Автор Тема: Все новости о вирусах и антивирусах  (Прочитано 30229 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 16727
  • -> Вас поблагодарили: 25065
  • Сообщений: 12343
  • Респект: +1632/-0
Все новости о вирусах и антивирусах
« Ответ #375 : 21 Ноябрь 2019, 19:30:22 »
Злоумышленники перехитрили сами себя

Исследователи компании Trustwave сообщили о массированной вредоносной спам-кампании, в ходе которой злоумышленники под видом обновления операционной системы Windows пытаются распространять зловред-шифровальщик Cyborg. Момент для кампании выбран вполне удачно: с января Microsoft прекращает поддержку ОС Windows 7, так что многим консервативным пользователям придется переходить на более новые версии операционной системы. На это и рассчитывают организаторы атаки, снабжая свои сообщения заголовком Critical Microsoft Windows Update. В действительности под видом обновления ОС скрывается шифровальщик Cyborg, пользователям следует игнорировать подобные сообщения.

Впрочем, хорошая новость состоит в том, что атака в любом случае провалилась. Исполняемый файл-загрузчик Cyborg киберпреступники замаскировали под файл изображения JPEG. Сделано это, вероятно, чтобы избежать обнаружения защитными решениями. Однако хакеры не учли, что подобные файлы в Windows автоматически загружаются для просмотра в Photo viewer. При этом программа всего лишь выдает сообщение об ошибке файла – и запуска загрузки не происходит. Вредоносные функции будут активированы лишь при запуске файла в командной строке с уровнем привилегий администратора, но трудно представить, что пользователь пойдет на такие ухищрения. Специалисты Trustwave признаются, что и сами не понимают, почему организаторы атаки выбрали столь странный способ распространения вредоносного файла. Теоретически можно предположить, что загрузчик должен запускаться какой-то другой вредоносной программой, уже установленной на пользовательском устройстве. Однако гораздо более вероятно, что хакеры просто продемонстрировали низкий уровень технической осведомленности и, стараясь обмануть защитные решения, в конечном итоге обманули сами себя.

Оффлайн student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 16727
  • -> Вас поблагодарили: 25065
  • Сообщений: 12343
  • Респект: +1632/-0
Все новости о вирусах и антивирусах
« Ответ #376 : 01 Декабрь 2019, 20:06:09 »
Ryuk разбушевался: две крупных атаки за два дня

Крупная испанская компания Prosegur, работающая в сфере информационной безопасности, вынуждена была накануне отключить свою телекоммуникационную платформу. Причиной стала хакерская атака, инфицировавшая сети Prosegur вредоносным ПО. Чтобы избежать его распространения, администрация компании заблокировала доступ всех своих клиентов к сетевым ресурсам Prosegur, а ее сотрудники в офисах по всей Европе были отправлены по домам. Испанские СМИ сообщили, что сети Prosegur оказались инфицированы зловредом-шифровальщиком Ryuk, позже эту информацию подтвердили и представители самой компании. Ни о возможной сумме выкупа, ни о том, намерена ли компания вести переговоры с хакерами, в настоящее время ничего не известно.

Это уже вторая резонансная атака Ryuk за два дня. Днем ранее стало известно, что зловред инфицировал сети американской компании Virtual Care Provider Inc., которая обеспечивает хранение данных и доступ в интернет множеству медицинских учреждений в США. В результате более 100 домов престарелых лишились доступа к своим файлам, включая истории болезней и рецепты на приобретение медикаментов, жизненно необходимых для пациентов. За предоставление ключа для расшифровки файлов злоумышленники потребовали колоссальную сумму в 14 миллионов долларов.

Оффлайн student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 16727
  • -> Вас поблагодарили: 25065
  • Сообщений: 12343
  • Респект: +1632/-0
Все новости о вирусах и антивирусах
« Ответ #377 : 04 Декабрь 2019, 16:25:44 »
В каталоге Python-пакетов PyPI выявлены две вредоносные библиотеки
04.12.2019 10:07


В каталоге Python-пакетов PyPI (Python Package Index) обнаружены вредоносные пакеты "python3-dateutil" и "jeIlyfish", которые были загружены одним автором olgired2017 и маскировались под популярные пакеты "dateutil" и "jellyfish" (отличается использованием символа "I" (i) вместо "l" (L) в названии). После установки указанных пакетов на сервер злоумышленника отправлялись найденные в системе ключи шифрования и конфиденциальные данные пользователя. В настоящее время проблемные пакеты уже удалены из каталога PyPI.

Непосредственно вредоносный код присутствовал в пакете "jeIlyfish", а пакет "python3-dateutil" использовал его в качестве зависимости. Названия были выбраны из расчёта на невнимательных пользователей, допускающих опечатки при поиске (тайпсквоттинг). Вредоносный пакет "jeIlyfish" был загружен около года назад — 11 декабря 2018 года и оставался незамеченным. Пакет "python3-dateutil" был загружен 29 ноября 2019 года и через несколько дней вызвал подозрение у одного из разработчиков. Информация о числе установок вредоносных пакетов не приводится.

Пакет jellyfish включал в себя код, загружающий список хэшей из внешнего репозитория на базе GitLab. Разбор логики работы с этими хэшами показал, что они содержат скрипт, закодированный при помощи функции base64 и запускаемый после декодировки. Скрипт находил в системе ключи SSH и GPG, а также некоторые типы файлов из домашнего каталога и учётные данные для проектов PyCharm, после чего отправлял их на внешний сервер, запущенный в облачной инфраструктуре DigitalOcean.

Оффлайн student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 16727
  • -> Вас поблагодарили: 25065
  • Сообщений: 12343
  • Респект: +1632/-0
Все новости о вирусах и антивирусах
« Ответ #378 : 14 Декабрь 2019, 20:27:12 »
Участник «русской хакерской группы» приговорен к 6 годам тюрьмы в Великобритании

25-летний студент Зейн Кейзер из английского графства ЭсКЕКС приговорен к 6 годам тюрьмы по обвинениям в компьютерном взломе и мошенничестве, шантаже и отмывании денежных средств, полученных незаконным путем. По версии обвинения, Зейн на протяжении 6 лет был участником киберпреступной группировки Lurk, «прославившейся» атаками вредоносного ПО Reveton. Этот зловред был одним из «пионеров» эпохи шифровальщиков. Его атаки выдавались за блокировку пользовательских устройств правоохранительными органами (в частности, ФБР США), якобы наложенную за несуществующие правонарушения – чаще всего в этом качестве фигурировала причастность к распространению  задорнографических материалов.

Согласно оценкам следствия, за свою хакерскую карьеру Зейн Кейзер заработал порядка 700 тысяч фунтов. Не имея официальных источников дохода, он жил на широкую ногу, приобретая дорогие вещи, останавливаясь в роскошных отелях, участвуя в азартных играх с очень высокими ставками. Впервые он был арестован в 2014 году, однако вскоре отпущен на свободу из-за недостаточности улик. Но следователи не выпустили его из поля зрения и не прекратили работу. В 2017 Кейзер был арестован повторно – после того, как следствие смогло обнаружить принадлежащие ему криптовалютные счета с немалыми суммами. В результате хакер признал свою вину по ряду предъявленных обвинений. Помимо тюремного срока суд обязал его выплатить компенсацию в сумме 270 тысяч фунтов стерлингов, а также продать в счет компенсации принадлежащие ему часы Rolex (ориентировочной стоимостью в 5 тысяч фунтов).

В этой истории несколько удивляет то, что зарубежные СМИ продолжают называть хакерскую группировку Lurk российской. Действительно, в 2016 году в ходе совместной операции ФСБ и МВД в России были задержаны около 50 участников этой группы. Но очевидно, что вместе с россиянами в атаках Reveton участвовали и жители других стран. Помимо Зейна Кейзера, можно вспомнить, например, бывшего инженера Microsoft Реймонда Одиджи Уадиале, приговоренного в прошлом году в США к 18 месяцам тюрьмы именно за распространение шифровальщика Reveton. Поэтому, вероятнее, было бы справедливее считать хакерскую группу международной.

Оффлайн student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 16727
  • -> Вас поблагодарили: 25065
  • Сообщений: 12343
  • Респект: +1632/-0
Все новости о вирусах и антивирусах
« Ответ #379 : 17 Январь 2020, 17:50:42 »
Эксперты предупредили о новом виде фишинговых атак
08:40 / 17 Января, 2020

Преступники изучают почтовые переписки жертв, чтобы обманом заставить их перейти на вредоносные сайты.

Киберпреступники начали использовать новую технику фишинга, чтобы обманом заставить сотрудников компаний устанавливать вредоносные программы, переводить деньги или передавать свои учетные данные.



Злоумышленники проникают в бизнес-каналы электронной почты, используя ранее скомпрометированные учетные данные (приобретенные на подпольных форумах, украденные или полученные путем брутфорса), и присоединяются к диалогу под видом одной из групп.

«Как только злоумышленники получают доступ к учетной записи, они начинают изучать переписки своих жертв и искать информацию о любых сделках, которые можно использовать в своих целях», — пояснили эксперты из компании Barracuda Networks.

Идея заключается в том, что злоумышленник эксплуатирует реальную личность, от ее имени осуществляя фишинговые атаки, которые жертва будет расценивать как сообщения, исходящие от доверенного источника.

Как отметили специалисты, киберпреступники активно используют данную технику атаки для компрометации компаний. В ходе анализа 500 тыс. электронных писем эксперты обнаружили, что перехват переписок вырос более чем на 400% в период с июля по ноябрь прошлого года. В большинстве случаев злоумышленники не используют скомпрометированную учетную запись для отправки фишингового сообщения, поскольку владелец аккаунта может обнаружить среди исходящих почтовых сообщений подозрительное письмо.

Вместо этого преступники используют домены, отличающиеся от оригинальных и доверенных URL-адресов одним или двумя символами. Преступники полагаются на то, что жертва не заметит изменения в домене и не заподозрит в обмане коллегу, клиента или партнера. Эксперты сообщили о случаях, когда злоумышленники неделями общались со своими предполагаемыми жертвами, чтобы обеспечить высокий уровень доверия.

Оффлайн student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 16727
  • -> Вас поблагодарили: 25065
  • Сообщений: 12343
  • Респект: +1632/-0
Все новости о вирусах и антивирусах
« Ответ #380 : 21 Февраль 2020, 10:34:19 »
Антивирус Microsoft появится на iOS и Android

Мобильное приложение Microsoft Defender сейчас находится в разработке, компания обещает выпустить его к концу года

К концу этого года Microsoft планирует выпустить антивирус Defender для мобильных устройств, работающих под управлением операционных систем Android и iOS. На текущий момент софтверный гигант разрабатывает соответствующие приложения, которые должны обеспечить защиту гаджетов от вирусов и прочего вредоносного ПО. Microsoft пока не раскрывает подробности относительно возможностей мобильного антивируса, более детальная информация будет представлена на международной конференции по информационной безопасности, которая пройдёт в Сан-Франциско на следующей неделе.

Год назад Microsoft запустила публичное тестирование своего антивируса Defender на macOS, в результате чего пришлось переименовать свою платформу в Microsoft Defender Advanced Threat Protection (ATP). Антивирусный клиент для Mac обеспечивает полную защиту от различных видов угроз, а также предоставляет возможность быстрого или полного сканирования. Мобильные клиенты Microsoft Defender, скорее всего, будут сильно отличаться от настольных версий, особенно учитывая тот факт, что iOS не позволяет приложениям осуществлять сканирование на iPhone или iPad. На Android проще, здесь уже существуют десятки антивирусных приложений, и Microsoft попытается занять достойное место среди них.

Одной из главных задач Defender для мобильных систем станет предотвращение фишинга. Опять же, как Microsoft удастся это провернуть на iOS, пока не ясно. Есть предположение, что антивирус будет доступен только корпоративным пользователям, поскольку оба приложения входят в состав корпоративной платформы безопасности Microsoft. Вместе с этим анонсом компания также объявила о старте тестирования Microsoft Defender для Linux.


Оффлайн student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 16727
  • -> Вас поблагодарили: 25065
  • Сообщений: 12343
  • Респект: +1632/-0
Все новости о вирусах и антивирусах
« Ответ #381 : 07 Март 2020, 21:25:05 »
Шифровальщик PwndLocker обезврежен

Исследователь компании Emsisoft Фабиан Уозар обнаружил возможность расшифровки данных, заблокированных шифровальщиком PwndLocker. Этот зловред появился сравнительно недавно, но уже успел заработать определенную «репутацию». Он используется в атаках на крупные компании и сети государственных организаций. За разблокировку зашифрованных данных операторы вредоносного ПО требуют выкуп в сумме от 175 до 660 тысяч долларов – в зависимости от объема заблокированной информации. Только за последнее время жертвами его атак стали административный округ Ласаль в штате Иллинойс (США) и сербский город Нови-Сад (известно, что в последнем случае шифровальщик заблокировал порядка 50 терабайт данных).

Изучив код PwndLocker, Уозар выявил в нем уязвимость, которая позволяет восстанавливать зашифрованные данные. Определенная сложность, правда, состоит в том, что для расшифровки требуется копия исполняемого файла PwndLocker, использованного в атаке. А киберпреступники удаляют его, запустив процесс шифрования. Однако жертвы атак могут воспользоваться инструментом Windows Shadow Explorer либо другими средствами восстановления удаленных файлов. Искомый файл может находиться в папках %Temp%, C:\User или %Appdata%. Его копию следует направить по электронной почте в компанию Emsisoft, и ее специалисты окажут помощь в бесплатном восстановлении зашифрованных данных.

Оффлайн student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 16727
  • -> Вас поблагодарили: 25065
  • Сообщений: 12343
  • Респект: +1632/-0
Все новости о вирусах и антивирусах
« Ответ #382 : 16 Март 2020, 20:42:11 »
Будьте осторожны: этот трекер коронавируса на Android блокирует смартфон и вымогает деньги

Как и другие вирусы-вымогатели, CovidLock за разблокировку устройства требует определённую сумму в биткоинах

Весь мир практически парализован пандемией коронавирусной инфекции Covid-19, и некоторые люди всячески пытаются извлечь выгоду из паники, которая с каждым днём нарастает. В придачу к завышенным ценам и дефициту самых необходимых вещей некоторые злоумышленники хотят заработать на доверчивых пользователях смартфонов. Специалисты компании DomainTools, которая специализируется на информационной безопасности, сообщили об обнаружении опасного приложения для Android, выдающего себя за трекер коронавируса.

В приложении прячется вирус-вымогатель CovidLock, который, используя уязвимости в безопасности системы, блокирует экран устройства и требует деньги. Вредоносное приложение распространяется посредством сторонних ресурсов, один из таких имеет домен coronavirusapp. Вымогатель выполняет атаку, активируя блокировку мобильного устройства. В Android Nougat и выше атака успешно осуществляется только в том случае, если пользователь не установил пароль блокировки на экране. Наиболее уязвимыми остаются старые смартфоны и планшеты.

Как только CovidLock попадает на устройство, на экран выводится баннер с требованием заплатить 100 долларов в биткоинах в течение 48 часов. Злоумышленники грозятся удалить контакты, фотографии и прочие файлы, хранящиеся на смартфоне. Кроме того, они утверждают, что располагают учётными записями пользователя, знают его местоположение и могут удалённо выполнить очистку данных на устройстве, если он не заплатит.

Будьте осторожны: этот трекер коронавируса на Android блокирует смартфон и вымогает деньги
К счастью, специалисты DomainTools создали ключи дешифрования для вымогателя, которые в ближайшее время будут опубликованы. Компания настойчиво рекомендует не загружать подобные приложения из непроверенных источников.

P. S. На Reddit уже подобрали пароль к блокировщику — 4865083501.

Оффлайн yzek65

  • Модератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 905
  • -> Вас поблагодарили: 3959
  • Сообщений: 1385
  • Респект: +277/-0
Все новости о вирусах и антивирусах
« Ответ #383 : 25 Март 2020, 21:51:16 »
Выявлена неизвестная ранее вредоносная кампания Wildpressure

Эксперты глобального центра исследований и анализа угроз «Лаборатории Касперского» (GReAT) обнаружили целевую кампанию по распространению троянца Milum. Он позволяет получить дистанционное управление устройствами в различных компаниях, в том числе промышленных. Эта кампания, получившая название Wildpressure, все еще активна. В данный момент большинство ее жертв находится на Ближнем Востоке.

Спойлер   :
На данный момент эксперты смогли получить несколько почти идентичных образцов троянца Milum, которые не имеют общего кода ни с одной известной ранее APT-кампанией. Все они обладают возможностями для удаленного управления устройствами. В частности, троянец имеет следующие функции: загружать и выполнять команды от своего оператора; собирать различную информацию с атакованной машины и отправлять ее на командно-контрольный сервер; обновляться до более новой версии.

Исследователи GReAT стали первыми, кто зафиксировал деятельность троянца Milum в августе 2019 г. Исследование показало, что первые три образца были созданы еще в марте 2019 г. Используя имеющуюся телеметрию, эксперты сделали предположение, что большинство целей этой вредоносной кампании находятся на Ближнем Востоке.

Пока многое в отношении Wildpressure остается неясным, в том числе точный механизм распространения троянца Milum.

Оффлайн student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 16727
  • -> Вас поблагодарили: 25065
  • Сообщений: 12343
  • Респект: +1632/-0
Все новости о вирусах и антивирусах
« Ответ #384 : 26 Май 2020, 21:55:53 »
Discord внезапно начал красть пароли игроков
26.05.2020, Вт, 09:31,

Новая версия троянца AnarchyGrabber, распространяемая через геймерский мессенджер Discord, позволяет красть пользовательские пароли и токены сессий, а также атаковать френдов жертвы.

Новый троянец

Спойлер   :
Через геймерский мессенджер Discord распространяется видоизмененный троянец AnarchyGrabber, крадущий пароли и пользовательские токены, а также распространяющийся дальше по контактному листу. Как пишет издание Bleeping Computer, AnarchyGrabber — популярный троянец, который раздается бесплатно на хакерских форумах.

На Youtube есть немало видео, где описывается, как с помощью этого троянца красть токены пользовательских сессий в Discord. В описаниях под видео встречаются ссылки на этот вредонос. Злоумышленники рассылают его потенциальным жертвам через Discord под видом читов к играм, хакерских инструментов или пиратского ПО.

Сразу после установки в систему жертвы троянец модифицирует файлы JavaScript, относящиеся к клиенту Discord, благодаря чему становится возможным красть токены сессий. Эти токены позволяют посторонним заходить в Discord под именем жертвы атаки.

На днях была выпущена новая модификация вредоноса, способная перехватывать пользовательские пароли в нешифрованном виде, а также заставлять зараженный клиент Discord рассылать копии вредоноса по списку френдов пользователя. Перехваченные пароли потом могут быть использованы для атак на аккаунты в других ресурсах — пользователи довольно часто используют очень похожие пароли в нескольких местах сразу.

JavaScript и никаких процессов

Вредонос видоизменяет файл %AppData%\Discord\[version]\modules\discord_desktop_core\index.js так, чтобы тот подгружал дополнительные файлы JavaScript — в частности inject.js и затем discordmod.js. Эти скрипты разлогинивают пользователя и пытаются отключить двухфакторную авторизацию в клиенте после повторного входа пользователя в свой аккаунт. Далее используется система оповещения Webhook для отправки почтового адреса, IP-адреса, логина, пользовательского токена и пароля в канал Discord под управлением злоумышленников. Плюс к этом модифицированный клиент Discord на компьютере жертвы будет выполнять поступающие команды злоумышленников, в том числе, например, на рассылку всем контактам пользователя копии вредоносов — либо все того же троянца, либо какой-то другой программы.


Злоумышленники превращают клиент Discord во вредоносную программу

Пользователи, скорее всего, даже не поймут, что они заражены. Вредоносный процесс как таковой отсутствует, антивирусы, скорее всего, не среагируют. Проверить, заражен ли пользователь Discord, можно только вручную. Для этого надо открыть файл index.js (%AppData%\Discord\[version]\modules\discord_desktop_core\index.js) и удостовериться, что строка module.exports выглядит следующим образом: module.exports = require('./core.asar').

Если это не так, то клиент Discord скомпрометирован. Проблему относительно легко можно решить путем переустановки клиента Discord, говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. «А чтобы предохраниться от дальнейших случаев заражения, не следует открывать никаких файлов, пересланных через Discord, не удостоверившись в источнике через другие каналы связи (по телефону или электронной почте)», — отмечает она.