Компьютерный раздел > Антивирусы, ключи
Все новости о вирусах и антивирусах
student:
В популярном файлообменном клиенте обнаружены вредоносные модули
Компания ESET сообщила об обнаружении потенциально вредоносных модулей в популярном менеджере загрузок Xunlei (Thunder). Компоненты этой программы собирают информацию без ведома пользователя, а также устанавливают дополнительные приложения на Android-устройства. Xunlei (в переводе с китайского – «гром» или «удар молнии») – файлообменный клиент, разработанный китайской компанией Thunder Networking Technologies. Сегодня сайт Xunlei ежемесячно посещают более 400 млн человек, а по количеству активных пользователей он опережает даже известный файлообменный клиент uTorrent.
Активность Win32/Kankan
В середине августа эксперты ESET обратили внимание на компоненты Xunlei, в поведении которых была замечена необычная функциональность. Помимо возможностей, привычных для менеджера загрузок, Xunlei содержит потенциально вредоносные компоненты, используемые в качестве бэкдоров. Семейство данных компонентов детектируется решениями ESET NOD32 под общим названием Win32/Kankan.
Скриншоты мобильных приложений, устанавливаемых при помощи Xunlei
Эти компоненты осуществляют скрытую загрузку и установку на компьютер пользователя дополнительного ПО, а также пересылают информацию о системе на удаленный сервер. Кроме того, специалисты ESET обнаружили модуль, который может устанавливать приложения не только на сам ПК, но и на подключенное к нему устройство под управлением ОС Android. Все эти действия осуществляются без ведома пользователя.
Следует отметить, что данные компоненты подписаны цифровым сертификатом компании-разработчика Xunlei Networking Technologies, что придает им статус доверенных файлов. Анализ компонентов загрузчика показал, что для их запуска и обеспечения «выживаемости» в системе был использован пакет решений Microsoft Office.
Когда пользователь запускает одно из приложений этого программного пакета – Word, Excel или любое другое, – то в память, маскируясь под плагин этого приложения, подгружается специальная динамическая библиотека (dll, dynamic-link library) загрузчика Xunlei. Эта библиотека содержит функциональность бэкдора, с помощью которого она отправляет информацию об ОС пользователя на удаленный сервер. Кроме того, библиотека может распознавать программное обеспечение, способное отследить ее сомнительную активность.
Другой запускаемый компонент Xunlei – своего рода «апдейтер» – осуществляет загрузку на компьютер пользователя сторонних исполняемых файлов с их дальнейшей активацией. После выполнения этих действий запускается последний компонент, т.н. «сервис», отвечающий за исполнение различных команд.
Особый интерес представляет команда installphoneapp, применяемая для загрузки мобильных приложений (apk-файлов) с последующей установкой на Android-устройство, подключенное к компьютеру по USB. Данные приложения, в том числе, имеют рекламную направленность. Эти действия также совершаются в скрытом режиме.
student:
Хакеры провели масштабную мошенническую операцию в ЮАР
Bloomberg News сообщает о масштабной и неожиданной вредоносной кампании, реализованной в отношении ресторанов, банков, кафе и магазинов в ЮАР. Злоумышленники могли похитить миллионы долларов, получив доступ к номерам и пин-кодам посетителей банков, кафе и ресторанов, где банда злоумышленников подсадила троянское программное обеспечение на POS-терминалы, применяемые для оплаты за товары и услуги.
Отмечается, что жертвами хакеров стали местные закусочные KFC, ряд банков и некоторые местные фаст-фуды. Информация о выявлении масштабной вредоносной кампании поступила от Платежной Ассоциации ЮАР, которая сообщила, что деньги из банков хакерам увести не удалось, а вот из сектора розничной торговли и быстрого питания они вполне могли похитить значительные суммы.
Вредоносный код, поразивший местный бизнес, получил название Dexter и, судя по имеющимся на сегодня данным, его распространение пока очень ограничено. Особенность Dexter в том, что он способен работать с различными POS-терминалами, скидывая данных из их оперативной памяти на удаленный сервер. Учитывая экзотическую реализацию кода, написан он был, скорее всего, профессионалами, которые имеют опыт работы с подобным торгово-кассовым оборудованием.
Расследование, проведенное местными специалистами показало, что Dexter проявлял разную степень активности и в ряде случаев с POS-терминалов он один или два раза скидывал данные, тогда как в других случаях дампы памяти создавались десятками раз. Какие именно данные оказались в руках у злоумышленников достоверно неизвестно, но обычно POS-терминалы держат в памяти такую информацию, как данные о своем местоположении, название предприятия, время и дату, платежные реквизиты текущих покупок, адреса и служебные данные банковских шлюзов и некоторые другие сведения.
Специалисты говорят, что номера карт вполне могли оказаться у хакеров, хотя их полезность ставится под вопрос, так как POS-терминалы не хранят в ОЗУ пин- коды карт и их коды безопасности, без которых зачастую воспользоваться картой невозможно.
На сегодня непонятно, как именно хакерам удалось осуществить масштабную кампанию по заражению оборудования, но известно, что все атакованное оборудование работало на базе Microsoft Windows.
student:
Бельгийский оператор Belgacom сообщает о второй шпионской атаке
Бельгийский телекоммуникационный оператор Belgacom расследует факт еще одной хакерской атаки на ее международное оптовое подразделение BICS, сообщили в Belgacom в четверг вечером. В компании говорят, что повторно обнаружили хакерскую активность во внутренних сетях компании.
Также в заявлении оператора говорится, что все данные, связанные с атакой, были переданы в правоохранительные органы Бельгии.
Напомним, что ранее Эдвард Сноуден в интервью немецкому изданию Der Spiegel сообщал, что британская разведка GCHQ стояла за одной атакой на сети Belgacom. Также она разместила на серверах Belgacom шпионское ПО.
Журнал сообщал, что британские разведчики целенаправленно инфицировали компьютеры нескольких сотрудников Belgacom в рамках атаки, известной как Quantum Insert, которая изначально была создана представителями АНБ США, но реализовывалась полностью британцами. Конечной целью атаки было получение доступа к корневым сетевым маршрутизаторам бельгийского оператора, чтобы проводить анализ перехваченного трафика в интернете и сотовых сетях.
Также в документах, полученных Der Spiegel, говорилось, что британские разведчики интересовались компанией BICS - совместным предприятием Belgacom, Swisscom и южноафриканской MTN, которая занималась оптовыми продажами услуг проводной телефонии другим операторам, в частности в Йемене и Сирии. Кроме того BICS имела доступ к ряду трансконтинентальных интернет-кабелей для передачи трафика.
Сообщается, что в задачи британских разведчиков входило детальное исследование VPN-инфраструктуры Belgacom и BICS, а также проведение атак типа man-in-the-middle.
Марат:
Создан первый вирус для Firefox OS
Молодой программист из Индии создал первую в мире вредоносную программу для Firefox OS. Пока что её совершенно невозможно обнаружить.
Автором первого в мире вируса для Firefox OS стал 17-летний хакер Шантану Гауде (Shantanu Gawde). Свою программу юное дарование представит в ходе конференции The Ground Zero 2013, которая состоится 7-10 ноября в Нью-Дели, Индия.
Созданный молодым умельцем PoC-код способен инфицировать смартфон ZTE One в удалённом режиме, и получить доступ к нему с любого ботнета.
Через вирус хакер может удалённо отдавать команды на доступ к SD-карте, копировать контакты, загружать и выгружать фотографии, музыку и видео, отслеживать координаты пользователя, и даже управлять FM-радио.
Хакер отмечает, что вмешательство при помощи его программы может привести к серьёзным проблемам для пользователей Firefox OS, потому как на данный момент ещё не существует способа засечь подобную атаку, или блокировать её.
Шантану Гауде пообещал, что на презентации покажет работу вредоносной программы, и попробует портировать Firefox OS на смартфон Nexus, чтобы поискать новые векторы атаки. В случае успеха он их тоже добавит в презентацию.
student:
Троян-вымогатель заражает через поиск Google
Антивирусная компания ESET сообщила о новом способе распространения троянской программы Nymaim, которая может блокировать компьютер пользователя с целью получения выкупа за расшифровку. С конца сентября 2013 года внимание экспертов антивирусной лаборатории привлекла уже известная вредоносная программа Nymaim – троян с функциями вымогателя. Раньше заражение этим ПО осуществлялось при помощи известного комплекта взломщиков-эксплойтов BlackHole, которые использовали имеющиеся на компьютере уязвимости приложений или операционной системы для доставки вредоносного кода.
Однако недавно появилась информация о том, что автор комплекта BlackHole был задержан в России. Похоже, в этой связи злоумышленники стали использовать новый способ заражения пользователей. С конца сентября было зафиксировано большое количество обнаружений этой вредоносной программы среди загруженных при помощи браузера файлов. Эксперты ESET установили, что реферальные ссылки, ведущие на загрузку вредоносных файлов, принадлежат Google. Это означает, что перед заражением пользователь ввел в Google-поиск некий запрос и кликнул на одну из ссылок в поисковой выдаче.
Согласно результатам исследования веб-страниц, которые инициировали загрузку вредоносного кода, для масштабного заражения злоумышленники использовали так называемую «темную поисковую оптимизацию» (Black Hat SEO), с помощью которой продвигали специально созданные вредоносные страницы в топ выдачи по популярным ключевым словам.
Кликнув на такую ссылку в поисковой выдаче, пользователь перенаправляется на вредоносную страницу и инициирует загрузку архива, название которого – для повышения доверия пользователей – соответствует введенному в строку поиска тексту. То есть один и тот же архив будет загружен с разными именами, в зависимости от поискового запроса. Так или иначе, загруженный под любым названием вредоносный архив содержит исполняемый файл, который после запуска устанавливает в систему код Nymaim.
Win32/Nymaim заражает систему в два этапа. Попав на компьютер, первый вредоносный файл осуществляет скрытую загрузку и запуск второго файла, который, в свою очередь, также может загружать дополнительное вредоносное ПО, а может и просто блокировать операционную систему для получения выкупа. В ходе исследования аналитики ESET обнаружили более десятка вариантов экрана блокировки, созданных на разных языках и с различным оформлением. Нетрудно догадаться, что их целью были пользователи из разных стран Европы и Северной Америки.
На данный момент обнаружены экраны блокировки из Австрии, Великобритании, Германии, Ирландии, Испании, Канады, Мексики, Нидерландов, Норвегии, Румынии, Франции и США. Однако, этот список не является окончательным – скорее всего, существуют пострадавшие и в других странах. Пользователь из любой страны может быть заражен.
Интересно, что стоимость выкупа отличается для разных стран. В большинстве из найденных экранов блокировки цена выкупа составляет около $150, однако пользователей из США просят заплатить за разблокировку самую высокую цену – $300 долларов; в Румынии же зараженный пользователь может отделаться «всего лишь» €100, т.е. около $135.
Вся активность трояна Win32/Nymaim осуществляется в рамках кампании по распространению злонамеренного ПО, в процессе которой вредоносные Apache-модули заражают легальные веб-сервера, что приводит к перенаправлению пользователей на вредоносные сайты. Эта кампания, называемая The Home Campaign, продолжается с февраля 2011 года. По данным независимых исследований, за это время злоумышленники заразили почти 3 млн компьютеров.
Навигация
Перейти к полной версии