+38 (044) 361-14-80 +38 (0482) 428-755      Пн - Пт, с 11.00 до 18.00

 Новости компьютерной безопасности

Пнд, 06 Ноя 2017 17:23:00
Пользователи Reddit обнаружили в официальном каталоге Google Play поддельную версию мессенджера WhatsApp, которую загрузили более 1 млн раз.
Подробнее...

Пользователи Reddit обнаружили в официальном каталоге Google Play поддельную версию мессенджера WhatsApp, которую загрузили более 1 млн раз.

Внешне фальшивка мало отличалась от настоящей версии мессенджера для Android и называлась Update WhatsApp Messenger. При этом, как можно заметить на скриншотах ниже, авторы фальшивки выдавали себя за разработчиков WhatsApp Inc. Добиться этого им удалось при помощи простейшего трюка: злоумышленники использовали юникод, то есть на самом деле имя разработчика приложения выглядело как WhatsApp+Inc%C2%A0, но невидимый пробел на конце не был виден пользователям.

Фальшивка слева, настоящее приложение справа

Пользователи Reddit изучили поддельное приложение и пришли к выводу, что фальшивка не запрашивала много разрешений (только доступ к интернету) и, по сути, использовалась как рекламная «обертка», загружающая дополнительный APK (whatsapp.apk). При этом приложение старалось «спрятаться» от пользователя после установки, имело пустую иконку и не имело никакого названия.

В настоящее время подделка уже удалена из Google Play, а ИБ-специалисты отмечают, что это далеко не уникальный и не единичный случай. К примеру, еще в октябре 2017 года сотрудник Avast Николаос Крисайдос (Nikolaos Chrysaidos) писал в своем твиттере, что ему удалось обнаружить в топе Play Store поддельный Facebook Messenger, загруженный более 10 млн раз. Кроме того, Крисайдос обращал внимание на многочисленные клоны WhatsApp, которые можно найти в официальном каталоге.

Пнд, 06 Ноя 2017 15:06:00
Продажи iPhone X стартовали в России только сегодня, 3 ноября 2017 года, но ажиотаж вокруг новых гаджетов Apple начал набирать обороты еще несколько дней назад.
Подробнее...

Продажи iPhone X стартовали в России только сегодня, 3 ноября 2017 года, но ажиотаж вокруг новых гаджетов Apple начал набирать обороты еще несколько дней назад.

Так, возле магазина Apple на Тверской заранее выстроилась длинная очередь, места в которой в итоге продавали за десятки тысяч рублей. Непосредственно после старта продаж, в социальных сетях немедленно стали появляться сообщения о продаже iPhone X, и, по данным СМИ, в некоторых случаях цена доходила почти до миллиона рублей. Для тех, кто таким бюджетом не располагает, есть и более скромные предложения, к примеру, можно приобрести коробку от iPhone X или взять ее в аренду для фотосессии.

Также ажиотаж, разумеется, не обошел стороной сеть, и уже привлек внимание скамеров. Специалисты Group-IB предупреждают, что мошенники уже запустили более 500 сайтов, на которых предлагают приобрести новые аппараты Apple. Конечно, на самом деле, никаких iPhone на таких сайтах не продают, злоумышленники просто собирают предоплату с доверчивых пользователей, продают поддельные смартфоны, крадут конфиденциальные данные пользователей или вообще распространяют таким образом малварь.

По данным Group-IB, доход одного такого мошеннического сайта по продаже iPhone X может достигать 68 000 долларов. Общий потенциальный ущерб от этих сайтов эксперты оценивают в 34 млн долларов.

К примеру, одна из мошеннических схем предполагает 100% оплату iPhone X через сайт, причем стоимость смартфона примерно на 30% ниже стоимости в официальном магазине Apple. Для «оформления заказа» жертве предлагают указать ФИО, email, телефон и адрес проживания — после этого пользователю на электронную почту приходит письмо с информацией о заказе и предложением перевести деньги на карту через онлайн-банкинг или электронный кошелек. После того как пользователь проделал вышеуказанную процедуру, связаться с продавцом он уже не сможет.

Летом 2017 года эта же группа злоумышленников запустила как минимум 11 сайтов, работавших по данной схеме. «Месячная аудитория одного сайта составляет около шести тысяч пользователей. При конверсии 1% и цене 1 200 долларов за единицу товара один такой сайт может приносить мошенникам более 68 тысяч долларов в месяц», — объясняют эксперты.

Чтв, 02 Ноя 2017 14:39:00
Помните, в античной мифологии была гидра, которой отрубаешь голову – а на ее месте две вырастают? Так вот, в зоопарке зловредов для Android появился такой же опасный зверь.
Подробнее...

Помните, в античной мифологии была гидра, которой отрубаешь голову – а на ее месте две вырастают? Так вот, в зоопарке зловредов для Android появился такой же опасный зверь.

Как ведут себя обычные банковские троянцы? Показывают пользователю фальшивый экран, имитирующий интерфейс мобильного банка. Ничего не подозревающая жертва вводит учетные данные, которые зловред переправляет злоумышленникам — и те получают доступ к ее счетам.

Как ведет себя LokiBot? Примерно так же, но он умеет подделывать не только экран банковского приложения, но и интерфейсы мессенджеров WhatsApp, Skype и клиента Outlook, выводя уведомления от имени этих приложений.

Это значит, что человек может получить — якобы от банка — поддельное уведомление о зачислении средств на счет и, обрадовавшись хорошей новости, устремиться в клиент мобильного банка. Для убедительности LokiBot заставляет смартфон вибрировать, когда выводит уведомление о якобы пришедших деньгах, что помогает провести даже внимательных пользователей.

Но у LokiBot в запасе есть и другие трюки: он может открывать браузер и переходить на нужные ему страницы и даже использовать зараженное устройство для рассылки спама — собственно, именно так он и распространяется. Похитив средства с вашего счета, LokiBot не остановится: он разошлет вредоносные SMS всем контактам из телефонной книги, чтобы заразить как можно больше смартфонов и планшетов, а в случае необходимости даже сам ответит на входящие сообщения.

Если попытаться избавиться от LokiBot, зловред покажет себя с новой стороны. Для кражи средств с банковского счета ему нужны права администратора, и если вы попробуете лишить его таких прав, он из банковского троянца превратится в вымогателя.

LokiBot как вымогатель. Как разблокировать

В этом случае LokiBot блокирует экран, обвиняя жертву в просмотре детской порнографии и требуя выкуп, а также шифрует данные на устройстве. Изучив код LokiBot, исследователи выяснили, что он использует слабое шифрование и работает некорректно: после атаки на устройстве остаются незашифрованные копии всех файлов, только под другими названиями. Так что вернуть файлы будет несложно.

Однако остается другая проблема: экран устройства все равно будет заблокирован — и за разблокировку авторы зловреда требуют около 100 долларов в биткоинах. Однако можно оставить их без заработка: перезагрузив устройство в безопасном режиме, можно лишить зловреда прав администратора и удалить его. Для этого сначала вам понадобится определить, какая у вас версия Android:

  • Выберите пункт «Настройки».
  • Выберите вкладку «Общие».
  • Выберите пункт «Об устройстве».
  • Найдите строчку «Версия Android» — цифры под ней и будут обозначать версию вашей ОС

Чтобы включить безопасный режим на устройстве с версией от 4.4 до 7.1, нужно выполнить следующие шаги.

  • Зажать кнопку питания и удерживать ее, пока на экране не появится меню с пунктом «Выключить» или «Отключить питание».
  • Нажать и удерживать пункт «Выключить» или «Отключить питание».
  • В появившемся меню «Переход в безопасный режим» нажать «ОК».
  • Дождаться перезагрузки телефона.

Владельцам устройств с другими версиями Android мы рекомендуем поискать способ включения безопасного режима, подходящий именно вашей модели, в интернете.

К сожалению, об этом способе уничтожения зловреда догадываются не все: жертвы LokiBot уже внесли в кошельки злоумышленников почти 1,5 млн долларов. Поскольку купить LokiBot на черном рынке можно всего за 2 тысячи долларов, надо полагать, преступники многократно окупили свои вложения.

Как защититься от LokiBot?

Меры, которые можно принять, чтобы защититься от LokiBot, в сущности применимы к любым мобильным зловредам. Вот как обезопасить себя:

  • Не кликать на подозрительные ссылки — именно через них распространяется LokiBot.
  • Скачивать приложения только через Google Play.
  • Установить на смартфон и планшет надежное защитное решение. Kaspersky Internet Security для Android детектирует все разновидности LokiBot. Если поставить платную версию, не придется проверять смартфон после установки каждого нового приложения.
Чтв, 02 Ноя 2017 14:18:00
Эксперты ESET обнаружили новую мошенническую кампанию в Google Play. Ее жертвами стали пользователи популярной криптовалютной биржи Poloniex.
Подробнее...

Эксперты ESET обнаружили новую мошенническую кампанию в Google Play. Ее жертвами стали пользователи популярной криптовалютной биржи Poloniex.

Poloniex – одна из ведущих бирж, на которой можно торговать более чем 100 криптовалютами. Популярность площадки привлекает мошенников. В данном инциденте злоумышленники воспользовались отсутствием официального мобильного приложения Poloniex – они распространяли вредоносные приложения под видом легитимных.

Первое вредоносное приложение проникло в Google Play под названием POLONIEX от одноименного разработчика. С 28 августа по 19 сентября его установили до 5000 пользователей, несмотря на противоречивые оценки и негативные отзывы. Второе – POLONIEX EXCHANGE от POLONIEX COMPANY – появилось в Google Play 15 октября и было установлено 500 раз. После предупреждения ESET подделки удалили из магазина.

Вредоносные приложения предназначены для кражи аккаунтов Poloniex. Чтобы получить доступ к учетной записи, мошенникам нужны логины и пароли от биржи и электронной почты, привязанной к «биржевому» аккаунту. Кроме того, поддельное приложение не должно вызывать подозрений пользователя. В обоих подделках реализованы одни и те же методы для решения этих задач.

Сразу после запуска вредоносного приложения на экране появляется фальшивая форма ввода логина и пароля Poloniex. Введенные данные отправляются злоумышленникам. Если жертва не использует в Poloniex двухфакторную аутентификацию, атакующие получат доступ к аккаунту. Они смогут самостоятельно выполнять транзакции и менять настройки, включая пароль.

Перехватив логин и пароль от Poloniex, злоумышленники пытаются получить доступ к Gmail. Для этого на экран устройства выводится окно, предлагающее войти в Gmail для «проверки безопасности». Получив доступ к аккаунту Poloniex и связанному аккаунту электронной почты, атакующие смогут проводить операции со счетом и удалять любые уведомления из входящих сообщений.

Наконец, чтобы обеспечить видимость нормальной работы, приложение переадресовывает пользователя на мобильную версию легитимного сайта Poloniex при каждом запуске.

ESET рекомендует проверять подлинность мобильных приложений (наличие ссылки на официальном сайте), рейтинги и отзывы пользователей на Google Play, а также использовать двухфакторную аутентификацию и надежное антивирусное решение для мобильных устройств.

Продукты ESET детектируют вредоносную программу как Android/FakeApp.GV.

Формы для перехвата учетных данных Poloniex и Gmail:

Срд, 01 Ноя 2017 10:01:00
Троянец-шифровальщик Trojan.BadRabbit, которого в последние дни активно обсуждают многочисленные СМИ, сетевые издания и производители антивирусного ПО, начал распространяться 24 октября и вскоре (по сообщениям тех же СМИ) заразил множество компьютеров.
Подробнее...

Троянец-шифровальщик Trojan.BadRabbit, которого в последние дни активно обсуждают многочисленные СМИ, сетевые издания и производители антивирусного ПО, начал распространяться 24 октября и вскоре (по сообщениям тех же СМИ) заразил множество компьютеров.

Компания «Доктор Веб» публикует предварительные результаты исследования этой вредоносной программы. В частности, "плохой кролик" проверял, не работают ли на компьютере продукты Dr.Web, и если обнаруживал связанные с ним процессы, пропускал первый этап шифрования, пытаясь избежать обнаружения. Также проверялось наличие продуктов McAffee.

Червь Trojan.BadRabbit состоит как минимум из трех компонентов: дроппера, червя-энкодера и шифровальщика дисков, способного также выполнять функции расшифровщика. После запуска дроппер, имеющиеся образцы которого представлены в виде исполняемого файла со значком установщика Adobe Flash, полностью загружается в память. Затем троянец сохраняет червя-энкодера в файл C:\Windows\infpub.dat и запускает его с помощью системной программы rundll32.exe, а собственный процесс завершает.

Троянец собирает информацию о зараженном компьютере, а также проверяет, не запущены ли на нем процессы двух антивирусных программ: Dr.Web и McAfee (в частности, его интересуют процессы с именами dwengine.exe, dwwatcher.exe, dwarkdaemon.exe, dwservice.exe, McTray.exe, mfevtps.exe и mcshield.exe). Если такие процессы обнаруживаются, BadRabbit пропускает первый этап шифрования, видимо, с целью избежать преждевременного обнаружения, однако пытается запустить полное шифрование диска после перезагрузки системы. Поскольку современные версии Антивируса Dr.Web не допускают возможности модификации загрузочной записи (MBR), попытка зашифровать диски не увенчается успехом. Таким образом, от действия Trojan.BadRabbit полностью защищены пользователи Антивируса Dr.Web версии 9.1 и выше и Dr.Web KATANA, при условии что они не меняли настройки превентивной защиты и не отключили ее.

Затем шифровальщик дисков проверяет аргументы своего процесса и, если он запущен без аргументов, работает как расшифровщик. Перед началом шифрования Trojan.BadRabbit выполняет ряд подготовительных действий, после чего создает в Планировщике заданий Windows задачу на перезагрузку компьютера через 3 минуты. Далее каждые 30 секунд троянец удаляет старое задание и создает новое, постоянно смещая время, когда должна выполниться задача. Вероятно, сделано это на случай, если пользователь компьютера удалит троянца до того, как шифрование дисков завершится.

Затем BadRabbit формирует пароль для шифрования дисков длиной в 32 символа, записывает информацию о компьютере в специальную структуру, шифрует ее публичным ключом и сохраняет в другой структуре, которая кодируется с использованием алгоритма Base64 и сохраняется в MBR. Алгоритм шифрования диска и загрузчик (бутлоадер) вирусописатели с небольшими изменениями позаимствовали из проекта с открытым исходным кодом Diskcryptor. Троянец ищет первый системный диск и устанавливает туда свой загрузчик. Впоследствии содержимое этого диска шифруется.

Часть кода BadRabbit позаимствована у троянца Trojan.Encoder.12544, также известного под именем NotPetya. При запуске энкодер проверяет наличие файла C:\Windows\cscc.dat и, если такой существует, прекращает свою работу (в связи с этим создание файла cscc.dat в папке C:\Windows может предотвратить вредоносные последствия запуска троянца). Запустившись из памяти зараженного компьютера, червь-энкодер при наличии соответствующих привилегий извлекает один из двух хранящихся в нем драйверов в зависимости от разрядности операционной системы. Эти драйверы позаимствованы из утилиты для шифрования файлов с открытым исходным кодом DiskCryptor.

Для запуска этих драйверов в процессе своей работы BadRabbit пытается зарегистрировать системную службу "cscc" с описанием "Windows Client Side Caching DDriver". Если зарегистрировать эту службу не удалось, он пытается запустить драйвер DiskCryptor с именем "cdfs" путем модификации системного реестра.

Как и Trojan.Encoder.12544, Trojan.BadRabbit использует утилиты Mimikatz для перехвата паролей открытых сессий в Windows. В зависимости от разрядности ОС он распаковывает соответствующую версию утилиты, сохраняет ее со случайным именем в папку C:\Windows, после чего запускает. Затем он ищет доступные на запись сетевые папки, пытается открыть их с использованием полученных учетных данных и сохранить там свою копию.

Выполнив все предварительные операции, троянец создает задание с именем "drogon" на перезагрузку компьютера. В процессе завершения сессии BadRabbit очищает системные журналы и удаляет ранее созданное задание. Энкодер шифрует файлы с расширениями .3ds, .7z, .accdb, .ai, .asm, .asp, .aspx, .avhd, .back, .bak, .bmp, .brw, .c, .cab, .cc, .cer, .cfg, .conf, .cpp, .crt, .cs, .ctl, .cxx, .dbf, .der, .dib, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .hpp, .hxx, .iso, .java, .jfif, .jpe, .jpeg, .jpg, .js, .kdbx, .key, .mail, .mdb, .msg, .nrg, .odc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .ora, .ost, .ova, .ovf, .p12, .p7b, .p7c, .pdf, .pem, .pfx, .php, .pmf, .png, .ppt, .pptx, .ps1, .pst, .pvi, .py, .pyc, .pyw, .qcow, .qcow2, .rar, .rb, .rtf, .scm, .sln, .sql, .tar, .tib, .tif, .tiff, .vb, .vbox, .vbs, .vcb, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmtm, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xml, .xvd, .zip. В результате работы троянца на экране зараженного компьютера демонстрируется требование выкупа в криптовалюте Bitcoin, а на сайте злоумышленников в TOR жертве отводится для оплаты 48 часов, по истечении которых сумма выкупа будет увеличена.

Срд, 01 Ноя 2017 09:42:00
Румынский Python-разработчик Алекс Бирсан (Alex Birsan) обнаружил сразу несколько проблем в баг-трекере Google, который больше известен под названием Buganizer.
Подробнее...

Румынский Python-разработчик Алекс Бирсан (Alex Birsan) обнаружил сразу несколько проблем в баг-трекере Google, который больше известен под названием Buganizer.

Исследователь обнаружил ряд ошибок, которые позволяли неавторизованному атакующему проникнуть в самое сердце системы и получить доступ к базе данных уязвимостей, в том числе еще неисправленных.

Обычные пользователи и даже ИБ-специалисты практически не имеют доступа к баг-трекеру. Даже исследователям обычно выдают доступ лишь к отдельным топикам (багам, о которых те сообщили). Но Бирсан обнаружил возможность подписаться на любую ветку и получить доступ к чему угодно.

«Buganizer — центр всей баг-трекинговой системы Google. Весьма вероятно, что там содержится информация даже о внутренних уязвимостях систем Google», — объяснил исследователь журналистам Bleeping Computer.

Между 27 сентября и 4 октября 2017 года эксперт нашел сразу три проблемы в системе отслеживания ошибок Google:

  • способ зарегистрировать фейковый ящик @google.com;
  • способ подписаться на любую тему на трекере и получать уведомления о багах, к которым у него не должно было быть доступа;
  • способ обмануть API Buganizer, чтобы получить доступ ко всем уязвимостям вообще.

В своем блоге, где исследователь пошагово описал весь процесс взлома, он пишет, что он не обнаружил следов эксплуатации этих проблем, то есть Бирсан полагает, что обнаружил способ проникновения в недра баг-трекера первым.

В своем отчете Бирсан отмечает, что обнаруженные им уязвимости, конечно, представляли огромную опасность, но эксплуатировать их на практике, чтобы найти на Buganizer нечто полезное, было бы сложно. Так, исследователь подсчитал, что потенциальному атакующему пришлось бы перебирать баг-репорты один за другим, практически вслепую, тогда как на Buganizer поступает 2000-3000  сообщений в час и лишь 0,1% из них публичные.

В настоящее время все обнаруженные специалистом проблемы уже были устранены (инженеры Google «закрыли дырки» за считанные часы). Бирсан получил от Google вознаграждение в размере 3133,7 долларов за первый баг, 5000 за второй и 7500 долларов за третий.

Срд, 01 Ноя 2017 09:26:00
Как известно, SMS-сообщения уже достаточно давно считаются ненадежным способом двухфакторной аутентификации.
Подробнее...

Как известно, SMS-сообщения уже достаточно давно считаются ненадежным способом двухфакторной аутентификации.

Еще в 2016 году Национальный Институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил интересный документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет. Специалисты NIST вообще назвали эту практику  «недопустимой» и «небезопасной».

Наиболее распространенной альтернативой SMS-сообщениям и голосовым звонкам в настоящее время являются аппаратные токены (наподобие известных YubiKey). Но специалисты из международного университета Флориды, совместно с Bloomberg, представили(PDF) еще одно небезынтересное альтернативное решение: систему Pixie. Разработчики утверждают, что Pixie надежнее даже аппаратных решений.

Работает Pixie предельно просто. Пользователю понадобится выбрать как-либо предмет, который и станет «ключом» для осуществления двухфакторной аутентификации. Затем Pixie попросит сделать несколько фотографий выбранного объекта. После этого, каждый раз, когда пользователю нужно где-то авторизоваться, он должен будет сделать еще одну фотографию ключевого предмета, которое Pixie сравнит с предыдущими.

Разработчики поясняют, что только сам пользователь знает, что именно является ключевым предметом, а значит, скомпрометировать процесс двухфакторной аутентификации в данном случае практически невозможно. Здесь не получится обойтись перехватом SMS-сообщений или эксплуатацией уязвимостей в протоколе SS7. К тому же пользователь может сделать «ключом» фотографию абсолютно предмета, использовать фото под определенным углом или фотографию какой-то определенной части объекта.

При этом Pixie демонстрирует крайне низкое количество ложноположительных срабатываний. Так, из 14,3 млн попыток брутфорса ложноположительные срабатывания произошли только в 0,09% случаев.  Еще один несомненный плюс – Pixie не передает пользовательские данные на удаленные серверы, все аутентификационные процессы происходят непосредственно на самом устройстве.

Хотя в настоящее время работа над Pixie еще продолжается, все желающие уже могут опробовать приложение в деле, скачав его из репозитория GitHub.

Втр, 31 Окт 2017 15:14:00
Сотрудники крупнейших корпораций в мире, использующие анонимный мессенджер Blind, стали в нем участниками опроса в котором выяснялся простой вопрос, устраивает ли их текущая заработная плата и думают ли они о смене работы.
Подробнее...

Сотрудники крупнейших корпораций в мире, использующие анонимный мессенджер Blind, стали в нем участниками опроса в котором выяснялся простой вопрос, устраивает ли их текущая заработная плата и думают ли они о смене работы.

Несмотря на то, что такие крупнейшие корпорации, как Microsoft часто становятся лучшими работодателями, при анонимном опросе картина выглядит иначе.

Среди опрошенных анонимно сотрудников Microsoft, 75% из них ответили, что недовольны своим денежным вознаграждением и думают о смене работодателя. Здесь конечно же можно частично сослаться на то, что сотрудники таких корпораций являются одними из лучших в своей профессии и имеют постоянно растущие амбиции, а лучшего работодателя и так уже найти сложно и реально им уходить некуда, но с другой стороны в других компаниях ситуация не такая, как в Microsoft.

Так, к примеру, самая дорогая высокотехнологичная компания, коей является конечно же Apple, тоже не может похвастаться положительным результатом, но ситуация все же лучше, чем в Microsoft. Более 55% опрошенных сотрудников компании из Купертино тоже не прочь сменить работодателя. Меньше всего об этом думают сотрудники Netflix (менее 30%) и Facebook (около 35%), а больше всего Groupon и HPE (Hewlett Packard Enterprise) - более 90% в обоих случаях.

Втр, 31 Окт 2017 11:15:00
Исследователь из бразильской ИБ-компании Morphus предупреждает о появлении вредоносного JavaScript-расширения Chrome, нацеленного на кражу учетных данных посредством перехвата запросов HTTP POST.
Подробнее...

Исследователь из бразильской ИБ-компании Morphus предупреждает о появлении вредоносного JavaScript-расширения Chrome, нацеленного на кражу учетных данных посредством перехвата запросов HTTP POST.

Ренату Маринью (Renato Marinho) обнаружил нового зловреда в ходе анализа написанного на португальском языке спам-сообщения о неких фото, якобы отосланных получателю через WhatsApp. Это письмо содержало ссылки, при активации которых на компьютер пользователя загружался вредоносный файл whatsapp.exe.

При запуске этот дроппер отображает поддельное окно инсталлятора Adobe PDF Reader. Если пользователь даст разрешение на установку, кликнув по предложенной кнопке, зловред загрузит и распакует zip-архив md18102136.cab размером порядка 9,5 Мбайт, содержащий два файла — md0.exe и md1.exe (по 200 Мбайт каждый).

Анализ бинарников этих исполняемых файлов показал, что полезный объем составляет в них менее 3%, остальные строки — это фиктивные операции, призванные раздуть размер файла. Этот трюк, по мнению Маринью, используется для обхода защитных решений, которые обычно не проверяют крупные файлы.

После запуска md0.exe пытается отключить брандмауэр Windows и принудительно завершить все процессы Google Chrome, которые могут воспрепятствовать установке вредоносного расширения. Затем он извлекает из своего тела JavaScript-плагин и вносит изменения в модуль запуска Chrome (lnk-файл), отключая также предусмотренную в нем защиту с тем, чтобы обеспечить беспрепятственную загрузку зловреда при следующем исполнении браузера.

После запуска вредоносный плагин начинает отслеживать и перехватывать все POST-запросы жертвы, фиксируя URL и строки requestBody. Эти данные шифруются и передаются функции savetofile для отправки на C&C-сервер. Такой подход, по словам Маринью, позволяет воровать конфиденциальную информацию с меньшими трудозатратами в сравнении с более привычными методами. В данном случае зловреду не нужно отслеживать конкретные URL с целью отлова учетных данных. Также нет необходимости заманивать жертву на поддельный сайт с сомнительным SSL-сертификатом или разворачивать локальный прокси-сервер для перехвата интернет-соединений.

Новый зловредный плагин, по мнению исследователя, обречен на успех, так как Chrome позволяет расширениям получать доступ к полям форм с конфиденциальными данными, не испрашивая дополнительно согласие у пользователя. Кроме того, Chrome разрешает расширениям самостоятельно и без огласки устанавливать соединения со сторонними онлайн-объектами, а защиту браузера от вредоносных действий плагинов можно отключить, проставив соответствующий аргумент в командной строке — как в данном случае.

Втр, 31 Окт 2017 10:56:00
Представьте, в один прекрасный день вы решаете заплатить биткойнами, скажем, за пиццу. Копируете адрес кошелька с сайта пиццерии, вводите нужную сумму — и нажимаете кнопку «Отправить». И вот перевод ушел, но пицца все никак не приезжает.
Подробнее...

Представьте, в один прекрасный день вы решаете заплатить биткойнами, скажем, за пиццу. Копируете адрес кошелька с сайта пиццерии, вводите нужную сумму — и нажимаете кнопку «Отправить». И вот перевод ушел, но пицца все никак не приезжает.

Владельцы пиццерии говорят, что перевод им не приходил. Что же случилось? Нет, дело не в том, что пиццерия вас кинула — во всем виноват троянец CryptoShuffler.

В отличие от какого-нибудь шифровальщика-вымогателя этот троян обходится без спецэффектов — он вообще изо всех сил старается не привлекать внимания. Троян тихонько сидит в памяти и наблюдает за всем, что попадает в буфер обмена — ту штуку, через которую происходит копирование и вставка данных при Ctrl+C и Ctrl+V.

Как только CryptoShuffler замечает, что в буфер обмена попал адрес криптовалютного кошелька — а по характерным признакам вроде длины строки или символов в начале их довольно легко отличить от других данных — он аккуратно заменяет его на другой. В итоге криптовалютный перевод действительно уходит, и именно на ту сумму, которую вводил пользователь, — просто приходит он не владельцам пиццерии, а злоумышленникам, создавшим CryptoShuffler.

Изучив троян, эксперты из «Лаборатории Касперского» выяснили, что зловред охотится за Bitcoin, Ethereum, Zcash, Dash, Dogecoin (да, и такие тоже бывают) и другими криптовалютами. Успешнее всего оказались подмены Биткойн-кошельков — на момент публикации злоумышленники «заработали» чуть больше 23 биткойнов, или около 140 000 долл. по нынешнему курсу. В принадлежащих создателям CryptoShuffler кошельках других криптовалют нашлись суммы от нескольких десятков до нескольких тысяч долларов.

Чтобы собрать такое количество денег, троянцу понадобилось чуть больше года — пик его активности пришелся на конец 2016 года, затем последовал спад, но в июне CryptoShuffler вновь пробудился.

Этот троянец — наглядный пример того, что зараженный компьютер или смартфон не обязательно будет тормозить и выводить сообщения с требованиями выкупа. Многие зловреды, наоборот, стараются не выделяться и работать как можно более скрытно: чем дольше их не найдут, тем больше денег они успеют заработать своим создателям.

Так что советуем всем тем, кто пользуется криптовалютами, не только не терять бдительность, но и установить надежную защиту. Наши продукты обнаруживают CryptoShuffler, определяют его как Trojan-Banker.Win32.CryptoShuffler.gen и, разумеется, блокируют его действия.

Втр, 31 Окт 2017 10:29:00
Разработчик и создатель fastlane.tools Феликс Краузе (Felix Krause) предупреждал о том, как опасны для пользователей iOS могут быть поддельные диалоговые окна, похожие на системные запросы паролей от iCloud, iTunes или GameCenter.
Подробнее...

Разработчик и создатель fastlane.tools Феликс Краузе (Felix Krause) предупреждал о том, как опасны для пользователей iOS могут быть поддельные диалоговые окна, похожие на системные запросы паролей от iCloud, iTunes или GameCenter.

Теперь Краузе обнаружил еще одну неприятную особенность iOS. Как оказалось, любое приложение, имеющее доступ к камере устройства, способно снимать фото и видео, причем это может происходить втайне от пользователя. Исследователь объясняет, что это не баг, ведь именно такое поведение позволяет существовать шпионским приложениям, вроде Stealth Cam и Easy Calc — Camera Eye.

Тем не менее Краузе не на шутку обеспокоен, ведь большинство пользователей вообще не запоминают, какие разрешения они выдавали приложениям. Многие приложения запрашивают доступ к камере сразу после установки, к примеру, чтобы установить аватар.

«Большинство людей понятия о таком не имеют, они считают, что камера используется только тогда, когда с ней работают и видят мигание LED, —  говорит специалист. — Мессенджеры или приложения, работающие с лентами новостей, могут с легкостью отслеживать лицо пользователя, делать снимки, или передавать изображение с фронтальной и основной камеры устройство вовне, без согласия пользователя».

Краузе отмечает, что в новейшей версии iOS приложения также могут автоматически обнаруживать присутствие в кадре второго человека, активировать тулкит, отвечающий за обнаружение лиц, следить за настроением пользователя во время работы с приложением и так далее. В качестве proof-of-concept исследователь представил приложение watch.user, которое делает снимки лица пользователя, пока тот просто прокручивает фид.

Исследователь пишет, что единственный и наиболее надежный способ защиты от такой слежки – физически закрыть чем-то объективы камер. Также он рекомендует отозвать разрешения на доступ к камере для сторонних приложений, а для съемки использовать только встроенное решение. Разработчикам Apple Краузе советует добавить четкую LED-индикацию работы камеры, а также ввести одноразовые разрешения для приложений.

Втр, 31 Окт 2017 10:10:00
Аналитики компании IntSights представили отчет, посвященный наиболее популярным способам коммуникации в даркнете.
Подробнее...

Аналитики компании IntSights представили отчет, посвященный наиболее популярным способам коммуникации в даркнете.

Главный вывод, сделанный исследователями: использование мессенджеров в киберкриминальной среде в целом возросло в 30 раз. Можно было бы предположить, что это связано с закрытием крупных торговых площадок AlphaBay и Hansa Market, но это не так. Достаточно вспомнить о том, что даркнет-маркеты ушли в оффлайн лишь в конце июля, то есть уже под конец сбора данных. Таким образом, получается, что хакерский андеграунд самостоятельно переориентировался на использование мессенджеров.

Согласно отчету, самым популярным среди киберпреступников мессенджером неожиданно оказался Discord, разработчики которого вообще отказываются использовать end-to-end шифрование. На втором и третьем местах, с большим отставанием, расположились Telegram и WhatsApp.

«Такая популярность Discord удивительна, учитывая, что это сравнительно небольшая платформа, которой пользуются только 45 млн человек», — пишут аналитики IntSights.

Интересно, что в похожем исследовании, которое весной 2017 года проводила компания Flashpoint, Discord даже не был упомянут. Впрочем, возможно, все дело в разных подходах к сбору данных для анализа. Так, отчет IntSight сфокусирован вокруг инвайтов и ссылок на групповые и приватные чаты. Единственное, в чем сходятся обе компании, это в том, что популярность ICQ в даркнете по-прежнему велика.

Также специалисты IntSights  отмечают рост популярности ORBot, клиента Tor для Android. Количество его установок возросло с одного миллиона в 2014 году, до десяти миллионов в 2016. По мнению аналитиков IntSight, именно поэтому преступники не ищут мессенджеры с поддержкой шифрования, вместо этого они попросту используют Tor.

Втр, 31 Окт 2017 08:53:00
Получите комплексную защиту F-Secure SAFE на 6 месяцев бесплатно. Защитите любые 3 ваших устройства, включая ПК, Mac, смартфоны и планшеты с помощью одного решения
Подробнее...

Получите комплексную защиту F-Secure SAFE на 6 месяцев бесплатно. Защитите любые 3 ваших устройства, включая ПК, Mac, смартфоны и планшеты с помощью одного решения

F-Secure SAFE - бесплатно на 6 месяцев для 3 устройств

F-Secure SAFE — новое средство безопасности от F-Secure для пользователей компьютеров и мобильных устройств. Оно объединяет все отмеченные наградами технологии F-Secure в единую среду безопасности, охватывающую все ваши устройства. Теперь можно защитить онлайн-жизнь всей семьи с помощью единой службы F-Secure SAFE.

F-Secure SAFE обеспечивает безопасность компьютеров Windows и Mac, смартфонов и планшетов при работе в Интернете. Решение защищает все ваши устройства от вредоносных программ, хакерских атак и кражи личных данных. Функция "Родительский контроль" оберегает ваших детей: только вы определяете, что видят и что не видят ваши дети когда они выходят в сеть. В случае потери или кражи вашего смартфона или планшета F-Secure SAFE поможет вам его найти. С этой службой удивительно легко обеспечить безопасность банковских операций, покупок и просмотра сайтов. Независимо от типа устройства, вы всегда под защитой F-Secure SAFE.

F-Secure SAFE - бесплатно на 6 месяцев для 3 устройств

Для получения бесплатной подписки F-Secure SAFE на 6 месяцев для 3 устройств необходимо выполнить следующие действия:

1. Перейдите на страницу промо-акции (на немецком языке)

2. Выполните регистрацию, заполнив форму - укажите имя, фамилию, адрес электронной почты и задайте пароль. Нажмите кнопку "Konto erstellon" для создания учетной записи.

3. Подтвердите регистрацию, перейдя по ссылке в сообщении, которое придет на вашу электронную почту.

4. На странице учетной записи https://mysafe.f-secure.com/ в нижнем выпадающем меню выберите "Russian Federation" (вместо Austria) для включения интерфейса на русском языке.

F-Secure SAFE - бесплатно на 6 месяцев для 3 устройств

5. Выберите "Добавить устройства" для установки защиты на 3 любых ваших устройств, включая ПК с Windows 7 и выше, macOS, мобильные устройства Android, iPhone и iPad.

F-Secure SAFE - бесплатно на 6 месяцев для 3 устройств

Условия предложения

  • Это лицензия на 6 месяцев для 3 устройств, только для домашнего (персонального) использования.
  • Срок действия лицензии начинается с момента ее получения.
  • Вы получаете бесплатные обновления в течение срока действия лицензии.
  • Нет бесплатной технической поддержки.
Пнд, 30 Окт 2017 15:50:00
До 3 ноября включительно получите скидку в 50% на все Премиум лицензии 2+2 (это означает, что ей можно активировать AdGuard на 2 ПК/Mac + 2 устройства Android) на один год
Подробнее...

До 3 ноября включительно получите скидку в 50% на все Премиум лицензии 2+2 (это означает, что ей можно активировать AdGuard на 2 ПК/Mac + 2 устройства Android) на один год

Adguard: скидка 50% на все Премиум лицензии (2+2 устройства)

AdGuard - это лучший выбор для защиты от вредоносных программ и избавления от навязчивой рекламы. Каждый ваш шаг в интернете будет безопаснее и комфортнее вместе с AdGuard!

Разработчики программы приглашают посетить официальный сайт в любой день до 3 ноября включительно, начиная с сегодня, и получить вкуснейшую скидку в 50% на все Премиум лицензии 2+2 (это означает, что ей можно активировать 2 ПК/Mac + 2 устройства Android) на один год.

ПОЛУЧИТЬ СКИДКУ

Пнд, 30 Окт 2017 05:37:00
Получите бесплатную лицензию Auslogics Disk Defrag Pro (обычная цена 1 350,00 руб.). Профессиональная версия дефрагментатора обеспечивает еще большую скорость работы винчестера благодаря новым функциям и алгоритмам
Подробнее...

Получите бесплатную лицензию Auslogics Disk Defrag Pro. Профессиональная версия дефрагментатора обеспечивает еще большую скорость работы винчестера благодаря новым функциям и алгоритмам

Auslogics Disk Defrag Pro - бесплатная лицензия

Auslogics Disk Defrag Pro - профессиональная версия популярного дефрагментатора от Auslogics, которая обеспечивает еще большую скорость работы винчестера благодаря новым функциям и алгоритмам.

Ключевые функции программы:

  • Дефрагментация заблокированных системных файлов.
  • 4 способа оптимизации размещения файлов.
  • Особые алгоритмы для SSD дисков и VSS режима.
  • Предотвращение фрагментации файлов.
  • Мониторинг производительности диска.

Программа предлагает на выбор 4 алгоритма оптимизации дискового пространства. Для ускорения доступа к часто используемым файлам рекомендуется «оптимизация по времени доступа». Для ускорения загрузки системы и приложений есть «оптимизация с учетом Prefetch». Если нужно лишь сократить фрагментацию файлов в будущем, выбирайте функцию «оптимизация по времени изменения». И, наконец, «оптимизация по зонам диска» позволяет вручную указать файлы или типы файлов для размещения в быстрой зоне диска.

Auslogics Disk Defrag Pro - бесплатная лицензия

Для получения бесплатной лицензии Auslogics Disk Defrag Pro выполните следующие действия:

1. Скачайте программу по ссылке ниже:

Скачать Auslogics Disk Defrag Pro

Поддерживаемые операционные системы (системные требования): Windows 10 / 8.1 / 8 / 7 / Vista / XP 32|64-bit

2. Установите программу и для активации полной версии в меню "Помощь > Регистрация" используйте код регистрации:

Q2CCB-R4VX7-H9SWW-9D539-UK3S2

Условия предложения

Программа, которую Вы загружаете и устанавливаете в течение ограниченного периода, имеет следующие ограничения:

  • Срок действия лицензии - 1 год
  • На нее не распространяется бесплатная техническая поддержка
  • На нее не распространяется возможность обновления до будущих версий
  • Программа предназначена только для персонального использования
Чтв, 26 Окт 2017 16:51:00
Важная информация: с 10 ноября в силу вступают новые цены на все ключи AdGuard! Успейте купить или продлить лицензии по старым ценам
Подробнее...

Важная информация: с 10 ноября в силу вступают новые цены на все ключи AdGuard! Успейте купить или продлить лицензии по старым ценам

Новая ценовая политика AdGuard

Разработчики Adguard сообщили в своем блоге:

Мы хотели сообщить вам заранее, чтобы это не стало внезапным изменением и чтобы дать нашим пользователям возможность продлить свои лицензионные ключи или перейти на вечные лицензии по старым ценам.

С момента появления AdGuard стоимость ключей для России и СНГ была в 5 раз ниже стоимости ключей для всех остальных стран. Отчасти благодаря низкой стоимости именно AdGuard стал первым когда-либо купленным программным продуктом для многих наших пользователей. Но у низких цен есть и обратная сторона — они ограничивают наши возможности роста и улучшения продукта. Чтобы оставаться лучшими в своем классе, быстро адаптироваться к техническим изменениям устройств, платформ и операционных систем — мы решили несколько увеличить цены.

Хотим успокоить — несмотря на повышение, специальные цены для соотечественников и соседей останутся в действии. Ключ, который стоит 19.95$ (или 17.95€ для стран Европы), будет доступен для жителей стран СНГ за 299 руб., то есть почти в 4 раза дешевле.

Что изменится?

Цены самых популярных типов лицензий изменятся следующим образом:

  • Стандартная лицензия, 1 год 1 ПК — было: 249 руб., станет: 299 руб.
  • Премиум лицензия, 1 год 1 ПК + 1 Android — было: 299 руб., станет: 399 руб..
  • Мобильная лицензия, 1 устройство — было: 149 руб., станет 199 руб..

Стоимость ключей на 2 и более устройств увеличится на 20-25%. Как и прежде, продление и улучшение лицензионных ключей будет на 20% дешевле покупки аналогичных им новых.

Резюмируем

Как мы уже сказали, новые цены начнут дейтсвовать с 10 ноября 2017 года. А до тех пор вы можете купить ключи AdGuard по старым ценам.

Информация для пользователей: вы можете продлить свой ключ по старой цене прямо сейчас, не дожидаясь окончания срока его действия, так как новый срок действия ключа прибавляется к старому (например, если ваш ключ истекает через 3 месяца, и вы продлеваете его на 1 год, новый срок действия ключа после продления составит 1 год и 3 месяца).

КУПИТЬ/ПРОДЛИТЬ ПО ВЫГОДНОЙ ЦЕНЕ

Благодарим всех пользователей AdGuard за поддержку и за то, что остаётесь с нами и помогаете делать наши продукты ещё лучше!

Ссылка на источник