Все новости о вирусах и антивирусах

[student]

WinRAR открывает хакерам доступ к компьютерам 500 миллионов пользователей

Новая версия WinRAR имеет критическую уязвимость для вирусов

В самой последней версии одного из самых популярных архиваторов WinRAR, который могут использовать более полмиллирада пользователей по всему миру, выявлена критическая уязвимость. Об этом рассказывают независимые эксперты ресурса Vulnerability Laboratory. Уязвимость открыта в выполнении кода в официальном WinRar SFX. Сейчас при помощи популярного архиватора хакеры способны без особых затруднений запаковать SFX-файлы, при распаковке которого в вашу ОС заносится код, позволяющий добираться до ваших персональных данных. Речь идет о WinRAR SFX v5.21 (дата релиза: 28 сентября).

Критическая уязвимость располагается в функции «Text and Icon». Эта брешь дает возможность хакерам интегрировать в самораспаковывающийся RAR-архив опасный HTML-код, который достаточно добавить в поле «Text to display in SFX window» вы момент архивирования.

Стоит только пользователю активизировать файл архива, код тут же исполняется автоматически. Независимые эксперты предупреждают, что он способен активировать загрузку на компьютер жертвы шпионского софта или же троянских программ.

Хакеры или интернет-хулиганы смогут дистанционно генерировать свои архивы с целью выполнения произвольного кода.

В настоящий момент эта уязвимость называется критической, так как ее для эксплуатации нужен низкий уровень пользовательского взаимодействия, а также учетной записи с ограниченными правами.

Мишени злоумышленников хватит открыть некий файл, полученный почтой или с флеш-карты и атака закончится «удачей».

Главный совет от специалистов: не запускайте неизвестные вам файлы, которые вы скачали при помощи электронки, с флэшок, и т. д. и т. п.

Об исправлении уязвимости пока ничего неизвестно. Создатели архива вообще отказываются ее называть уязвимостью.

[student]

На медиахолдинг «Россия сегодня» совершена хакерская атака

Вечером в субботу, 17 октября, интернет-ресурсы агентства «Россия сегодня» подверглись DDoS-атаке. Об этом сообщает РИА Новости со ссылкой на пресс-службу холдинга.

«С 19:00 по московскому времени в результате серьезной DDoS-атаки в течение двух часов все сайты МИА "Россия сегодня" и почтовые сервисы были недоступны для пользователей», — сообщает пресс-служба

Во время атаки, в частности, были недоступны полная и мобильная версии сайта, фотосервисы, перебои наблюдались и на сайте РИА Новости. При это в клиентский терминал новости поступали без задержек, подчеркивает пресс-служба.

Подробности происшествия устанавливаются.

Сайт РИА Новости неоднократно подвергался атакам, сообщает агентство. В мае 2012 года его атаковали почти с 2,5 тысячи IP-адресов. Ria.ru тогда был временно переведен на облегченную версию. В июле 2013 года DDoS-атака на сайт РИА Новости повторилась, на ее пике число запросов к сайту достигало 150 тысяч в минуту. Еще одна атака была зафиксирована в августе 2014 года, тогда злоумышленники сперва атаковали сайт «ИноСМИ», а когда эта атака была нейтрализована, попытались помешать работе сайта РИА Новости.

DDoS-атака выполняется одновременно с большого числа компьютеров. Зараженные злоумышленником машины посылают запросы по определенному адресу в интернете, что приводит к перегрузке, перебоям в работе или полной недоступности ресурса.

[student]

Российский хакер научился взламывать переписку "ВКонтакте"


Российский эксперт в области информационной безопасности Михаил Фирстов рассказал в своем блоге о том, что ему удалось написать программный код, позволяющий перехватывать переписку пользователей "ВКонтакте".

Пользователи, по словам Фирстова, могут использовать приложения для iOS и Android и должны находиться в той же сети Wi-Fi, что и взломщик.

В беседе с сотрудниками TJournal специалист рассказал, что возможность получать сообщения в незашифрованном виде заложена в мобильных приложениях "ВКонтакте", которые по какой-то причине передают их через незащищенный протокол HTTP. Незашифрованное соединение, по его словам, используется даже в том случае, если в настройках стоит галочка "Всегда использовать защищенное соединение".

По мнению Фирстова, HTTPS был отключен специально, так как в мобильных приложениях принято экономить трафик. Позднее исследователь рассказал, что в последнем обновлении приложения VK App для iOS передача сообщений по HTTP была исправлена. Для перехода на протокол HTTPS нужно включить эту опцию на сайте.

В свою очередь, пресс-секретарь "ВКонтакте" Георгий Лобушкин рассказал изданию, что в версии для iOS защищенное соединение используется всегда, а в приложении Android его можно включить. "В таком случае получить доступ к переписке пользователя перехватом Wi-Fi-трафика невозможно", - отметил он.

Георгий Лобушкин также добавил, что в ближайшем будущем соцсеть планирует "полностью отказаться от использования HTTP".

[student]

Хакер поделился технологией перехвата переписки во "ВКонтакте" через Wi-Fi


Специалист по безопасности компании HeadLight Security опубликовал код скрипта, позволяющего обрабатывать перехваченную переписку пользователей приложения "ВКонтакте" для Android и iOS, находящихся в одной локальной сети с хакером. Об этом сообщает TJ.

Код утилиты под названием vkmitm (от MITM - man in the middle, тип атаки "человек посередине") Михаил Фирстов выложил на GitHub. Ее исполняемая часть является скриптом на Python, который ищет в локальной сети запросы приложений "ВКонтакте" для Android или iOS на обновление списка сообщений.

В описании работы утилиты сказано, что запросы имеют одинаковый вид. В них различается только параметр key, который обновляется не чаще раза в два часа и не реже раза в сутки, поэтому использовать его можно продолжительное время. По мнению Фирстова, таким образом можно узнавать не только текст отправляемых и получаемых сообщений конкретным пользователем, но и служебные уведомления вроде "Набирает текст" и "Прочитано".

Чтобы иметь возможность прослушивать трафик, устройству злоумышленника достаточно находиться в одной локальной сети с жертвой - например, открытом Wi-Fi в кафе. "Слушать" сообщения в режиме реального времени необязательно: можно создавать дампы трафика через PCAP и разбирать их по заданной маске позднее.

Как рассказал Фирстов TJ, возможность получать сообщения в незашифрованном виде заложена в мобильных приложениях "ВКонтакте". По какой-то причине они передают их через протокол HTTP, даже если в настройках аккаунта стоит галочка "Всегда использовать защищенное соединение (HTTPS)".

Как уточнил Фирстов, в последнем обновлении приложения VK App для iOS передача сообщений по HTTP была исправлена, но только в том случае, если пользователь указал на сайте "Всегда использовать защищенное соединение (HTTPS)".

Пресс-секретарь "ВКонтакте" Георгий Лобушкин заявил TJ, что клиент для iOS использует HTTPS уже больше года (в нем нет возможности выключить защищенное соединение), а в случае Android трафик шифруется при включенной опции на сайте или в приложении. Когда именно соцсеть полностью собирается перейти на HTTPS, он не уточнил.

[student]

ESET: Любители  задорно отдают трояну банковские данные


Антивирусная компания ESET сообщила о новой кибератаке, в которой задействуется банковский троян Win32/Brolux.A. Злоумышленники атакуют пользователей онлайн-банкинга из Японии. Они используют экспойты уязвимости Flash Player (CVE-2015-5119) , из утечки Hacking Team, а также уязвимости Unicorn Bug браузера Internet Explorer.

Все это срабатывает, когда пользователь заходит на сайты со «взрослым» контентом. Затем установившийся троян крадет данные пользователей онлайн-банкинга при использовании браузеров Internet Explorer, Firefox и Google Chrome. Когда пользователь пытается зайти на сервиса интернет-банка, ему показывают фишинговую страницу, замаскированную под сайт прокуратуры или агентства финансовых услуг. Страница предупреждает пользователя и показывает форму для входа в аккаунт с полями для заполнения.

[student]

«Вдохновитель» продает пароли пользователей сайта знакомств
Среди них есть и россияне


Хакер под ником «Вдохновитель» продает пароли и логины 20 миллионов пользователей сайта знакомств, среди которых есть и женатые мужчины, а также российские граждане, сообщает ИА «Дейта» со ссылкой на Информинг.

Злоумышленник уже связался с владельцами аккаунта, предложив им выкупить свои данные. Стоит отметить, что среди этих 20 миллионов около половины пользователей - россияне. Еще 40 процентов – жители Западной Европы.

Все пользователи означенного при регистрации использовали e-mail с 345 тысячами доменных имен. Семь миллионов из них использовали почту Hotmail.com, 2,5 миллионов – Yahoo.com и 2,3 миллионов - Gmail.com.

Правоохранительные органы отмечают, что спрос на покупку паролей будет небольшим, но таким предложением могут заинтересоваться мошенники. Однако, скорее всего, люди будут платить хакеру, поскольку огромную сумму он не запрашивает и пароль к личным данным считается сугубо конфиденциальным. Так, среди клиентов сайта знакомств и женатые люди, что, конечно же, учел киберхулиган.

[San-Sanich.]

На Android свирепствует новый вид вирусов, которые не удалить заводским сбросом

Специалисты из антивирусной компании Lookout забили тревогу: на Android обнаружилась новая разновидность вирусов, которые в случае заражения смартфона весьма сложно удалить. Об этом сообщается в официальном блоге Lookout.
Исследователи обнаружили порядка 20 тыс. инфицированных программ, поделив их на три «семейства» в зависимости от используемого способа заражения, — Shedun, Shuanet и ShiftyBug. Вредоносы маскируются под популярные Android-приложения, такие как Twitter, WhatsApp, Candy Crush, Facebook, Google Now и многие другие. Сразу же после того, как пользователь загрузит приложение на свой телефон, автоматически активируется эксплойт. Вирус получает root-доступ к Android и модифицирует системные файлы — после этого его становится невозможно вывести из системы даже сбросом до заводских настроек. С этого момента жертва будет вынуждена мириться с неотключаемыми рекламными объявлениями.



Сообщается, что случаи заражения Shedun, Shuanet и ShiftyBug были выявлены в России, США, Германии, Иране, Индии, Ямайке, Судане, Бразилии, Мексике и Индонезии. К слову, назойливая реклама — это не самая большая проблема: вирусы в числе прочего ломают механизм системы защиты Android, что позволяет им получить доступ к ключам, паролям и другой критически важной информации, хранящейся на телефоне. Вместе с тем эксперты установили одну любопытную закономерность: коды всех трёх вредоносов идентичны примерно на 70–80 %, а это может свидетельствовать о том, что за их созданием могла стоять одна и та же команда хакеров.



А теперь самое грустное. Если ваш смартфон оказался инфицирован одним из упомянутых вирусов, то вам, как утверждают специалисты Lookout, придётся выбросить его в помойку и купить новый. Конечно, перед этим не помешает обратиться за помощью к квалифицированному специалисту, вот только, по мнению экспертов Lookout, он едва ли сможет чем-то помочь. Впрочем, с помощью стороннего ПО наверняка можно решить эту проблему, хотя для этого нужно обладать соответствующими навыками.
Дабы подобного не произошло, следует придерживаться одного простого правила: ни при каких обстоятельствах не скачивать приложения из сторонних сервисов — как показало исследование, это единственный путь распространения модифицированного ПО. А вот официальный Google Play в данный момент находится вне подозрений.

[San-Sanich.]

В Калининграде задержаны разработчики опасного вируса для Android

В Калининграде обезврежена группа мошенников, которая ответственна за создание вредоносной программы для мобильных устройств под управлением Android, позволяющей отслеживать СМС-сообщения владельца заражённого смартфона и красть деньги с его банковских счетов. Об этом ТАСС сообщили сотрудники УЗСУ России по Калининградской области.
Вредонос, попав на телефон жертвы под видом игры или системного обновления, позволяет злоумышленниками совершать незаконные транзакции по банковским счетам, прикреплённым к подконтрольным номерам. Если же заполучить контроль над банковским счётом не представляется возможным, хакеры могут списывать со счёта телефона жертвы небольшие суммы, принудительно подписав её на специализированный платный сервис. Кроме того, мошенники планировали дополнительно разработать вирус-вымогатель, который бы блокировал пользователям доступ к функциям смартфона до тех пор, пока они не отправят энную сумму денег на счёт мошенников.
К счастью, преступному замыслу не суждено было осуществиться  — как уточнили в пресс-службе регионального отделения УЗСУ, «деятельность мошенников была пресечена на стадии подготовки, совершить преступные действия они не успели». Против них возбуждено уголовное дело по части 1 статьи 273 УК РФ («Создание, распространение или использование компьютерных программ»). Уточняется, что некоторые из участников группы уже успели дать признательные показания и теперь сотрудничают со следствием.

[student]

Комиссия конгресса США рекомендует разрешить американским компаниям и частным лицам компьютерные атаки на Китай


США остаются беззащитными против осуществляемых при государственной поддержке компьютерных атак со стороны Китая, поэтому законодатели должны разрешить американским компаниям ответные действия с целью возврата или удаления украденных данных. Такая точка зрения высказана комиссией конгресса США, занимающейся вопросами экономики и безопасности в отношениях между двумя странами.
Предлагается создать суд, который мог бы на основании жалоб американских жертв кибератак разрешать ответные действия



В подготовленном комиссией отчете говорится, что Китай якобы наращивает усилия в области кибершпионажа, что уже обходится американским компаниям в «десятки миллиардов долларов» в виде потерянных продаж и расходов на компенсацию ущерба в результате взлома компьютерных систем. Как утверждается, во многих случаях украденные секреты становились достоянием китайских государственных компаний.

Атакам подвергаются и государственные учреждения США. Так, к наиболее серьезным случаям, зафиксированным за последние годы, отнесен приписываемый Китаю взлом управления кадровой службы, выявленный в апреле. Хакерам тогда удалось получить доступ к личным делам более чем 22 млн сотрудников федеральных служб США и к другим секретным документам. При этом, по словам составителей отчета, Китай называет себя жертвой хакерских атак и утверждает, что борется с хакерами, отрицая причастность к вышеописанному случаю.

Законы США не разрешают гражданам и компаниям выполнять «ответные кибератаки» и взлом с целью возврата или удаления украденных данных. Между тем, в комиссии уверены, что количество атак будет возрастать, так что законы пора приводить в соответствие с реалиями. Предлагается, в частности, создать суд, который мог бы на основании жалоб американских жертв кибератак разрешать ответные действия.

[student]

Хакеры обнаружили биткоины на счетах «Исламского государства»


Боевики запрещенной в России террористической группировки «Исламское государство» используют для проведения платежей виртуальную валюту биткоин, рассказали хакеры группы Ghost Security Group

Хакеры группы Ghost Security Group заявили об использовании группировкой «Исламское государство» (ее деятельность запрещена в России) криптовалюты биткоин для денежных операций и переводов. Об этом сообщает Fox News.

Как рассказал основатель консалтинговой компании Kronos Advisory, занимающейся проблемами национальной безопасности, Майкл Смит, хакеры-активисты из Ghost Security Group сами вышли на него.

Хакерам удалось выявить несколько электронных счетов ИГИЛ, на одном из них содержалась сумма, равная $3 млн. По данным Ghost Security Group, доля виртуальных валют достигает 1–3% от общего объема незаконных доходов боевиков, что составляет $4,7–15,6 млн. Министерство финансов США считает, что ежегодный доход ИГИЛ составляет $468–520 млн.​

Ранее в ноябре группа хакеров Anonymous объявила войну запрещенной в России террористической группировке «Исламское государство». «Не ошибитесь. Anonymous в войне с Daesh [одно из названий ИГ]. Мы не остановимся перед «Исламским государством». А также мы лучшие хакеры», — говорится в сообщении, которое было опубликовано через двое суток после серии терактов ИГ в Париже.

Хакеры группы Anonymous известны своими кибератаками на правительства и организации, в том числе на PayPal, MasterCard и церковь сайентологии. Они были организаторами акций протестов против антипиратства и авторского права, а также против цензуры в интернете.

Против ИГ хакеры выступили после серии терактов в Париже в ночь с 13 на 14 ноября, жертвами которых стали 230 человек. Террористы взорвали несколько бомб у стадиона Stade de France, где проходил товарищеский матч между Францией и Германией, атаковали несколько кафе. Самым крупным терактом стало нападение на концертный зал Bataclan. Ответственность за теракты взяла на себя группировка «Исламское государство». Позже президент Франции Франсуа Олланд назвал произошедшее актом войны «Исламского государства» против Франции и ее ценностей. Премьер-министр Франции Мануэль Вальс заявил в понедельник, что Франция находится в состоянии войны с ИГ.

[Gorra]

Мошенники распространяют троян через Facebook и Twitter

Эксперты лаборатории Zscaler ThreatLabZ сообщили о новой вредоносной кампании, направленной на пользователей в Бразилии. В ходе кампании злоумышленники распространяют новый вариант банковского трояна Spy Banker через социальные сети, в основном Facebook и Twitter. В качестве хостинга используются серверы Google Cloud.

Для инфицирования компьютеров жертв преступники применяют методы социальной инженерии, предлагая на Facebook и Twitter бесплатное фальшивое ПО под видом антивируса Avast или мессенджера WhatsApp. Нажав на вредоносную ссылку, пользователь перенаправляется на сервер Google Cloud, служащий для распространения загрузчика Spy Banker. По данным исследователей, переход по ссылке осуществлялся 103 тысячи раз, причем 102 тысячи (99%) пришлись на долю пользователей Facebook.

Оказавшись на компьютере жертвы, загрузчик устанавливает на систему вспомогательные модули Spy Banker Telax, предназначенные для хищения банковских данных. По словам экспертов, Telax обладает рядом функций, позволяющих избежать обнаружения антивирусными решениями. Первым делом вредонос исследует систему на предмет наличия антивирусов. Троян собирает информацию о версии установленного по умолчанию браузера, операционной системы, антивирусного решения и пр. Затем данные отправляется на C&C-сервер злоумышленников.

Данная кампания - не первая попытка использования мошенниками сервисов Google. В июле нынешнего года специалисты Elastica Cloud Threat Labs обнаружили фишинговую кампанию, эксплуатирующую доверенный сервис Google Drive.

[student]

В 2015 году хакеры похитили свыше 100 млн медицинских записей американцев


Атакам подверглись восемь из десяти крупнейших в США здравоохранительных учреждений. 

Миллионы американцев в 2015 году стали жертвами целого ряда кибератак на организации здравоохранения. Как сообщает телеканал Fox News со ссылкой на Министерство здравоохранения и социальных служб США, в нынешнем году злоумышленникам удалось получить доступ к более 100 млн медицинских записей.

Жертвами хакеров стали восемь из десяти крупнейших в стране здравоохранительных учреждений. В нынешнем году наиболее масштабной считается атака на компанию Anthem, занимающуюся медицинским страхованием. Инцидент произошел в феврале и привел к утечке данных 78,8 млн человек. Примерно тогда же была осуществлена атака на другую страховую компанию, Premera Blue Cross. Злоумышленники похитили банковские и медицинские данные и номера социального страхования 11 млн человек.

В августе нынешнего года страховая компания Excellus Health Plan подтвердила факт атаки двухлетней давности, затронувшей 10 млн ее клиентов.

2015 год стал рекордным по количеству инцидентов безопасности в сфере здравоохранения. Государство требует от компаний придерживаться политики защиты персональных данных, в противном случае им придется отвечать перед соответствующими регуляторами и генеральным прокурором США. По мнению представителя Минздрава Девена Макгро (Deven McGraw), компании не уделяют достаточно внимания безопасности данных.

Эксперт из Mandiant Чарльз Кармакал (Charles Carmakal) обвиняет в атаках Китай. «Нам известно о нескольких киберпреступных группировках из Китая, занимающихся атаками на организации здравоохранения. Мы уверены, что знаем, кто они (хакеры – ред.), но не можем сказать, на кого они работают. Возникает вопрос, являются ли они наемными хакерами, и работают ли на китайское правительство», - заявил исследователь.     

[student]

Китайских пользователей атакует Android-шпион


Компания Symantec сообщает о распространении новой шпионской программы Android.Spywaller для мобильных устройств на платформе Android. Зловред угрожает прежде всего китайским пользователям. Программа выдает себя за легитимное приложение Google Services от Google (такового в действительности не существует). Однако еще более примечательно, что Android.Spywaller содержит встроенную в себя копию действительно легитимного защитного ПО, которое однако используется с прямо противоположными целями: заблокировать другие защитные приложения, которые могли бы помешать установке Android.Spywaller.

После установки на устройство программа-шпион собирает персональные данные пользователя, включая историю звонков, сообщения SMS и электронной почты, историю браузера и хранимые изображения и передает их на подконтрольные киберпреступникам серверы. Специалисты Symantec отмечают, что Android.Spywaller пока не слишком распространен, однако внимания заслуживает сам факт использования во вредоносных приложениях легитимных защитных средств.

[student]

Серверы 8-ми госучреждений Японии были атакованы по одной и той же схеме
         

По достоверным предварительным сведениям правоохранительных органов, не менее восемь больших государственных учреждений и компаний в Японии в течении прошлого года подверглись хакерским атакам по однотипной схеме.

Восемь больших структур — ассоциация, соединяющая все нефтекомпании Японии, Токийская торгово-промышленная палата, мэрия города Уэда в Нагано, Международный центр Хиросимы и остальные – были атакованы вирусом EMDIVI, который владеет рядом совпадающих особенностей. Так же весной предыдущего года были похищены не менее 12 тыс. данных членов Торгово-промышленной палаты Токио.

Власти Японии хотят вывести в оффлайн всю информацию, имеющую государственную значимость. Вероятной предпосылкой уязвимости, появившейся в компьютерной системе пенсионного фонда страны, стал вирус, который проник в нее через рабочие компьютеры служащих организации.

[student]

Устранена критическая уязвимость почты Yahoo

Компания Yahoo сообщила об оперативном устранении опасной уязвимости в своем агенте электронной почты. Проблема была обнаружена исследователем Юко Пинноненом. В рамках программы премирования пользователей за найденные уязвимости он получил от компании весьма весомое вознаграждение в 10 тысяч долларов. Впрочем, эксплуатация уязвимости хакерами наверняка обошлась бы Yahoo куда дороже.

Уязвимость позволяла исполнение вредоносного JavaScript-кода, встроенного в специально созданное сообщение, причем для осуществления атаки требовалось лишь, чтобы пользователь открыл полученное письмо. После исполнения кода организаторы потенциальной атаки получали полный контроль над учетной записью пользователя. Они могли перехватывать и пересылать на свои серверы адресованную пользователю корреспонденцию, а также задействовать скомпрометированный аккаунт в рассылке спама или зловредов. Как заявил Юко Пиннонен, уязвимость была устранена компанией Yahoo максимально быстро, и нет никаких свидетельств того, что она успела стать мишенью реальных кибератак.