+38 (044) 361-14-80 +38 (0482) 428-755      Пн - Пт, с 11.00 до 18.00

 Новости компьютерной безопасности

Чтв, 11 Апр 2019 13:23:00
Часть выступлений на конференции SAS 2019 посвящалась не изощренным APT-атакам, а повседневной работе исследователей.
Подробнее...

Часть выступлений на конференции SAS 2019 посвящалась не изощренным APT-атакам, а повседневной работе исследователей.

Наши эксперты Борис Ларин, Влад Столяров и Александр Лискин подготовили исследование под названием «Обнаружение многоуровневых атак нулевого дня на MS Office» (Catching multilayered zero-day attacks on MS Office). В нем речь идет в первую очередь об инструментах анализа вредоносных программ, однако оно также затрагивает тему современного ландшафта угроз для Microsoft Office.

Обращает на себя внимание тот факт, что всего за два года ландшафт угроз в целом значительно изменился. Наши эксперты сравнили распределение платформ, атакованных злоумышленниками в конце прошлого года и два года назад. То, что киберпреступники отошли от использования веб-уязвимостей и переключились на уязвимости Office, было вполне ожидаемо. Однако масштаб изменений удивил. За последние несколько месяцев доля атак через Office превысила 70% от общего количества.

С прошлого года в сферу внимания экспертов все чаще стали попадать уязвимости нулевого дня в Microsoft Office. Как правило, они начинали свою «карьеру» в какой-нибудь целевой атаке, но со временем становились публичными и в конечном счете попадали в очередной конструктор вредоносных документов. Также значительно сократилось время, за которое злоумышленники осваивают найденные уязвимости. Например, в случае с CVE-2017-11882 (первой уязвимости в редакторе уравнений, обнаруженной нашими экспертами) масштабная спам-кампания началась прямо в день публикации PoC. Аналогичная ситуация наблюдается и с другими уязвимостями — в течение буквально нескольких дней после обнародования технического отчета в даркнете появляется соответствующий эксплойт. При этом используемые уязвимости стали значительно менее сложными, так что киберпреступнику для создания рабочего эксплойта зачастую требуется лишь подробное описание.

Исследование наиболее часто эксплуатируемых уязвимостей в 2018 году показало, что авторы вредоносного ПО предпочитают работать с простыми логическими ошибками. Именно поэтому из всех уязвимостей Office на сегодняшний день эксплуатируются чаще всего CVE-2017-11882 и CVE-2018-0802 (обе связаны с редактором формул). Причина их популярности заключается в том, что вероятность успешной атаки через них очень высока, и они срабатывают в любой версии Word, выпущенной за последние 17 лет. Но самое важное — создание эксплойта для этих уязвимостей не требует особых навыков. Дело в том, что в редакторе формул не применялись механизмы защиты, которые в 2018 году кажутся обязательными.

Интересно, что все наиболее часто используемые уязвимости находятся не в самом Office, а в каком-то из связанных с ним компонентов.

Почему это до сих пор происходит?

Дело в том, что поверхность атаки на Office огромна. Множество сложных форматов файлов, интеграция с Windows, разнообразные инструменты для взаимодействия между компонентами — все это потенциальные слабые места продукта. Но самое главное — это огромное количество неверных решений, принятых, когда пакет Office только начинали разрабатывать. Сейчас таких ошибок никто бы не допустил, но из-за необходимости обратной совместимости исправить их не получится.

Только в 2018 году мы обнаружили несколько уязвимостей нулевого дня, эксплуатируемых «в дикой природе». Среди них стоит выделить CVE-2018-8174 (уязвимость удаленного выполнения кода в движке VBScript). Этот баг особенно интересен тем, что эксплойт был обнаружен в документе Word, в то время как сама уязвимость присутствовала в Internet Explorer. Более подробную информацию можно найти в нашем блоге Securelist.

Как мы обнаруживаем уязвимости?

Наши защитные решения корпоративного класса обладают мощными эвристическими средствами обнаружения угроз, распространяемых через документы MS Office. Эвристический движок знает все форматы файлов и способы маскировки информации в документах. Это первый рубеж обороны. Но когда вредоносный объект найден и объявлен опасным, мы не останавливаемся на этом. Этот объект передается на следующие уровни системы безопасности. Особенно эффективна в их анализе «песочница».

Говоря языком информационной безопасности, песочницы позволяют изолировать небезопасную среду от безопасной и наоборот, чтобы защитить систему от эксплуатации уязвимостей и предоставить возможности для анализа вредоносного кода. Наша песочница — это система обнаружения зловредов, которая запускает подозрительный объект на виртуальной машине с полноценной ОС, анализирует его поведение и выявляет вредоносную активность. Мы разработали ее несколько лет назад для работы во внутренних системах, но впоследствии она была интегрирована в продукт Kaspersky Anti-Targeted Attack Platform.

Microsoft Office — привлекательная мишень для атак, и останется ею еще долго. Злоумышленники предпочитают легкую добычу, так что уязвимости устаревших компонентов неизбежно продолжат эксплуатировать. Поэтому для защиты вашей компании мы рекомендуем использовать решения, эффективность которых подтверждается обширным списком обнаруженных CVE.

Чтв, 11 Апр 2019 12:53:00
В марте компания «Доктор Веб» рассказала об уязвимости в мобильном браузере UC Browser, который способен скачивать новые модули со стороннего сервера.
Подробнее...

В марте компания «Доктор Веб» рассказала об уязвимости в мобильном браузере UC Browser, который способен скачивать новые модули со стороннего сервера.

В марте компания «Доктор Веб» рассказала об уязвимости в мобильном браузере UC Browser, который способен скачивать новые модули со стороннего сервера.

Злоумышленники могли использовать эту функцию для заражения Android-смартфонов и планшетов. Кроме того, вирусные аналитики поделились сведениями о троянце Flexnet, который крал деньги с банковских карт и счетов мобильных телефонов. В течение месяца в каталоге Google Play были выявлены очередные вредоносные приложения.

Мобильная угроза месяца

В конце марта компания «Доктор Веб» рассказала об уязвимости в Android-браузере UC Browser, которую обнаружили наши вирусные аналитики. Эта программа загружала дополнительные плагины в обход серверов Google Play, нарушая правила каталога этого ПО. Злоумышленники могли вмешаться в процесс скачивания плагинов и сделать так, чтобы вместо них браузер загружал и запускал вредоносные файлы. Опасности подверглись свыше 500 000 000 пользователей мобильных устройств. Детали этой уязвимости описаны в нашей вирусной библиотеке.

По данным антивирусных продуктов Dr.Web для Android

Android.Backdoor.682.origin
Android.Backdoor.2080 / Троянцы, которые выполняют команды злоумышленников и позволяют им контролировать зараженные мобильные устройства.
Android.RemoteCode.197.origin / Вредоносное приложение, предназначенное для загрузки и выполнения произвольного кода.
Android.HiddenAds.659
Android.HiddenAds.261.origin / Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

Adware.Zeus.1
Adware.Jiubang.2
Adware.Toofan.1.origin
Adware.Gexin.3.origin / Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.
Tool.VirtualApk.1.origin / Потенциально опасная программная платформа, которая позволяет приложениям запускать apk-файлы без их установки.

Android-банкеры

Злоумышленники продолжают распространять банковских троянцев, созданных на основе исходного кода вредоносного приложения Android.ZBot. Один из них — троянец Flexnet. Он крадет деньги с банковских карт, а также может оплачивать различные сервисы, используя счета мобильных телефонов жертв. Например, с помощью этого троянца киберпреступники способны пополнять баланс игр, оплачивать услуги хостинг-провайдеров и переводить средства на собственные мобильные телефоны. Подробнее о банкере Flexnet рассказано в новостной публикации на нашем сайте.

Угрозы в Google Play

В марте в каталоге Google Play вновь были обнаружены различные вредоносные программы. Среди них — троянцы Android.FakeApp.152 и Android.FakeApp.162, которые загружают мошеннические сайты. На них пользователям за вознаграждение предлагается пройти опросы. Для получения денег потенциальным жертвам якобы необходимо выполнить некий проверочный платеж. На самом деле никакой проверки нет — пользователи лишь переводят средства мошенникам и не получают обещанную награду.

Кроме того, вирусные аналитики выявили очередных троянцев семейства Android.HiddenAds, например Android.HiddenAds.1133, Android.HiddenAds.1134, Android.HiddenAds.1052 и Android.HiddenAds.379.origin. Об аналогичных вредоносных программах наша компания сообщала в феврале. Эти троянцы распространяются под видом полезных приложений — фото- и видеоредакторов, фильтров для камеры, фонариков, спортивного ПО и т. п.

После установки и запуска они скрывают свои значки и начинают постоянно показывать рекламу поверх других программ и интерфейса операционной системы, мешая нормальной работе с Android-устройствами.

Пользователям Android-устройств угрожают троянцы, которые распространяются не только через вредоносные сайты, но и через официальный каталог ПО Google Play. Для защиты смартфонов и планшетов следует установить антивирусные продукты Dr.Web для Android.

Чтв, 11 Апр 2019 12:39:00
«Доктор Веб» предупреждает: хакеры используют формы подписки на рассылки от известных иностранных компаний для распространения ссылки на фишинговый сайт.
Подробнее...

«Доктор Веб» предупреждает: хакеры используют формы подписки на рассылки от известных иностранных компаний для распространения ссылки на фишинговый сайт.

Письма, отправленные с официальных почтовых адресов компаний, вызывают доверие пользователей и проходят спам-фильтры почтовых сервисов, что позволяет хакерам увеличить число потенциальных жертв.

На электронную почту российских пользователей начали поступать фишинговые письма от известных иностранных компаний, таких как Audi, Austrian Airlines и S-Bahn Berlin. Письма отправляются с официальных почтовых адресов и, на первый взгляд, не вызывают подозрений. Заголовок и само письмо написаны на английском или немецком языке, но среди текста выделяются слова на русском: «ВАМ ДЕНЬГИ».

В начале письма размещена ссылка, при переходе по которой пользователь перенаправляется на страницу на сайте знакомств. Затем, за счет вредоносного кода, встроенного в страницу-заглушку сайта, через цепочку редиректов попадает на фишинговый ресурс.

Там пользователь видит сообщение о том, что его электронный почтовый адрес выиграл возможность участвовать в международной акции «Счастливый e-mail». После чего предлагается пройти опрос и получить денежное вознаграждение в размере от 10 до 3000 EUR. Для убедительности на сайт добавлены отзывы людей, якобы уже получивших деньги, в том числе и отзывы недовольных низкой суммой выигрыша.

После нескольких заданных вопросов отображается информация об акции, сумма выигрыша и условия вывода средств. Одно из условий – необходимость оплатить комиссию за перевод валюты в рубли.

Для оплаты комиссии пользователя переводят на страницу, где предлагается ввести данные банковской карты. После ввода данных пользователя просят указать также проверочный код из SMS. Когда все указанные действия выполнены, со счета пользователя списываются средства, а данные банковской карты остаются у владельцев мошеннического сайта. При этом никакого выигрыша жертва не получает.

Интересно то, каким образом хакеры отправляют фишинговые письма. Для этого используются официальные формы подписки на рассылки компаний. Благодаря тому, что в полях ввода текста этих форм можно использовать различные символы, хакеры получают возможность отправлять от лица крупных компаний письма с вредоносными ссылками. Для этого в графе «Имя» указывается «ВАМ ДЕНЬГИ», а вместо фамилии указывается ссылка на фишинговый сайт. В результате на e-mail жертвы приходит письмо для подтверждения подписки на рассылку с официальной почты компании.

Специалисты компании «Доктор Веб» рекомендуют пользователям быть осторожными при переходе по подобным ссылкам и не указывать свои личные данные на непроверенных ресурсах.

Чтв, 11 Апр 2019 12:27:00
Исследователи из лаборатории «Доктор Веб» обнаружили, что официальный сайт популярной программы для обработки видео и звука VSDC был скомпрометирован.
Подробнее...

Исследователи из лаборатории «Доктор Веб» обнаружили, что официальный сайт популярной программы для обработки видео и звука VSDC был скомпрометирован.

Хакеры заменили ссылку на скачивание, и вместе с редактором пользователи загружали опасного банковского троянца Win32.Bolik.2, а также стилера Trojan.PWS.Stealer (KPOT Stealer).

VSDC – популярное бесплатное ПО для обработки видео и звука. Согласно данным SimilarWeb, ежемесячная посещаемость официального сайта, с которого можно загрузить этот редактор, составляет около 1.3 миллиона пользователей. Однако меры безопасности, предпринимаемые владельцами ресурса, часто оказываются недостаточными для сайта с такой посещаемостью, что подвергает риску множество пользователей.

В прошлом году неизвестные хакеры получили доступ к административной части сайта VSDC и заменили ссылки на скачивание файлов. Вместо редактора видео пользователи скачивали JavaScript-файл, который затем загружал AZORult Stealer, X-Key Keylogger и DarkVNC backdoor. Компания VSDC сообщила о закрытии уязвимости, но не так давно нам стало известно о других случаях заражения.

По данным наших специалистов, с момента последнего заражения компьютер разработчика VSDC был скомпрометирован еще несколько раз. Один из взломов привел к компрометации сайта в период с 21.02.2019 по 23.03.2019. На этот раз хакеры использовали другой метод распространения вредоносного ПО: на сайт VSDC они встроили вредоносный JavaScript-код. Его задача заключалась в определении геолокации посетителей сайта и замене ссылки на скачивание для пользователей из Великобритании, США, Канады и Австралии. Вместо стандартных ссылок VSDC использовались ссылки на другой скомпрометированный ресурс:

  • https://thedoctorwithin[.]com/video_editor_x64.exe
  • https://thedoctorwithin[.]com/video_editor_x32.exe
  • https://thedoctorwithin[.]com/video_converter.exe

Пользователи, загрузившие программу с этого ресурса, также скачали опасного банковского троянца – Win32.Bolik.2. Как и его аналог Win32.Bolik.1, это вредоносное ПО имеет свойства многокомпонентного полиморфного файлового вируса. Такие троянцы предназначены для выполнения веб-инжектов, перехвата трафика, кейлоггинга и похищения информации из систем «банк-клиент» различных кредитных организаций. В настоящий момент нам известно по меньшей мере о 565 случаях заражения этим троянцем через сайт videosoftdev.com. Стоит отметить, что все файлы троянца успешно определяются пока что только продуктами Dr.Web.

Кроме того, 22.03.2019 хакеры заменили Win32.Bolik.2 на другое вредоносное ПО – один из вариантов Trojan.PWS.Stealer (KPOT Stealer). Этот троянец крадет информацию из браузеров, аккаунта Microsoft, различных мессенджеров и других программ. За один день его загрузили на свои устройства 83 пользователя.

Разработчики VSDC уведомлены о компрометации сайта, и на данный момент ссылки на скачивание файлов восстановлены. Тем не менее, специалисты «Доктор Веб» рекомендуют всем пользователям продуктов VSDC проверить свои устройства с помощью нашего антивируса.

Чтв, 11 Апр 2019 12:11:00
Эксперты антивирусной компании ESET предупреждают о новой фишинговой атаке в мессенджере WhatsApp — пользователи устанавливают вредоносное расширение, якобы предназначенное для изменения цвета интерфейса.
Подробнее...

Эксперты антивирусной компании ESET предупреждают о новой фишинговой атаке в мессенджере WhatsApp — пользователи устанавливают вредоносное расширение, якобы предназначенное для изменения цвета интерфейса.

Как считает ESET, атака направлена на жителей Бразилии и испаноговорящих стран — сообщения составлены на португальском и испанском языках. Примечательно, что приложение стремится подписать пользователей на уведомления с русскоязычного ресурса.

Потенциальные жертвы получают сообщение, которое предлагает изменить зеленый цвет интерфейса WhatsApp на любой другой. Для активации пользователя вынуждают перейти по ссылке и установить вредоносное разрешение или программу.

Сообщение с предложением изменить цвет WhatsApp

В зависимости от операционной системы и устройства, которое использует жертва, загрузка программы происходит по двум сценариям.

Пользователям ПК и ноутбуков рекомендуется загрузить расширение для браузера Chrome под названием Black Theme for WhatsApp. После открытия мессенджера установленное расширение автоматически разошлет «заманчивое» предложение по списку контактов и групповым чатам.

Данное расширение до сих пор доступно в интернет-магазине Chrome. В настоящий момент число загрузок достигло почти шестнадцати тысяч.  

Расширение Black Theme for WhatsApp

У пользователей смартфонов иной сценарий заражения — они получают уведомление о необходимости поделиться ссылкой с 30 друзьями или 10 чатами, только после этого появится возможность изменить цвет.

Далее пользователь получает сообщение о необходимости скачать APK-файл под названием best_video.apk и подписаться на уведомления с русскоязычного ресурса.

Требование подписаться на уведомления

Если пользователь выполнит все инструкции, его мобильный телефон будет заражен трояном для показа рекламы, который продукты ESET NOD32 детектируют как Android/Hiddad.

Пользователь изначально не замечает присутствие вредоносного ПО — демонстрация рекламных баннеров начинается только во время использования WhatsApp.

Рекомендации ESET:

  •  игнорируйте сомнительные письма и не переходите по подозрительным ссылкам, даже если они присланы друзьями;
  • получив подобное сообщение в мессенджере, уточните у отправителя, действительно ли он его посылал — спам-рассылка могла быть сделана без его ведома;
  • загружайте и устанавливайте приложения с легальных сайтов, не используйте сомнительные ресурсы;
  • используйте антивирус с функциями антифишинга и антиспама. Например, ESET NOD32 Mobile Security или антивирусные продукты для ОС Windows.
Чтв, 04 Апр 2019 17:42:00
Платежи в интернете должны быть безопасными и удобными. Новый Яндекс.Браузер помогает хранить банковские карты, защищает их данные с помощью надёжного шифрования и упрощает покупки в онлайне. Расскажем о ключевых изменениях.
Подробнее...

Платежи в интернете должны быть безопасными и удобными. Новый Яндекс.Браузер помогает хранить банковские карты, защищает их данные с помощью надёжного шифрования и упрощает покупки в онлайне. Расскажем о ключевых изменениях.

1. Легко сохранить — удобно использовать

Чтв, 04 Апр 2019 17:30:00
Без быстрого доступа к возможностям браузера трудно добиться комфортной работы в интернете. В новом Яндекс.Браузере для Windows появилась панель быстрого доступа, которые помогает открывать закладки и недавно посещённые сайты в один клик.
Подробнее...

Без быстрого доступа к возможностям браузера трудно добиться комфортной работы в интернете. В новом Яндекс.Браузере для Windows появилась панель быстрого доступа, которые помогает открывать закладки и недавно посещённые сайты в один клик.

Без быстрого доступа к возможностям браузера трудно добиться комфортной работы в интернете. В новом Яндекс.Браузере для Windows появилась панель быстрого доступа, которые помогает открывать закладки и недавно посещённые сайты в один клик. 

Более миллиона пользователей Яндекс.Браузера для компьютеров обращаются к Алисе каждую неделю. Раньше, несмотря на тесную связь с Браузером, общение с Алисой происходило в отдельной строке на панели задач системы. Теперь Алиса и её навыки доступны в любой вкладке Яндекс.Браузера как по клику в боковой панели, так и через фразу «Слушай, Алиса» (если голосовая активация включена в настройках).

Боковая панель доступна на любой странице: достаточно навести курсор мыши на левый край окна или закрепить с помощью кнопки в верхнем левом углу (а ещё можно просто кликнуть правой кнопкой мыши). 

Панель быстрого доступа работает в Яндекс.Браузере 19.3.1 для Windows и упрощает работу с наиболее востребованными возможностями. Попробуйте и расскажите нам, какие ещё возможности Браузера вы хотели бы там видеть. 

Срд, 03 Апр 2019 17:06:00
Мы обновили раздел «Фото» в приложении Яндекс.Диска для Android.
Подробнее...

Мы обновили раздел «Фото» в приложении Яндекс.Диска для Android.

Он превратился в универсальную фотогалерею — в ней отображаются все ваши фотографии и видеозаписи: и те, которые лежат в памяти смартфона, и те, которые загружены в облако. Больше не нужно вспоминать, где что искать. Снимки из позапрошлогоднего отпуска, свежие сканы документов, видео с мартовского утренника в детском саду — всё хранится в одном приложении.

Для работы с галереей не требуется доступ в интернет. В офлайне можно просматривать фото и видео из памяти смартфона, удалять их и делиться снимками с друзьями — они получат их, как только вы снова подключитесь к сети.

Особое внимание мы уделили скорости работы. Диск составляет маленькие превью фотографий из облака. Такие превью мало весят, но в то же время по ним без труда можно понять, что изображено на снимках. А когда вы открываете ту или иную фотографию во весь экран, приложение сразу начинает загружать следующие за ней снимки, чтобы вам не приходилось долго ждать при перелистывании.

Иногда требуется найти в архиве конкретное фото: снимки собаки, горный пейзаж, скан страхового полиса, картинку с пляжем. Для поиска фотографий Диск использует разработанную в Яндексе технологию компьютерного зрения. Алгоритмы сопоставляют текст запроса и сюжет снимков, хранящихся в вашем облаке, и находят соответствия. Например, если вам понадобилась ксерокопия паспорта, Диск отыщет нужное, даже если в названии файла нет никаких подсказок.

Чтобы вам было проще сориентироваться в потоке фотографий и видеозаписей, Диск раскладывает их по годам и месяцам. Заодно приложение указывает, где они были сняты, — можно быстро восстановить в памяти географию путешествий.

Срд, 27 Мар 2019 09:49:00
На прошлой неделе жертвой малвари LockerGoga стал один из крупнейших в мире производителей алюминия, компания Norsk Hydro. Теперь эксперты пишут, что вредонос скорее похож на вайпера, а СМИ сообщают, что от атак могли пострадать две химических компании.
Подробнее...

На прошлой неделе жертвой малвари LockerGoga стал один из крупнейших в мире производителей алюминия, компания Norsk Hydro. Теперь эксперты пишут, что вредонос скорее похож на вайпера, а СМИ сообщают, что от атак могли пострадать две химических компании.

Norsk Hydro

На прошлой неделе мы писали о том, что жертвой малвари LockerGoga стал один из крупнейших в мире производителей алюминия, компания Norsk Hydro. В результате этого инцидента пострадало большинство ИТ-систем компании, а рабочие процессы в большинстве подразделений США и Европы пришлось перевести в ручной режим или приостановить вовсе.

Хотя представители Norsk Hydro описывали случившееся как настоящую катастрофу, в компании, тем не менее, приняли не решение не платить злоумышленникам выкуп и восстановить инфраструктуру из резервных копий.

Вымогательское послание LockerGoga

Напомню, что ранее мы детально рассказывали о том, как атака шифровальщика может практически парализовать работу огромной международной компании, на примере крупнейшего морского грузоперевозчика Maersk, пострадавшего от атаки NotPetya.

Теперь в отношении атаки на Norsk Hydro и работы LockerGoga стали появляться новые, небезынтересные подробности. Хотя сами представители алюминиевого гиганта не вдавались в технические подробности случившегося, ссылаясь на проводящееся расследование, в сети уже появилось множество теорий о случившемся, в том числе и от ИБ-специалистов.

Одним из исследователей, опубликовавших свой анализ инцидента, стал известный ИБ-эксперт Кевин Бомонт (Kevin Beaumont). Бомонт полагался на анализ образцов малвари, загруженных на VirusTotal, и считает, что заражение LockerGoga стало «финальным штрихом» в хорошо подготовленной атаке. По мнению специалиста, злоумышленники проникли в сеть Norsk Hydro и развивали свою атаку, пока не добрались до сервера Active Directory.

Дело в том, что у LockerGoga отсутствует такая же способность к саморазмножению, которая отличала WannaCry, NotPetya и Bad Rabbit, а значит, инфраструктура компании могла пострадать в таком масштабе лишь в том случае, если атакующие использовали Active Directory, чтобы распространить вредоноса на все рабочие станции одновременно.

Также исследователь отмечает, что LockerGoga был создан, чтобы работать очень быстро: малварь задействует все мощности и возможности CPU, чтобы шифрование данных на средней системе занимало лишь несколько минут. Кроме того, LockerGoga отключал все сетевые карты на зараженных машинах и менял пароль от локального аккаунта администратора, что существенно затрудняло восстановление пострадавших систем. Фактически это вынудило специалистов устанавливать бэкапы вручную, на каждый отдельный компьютер.

Теорию Бомонта в некотором роде подтверждает предупреждение, опубликованное NorCERT. Эксперты предостерегли другие компании об угрозе LockerGoga и возможных атаках, и тоже упомянули вектор распространения через Active Directory.

Другая теория, опубликованная аналитиками компании Cisco Talos, и вовсе гласит, что LockerGoga – это не обычный шифровальщик, авторы которого преследуют финансовую выгоду. По мнению специалистов, функциональность LockerGoga скорее схожа не с классическими шифровальщиками, а с вайперами (wiper, от английского wipe, «стирать», «удалять»). То есть деструктивной малварью, которая намеренно портит и уничтожает данные. По этой причине исследователи полагают, что атака на Norsk Hydro могла быть делом рук правительственных хакеров. Впрочем, эта теория почти не подкреплена фактами, а на мысль о том, что шифровальщик мог быть лишь прикрытием для более сложной операции, экспертов навела недавняя атака на другую норвежскую компанию: в феврале 2019 года жертвой китайской APT10 стала компания Visma, один из крупнейших в Европе поставщиков облачных технологий.

Другие жертвы?

Кроме того, похоже, Norsk Hydro может быть не единственной жертвой LockerGoga за последние недели. По данным издания Vice Motherboard, от похожих инцидентов в области информационной безопасности пострадали две крупных химических компании в США, Hexion и Momentive, производящие силиконы, смолы и так далее.

В распоряжении редакции издания оказалось внутреннее письмо, направленное сотрудникам Momentive главой компании Джеком Боссом (Jack Boss), в котором тот пишет о «глобальном ИТ-отключении» и просит бросить на разрешение проблемы все силы. Также в письме говорится о том, что данные на всех зараженных машинах, скорее всего, утеряны безвозвратно, и компания уже заказала «сотни новых компьютеров».

Вымогательское сообщение на ноутбуке сотрудника Momentive

Сравнив вымогательское сообщение, оставленное шифровальщиком в системах Hexion и Momentive с сообщением из Norsk Hydro, журналисты пришли к выводу, что компании, вероятнее всего, пострадали от одной и той же угрозы, то есть от LockerGoga.

Также журналисты отмечают, что в письме Босса были упомянуты новые почтовые ящики, которые для некоторых сотрудников завесли на новом домене momentiveco.com (вместо старого momentive.com). По данным издания, ящики на momentive.com действительно не работают, и в настоящее время попытка отправить на них письмо заканчивается ошибкой.

Представители Hexion, в свою очередь, уже обнародовали пресс-релиз, сообщающий, что компания стала жертвой некоего ИБ-инцидента и в настоящее время старается вернуться к нормальной работе. Каких-либо подробностей о случившемся в компании не раскрывают, и представители Hexion отказались от комментариев.

Напомню, что до недавнего времени и атаки на алюминиевого гиганта Norsk Hydro единственной другой подтвержденной жертвой LockerGoga считалась французская консалтинговая компания Altran, которую шифровальщик атаковал в конце января 2019 года

Срд, 27 Мар 2019 07:23:00
Специалисты из Университета штата Северная Каролина проделали огромную работу и просканировали миллиарды файлов: около полугода (с 31 октября 2017 года по 20 апреля 2018 года) исследователи наблюдали за примерно 13% всех публичных репозиториев на GitHub.
Подробнее...

Специалисты из Университета штата Северная Каролина проделали огромную работу и просканировали миллиарды файлов: около полугода (с 31 октября 2017 года по 20 апреля 2018 года) исследователи наблюдали за примерно 13% всех публичных репозиториев на GitHub.

Результаты сканирования свидетельствуют о том, что прядка 100 000 репозиториев содержат случайно забытые в коде криптографические ключи и токены API, и каждый день на GitHub появляется множество новых утечек данных такого рода.

Эксперты полагались не только на GitHub Search API для поиска определенных текстовых паттернов, как делали ранее их коллеги, проводившие похожие изыскания. Вместо этого они также изучали снапшоты репозиториев в БД Google BigQuery. При этом специалисты сравнивали свои результаты с работой других инструментов для аналогичных сканирований. Например, TruffleHog оказался практически неэффективен и сумел обнаружить только 25,236% секретов из датасета GitHub Search и 29,39% из датасета BigQuery.

В репозиториях исследователи искали забытые в коде криптографические ключи и токены API. Так как не все ключи и токены имеют одинаковый формат, эксперты выделили 15 разных форматов для токенов API (15 сервисов 11 популярных компаний, 5 из которых входят в топ Alexa 50), а также 4 формата ключей.

В итоге аналитики искали ключи, связанные с сервисами Google, Amazon, Twitter, Facebook, Mailchimp, MailGun, Stripe, Twilio, Square, Braintree и Picatic. Суммарно за полгода удалось выявить 575 456 токенов и ключей, 201 642 из которых были уникальными и распределялись по 100 000 GitHub-проектов.

Чаще всего, в 93,58% случаев, токены и ключи обнаруживались в проектах с одним владельцем, а не в репозиориях, доступ к которым есть у многих разработчиков. По мнению исследователей, это означает, что большинство найденных ключей и токенов рабочие и настоящие. Дело в том, что, согласно статистике, тестовые ключи и токены чаще используются большими командами с общим тестовым окружением.

Так как специалисты наблюдали за состоянием репозиториев около полугода, они получили возможность изучить, как обстоят дела с удалением подобных утечек из кода. Так, за все время наблюдения лишь 6% владельцев репозиториев почти сразу обратили внимание, что допустили утечку и убрали из открытого доступа свои токены и ключи. Еще 12% разработчиков на это потребовалось более суток, а 19% ликвидировали утечку в течение 16 дней. К сожалению, 81% разработчиков вообще не заметили утечку и, очевидно, даже не догадываются, чем это может грозить.

В своем отчете специалисты рассказывают и о некоторых конкретных находках. К примеру, им удалось обнаружить учетные данные AWS, связанные с огромным сайтом, на который полагаются миллионы абитуриентов в США. Очевидно, учетные данные в коде забыли представители компании-подрядчика. Еще одни учетные данные от AWS оказались связаны с неким правительственным учреждением в Западной Европе. В данном случае исследователи сумели установить, кто именно забыл эту информацию в коде, — это был человек, имеющий за плечами более 10 лет опыта в разработке.

Также в файлах конфигурации OpenVPN были найдены 7280 RSA-ключей. Причем изучив эти файлы подробнее, аналитики заметили, что большинство пользователей отключали аутентификацию посредством паролей, то есть полагались исключительно на сами RSA-ключи. Фактически любой человек, имеющий к этим ключам доступ, мог проникнуть в тысячи приватных сетей.

Разумеется, специалисты уже сообщили о результатах своих изысканий разработчикам GitHub. Те заверили, что тоже следят за подобными утечками данных, и сообщили, что результаты исследователей во многом пересекаются с их собственными наблюдениями. В настоящее время эксперты все еще ведут переговоры с командой GitHub о рассылке уведомлений всем пострадавшим. Дело в том, что из-за масштабов проблемы аналитики не имеют возможности связаться со всеми владельцами проблемных репозиториев (порой сложно даже просто найти контакты). Однако разработчики GitHub работают над собственным инструментом для поиска таких же утечек, Token Scanning, и они полагают, что никаких дополнительных уведомлений рассылать не потребуется.

Срд, 27 Мар 2019 07:06:00
Недавно у магазина Google Play появилось новое требование к приложениям.
Подробнее...

Недавно у магазина Google Play появилось новое требование к приложениям.

Теперь программам нельзя запрашивать доступ к звонкам и SMS, если они в состоянии работать без него. В перспективе ограничение станет еще жестче: эти разрешения смогут требовать только приложения, через которые вы звоните или обмениваетесь текстовыми сообщениями. Пока же у правила довольно обширный список исключений.

Добросовестным разработчикам дали время до 9 марта, чтобы привести свою продукцию в соответствие с изменившейся политикой Google. Рассказываем, что в этой политике хорошего и что может пойти не так.

Слишком жадные до пользовательских данных приложения

В том, что приложения для Android нередко хотят больше прав, чем требуется для их нормальной работы, легко убедиться: достаточно внимательно читать списки разрешений, которые они запрашивают при установке. Зачем, например, интернет-магазину AliExpress потребовалась возможность записывать аудио? А данные о ваших вызовах?

Пример того, как приложение запрашивает больше прав, чем ему должно быть необходимо

Если даже крупные бренды иногда бывают замечены в злоупотреблении разрешениями, то приложения от малоизвестных и совсем неизвестных издателей — тем более. И некоторые из них вполне могут оказаться вредоносными и использовать доступ к вызовам и сообщениям для кражи ваших данных и денег. Например, имея возможность самостоятельно отправлять и получать SMS, зловред запросто подпишет вас на какую-нибудь платную услугу или перехватит сообщение от банка с временным кодом для двухфакторной аутентификации.

Google Play ставит на безопасность

Google объясняет ужесточение правил стремлением защитить данные пользователей. Логика проста: добросовестным разработчикам должно быть выгоднее отказаться от лишних прав, чем от площадки, которой пользуются миллионы людей. А вот злостным SMS-перехватчикам и телефонным шпионам никуда не деться — придется из магазина уйти. Отличная перспектива, согласитесь? К сожалению, в жизни все не так просто.

Что может пойти не так: у любого правила есть исключения

В действительности доступ к звонкам и SMS нужен для реализации множества полезных функций — например, для подтверждения аккаунта, резервного копирования, синхронизации звонков и сообщений на нескольких устройствах, блокировки спама и так далее.

Чтобы не повредить добропорядочным разработчикам и не оставить нас без полезных инструментов, нынешняя редакция правил Google Play предусматривает исключения и в таких случаях позволяет запрашивать у пользователя заветные права. Но у медали есть и другая сторона: запрет смогут обойти и злоумышленники, интегрировав в свое приложение любую функцию из «белого списка». Так что с некоторой вероятностью программы, перехватывающие звонки и SMS, из Google Play до конца не исчезнут: на смену вредоносным приложениям-фонарикам придут вредоносные блокировщики спам-звонков.

Что еще может пойти не так: не только зловреды уйдут из Google Play

Есть и еще одна потенциальная проблема: Google Play могут покинуть не только сомнительные, но и добросовестные и полезные программы. Большинство разработчиков, вероятно, справилось с изменением списка запрашиваемых разрешений. Но наверняка нашлись и те, кто сделать этого по каким-либо соображениям не смогли или не захотели и предпочли уйти из Google Play. Подобное уже случалось: например, авторов популярной многопользовательской игры Fortnite не устроили условия размещения в магазине, и они решили обойтись без него.

Уход добросовестных разработчиков чреват проблемами для пользователей. Во-первых, пропавшие из официального магазина Google приложения c большой вероятностью будут искать на просторах Интернета — а поднять в поисковой выдаче подделку гораздо проще, чем в Google Play.

Во-вторых, сами разработчики, не прошедшие новый фильтр официального магазина для Android, в основном «переселятся» на площадки с более низкими требованиями к безопасности. За разработчиками туда неизбежно потянутся пользователи, уже привыкшие к их приложениям, — а значит, аудитория таких площадок увеличится. Злоумышленникам это только на руку.

Как спокойно пережить эпоху перемен

Как видите, новое правило Google Play на первых порах неизбежно повлечет за собой изменения в расстановке сил на рынке мобильных приложений. Это значит, что в ближайшее время пользователям Android нужно быть особенно бдительными.

  • Прежде всего, не загружайте приложения из сомнительных источников. Если приложения нет в Google Play — не надо качать его с первого попавшегося в поиске сайта. Найдите официальный сайт разработчиков и загрузите его оттуда,
  • Если есть выбор, устанавливайте программы, разработанные известными компаниями с подтвержденной репутацией. А перед этим обязательно убедитесь, что искомое приложение для Android вообще существует.
  • Проверяйте, какие разрешения запрашивает интересующее вас приложение, и не давайте ему лишних прав, даже если вы точно уверены, что это не зловред. Мы уже рассказывали, как управлять тем, что позволено программам в Android 6 и 7 и в Android 8 и выше.
  • Непременно защитите систему хорошим антивирусным решением, например Kaspersky Security Cloud. Оно распознает зловред, даже если вы его пропустите.
Пнд, 25 Мар 2019 12:28:00
Набрали несколько тысяч подписчиков в Instagram? Даже больше? Поздравляем! Вы — настоящая знаменитость! Но помимо лавров, на долю известных Insta-блоггеров приходится и больший риск кражи учетной записи.
Подробнее...

Набрали несколько тысяч подписчиков в Instagram? Даже больше? Поздравляем! Вы — настоящая знаменитость! Но помимо лавров, на долю известных Insta-блоггеров приходится и больший риск кражи учетной записи.

Не так давно мошенники изобрели новую схему для угона популярных аккаунтов в Instagram. О ней мы сейчас и расскажем.

Уведомление о нарушении авторских прав

«Ваша учетная запись будет удалена без права восстановления в связи с нарушением авторских прав», — гласит электронное письмо. Выглядит оно вполне официально: тут вам и официальная «шапка», и логотип Instagram, да и адрес отправителя очень напоминает настоящий — в большинстве случаев это [email protected] или [email protected]

Согласно уведомлению, у вас остается всего 24 часа (в некоторых вариантах писем — 48 часов), чтобы подать апелляцию. В самом письме вы также найдете кнопку для обжалования претензии — Review complaint. Если ее нажать, вы попадете на крайне правдоподобно оформленную фишинговую страницу.

На этой странице рассказывается о том, как сильно сервис заботится о защите авторских прав. Но самое главное, что на странице есть ссылка, по которой якобы можно обжаловать удаление аккаунта. Чтобы все выглядело еще более натурально, на странице представлен длинный список выбора языков, однако он там только для вида — что бы вы ни выбрали, страница отображается исключительно на английском.

После перехода обжалования удаления аккаунта по ссылке вам предложат ввести данные учетной записи Instagram. Но это еще не все — затем появляется новое сообщение: «Необходимо произвести проверку подлинности вашей заявки и убедиться в том, что адрес электронной почты соответствует указанному в Instagram». Если вы согласитесь на проверку адреса, на экране появится список возможных доменов. Выбрав один из них, вы увидите предложение указать адрес электронной почты и (внезапно!) пароль от нее.

Затем вы всего на несколько секунд увидите сообщение о том, что ваш запрос обрабатывается, после чего вас перенаправят на подлинный сайт Instagram. Это еще одна уловка, которая добавляет афере правдоподобности.

Популярные пользователи Instagram уже не в первый раз становятся целью мошенников. Недавно волна краж прошла под предлогом получения синей галочки — значка верификации (Verified Badge).

Как защитить учетную запись Instagram

Как только ваши логин и пароль окажутся в руках злоумышленников, последние получат доступ к вашему профилю в Instagram и смогут изменить данные для его восстановления. Затем они могут потребовать выкуп за возвращение аккаунта или начать рассылать с него спам и прочие вредоносные материалы. Не говоря уже о том, какие «просторы» перед ними откроет пароль от вашей электронной почты.

Вот несколько советов, которые помогут обезопасить вашу учетную запись Instagram:

  • Не переходите по подозрительным ссылкам.
  • Всегда проверяйте URL в адресной строке. Если вместо Instagram.com там написано что-нибудь вроде 1stogram.com или instagram.security-settings.com — ни в коем случае не вводите никаких персональных данных и вообще поскорее закройте страницу.
  • Используйте только официальное приложение социальной сети, установленное из официального магазина приложений (например, Google Play для Android или App Store для iOS).
  • Не вводите данные аккаунта Instagram для входа в другие сервисы и приложения.
  • Включите двухфакторную аутентификацию в настройках Instagram и сервиса электронной почты.
  • Пользуйтесь надежной защитой, которая отсеет сомнительные письма и не позволит вам открыть фишинговые страницы. Например, Kaspersky Internet Security все это по плечу.
Пнд, 25 Мар 2019 12:20:00
9 марта «Лаборатория Касперского» подала на Apple жалобу в Федеральную антимонопольную службу. Заявление касается политики Apple в отношении приложений, распространяющихся через App Store.
Подробнее...

9 марта «Лаборатория Касперского» подала на Apple жалобу в Федеральную антимонопольную службу. Заявление касается политики Apple в отношении приложений, распространяющихся через App Store.

Несмотря на давнюю историю успешного сотрудничества с Apple, мы считаем, что сейчас этот шаг необходим.

В прошлом году мы получили от Apple уведомление о том, что наше приложение Kaspersky Safe Kids для iOS не удовлетворяет требованиям пункта 2.5.1 правил для приложений, размещаемых в App Store. Раньше никаких вопросов к Kaspersky Safe Kids в этом плане у Apple не было — оно около трех лет размещалось в App Store и удовлетворяло всем условиям.

Выяснилось, что, по мнению Apple, использование конфигурационных профилей противоречит политике магазина App Store, и Apple потребовала их убрать, чтобы приложение прошло ревизию и могло быть размещено в магазине. Для нас это значило исключить из Kaspersky Safe Kids две основные функции: контроль приложений и блокировку браузера Safari.

Обе функции важны. Одна позволяет родителям задавать, какие приложения у детей не получится запустить на основании возрастного рейтинга самого App Store. Другая дает возможность скрывать на устройстве все браузеры, чтобы дети могли открывать веб-страницы только через безопасный браузер, защищающий их от небезопасного контента.

Получается, что, убирая эти функции из версии Kaspersky Safe Kids для iOS, мы изрядно подводим родителей, которые надеются, что их дети могут безопасно пользоваться айфонами и айпадами, на которых установлено наше приложение. А для нас очень важно, чтобы наши клиенты от мала до велика были в полной безопасности и получали именно то, на что рассчитывали.

Почему мы считаем, что мы правы

Стоит отметить, что такое изменение в политике Apple по отношению к нашему приложению и, по сути, ко всем разработчикам ПО для родительского контроля, произошло сразу после того, как компания из Купертино представила в iOS 12 собственную функцию Screen Time. Эта функция позволяет пользователям контролировать, сколько они проводят в тех или иных приложениях или на тех или иных сайтах и задавать ограничения по времени. В сущности, это собственное приложение для родительского контроля от Apple.

С нашей точки зрения получается, что Apple использует свое положение владельца платформы, а также контролера единственного канала доставки приложений пользователям этой платформы, чтобы диктовать условия, не позволяя другим разработчикам выступать на равных. Из-за появления новых правил разработчики приложений для родительского контроля могут потерять часть пользователей и понести убытки. Но главное, что пострадают сами пользователи, которые лишатся части важных функций. Да и сам рынок программ для родительского контроля будет двигаться к монополизации и, как следствие, стагнации.

Кто-то может возразить: магазин App Store принадлежит самой Apple — и почему бы ей не задавать там свои порядки? Дело в том, что другие магазины приложений на iOS Apple использовать не разрешает, то есть получается, что она контролирует единственный канал доставки приложений от разработчиков к пользователям. Устанавливая свои правила в отношении этого канала, компания транслирует свою рыночную власть и на другие смежные рынки — например, на рынок программного обеспечения для родительского контроля, на котором она только недавно вообще начала играть.

И именно в этом распространении своего влияния за счет обладания так называемой ключевой мощностью на другие сегменты, которое приводит к ограничению и устранению конкуренции, мы видим признаки нарушения антимонопольного законодательства, заключающегося в создании барьеров и дискриминации нашего ПО.

Мы неоднократно пытались связаться с Apple, чтобы уладить эту ситуацию, но конструктивных переговоров не получилось.

Мы не одиноки

Проблема с запретом на использование конфигурационных профилей в той или иной мере коснулась не только нас, а вообще всех разработчиков приложений для родительского контроля. Впрочем, это и не единственная тема, по которой у разработчиков софта есть вопросы к Apple. Например, недавно жалобу в Еврокомиссию на Apple подала компания Spotify, которая также считает, что в Купертино используют положение монополиста для продвижения своих сервисов, не давая остальным шансов соревноваться на равных.

Другие разработчики решений для родительского контроля, также потерявшие возможность ограничивать доступ к приложениям, не в восторге от ситуации. Например, в такой же ситуации оказалась AdGuard. А, скажем, приложение для родительского контроля Kidslox все еще можно скачать из App Store, но обновления к нему не проходят ревизию Apple и поэтому не попадают в магазин приложений. И это при том, что разработчики Kidslox приняли условия Apple и попытались воссоздать функциональность своего приложения с помощью тех методов, которые им посоветовали.

В свое время мы оказались в такой же ситуации по отношению к Microsoft, но обращение к регуляторам позволило нам решить проблему и продолжить сотрудничать с компанией на условиях, которые были приемлемы для всей индустрии кибербезопасности и самих пользователей.

Мы очень рассчитываем на то, что мы также сможем и дальше взаимовыгодно сотрудничать с Apple, и для этого нам необходимо создать условия, в которых «Лаборатория Касперского» и другие компании на равных конкурируют друг с другом. Сейчас условия явно отличаются — и поэтому мы обращаемся в ФАС.

Почему монополии — это плохо

Развитие и прогресс возможны только в условиях здоровой конкуренции — когда компаниям, создающим похожие продукты, необходимо придумывать что-то, что привлекло бы пользователя именно к их решению. Как только на рынке появляется доминирующий субъект, то он начинает устанавливать свои правила, которым все вынуждены следовать. Зачастую эти правила ставят многих в невыгодное положение, но выбора у них нет. В результате прогресс практически останавливается, потому как монополисту нет смысла развивать свои решения — альтернатив ведь не предлагают.

Для решения подобных ситуаций и существуют регуляторы, такие как ФАС, и в целом подобные вопросы традиционно решаются на государственном уровне. Проблема монополий довольно сильно волнует государства, поскольку они заинтересованы в развитии максимального количества компаний.

Например, недавно сенатор США Элизабет Уоррен (Elisabeth Warren) предложила запретить крупным компаниям, ставшим монополистами, таким как Facebook (напомним, ей принадлежат Instagram и WhatsApp), Google, Apple и Amazon, размещать приложения на собственных платформах. Уоррен предлагает разделить крупные цифровые гиганты и запретить им продвигать свои продукты на платформах, которыми они владеют, так как при существующем раскладе, они по умолчанию будут создавать преференции своим решениям. Действительно, а кто бы так не делал?

США это уже проходили, например, с компанией Standart Oil, которая осуществляла добычу, транспортировку и переработку нефти, а также маркетинг нефтепродуктов. 100 (!) лет назад сложилась аналогичная ситуация — и правительство США решило разделить Standart Oil. Она распалась на несколько маленьких компаний, но в итоге разделение удвоило совокупную стоимость акций Standard Oil.

Так что мы уверены в своей правоте и в том, что наша инициатива полезна для рынка в целом. Мы очень рассчитываем, что Apple предоставит сторонним разработчикам конкурентоспособные условия, чтобы они могли продолжать взаимовыгодно сотрудничать с компанией и двигать прогресс дальше.

Пнд, 25 Мар 2019 12:11:00
Эксперты антивирусной компании ESET сообщают о новой атаке хакерской группировки Winnti, нацеленной на азиатских геймеров. Две игры и одна игровая платформа были взломаны для внедрения бэкдора, в результате чего пострадали десятки тысяч пользователей.
Подробнее...

Эксперты антивирусной компании ESET сообщают о новой атаке хакерской группировки Winnti, нацеленной на азиатских геймеров. Две игры и одна игровая платформа были взломаны для внедрения бэкдора, в результате чего пострадали десятки тысяч пользователей.

Для распространения скомпрометированных версий игрового ПО злоумышленники использовали легитимный механизм рассылки обновлений, при этом вредоносный код был внедрен в исполняемые файлы. Запуск бэкдора происходил в оперативной памяти, а сам процесс был защищен шифрованием.

Бэкдор запускался перед началом игры; вредоносная программа никак себя не выдавала — игра не прерывалась, и геймеры ни о чем не подозревали. Это говорит о том, что злоумышленники модифицировали конфигурацию сборки, а не исходный код.

Примечательно, что перед запуском вредоносная программа проверяла языковые настройки ОС — на системах с русским или китайским языками бэкдор просто не запускался. Подавляющее большинство заражений, около 55%, пришлось на Таиланд. Также пострадали Филиппины и Тайвань.

Доля пострадавших от заражения

Отметим, что 1% зараженных из России связан с тем, что жертвы не включили в своей операционной системе русский язык.

После обнаружения атаки ESET связалась с разработчиками скомпрометированного ПО, на данный момент они удалили бэкдоры в двух продуктах. Однако игра Infestation (по иронии, название переводится как «заражение») по-прежнему рассылает своим пользователям вредоносные обновления.

Предположительно, злоумышленники могли использовать данную атаку для финансовой выгоды, либо с целью использования созданного ботнета для более крупных атак.

Ранее группировка Winnti уже была замечена за атаками на цепочки поставок — их сложно обнаружить на стороне пользователя, т.к. пользователь по умолчанию доверяет разработчикам своего ПО и устанавливает предлагаемые ими обновления.

По этой причине ряд киберпреступных групп нацеливают атаки на поставщиков софта — компрометация большого числа устройств позволит в короткие сроки создать огромный ботнет.

Однако у такой тактики есть и очевидный недостаток — как только вредоносная кампания будет обнаружена, киберпреступники потеряют контроль над ботнетом, а пользователи смогут избавиться от зараженного ПО с помощью легитимного обновления.

Пнд, 18 Мар 2019 07:56:00
В феврале 2019 года хакер (или группа лиц), сказывающийся под псевдонимом Gnosticplayers, выставил на продажу на торговой площадке Dream Market данные 840 млн пользователей.
Подробнее...

В феврале 2019 года хакер (или группа лиц), сказывающийся под псевдонимом Gnosticplayers, выставил на продажу на торговой площадке Dream Market данные 840 млн пользователей.

Дампы появились не сразу, а были разбиты на три отдельных «лота» (1, 2, 3) и суммарно в них вошла информация о пользователях и клиентах 32 компаний.

Теперь хакер вернулся с четвертым сборником, в который входят данные еще 23 млн пользователей.

Как и в прошлых случаях, ни одна из этих компаний ранее не сообщала о каких-либо инцидентах и утечках данных. И стоит отметить, что информация из прошлых дампов Gnosticplayers в итоге оказалась подлинной, и большинство пострадавших компаний экстренно предупредили своих пользователей о компрометации.

Данный случай отличается от трех предыдущих тем, что 5 из 6 компаний, по словам Gnosticplayers, были скомпрометированы в 2019 году, то есть дампы совсем свежие. Напомню, что ранее злоумышленник заявлял, что в общей сложности в его распоряжении имеется порядка 20 различных баз, некоторые из которых он собирается выставить на продажу, а другие приберегает для личного пользования. Суммарно эти «сборники» включают в себя информацию примерно о миллиарде различных аккаунтов, а самые старые утечки датированы еще 2012 годом.

Кроме того, ранее хакер уже говорил СМИ, что имеет непосредственное отношение именно к взлому пострадавших компаний, а не просто выступает посредником по перепродаже данных. Так и на этот раз Gnosticplayers сообщил журналистам ZDNet, что он взломал перечисленные ресурсы и был очень расстроен тем, что даже в 2019 году  компании ничему не учатся и не используют для защиты паролей более надежные алгоритмы, такие как bcrypt.

Также Gnosticplayers сообщил, что продает далеко не все данные взломанных компаний. По его словам, с некоторыми представителями бизнеса удалось договориться: компании заплатили Gnosticplayers выкуп, чтобы тот не «сливал» их данные в открытый доступ и не пытался продать их. Названия этих компаний преступник называть отказался.

Пнд, 18 Мар 2019 07:49:00
В конце февраля 2019 года специалисты Check Point сообщили о серьезной уязвимости (CVE-2018-20250) в WinRAR и продемонстрировали ее эксплуатацию.
Подробнее...

В конце февраля 2019 года специалисты Check Point сообщили о серьезной уязвимости (CVE-2018-20250) в WinRAR и продемонстрировали ее эксплуатацию.

Практически все 500 млн пользователей WinRAR оказались под угрозой, так как найденная проблема существовала в коде архиватора примерно 19 лет.

Уязвимость связана со старой сторонней библиотекой UNACEV2.DLL: оказалось, что можно создать специальный архив ACE, который при распаковке сможет поместить вредоносный файл в произвольную директорию, в обход фактического пути для распаковки (например, добавив малварь в автозагрузку).

Проблему устранили с релизом WinRAR 5.70 Beta 1, еще в январе текущего года. Разработчики приняли решение отказаться от поддержки формата ACE вовсе.

Тем не менее, первые атаки на уязвимость были замечены экспертами уже в феврале. Тогда спамеры начали прикладывать к своим посланиям вредоносные архивы, которые при распаковке заражают машину пострадавшего бэкдором. Злоумышленники использовали самые разные «приманки» для своих жертв, начиная от откровенных фото и технической документации, и заканчивая политическими новостями.

Теперь аналитики McAfee опубликовали отчет, согласно которому в настоящее время атаки по-прежнему продолжаются, и уязвимость пытается эксплуатировать множество хакерских групп. К примеру, одна из групп маскирует свою малварь под альбом Thank U, Next Арианы Гранде.

Исследователи насчитали уже более 100 уникальных эксплоитов для данной проблемы, и отмечают, что это совсем неудивительно. WinRAR с его огромной пользовательской базой – прекрасная цель для злоумышленников, и после обхода UAC пользователь не видит никаких предупреждающих сообщений. Малварь просто начинает работать после следующего старта системы.

Ссылка на источник