Произошло похищение паролей у пользователей Gmail

Произошло похищение паролей у пользователей Gmail

Пользователи Gmail стали жертвами фишинговой атаки, которая преследовала цель кражи аккаунтов, сообщает ITProPortal со ссылкой на сообщение румынской антивирусной компании Bitdefender, зафиксировавшей атаку.

Злоумышленники произвели рассылку электронных сообщений со следующим содержанием: «Уведомляем вас, что ваша учетная запись электронной почты будет заблокирована через 24 часа в связи с тем, что отведенное вам дисковое пространство было исчерпано. Пройдите по ссылке МГНОВЕННОГО УВЕЛИЧЕНИЯ для того, чтобы автоматически увеличить дисковое пространство».

Если жертва нажимала на указанную ссылку, она попадала на поддельный сайт Gmail с формами для ввода логина и пароля. Этот сайт выглядел точно так же, как выглядит официальный сайт Gmail, поэтому пользователь не мог догадаться о том, что перед ним сфабрикованный ресурс.

Для доступа к различным сервисам Google, как и у других провайдеров, используются единые логин и пароль. То есть, завладев учетными данными от Gmail, злоумышленник получает доступ к Google+, Google Play, YouTube, Blogger и другим службам.

«Угоняя аккаунты Google, хакеры получают возможность тратить деньги пользователя на покупки в Google Play, взламывать страницы в Google+ и красть конфиденциальные документы, сохраненные в облачное хранилище Google Drive», — рассказал Каталин Козои (Catalin Cosoi), главный стратег по безопасности в Bitdefender.

Доля спама в мировом почтовом трафике в марте снизилась на 6,4%

Доля спама в мировом почтовом трафике в марте снизилась на 6,4%

Александр Панасенко

В течение первого весеннего месяца широкое распространение в Сети получили рекламные рассылки с предложениями выучить иностранные языки при помощи разнообразных авторских методик. Подобный спам пестрел сообщениями о возможности выучить любой язык по Skype, узнать секреты уникального метода самостоятельного обучения, а также предложениями от конкретных языковых школ и учебных центров.

Помимо этого, заметный след в мартовском почтовом трафике оставили сообщения, в которых спамеры предлагали оптимизировать расходы на телефонную связь. Большая часть таких писем была адресована крупным и средним компаниям. Однако домашних пользователей спамеры также не обошли вниманием: в частности, авторы некоторых рассылок дополнительно предлагали улучшить качество мобильной связи и мобильного Интернета в квартире или на даче.

Немало вредоносных вложений в марте распространялось от имени различных известных финансовых организаций, деятельность которых связана с налоговыми сборами. Подобные письма приходили к пользователям под видом платежных извещений от налогового органа и требованием оплатить налог или указать в декларации незаявленные ранее доходы. Чтобы узнать подробности, получателю сообщения предлагалось открыть приложенный отчет или заполнить полученную во вложении форму документа. На самом деле архивированные файлы содержали зловредов, в частности троянцев, крадущих конфиденциальные данные пользователей или скачивающих и запускающих на компьютере вредоносные программы.

Среди регионов лидером по распространению спама неизменно остается Азия. Более того, в марте ее позиции укрепились: эта часть света увеличила свою долю на 4% и в итоге оказалась ответственна за 58% мирового спама. Азиатский след доминирует и в рейтинге стран-источников нежелательных сообщений. По сравнению с февралем тройка лидеров не изменилась, и первое место все так же занимает Китай с долей 24,6%, на втором месте располагаются США с показателем 17%, а на третьем оказалась  Южная Корея, откуда было разослано 13,6% мирового спама.

Что касается источников спама в Рунете, то здесь картина несколько иная, однако она также не меняется на протяжении многих месяцев. Лидером по количеству нежелательных сообщений, разосланных пользователям в марте, все также остается Россия, чья доля хоть и сократилась на 2,5%, но составила абсолютный максимум месяца — 17,3%. Второе место занимает Тайвань — за первый весенний месяц доля спама, разосланного в Рунете из этой страны, выросла на 1,7% и составила в итоге 13,2%. Третье же место снова досталось Индии с ее показателем 11%.

 

Страны-источники спама в Рунете, март 2014

 

«Спамеры делают все возможное для того, чтобы заставить пользователя отреагировать на их письмо и открыть вложение или пройти по ссылке, которые запросто могут быть вредоносными. Количество атак на финансовый сектор заметно увеличилось за прошедший год. Это связано с тем, что все больше людей пользуются интернет-банкингом, совершая финансовые транзакции не только с ноутбуков, но и других цифровых устройств. Таким образом, риск стать жертвой злоумышленников сегодня весьма высок. Именно поэтому мы рекомендуем пользоваться современными защитными решениями, а также ни в коем случае не переходить по подозрительным ссылкам и не запускать непроверенные файлы», — рассказывает Татьяна Щербакова, старший спам-аналитик «Лаборатории Касперского».

В первом квартале 2014 увеличилось разнообразие информационных угроз

В первом квартале 2014 увеличилось разнообразие информационных угроз

Александр Панасенко

Первый квартал 2014 года был богат на разнообразие новых угроз, среди которых специалисты «Лаборатории Касперского» обнаружили как глобальные операции кибершпионажа, так и новые приемы вирусописателей, нацеленные на массового пользователя. Так, за последние три месяца количество мобильных банковских троянцев увеличилось почти вдвое.

В сентябре прошлого года эксперты «Лаборатории Касперского» сообщили о таргетированной операции Icefog, которую злоумышленники прекратили сразу после разоблачения. Однако в первом квартале эксперты компании обнаружили следующее поколение бэкдоров Icefog – на этот раз Java-версию зловреда, получившую название Javafog. Жертвами нового метода атаки стали три организации, находящиеся в США, причем одной из них оказалась крупная международная нефтегазовая компания. Еще более важной находкой стало обнаружение масштабной кампании кибершпионажа «Маска», целями которой были государственные учреждения, посольства, исследовательские институты и другие компании в 31 стране мира.

В последние несколько месяцев отмечен резкий рост числа пользователей Tor – программы, обеспечивающей анонимную работу в Интернете. Tor не только стал решением для защиты от кражи персональных данных, но и снискал большую популярность среди киберпреступников, которым особенно выгодна анонимность. Например, в феврале эксперты «Лаборатории Касперского» обнаружили первый Android-троянец, который использует в качестве командного центра домен в псевдо-зоне .onion.

«Лаборатория Касперского» также продолжает следить за криптовалютой Bitcoin. Прогнозируя ее будущее в конце прошлого года, специалисты компании отметили, что атаки на биржи и пользователей Bitcoin станут одной из самых громких тем года – этот прогноз уже начинает сбываться. Так, в феврале злоумышленники взломали одну из торговых площадок и украли 770 тысяч Bitcoin, что эквивалентно примерно 350 миллионам долларов США. В стремлении увеличить нелегальные доходы злоумышленники также заражают компьютеры пользователей, чтобы за счет дополнительных ресурсов генерировать больше электронной валюты. По этому принципу действует, например, Trojan.Win32.Agent.aduro, троянец, который занимает 12-е место в рейтинге наиболее часто детектируемых объектов в Интернете по результатам первого квартала.

Что касается мобильных угроз, доля вредоносных программ, нацеленных на Android, составила более 99%. Всего за этот период было обнаружено 110 324 новых мобильных зловредов, а количество мобильных банковских троянцев увеличилось почти вдвое, с 1321 до 2503. Следует также отметить, что почти 89% атак с помощью подобных программ пришлись на российских пользователей. В целом же среди типов мобильных зловредов на первом месте оказались рекламные модули, транслирующие навязчивую рекламу, а долгое время лидирующие SMS-троянцы сместились на второе место – их доля уменьшилась с 34% до 22%.
Всего же по данным облачной инфраструктуры Kaspersky Security Network в первом квартале 2014 года продукты компании заблокировали 1,13 миллиарда атак на компьютеры и мобильные устройства пользователей, а также 353 миллиона онлайн-атак, 39% которых проводились с использованием вредоносных веб-ресурсов, расположенных в США и России.

«По итогам первых трех месяцев можно сказать, что наши прогнозы развития киберугроз на 2014 год начинают сбываться: ускоряются темпы развития киберугроз, в том числе мобильных, получают все большую популярность сервисы для анонимной работы в Сети, позволяющие скрыть свою частную жизнь от слежки, участились атаки на Bitcoin-пулы. Не обошлось в первом квартале и без громких кампаний кибершпионажа – помимо новой активности от знакомых по кампании IceFog хакеров исследовательский центр «Лаборатории Касперского» столкнулся с более сложной и опасной на данный момент кибероперацией «Маска». За ней последовало выявление очередной кампании кибершпионажа Turla, которую мы до сих пор исследуем – на наш взгляд, она сложнее, чем это представлено в материалах, опубликованных другими экспертами по IT-безопасности», – отметил Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского».

Приложение iBanking атакует пользователей при помощи web-инъекций

Приложение iBanking атакует пользователей при помощи web-инъекций

Мобильное приложение iBanking, разработанное для устройств на базе Android, позиционируется его разработчиками как решение безопасности, однако на деле оно использует инъекции HTML с целью хищения финансовой информации пользователей. Об этом сообщают исследователи ESET.

Как следует из отчета экспертов, исходный код приложения был недавно опубликован в открытом доступе пользователями подпольных форумов, что дало возможность большому количеству злоумышленников распространять уже готовый вирус, замаскированный под легитимную программу.

Также сообщается, что изначально появившаяся iBanking после установки позволяет атакующим прослушивать разговоры жертвы, осуществлять подмену SMS, перенаправлять вызовы на произвольный номер, включать микрофон (и делать запись), а также похищать различную конфиденциальную информацию, в том числе из журнала вызовов и списка контактов.

Вместе с тем, основной задачей вредоносного приложения является осуществление web-инъекций при посещении жертвой банковских ресурсов. При использовании сервисов мобильного банкинга инфицированное устройство передает злоумышленникам информацию, необходимую для кражи средств.

Первый человек арестован за эксплуатацию бага Heartbleed

Первый человек арестован за эксплуатацию бага Heartbleed

Канадская полиция задержала 19-летнего парня из города Лондон (провинция Онтарио). Его обвиняют в несанкционированном доступе к серверу Канадской налоговой службы и копировании информации о налогоплательщиках. Начинающий хакер по имени Стефан Артуро Солис-Рейес (Stephen Arthuro Solis-Reyes), предположительно, использовал уязвимость Heartbleed в криптографической библиотеке OpenSSL.

Государственная служба задержалась с обновлением программного обеспечения на своих серверах, чем и воспользовался тинейджер. Узнав о взломе, налоговики закрыли сайт на несколько дней для проведения расследования — и правоохранительные органы все-таки сумели вычислить злоумышленника, который не слишком заботился о скрытности. По информации налоговой службы, скомпрометированы номера социального страхования примерно 900 пользователей.

В то же время закрылись и сайты других государственных агентств Канады. Задержание прошло 15 апреля, из дома Стефана конфисковано компьютерное оборудование для поиска улик.

Студент факультета информатики местного университета предстанет перед судом 17 июля.

Новый червь Crigent заражает Word и Excel и использует Windows PowerShell

Новый червь Crigent заражает Word и Excel и использует Windows PowerShell

Исследователи из Trend Micro  обнаружили  новое семейство вредоносного ПО, заражающего файлы Word и Excel – червь Crigent, так же известный как Power Worm. Вместо того, чтобы создавать или включать выполняемый код, червь использует Windows PowerShell, которая является мощной интерактивной оболочкой/инструментом, поддерживающей все версии Windows. Примечательно, что вся активность Crigent осуществляется именно через скрипты PowerShell, поэтому ИБ-администраторы, следящие за появлением в системе вредоносного ПО, могут пропустить его.

Червь попадает на компьютер в виде инфицированного документа Word или Excel, загруженного пользователем. После открытия он загружает из сети Tor и сервера Polipo два дополнительных компонента – персональный web-кэш/прокси. Злоумышленники маскируют файлы (изменяя их имена), пряча данные в записях DNS. Копии этих файлов хранятся на легитимных хостах облачных сервисов (в данном случае, в Dropbox и OneDrive), а их URL прячется в записях DNS.

Соединения Crigent с C&C-сервисом осуществляется через Tor и Polipo. Используемый URL содержит два идентификатора GUID: {C&C server}/get.php?s=setup&mom={GUID #1}&uid={GUID #2}

Существует несколько способов обнаружения червя внутри системы. Во-первых, подозрение может вызывать присутствие во внутренней сети Polipo и Tor. Стоит отметить, что используемые червем .DOC и .XLS больше не являются расширениями по умолчанию. Версии Office от Office 2007 и выше используют по умолчанию расширения .DOCX и .XLSX, с поддержкой более ранних форматов в целях обратной совместимости. Поэтому присутствие большого количества новых файлов, использующих старое расширение, может быть признаком присутствия Crigent.

Более 162 тысяч сайтов на WordPressбыли использованы для DDoS-атаки

Более 162 тысяч сайтов на WordPressбыли использованы для DDoS-атаки

В последнее время злоумышленники все чаще прибегают к DDoS-атакам, при этом весьма масштабным. В частности, эксперты из Sucuri говорят о том, что в одном из недавних инцидентов безопасности были задействованы более 162 тысяч сайтов на базе WordPress. Известно, что все ресурсы работали с активным по умолчанию протоколом вызова удаленных процедур XML-RPC.

Как утверждают эксперты, атака осуществляется посредством генерации потока запросов Layer 7. При этом все сайты могут отправлять сотни тысяч запросов в секунду.

Судя по всему, большинство запросов содержат случайное значение («?4137049=643182»), необходимое для очистки кэша и полной перезагрузки страницы. По данным Sucuri, подобные атаки весьма успешны, поскольку они способны быстро нарушить работу сервера.

Эксперты компании также уверены, что DDoS-атаки с задействованием сайтов с уязвимостью XML-RPC могут быть более масштабными. Узнать, не является ли сайт частью атаки, можно посредством проверки файла регистрации на наличие POST-запросов к файлу XML-RPC. Также существует база, созданная Sucuri, в которой содержится список задействованных в инцидентах безопасности ресурсов.

Фишинг в 2013 г.: объемы уменьшились, выбор целей стал лучше

Фишинг в 2013 г.: объемы уменьшились, выбор целей стал лучше

По данным Anti-Phishing Working Group (APWG) компании Websense, объем фишинга сократился на 1,12% по сравнению с прошлым годом и сейчас на фишинговые сообщения приходится не более 0,5% электронных писем. В 2013 г. существенно снизилось число крупных фишинговых атак, вероятно, за счет использования хакерами своих ресурсов для других видов деятельности, скажем DDoS.

В то же время фишинг становится более хитроумным и целевым, а это означает, что большая доля получателей открывает прикрепленные файлы или переходит по содержащимся в сообщениях ссылкам. Во многих случаях фишинговые сообщения рассылаются с легитимных доменов, что усложняет их детектирование с помощью репутационных технологий. Достаточно часто используются персонализованные сообщения, поддельные сообщения о невозможности доставки почты, приглашения присоединиться к соцсети LinkedIn, пр. До сих пор популярным у хакеров остается регистрирование поддельных доменов (название которых близко по написанию к доменам популярных брендов), которые затем используются для фишинга.

Лидером в рассылке фишинговых сообщений остается Китай, за ним следуют США, Германия, Великобритания, Канада, Россия, Франция, Гонконг, Нидерланды и Бразилия.

АНБ перечислило $10 млн RSA для принятия стандарта на уязвимый ГСЧ

АНБ перечислило $10 млн RSA для принятия стандарта на уязвимый ГСЧ

В сентябре этого года стало известно, что специалисты АНБ внедряются в комитеты по разработке криптографических стандартов и активно участвуют в процессе утверждения этих стандартов. Вскоре Национальный институт стандартов и технологий (NIST) рекомендовал воздержаться от использования Dual_EC_DRBG — алгоритма генерации псевдослучайных битов, основанном на использовании эллиптических кривых и описанного в стандарте Special Publication 800-90A. Это стандартный ГСЧ, который используется во многих операционных системах, сейчас считается скомпрометированным. Практически наверняка известно, что АНБ умышленно внедрило в него бэкдор, что подрывает стойкость практически всех современных криптосхем с открытым ключом. Вчера с подачи Эдварда Сноудена опубликованы новые документы, которые подтверждают обвинения в адрес АНБ.

В соответствии с новыми документами, АНБ заключило секретный договор с компанией RSA и перечислило ей $10 млн за то, чтобы уязвимый стандарт ГСЧ был принят как стандарт по умолчанию.

Напомним, что в сентябре 2013 года компания RSA предупредила своих клиентов, что скомпрометированный алгоритм используется по умолчанию в во всех версиях набора RSA BSAFE, включая все версии Crypto-C ME, Micro Edition Suite, Crypto-J, Cert-J, SSL-J, Crypto-C, Cert-C и SSL-C, а также во всех версиях серверов и клиентов RSA Data Protection Manager (DPM). Компания рекомендовала клиентам изменить ГСЧ по умолчанию.

Сейчас компания опубликовала официальное объяснение, в котором категорически опровергает тот факт, что ей было известно об уязвимости алгоритма ГСЧ, хотя не отрицает, что взяла деньги за его принятие. Компания якобы была уверена, что принимает более мощный и сильный метод генерации случайных чисел.

Подражатель Cryptolocker использует слабую криптографию

Подражатель Cryptolocker использует слабую криптографию

У криптографического трояна-вымогателя Cryptolocker, как у маньяка-убийцы, появляются свои подражатели, которые выдают себя за оригинал. Они пытаются копировать «почерк мастера», используя его фирменные приемы. При этом не гнушаются работать в новых регионах, в том числе в России, которые обходил стороной оригинальный Cryptolocker.

Для пользователей это означает, что в случае шифрования файлов с требованием выкупа появляется шанс спасти информацию бесплатно. Дело в том, что подражатель использует слабые криптографические стандарты, объяснил Андрей Комаров, исполнительный директор стартапа IntelCrawler.

Распространение нового трояна началось в декабре 2013 года. С тех пор обнаружено более 50 различных билдов, купленных на подпольных форумах. Основная часть заражений приходится на Россию.

После заражения компьютера троян копирует документы пользователя, зашифровывает копии с добавлением расширения .perfect и удаляет оригиналы. В каждой папке с документами размещается файл contact.txt с адресом электронной почты хозяина трояна, у которого есть ключ для расшифровки файлов.

Жертвам предлагают перевести до $150 на счет Perfect Money или QIWI VISA Virtual Card. Они должны сообщить имя хоста и уникальный идентификатор компьютера, который указан в том же файле contact.txt.

По мнению специалистов, троян разработали любители. Его невозможно сравнить с профессиональной разработкой авторов Cryptolocker. Те задействовали сеть C&C-серверов и используют для зашифровки файлов нерушимую комбинацию AES 256 бит и RSA 2048 бит.

Подражателю хватило ума только на библиотеку TurboPower LockBox, это криптографическая библиотека для Delphi. В частности, они использовали уязвимый шифр AES-CTR. Андрей Комаров говорит, что сейчас пишет универсальную программу для расшифровки файлов, она будет работать на любом компьютере. До ее выхода рекомендуется переименовать зашифрованные файлы и сменить имя хоста у компьютера.