Все новости о вирусах и антивирусах

[student]

Хакеры ограбили индийский банк

Индийские СМИ сообщают о хакерской атаке на Cosmos Bank – второй по объему активов кооперативный банк Индии. Операция, отличавшаяся чрезвычайной масштабностью и организованностью, была проведена в несколько этапов. На первом киберпреступники через огромное число подставных лиц сняли порядка 11 миллионов долларов со счетов клиентов банка по поддельным банковским картам в банкоматах. В течение 7 часов было осуществлено почти 15 тысяч таких транзакций в 28 странах мира. Еще около 400 тысяч долларов были сняты в банкоматах по фальшивым картам в самой Индии.

В банке заметили атаку и попытались принять меры для ее пресечения. Однако хакеры к этому моменту успели проникнуть глубоко в системы Cosmos Bank и уже на следующий день нанесли новый удар. Используя систему SWIFT, они перевели со счетов банка на подставные счета в Гонконге еще примерно 2 миллиона долларов. Представители Cosmos Bank признали атаку и заверили, что клиенты никоим образом не пострадают: все фиктивные списания с их счетов будут компенсированы за счет средств банка. Первые итоги расследования указывают на то, что атакующие использовали канадские серверы, но, вполне возможно, это делалось в попытке замести следы. А издание India's Economic Times, ссылаясь на свои источники, сообщает, что к атаке может быть причастна северокорейская киберпреступная группировка Lazarus.

[student]

Похищены данные банковских карт клиентов сети ресторанов Cheddar Scratch Kitchen

Американская сеть ресторанов Cheddar Scratch Kitchen стала жертвой кибератаки. По данным на конец 2016 года сеть насчитывала более 160 ресторанов в 23 штатах США. Неизвестным хакерам удалось скомпрометировать систему управления терминалами оплаты. Взлом, предположительно, затрагивает период с 3 ноября 2017 по 2 января 2018 годов. Компания Darden Restaurants, управляющая сетью, узнала об утечке лишь 16 августа и только от федеральных властей – очевидно, после того, как данные банковских карт клиентов Cheddar Scratch Kitchen стали массово появляться на хакерских ресурсах.

По предварительным оценкам, хакерам удалось похитить данные как минимум 567 тысяч банковских карт. Компания уже уведомила свои клиентов об инциденте, а также предоставила всем, посещавшим рестораны в предполагаемый период утечки, бесплатную услугу мониторинга состояния счетов. Кроме того, в Darden Restaurants отметили, что еще до получения информации об утечке система управления терминалами оплаты во всех ресторанах сети была заменена на более современную, поэтому в настоящий момент посетителям ничто не угрожает.

[student]

Россиян предупредили о новом виде мошенничества с картами
24 августа 201816:01

В России появился новый вид мошенничества с банковскими картами. Он зафиксирован в Калуге. При этом злоумышленники действовали под видом службы безопасности банка, выпустившего карту, предупредила Генпрокуратура России.

На телефон потерпевшей через один из популярных мессенджеров поступило сообщение от неизвестного отправителя, сообщает ТАСС. Вместо номера телефона была изображена эмблема крупного банка.

Сообщение "банка" было коротким: со счета женщины заказано списание крупной суммы денег для оплаты покупок в интернете. И просьба – если она не совершала таких покупок, то ее просили обратиться в службу безопасности банка.

Женщина так и поступила. И лишилась 240 тысяч рублей. Поднявший телефонную трубку по ее звонку представившийся специалистом службы безопасности банка мужчина выманил у потерпевшей информацию о ее банковских картах, а затем убедил совершить ряд операций с мобильным приложением и сообщить ему поступившие на телефон по смс специальные коды подтверждения.

Полиции удалось задержать злоумышленников. Но Генпрокуратура России предупредила, что в первом полугодии 2018 года количество мошенничеств с электронными средствами платежей выросло сразу в семь раз.

[student]

Хакеры напали на фрилансеров

Киберпреступники активно эксплуатируют новый способ распространения вредоносного ПО. Как сообщают исследователи MalwareHunterTeam, на сей раз хакеры избрали жертвой фрилансеров – специалистов, предпочитающих работу на дому по временным контрактам. Как правило, они находят заказы на специализированных интернет-порталах. К числу наиболее крупных и популярных ресурсов подобного рода относятся Fiverr и Freelancer.com, и то, что оба они стали источником угрозы, свидетельствует о спланированной вредоносной кампании.

Зарегистрированные пользователи этих сайтов получают сообщения с предложениями работы. Подробное описание заказа якобы содержится во вложении, которое и предлагается открыть. В действительности вложения содержат установщики вредоносных программ, в частности – клавиатурных шпионов (кейлоггеров) и троянцев удаленного доступа (RAT). При этом хакеры активно убеждают фрилансеров поскорее открыть документ, чтобы затем связаться с «работодателями» и обсудить сроки предлагаемой работы и условия оплаты. По данным MalwareHunterTeam, уже многие десятки пользователей названных ресурсов пострадали от подобных атак.

[student]

Похищены данные более 6 миллионов покупателей компании SHEIN

Компания SHEIN объявила об утечке персональных данных своих клиентов вследствие кибератаки. SHEIN – крупный американский онлайн-магазин модной женской одежды, услуги которого пользуются популярностью более чем в 80 странах мира. По словам представителей компании, неизвестным киберпреступникам удалось похитить адреса электронной почты клиентов и пароли их учетных записей на сайте SHEIN. Последние, как сообщается, хранились в зашифрованном виде, однако неизвестно, каким именно алгоритмом они были защищены. Также компания подчеркивает, что нет никаких свидетельств того, что хакеры смогли добраться до данных банковских карт покупателей.

Технических подробностей инцидента в данный момент крайне мало. А заявление SHEIN не только не прибавляет ясности, но и порождает новые вопросы. Например, компания указывает, что инцидент произошел в июне. Обнаружить утечку специалисты SHEIN смогли только 22 августа. И если в этом нет ничего удивительного, то удивляет тот факт, что сообщение об утечке опубликовано лишь сейчас. Компания объявила, что привлекла к расследованию кибератаки авторитетных специалистов и в настоящий момент оповещает затронутых утечкой клиентов о необходимости изменить пароли. Число пострадавших покупателей оценивается в 6,42 миллиона.

[student]

Facebook раскрыла подробности недавнего масштабного взлома: реальных пострадавших оказалось на 20 млн меньше
13 октября 2018 в 09:12

14 млн пользователей пострадало больше всего

Facebook опубликовала отчет, касающийся недавнего масштабного взлома социальной сети через функцию «View As». Напомним, об атаке стало известно в самом конце сентября, на тот момент сообщалось, что хакеры получили доступ к 50 млн учётных записей пользователей.

Спойлер   :

Связанные со взломом события развивались следующим образом. Специалисты Facebook зафиксировали необычный всплеск активности еще 14 сентября, но только 25 сентября стало окончательно понятно, что производится атака, тогда же была выявлена уязвимость. В течение двух дней «дыру» залатали, остановили хакерскую атаку и обнулили пароли тех пользователей, цифровые ключи доступа которых могли оказаться в распоряжении злоумышленников. Одновременно была отключена функция «View As», к расследованию взлома подключилась ФБР. 

В итоге хакеры украли цифровые ключи доступа к учетным записям примерно 30 млн пользователей (хотя изначально, напомним, говорилось о 50 млн). Из этого числа 1 млн пользователей вовсе не пострадал – хакеры не получили никакой информации о них. В отношении 15 млн пользователей хакеры получили только минимальный объем данных – имя и контактные данные (телефон, адрес электронной почты или и то, и другое).

14 млн пользователей пострадало больше всего: злоумышленники получили доступ к подробной информации о них, включая имя учетной записи, пол, язык, данные о семейном положении, вероисповедании, месте рождения и месте проживания, дате рождения, устройствах, используемых для доступа в Facebook, сведений об образовании и работе. Им также стало известно о последних десяти местах, в которых отметился (или был отмечен) пользователь и 15 последних поисковых запросах.

В Facebook отметили, что хакерский взлом не затронул другие сервисы компании, включая Messenger, Messenger Kids, Instagram, WhatsApp, Oculus, Workplace, Pages и т.д. Компания продолжает расследование в сотрудничестве с ФБР (FBI), Федеральной торговой комиссией США (FTC), Ирландской комиссией по защите данных (IDPC) и другими органами.

В ближайшее время каждый из 30 млн пользователей, пострадавших в атаке, получит сообщение, в котором Facebook объяснит, какая информацию оказалась в распоряжении злоумышленников, а также расскажет о действиях, которые следует предпринять с целью защиты себя от подобных атак.

[student]

Опасный троян заражает Android-устройства, маскируясь под Google Play

 Новый «троянец» уже идентифицирован экспертами из области кибербезопасности и получил название «GPlayed». Принципиальной чертой нового вредоносного продукта является то, что он маскируется под официальный магазин приложений от Google – Google Play Market.

 Именно таким бесхитростным образом он заражает устройства на базе Android. Чтобы обмануть пользователей вредонос выступает под названием. Значок приложения практически в точности повторяет оригинальный. Если же пользователь все же попадется на уловку, то вредоносное ПО чрезвычайно адаптивно, а потому заражение устройства происходит крайне быстро.

Представители Google уже отреагировали на данное сообщение и сообщили, что сделают все необходимое, чтобы как можно скорее справиться с данной угрозой, однако они дали весьма неутешительный прогноз, заявив, что количество подобных вирусов будет постепенно увеличиваться, ведь разработчики все чаще теперь хотят делиться с пользователями приложением напрямую, не используя посредников в духе AppStore или Google Play.

Это по сути означает, что вредоносное ПО может делать что угодно: собирать банковские учетные данные пользователя, контролировать местоположение устройства и все в этом духе. Данный троян также показывает новый путь для развития угроз. Имея возможность беспрепятственно перемещать код с настольных компьютеров на мобильные платформы.

[student]

Эксперты обнаружили первую бот-сеть в среде Smart TV

Поставщик программного обеспечения и аналитических отчетов для измерения цифровых медиа DoubleVerify сообщил о первой атаке бот-сетей в среде устройств Smart TV. Компания обнаружила новую бот-сеть после того, как увидела 40-процентный всплеск трафика с подключенных устройств (Connected TV, CTV). Об этом сообщается в пресс-релизе компании.

Ботнет отправлял рекламным серверам ложные сообщения о просмотрах рекламы с устройств CTV. При этом треть сообщений поступала якобы с игровых приставок, а две трети - от "умных" телевизоров.

Директор DoubleVerify Вэйн Гаттинелла (Wayne Gattinella) заявил, что хакерская атака была ожидаемой, так как мошенники всегда появляются там, где увеличиваются финансовые потоки. По данным компании, 50% пользователей интернета смотрят видео через стриминговые видеосервисы или специализированные приложения хотя бы раз в неделю. Объемы рекламы в данном сегменте растут, а следовательно, растут и доходы, отметил он.

Компания, заверяет, что предприняла меры для защиты своих клиентов, среди которых представлены ведущие мировые бренды.

[student]

Владельцев смартфонов предупредили о замаскированных вирусах

Вредоносные программы скачали уже более полумиллиона пользователей.

Специалисты в области компьютерной безопасности нашли в магазине приложений Google Play 13 поддельных игр, которые были замаскированы под оригинальные программы и были загружены пользователями более полумиллиона раз, передает РИА Новости со ссылкой на портал The Bleeping Computer.

Сообщается, что вредоносные приложения были размещены от имени разработчика Luis O Pinto. После установки программы удаляли свою иконку с экрана и начинали загрузку другого приложения в фоновом режиме с запрограммированного адреса.

Также в результате анализа удалось выявить другое приложение, которое было замаскировано под сервис Game Center. Вредоносная программа запрашивала разрешение на полный доступ к сети, просмотр всех сетевых подключений, а также на автозапуск при включении мобильного устройства.

После одобрения пользователя вирус начинал показывать рекламу на экране после каждой разблокировки экрана владельцем.

[student]

Хакеры Anonymous опубликовали новые документы об Integrity Initiative

В них упоминается сразу несколько стран, среди которых Греция, Испания, Германия и Россия.

Хакеры группировки Anonymous опубликовали новую порцию документов британского Integrity Initiative и вновь призвали открыто расследовать деятельность проекта на общеевропейском уровне.

— Между тем ни организация, ни её спонсоры не выполнили наши требования и не гарантировали, что сеть кластеров будет использоваться только для борьбы с российской политикой дезинформации, — говорится в сообщении, размещённом на сайте cyberguerrilla.org.

Хакеры отметили, что до сих пор не получили реакцию от европейских лидеров, несмотря на серьёзную обеспокоенность данным вопросом.

В документах, размещённых Anonymous, упоминаются Греция, Испания, Германия и Россия. В частности, говорится о "фейковых доказательствах вмешательства РФ в референдум о независимости Каталонии", которые были распространены в СМИ испанскими политиками.

Хакеры добавили, что продолжат раскрывать документы до тех пор, пока не будет проведено тщательное расследование работы Integrity Initiative на общеевропейском уровне.

[student]

Интересное кино: под видом фильма о хакерах распространяется опасный зловред

Исследователь проблем кибербезопасности под ником 0xffff0800 обнаружил опасное вредоносное ПО, маскирующееся под видеофайл. 0xffff0800 скачал с торрент-трекера The Pirate Bay (очевидно, ничто человеческое исследователям не чуждо) фильм «Девушка, которая застряла в паутине» - к слову, повествующий о хакерах.

 Однако вместо видеофайла на его компьютер загрузился файл с расширением .LNK.  Заинтересовавшись, 0xffff0800 проверил его через базу VirusTotal. Первоначально сервис идентифицировал файл как зловред CozyBear, используемый одноименной хакерской группировкой. Но исследователь усомнился в истинности этого вердикта и опубликовал файл в сети.

Анализ, проведенный основателем ресурса Bleeping Computer Лоуренсом Эбрамсом, позволил установить, что речь идет о новом зловреде с рядом оригинальных функций.

При запуске файла происходит выполнение команды PowerShell, осуществляющей целый каскад действий. Главным результатом становится отключение Windows Defender и взлом основных браузеров – Chrome и Firefox. Зловред получает возможность внедрять JavaScript-код в отображаемые браузерами страницы.

 В результате на страницах поисковой выдачи Google и Yandex на первых позициях появляются ссылки на сайты, распространяющие вредоносное ПО. Также зловред внедряет на сайт Wikipedia не соответствующее действительности уведомление о том, что ресурс теперь принимает пожертвования в криптовалюте.

 В качестве кошельков для пожертвований указаны, естественно, номера кошельков, подконтрольных хакерам. Наконец, вредоносное ПО способно подменять номера криптовалютных кошельков в буфере обмена. И, скопировав нужный номер со страницы, пользователь рискует при осуществлении транзакции вставить все тот же номер кошелька хакеров, кому бы он ни намеревался перевести деньги.

[student]

В «кряках» для взлома программ нашли неудаляемый вирус

Вирус шифрует данные на компьютере и предлагает заплатить за их расшифровку. Победить его пока не удалось.


На портале Bleeping Computer, посвященном вопросам кибербезопасности, появилась информация о новом вирусе-шифровальщике Djvu. Заражение предположительно происходит при запуске «кряков» (программ-взломщиков) и малоизвестного софта для блокировки рекламы.

После попадания на машину, вирус скачивает несколько файлов, которые блокируют работу операционной системы. При этом на экране появляется сообщение об установке обновления Windows. Одновременно происходит шифровка всех данных на жестких дисках.

После завершения основной «работы», вирус выводит на экран контакты своих создателей и предложение заплатить им за восстановление данных. Причем мотивирует обратиться как можно скорее, обещая скидку. Cтоимость разблокировки не называется — возможно, она зависит от каких-либо факторов в каждом индивидуальном случае. Попытки побороть новый вирус пока успехом не увенчались.

[student]

Зловред для Mac похищает криптовалюту – и сам же ее генерирует

Исследователи подразделения Unit 42 компании Palo Alto Networks обнаружили новое вредоносное ПО, атакующее пользователей компьютеров Mac. Оно является разновидностью зловреда OSX.DarthMiner и обладает достаточно примечательным набором функций. Инфицируя устройства, эта программа получает доступ к данным штатного браузера Safari от Apple, а также браузера Chrome.

Интересуют ее в первую очередь посещения ресурсов, связанных с транзакциями в криптовалюте. Одновременно здовред извлекает из памяти iTunes хранящиеся там резервные копии привязанных мобильных устройств, включая сохраненные пароли, номера банковских карт и текстовые сообщения.

В результате в руках злоумышленников может оказаться достаточный объем информации, чтобы не только получить доступ к криптовалютным кошелькам пользователей, но и обойти двухфакторную аутентификацию. Но этим зловред не ограничивается. Он еще и устанавливает на устройства разновидность майнера XMRig.

Разумеется, не для того, чтобы компенсировать жертвам похищенную криптовалюту: генерированные средства также идут в кошельки киберпреступников. Стоит отметить, что майнер генерирует не Monero (как это происходит в подавляющем большинстве случаев), а Koto – не слишком распространенную криптовалюту, популярную почти исключительно в Японии.

[student]

Эксперту грозит 8 лет тюрьмы за обнаружение уязвимостей у телеком-оператора

Венгерский оператор Magyar Telekom подал в полицию жалобу на эксперта, уведомившего о брешах в защите компании. Об этом пишет CNews со ссылкой на местные СМИ.

Как сообщает ресурс, некий специалист обнаружил серьезную уязвимость в апреле 2018 года. Он связался с представителями оператора, после чего его пригласили на встречу с руководством. На ней обсуждалось возможное сотрудничество, но разговоры в итоге не привели к конкретному предложению.

"Этический хакер" продолжил тестировать защиту Magyar Telekom и к маю обнаружил еще одну серьезную уязвимость, которая позволяла получить доступ ко всему трафику оператора, а также к серверам компаний, которые обслуживает дочерняя компания Magyar Telekom - T-Systems Hungary.

В тот же день полиция получила жалобу на вторжение хакера, и эксперта задержали. Изначально ему предлагали признать вину и получить условный срок в два года, но после отказа обвинение было переквалифицировано в более серьезное, которое предусматривает реальное заключение сроком до восьми лет. Хакера теперь обвиняют в нарушении работы коммунального предприятия.

Защитой задержанного занимается некоммерческая организация "Венгерский союз за гражданские права". Ее представители подчеркивают, что в материалах обвинения нет достаточных данных о преступлении, которое якобы совершил их подопечный.

Напомним, что в Великобритании хакер Дэниел Кайе, известный под псевдонимами BestBuy, Popopret и Spiderman, недавно получил два года восемь месяцев реального срока. Его в том числе признали виновным в осуществлении серии атак на инфраструктуру либерийского интернет-провайдера Lonestar MTN с помощью IoT-ботнета, в результате которой целая страна фактически осталась без доступа в сеть.

[student]

Сайты на WordPress могут быть захвачены хакерами через уязвимость плагина

Более 40 тысяч вебсайтов, созданных на платформе WordPress, могут быть скомпрометированы и оказаться под полным контролем хакеров из-за уязвимости в плагине Simple Social Buttons. Этот плагин используется для быстрого репоста материалов сайтов в социальных сетях и снискал большую популярность.

Однако исследователь компании WebARX Лука Шикич выявил серьезную уязвимость Simple Social Buttons. Чтобы проэксплуатировать ее, пользователю достаточно зарегистрироваться на сайте.

Возможность атаки Шикич продемонстрировал в созданном им видеоролике. В нем показано, что, имея учетную запись, атакующие в состоянии через уязвимость плагина изменить основные настройки сайта и в результате получить права администратора, а также полный контроль над ресурсом. Лука Шикич уведомил разработчиков о проблеме, необходимое обновление безопасности уже выпущено.

 Всем владельцам сайтов на WordPress, использующих названный плагин и позволяющих зарегистрированным посетителям комментировать публикации, необходимо срочно обновить Simple Social Buttons до версии 2.0.22