Добро пожаловать на форум Yarik-Sat

||| Если это Ваш первый визит, рекомендуем почитать Условия использования сайта и форума Yarik-Sat.Ru . Для размещения своих сообщений необходимо войти или зарегистрироваться ... |||


Хакеры, взломы, вирусы

Автор qwest, Воскресенье 26 Июль 2015, 22:02:03

« предыдущая тема - следующая тема »
Вниз

qwest

Троян встраивает рекламу в веб-страницы с применением технологии веб-инжектов

В июле 2015 г. специалисты компании «Доктор Веб» обнаружили несколько вредоносных программ, предназначенных для демонстрации пользователям интернета назойливой рекламы. Как сообщили сегодня в «Доктор Веб», одна из них получила наименование Trojan.Ormes.186.
Троян встраивает рекламу в просматриваемые жертвой веб-страницы с использованием технологии веб-инжектов (Web-injects).
Вредоносная программа Trojan.Ormes.186 представляет собой расширение для браузера Mozilla Firefox, состоящее из трех файлов, написанных на языке JavaScript. Один из этих файлов зашифрован и предназначен для демонстрации различного рода рекламы, а два других встраивают его в открываемые в окне браузера веб-страницы непосредственно на компьютере жертвы: подобная технология называется веб-инжектом.
Основной код трояна расположен в зашифрованном файле и именно он реализует основные функции Trojan.Ormes.186 по встраиванию постороннего содержимого в веб-страницы. В теле вредоносной программы содержится список, состоящий из порядка 200 адресов интернет-ресурсов, при обращении к которым Trojan.Ormes.186 выполняет веб-инжекты. Среди них -- различные сайты для поиска и размещения вакансий, а также адреса поисковых систем и социальных сетей, рассказали в компании.
В коде трояна предусмотрена специальная функция, предположительно реализующая возможность автоматической эмуляции щелчка мышью на различных элементах веб-страниц с целью подтверждения подписок для абонентов мобильных операторов «Мегафон» и «Билайн». Кроме того, при открытии в окне браузера сайтов «Яндекс», Youtube, а также социальных сетей «ВКонтакте», «Одноклассники» и Facebook Trojan.Ormes.186 загружает с удаленного сайта и выполняет соответствующий сценарий, который через цепочку редиректов перенаправляет жертву на сайты различных файлообменных систем, использующих для монетизации платные подписки.
В процессе работы с популярными поисковыми системами троян также встраивает в страницы с отображаемыми в результате обработки запроса ссылками рекламные баннеры. В страницы социальной сети Facebook данная вредоносная программа внедряет скрытый элемент iframe (с целью установки внутренних переменных, необходимых для работы трояна), благодаря чему Trojan.Ormes.186 может автоматически устанавливать отметку «Like» («мне нравится») ряду веб-сайтов из специального списка.
Среди других возможностей Trojan.Ormes.186 в «Доктор Веб» отметили функцию автоматического входа на сайты онлайн-казино, список которых также имеется в теле вредоносной программы. Если сайт содержит предложение об установке приложения для социальных сетей, троян выполняет автоматическое перенаправление пользователя на страницу такого приложения. Отслеживая открытие подобных страниц, Trojan.Ormes.186 эмулирует щелчок мышью по ссылке, разрешающей установку. В результате приложение инсталлируется фактически без участия пользователя.
В случае появления признаков активности трояна Trojan.Ormes.186, таких как заметное замедление работы браузера Firefox и появление на просматриваемых веб-страницах подозрительной рекламы, специалисты «Доктор Веб» рекомендуют пользователям выполнить сканирование устройства штатными средствами «Антивируса Dr.Web», а также проверить список установленных расширений браузера и удалить плагин с именем NetFilterPro и описанием «Additional security for safe browsing experience».

qwest

Обнаружен новый бэкдор для Linux

Вирусные аналитики компании «Доктор Веб» исследовали новый образец трояна-бэкдора, представляющего опасность для операционных систем семейства Linux.
Как сообщили сегодня в «Доктор Веб», по задумке авторов этой вредоносной программы она должна обладать чрезвычайно широким и мощным набором возможностей, однако на текущий момент далеко не все ее функции работают соответствующим образом.
Данный бэкдор, получивший наименование Linux.BackDoor.Dklkt.1, имеет предположительно китайское происхождение, полагают в компании. По всей видимости, разработчики изначально пытались заложить в него довольно обширный набор функций -- менеджера файловой системы, трояна для проведения DDoS-атак, прокси-сервера и т.д., однако на практике далеко не все эти возможности реализованы в полной мере. Более того, исходные компоненты бэкдора были созданы с учетом кроссплатформенности, то есть таким образом, чтобы исполняемый файл можно было собрать как для архитектуры Linux, так и для Windows. Однако, поскольку разработчики отнеслись к этой задаче не слишком ответственно, в дизассемблированном коде трояна встречаются и вовсе нелепые конструкции, не имеющие к Linux никакого отношения, рассказали в «Доктор Веб».
При запуске Linux.BackDoor.Dklkt.1 проверяет наличие в папке, из которой он был запущен, конфигурационного файла, содержащего необходимые для его работы параметры. В этом файле задаются три адреса управляющих серверов бэкдора, однако используется им только один, в то время как два других являются резервными. Конфигурационный файл зашифрован с использованием алгоритма Base64. При запуске Linux.BackDoor.Dklkt.1 пытается зарегистрироваться на атакованном компьютере в качестве демона (системной службы), а если это не удается, бэкдор прекращает свою работу.
После успешного запуска троян формирует и отсылает на управляющий сервер пакет с информацией об инфицированной системе, при этом весь трафик обмена данными между бэкдором и удаленным командным центром сжимается с использованием алгоритма LZO и шифруется алгоритмом Blowfish. Каждый пакет также снабжается контрольной суммой исходных данных для определения целостности полученной информации на принимающей стороне.
После этого Linux.BackDoor.Dklkt.1 переходит в режим ожидания входящих команд, среди которых специалисты «Доктор Веб» отметили: директивы начала DDoS-атаки, запуска SOCKS proxy-сервера, запуска указанного в пришедшей команде приложения, перезагрузки или выключения компьютера. Все остальные команды Linux.BackDoor.Dklkt.1 либо игнорирует, либо обрабатывает некорректно.
Троян способен выполнять следующие типы DDoS-атак: SYN Flood, HTTP Flood (POST/GET запросы), ICMP Flood, TCP Flood, UDP Flood.
Сигнатура этого бэкдора добавлена в вирусные базы Dr.Web, поэтому пользователи «Антивируса Dr.Web для Linux» защищены от действия данной вредоносной программы, указали в компании.

qwest

Обнаружена новая фишинговая кампания с использованием Google Drive

Исследователи безопасности обнаружили очередную фишинговую кампанию, эксплуатирующую доверенный сервис Google Drive, которая стала уже второй за последние два года.
Как сообщил Адитья Суд из Elastica Cloud Threat Labs, в новой волне атак злоумышленники применяют те же техники, что и в предыдущей, например, обфускацию кода.
Так же, как и в прошлый раз, преступники используют размещенные в Google Drive фишинговые web-страницы, стремясь обмануть даже знакомых с безопасностью пользователей за счет хорошей репутации сервиса. Атака начинается с того, что пользователь Gmail получает электронное письмо, содержащее ссылку на неавторизованную страницу в Google Drive. По словам эксперта, злоумышленники не осуществляют атаку «человек посередине» и не нарушают работу сетевого канала, а просто используют функционал сервиса в мошеннических целях.
В отличие от предыдущей кампании, в которой для обхода обнаружения использовалась обфускация JavaScript-кода, а для хранения похищенных учетных данных - сторонние домены, в этот раз злоумышленники пользуются преимуществами Google Drive.

Wolf

В «Доктор Веб» поступил образец трояна-майнера, который получил наименование Trojan.BtcMine.737. По своей внутренней архитектуре троян напоминает матрешку, состоящую из трех вложенных друг в друга установщиков, созданных злоумышленниками с использованием технологии Nullsoft Scriptable Install System (NSIS). Первый слой этого своеобразного «сэндвича» представляет собой довольно-таки простой дроппер: он пытается остановить процессы Trojan.BtcMine.737, если ранее они уже были запущены в системе, а затем извлекает из своего тела и помещает во временную папку исполняемый файл другого установщика, запускает его, а исходный файл удаляет.

Спойлер   :


Второй установщик обладает чуть более широкими возможностями, похожими на функционал сетевого червя. В первую очередь он сохраняет в одной из папок на диске атакованного компьютера и запускает исполняемый файл CNminer.exe, который также представляет собой NSIS-установщик, затем создает собственную копию в папке автозагрузки, в папке «Документы» пользователя Windows и во вновь созданной на диске директории, к которой автоматически открывает доступ из локальной сети. В целевых папках эти копии вредоносной программы отображаются в виде файла с именем Key, имеющего значок WinRAR-архива.

Затем троянец копирует себя в корневую папку всех дисков инфицированной машины (эту операцию он повторяет с определенной периодичностью), перечисляет доступные в сетевом окружении компьютеры и пытается подключиться к ним, перебирая логины и пароли с использованием имеющегося в его распоряжении специального списка. Помимо этого, вредоносная программа пытается подобрать пароль к локальной учетной записи пользователя Windows. Если это удается, Trojan.BtcMine.737 при наличии соответствующего оборудования запускает на инфицированном компьютере открытую точку доступа WiFi. Если вредоносной программе удалось получить доступ к одному из компьютеров в локальной сети, предпринимается попытка сохранить и запустить на нем копию троянца либо с использованием инструментария Windows Management Instrumentation (WMI), либо при помощи планировщика заданий.

Программа CNminer.exe, которую Trojan.BtcMine.737 сохраняет на диск на втором этапе своей установки, как раз и является установщиком утилиты для добычи (майнинга) криптовалюты. Запустившись на инфицированном компьютере, приложение CNminer.exe сохраняет в текущей папке исполняемые файлы майнера для 32-разрядной и 64-разрядной архитектур, а также текстовый файл с необходимыми для его работы конфигурационными данными. Ссылку на исполняемый файл троянец вносит в отвечающую за автоматический запуск приложений ветвь системного реестра Windows, и, кроме того, сохраняет ярлык на него в стандартной папке автозапуска. После старта установщика содержащийся в нем сценарий останавливает уже работающие процессы майнеров (если они были запущены ранее), затем обращается к своему управляющему серверу, который возвращает ему в виде HTML-файла дополнительные конфигурационные данные с параметрами пулов и номерами электронных кошельков, причем эти номера периодически меняются.

Wolf

http://fastpic.ru/][IMG]http://i71.fastpic.ru/big/2015/0808/7f/73c9b8b84c04ca0a68ceb208b8471f7f.jpg[/img][/URL]
Специалисты антивирусной компании ESET выполнили технический анализ шпионского ПО Win32/Potao. Один из наиболее интересных векторов распространения вредоносной программы - компрометация приложения для шифрования данных TrueCrypt.



В процессе изучения Win32/Potao специалисты ESET обнаружили заражения компьютеров, выполненные другим вредоносным ПО. Было установлено, что Potao загружался в систему с помощью исполняемого файла TrueCrypt.exe. В качестве загрузчика (downloader) выступала скомпрометированная версия ПО для шифрования данных TrueCrypt.

Дальнейшее расследование показало, что данная модификация TrueCrypt распространялась через сайт truecryptrussia.ru. Более этого, эксперты установили факт использования злоумышленниками этого доменного имени в качестве одного из адресов управляющего сервера. Это может указывать на то, что сайт изначально был создан для реализации вредоносных операций.

Первые вредоносные модификации программы TrueCrypt, содержащие бэкдор, датированы апрелем 2012 г. Они доставлялись на выборочной основе только некоторым пользователям, что указывает на таргетированность атак. В ряде случаев Potao загружался на ПК другой программой, которая обнаруживается антивирусными продуктами ESET NOD32 как Win32/FakeTC.

Wolf

Хакеры требуют выкуп за расшифровку важных данных пользователей из России и Украины.
Вредоносное ПО Troldesh, детектируемое также как Win32/Troldesh, было замечено ИБ-исследователями в начале 2015 года, а широкое распространение вредонос получил уже в июне. Эксперты Microsoft не могут определить точную причину всплеска популярности Troldesh среди хакеров, вероятнее всего, это связано со значительным ростом использования наборов эксплоитов Axpergle и Neclu, также известного как Nuclear.
Исследователи называют Axpergle и Neclu самыми известными распространителями Troldesh. Данные наборы эксплоитов, как и большинство других, проверяют целевое устройство на наличие уязвимостей, а затем эксплуатируют бреши для инфицирования системы вредоносом Troldesh. Вредоносное ПО, в свою очередь, создает следующие файлы - %APPDATA%\windows\csrss.exe (копия вредоносной программы) и %TEMP%\state.tmp (временный файл, используемый для шифрования). Вредонос изменяет некоторые записи в системном реестре для того, чтобы запускаться каждый раз, когда включается компьютер. Как и любой другой вредонос-вымогатель, Troldesh зашифровывает и переименовывает расширение файла на .xbtl или .cbtl.
Жертва получает уведомление, в котором сказано, что нужно отправить специальный код на электронную почту злоумышленника для получения детальной инструкции. Хакеры также предупреждают, что самостоятельные попытки расшифровать файлы приведут к безвозвратной потере данных. Troldesh также изменяет обои рабочего стола на сообщение на русском и английском языках о том, что файлы были зашифрованы.
ИБ-исследователи сообщили, что Troldesh больше всего используется в Украине и в России. На третьем и четвертом местах расположились Бразилия и Турция соответственно. Специалисты Microsoft не рекомендуют перечислять злоумышленникам деньги, так как нет никаких гарантий того, что файлы жертвы будут расшифрованы.

Wolf

Средства на отражение российских и китайских кибератак возрастут в десять раз



Британское правительство намерено увеличить в десять раз финансирование усилий по противодействию российским и китайским хакерам. Для борьбы с ними будет выделено £2 млрд в течение ближайших пяти лет.

Британские власти намерены в десять раз увеличить финансирование борьбы с российскими и китайскими хакерами. Об этом сообщила лондонская The Sunday Times, ссылаясь на «военные источники». Решение принято по итогам изучения доклада, представленного правительству Объединенным командованием по киберобороне (ОКК), которое отвечает за совместные усилия родов войск в этом направлении. ОКК в своем докладе рекомендует увеличить бюджет программы по противодействию хакерам до £400 млн в год.

По словам источников газеты, члены кабинета и другие заинтересованные высокопоставленные чиновники уже одобрили и содержащийся в докладе призыв перейти к более активным и даже наступательным мерам для ликвидации угроз, которые представляют для Британии хакеры, и увеличение расходов на эти цели. Предлагается прием на работу как минимум 300 специалистов высокого уровня для разработки вредоносного и шпионского ПО.

ОКК в своем докладе рекомендует развитие систем сугубо наступательного характера, позволяющих приводить в негодность коммуникации противника или даже внедрение в инфраструктуру, в том числе банков, правительственных учреждений и полиции. В идеале Британия сможет следить за содержанием электронных сообщений, прослушивать телефонные звонки и так далее.

Само существование британской программы ведения кибервойны было официально признано в 2013 году тогдашним министром обороны страны Филипом Хэммондом, который ныне занимает пост министра иностранных дел страны. «Наличие наступательных систем обычно является хорошим фактором сдерживания. Мы создадим системы, способные наносить нашим врагам киберудары»,-- заявлял тогда он. В соответствии с общепринятой в Британии (так же, как в США) концепцией именно Россия и Китай стоят за большинством удачных и неудачных хакерских атак.

По словам одного из ведущих британских экспертов в области кибервойны и бывшего члена ОКК, объем заявленных инвестиций говорит о том, что Британия «готова стать игроком высшей лиги в том, что касается наступательного направления в кибервойне». По его словам, британские специалисты имеют необходимые знания и умения для того, чтобы поднять наступательную активность на новый уровень. «Я бы хотел, чтобы Британия имела военные возможности для разработки и создания тех инструментов, которые бы дополняли непосредственно военную деятельность. Это могут быть и DoS-атаки, и DCC-атаки (Denial of Commander Control.-- "Ъ"), которые лишают командиров возможности связываться с подчиненными».

Официально доклад ОКК будет опубликован до конца года.

qwest

Trojan.LoadMoney собирает и передает злоумышленникам информацию о компьютере жертвы

Вредоносные программы семейства Trojan.LoadMoney неизменно находятся в «Топ-10» угроз, обнаруживаемых антивирусом Dr.Web, сообщили в компании «Доктор Веб».
К этой категории относятся различные инсталляторы, устанавливающие на компьютер жертвы вместе с требуемым ей приложением всевозможные дополнительные компоненты. Один из таких троянов был добавлен в базы Dr.Web под именем Trojan.LoadMoney.336. Данная модификация, по словам экспертов компании, обладает более широкими функциональными возможностями -- например, может собирать и передавать злоумышленникам различную информацию об атакованном компьютере.
Как рассказали в «Доктор Веб», вредоносная программа-установщик Trojan.LoadMoney.336 создана вирусописателями для монетизации файлового трафика и использует в процессе своей работы следующий принцип. Потенциальная жертва злоумышленников отыскивает на принадлежащем им файлообменном сайте нужный файл и пытается его скачать. В этот момент происходит автоматическое перенаправление пользователя на промежуточный сайт, с которого на компьютер жертвы осуществляется загрузка трояна Trojan.LoadMoney.336. После запуска троян обращается на другой сервер, откуда он получает зашифрованный конфигурационный файл.
В этом файле содержатся ссылки на различные партнерские приложения, которые тоже загружаются из интернета и запускаются на инфицированном компьютере, а также на рекламное и откровенно вредоносное ПО. Так, вирусным аналитикам известно о том, что Trojan.LoadMoney.336 загружает трояна Trojan.LoadMoney.894, который, в свою очередь, скачивает Trojan.LoadMoney.919 и Trojan.LoadMoney.915, а последний загружает и устанавливает на зараженной машине Trojan.Zadved.158.После запуска троян выполняет ряд манипуляций в системе, чтобы облегчить собственную работу и затруднить свое опознание среди других действующих процессов. В частности, он запрещает завершение работы Windows, возвращая при попытке выключения компьютера ошибку «Выполняется загрузка и установка обновлений». После успешной инициализации Trojan.LoadMoney.336 ожидает остановки курсора мыши, затем запускает две собственные копии, а исходный файл удаляет.
Троян собирает на зараженном компьютере и передает злоумышленникам следующую информацию: версия операционной системы; сведения об установленных антивирусах; сведения об установленных брандмауэрах; сведения об установленном антишпионском ПО; сведения о модели видеоадаптера; сведения об объеме оперативной памяти; данные о жестких дисках и имеющихся на них разделах; данные об ОЕМ-производителе ПК; сведения о типе материнской платы; сведения о разрешении экрана; сведения о версии BIOS; сведения о наличии прав администратора у пользователя текущей учетной записи Windows; сведения о приложениях для открытия файлов *.torrent; сведения о приложениях для открытия magnet-ссылок.
Затем Trojan.LoadMoney.336 обращается к своему управляющему серверу с GET-запросом и получает от него зашифрованный ответ, содержащий ссылки для последующей загрузки файлов. Их скачивание выполняется в отдельном потоке: троян отправляет на содержащий требуемые файлы сервер соответствующий HEAD-запрос, и, в случае если тот возвращает ошибку 405 (Method Not Allowed) или 501 (Not Implemented), на сервер отправляется повторный GET-запрос. Если указанная в конфигурационных данных ссылка на целевой файл оказывается корректной, троян извлекает информацию о длине файла и его имени из ответа сервера, после чего начинает загрузку приложения.
Помимо ссылок на загружаемые и устанавливаемые компоненты, зашифрованный конфигурационный файл содержит также сведения о диалоговом окне, которое демонстрируется пользователю перед их установкой:

qwest

Ресурс крупнейшего австралийского провайдера используется для распространения трояна Tinba

Злоумышленники используют новостной сайт крупнейшего австралийского интернет-провайдера Telstra для распространения вредоносного ПО, сообщает исследователь безопасности компании Malwarebytes Джером Сегура.
Речь идет о Tinba - самом маленьком из известных ныне банковских троянов. Он представляет собой очень компактную вредоносную программу, размер которой составляет порядка 20 КБ.
По словам специалиста, для компрометации ресурса media.telstra.com.au/home атакующие использовали вредоносные рекламные баннеры, перенаправляющие посетителей на сайты, на которых размещен набор эксплоитов Nuclear. В настоящее время сложно сказать о количестве жертв, пострадавших в результате действий злоумышленников, но согласно статистическим данным, скомпрометированными оказываются до 40% пользователей, столкнувшихся с профессиональными наборами эксплоитов (Nuclear, Angler и пр.).
Как отметил Сегура, ресурс, принадлежащий Telstra, не был взломан, однако атакующие скомпрометировали рекламную сеть, которая часто используется злоумышленниками для мошеннических рекламных кампаний.
Набор эксплоитов Nuclear является вторым по популярности после Angler. Он включает эксплоиты для последних уязвимостей в Java, Adobe Flash, браузере Internet Explorer и пр.

Wolf

Власти США готовят пакет экономических и финансовых санкций против ряда компаний и предпринимателей из Китая. Как сообщила в воскресенье газета Washington Post, назвавшая санкции "беспрецедентными", ограничения планируется ввести против фирм и отдельных лиц, которые якобы получили выгоду благодаря хакерским взломам американских баз данных с ценной коммерческой информацией. Власти США неоднократно обвиняли правительство КНР в осуществлении кибератак.

"Часть чиновников (из администрации США - "РГ"), участвующих в дискуссиях, выразили мнение, что санкции создадут лишнюю напряженность, предупредили о рисках, - информирует газета. - Другие считают, что одними лишь санкциями от КНР ничего не добиться. Необходимо параллельно применять меры дипломатического давления, а также правоохранительные, военные, разведывательные действия с тем, чтобы привлечь к ответственности". По замыслу администрации, введение санкций должно послать сигнал властям Поднебесной, а также продемонстрировать американским компаниям, якобы пострадавшим от взломов, готовность защищать их интересы.

По данным WP, ссылающейся на источники в администрации, окончательного решения о введении санкций пока не принято, однако "последний звонок может прозвучать уже в ближайшие две недели".

Разрабатываемый пакет санкций включит в себя замораживание активов и запреты на проведение транзакций. Это стало бы первым прецедентом введения санкций со стороны США в связи с подозрением в совершении хакерского взлома.

Газета отмечает, что такой шаг стал бы "существенным сдвигом в противодействии кибершпионажу". "Хакеры из КНР, по словам представителей администрации, получили незаконный доступ ко всем возможным сведениям, от схем ядерных станций до исходных кодов поисковых систем и конфиденциальных данных о переговорных позициях энергетических компаний", - цитирует газета сотрудника администрации.

Стоит напомнить, что на сентябрь намечен первый государственный визит в США председателя КНР Си Цзиньпина. Помимо кибершпионажа в отношениях двух стран немало и других проблемных точек: озабоченности США в отношении маневров КНР в Южно-Китайском море, девальвация юаня в последние недели.

Вверх

Кто онлайн

Пользователи просматривают эту тему за последние 30 минут:
0 Пользователей и 1 Гость