Как стало известно, на прошлой неделе федеральный суд США вынес 20-летнему студенту Университета Карнеги-Меллон Моргану Калбертсону (Morgan Culbertson) максимальное наказание — 10 лет лишения свободы и штраф в размере 250 тыс. долларов — за дерзкое преступление, совершенное против пользователей Android, в котором он сам сознался.

Парень промышлял распространением самопального программного инструментария под названием Dendroid, которое позволяет создавать вирусы, нацеленные на заражение мобильных устройств под управлением Android. Калбертсон разработал вредоносное ПО при содействии своего коллеги из Нидерландов, скрывающимся под ником Mike, а в качестве основного канала сбыта использовал закрытый интернет-форум Darkode, где продавал товар по цене 300 долларов.
Любопытно, что прежде чем начать приторговывать нелегальной продукцией, Калбертсон в течение четырех месяцев проработал на благо антивирусной компании FireEye — там он занимался вопросами улучшения безопасности Android-устройств.

Согласно сообщению Моргана, которое он разместил на Darkode еще в октябре 2013-го года, создание Dendroid заняло у него порядка полутора лет. То есть получается, уже тогда хакер располагал рабочей версией инструментария для создания «мобильных троянов», но, что характерно, ведущие компании, специализирующиеся на разработке систем защиты, в то время почему-то не увидели в творении 18-летнего подростка реальной угрозы. Однако уже через год антивирусная компания Symantec обнаружит в официальном сервисе Android первую троянскую программу, разработанную при помощи Dendroid. Подобные вирусы позволяют заполучить полный контроль над телефоном жертвы — к примеру, хакеры могут прослушивать разговоры, перехватывать текстовые сообщения и даже удаленно запускать приложения. Основным путем «инфицирования» специалисты называют магазин Google Play, откуда вредоносное ПО может запросто попасть на смартфон во время загрузки зараженных данных.
В ходе судебного разбирательства Калбертсон принес свои извинения людям, которые пострадали от действий вредоносных программ, написанных с помощью его злосчастной системы, и пообещал впредь направлять свои знания исключительно в правильные русла. То бишь на изведение, а не распространение вирусов. Соответствующий приговор вступит в силу 2 декабря текущего года, тогда как оставшиеся месяцы до наступления часа Х раскаявшийся киберпреступник будет разгуливать на свободе: поскольку, по мнению суда, Калбертсон не представляет опасности для окружающих, его отпустили под залог в 10 тысяч долларов.

Как сообщается в отчете компании, вредонос обладает достаточной гибкостью, чтобы в будущем получить возможность похищать личные данные в режиме реального времени.

По словам специалиста IBM в области кибербезопасности Лаймора Кессема, CoreBot имеет модулярную структуру, позволяющую в будущем легко расширять функционал вредоноса, добавляя новые механизмы хищения данных. В настоящее время вредоносное ПО похищает логины и пароли, а также лицензионные ключи установленных на компьютере программ. Тем не менее, эксперты крайне взволнованы его модулярной структурой.

«Несомненно, самой интересной особенностью CoreBot является его система плагинов, благодаря которой обеспечивается модульная структура вредоноса и его потенциал, – заявил Кессем. – Сразу после установки на целевую систему CoreBot загружает плагины с C&C-сервера, после чего внедряет их с помощью функции экспорта plugininit в DLL плагина».

В настоящее время CoreBot использует лишь один плагин, известный как Stealer. Он похищает логины и пароли, сохраненные во всех крупных браузерах, FTP- и email-клиентах, сервисах Webmail, а также кошельках криптовалют, частных сертификатах и классических приложениях. По данным IBM, сейчас CoreBot не может похищать данные напрямую из браузера в режиме реального времени, но по мере появления дополнительных плагинов вредонос обзаведется и этой функциональностью.

Как сообщает компания ESET в своем блоге, латиноамериканские злоумышленники нацелились на российских пользователей, заражая их компьютеры вымогательским ПО.

Вредонос, распространяющийся с помощью PIF-файлов, шифрует все документы на компьютере жертвы и требует у нее выкуп.

Файлы с расширением PIF хранят техническую информацию о DOS-приложениях в среде Windows, например, о свойствах окна, объеме доступной памяти и так далее. В ранних версиях Windows этот формат был достаточно популярен, но устарел после перехода на архитектуру Windows NT.

Поскольку PIF-файлы могут содержать в себе исполняемые скрипты, они являются популярным выбором среди киберпреступников. При запуске такого файла вредоносные действия будут выполняться в автоматическом режиме.

Латиноамериканские злоумышленники в настоящее время проводят вредоносную кампанию, в рамках которой россиянам рассылаются PIF-файлы под видом документов Word. В них содержаться дропперы, которые незамедлительно после запуска связываются с C&C-сервером и загружают на ПК жертвы вымогательское ПО. Оно, в свою очередь, шифрует документы пользователей и требует у них выкуп.

Как сообщают исследователи безопасности, обычные изображения, сохраненные в формате PNG, можно применять для осуществления DoS-атак.

Используя определенные настройки в заголовке, сочетаемые с особенностями декодирования нулевых областей при методе сжатия DEFLATE, можно создать изображение размером в 50 гигапикселей (225000 х 225000). При раскладке 3 байта на пиксель обработка такого изображения потребует буфер размером в 141,4 Гб, что во много раз превышает объем оперативной памяти в подавляющем большинстве ПК.
Попытавшись открыть такую картинку в любом приложении или браузере, жертва столкнется с аварийным завершением процесса в связи с исчерпанием памяти. В качестве примера атаки исследователи порекомендовали загрузить изображение на любой online-сервис в качестве аватара или установить его в качестве картинки favicon.ico. В первом случае также произойдет сбой скриптов обработки изображений. Такой способ атаки может использоваться для всего контента, в котором применяется метод сжатия DEFLATE.

Аналогичными подобной атаке являются zip-бомбы и XML-бомбы. В первом случае используется вредоносный архив с расширением ZIP, распаковка которого приведет к исчерпанию свободного пространства (в прошлом был популярен архив 42.zip, объем распакованных данных которого составлял более 4000 терабайт). Во втором случае атака затрагивала XML-парсеры, приводя к аналогичной первому случаю ситуации: полностью распакованный файл занимал 3 гигабайта в оперативной памяти, что в 2002 году, когда была впервые проведена атака, приводило к аварийному завершению процесса.

Обвиняемый в соавторстве банковского вредоносного ПО Gozi признал себя виновным в суде США.
30-летний гражданин Латвии Денисс Каловскис был арестован в ноябре 2012 года. Каловскис провел десять месяцев в латвийской тюрьме перед тем, как был экстрадирован в США. Долгое время Латвия отказывалась выдавать обвиняемого, мотивируя это тем, что хакера должны судить в своей стране, потому что нет доказательств того, что он осуществил преступление на территории США.

Вирусописатель признал себя виновным и не намерен обжаловать любой приговор в течение следующих двух лет. «Я знал, что, то что я делал, является противозаконным», - заявил Каловскис в суде. Согласно данным The Register, именно Каловкис работал над созданием web-инжекторов, которые компрометировали целевые банковские порталы на инфицированных Gozi компьютерах.

Напомним, гражданин России Никита Кузьмин, гражданин Латвии Денисс Каловскис и гражданин Румынии Михай Паунеску могут получить пожизненное заключение в федеральной тюрьме США, поскольку обвинители считают Gozi одним из наиболее деструктивных вредоносов в истории. Кузьмин признал себя виновным в кибератаках и мошенничестве, совершенных в мае 2011 года.

Паунеску обвиняется в создании «пуленепробиваемого» хостинга, который играл огромную роль в распространении вредоноса. Стоит отметить, что Паунеску до сих пор не был экстрадирован в США.
Ущерб, который был нанесен с помощью вредоносного ПО Gozi, оценивается в десятки миллионов долларов. Буквально на прошлой неделе ИБ-экспертам стало известно о том, что в кибератаках в Японии злоумышленники использовали позаимствованный у Gozi вредоносный код.

По данным компании F-Secure, группа российских хакеров Pawn Storm, также известная как APT28, которая атакует военные и правительственные организации, взяла на вооружение старый банковский троян Carberp, тем самым еще более размыв грань между киберпреступностью и кибершпионажем.
Главным инструментом этой группировки является вредоносное ПО Sednit или Sofacy, и не совсем понятно, зачем ей заимствовать код программы шестилетней давности. Возможно, использование Carberp стало наиболее быстрым решением для обхода детектирования, или собственные инструменты хакеров были обнаружены и внесены в базы данных. Также не исключено, что утекший в Сеть в 2013 году код Carberp оказался более производительным по сравнению с ПО, созданным самой группировкой. Кроме того, использование уже готового кода обходится намного дешевле, чем создание нового с нуля.

Исследователи F-Secure сравнили недавно зафиксированную активность Pawn Storm с деятельностью группировки, стоящей за вредоносным ПО Carbanak, которое также базируется на коде Carberp. В результате эксперты пришли к выводу, что старый банковский троян по-прежнему «жив и брыкается».
Образ действия Pawn Storm очень сложный и сочетает в себе несколько хитроумных техник распространения вредоносного ПО – использование искусных фишинговых писем со вложенными вредоносными документами Microsoft Office, web-сайтов, содержащих эксплоиты для уязвимостей нулевого дня, поддельных страницы авторизации Outlook Web Access и мошеннических расширений браузера.

По данным F-Secure, загрузчик Sofacy, который играет роль полезной нагрузки для эксплоитов Pawn Storm, в последние несколько месяцев базируется на исходном коде Carberp. Он представляет собой небольшой DLL-файл, задача которого – соединение с C&C-сервером и загрузка дополнительных компонентов.

Консультант по безопасности Габор Сатмари сообщил о том, что взлом сайта знакомств для супружеской измены Ashley Madison был осуществлен успешно предположительно из-за невнимательности разработчиков ресурса.

По словам специалиста, исходный код ресурса Ashley Madison содержал токены AWS, базу данных учетных записей, сертифицированные закрытые ключи и другую персональную информацию.
Сатмари отметил, что опасность токенов AWS заключается в том, что единичная кибератака хакерской группы Impact Team могла привести к краху всех систем Ashley Madison. Эксперт также обнаружил, что большинство паролей к учетным записям содержали от 5 до 8 знаков, в которых использовались только два класса символов.

К другим погрешностям разработчиков Ashley Madison Сатмари приписал хранение в исходном коде учетных данных Twitter OAuth, закрытый ключ SSL-сертификата и различные проблемно-ориентированные токены. Эксперт настоятельно рекомендует всем операторам сайтов более серьезно относиться к проверке исходного кода.

Напомним, в конце июля текущего года The Impact Team удалось похитить клиентские базы AshleyMadison, данные кредитных карт пользователей, а также внутренние конфиденциальные документы канадской компании Avid Life Media, которой принадлежат сайты знакомств AshleyMadison, Cougar Life и Established Men. В начале августа хакеры опубликовали в Сети 10 ГБ данных, скомпрометированных в ходе кибератаки.

На этот раз злоумышленники взломали компьютерную сеть местного ресторанного дворика и похитили платежные данные неуточненного числа сотрудников. Об этом заявил официальный спикер Министерства обороны США, подполковник Том Кроссон.

Как сообщается в заметке Службы охраны Пентагона, примерно с 31 августа по 6 сентября в службу поступили многочисленные заявления о мошенничестве с платежными картами, принадлежащими персоналу ведомства. Отмечается, что вредоносная активность на картах жертв начиналась незамедлительно после оплаты еды в ресторанном дворике Пентагона. Правительство США уведомило работников, использующих платежные карты, об инциденте.

Кроссон не уточнил количество пострадавших сотрудников и не разгласил подробности о кибератаке. Неизвестно, кто именно и с какой целью осуществил взлом одной из правительственных столовых.
Напомним, что в последние несколько месяцев правительство США стало жертвой сразу нескольких кибератак. В апреле нынешнего года взлому подверглось Управление кадровой службы США (Office of Personnel Management), несколько месяцев спустя неизвестные атаковали незасекреченную компьютерную систему Белого дома и почтовую систему Пентагона. В осуществлении атак подозреваются китайские и российские хакеры.

"Вчера кто-то в 23:23 мск попытался взломать наш сайт и подменить содержание его данных с интенсивностью 50 тыс. запросов в минуту. Сделать это не удалось, злоумышленник вычислен - некая компания, расположенная в Сан-Франциско", - сказал он журналистам.

Ранее Чуров заявил, что за Единый День голосования отмечено 11 случаев, когда одни участники избирательной кампании физически препятствовали другим.

"11 раз часть тела одного участника избирательной кампании соприкасалась с частью тела, лицом, как правило, - другого участника избирательной кампании. Я считаю, что это блестящий результат. Попробовали бы американцы провести так чисто выборы", - сказал Чуров в информационном центре ЦИК РФ.

Российские военные стали жертвой хакеров,рассылающих вредоносные почтовые сообщения с июля 2015 г. Злоумышленники используют инструменты на китайском языке и командно-контрольные серверы на территориях, контролируемых Китаем, сообщает компания Proofpoint.

По словам вице-президента Proofpoint Кевина Эпшейна,результаты исследования указывают на то, что за атакой стоят китайские хакеры. Однако он не утверждает это однозначно, указывая, что всегда существует вероятность того, что кто-либо другой проводит атаку и пытается выставить Китай виновной стороной.

Помимо военных, атака направлена на российские телекоммуникационные компании, а также затрагивает русскоговорящих финансовых аналитиков, специализирующихся на телекоммуникационных рынках и работающих на мировые финансовые компании.

Атака начинается с письма, содержащего текст на чистом русском языке, например, об истории испытания в России ядерной бомбы. Письмо это якобы отправлено другим сотрудником этого же подразделения, в котором работает жертва, либо этой же организации. К письму прикреплено вредоносное вложение в виде файла в формате Microsoft Word, содержащего познавательный текст. При закрытии файла запускается макрос, который активирует второй файл, а тот, в свою очередь, загружает в систему троян PlugX. Троян позволяет злоумышленникам получить к системе доступ с тем же уровнем прав, какой имеет пользователь.

В компании Proofpoint утверждают, что антивирусы такую атаку заметить не могут, потому что, как правило, проверяют файл в момент открытия, а не закрытия. Кроме того, сам файл вирус не содержит — он содержит макрос.

В свою очередь, российские военные, с которыми компании Proofpoint удалось побеседовать, говорят, что письма с вредоносными вложениями выглядят крайне убедительно. И если бы они не знали, что они сфабрикованы, догадаться и не открыть вложение было бы очень сложно.

Помимо этого, злоумышленники в рамках кампании рассылают письма со ссылками на RAR-архивы. Примечательно, что эти архивы располагаются на сайтах, названия которых имеют военную тематику, что вводит пользователей в заблуждение. Кроме того, названия архивов написаны на русском языке без ошибок и также имеют военную тематику.

По словам экспертов Proofpoint, в 2014 г. эта же группа предположительно китайских хакеров (эксперты обозначили ее как TA459) атаковала военные объекты в Центральной Азии. В целом же, активность этой группировки впервые была обнаружена еще в 2013 г. В список инструментов группировки, помимо трояна PlugX, входят вредоносные программы Saker, Netbot и DarkStRat.

Об этом сообщает издание ABC News. В настоящее время преступник ожидает экстрадиции в США.
Обвинение утверждает, что гражданин Косово Ардит Феризи взломал базу данных неразглашенной американской торговой сети и похитил персональные данные более чем тысячи солдат Вооруженных сил США.

Преступник передал полученную информацию Джунаиду Хуссейну – гражданину Великобритании, который, по версии США, руководит операциями ИГИЛ в социальных сетях. После этого Хуссейн разместил список в сети, призывая всех «правоверных мусульман» к убийству американских военных.

«Мы проникли в вашу электронную почту, компьютерные системы и социальные сети. Мы следим за каждым вашим шагом. У нас есть ваши имена и адреса. Мы соберем все ваши личные данные и передадим их солдатам Халифата. Вскоре, с позволения Аллаха, они перережут ваши глотки на ваших же землях!» - сообщается в приложении к списку.

Персональная информация военных была удалена, но специалисты Министерства юстиции США сохранили копию сообщения для использования его в качестве доказательства вины хакера.

Как сообщил ассистент Генерального прокурора США Джон Карлин, арест продемонстрировал решимость США в войне против ИГИЛ и защите американцев от действий террористов. Преступнику грозит до 35 лет тюремного заключения.

Специалист по безопасности компании HeadLight Security опубликовал код скрипта, позволяющего обрабатывать перехваченную переписку пользователей приложения "ВКонтакте" для Android и iOS, находящихся в одной локальной сети с хакером. Об этом сообщает TJ.

Код утилиты под названием vkmitm (от MITM - man in the middle, тип атаки "человек посередине") Михаил Фирстов выложил на GitHub. Ее исполняемая часть является скриптом на Python, который ищет в локальной сети запросы приложений "ВКонтакте" для Android или iOS на обновление списка сообщений.

В описании работы утилиты сказано, что запросы имеют одинаковый вид. В них различается только параметр key, который обновляется не чаще раза в два часа и не реже раза в сутки, поэтому использовать его можно продолжительное время. По мнению Фирстова, таким образом можно узнавать не только текст отправляемых и получаемых сообщений конкретным пользователем, но и служебные уведомления вроде "Набирает текст" и "Прочитано".

Чтобы иметь возможность прослушивать трафик, устройству злоумышленника достаточно находиться в одной локальной сети с жертвой - например, открытом Wi-Fi в кафе. "Слушать" сообщения в режиме реального времени необязательно: можно создавать дампы трафика через PCAP и разбирать их по заданной маске позднее.

Как рассказал Фирстов TJ, возможность получать сообщения в незашифрованном виде заложена в мобильных приложениях "ВКонтакте". По какой-то причине они передают их через протокол HTTP, даже если в настройках аккаунта стоит галочка "Всегда использовать защищенное соединение (HTTPS)".

Как уточнил Фирстов, в последнем обновлении приложения VK App для iOS передача сообщений по HTTP была исправлена, но только в том случае, если пользователь указал на сайте "Всегда использовать защищенное соединение (HTTPS)".

Пресс-секретарь "ВКонтакте" Георгий Лобушкин заявил TJ, что клиент для iOS использует HTTPS уже больше года (в нем нет возможности выключить защищенное соединение), а в случае Android трафик шифруется при включенной опции на сайте или в приложении. Когда именно соцсеть полностью собирается перейти на HTTPS, он не уточнил.

Злоумышленники атакуют пользователей онлайн-банкинга из Японии. Они используют экспойты уязвимости Flash Player (CVE-2015-5119) , из утечки Hacking Team, а также уязвимости Unicorn Bug браузера Internet Explorer.

Все это срабатывает, когда пользователь заходит на сайты со «взрослым» контентом. Затем установившийся троян крадет данные пользователей онлайн-банкинга при использовании браузеров Internet Explorer, Firefox и Google Chrome. Когда пользователь пытается зайти на сервиса интернет-банка, ему показывают фишинговую страницу, замаскированную под сайт прокуратуры или агентства финансовых услуг. Страница предупреждает пользователя и показывает форму для входа в аккаунт с полями для заполнения.