Раскрыта схема хищений учетных данных пользователей «ВКонтакте»
«Лаборатория Касперского» выявила масштабную операцию по хищению учетных данных пользователей популярной социальной сети «ВКонтакте».
Кража информации осуществлялась через приложение для прослушивания музыки, размещенное в официальном магазине Google Play под названием «Музыка ВКонтакте». Как выяснили эксперты, программа содержала вредоносный код, но ользователи даже не догадывались об этом, поскольку приложение исправно работало и выполняло свою основную функцию – проигрывало аудиозаписи из социальной сети. По оценкам «Лаборатории Касперского», жертвами этого вредоносного приложения могли стать сотни тысяч пользователей Android-устройств, преимущественно из России.
Кража данных происходила после авторизации в приложении, то есть после того, как пользователь самостоятельно вводил действующие логин и пароль, установленные им для доступа к аккаунту в «ВКонтакте». Примечательно, что злоумышленники проверяли подлинность этих данных, отправляя их на легитимный сервер аутентификации oauth.vk.com, сообщили "Югополису" в «Лаборатории Касперского».
- Для пользователя сам факт кражи данных для авторизации в социальной сети «ВКонтакте» в случае с этим вредоносным приложением может оставаться незамеченным, пока злоумышленники не сменят пароль. При этом мы фиксируем огромное количество заражений данным троянцем, в основном в России. Ситуацию усугубляет легкость, с которой злоумышленники выкладывают каждую новую версию зараженного приложения взамен заблокированной Google, – рассказывает Роман Унучек, антивирусный эксперт «Лаборатории Касперского». – Если же у вас было установлено это или подобное приложение для прослушивания музыки из «ВКонтакте», рекомендуем удалить его и срочно сменить логин и пароль от аккаунта в социальной сети.
«Лаборатория Касперского» уведомила компанию Google о наличии вредоносного кода в приложении «Музыка ВКонтакте», и программа была оперативно удалена из магазина. Однако это была уже как минимум седьмая версия приложения, не исключено, что злоумышленники на ней не остановятся.
Троян маскируется под антивирусную утилиту известного разработчика
Специалисты антивирусной компании «Доктор Веб» обнаружили трояна, угрожающего в том числе и любителям одного из отечественных сериалов, причем данная вредоносная программа маскируется под антивирусную утилиту известного разработчика.Об этом сегодня сообщили в «Доктор Веб».
Троян, получивший наименование Trojan.BPLug.1041, был обнаружен при переходе из результатов поиска Google на взломанную злоумышленниками веб-страницу отечественного телеканала, посвященную одному из российских телесериалов. Позже выяснилось, что компрометации подверглось еще несколько посещаемых интернет-ресурсов, в том числе связанных с телевизионными шоу. Если пользователь переходит на зараженный сайт с другого домена, а также при соблюдении ряда условий (использование 32-битной ОС семейства Windows или ОС семейства Mac OS X с архитектурой Intel и браузера, отличного от Opera), вредоносный скрипт открывает на вкладке, откуда был осуществлен переход, страницу злоумышленников. Встроенный в код этой веб-страницы специальный обработчик не позволяет закрыть данную вкладку, при нажатии клавиш или щелчке мышью демонстрируя на экране назойливое окно, предлагающее пользователю установить некое расширение для браузера.
При этом злоумышленники выдают данное расширение за утилиту, якобы созданную широко известной компанией-производителем антивирусного ПО, рассказали в «Доктор Веб».
В процессе установки данный плагин требует у пользователя предоставить ему ряд специальных разрешений и после инсталляции отображается в списке установленных расширений Chrome под именем «Щит безопасности KIS».
Плагин, детектируемый «Антивирусом Dr.Web» как Trojan.BPLug.1041, включает в себя два обфусцированных файла на языке JavaScript. Основное предназначение трояна заключается в выполнении веб-инжектов, то есть встраивании постороннего содержимого в просматриваемые пользователем веб-страницы. При этом на всех сайтах вредоносная программа блокирует демонстрацию сторонней рекламы с любых доменов, кроме тех, список которых предусмотрен в ее конфигурации. За отображение рекламы отвечает отдельная функция, с помощью которой троян анализирует содержимое открытой пользователем веб-страницы. Если ее контекст включает порнографическое содержимое, Trojan.BPLug.1041 загружает рекламу соответствующей тематики из двух отдельных сетей. Кроме того, данное расширение содержит список сайтов, на которых троян не показывает рекламу, среди них — fsb.ru, gov.ru, government.ru, mos.ru, gosuslugi.ru и некоторые другие. На сервер злоумышленников Trojan.BPLug.1041 отправляет сведения о других расширениях Chrome, установленных на инфицированном компьютере. При этом сервер может указать трояну, какие расширения следует отключить.
Если пользователь авторизовался в «Одноклассниках», Trojan.BPLug.1041 пытается предоставить определенному приложению доступ к API этой социальной сети от имени жертвы путем авторизации по протоколу OAuth. При этом в процессе авторизации запрашиваются привилегии на изменение статуса, просмотр, редактирование, загрузку фотографий, просмотр и отправку сообщений от имени пользователя, а также некоторые другие. В «Доктор Веб» полагают, что этот функционал может использоваться злоумышленниками в различных рекламных целях — например, для продвижения групп, рассылки спама или каких-либо голосований.
Примечательно, что в интернет-магазине Chrome имеются целых три расширения с именем «Щит безопасности KIS», созданных одним и тем же автором, однако два из них по различным причинам нефункциональны. Общее число установок всех трех плагинов на сегодняшний день превышает 30 тыс., отметили в компании.
Специалисты «Доктор Веб» предостерегают пользователей от загрузки и инсталляции подозрительных расширений, полученных из недоверенных источников. Если в окне браузера появилась подобная вкладка, не позволяющая себя закрыть, можно воспользоваться диспетчером задач, доступным в меню Google Chrome, и остановить соответствующий процесс браузера. Сигнатура Trojan.BPLug.1041 добавлена в вирусные базы Dr.Web, а веб-сайт, с которого распространялся этот троян — в списки нерекомендуемых для посещения интернет-ресурсов. Администрация взломанных злоумышленниками сайтов была своевременно проинформирована об инциденте.
Мошенники начали распространять опасный троян под названием Bayrob при помощи электронной рассылки. Письма приходят якобы от популярного во всем мире интернет-ритейлера Amazon, поэтому многие пользователи даже не подозревают об опасности, сообщает пресс-служба антивирусной компании Eset.
Зараженное приложение находится во вложении под видом ZIP-архива. При попытке открыть файл пользователь получает ошибку, в которой сказано, что эта программа не совместима с действующей версией Windows. Тем не менее, в этот момент троян уже начал действовать.
После взлома компьютера Bayrob начинает сбор пользовательских данных: он находит информацию о банковских картах пользователя, его логинах и паролях от онлайн-банкинга. Затем вредоносное приложение отправляет все полученные данные мошенникам.
Чтобы получить желаемую информацию, троян обращается к удаленным серверам: для этого Bayrob генерирует различные URL-адреса. Как оказалось, один из таких адресов зарегистрирован японским представительством Amazon. Однако аналитики не обвиняют интернет-ритейлера: есть вероятность, что данный сервер был арендован третьими лицами.
Стоит отметить, что вредоносное приложение впервые заметили еще в 2007 году, однако активная деятельность трояна началась лишь в 2015 году: тогда от заражения пострадали множество пользователей из Европы, Южной Африки, Австралии и Новой Зеландии. В новом году атаки вируса сильнее всего затронули Испанию, Австрию, Германию и Италию.
Спустя чуть более двух месяцев после масштабной операции российских правоохранительных органов по пресечению деятельности преступной группировки, стоявшей за получившим в 2015 году печальную известность троянцем Trojan.Dyre, о нем опять заговорили СМИ.
На этот раз речь идет чуть ли не о победе над этой вредоносной программой, терроризировавшей крупнейшие финансовые организации всего мира с лета 2014 года. Однако сами правоохранительные органы пока не спешат сообщить об успехах в борьбе с очередным творением киберпреступного мира.
Специалисты компании «Доктор Веб» на протяжении всего времени существования троянской программы Trojan.Dyre пристально следили за ее распространением, изучали инфраструктуру, которая была создана злоумышленниками. Прежде всего следует отметить, что в данном случае мы увидели «классический» пример реализации модели CAAS — crime-as-a-service (преступление как услуга). «Пользователи системы» получали билдер для генерации сэмплов троянца, который позволял часто менять его сигнатуру, делая его таким образом неуязвимым для антивирусных программ. При этом все данные, которые собирались троянцем на зараженных компьютерах, отправлялись на серверы владельцев Trojan.Dyre. Там они обрабатывались и заводились в административную панель, которая была доступна тем «пользователям», которые купили к ней доступ. Сама панель была разделена на несколько функциональных частей — управление ботами, поиск по логам. Кроме того, самих групп панелей было несколько. Все входящие данные анализировались фильтрами для получения интересующей мошенников информации (логины-пароли и т. д.).
Большой интерес представляет сама инфраструктура Trojan.Dyre, которая, как считают аналитики «Доктор Веб», является намного более сложной, чем инфраструктуры многих других нашумевших банковских троянцев. Обычно данные с зараженных компьютеров отсылаются троянцами на сервер, где и развернута панель, с помощью которой злоумышленники управляют своими ботами. В случае же с Trojan.Dyre использовался целый набор различных технологий, который свидетельствовал о том, что разработавшая и воплотившая в жизнь этот проект преступная группа располагает довольно внушительными финансовыми и человеческими ресурсами. Так, приемом и обработкой данных от ботов занимались «самописные» серверы на .Net, а панели управления ботнетом были написаны с использованием php-фреймворка Kohana. Для хранения и обработки массивов данных, поступавших практически со всех концов света, использовались базы postgres и mysql, а также система полнотекстового поиска sphinx. Все входящие данные поступали на специальные фильтры, которые служили для выделения интересующей мошенников информации (логины, пароли, номера банковских счетов, персональные данные пользователей и т. д.). Для защиты серверов от обнаружения были использованы Tor-серверы, а также proxy-серверы, объединенные в сеть посредством openvpn. Отличительной чертой атаки с использованием троянца Trojan.Dyre было размещение первичных проксирующих «прокладок» на взломанных злоумышленниками роутерах, где соответствующим образом была изменена таблица маршрутизации. Взломы роутеров производились рутинным подбором паролей, с учетом того факта, что многие пользователи не заботятся о смене заводских настроек защиты роутеров, а некоторые вообще не рассматривают их как точку возможного проникновения во внутреннюю сеть.
Тем не менее, аналитики «Доктор Веб» смогли определить целый ряд конечных серверов, которые использовались злоумышленниками. Были вскрыты элементы инфраструктуры Trojan.Dyre, удалось реализовать синкхол некоторых серверов. Это позволило получать важную информацию, которую специалисты компании оперативно предоставляли ряду европейских банков, а также правоохранительным органам нескольких стран.
Несмотря на опубликованную в СМИ информацию, в «Доктор Веб» считают, что по поводу Trojan.Dyre еще не пришло время расслабляться. До сих пор аналитиками компании фиксируются спам-рассылки с сэмплами троянца, и имеются основания полагать, что не все серверы инфраструктуры прекратили свою работу. Скорее всего, в этой истории «продолжение следует».
Троян-шифровальщик PadCrypt позволяет в режиме реального времени общаться с вымогателями
Швейцарский исследователь безопасности обнаружил новый образец вымогательского ПО PadCrypt. Особенность шифровальщика – наличие чата, позволяющего жертве в режиме реального времени связаться с вымогателями и обсудить условия выплаты выкупа. Помимо «живого чата», требующего подключения к C&C-серверу, PadCrypt также оснащен совершенно бесполезным деинсталлятором. «Недавно нам попались образцы вредоносного ПО, позволяющие активировать и деактивировать автозапуск, но с вымогателем, предлагающим еще и деинсталлятор, мы сталкиваемся впервые», - сообщил ИБ-эксперт компании Bleeping Computer Лоуренс Абрамс.
По словам исследователя, после запуска деинсталлятор удаляет уведомления с требованием выкупа, однако файлы по-прежнему остаются зашифрованными. PadCrypt распространяется с помощью спам-писем, содержащих вредоносный zip-архив. Заархивированный файл маскируется под PDF-документ с именем DPD_11394029384.pdf.scr, и после его выполнения на систему устанавливается вымогательское ПО.После инсталляции PadCrypt сканирует локальные диски на наличие файлов doc, jpg, pdf, gif и пр. и шифрует их с помощью симметричного алгоритма блочного шифрования AES. Имена зашифрованных файлов сохраняются в текстовом документе, а их теневые копии удаляются. Установившись на системе, вредонос создает уведомление с требованием выкупа. В настоящее время C&C-серверы annaflowersweb[.]com, subzone3[.]2fh[.]co и cloudnet[.]online отключены, и PadCrypt больше не представляет угрозу.
Дата: Воскресенье, 06.03.2016, 23:00 | Сообщение # 21
Генералиссимус
Группа: Проверенные
Сообщений: 4609
Статус: Оффлайн
Троянец Triada проникает в самое «сердце» Android
«Лаборатория Касперского» обнаружила мобильный троянец Triada, который с технической точки зрения значительно превосходит все аналогичные зловреды. Отличительными особенностями Triada являются его способность внедрять свой код во все приложения, имеющиеся на зараженном устройстве, и менять логику их работы. Угроза особенно актуальна для пользователей Android версии 4.4.4 и более ранних.
Доступ ко всем приложениям Triada получает в результате использования процесса Zygote, который является шаблоном для всех Android-приложений. Попадая в этот процесс, зловред становится частью шаблона. Это первый случай эксплуатирования злоумышленниками процесса Zygote; ранее подобные техники рассматривались исключительно с теоретической точки зрения.
Другой особенностью Triada является его модульная структура. Основная программа-загрузчик устанавливает на устройство различные модули зловреда, обладающие теми функциями, которые на данный момент нужны злоумышленникам. При этом троянец скрывает свои модули из списка установленных приложений и пакетов, а также из списков запущенных сервисов. Все они хранятся в системных папках, доступ к которым зловред получает благодаря незаконно приобретенным правам суперпользователя.
На сегодняшний день Triada используется для кражи денег пользователей или разработчиков в процессе покупки дополнительного контента в легитимном приложении. Троянец перехватывает, модифицирует и фильтрует платежные SMS.
К примеру, когда пользователь покупает что-то во внутриигровом магазине, злоумышленники могут модифицировать исходящее платежное SMS-сообщение таким образом, чтобы получить деньги пользователя вместо разработчиков игры.
«Triada – это своего рода Рубикон в эволюции угроз, нацеленных на Android. Если раньше большинство троянцев под эту платформу были довольно примитивными, то теперь «на сцену» выходят новые угрозы – с высоким уровнем технической сложности.
Очевидно, что троянец Triada разработан киберпреступниками, которые очень хорошо разбираются в атакуемой мобильной платформе. Спектр используемых техник не встречается ни в одном из известных нам мобильных зловредов.
Методы сокрытия помогают эффективно избегать обнаружения и удаления зловреда, а модульная архитектура позволяет злоумышленникам расширять и менять функциональность, и ограничивают их только возможности операционной системы и установленные на устройстве приложения», – комментирует Никита Бучка, антивирусный аналитик «Лаборатории Касперского».
Дата: Понедельник, 30.05.2016, 22:54 | Сообщение # 22
Генералиссимус
Группа: Проверенные
Сообщений: 6227
Статус: Оффлайн
Новый шифровальщик распространяется как вирус
Корпорация Microsoft предупредила пользователей компьютеров на платформе Windows о новой угрозе. Ею стала очередная версия троянца-шифровальщика Ransom:Win32/ZCryptor.A или просто ZCryptor. Зловред изначально распространяется через фишинговые и спам-сообщения, макросы в специально созданных вредоносных файлах Microsoft Word или под видом фальшивых обновлений Flash Player. Программа шифрует файлы, требуя от пользователя выкуп в сумме порядка 500 долларов в криптовалюте биткоин за их расшифровку.
Словом, картина достаточно типичная для большинства троянцев-шифровальщиков. Однако уникальной чертой ZCryptor является то, что зловред воспроизводит сам себя и способен распространяться через съемные устройства, например, флеш-накопители, инфицируя затем все новые компьютеры. Эта модель распространения характерна для классических компьютерных вирусов, однако практически не встречается среди зловредов-шифровальщиков. Специалисты компании Trend Micro, также сообщившие об обнаружении «вирусной» разновидности ZCryptor, оценивают опасность и вредоносный потенциал программы как чрезвычайно высокие.
Специалисты компании BitDefender Labs опубликовали свой новый отчет, посвященный вредоносному приложению под названием EasyDoc Converter. В течение достаточно продолжительного времени утилита, которая должна была помогать владельцам «маков» конвертировать файлы, распространялась через популярные сайты с приложениями для OS X.
Однако после установки EasyDoc Converter приложение практически сразу получало контроль над яблочной настольной операционной системой и создавало на компьютере локальный веб-сервер. При подключении к последнему через Tor-сеть злоумышленники могут управлять файлами, выполнять разнообразные команды, выполнять сценарии, подключаться к базам данных, отправлять письма и т.д.
Для борьбы с вредоносным приложением, которое уже получило название Backdoor.MAC.Eleanor, специалисты рекомендуют запретить в настройках Mac установку приложений из неизвестных источников и не устанавливать непроверенное стороннее ПО.
Дата: Понедельник, 07.11.2016, 16:51 | Сообщение # 24
Генералиссимус
Группа: Проверенные
Сообщений: 11503
Статус: Оффлайн
Реклама на Google может заразить компьютеры Mac вирусами
Не только те, кто посещает сетевые ресурсы сомнительного качества, могут получить на свой компьютер типа Mac вредоносный вирус. В настоящее время он может проникнуть на ПК или лэптоп посредством рекламы, которая размещена в Google. Специалисты полагают, злоумышленники непонятным образом смогли купить топ-места в рекламе AdWords. Она демонстрируется после запроса «Google Chrome».
Совершив это действие, владелец «операционки» macOS скачивал на свой компьютер не темы популярного браузера, а очень опасное приложение. Особую опасность ему придаёт то, что вирус способен генерироваться в уникальном для каждого случая виде. Это значительно усложняет его отслеживание антивирусными программами.
На данный момент специалисты Google уже исправили возникшую на площадке AdWords ситуацию. Но то, что возможность такого способа доставки вируса уже изобретена, свидетельствует, доверять даже самым обычным рекламам, размещённым в интернете, небезопасно.
Разработчик Firefox призвал пользователей Windows 10 отказаться от сторонних антивирусов
При выходе в Интернет с незащищённого компьютера под управлением Windows есть большая вероятность наткнуться на множество вирусов и вредоносных приложений. Поэтому существует огромное количество всевозможных антивирусов и защитных утилит, но оказалось, что их использование может навредить компьютеру. Именно так считает хакер и бывший разработчик браузера Firefox Роберт О’Каллахан. В своём блоге он рассказал, что пользователям Windows 10 стоит отказаться от сторонних антивирусов и использовать встроенный в систему "Защитник Windows".
"Я просто читал некоторые твиты и связанные с ними комментарии на Hacker News, и это напомнило мне, что теперь, когда я покинул Mozilla, я спокойно могу сказать, что производители антивирусного программного обеспечения ужасны. Не покупайте антивирусное программное обеспечение и удалите его, если оно уже есть (за исключением встроенной в Windows утилиты от Microsoft)", - заявил Роберт О’Каллахан.
Хакер написал, что пользователям всегда стоит обновлять операционную систему до последней версии, чтобы оставаться защищёнными. Но это касается только Windows 10, так как Microsoft регулярно обновляет её и следит за безопасностью, тогда как пользователям более ранних версий ОС всё же стоит задуматься о дополнительной защите.
"Если вы используете Windows 7 или, не дай Бог, Windows XP, то сторонние антивирусы всё же могут сделать вас немного менее уязвимыми", - отметил Роберт.
По словам О’Каллахана, в лучшем случае есть ничтожно малое число доказательств того, что крупные антивирусные продукты (не считая встроенного в Windows) обеспечивают повышение безопасности. В остальных случаях они скорее вредят компьютерам. Как пример, он предлагает посмотреть на ошибки в антивирусном ПО, перечисленные в Project Zero компании Google. Они показывают, что эти продукты не только предоставляют множество способов для атак, но и в целом их разработчики не следуют стандартным правилам безопасности. Кроме этого, программный код всех сторонних антивирусов зачастую плохо написан, и из-за этого разработчикам браузеров сложнее следить за безопасностью своих продуктов. Microsoft, как он уверяет, гораздо более компетентна в этом вопросе.
Когда Роберт О’Каллахан работал в Mozilla, они внедрили технологию ASLR, используемую для изменения расположения в адресном пространстве процесса важных структур данных, в браузер Firefox для Windows. Тогда оказалось, что многие антивирусные программы попросту всё ломают, интегрируя собственные библиотеки ASLR. Более того, несколько раз антивирусы даже заблокировали обновления Firefox, из-за чего пользователи не смогли получить важные исправления безопасности.
Самая большая проблема, по словам Роберта, заключается в том, что разработчики программного обеспечения знают об этих проблемах, но обязаны молчать, так как нуждаются в сотрудничестве с поставщиками антивирусов. Если же разработчик приложения выступит против компании, выпускающей антивирус, то его программное обеспечение будет распознаваться как вредоносное.
Эксперты румынской компании Bitdefender обнаружили новый зловред, атакующий персональные компьютеры на MacOS. Находка важна и сама по себе, поскольку вредоносного ПО для компьютеров Apple Macintosh сравнительно немного. Но еще важнее то, что, по мнению Bitdefender, за созданием и распространением зловреда, получившего название Xagent, стоит хакерская группировка APT28, известная так же как Pawn Storm и Fancy Bear. Это те самые загадочные «русские хакеры», которым приписывается взлом Национального комитета Демократической партии США, якобы повлиявший на ход президентских выборов.
По словам исследователей, на связь между Xagent и APT28 указывает множество фактов, в частности – сходство отдельных фрагментов кода, использование загрузчиков, почти аналогичных тем, которые применялись хакерами в прежних атаках, и URL-адреса командных серверов. Xagent обладает способностью делать снимки экранов инфицированных устройств, а также похищать пароли, использованные в ходе веб-сессий, и хранящиеся на компьютерах резервные копии iPhone.
Россия: почти половина промышленных компьютеров подверглась кибератакам во второй половине 2016 года
В среднем каждый пятый компьютер на промышленном предприятии в России ежемесячно подвергался кибератакам во второй половине 2016 г., сообщили CNews в «Лаборатории Касперского». При этом общее число атакованных машин с июля по декабрь постоянно увеличивалось. Всего же за этот период с вредоносным ПО в России столкнулось 42% компьютеров, так или иначе относящихся к технологической сети предприятий. Такие данные были получены по результатам работы ICS CERT «Лаборатории Касперского» — центра реагирования на компьютерные инциденты на индустриальных и критически важных объектах.
ICS CERT «Лаборатории Касперского» также выяснил, что в четверти случаев (28%) киберугрозы на российские промышленные компьютеры попадали из интернета. Кроме того, на 6% этих машин вредоносное ПО было обнаружено при подключении съемных носителей информации.
В общей сложности эксперты «Лаборатории Касперского» обнаружили в системах промышленной автоматизации 75 уязвимостей, 58 из которых максимально критичны для безопасности предприятий. Также ICS CERT «Лаборатории Касперского» нашел в технологических сетях порядка 20 тыс. модификаций вредоносного ПО. Вместе с тем, аналитики отмечают, что попытки заражения индустриальных компьютеров сегодня нередко носят случайный характер: скорее всего, злоумышленники атаковали корпоративную сеть предприятия, но из-за того, что она не отделена от технологической сети, зловреды попали и туда. Именно поэтому все те угрозы и категории программ, которые представляют опасность для компаний по всему миру, актуальны и для промышленных компаний, в том числе программы-вымогатели, банковские трояны, шпионское ПО.
Однако этот факт вовсе не означает, что злоумышленники не интересуются индустриальными сетями. Так, из всех целевых атак, обнаруженных «Лабораторией Касперского» в 2016 г., каждая четвертая была направлена в том числе и на предприятия, указали в компании.
«По нашим данным, атаки на компании различных секторов промышленности все чаще становятся целенаправленными. И задача защиты от них на порядок сложнее, чем от случайных заражений. В свою очередь, стабильный рост процента атакуемых промышленных компьютеров, который мы наблюдали на протяжении всей второй половины 2016 года, свидетельствует об актуальности проблемы кибербезопасности индустриальных систем. Это серьезный вызов для всего сообщества разработчиков промышленных систем автоматизации, владельцев и операторов этих систем и производителей защитных решений», — пояснил Евгений Гончаров, руководитель ICS CERT «Лаборатории Касперского».
Неизвестные злоумышленники пытаются проводить фишинговую кампанию, направленную против пользователей ресурса GitHub, популярного у программистов. Фишинговые письма, имитирующие приглашения на работу, содержат малоизвестный до недавнего времени троянец Dimnie, появившийся еще в 2014 г. и использующийся преимущественно в атаках против русскоязычных пользователей. В настоящий момент наибольший интерес у экспертов вызывают методы сокрытия вредоносного трафика, реализованные в этом зловреде.
Атаки на GitHub
С начала 2017 г. пользователи GitHub — крупнейшего веб-сервиса для хостинга ИТ-проектов и их совместной разработки, именуемого «соцсетью для разработчиков», — начали обращать внимание на попытки подсунуть им вредоносное ПО под видом предложений о работе. Вектор заражения на первый взгляд весьма типичен, однако эксперты компании PaloAltoNetworks обнаружили некоторые любопытные особенности.
Потенциальная жертва получает письмо от неизвестного «работодателя»; к сообщению прилагается RAR-архив (что, кстати, уже само по себе должно вызывать подозрения) с файлом Microsoft Word внутри. Этот файл, в свою очередь, содержит макрос, который выполняет вполне типовую для подобных случаев команду PowerShell на скачивание и запуск файла.
Отметим, что макросы в Microsoft Office по умолчанию давно отключены — как раз из соображений безопасности. Любой документ, полученный из неизвестного источника и требующий включения макросов для просмотра, — это уже тревожный сигнал.
Код запуска слабо замаскирован «мусорными» символами, которые позволяют избежать статического детектирования вредоносного кода. Двоичный файл, в свою очередь, запускает запрос HTTP GET Proxy к сервису toolbarqueries.google.com, который, как выясняется, маскирует запрос к совсем другому адресу. Как выяснили эксперты Palo Alto Networks, прямо перед GET-запросом программа направляет DNS-запрос, который возвращает значение 176.9.81[.]4.
«Ответ (176.9.81[.]4) на изначальный DNS-запрос... используется как IP-адрес, на который на самом деле направляется HTTP-запрос, якобы устанавливающий соединение с toolbarqueries.google.com. Отправку запроса на совершенно другой сервер не так сложно реализовать, но сколько аналитиков увидят здесь DNS-запрос без [очевидного] последующего трафика? А это именно то, что и нужно Dimnie, чтобы избегать обнаружения», — говорится в описании атаки.
Необходимо упомянуть, что сервис toolbarqueries.google.com в 2016 г. убран из открытого доступа.
Когда Dimnie выводит данные с компьютера жертвы (в частности, он может делать скриншоты рабочего стола и красть другие данные), исходящий трафик также маскируется запросами HTTP POST к gmail.com.
По прозвищу «Дымный»
До самого последнего времени Dimnie был малоизвестен западным экспертам по безопасности в силу ограничений его географического ареала действия: троянец атаковал преимущественно русскоязычных пользователей. В 2015 г. его описала компания Trend Micro, оценив вредоносный потенциал как довольно низкий.
Тем не менее, Dimnie уже приблизительно три года сохраняет статус активной угрозы, в первую очередь, благодаря «дымовой завесе» над запросами, которыми маскируется его входящий и исходящий трафик.
«Сам по себе этот троянец не представляет большой угрозы: слишком неоригинален первоначальный вектор заражения, — говорит Ксения Шилак, директор по продажам компании SEC-ConsultRus. — Но своими методами маскировки трафика Dimnie напоминает шпионский инструментарий, используемый в узконаправленных APT-кампаниях. Тем более странным выглядит попытка использовать столь банальный способ заражения как макросы в Word. С другой стороны, недооценивать эффективность фишинга тоже не стоит: иногда на него попадаются даже люди с высоким уровнем технической подготовки».
«Лаборатория Касперского» выяснила, во сколько обходится организация DDoS-атак
Эксперты «Лаборатории Касперского» изучили предложения на черном рынке DDoS-услуг и выяснили, что DDoS-атаки сегодня становятся все более недорогим и эффективным инструментом в руках злоумышленника. Себестоимость организации подобной атаки составляет примерно $7 в час, тогда как ущерб достигает тысяч и миллионов долларов, сообщили CNews в «Лаборатории Касперского».
«Сегодня организация DDoS-атак по уровню сервиса уже вполне сравнима с обычным бизнесом. Главное отличие состоит в том, что у исполнителя и заказчика нет прямого контакта друг с другом: заказ атаки осуществляется с помощью веб-сервисов, на которых можно выбрать нужную услугу, внести оплату и даже получить отчет о проделанной работе. В некоторых случаях для заказчиков даже предусмотрена система кредитов и бонусов, которые начисляются за каждую приобретенную атаку, — рассказали в компании. — Говоря языком бизнеса, таким образом киберпреступники развивают программы лояльности и клиентский сервис. Из-за подобной простоты и удобства количество регистраций на многих веб-сервисах для организации DDoS измеряется десятками тысяч: правда, стоит учитывать, что эти цифры могут завышаться владельцами сервисов с целью искусственного увеличения популярности ресурса».
Цена DDoS-атаки может варьироваться, в среднем заказчик платит примерно $25 в час. Если учесть, что злоумышленники тратят на организацию атаки с использованием ботнета из 1000 рабочих станций около $7 в час, то чистая прибыль киберпреступников от каждого часа атаки в данном случае составляет около $18.
Как выяснили в «Лаборатории Касперского», на стоимость атаки влияет множество факторов. Например, ее сценарий и источник: так, ботнет из популярных IoT-устройств стоит дешевле, чем ботнет, организованный из серверов. Также имеет значение длительность инцидента и местонахождение заказчика: так, организация DDoS-атаки на англоязычных ресурсах стоит дороже аналогичных предложений на русскоязычных. Помимо этого, большое значение имеют особенности конкретной жертвы. Атаки на государственные сайты, а также на ресурсы, защищаемые от DDoS с помощью специальных решений, стоят в разы дороже, потому что атаковать первые рискованно, а вторые — технически сложно. Например, на одном из преступных сервисов атака на сайт без защиты стоит до $100, а на защищенный ресурс — от $400.
Альтернативным и зачастую более выгодным для преступников сценарием является шантаж: злоумышленники требуют у жертвы выкуп за то, чтобы не начинать DDoS-атаку или прекратить уже идущую. Сумма выкупа может составлять тысячи долларов в биткойнах. При этом вымогателям даже не обязательно обладать ресурсами для атаки, достаточно лишь одного сообщения с угрозой.
«Преступники продолжают активно искать новые, более дешевые способы организации ботнетов и более хитрые сценарии атак, с которыми сложнее справиться защитным решениям, — рассказал Денис Макрушин, антивирусный эксперт «Лаборатории Касперского». — Поэтому пока в Сети есть достаточное количество уязвимых серверов, компьютеров и IoT-устройств, и пока многие компании предпочитают оставаться без защиты от DDoS, рентабельность, частота и сложность таких атак будет лишь расти».
Некоторые преступники не брезгуют, наряду с организацией подобных атак, предоставлять и защиту от них, однако эксперты «Лаборатории Касперского» не рекомендуют пользоваться подобными услугами.
Глава Европейского центра по борьбе с киберпреступностью при полицейской службе ЕС Европол Стивен Уилсон сообщил, что проект No More Ransom помог уже 10 тысячам человек вернуть доступ к своим устройствам, заблокированным вследствие атак зловредов-шифровальщиков. Проект No More Ransom был основан в июле прошлого года по инициативе Европола, Национальной полиции Нидерландов и компаний Intel Security и «Лаборатория Касперского». Он ставит целью объединение усилий в борьбе с шифровальщиками, превратившимися в одну из главных киберугроз.
Сегодня в проекте участвуют уже 76 организаций, а на его сайте (существующем на 14 языках, включая и русский) выложены в открытый доступ 40 инструментов для расшифровки заблокированных различными зловредами файлов. Организаторы признают, что пока не могут обеспечить восстановление данных после атак всех существующих зловредов-шифровальщиков, но продолжают работу в этом направлении. Кроме того, сайт играет важную просветительскую роль, распространяя информацию о том, как избежать заражения вредоносным ПО. Чаще других к сайту No More Ransom обращаются пользователи из России, США, Нидерландов, Германии и Италии. По мнению Стивена Уилсона, проект No More Ransom – «возможно, лучший пример сотрудничества государственных структур и частных компаний в деле борьбы с киберпреступностью».
