Компьютерный раздел > Антивирусы, ключи
Новости от «Касперский»
24022022:
«Лаборатория Касперского» запатентовала технологию для борьбы с эксплойтами под Adobe Flash Player
«Лаборатория Касперского» получила патент на технологию, которая выявляет эксплойты под Adobe Flash Player, часто успешно скрываемые с помощью переупаковки. Запатентованная технология включена в решения Kaspersky Internet Security для всех устройств и Kaspersky Total Security для всех устройств, сообщили CNews в «Лаборатория Касперского».
Новая разработка позволяет детектировать вредоносные файлы вне зависимости от того, каким образом они пытаются этому противостоять, что облегчает процесс обнаружения зловредов в том случае, когда традиционные методы, такие как сигнатурный или эвристический анализ, не работают. Это происходит, например, когда эксплойт переупаковывается для каждого пользователя, то есть, когда для каждой новой жертвы применяется уникальный вредоносный файл, пояснили в компании.
Эксперты «Лаборатории Касперского» создали универсальную свертку, представляющую собой контрольную сумму от байт-кода анализируемых вредоносных файлов, с помощью которой можно выявить сразу целые их группы. На данный момент она работает для обнаружения разных видов вредоносного ПО, использующего стековые виртуальные машины: не только эксплойтов под Adobe Flash Player, написанных на ActionScript, но и зловредов, написанных на .NET.
«Подобного рода свертки, покрывающие не отдельные файлы, а группы файлов, облегчают обнаружение эксплойтов, потому что легко встраиваются в системы автоматического распознавания и позволяют детектировать множество объектов за один раз. В будущем мы, возможно, сделаем такие свертки для других типов вредоносных файлов, использующих стековые виртуальные машины», — рассказал Александр Лискин, руководитель группы эвристического детектирования «Лаборатории Касперского» и один из авторов технологии.
«Применение этих свертков позволило достичь потрясающих результатов в области обнаружения эксплойтов под Adobe Flash Player, количество которых резко выросло за последние годы. Также благодаря внедрению данной технологии сейчас запускается отдельный сервис автоматического обнаружения таких зловредов в рамках нашей системы автодетектирования вредоносного ПО», — добавил Антон Иванов, старший антивирусный аналитик «Лаборатории Касперского» и соавтор технологии.
24022022:
Кибершпионаж «на готовеньком»
Специалисты «Лаборатории Касперского» зафиксировали волну целевых атак по миру, основным инструментом которых стали фишинговые письма с вложенной в них известной коммерческой шпионской программой HawkEye. Цель кампании кибершпионажа, проходившей в основном в июне 2016 года и получившей название Operation Ghoul, заключалась в краже корпоративных данных, имеющих ценность на черном рынке. От атак пострадали более 130 организаций из 30 стран, в том числе из России. Адресатами вредоносных рассылок в основном являлись топ-менеджеры и менеджеры среднего звена. Они получали письма, которые выглядели как платежные извещения с вложенным документом от системы SWIFT, в действительности же содержали вредоносное ПО, основу которого составляла шпионская программа, открыто продаваемая в анонимной сети Darkweb.
Зловред позволяет собирать и отправлять на подконтрольные злоумышленникам серверы интересующие их данные с компьютеров жертв, в том числе информацию о нажатых клавишах, данные из буферов обмена, логины и пароли для подключения к FTP-серверу, учетные данные из браузеров, мессенджеров (Pattalk, Google Talk, AIM), почтовых клиентов (Outlook, Windows Live Mail), а также информацию об установленных приложениях (Microsoft Office).
В списке жертв Operation Ghoul - преимущественно промышленные и инженерно-строительные организации, но также есть и судоходные, фармацевтические, производственные, торговые предприятия и образовательные учреждения. В «Лаборатории Касперского» предполагают, что за атаками стоит кибергруппировка, на счету которой множество других операций и которая до сих пор активна. Эксперты компании следят за деятельностью этой группы с марта 2015 года.
«Кампания Operation Ghoul оказалась весьма эффективной, несмотря на то что для ее проведения использовались довольно простые инструменты. Мы рекомендуем всем организациям быть настороже, поскольку целью подобных атак может быть любая из них», — предупреждает Мохаммад Амин Хасбини, антивирусный эксперт «Лаборатории Касперского».
24022022:
Чем еще зарабатывали создатели Lurk
Продолжается расследование деятельности преступной кибергруппировки Lurk, участники которой были задержаны при помощи «Лаборатории Касперского» в июне текущего года по подозрению в хищении почти 3 миллиардов рублей со счетов пользователей в России. Выяснилось, что прибыль киберпреступникам приносила не только кража денег с использованием хитроумного банковского троянца, но и сдача в аренду другого вредоносного продукта — набора эксплойтов Angler. Резкое падение числа случаев атак Angler, совпавшее с арестом участников Lurk, заставило многих экспертов пржить, что кибергруппировка имеет непосредственное отношение и к созданию и распространению набора эксплойтов. Теперь эти догадки полностью подтвердились.
Спойлер : В течение нескольких лет Angler был одним из самых мощных наборов эксплойтов для уязвимостей в популярном ПО, который позволял скрытно устанавливать на компьютеры жертв опасные вредоносные программы. Киберпреступники по всему миру активно использовали его для внедрения самых разных зловредов: от рекламного ПО до банковских троянцев и программ-вымогателей. В частности, именно с помощью Angler распространялись шифровальщики CryptXXX и TeslaCrypt. Как выяснилось, изначально этот набор эксплойтов создавался исключительно для того, чтобы обеспечить эффективное и надежное распространение банковского троянца Lurk, но в 2013 году его владельцы стали предлагать Angler в аренду на подпольных форумах.
едполо «Вероятно, решение продавать доступ к этому инструменту другим злоумышленникам было обусловлено необходимостью окупать высокие затраты авторов Lurk на огромную сетевую инфраструктуру и штат сотрудников. Основной «бизнес» кибергруппировки, связанный с кражей денег через системы дистанционного банковского обслуживания, стал приносить меньший доход, чем раньше, благодаря внедрению в финансовых организациях дополнительных мер безопасности, и преступники решили расширить поле деятельности. Набор эксплойтов обрел огромную популярность среди злоумышленников: если банковский троянец Lurk представлял угрозу только для российских организаций, то Angler использовали в кибератаках по всему миру», — рассказал руководитель отдела расследований компьютерных инцидентов «Лаборатории Касперского» Руслан Стоянов.
24022022:
Троянец Gugi атакует Россию
Специалисты «Лаборатории Касперского» обнаружили мобильный банковский троянец Trojan-Banker.AndroidOS.Gugi.c, который умеет обходить встроенную защиту от фишинга и программ-вымогателей в ОС Android 6. Речь идет о таких обязательных механизмах обеспечения безопасности, как запрос приложением разрешения на отображение своего окна поверх других, а также на совершение звонков или отправление SMS. Зловред вынуждает пользователя предоставить ему все необходимые права, в противном же случае полностью блокирует устройство. Основную угрозу троянец Gugi представляет для пользователей в России – 93% атак были зафиксированы в нашей стране.
Цель Gugi – получить конфиденциальную финансовую информацию пользователей, например, учетные данные для систем мобильного банкинга или данные банковских карт. Для этого троянец перекрывает окно банковского приложения фишинговой версией, и все данные, которые пользователь вводит на поддельной странице, отправляются прямиком к злоумышленникам. С этой же целью Gugi перекрывает и окно официального магазина приложений Google Play. Чаще всего троянец попадает на устройство через SMS-спам с вредоносными ссылками. Сразу же после загрузки зловред просит пользователя предоставить ему разрешение на отображение своего окна поверх других. После этого вредоносная программа требует права на совершение все более опасных действий. При этом Gugi не оставляет пользователю никакого выбора – жертва троянца может только согласиться на все условия, нажимая единственную доступную кнопку «Разрешить».
Зловред Trojan-Banker.AndroidOS.Gugi.c является новой модификаций семейства банковских троянцев Gugi, известного с декабря 2015 года. Версия, умеющая обходить встроенную защиту Android, была впервые обнаружена в июне 2016 года. С тех пор число жертв троянца увеличилось почти в 20 раз и продолжает интенсивно расти. «Информационная безопасность – это бесконечная гонка. Разработчики программного обеспечения, в частности операционных систем, постоянно совершенствуют свои программы, стремясь сделать их максимально защищенными. Однако киберпреступники проявляют не меньшее рвение, пытаясь найти способы обхода новой защиты. Ну а эксперты по кибербезопасности, в свою очередь, делают все возможное, чтобы помешать злоумышленникам осуществить свои недобрые намерения. Обнаружение новой модификации банковского троянца Gugi как раз иллюстрирует всю эту ситуацию», – рассказал Роман Унучек, антивирусный эксперт «Лаборатории Касперского».
24022022:
Киберпреступники осваивают биометрию
«Лаборатория Касперского» выяснила, что не только финансовые организации, но и мошенники готовятся к внедрению в банкоматы решений, основанных на распознавании биометрических данных. Банки считают такие технологии весьма перспективными и способными дополнить или даже заменить существующие методы подтверждения личности, но и злоумышленники тоже уже разрабатывают инструменты для перехвата информации, позволяющей распознать человека по его индивидуальным физическим параметрам.
Спойлер : Киберпреступники давно используют для атак на банкоматы специальные устройства: скиммеры, считывающие данные с магнитной полосы и пин-код с помощью поддельной клавиатуры или веб-камеры, и их продвинутую версию — шиммеры, извлекающие информацию из чипа. Теперь же мошенники «учат» считывающие устройства снимать копии биометрических данных. «Лаборатория Касперского» обнаружила на черном рынке, по крайней мере, 12 продавцов, предлагающих скиммеры, умеющие красть данные отпечатков пальцев, и как минимум троих исследователей, которые работают над технологиями, позволяющими взломать системы распознавания рисунка вен на запястье и радужной оболочки глаза. По сведениям экспертов, в сентябре 2015 года на черном рынке уже проводилось предпродажное тестирование первых версий биометрических скиммеров. Тогда было найдено несколько ошибок, но главной проблемой оказалось использование для передачи биометрических данных GSM-модулей — они не справлялись с большими объемами информации, а значит, новые версии таких скиммеров будут использовать другие, более быстрые технологии передачи данных.
Также стало известно, что в сообществах киберпреступников активно обсуждаются вопросы разработки мобильных приложений, позволяющих маскировать человеческие лица. Такие программы помогают использовать фотографии реальных людей, размещенные в социальных сетях, для обмана системы распознавания лиц. «В отличие от паролей или пин-кодов, которые в случае взлома легко сменить, отпечатки пальцев или рисунок радужки глаза изменить невозможно. Соответственно, если биометрические данные один раз окажутся в чужих руках, их дальнейшее использование будет сопряжено с серьезным риском. Вот почему они нуждаются в исключительно надежных способах защиты. Опасность заключается еще и в том, что их вносят в современные электронные паспорта и визы, а значит, кража подобных документов приводит к тому, что в руках злоумышленника оказывается фактически вся информация, по которой может быть установлена личность человека», — объясняет Ольга Кочетова, эксперт по информационной безопасности «Лаборатории Касперского».
Навигация
Перейти к полной версии