64, которая загружает с сайтов Google сценарий PowerShell для второго этапа», — пишет исследователь.

Этот сценарий активирует скачивание второго бинарного файла трояна Bancos — он загружается в папку %Appdata%\Sysinit, а затем копируется в папку %Appdata%\SysRun. Основные из скачиваемых таким образом исполняемых бинарных файлов — это Server.bin, cmd.bin, XSysInit.bin для перехвата действий мыши и клавиатуры и CRYPTUI.DLL, способный скачивать дополнительную полезную нагрузку.

Последовательность атаки включает три запланированные задачи. Первая из них — запуск вредоносной программы при входе пользователя в систему. Вторая — принудительная перезагрузка пораженной системы при помощи вредоносного сценария PowerShell. Наконец, исполняемый файл Server.bin загружает файл CRYPTUI.DLL, который, в свою очередь, может скачивать новые полезные нагрузки.

Далее автор исследования пишет: «Когда загружается библиотека DLL (CRYPTUI.DLL), она порождает новый процесс iexpress.exe и внедряет в него свой вредоносный код. Затем она собирает информацию о системе, включая имя пользователя и имя компьютера, и передает ее на управляющий сервер.

Такая атака включает несколько этапов заражения, спровоцированного электронным сообщением с троянизированным CHM-файлом. Многоэтапное инфицирование — типовой прием, позволяющий злоумышленникам обходить антивирусные сканеры. На момент написания этой статьи, больше чем через месяц после обнаружения данного образца, его детектируют лишь 8 из 60 антивирусных сканеров».

Втр, 26 Дек 2017 06:16:00
Компания Google незамедлительно удалила из Google Play три поддельных приложения для доступа к биткойн-кошелькам, обнаруженные исследователями из компании Lookout.
Подробнее...

Компания Google незамедлительно удалила из Google Play три поддельных приложения для доступа к биткойн-кошелькам, обнаруженные исследователями из компании Lookout.

По словам экспертов, приложения, выдаваемые за легитимные криптокошельки, меняли адрес продавца на реквизиты злоумышленников, так что покупатели перечисляли платежи им.

В общей сложности все три приложения загрузили 20 тысяч раз. Речь идет о приложениях Bitcoin mining, Blockchain Bitcoin Wallet — Fingerprint и Fast Bitcoin Wallet.

Каждое из приложений находилось в Google Play в течение нескольких месяцев. Зловред Fast Bitcoin Wallet дольше других был доступен для скачивания — его установили 5 тысяч пользователей. Приложение Blockchain Bitcoin Wallet — Fingerprint оказалось самым популярным и набрало 10 тысяч загрузок.

В Lookout заявили, что злоумышленники пользуются растущим интересом к криптовалюте. По данным Coinbase, за последние 12 месяцев курс биткойна вырос в 19 раз. В прошлый четверг один биткойн стоил 16100 против 8100 долларов в прошлом месяце.

Удаление фальшивок из Google Play произошло через неделю после того, как Apple очистила App Store от поддельной версии популярного приложения MyEtherWallet.com. Согласно отчету TechCrunch, его загрузили 3000 раз.

По словам исследователей, в Google удалили приложения сразу, как только получили сообщение от Lookout. ИБ-исследователи дали название PickBitPocket программам-похитителям такого типа.

Поверхностный обзор магазинов приложений для Android показал, что эти программы по-прежнему доступны для скачивания на момент публикации новости.

Вот как описывает мошенническую схему Lookout: «Продавец передает покупателю адрес кошелька для перевода платежа. Если он использует PickBitPocket-приложение, то оно подменит его адрес на адрес автора подделки, и платеж пройдет на кошелек злоумышленника».

Анализ показал, что все три приложения принадлежат одному разработчику, поведал Threatpost Кристоф Хебайзен (Christoph Hebeisen), руководитель ИБ-исследований в Lookout.

Он также добавил, что программы подобного типа очень сложно идентифицировать как вредоносные: «Они не совершают никаких технических действий, которые в Google расценили бы как вредоносные. Они не крадут персональные данные и не взаимодействуют с вредоносными серверами. Они лишь сообщают пользователю, желающему произвести платеж, адрес своего кошелька. С технической стороны все выглядит совершенно нормальным».

За прошедший год в Google сделали значительные шаги по укреплению экосистемы Android, начиная с Google Play и заканчивая самими устройствами.

В мае Google представила Play Protect — новую защитную технологию, которая позволяет контролировать контент, загружаемый на устройства Android. К примеру, можно включить непрерывное сканирование ранее загруженных приложений на предмет подозрительного поведения, чтобы уберечься от разработчиков, которые загружают в Google Play безопасные приложения, впоследствии устанавливающие вредоносные компоненты.

Несмотря на это, продолжают поступать сообщения о вредоносных приложениях в Google Play.

Ранее в этом месяце Google выдворила шпиона Tizi, обнаруженного в ряде Android-приложений. В ноябре из магазина удалили поддельный WhatsApp, загруженный более миллиона раз. В августе та же участь постигла три приложения, зараженные шпионом SonicSpy.

Втр, 26 Дек 2017 06:11:00
ESET обнаружила новую версию основной вредоносной программы кибергруппы Fancy Bear – бэкдора Xagent, который используется в операциях шпионажа.
Подробнее...

ESET обнаружила новую версию основной вредоносной программы кибергруппы Fancy Bear – бэкдора Xagent, который используется в операциях шпионажа.

Данная находка, а также мониторинг деятельности группы подтверждают, что Fancy Bear сохранят высокую активность в 2018 году.

Кибергруппа Fancy Bear (также известная как Sednit или APT28) действует как минимум с 2004 года. Хакерам приписывают атаки на французский телеканал TV5 Monde, Национальный комитет Демократической партии США, парламент Германии, допинговое агентство WADA. В 2016 году ESET опубликовала подробный отчет об инструментах и методах группы, доказав, что главная цель Fancy Bear – кража конфиденциальной информации у высокопоставленных должностных лиц.

Fancy Bear используют в атаках фишинговые письма с вредоносными вложениями или ссылками, перенаправляющими пользователей на сайт с набором эксплойтов. Идентифицировав интересную цель, группа развертывает на скомпрометированном устройстве набор программ для шпионажа, обеспечивающих долгосрочный доступ к данным жертвы. Один из двух бэкдоров, которые устанавливают Fancy Bear, – Xagent.

Xagent – продуманный и качественно спроектированный бэкдор с модульной архитектурой. Благодаря совместимости со всеми популярными операционными системами (Windows, Linux, Android и OS Х), Xagent в настоящее время используется в большинстве операций Fancy Bear.

В 2017 году специалисты ESET обнаружили новую, четвертую по счету версию Xagent для Windows. Вредоносная программа использует новые методы обфускации данных и алгоритм генерации доменов (DGA), что усложняет работу специалистов по безопасности. Развитие флагманского вредоносного инструмента свидетельствует о том, что группа готовит новые атаки на государственные учреждения по всему миру.

Втр, 26 Дек 2017 06:06:00
Представители одной из крупнейших криптовалютных бирж, EtherDelta, сообщили в официальном твиттере о хакерской атаке.
Подробнее...

Представители одной из крупнейших криптовалютных бирж, EtherDelta, сообщили в официальном твиттере о хакерской атаке.

Представители сервиса полагают, что неизвестные злоумышленники сумели взять под контроль DNS-сервер и перенаправляли посетителей etherdelta.com на вредоносный сайт.

Предупредив пользователей о том, что сайтом временно пользоваться не стоит, представители EtherDelta также сообщили, что приложение злоумышленников не имело кнопки CHAT на навигационной панели и не отображало ленту официального твиттера.

Сегодня, 22 декабря 2017 года, официальный твиттер проекта сообщил, что EtherDelta «вернулась» и заработала в штатном режиме. Разработчики обещают провести серию неких образовательных мероприятий, а также внести изменения в UI/UX, чтобы подготовить пользователей к фишинговых атакам, которые ожидаются в ближайшие недели.

Втр, 26 Дек 2017 05:40:00
Специалисты компаний Avast и SfyLabs предупредили о появлении нового мобильного банкера — Catelites Bot. Исследователи пишут, что малварь схожа с другой известной угрозой, трояном CronBot.
Подробнее...

Специалисты компаний Avast и SfyLabs предупредили о появлении нового мобильного банкера — Catelites Bot. Исследователи пишут, что малварь схожа с другой известной угрозой, трояном CronBot.

Исследователи пишут, что подобные вредоносы далеко не всегда попадают на устройства пользователей через официальный каталог приложений Google Play или сторонние каталоги. Не менее распространенными векторами заражения являются вредоносная реклама и фишинговые сайты.

После установки на устройство жертвы банкер маскируется под приложение System Application («Системное приложение»). Если попытаться запустить его, приложение запросит права администратора. Когда ничего не подозревающий пользователь предоставит малвари нужные привилегии, иконка System Application пропадет с рабочего стола, а на ее месте появятся Gmail, Google Play и Chrome.

Если пользователь не заметит произошедшего и воспользуется одним из этих приложений, сработает расставленная злоумышленниками ловушка. Поверх приложения будет открыт оверлей, запрашивающий конфиденциальные данные (к примеру, информацию о банковской карте). Зачастую от такого оверлея невозможно избавиться, он ведет себя, как блокировщик и не пропадает, пока данные не будут введены.

По данным исследователей, Catelites Bot также способен имитировать приложения 2200 банков и финансовых организаций. Как только пользователь запускает банковское приложение, его тоже перекрывает оверлей, имитирующий его интерфейс. Кроме того, малварь, традиционно для таких угроз, может перехватывать SMS-сообщения,  отключать звук, следить за другими запущенными задачами и так далее.

Различные оверлеи

ИБ-специалисты сообщили журналистам Ibtimes, что пока Catelites Bot атакует исключительно российских пользователей, и его жертвами уже стали более 9000 человек. Но исследователи полагают, что это лишь начало, и скоро преступники расширят географию заражений.

Пнд, 25 Дек 2017 14:08:00
ИБ-специалисты компании Trend Micro и независимый исследователь c0nstant предупредили о малвари Digmine, которая распространяется через Facebook Messenger, устанавливает на зараженные машины майнер Monero и вредоносное расширение для Chrome.
Подробнее...

ИБ-специалисты компании Trend Micro и независимый исследователь c0nstant предупредили о малвари Digmine, которая распространяется через Facebook Messenger, устанавливает на зараженные машины майнер Monero и вредоносное расширение для Chrome.

Эксперты рассказывают, что, как правило, жертва получает сообщение от кого-то из своих контактов в Facebook Messenger, содержащее файл video_xxxx.zip (где xxxx — это четырехзначный номер). Внутри архива, разумеется, нет никаких видеороликов, только файл EXE. Если жертва будет достаточно беспечна, чтобы открыть его, произойдет заражение Digmine.

По данным специалистов, малварь написана на AutoIt и не «умеет» практически ничего, только связываться с управляющим сервером для получения команд. C&C-сервер, в свою очередь, передает Digmine для установки майнер Monero и расширение для Chrome.

Интересно, что для дальнейшего распространения малвари используется именно браузерное расширение. Хотя в нормальных обстоятельствах установить аддон можно только из официального Chrome Web Store, в данном случае атакующие обходят это ограничение, используя command-line параметры.

После установки расширение получает доступ к профилю пострадавшего в Facebook Messenger и рассылает всему списку контактов файлы video_xxxx.zip. Разумеется, механизм самораспространения срабатывает лишь в том случае, если пользователь хранит учетные данные от своего аккаунта Facebook в Chrome для автоматического входа.

По данным Trend Micro, вредоносная кампания уже затронула пользователей из Южной Кореи, Вьетнама, Азербайджана, Украины, Таиланда, Венесуэлы и Филиппин.

После предупреждения, полученного от ИБ-специалистов, разработчики Facebook стали бороться с вредоносными ссылками в Messenger, однако операторы Digmine могут просто сменить адреса распространения и продолжать кампанию как ни в чем не бывало.

Пнд, 25 Дек 2017 13:55:00
Похоже, Opera станет первым браузером, который получит встроенную защиту от все более популярного ныне криптоджекинга или, говоря проще, майнинга через браузеры.
Подробнее...

Похоже, Opera станет первым браузером, который получит встроенную защиту от все более популярного ныне криптоджекинга или, говоря проще, майнинга через браузеры.

Напомню, что ресурсы CPU посетителей сайтов (как правило, без их ведома) стали все чаще использовать для майнинга криптовалюты.

Стоит заметить, что в настоящее время об браузерного майнинга защищают практически все антивирусные продукты и блокировщики рекламы, запрещающие работу скриптов. Также в Chrome Web Store можно найти специальные «противомайнинговые» расширения, и пользователь всегда может самостоятельно отключить Javascript или установить соответственные дополнения для браузера (к примеру, NoScript и ScriptBlock).

Новая функциональность в Opera получила название NoCoin и в настоящее время находится в разработке. Борьба с криптоджекингом станет частью встроенного в браузер блокировщика рекламы. Так, в составе Opera 50 Beta RC уже можно найти NoCoin, который пока отключен по умолчанию. Очевидно, новая функциональность заработает для всех пользователей с релизом стабильной версии Opera 50, который запланирован на январь 2018 года.

Интересно, что о необходимости подобных мер размышляют и инженеры Google. Еще в октябре 2017 года стартовала дискуссия, где разработчики предлагают ввести специальные разрешения для JavaScript, на базе которого в основном и работают майнинговые скрипты.

Также, упомянув Google, нельзя не сказать, что на этой неделе стала известна датапоявления встроенного блокировщика рекламы для Chrome, который компания анонсироваларанее в этом году. Блокировщик заработает 15 февраля 2018 года.

Пнд, 25 Дек 2017 06:46:00
Начиная с первой недели февраля 2018 года Яндекс прекращает использование форматов агрессивной рекламы на своих площадках, а также будет фильтровать их в Яндекс.Браузере
Подробнее...

Начиная с первой недели февраля 2018 года Яндекс прекращает использование форматов агрессивной рекламы на своих площадках, а также будет фильтровать их в Яндекс.Браузере

Реклама раздражает. Особенно та, которую не хочешь видеть. Расхлопывающиеся на пол-экрана баннеры посреди статьи, видеоролики со звуком, которые запускаются без спроса, всплывающие окна, баннеры на весь экран, крестик на которых не появляется предательски долго, и другие агрессивные форматы — раздражают. Неудивительно, что люди с каждым годом всё меньше доверяют рекламе в интернете и считают её всё менее полезной.

Яндекс.Браузер против агрессивной рекламы

По данным исследования компании Deloitte «Медиапотребление в России», доверие к рекламе в интернете падает на протяжении последних двух лет. Приблизительно треть пользователей интернета в России используют блокировщики рекламы, ещё 13% хотят их установить. Желание видеть меньше рекламы понятно, но блокировщики решают проблему слишком бескомпромиссно. Они вырезают не только агрессивную, но вообще любую рекламу — даже ту, которая может быть полезна пользователю, например сообщения о скидках и спецпредложениях. Это лишает владельцев сайта возможности заработать, а также наделяет разработчиков таких решений властью, которой можно злоупотреблять.

Реклама важна и для Яндекса — это один из основных источников дохода компании. Именно благодаря ей мы развиваем Поиск, Карты, Почту, Транспорт и десятки других сервисов, создаём новые продукты, открываем образовательные программы и разрабатываем технологии, которые приносят пользу людям. Естественно, мы заинтересованы в том, чтобы реклама была полезной — а значит, востребованной, — и последовательно выступаем против рекламы недобросовестной, мошеннической, агрессивной и просто плохой.

С 2014 года в Яндекс.Браузере работает Антишок, автоматически скрывающий шокирующую рекламу. В конце того же 2014 года мы дали людям возможность скрывать неинтересную им контекстную рекламу на сайтах-партнёрах Рекламной сети Яндекса. В 2016 году Браузер начал ещё один эксперимент, предложив людям жаловаться на раздражающую их рекламу и отключать её. В своей работе мы учитываем потребности именно российского рынка и наших пользователей, а не копируем чьи-то готовые решения. Так, с сентября 2017 года по инициативе Яндекса ведущие игроки индустрии в рамках ассоциации IAB Russia, которая занимается развитием интерактивной рекламы, работают над созданием рекомендаций по улучшению качества интернет-рекламы в рунете.

Как показало исследование (PDF) IAB Russia, несколько форматов интернет-рекламы раздражают российских пользователей особенно сильно. Эти форматы ассоциация использовать не рекомендует. Вот их список.

На компьютерах:

— Статичный рекламный блок на весь экран, появляется сразу после загрузки страницы. Закрыть можно только после обратного отсчёта.

— Большое всплывающее окно по центру экрана, закрывающее содержимое страницы. Закрыть можно сразу или после обратного отсчёта.

— Рекламный видеоролик со звуком, расположенный перед содержимым страницы. Звук включается автоматически после загрузки ролика.

— Баннер во всю ширину экрана высотой 250 пикселей, зафиксированный внизу окна. Можно закрыть.

— Баннер во всю ширину экрана высотой 200 пикселей, зафиксированный вверху окна. Закрыть нельзя.

На мобильных устройствах:

— Баннер на весь экран, появляющийся сразу после загрузки страницы. После обратного отчёта можно закрыть баннер либо он закрывается автоматически.

— Баннер на весь экран, появляющийся через некоторое время после входа на сайт. Закрыть можно сразу или после обратного отсчёта.

— Рекламный видеоролик со звуком внутри содержимого сайта. Звук включается автоматически.

Начиная с первой недели февраля 2018 года Яндекс прекращает использование этих форматов на своих площадках, а также будет фильтровать их в Яндекс.Браузере. Это означает, что ни один из перечисленных форматов не будет появляться на сайтах Яндекса и любых ресурсах, открываемых в Яндекс.Браузере. Мы также прекратим продажу таких форматов на площадках-партнёрах Рекламной сети Яндекса.

Любая компания, любой владелец сайта может, как и мы, поддержать рекомендации по улучшению качества интернет-рекламы и отказаться от размещения раздражающих рекламных форматов, перечисленных выше. Согласно инициативе IAB Russia, все, кто сделает это или подтвердит свои намерения, вместе образуют «безопасную гавань» рунета. Яндекс.Браузер не будет фильтровать раздражающую рекламу на доменах участников «безопасной гавани» до марта 2018 года — этот срок отводится на то, чтобы привести рекламу в соответствие с рекомендациями. IAB Russia, в свою очередь, будет распространять информацию об участниках «безопасной гавани» и следить за тем, чтобы все соблюдали правила игры.

Для удобства владельцев сайтов мы открыли раздел «Диагностика» в Яндекс.Вебмастере. Там можно проверить, есть ли на вашем сайте форматы, которые Яндекс.Браузер распознаёт как не рекомендованные к использованию.

Если создать условия, при которых российская интернет-реклама не может не соответствовать заданному стандарту, она неизбежно будет развиваться: лучше отвечать потребностям людей и в конечном итоге — лучше монетизироваться. Сегодня около 60% пользователей рунета считают, что реклама в интернете может быть полезной. Вырастет эта доля или упадёт, во многом зависит от нас: интернет-компаний, рекламных площадок, игроков индустрии. Самое главное — работать над качеством вместе и внимательно относиться к потребностям друг друга. Как показывают результаты нашей работы с IAB Russia и участниками рынка, успешное сотрудничество вполне возможно. На наш взгляд, это хороший пример саморегулирования отрасли, и мы надеемся, что такой подход будет использоваться и в дальнейшем.

P. S. Исследование IAB Russia показало, что российские пользователи отрицательно воспринимают видеорекламу со звуком, который включается по наведению курсора, однако комитет IAB Russia не включил этот формат в список нерекомендованных. На наш взгляд, это спорное решение. Мы продолжим переговоры с участниками, чтобы переубедить индустрию и добиться фильтрации этого формата наравне с другими. Как бы то ни было, до марта Яндекс.Браузер продолжит его отображать.

Чтв, 21 Дек 2017 19:30:00
Администрация Facebook принимает новые меры для защиты данных — соцсеть представила специальный алгоритм распознавания лиц. Он поможет пользователям вовремя обнаружить, что их фотографии опубликовали, даже если их не отметили на изображениях.
Подробнее...

Администрация Facebook принимает новые меры для защиты данных — соцсеть представила специальный алгоритм распознавания лиц. Он поможет пользователям вовремя обнаружить, что их фотографии опубликовали, даже если их не отметили на изображениях.

Обитатели социальной сети стали обращаться с жалобами, что постов с призывами вроде «Ставь ЛАЙК если Овен» становится все больше, но до последнего времени это не вызывало опасений. В связи с этим команда Facebook провела глубокий анализ статистики вовлеченности, исследовав сотни постов при помощи алгоритмов машинного обучения. Он показал, что злоумышленники часто используют механизмы построения ленты новостей, чтобы при помощи лайков и репостов распространять ссылки на сомнительные и небезопасные источники информации. Этот способ также называют бейтинг, или «ловля на живца» — одна из эффективных техник социальной инженерии.

По итогам анализа было выявлено несколько способов распространения контента с использованием этого метода.

  • Бейтинг (англ. bait — приманка, наживка) — тактика выманивания личных данных пользователя посредством публикации завлекающего контента.
  • Линкбейт — стратегия раскрутки с помощью ссылок, которые вынуждают перейти на сайт мошенников или скачать зараженные материалы.
  • Кликбейт — способ построения заголовков, в которых недоговаривается суть рекламного предложения, чтобы заинтриговать и привлечь как можно больше пользователей на страницу.

Технические специалисты Facebook Генри Сильверман (Henry Silverman) и Лин Хуан (Lin Huang) заявили, что администрация социальной сети принимает меры, чтобы предотвратить дальнейшее размножение потенциально опасного контента. Прежде всего, она приняла решение строго ограничить количество постов для страниц, которые распространяют информацию по новостным лентам искусственным путем. Это не коснется записей с просьбами о помощи и поиске людей, а также постов с советами путешественникам.

Члены команды Facebook заявляют, что при построении алгоритма новостной ленты они прежде всего стремятся следовать главному принципу — сохранению аутентичности публикаций. Именно поэтому администрация активно борется с кликбейтом, накруткой лайков, спамом и низкокачественным контентом. Соцсеть призывает администраторов публичных страниц делиться с пользователями релевантной и оригинальной информацией и даже выпустила специальное руководство по ленте новостей.

В прошлом году разработчики вирусов уже использовали Facebook для распространения зловредного расширения браузера Chrome. Один из пользователей обнаружил множество линкбейтовых постов на странице своего друга. Лайкнув один из них, он получил запрос на подтверждение возраста и ссылку на установку расширения Viral Content Age Verify. Впоследствии обнаружилось, что в верификаторе скрывался вирус, который мошенники использовали для кражи личной информации пользователей. Согласно утверждениям специалистов по безопасности, зараженным расширением воспользовались около 130 тысяч человек. Уязвимость Chrome практически сразу устранили, а вредоносное ПО включили в черный список, после чего оно автоматически пропало со всех зараженных компьютеров.

Чтв, 21 Дек 2017 19:24:00
На прошлой неделе СМИ обратили внимание на интересное исследование, которое провел пользователь Reddit под ником TeckFire.
Подробнее...

На прошлой неделе СМИ обратили внимание на интересное исследование, которое провел пользователь Reddit под ником TeckFire.

Пользователь обнаружил странную взаимосвязь: выходило, что компания Apple сознательно замедляет производительность старых моделей iPhone с маломощными аккумуляторами. Хотя пользователи iPhone давно замечают, что с годами и выходом новых версий iOS их смартфоны начинают «тормозить» все больше, TeckFire оказался первым, кто зафиксировал снижение тактовой частоты процессоров и соотнес эти изменения с ухудшением емкости аккумуляторов, которая неизбежно происходит со временем.

Исследованием TeckFire заинтересовался разработчик Geekbench Джон Пул (John Poole), который в итоге подтвердил сделанные пользователем выводы. Пул установил, что производительность iPhone 6S и iPhone 7 действительно стала искусственно занижаться после выхода iOS 10.2.1 и 11.2.0. Объяснить появление такой функциональности в iOS 10.2.1 можно обновлением для  iPhone 6 и iPhone 6S (а также Plus версий данных моделей), которые действительно могли произвольно отключаться из-за проблем с аккумуляторами. Однако объяснить, зачем аналогичная функциональность появилась в iOS 11.2.0 для моделей iPhone 7 и iPhone 7 Plus, Пул так и не смог.

При этом пользователи Reddit массово рассказывали о том, что простая замена аккумулятора возвращает показатели CPU к нормальным значениям и решает странную «проблему». В итоге автор Geekbench назвал эти обновления в iOS весьма настораживающими, ведь из-за них пользователи считают, что им пора менять телефон, который стал заметно «тормозить», хотя на самом деле можно ограничиться заменой аккумулятора.

В разгоревшийся скандал вмешалась сама компания Apple, попытавшись прояснить ситуацию. Представители Apple рассказали изданию TechCrunch, что занижение частот процессоров продлевает продолжительность работы литево-ионных аккумуляторов, а также помогает избежать проблем с внезапными отключениями устройств, к которым могут приводить погодные условия (минусовые температуры), пиковые нагрузки, естественная деградация аккумуляторов. Функциональность, сглаживающая такие «сиюминутные пики», в прошлом году была реализована для iPhone 6, iPhone 6s и iPhone SE, а с выходом iOS 11.2 распространилась и на iPhone 7. При этом в компании заметили, что в будущем планируют «добавить поддержку и других продуктов».

Казалось бы, позиция Apple ясна и логична, у компании действительно есть объективные причины для «замедления» процессоров и баги, которые купируются таким образом. Однако остановить разразившийся скандал этим заявлением определенно не удалось. Теперь на компанию со всех сторон посыпались обвинения другого рода. Дело в том, что Apple совсем не спешила уведомить пользователей iPhone о причинах, по которым их устройства стали работать медленнее. Как уже было сказано выше, данная проблема решается заменой аккумулятора, тогда как пользователи полагают, что пришло время менять смартфон вообще.

Хуже того, компания Apple давно борется с «неавторизованным» ремонтом своих устройств, всячески мешая работе сторонних сервисных центров, хотя найти официальный Apple Store и обратиться туда, можно далеко не во всех странах. То есть о самостоятельной и даже простой замене аккумулятора речи тоже часто не идет. К тому же, как верно замечают журналисты Vice Motherboard, замена аккумулятора iPhone 6S в обычной ремонтной мастерской обойдется в 39 долларов, тогда как официальный сервис Apple осуществит ту же процедуру за 79 долларов и только по предварительной записи.

Чтв, 21 Дек 2017 18:53:00
Аналитики компании Wordfence предупредили о мощной волне брутфорс-атак на сайты, работающие под управлением WordPress.
Подробнее...

Аналитики компании Wordfence предупредили о мощной волне брутфорс-атак на сайты, работающие под управлением WordPress.

Кампания стартовала в минувший понедельник, 18 декабря 2017 года, и продолжается до сих пор. Неизвестные злоумышленники пытаются подобрать учетные данные от аккаунтов администрации сайтов, и если брутфорс оканчивается успехом, заражают ресурсы майнером криптовалюты Monero.

Представители Wordfence пишут, что это самая масштабная и агрессивная волна атак, что им доводилось видеть с момента основания компании в 2012 году. По данным главы компании, Марка Маундера (Mark Maunder), в пиковые моменты фиксируется до 14 000 000 запросов в час. Из-за этого Wordfence уже пришлось экстренно расширить инфраструктуру ведения логов.

В изначальном отчете компании говорится, что волна атак исходит с 10 000 IP-адресов и может быть связана с недавней утечкой в открытый доступ огромной базы учетных данных, насчитывающей более 1,4 млрд записей. Но дополнительное исследование данного вопроса показало, что атакующие комбинируют распространенные логины и пароли с эвристикой, основанной на имени домена и содержимом атакуемого сайта.

Если брутфорс завершается успехом, злоумышленники устанавливают на сайт майнер криптовалюты Monero, или используют скомпрометированный ресурс для дальнейших брутфорс-атак. Причем пострадавшие сайты не занимаются обеими задачами сразу, для майнинга и атак используются разные ресурсы.

Аналитики сумели обнаружить два криптовалютных кошелька, принадлежащих злоумышленникам, и сообщают, что нелегальный майнинг уже принес неизвестной группировке более 100 000 долларов.

Чтв, 21 Дек 2017 18:39:00
Получите скидку 30% на вечные лицензии Adguard всех типов (мобильные, стандартные, премиум). Не упустите возможность один раз приобрести ключ и пользоваться AdGuard вечно
Подробнее...

Получите скидку 30% на вечные лицензии Adguard всех типов (мобильные, стандартные, премиум). Не упустите возможность один раз приобрести ключ и пользоваться AdGuard вечно

AdGuard для Windows - популярное решение для блокировки рекламы, обладающее всеми необходимыми функциями для чистого и быстрого веб-серфинга в интернете.

Один из самых продвинутых блокировщиков рекламы также предлагает веб-защиту от фишинга и вредоносных сайтов, отдельный модуль защиты личных данных и инструмент родительского контроля - всё в одной программе, работающей во всех браузерах и приложениях.

AdGuard также борется со скрытым майнингом криптовалют на сайтах в веб-браузерах пользователей.

Скидки на вечные лицензии

Adguard: Скидки на вечные лицензии

Промокод ADGUARD2018NY даст вам 30% скидку на вечные лицензии всех типов (мобильные, стандартные, премиум). Не упустите возможность один раз приобрести ключ и пользоваться AdGuard вечно :)

ПОЛУЧИТЬ СКИДКУ

Скидка доступна до 8 января 2018. Также скидка действуют (без купона) на улучшение вашей лицензии до вечной и на покупку нашего приложения для iOS Pro в App Store.

Срд, 20 Дек 2017 13:54:00
В ноябре 2016 года специалисты компании Kryptowire обнаружили, что система обновления ПО FOTA (Firmware Over The Air), которую разрабатывает китайская компания Shanghai Adups Technology Company, представляет опасность для пользователей.
Подробнее...

В ноябре 2016 года специалисты компании Kryptowire обнаружили, что система обновления ПО FOTA (Firmware Over The Air), которую разрабатывает китайская компания Shanghai Adups Technology Company, представляет опасность для пользователей.

Как оказалось, FOTA содержит бэкдор, который постоянно сливает данные миллионов пользователей на серверы китайского производителя, отправляя на них информацию об устройстве, начиная от номеров IMSI и IMEI, и заканчивая SMS-сообщениями и журналом звонков.

Согласно информации с официального сайта, решения Adups работают на 700 млн Android-девайсов по всему миру. При этом представители Adups категорически отрицали, что бэкдор был помещен в состав FOTA намеренно, и уверяли, что слежка велась не по указанию китайских властей. Разработчики пообещали позаботиться о том, чтобы подобное не повторилось в новых версиях прошивок, однако летом 2017 года аналитики Kryptowire выступили на конференции Black Hat, где сообщили, что смартфоны с FOTA по-прежнему поставляются в магазины с предустановленной спайварью.

Теперь новый отчет о текущем положении дел представили специалисты компании Malwarebytes. По данным исследователей, новая версия com.adups.fota действительно не делает ничего дурного и более не шпионит за пользователями.

Однако, по информации Malwarebytes, теперь странной деятельностью занимаются другие компоненты Adups, которые точно так же невозможно удалить или выключить. Проблемы были обнаружены в составе com.adups.fota.sysoper и com.fw.upgrade.sysoper, которые являются частью приложения UpgradeSys (FWUpgradeProvider.apk).

На этот раз речь идет не о шпионаже и сборе пользовательских данных, но о возможности загружать и устанавливать на устройство любые приложения или обновления для приложений. Разумеется, без ведома и согласия пользователя. Хотя пока никакой подозрительной активности со стороны данного приложения замечено не было, никто не гарантирует, что в будущем Adups или кто-то иной не попытается воспользоваться UpgradeSys. Аналитики отмечают, что точное число проблемных устройств трудно определить, но такие девайсы можно приобрести у мобильных операторов во множестве стран, включая Великобританию.

Исследователи предупреждают, что абсолютно безопасного способа удаления подозрительных компонентов нет. Пользователю потребуется либо получить root-доступ к своему устройству, что категорически  не рекомендуют делать многие производители мобильных устройств, либо воспользоваться специальным Windows-приложением Debloater, которое создали разработчики Malwarebytes. Приложение удалит UpgradeSys, однако оно не тестировалось со всем многообразием Android-устройств, поэтому специалисты предупреждают, что использование Debloater может спровоцировать «неожиданное поведение».

Инженеры Malwarebytes выражают надежду, что компоненты com.adups.fota.sysoper и com.fw.upgrade.sysoper были попросту забыты разработчиками Adups в ходе прошлой «чистки», и теперь производитель завершит начатое, избавив многочисленные устройства от опасной функциональности.

Срд, 20 Дек 2017 13:24:00
За последнее время количество XBL-записей, заносимых в базу некоммерческой организации Spamhaus в реальном времени, резко увеличилось. В частности, число заражений IoT-устройств, регистрируемых активистами, возросло в полтора раза, превысив 2,5 миллиона.
Подробнее...

За последнее время количество XBL-записей, заносимых в базу некоммерческой организации Spamhaus в реальном времени, резко увеличилось. В частности, число заражений IoT-устройств, регистрируемых активистами, возросло в полтора раза, превысив 2,5 миллиона.

Этот тренд борцы со спамом объясняют двумя причинами. Во-первых, успехDDoS-зловреда Mirai и слив его исходников породили новое поколение подражателей, стремящихся расширить популяцию аналогичных IoT-ботов. Так, в октябре был обнаружен новый IoT-ботнет, построенный на основе зловреда Reaper, заимствующего часть кода у Mirai.

В прошлом месяце злоумышленники попытались приобщить к одному из новых ботнетов Mirai многочисленные роутеры ZyXEL, работающие в сетях аргентинской телекоммуникационной компании Telefonica. А в начале декабря стало известно о еще одном неординарном преемнике Mirai — Satori, использующем RCE-уязвимость в роутерах Huawei Home Gateway для самораспространения.

Согласно статистике Spamhaus, в настоящее время список стран — лидеров по количеству скомпрометированных роутеров, модемов и IoT-устройств возглавляет Египет, на долю которого приходится около 1,2 млн заражений Mirai.

Вторым обстоятельством, повлиявшим, как считают активисты, на размеры базы XBL (или черных списков CBL), является успешная нейтрализация обширного ботнета Andromeda. Полученные в результате захвата C&C-серверов данные были также внесены в XBL, что повлекло значительное расширение списка заражений — с нескольких десятков тысяч записей до более шести миллионов.

Срд, 20 Дек 2017 13:17:00
Вирусописатели создают владельцам Android-устройств все новые неприятности. Про воровство личных данных, которые потом всплывают на черном рынке, уже все знают. Про утекающие с кредиток деньги — тоже.
Подробнее...

Вирусописатели создают владельцам Android-устройств все новые неприятности. Про воровство личных данных, которые потом всплывают на черном рынке, уже все знают. Про утекающие с кредиток деньги — тоже.

А как насчет трояна, из-за которого ваш аппарат может в буквальном смысле задымиться? Теперь есть и такой.

Как работает многофункциональный троян Loapi

Подцепить троян Loapi можно, кликнув по рекламному баннеру и скачав с открывшегося сайта антивирус или приложение «для взрослых» (чаще всего троян прячется именно в них). После установки Loapi требует права администратора — причем весьма настойчиво: уведомление появляется на экране раз за разом, пока отчаявшийся пользователь наконец не сдастся и не нажмет «ОК».

Если позже владелец смартфона захочет лишить приложение прав администратора, троян заблокирует экран и закроет окно настройки. А если пользователь попробует скачать приложения, которые действительно защищают его аппарат (например, настоящий антивирус, а не поддельный), зловред объявит их вредоносными и потребует удалить. Это уведомление также будет выскакивать бесконечно — пока пользователь не согласится.

Иконки поддельных приложений, в которых прячется троян Loapi

Модульная структура Loapi подразумевает, что он может на лету менять функции по команде с удаленного сервера, самостоятельно загружая и устанавливая нужные дополнения. Перечислим некоторые из последствий столкновения с новым трояном.

1. Нежелательная реклама

Loapi навязчиво показывает владельцу зараженного смартфона кучу рекламных баннеров и видеороликов. Также этот модуль трояна может загружать и устанавливать другие приложения, переходить по ссылкам и открывать страницы в Facebook, Instagram и ВКонтакте — судя по всему, для накрутки различных рейтингов.

2. Платные подписки

Другой модуль трояна умеет подписывать пользователей на платные сервисы. Обычно для этого нужно подтвердить оплату, отправив СМС определенного содержания на нужный номер, — но и это не останавливает Loapi. У него есть специальный модуль, самостоятельно отправляющий такие СМС, причем делает он это скрытно, а все сообщения (и исходящие, и входящие) сразу удаляет.

3. DDoS-атаки

Троян может сделать из вашего телефона зомби и отправить его в DDoS-атаку на веб-ресурсы. Для этого он использует встроенный прокси-сервер и посылает с зараженного аппарата HTTP-запросы.

4. Майнинг криптовалют

Еще Loapi использует смартфон, чтобы добывать токены Monero. Именно эта функция и способна перегреть ваш аппарат из-за длительной работы процессора на максимальной загрузке. В ходе нашего исследования через двое суток после заражения у тестового смартфона от перегрева вздулась батарея.

5. Загрузка новых модулей

Здесь начинается самое интересное. По команде из удаленного центра зловред может скачивать новые модули — то есть научиться чему угодно. Например, он может превратиться в вымогателя, банковского трояна или шпиона. Наши эксперты нашли в коде текущей версии зловреда функции, которые пока не используются и явно оставлены «на вырост».

Что делать и куда бежать?

Как это часто бывает, защититься от трояна гораздо проще, чем вылечить уже зараженный гаджет. Чтобы не попасть на удочку злоумышленников, достаточно соблюдать несколько простых правил.

  • Устанавливайте приложения только из официальных магазинов. В Google Play за отлов мобильных зловредов отвечает целое подразделение. Иногда трояны пробираются и в официальный магазин, но все-таки там они встречаются гораздо реже, чем на сомнительных сайтах.
  • Для большей надежности запретите в своем Android установку приложений откуда попало. Для этого зайдите в Настройки, перейдите в Безопасность и убедитесь в том, что напротив пункта Неизвестные источники не стоит галочка — или снимите ее, если она там все-таки есть.
  • В целом, чем меньше приложений вы устанавливаете, тем выше безопасность вашего устройства. Не устанавливайте то, что вам не нужно.
  • Поставьте надежный и проверенный антивирус для Android и регулярно проверяйте им свое устройство. Даже бесплатные приложения, такие как базовая версия Kaspersky Internet Security для Android, обеспечивают хорошую защиту.
Пнд, 18 Дек 2017 14:06:00
На сайте Министерства юстиции США был опубликован пресс-релиз и целая подборка судебных документов, согласно которым, создателями Mirai были: 21-летний Парас Джа (Paras Jha) из Нью-Джерси, 20-летний Джозайя Уайт (Josiah White) из Пенсильвании и 21-летний
Подробнее...

На сайте Министерства юстиции США был опубликован пресс-релиз и целая подборка судебных документов, согласно которым, создателями Mirai были: 21-летний Парас Джа (Paras Jha) из Нью-Джерси, 20-летний Джозайя Уайт (Josiah White) из Пенсильвании и 21-летний

Как оказалось, создавая Mirai, эта троица вовсе не собиралась разрабатывать мощнейшее кибероружие, которое вызвало вполне обоснованную тревогу у властей по всему миру. Изначально Mirai и ботнет, построенный на базе малвари, предназначались для обычных DDoS-атак на найму, к тому же друзья интересовались бизнесом, связанным с популярной компьютерной игрой Minecraft и хотели «прижать конкурентов».

Как показывают судебные документы, а также рассказывают представители ФБР, нашумевшая атака, направленная против европейского провайдера OVH (мощность атаки составила 1 Тб/с), была обусловлена именно тем, что OVH, помимо прочего, занимается защитой Minecraft-серверов от DDoS-атак. Кстати, по этой же причине от атак Mirai пострадала калифорнийская компания ProxyPipe.com.

Вскоре после этого Mirai-ботнет также атаковал сайт известного журналиста Брайана Кребса, который к тому моменту уже серьезно интересовался сервисами для DDoS-атак по найму и Mirai. Тогда мощность атаки доходила до 620 Гбит/с. Кребса «заставили замолчать» на несколько дней, так как защищавшая его компания Akamai, по сути, была вынуждена признатьсвое полное бессилие перед лицом атак такой мощности.

Понимая, что привлекают к себе излишнее внимание, а созданный инструмент оказался очень мощным, в начале октября 2016 года авторы Mirai решились на вполне обычный для хакеров в такой ситуации шаг. Используя псевдоним Anna-senpai, Парас Джа совершенно бесплатно опубликовал исходные коды своего вредоноса на портале Hack Forums. Этот жест был призван запутать следы и сбить с толку правоохранителей.

И уже в конце октября 2016 года жители США и европейских стран (включая Россию) на собственном опыте смогли прочувствовать, что интернет вещей — это проблема. Тогда Mirai-ботнет атаковал DNS-провайдера Dyn, из-за чего с перебоями работали социальные сети, новостные сайты, популярные стриминговые сервисы. Практически недоступны оказались Twitter, Reddit, Yelp, Imgur, PayPal, Airbnb, Pinterest, Shopify, Soundcloud, Spotify, GitHub, Heroku, Etsy, Box, Weebly, Wix, Squarespace, CPAN, NPM, Basecamp, Twilio, Zoho, HBO, CNN, Starbucks, Yammer и многие другие.

Интересно, что представители ФБР не стали в деталях комментировать атаку на Dyn, которая, в сущности, и принесла Mirai глобальную известность. При этом правоохранители говорят, что за этим инцидентом стояли уже не Джа, Уайт и Норман, то есть код Mirai «пошел в народ». Однако именно после атаки на Dyn, парализовавшей часть интернета, расследованием происходящего занялось ФБР, сначала вообще заподозрившее причастность к инциденту «правительственных хакеров».

Джа, Уайт и Норман определенно не были «правительственными хакерами» и разработкой Mirai занимались сами. Теперь стало известно, что Джа отвечал за инфраструктуру и удаленный контроль малвари, Уайт разработал Telnet-сканер, вошедший в состав вредоноса, а Норман создавал новый эксплоиты. Хотя в официальном заявлении американских властей речь идет лишь о 100 000 скомпрометированных устройствах на территории США, на деле пострадавших IoT-устройств, конечно, гораздо больше. Так, согласно данным ИБ-исследователей, только за первые 20 часов работы Mirai заразил более 65 000 девайсов, а в итоге стабильное количество ботов варьировалось между 200 000 и 300 000.

Теперь авторы самой «успешной» IoT-малвари в истории признали свою вину. Как выяснилось, Mirai-ботнет использовали не только для DDoS-атак, но и для массового кликфрода. К тому же Джа признал свою вину в публикации исходных кодов Mirai и неоднократных DDoS-атаках против собственной альма-матер, Рутгерского университета, серверы которого он неоднократно уводил в оффлайн в период с ноября 2014 года по сентябрь 2016 года.

Интересно, что опубликованные правоохранителями документы доказывают правоту Брайана Кребса. Дело в том, что еще в январе 2017 года Кребс опубликовал на своем сайте результаты собственного расследования и предположил, что создателями Mirai могут являться именно Джа и Уайт.

И хотя Джа, Уайт и Норман теперь ожидают решения суда, после публикации исходных кодов дело Mirai живет как ни в чем не бывало. День ото дня появляется все больше новых IoT-угроз и ботнетов на базе Mirai. К примеру, наиболее «свежий» из них был обнаружен в начале текущего месяца, это ботнет Satori, уже насчитывающий более 280 000 устройств.

Ссылка на источник