Автор Тема: Все новости о вирусах и антивирусах  (Прочитано 50492 раз)

0 Пользователей и 1 Гость просматривают эту тему.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Все новости о вирусах и антивирусах
« Ответ #330 : 27 Февраль 2019, 19:29:02 »
«Брешь да Винчи»: на продажу выставлены данные миллионов банковских карт

Популярный среди киберпреступников подпольный ресурс Joker's Stash выставил на продажу сразу три массива данных банковских карт. Первые два включают в общей сложности информацию 69 189 карт, выпущенных банками Пакистана, причем 96% всех карт приходятся на долю одного-единственного банка - Meezan Bank Ltd. Пакистанские банковские карты появляются на киберкриминальных ресурсах достаточно редко. Кроме того, информация для всех карт в данном случае включает и пин-коды.

 Два этих обстоятельства объясняют весьма высокую цену: продавцы требуют за данные каждой карты 50 долларов - при том, что обычно на хакерских ресурсах цена такого рода «товара» не превышает 40 долларов, а может опускаться и до 10. Таким образом, потенциально злоумышленники могут заработать на пакистанских банковских картах почти 3,5 миллиона долларов. Пакистанский банк Meezan Bank Ltd. пока не ответил на запросы СМИ о возможной утечке.

Чуть позже на том же Joker's Stash появился еще один массив данных банковских карт, рекламируемый как «Брешь да Винчи» (DaVinci Breach). О нем пока известно не так много, но впечатляют уже масштабы инцидента: если верить рекламе на хакерском ресурсе, на продажу выставлены данные 2,15 миллиона американских банковских карт из 40 штатов США.

Самый простой способ использования злоумышленниками этих данных подразумевает производство фальшивых клонов банковских карт, с помощью которых деньги снимаются в банкоматах. Более сложная схема предполагает создание подставных фирм, продающих несуществующие товары, оплата за которые производится все теми же фальшивыми картами-клонами. Затем деньги снимаются со счетов фирм-однодневок их владельцами. В этом случае отследить происхождение средств оказывается намного труднее.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Все новости о вирусах и антивирусах
« Ответ #331 : 27 Февраль 2019, 19:33:50 »
Интернет вещей угрожает почти 41% всех «умных» домов в мире

Компания Avast опубликовала отчет 2019 Smart Home Security Report. В нем обобщены данные об угрозах безопасности технологиям «умных» домов, которые несут устройства интернета вещей. Информация получена на основе анализа 56 миллионов устройств в 21 стране Северной и Южной Америки, Европы и Азиатско-Тихоокеанского региона. Как следует из документа, 40,8% всех умных домов содержат как минимум одно устройство интернета вещей, уязвимое к удаленным атакам.

Лидирует в этом списке Индия, где 52,4% всех «умных» домов содержат уязвимые устройства. Россия, к сожалению, входит в первую пятерку с показателем 44%. Наиболее уязвимыми устройствами, которые чаще всего можно встретить в жилищах россиян, где используются технологии «умного» дома, оказались принтеры. К слову, та же ситуация наблюдается и во многих других странах, включая США, Канаду, Японию и Южную Корею.

А с точки зрения киберпреступников наиболее заманчивой целью являются роутеры: контроль над ними позволяет получить беспрепятственный доступ ко всем остальным устройствам «умного» дома. В этом смысле не обеспечивать надежную защиту роутеров равносильно тому, чтобы уходить из дома, оставляя входную дверь широко открытой, отмечается в отчете.

Между тем, статистика Avast свидетельствует: 59,7% всех исследованных роутеров либо имеют уязвимости, либо не защищены в должной мере от несанкционированной авторизации. Более того, 59,1% пользователей никогда не проходили авторизацию на собственных роутерах и не обновляли их ПО.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Все новости о вирусах и антивирусах
« Ответ #332 : 28 Февраль 2019, 11:56:30 »
Атака с использованием вредоносных устройств с интерфейсом Thunderbolt

Группа исследователей из Кембриджского университета представила новый вид атак Thunderclap (PDF), позволяющий получить доступ к содержимому всей памяти компьютера при подключении специально модифицированных периферийных устройств с интерфейсом Thunderbolt. Проблема проявляется в Windows, мacOS, Linux и FreeBSD. Для демонстрации атаки на основе FPGA Arria 10 исследователями подготовлен прототип вредоносного устройства, а также эмулятор вредоносной сетевой карты на базе QEMU и необходимая для атаки программная начинка.

Спойлер   :
В отличие от атак BadUSB, в которых вредоносное USB-устройство эксплуатирует уязвимости в USB-стеке или притворяется USB-клавиатурой или сетевой картой для подстановки данных или перенаправления трафика, атака Thunderclap основана на методе обхода ограничений IOMMU и использовании DMA для выполнении операций в режиме прямого доступа устройства к памяти. При помощи DMA периферийное устройство может выполнить чтение и запись в любую область системной памяти. Для ограничения доступа через DMA в операционных системах и хост-контроллерах обычно применяется IOMMU (Input-Ouptut Memory Management Unit), который должен блокировать возможность совершения подобных атак и ограничивать доступ только к явно определённым областям совместно используемой памяти.



На деле ограничения IOMMU оказалось легко обойти во всех протестированных операционных системах путём симулирования подключения сетевого адаптера, для работы c которым операционной системой применяются иные методы взаимодействия без использования IOMMU. Особенности обработки пакетов с сетевой карты не позволяют в полной мере применять IOMMU, так как возникают существенные накладные расходы, заметно снижающие производительность. Например, в Linux можно полностью обойти защиту IOMMU через установку определённых флагов в сообщениях, отправляемых сетевой картой.

Более того, некоторые операционные системы обычно размещают различные внутренние структуры в областях памяти которые также используются для взаимодействия с периферийными устройствами, что позволяет осуществить атаку даже при применении IOMMU. Например, область памяти, используемая для отправки и получения пакетов, позволяет вредоносному устройству получить доступ к данным Unix-сокетов или незашифрованным данным, предназначенным для отправки через VPN. Кроме того, в случае использование общей памяти для всех устройств, одно устройство может получить доступ к данным других устройств, например, вредоносный сетевой адаптер может прочитать содержимое информации на экране или перехватить клавиатурный ввод.

Воспользовавшись предложенной техникой злоумышленник, имеющий физический доступ к компьютеру жертвы, во время отсутствия пользователя может подключить через порт Thunderbolt (в том числе Thunderbolt 3 поверх USB Type-C, Mini DisplayPort и PCI Express) специально подготовленное устройство и получить полный контроль за системой, в том числе извлечь из памяти конфиденциальные данные, такие как ключи доступа и платёжные идентификаторы, или организовать выполнение кода с максимальными привилегиями. Атака также может быть проведена для интеграции скрытой вредоносной функциональности в различное периферийное оборудование, такое как зарядные устройства и проекторы.



В Linux исправления, блокирующие проблему, будут предложены в ядре 5.0, выпуск которого запланирован на следующую неделю. Защита реализована через обязательное применение IOMMU для Thunderbolt и блокирование обходных путей работы в обход IOMMU, основанных на использовании ATS (Address Translation Services) в PCI Express. Также сообщается, что во многих дистрибутивах Linux, включая Ubuntu, Fedora и RHEL, для оптимизации производительности IOMMU для Thunderbolt не включен по умолчанию.



Разработчики FreeBSD посчитали проблему не заслуживающей исправления, так как в данной ОС не поддерживается горячее подключение Thunderbolt-устройств. В macOS 10.12.4 добавлена блокировка конкретной атаки на базе сетевой карты, но сама уязвимость остаётся неисправленной. В Windows поддержка IOMMU для Thunderbolt добавлено в обновлении Windows 10-1803, до этого IOMMU не применялся.

В качестве обходного пути защиты рекомендуется отключить Thunderbolt в настройках BIOS/UEFI или дополнительно использовать USB-хаб без поддержки Thunderbolt, не позволяющий перевести порт USB-C в режим Thunderbolt. Также рекомендуется не оставлять свой ноутбук во включенном состоянии без присмотра и не пользоваться чужими зарядными устройствами с разъёмом USB-C. Производители были уведомлены о проблеме ещё в 2016 году и для выработки должного решения по блокированию уязвимости потребовалось почти три года.

Отмечается также дополнительный вектор проведения атаки через компрометацию прошивок изначально подключенных устройств с интерфейсом PCI Express. Например, после успешного взлома, эксплуатации уязвимостей в прошивках или на этапе доставки/производства оборудования в прошивки сетевых карт или BMC-контроллеров может быть интегрирована функциональность для скрытого получения полного доступа к памяти основной системы.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Все новости о вирусах и антивирусах
« Ответ #333 : 29 Март 2019, 09:20:21 »
Хакеры внедрили бэкдор в фирменную утилиту Asus и заражали компьютеры пользователей с сервера компании

Группа хакеров ShadowHammer добавила бэкдор в программу Asus Live Update, которая доставляет обновления BIOS, UEFI и ПО на ноутбуки и настольные компьютеры Asus, что позволило злоумышленникам заражать устройства Asus прямо с сервера компании. Изощренная атака, направленная на получение доступа к нескольким сотням компьютеров, была выявлена специалистами "Лаборатории Касперского".

"Превращенная в троян утилита была подписана легитимным сертификатом и размещена на официальном сервере обновлений ASUS, что позволило ей долгое время оставаться незамеченной. Преступники позаботились даже о том, чтобы размер у вредоносной утилиты был точно таким же, как у настоящей", – говорится в сообщении антивирусной компании.

Спойлер   :
По данным экспертов, зараженную программу установили свыше 57 тысяч пользователей продуктов российской антивирусной компании, а общее число жертв составляет около одного миллиона. Однако главной целью хакеров были вполне определенные компьютеры: хэши 600 MAC-адресов были зашиты в различные версии утилиты. Проверить, числится ли конкретный MAC-адрес в списке хакеров, пользователи могут при помощи специальной программы, созданной в "Лаборатории Касперского".

ПО Asus использовалось как первоначальный источник заражения. После запуска на устройстве жертвы зловред проверял, входит ли этот MAC-адрес в список, и если он подходил, то на компьютер загружался следующий модуль вредоносного кода. В противном случае эта утилита не проявляла никакой дополнительной сетевой активности, и поэтому атака долго оставалась необнаруженной, отмечает РИА "Новости".

По всей видимости, хакеры заразили не только программу компании Asus. В ходе расследования инцидента в "Лаборатории Касперского" установили, что те же методы использовались для заражения ПО трех других производителей, но названия этих компаний не уточняются.

"Разумеется, мы немедленно уведомили Asus и другие компании об атаке. На настоящий момент все решения "Лаборатории Касперского" обнаруживают и блокируют модифицированные злоумышленниками утилиты, однако мы все же рекомендуем вам обновить Asus Live Update Utility, если вы ею пользуетесь", – отметили в компании.

Вечером 26 марта в Asus подтвердили информацию о заражении программы Asus Live Update Utility. При этом в тайваньской компании утверждают, что вредоносным кодом было заражено лишь незначительное число ноутбуков Asus, и техподдержка компании связывается с их пользователями для устранения последствий атаки. Кроме того, в пресс-релизе говорится, что Asus исправила проблему с Asus Live Update Utility и внедрила в программу защиту от подобных атак хакеров. Также компания усилила защиту системы загрузки обновлений ПО с серверов на устройства пользователей.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Все новости о вирусах и антивирусах
« Ответ #334 : 12 Апрель 2019, 17:59:20 »
Взлом инфраструктуры matrix.org
12.04.2019 10:38


Разработчики платформы для децентрализованного обмена сообщениями Matrix объявили об экстренном отключении серверов Matrix.org и Riot.im (основной клиент Matrix) в связи со взломом инфраструктуры проекта. Первое отключение состоялось вчера вечером, после чего работа серверов была восстановлена, а приложения пересобраны из эталонных исходных текстов. Но несколько минут назад серверы были скомпрометированы второй раз.

Атакующие разместили на главной странице проекта детальные сведения о конфигурации сервера и данные о наличии у них БД с хэшами почти пяти с половиной миллионов пользователей Matrix. В качестве доказательства в открытом доступе размещён хэш пароля лидера проекта Matrix. Изменённый код сайта размещён в репозитории атакующих на GitHub (не в официальном репозитории matrix). Подробности о втором взломе пока отсутствуют.

Спойлер   :
После первого взлома командой Matrix был опубликован отчёт, в котором указано, что взлом был совершён через уязвимость в необновлённой системе непрерывной интеграции Jenkins. После получения доступа к серверу с Jenkins атакующие перехватили ключи SSH и получили возможность доступа к другим серверам инфраструктуры. Было заявлено, что исходный код и пакеты не пострадали в результате атаки. Атака также не затронула серверы Modular.im. Но атакующие получили доступ к основной СУБД, в которой размещены в том числе незашифрованные сообщения, токены доступа и хэши паролей.

Всем пользователям было предписано сменить пароли. Но в процессе смены паролей в основном клиенте Riot пользователи столкнулись с пропаданием файлов с резервными копиями ключей для восстановления шифрованной переписки и невозможности доступа к истории с прошлыми сообщениями.

Напомним, что платформа для организации децентрализованных коммуникаций Matrix преподносится как проект, использующий открытые стандарты и уделяющий большое внимание обеспечению безопасности и приватности пользователей. Matrix обеспечивает оконечное (end-to-end) шифрование на базе проверенного алгоритма Signal, поддерживает поиск и неограниченный просмотр истории переписки, может использоваться для передачи файлов, отправки уведомлений, оценки присутствия разработчика в online, организации телеконференций, совершения голосовых и видео звонков. Поддерживаются также такие расширенные возможности как уведомление о наборе текста, подтверждение прочтения, push-уведомления и поиск на стороне сервера, синхронизация истории и состояния клиентов, различные варианты идентификаторов (email, номер телефона, учётная запись в Facebook и т.п.).

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Все новости о вирусах и антивирусах
« Ответ #335 : 20 Апрель 2019, 15:29:22 »
Хакеры сорвали вещание телеканала Weather Channel

Телеканал Weather Channel вынужден был вчера, 18 апреля, экстренно изменить сетку вещания в результате хакерской атаки. В 6 утра в прямой эфир должно было телешоу AMHQ. Однако едва появившаяся картинка из студии тут же пропала, а через некоторое время в эфир пошла запись программы Heavy Rescue. Примерно через полтора часа студия вновь вернулась в эфир, и ведущие сообщили, что внезапные изменения в сетке вещания были вызваны «инцидентом, связанным с кибербезопасностью».

Позже Weather Channel подтвердил эту информацию в своем официальном Twitter-канале и уточнил, что инцидент расследуют правоохранительные органы, а возобновление прямого эфира стало возможно благодаря использованию систем резервного копирования. Некоторые источники утверждают, что системы телеканала оказались инфицированы вымогательским ПО. Косвенно это подтверждается тем, что при подобных атаках именно системы резервного копирования играют решающую роль в восстановлении инфраструктуры, однако официальных подтверждений такой версии пока нет. Примечательно, что сообщение Weather Channel о кибератаке вызвало волну шуточных комментариев в Twitter: пользователи принялись советовать каналу хранить свои данные в облаках и уточнять, кучевыми должны быть эти облака или, например, перистыми.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Все новости о вирусах и антивирусах
« Ответ #336 : 20 Апрель 2019, 15:31:09 »
Операция Sea Turtle: атака с подменой DNS-записей

Исследователи компании Cisco Talos опубликовали отчет о раскрытой ими масштабной киберпреступной операции, получившей название Sea Turtle. Ее организаторы смогли получить доступ ко внутренним сетям более чем 40 крупных компаний и правительственных организаций в разных странах мира. Главным образом речь идет о странах Ближнего Востока и Северной Африки, но в списке жертв есть компании и организации из других государств, в частности – Албании и Армении.

Наибольшую тревогу вызывает сам метод проведения атаки. Киберпреступники смогли скомпрометировать системы нескольких доменных регистраторов и регистратур и подменить DNS-записи сайтов интересующих их жертв. Таким образом, трафик перенаправлялся на подконтрольные хакерам серверы. Это означает, что у посетителей сайтов не было возможности распознать атаку и защититься от нее: они могли вводить в адресную строку абсолютно верный адрес или использовать закладки в браузере, но все равно оказывались на фальшивых страницах. Полученные таким путем учетные данные киберпреступники использовали затем для проникновения в сети компаний и организаций.

Специалисты Cisco Talos отмечают, что подобные атаки подрывают доверие к самой системе DNS, которая является основой функционирования всего интернета. Они предполагают, что за операцией Sea Turtle стоят киберпреступники, имеющие поддержку на правительственном уровне, поскольку рядовым хакерам акции такого масштаба и такой степени дерзости просто не по силам.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Все новости о вирусах и антивирусах
« Ответ #337 : 23 Апрель 2019, 19:31:53 »
Исходный код зловреда Carbanak случайно нашелся на VirusTotal

Исследователи компании FireEye обнаружили полный исходный код вредоносного ПО Carbanak. Этот троянец на протяжении нескольких лет использовался хакерской группировкой с тем же названием (известной также как FIN7, Anunak и Cobalt Group) для атак на банки и другие финансовые учреждения. По оценкам правоохранительных органов, суммарный ущерб, причиненный атаками этой хакерской группы, оценивается более чем в 1 миллиард евро. Хакеры инфицировали своим вредоносным ПО компьютеры сотрудников организаций-жертв и затем использовали их как точки входа во внутренние системы для осуществления несанкционированных транзакций либо для управления банкоматами и снятия крупных сумм наличных.

Первые атаки FIN7 были осуществлены в 2013 году. Тогда группировка использовала зловред Anunak. Но в период с 2014 по 2016 годы перешла на его усовершенствованную версию, которая и получила название Carbanak. В настоящий момент группировки в ее изначальном составе не существует. Предполагаемый лидер FIN7 был арестован полицией Испании в марте 2018 года, а несколько месяцев спустя правоохранительные органы Украины задержали еще трех ключевых участников группировки. Тем не менее, часть ее членов смогли скрыться от правосудия. Предполагается, что сейчас они действуют в составе нескольких более мелких групп, являющихся своего рода «осколками» FIN7.

Ранее в руках исследователей несколько раз оказывались фрагменты сода Carbanak. Однако речь всякий раз шла о скомпилированных версиях, не позволявших провести глубокий анализ. Теперь же FireEye располагает полным исходным кодом зловреда. Примечательно, что нашелся он там, где его и можно было надеяться обнаружить: в базе данных ресурса VirusTotal, предназначенного как раз для загрузки пользователями различных образцов вредоносного ПО. Неизвестный пользователь загрузил исходный код с российского IP-адреса еще в апреле 2017 года. По странному стечению обстоятельств на протяжении двух лет никто не обращал внимания на эту загрузку, и специалисты FireEye случайно наткнулись на нее лишь сейчас. Код объемом более 100 тысяч строк был загружен двумя архивами и включает плагины, с которыми исследователи ранее не сталкивались. Компания FireEye планирует серию из 4 публикаций, в которых представит подробный анализ зловреда. Первая из них уже появилась в блоге компании.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Все новости о вирусах и антивирусах
« Ответ #338 : 13 Май 2019, 11:06:58 »
Зафиксирована атака вредоносных шифровальщиков на Git-репозитории
12.05.2019 10:22


Сообщается о волне атак, направленных на шифрование Git-репозиториев в сервисах GitHub, GitLab и Bitbucket. Атакующие очищают репозиторий и оставляют сообщение с просьбой отправить 0.1 BTC (примерно $700) для восстановления данных из резервной копии (на деле лишь портятся заголовки коммитов и информация может быть восстановлена). На GitHub подобным образом уже пострадал 371 репозиторий.

Некоторые жертвы атаки признаются, что использовали ненадёжные пароли или забыли удалить токены доступа из старых приложений. Некоторые считают (пока это лишь домыслы и гипотеза ещё не подтверждена), что причиной утечки учётных данных стала компрометация приложения SourceTree, предоставляющего GUI для работы с Git из macOS и Windows. В марте в SourceTree было выявлено несколько критических уязвимостей, позволяющих удалённо организовать выполнение кода при обращении к подконтрольным злоумышленнику репозиториям.

Для восстановления репозитория после атаки достаточно выполнить "git checkout origin/master", после чего узнать через "git reflog" хэш SHA своего последнего коммита и сбросить изменения атакующих командой "git reset {SHA}". При наличии локальной копии проблема решается выполнением "git push origin HEAD:master --force".

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Все новости о вирусах и антивирусах
« Ответ #339 : 13 Май 2019, 11:11:09 »
Утечка персональных данных 275 млн индийских пользователей через публичную СУБД MongoDB
12.05.2019 09:58


Исследователь безопасности Боб Дьяченко (Bob Diachenko) выявил новую крупную общедоступную БД, в которой из-за ненадлежащих настроек доступа СУБД MongoDB оказались выставлены сведения о 275 млн жителей Индии. База включает в себя такие сведения как ФИО, email, номер телефона, дата рождения, данные об образовании и профессиональных навыках, историю трудоустройства, информацию о текущей работе и зарплате.

Пока не ясно кто является владельцем БД, проблемный экземпляр MongoDB выполняется в окружении Amazon AWS. База была обнаружена 1 мая (в Shodan была проиндексирована 23 апреля). Примечательно, что уже 8 мая неизвестные злоумышленники зашифровали имеющиеся данные и стали требовать у владельца выкуп за расшифровку.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Все новости о вирусах и антивирусах
« Ответ #340 : 14 Май 2019, 21:08:46 »
Исправлена опасная уязвимость мессенджера WhatsApp

Специалисты Facebook в минувшие выходные обнаружили и устранили опасную уязвимость WhatsApp. Этот мессенджер принадлежит социальной сети и является одной из самых популярных в мире программ для совершения звонков и обмена сообщениями: число его пользователей оценивается примерно в полтора миллиарда человек. Уязвимость, получившая идентификатор CVE-2019-3568, представляет собой классический случай переполнения буфера. Она позволяет злоумышленникам исполнить вредоносный код и служит для установки шпионской программы, способной перехватывать разговоры и сообщения, а также активировать камеру и микрофон устройства и фиксировать данные о геопозиции пользователя. Вся эта информация передается на подконтрольные организаторам атаки серверы.

С высокой степенью вероятности за созданием эксплойта стоит израильская компания NSO Group. Она известна разработкой схожей шпионской программы Pegasus, которую охотно приобретают правоохранительные органы многих стран. Официально программа лицензирована для борьбы с преступностью и терроризмом, однако ее неоднократно обнаруживали на устройствах журналистов, адвокатов и правозащитников. Примечательно, что для инфицирования Pegasus организаторам атаки необходимо убедить пользователя перейти по вредоносной ссылке. Для эксплуатации уязвимости CVE-2019-3568 не требуются вообще никакие действия пользователя: злоумышленникам достаточно совершить звонок на номер жертвы – зловред устанавливается, даже если звонок остался не отвеченным.

Представители NSO Group поспешили заявить о том, что их продукты могут применяться исключительно разведслужбами и правоохранительными органами, и что сама компания «ни при каких обстоятельствах не использует и не будет использовать свои технологии для слежки за частными лицами либо организациями». Число пользователей, ставших жертвами атаки в настоящий момент, не установлено. Уязвимость CVE-2019-3568 затрагивает версии WhatsApp для Android до v2.19.134, WhatsApp Business для Android до v2.19.44; WhatsApp для iOS до v2.19.51, WhatsApp Business для iOS до v2.19.51; WhatsApp для Windows Phone до v2.18.348 и WhatsApp для Tizen до v2.18.15. Всем пользователям необходимо незамедлительно обновить свои приложения.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Все новости о вирусах и антивирусах
« Ответ #341 : 31 Май 2019, 10:44:56 »
Роскачество назвало лучшие антивирусы для Windows и MacOS

Роскачество совместно с Международной ассамблеей организаций потребительских испытаний (ICRT – International Consumer Research and Testing Ltd), провело очередное исследование антивирусов для операционной системы Windows. Согласно результатам, которые оказались в распоряжении РБК до официальной публикации, лучшей антивирусной компанией вновь стала Bitdefender. Ее продукты заняли первое и третье место как и годом ранее.

Пятерка лучших антивирусов выглядит следующим образом:

   
Спойлер   :
Internet Security (Bitdefender)
    Internet Security (ESET)
    Antivirus Free Edition (Bitdefender)
    Security Deluxe (Norton)
    Free Antivirus (Avast)

Годом ранее в исследовании Роскачества первое и третье место также достались Bitdefender, второе место занимал Internet Security от Kaspersky, четвертое место Internet Security от Bullguard, а пятое место Security Deluxe от Norton.

Для операционной системы MacOS лучшими антивирусами признали:

    Cyber Security Pro (ESET)
    Internet Security (Kaspersky)
    Antivirus for Mac (Bitdefender)
    Antivirus for Mac OS (G Data)
    Security Deluxe (Norton)

Годом ранее, согласно исследованию, они располагались в другом порядке: G Data, Norton, Kaspersky, Bitdefender и Free Antivirus for Mac от Ariva.

Всего в рейтинге оценивались 25 программ для Windows и 10 — для MacOS. Каждая из программ прошла проверку по 365 показателям. Представители «Доктор Веб» и «Лаборатории Касперского» подвергли сомнению представленные результаты, поскольку Роскачество второй год подряд отказалось раскрыть подробную методику проведения тестирования. По их словам, был нарушен основной принцип любого исследования — воспроизводимость, то есть возможность повторить его любым желающим и убедиться в полученных результатах.

Ранее Федеральная служба по техническому и экспортному контролю (ФСТЭК) утвердила новые требования к софту в области кибербезопасности. Его разработчики и производители до конца года должны провести испытания по выявлению уязвимостей и недекларированных возможностей.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Все новости о вирусах и антивирусах
« Ответ #342 : 01 Июнь 2019, 14:30:48 »
Системы Apple взломал 13-летний хакер

Суд австралийского города Аделаида отказался формально признать 17-лентнего молодого человека виновным в компьютерном взломе. Ситуация примечательна тем, что взлом на самом деле все же был совершен, что подтвердил и сам обвиняемый. Более того, взломал он системы корпорации Apple, а самому ему в тот момент было всего 13 лет. Школьник прочел где-то историю о том, как некая крупная компания приняла на работу хакера, взломавшего ее сервер, и загорелся идеей повторить этот «подвиг». В результате ему действительно удалось проникнуть во внутренний сервер Apple и загрузить оттуда часть документов. Компания обнаружила проникновение, обратилась в ФБР, и вскоре правоохранители вышли на австралийский след.

Как заявил на слушании адвокат молодого человека Марк Твиггс, его подзащитный не отдавал себе отчета в серьезности совершаемых деяний, а двигало им исключительно стремление получить работу своей мечты. Сама компания Apple подтвердила, что не понесла никакого ущерба в результате инцидента. Наконец, защита представила доказательства того, что с момента взлома юноша использовал свои компьютерные таланты исключительно в законных целях. Более того, сейчас хакер-подросток намерен посвятить себя изучению кибербезопасности и криминалистики. И наличие судимости по обвинению в компьютерном взломе поставит крест на его перспективах.

Приняв во внимание все эти обстоятельства, суд решил проявить гуманность. Судья заявил, что молодой человек «является безусловно одаренным в вопросах информационных технологий, но должен помнить, что этот дар не дает ему права применять свои навыки во зло». В результате юноша оштрафован на 500 долларов, однако суд не зарегистрировал обвинительный приговор, чтобы не повредить его дальнейшей карьере. По этой же причине имя молодого человека не сообщается.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Все новости о вирусах и антивирусах
« Ответ #343 : 11 Июнь 2019, 15:05:13 »
Непрекращающаяся DDoS-атака на OpenClipArt
11.06.2019 10:48


Openclipart.org, крупнейшее хранилище векторных изображений в общественном достоянии (public domain), с конца апреля непрерывно находится под сильной распределённой DDoS-атакой. Неизвестно, ни кто стоит за этой атакой, ни её причины. Сайт проекта уже больше месяца остаётся недоступен, но несколько часов назад разработчики объявили о тестировании средств для защиты от атаки, которые удалось получить благодаря полученным от сообщества пожертвованиям.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Все новости о вирусах и антивирусах
« Ответ #344 : 14 Июнь 2019, 13:49:15 »
Массовая атака на уязвимые почтовые серверы на основе Exim
14.06.2019 08:42


Исследователи безопасности из компании Cybereason предупредили администраторов почтовых серверов о выявлении массовой автоматизированной атаки, эксплуатирующей критическую уязвимость (CVE-2019-10149) в Exim, выявленную на прошлой неделе. В ходе атаки злоумышленники добиваются выполнения своего кода с правами root и устанавливают на сервер вредоносное ПО для майнинга криптовалют.

В соответствии с июньским автоматизированным опросом доля Exim составляет 57.05% (год назад 56.56%), Postfix используется на 34.52% (33.79%) почтовых серверов, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). По данным сервиса Shodan потенциально уязвимыми остаются более 3.6 млн почтовых серверов в глобальной сети, которые не обновлены до последнего актуального выпуска Exim 4.92. Около 2 млн потенциально уязвимых серверов размещены в США, 192 тысячи в России. По информации компании RiskIQ на версию 4.92 уже перешло 70% серверов с Exim.

Спойлер   :


Администраторам рекомендуется срочно установить обновления, которые ещё на прошлой неделе были подготовлены дистрибутивами (Debian, Ubuntu, openSUSE, Arch Linux, Fedora, EPEL для RHEL/CentOS). В случае наличия в системе поверженной уязвимости версии Exim (с 4.87 по 4.91 включительно) необходимо удостовериться, что система уже не скомпрометирована, проверив crontab на предмет подозрительных вызовов и убедиться в остутствии дополнительных ключей в каталоге /root/.ssh. Об атаке также может свидетельствовать наличие в логе межсетевого экрана активности с хостов an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io и an7kmd2wp4xo7hpr.onion.sh, которые используются для в процессе загрузки вредоносного ПО.

Первые попытки атаки на серверы Exim зафиксированы 9 июня. К 13 июня атака приняла массовый характер. После эксплуатации уязвимости через шлюзы tor2web со скрытого сервиса Tor (an7kmd2wp4xo7hpr) загружается скрипт, который проверяет наличие OpenSSH (если нет устанавливает), меняет его настройки (разрешает вход с root и аутентификацию по ключам) и устанавливает для пользователя root RSA-ключ, предоставляющий привилегированный доступ в систему через SSH.

После настройки бэкдора в систему устанавливается сканер портов для выявления других уязвимых серверов. Также осуществляется поиск в системе уже имеющихся систем майнинга, которые удаляются в случае выявления. На последнем этапе загружается и прописывается в crontab собственный майнер. Майнер загружается под видом ico-файла (на деле является zip-архивом с паролем "no-password"), в котором упакован исполняемый файл в формате ELF для Linux с Glibc 2.7+.