Компьютерный раздел > Антивирусы, ключи
Все новости о вирусах и антивирусах
24022022:
Cisco: организаторы хакерской атаки в рекламной сети Yahoo находятся на Украине
Cisco Systems провела анализ недавней хакерской атаки, проведенной при помощи рекламной сети Yahoo. В рамках кампании группа мошенников размещала вредоносные объявления в сети Yahoo, переходы по которым приводили к заражению компьютеров вредоносными программами. Анализ Cisco показал, что корнями данная атака уходит на Украину и там же, скорее всего, находятся ее организаторы.
Спойлер : В минувшее воскресенье Yahoo заявила, что атака была ориентирована на пользователей из Европы, а вредоносные рекламные объявления размещались с 31 декабря по 4 января. В Cisco рассказали, что жертвы вредоносных сайтов перенаправлялись на ресурсы, которые прежде уже были использованы для атак и были связаны с украинскими хакерскими группировками. Джейсон Шульц, специалист по ИТ-безопасности Cisco Systems, говорит, что все множество доменных адресов, задействованных в данной атаке, было размещено в одном и том же блоке IP-адресов, принадлежащих одному и тому же провайдеру (клиенту).
По данным расследования Cisco, всего в атаке были задействованы 393 IP-адреса из одного блока. Также в компании говорят, что имена вредоносных доменов всегда начинались с серии цифр в поддоменах и заканчивались случайными словами в домене второго уровня, причем зачастую слова представляли собой бессмысленные наборы букв. Большая часть доменов на сегодня уже не отвечает, но некоторые работают и по сей день.
Организаторы атак чаще всего использовали компьютеры своих жертв в рамках партнерской программы Paid-to-Promote.net, которая используется для разных целей, но чаще всего для нагона трафика с целью обмана рекламодателей. В Cisco говорят, что большая часть мошеннических доменов была зарегистрирована одним днем - 28 ноября 2013 года. Некоторые из доменов хостились в Канаде, другие - на Украине.
Известно, что в рамках вредоносной кампании хакеры заражали компьютеры вредоносными кодами Zeus, Andromeda, Dorkbot/Ngrboot, а также рекламными системами нагона кликов Tinba и Necrus.
По данным мониторинга Fox-IT, вредоносный ролик показывался примерно 27 000 раз в час, а основная зрительская аудитория организаторов кампании находилась в Румынии, Франции и Великобритании. В Yahoo также сообщили, что кампания была ориентирована только на Европу, причем только на Windows-пользователей, тогда как Mac-аудитория, а также пользователи мобильных устройств были в безопасности.
24022022:
Россиянин, написавший SpyEye, признал в США свою вину
Российский хакер Александр Панин, написавший известный банковский троян SpyEye, в США признал себя себя виновным в преступном сговоре с целью махинаций и мошенничества. Программист известный под ником Gribodemon предстал перед федеральным судьей в городе Атланта в кандалах и в оранжевой тюремной одежде и сознался в содеянном в рамках сделки со следствием. Приговор ему будет вынесен 29 апреля.
По данным обвинения, 24-летний россиянин внес основной вклад в создание троянского вируса для банковских систем SpyEye, который, попадая на компьютер жертвы, позволял злоумышленникам в автоматическом режиме получать пароли, ПИН-коды и другую информацию по кредитным картам. Вредоносная программа заразила 1,4 миллиона компьютеров в США и других странах.
Хакер действовал вместе с выходцем из Алжира Хамза Бендаллажем, суд над которым еще продолжается. По данным следствия, помимо финансовых махинаций Панин и его сообщник продавали программу на интернет-форумах. Стоимость различных версий составляла от 1 до 8,5 тысячи долларов. "Около 150 покупателей успели приобрести данный продукт и используют его по сей день. Один из них, известный под прозвищем Soldier, с помощью программы за шесть месяцев заработал 3,2 миллиона доллара, - сообщил прокурор Джон Хорн. - Только в 2013 году похищены данные о 10 тысячах банковских счетов".
В 2010 году была задержана группа хакеров из стран Восточной Европы, которая используя SpyEye похитила около 70 миллионов долларов у частных компаний, муниципалитетов и церквей в США. По словам представителя обвинения, "Панин является одним из самых видных киберпреступников, из тех, кого удалось задержать и предать суду". Он так же отметил, что Панин писал и отлаживал программу в России и довел ее до уровня "профессионального продукта".
ФБР вышло на злоумышленников в 2011 году. Сначала в американском штате Джорджия был обнаружен один из серверов программы, а затем агентам удалось приобрести копию SpyEye у Панина. Россиянин был арестован в июле 2013 года в аэропорту города Атланта в США, где он производил пересадку на рейс в Доминиканскую Республику.
Марат:
Новый вирус может стать самым опасным в истории
«Лаборатория Касперского» сообщила об обнаружении «передовой» сети кибершпионажа Careto. На русском языке сети и троян, связанный с ней, названы «Маска» (от англ. «The Mask»). Название Careto было дано вирусу исследователями после того, как они обнаружили это слово в коде нескольких его модулей. В номенклатуре «Касперского» он детектируется как Trojan.Win32/Win64.Careto. в среде ОС Windows и Trojan.OSX.Careto в Mac OS X.
Одной из особенностей Careto стало наличие в сети троянов, разработанных для таких платформ, как Mac OS X, Linux, Android и iOS. Согласно данным «Лаборатории Касперского», целью атаки данного трояна были госорганизации, дипломатические офисы, энергетические компании и исследовательские организации, а также компьютеры политических активистов. Атаке были подвержены 380 целей в 31 стране мира, среди которых Египет, Аргентина, Бельгия, Великобритания, Боливия, Бразилия, Венесуэла, Испания, Китай, Колумбия, Куба, Ливия, Норвегия, Польша, ЮАР, США, страны Латинской Америки и Африки. Россия в числе стран-жертв упомянута не была. Задача создателей Careto заключалась в создании ПО, которое смогло бы похитить из зараженных систем документы, ключи шифрования, файлы программ удаленного доступа и т.д.
Разработка вируса была начата в 2007 году, но при этом большинство модулей появились в 2012 году. На сегодня известные командные сервера Careto находятся в автономном режиме и не контактируют с зараженными системами. Заражение происходит с помощью рассылок писем по электронной почте со ссылками на поддельные сайты, которые позволяют инфицировать ПК вредоносными программами согласно конфигурации системы.
Инфицирование системы Careto приводит к таким последствиям, которые эксперты «Лаборатории Касперского» охарактеризовали как катастрофические. Троян перехватывает каналы связи системы и обладает возможностью собрать в ней интересующие данные. Careto может подгружать дополнительные модули, которые обеспечивают выполнение других вредоносных задач.
Чрезвычайная сложность инструментария позволяет назвать троян самым передовым на текущий момент. Программа способна использовать уязвимости в старых продуктах «Касперского» с целью оставаться невидимым в системе, что делает ее самой сложной киберугрозой на настоящий момент. Высокий уровень самозащиты трояна заставляют предполагать, что вирус разработан в интересах какого-либо правительства или при государственной поддержке.
24022022:
Вредоносные приложения из Google Play выкрадывают номер телефона в WhatsApp
Антивирусная лаборатория PandaLabs компании Panda Security обнаружила в Google Play вредоносные приложения, которые способны подписывать пользователей на сервисы дорогостоящих SMS без их разрешения. Эти новые угрозы к настоящему моменту уже способны были заразить не менее 300 000 пользователей, хотя количество скачиваний этих угроз могло достичь 1 200 000.
Такие приложения как Easy Hairdo (посвященное прическам), Abs Diets (посвящено диетам), Workout Routines (о фитнесе) и Cupcake Recipes (рецепты) являются одними из наиболее доступных для скачивания на Google Play. В случае с Abs Diets, например, после установки приложения и при согласии пользователя с условиями использования сервиса, происходит следующее: во-первых, приложение показывает набор советов по избавлению от жира в брюшной полости. Во-вторых, без ведома пользователя, приложение проверяет номер телефона мобильного устройства, подключается к веб-странице и подписывает жертву на сервис дорогостоящих SMS. При этом номер телефона «выкрадывается» из популярного приложения – WhatsApp. Как только пользователь открывает WhatsApp, вредоносное приложение получает номер телефона и сохраняет его как часть необходимых данных для синхронизации аккаунта.
Согласно данным с Google Play, данное приложение было скачено от 50 000 до 100 000 пользователями. Другие приложения работают точно также, поэтому с уверенностью можно сказать, что четыре вредоносных приложения могли заразить от 300 000 до 1 200 000 пользователей в целом. На данный момент эта четверка уже удалена из Google Play.
Gorra:
В Сети действует новая версия трояна Zeus
ZeusVM загружает JPG-изображения, которые располагаются на тех же серверах, что и другие вредоносные компоненты.
В Сети зафиксирована активность новой версии банковского трояна Zeus/Zbot, который использует изображения в качестве приманки для загрузки конфигурационного файла, необходимо для вредоносной активности. Об этом сообщают эксперты компании Malwarebytes.
По утверждениям специалистов, вирус, получивший название ZeusVM, загружает JPG-изображения, которые располагаются на тех же серверах, что и другие вредоносные компоненты.
В Malwarebytes утверждают, что французский эксперт Xylitol обнаружил некоторые «странности» в недавних вредоносных кампаниях. Он также рассказал, как использовал стеганографию для маскировки данных внутри существующего файла, не повреждая его.
«Есть много инструментов для анализа картинок, однако наиболее простой способ сделать это – найти точную копию загруженного изображения и сравнить ее с оригиналом», - подчеркивает в блоге компании Джером Сегура (Jerome Segura), добавляя, что он использовал для этого поиск картинок Google. rel="nofollow">
При этом эксперт отметил, что для анализа необходимо выбрать изображение с аналогичными шириной и высотой. При сравнении снимков в режиме двоичного отображения можно увидеть, какой файл содержит больше данных.
Сегура утверждает, что это не первый раз, когда злоумышленники используют обычные файлы для внедрения вредоносного кода. К примеру, недавно эксперты из Sucuri обнаружили зараженные PNG-файлы, содержащие вирус.
Навигация
Перейти к полной версии