Trojan.Zadved.1 демонстрирует навязчивую рекламу

Trojan.Zadved.1 демонстрирует навязчивую рекламу

Александр Панасенко

Компания «Доктор Веб» сообщает о распространении вредоносной программы Trojan.Zadved.1, представляющей собой плагин к браузерам, который якобы должен защищать пользователя от вредоносных и потенциально опасных сайтов. На самом деле это приложение выполняет прямо противоположную функцию: троянец предназначен для подмены поисковой выдачи, перенаправления пользователя на сайты рекламодателей по щелчку мыши в окне браузера и демонстрации назойливой рекламы.

Первые образцы вредоносной программы Trojan.Zadved.1 были добавлены в вирусные базы «Доктор Веб» еще в начале ноября. Этот троянец распространяется в виде надстройки к браузерам под названием SafeWeb. Согласно сообщениям ее разработчиков данная надстройка предназначена для «обеспечения безопасности пользователя в Интернете». После загрузки и запуска приложения на экране появляется окно инсталлятора, устанавливающего расширение на компьютер потенциальной жертвы. Наиболее актуальная версия инсталлятора Trojan.Zadved.1недавно появилась в раздаче вредоносной партнерской программы installmonster.ru (организованной создателями другой партнерской программы — zipmonster.ru, в рамках которой распространяются троянцы семейства Trojan.SmsSend). Следует отметить, что троянские приложения появляются в раздаче installmonster с завидной регулярностью.

АНБ использует куки Google для идентификации пользователей

АНБ использует куки Google для идентификации пользователей

Газета The Washington Post опубликовала фрагменты нескольких секретных презентаций АНБ (pdf, зеркало). В них идет речь о разных методах аналитической работы АНБ. В частности, о технологии определения личностей граждан, которые сопровождают грузы на контейнеровозах, по данным с вышек сотовой связи. Упоминается об программе HAPPYFOOT, которая собирает и анализирует данные о координатах мобильных устройств.

Но самое интересное находится на странице, где говорится об эксплуатации для компьютерных сетей (CNE: computer-network exploitation). Там АНБ вкратце перечисляет методы взлома компьютерного оборудования.

АНБ признается в пассивном мониторинге интернет-трафика с автоматизацией, где это возможно. Элитное спецподразделение хакеров (TAO), которое осуществляет непосредственные взломы удаленных компьютеров, снабжается необходимой информацией для работы, в том числе идентификаторами WLLid и учетными данными для DSL-аккаунтов, куками, идентификаторами Google PREFID.

PREF — это следящие куки от компании Google. Они обычно не содержат имени пользователя, но содержат уникальные номера PREFID для идентификации пользователя на разных сайтах. Как видим, АНБ тоже извлекает пользу из идентификационных куков, чтобы проще фильтровать трафик конкретных людей в общем потоке. Аналитическая платформа Google Analytics и следящие куки Google используются на 60-65% популярных сайтов в интернете.

Новые угрозы для Android превращают гаджеты в инфицированных ботов

Новые угрозы для Android превращают гаджеты в инфицированных ботов

Обнаружены новые угрозы, превращающие Android-смартфоны в следящие устройства с множеством ошибок. Так, по данным исследователей из компании Bitdefender, одна из угроз исходит от ПО под названием Widdit, которое используют разработчики более 1000 приложений. Widdit включает в себя загрузчик, который в момент установки требует огромное количество ненужных ему привилегий.

«Эти привилегии необязательно используются в наборе ПО разработчика (software development kit, SDK), однако эти запросы гарантируют, что в дальнейшем любой компонент, введенный в SDK, будет работать из коробки, — отметил эксперт компании Bitdefender Влад Бордиану в блоге. – Среди таких привилегий мы обнаружили разрешение на отключение экрана блокировки, запись аудио, а также доступ к истории браузера и закладкам».

Приложения, использующие Widdit, также могут исполнять специальный код при перезагрузке устройства, получать текстовые сообщения или совершать звонки в момент установки или удаления приложения. Помимо этого, Widdit использует незашифрованный HTTP-канал для загрузки обновлений, что, по мнению специалистов, позволяет злоумышленникам заменять легитимные обновления вредоносными файлами, а также осуществлять атаки человек-посередине.

Мобильные троянцы нашли новый путь к банковским счетам пользователей

Мобильные троянцы нашли новый путь к банковским счетам пользователей

Александр Панасенко

Мобильный троянец Svpeng, обнаруженный специалистами «Лаборатории Касперского» летом этого года и обладающий способностью красть деньги у пользователей смартфонов Android непосредственно с банковских счетов, стал еще хитрее – теперь он способен выманивать у пользователей их учетные данные от систем онлайн-банкинга при помощи фишинга.

Новый функционал этого троянца проявляется в том, что зловред подменяет открытое окно легального банковского приложения на фишинговое. Соответственно, все данные учетной записи системы интернет-банкинга, которые пользователь вводит в этом поддельном окне, отправляются прямиком к злоумышленникам.

Подобным же образом троянец Svpeng пытается украсть и данные банковской карты жертвы: при запуске приложения Google Play пользователь видит на экране смартфона окно, в котором ему предлагается ввести номер и секретный код своей платежной карты. Этот фишинговый прием также позволяет мошенникам получить легкий доступ к финансовым данным доверчивых или невнимательных пользователей.

Фишинговый функционал троянца Svpeng в действии

 

За три месяца существования троянца Svpeng «Лаборатория Касперского» обнаружила 50 модификаций этой вредоносной программы, а защитный продукт Kaspersky Internet Security для Android за это же время заблокировал более 900 установок троянца.

Примечательно, что в случае попадания на смартфон этот зловред предпринимает меры для самозащиты, усложняющие его обнаружение и удаление из системы. В частности, Svpeng использует ранее неизвестную уязвимость в платформе Android, благодаря которой может предотвращать сброс настроек телефона до заводских и препятствовать своему удалению. Единственным «противоядием» в этой ситуации является антивирус – Kaspersky Internet Security для Android способен удалить эту вредоносную программу из смартфона несмотря на все ее ухищрения.

«Мобильный троянец Svpeng распространяется с помощью SMS-спама, в котором злоумышленники нередко используют приемы социальной инженерии: имена известных сервисов, интригующие предложения, прикрытие знакомыми именами. Все это не должно вводить пользователя в заблуждение. Переход по ссылке в SMS является одним из наиболее распространенных способов заражения вредоносными программами, а потому делать этого никогда не стоит», – советует Роман Унучек, антивирусный эксперт «Лаборатории Касперского».

Пятиклассника осудили за пособничество Anonymous

Пятиклассника осудили за пособничество Anonymous

Кирилл Токарев
12-летний житель канады был признан виновным по трем обвинениям во взломе правительственных вебсайтов. Молодой человек действовал от лица известной хакерской группировки Anonymous. Его деятельность нанесла ущерб в 60 тысяч долларов.

Подросток проживал в пригороде Монреаля и ходил в пятый класс. Во время студенческого восстания в Квебеке в 2012 году (вызванного повышением цен на обучение) он устроил настоящий компьютерный апокалипсис, выведя из строя некоторые важные вебсайты. Для этого использовались DDoS-атаки. В число пострадавших входят ресурсы полиции Монреаля, Института общественного здоровья Квебека, а также сайты чилийского правительства. Адвокат мальчика уверяет, что молодой взломщик был чужд политике. Полученные во время взлома данные он обменивал на видеоигры.

Атака на эти вебсайты, вывела их из строян на 2-4 дня. По оценкам полиции, ужерб от вредоносной деятельности оставил 60 тысяч долларов. Правоохранительные органы также утверждают, что осужденный объяснял другим людям, как осуществить нападения.

Отметим, что в Канаде уже происходили похожие случаи взлома. Например в 2000 году 15-летний парень из Монреаля Майкл Калк (Michael Calce), скрывающийся под кличкой Mafiaboy, был признан виновным в 56 случаях взлома. Его действия принесли ущерб на сумму в $1,7 млн.

СОИБ: Первый зловред для Firefox OS

Первый зловред для Firefox OS

17-летний хакер Шантану Гауде (Shantanu Gawde) написал первую в мире вредоносную программу для Firefox OS.

Демонстрацию программы вундеркинд проведет на конференции The Ground Zero (G0S) 2013, которая состоится 7-10 ноября в Нью-Дели (Индия). Согласно анонсу, созданный PoC-код способен инфицировать смартфон ZTE One в удаленном режиме и получить доступ к нему с любого ботнета для следующих действий:

Команды на доступ к SD-карте
Копирование всех контактов
Загрузка и выгрузка фотографий, музыки и видео
Геолокация и отслеживание координат пользователя
Удаленное управление FM-радио с возможностью испугать человека

По словам Гауде, все это может привести к серьезным проблемам для пользователей Firefox OS, потому что не существует способа засечь подобную атаку или блокировать ее.

К презентации автор обещает живую демонстрацию эксплойта, а также попробует портировать Firefox OS на смартфон Nexus и поискать новые векторы атаки. В случае успеха он их тоже добавит в презентацию.

Кстати, разработчики приложений для Firefox OS могут претендовать на получение бесплатных смартфонов от Mozilla. Наверное, талантливому подростку можно выслать сразу два.

СОИБ: 30% офисных сотрудников за вознаграждение готовы стать инсайдерами

30% офисных сотрудников за вознаграждение готовы стать инсайдерами

Александр Панасенко

Компания LETA провела исследование с целью определения уровня осведомленности в области информационной безопасности среди сотрудников российских компаний. Результаты исследования позволили выявить низкий уровень знаний респондентов в области ИБ, несоблюдение простейших правил защиты информации, высокий риск проникновения в корпоративную сеть, утечки конфиденциальных данных и убытков, связанных с этим. Кроме того, каждый пятый респондент признался, что готов за вознаграждение передать третьим лицам конфиденциальную информацию, к которой он имеет доступ.

Специалистам, отвечающим за информационную безопасность в организациях, определенно есть о чем беспокоиться. Степень осведомленности в этой области сотрудников российских компаний оставляет желать много лучшего – половине опрошенных вообще никогда не сообщали о правилах защиты информации. Остальные были ознакомлены с соответствующими требованиями безопасности только однажды ­– при поступлении на работу, и лишь 14 процентов респондентов регулярно проходят инструктаж по информационной безопасности, сообщает cybersecurity.ru.

При этом степень риска достаточно велика: 2 из 3 участников опроса говорят, что посещают потенциально опасные сайты с рабочего компьютера.

Исследование показало, что большинство пользователей не осознает угрозы взлома корпоративной сети через электронную почту: 85% ответивших на вопросы исследования сообщили, что открывают письма от незнакомых отправителей. Также есть риск утечки данных – 60% респондентов пересылают корпоративную информацию на личные почтовые ящики, чтобы поработать с ней из дома.

Некоторые результаты исследования не самым лучшим образом характеризуют работу не только специалистов по информационной безопасности, но и менеджеров по персоналу: 37% участников опроса рассказали, что используют рабочую почту для ведения личной переписки.

Зачастую работники не соблюдают и самых элементарных правил безопасности. Так, 25% пользователей никогда не блокируют свой компьютер, покидая рабочее место. Таким образом, каждый четвертый сотрудник оставляет открытым доступ к корпоративной информации кому угодно, в том числе и посторонним людям.

Треть сотрудников хранит пароли на листке бумаги или в файле на рабочем столе своего компьютера. Функцией «Запомнить пароль» пользуются 11% опрошенных. Причем речь идет не только о паролях для почты – в каждой компании есть системы или базы данных, доступ к которым имеет ограниченное количество сотрудников.

Каждый третий респондент использует один пароль для всех случаев жизни, что может сильно облегчить злоумышленникам задачу по проникновению в корпоративную сеть.

Более 60% респондентов не защищают свои смартфоны паролем. Ввиду того, что все больше сотрудников используют мобильные устройства в рабочих целях, смартфоны могут стать еще одним каналом утечки данных.

Результаты опроса показывают, что 8 из 10 пользователей не уничтожают носители, содержащие корпоративную информацию. При этом бумажные или электронные носители – один из самых распространенных каналов утечки данных. С завидной частотой конфиденциальная информация становится достоянием общественности или злоумышленников после того, как работники отправляют ее в мусорное ведро, а в США суды оправдывают компании, извлекающие промышленные секреты из мусора конкурентов: все, что выброшено сотрудниками, признается ненужным организации. В России тоже нередки случаи утечки персональных данных и конфиденциальной информации, особенно на бумажных носителях.

В исследовании приняли участие более 1100 офисных работников 25-50 лет из нескольких сотен российских компаний различных сфер деятельности. Анонимный опрос проводился среди сотрудников, в круг рабочих задач которых не входят вопросы, связанные с информационной безопасностью. Исследование было проведено в августе-сентябре 2013 года.

СОИБ: В маршрутизаторах D-Link обнаружен бэкдор

В маршрутизаторах D-Link обнаружен бэкдор

руппа исследователей обнаружила уязвимость в ряде устройств D-Link , позволяющую получить неаутентифицированный доступ к административным функциям.

Брешь в безопасности позволяет атакующему получить полный контроль над всеми управляемыми пользователем функциями в популярных домашних маршрутизаторах, включая модели DIR-100, DI-524, DI-524UP, DI-604S, DI-604+ и TM-G5240. В статье , опубликованной на сайте /DEV/TTYS0, сообщается о том, что уязвимости также подвержены несколько роутеров Planex, использующих такую же прошивку.

В извлеченной с помощью Binwalk прошивке к D-Link DIR-100 исследователи обнаружили, что для получения доступа требуется изменить заголовок браузера User-Agent на «xmlset_roodkcableoj28840ybtide», после чего роутер не будет запрашивать учетные данные для доступа к web-интерфейсу.

Исследователи /DEV/TTYS0 нашли уязвимость внутри кода, выполняющего простые сравнения строчных данных. В одном из подобных сравнений «в случае совпадения строк функция check_login пропускается, а alpha_auth_check возвращает значение 1, означающее, что аутентификация пройдена успешно».

Некоторые комментаторы сообщили, что им удалось успешно запустить бэкдор против устройств, обнаруженных поисковиком Shodan.

Craig, автор /DEV/TTYS0, сообщает, что бэкдор существует в версии прошивки 1.13 для ряда устройств Dir100-RevA.

На данный момент защиты от уязвимости не существует. Пользователям рекомендуется отключить доступ к административным функциям через WAN-порт.

В iOS 7.0.2 обнаружена опасная уязвимость

В iOS 7.0.2 обнаружена опасная уязвимость

На прошлой неделе разработчики Apple выпустили обновление мобильной операционной системы iOS 7, устранявшее уязвимость, эксплуатируя которую можно было обойти экран блокировки устройства и получить доступ к конфиденциальным данным владельца.

Спустя несколько дней после релиза обновления, хакеры обнаружили в нем подобную брешь и выложили подробную инструкцию взлома на YouTube.

На этот раз обойти экран блокировки можно при помощи голосового помощника Siri, службы видеозвонков FaceTime и ряда несложных манипуляций.

В настоящий момент нет сведений о том, известно ли сотрудникам Apple о новой уязвимости и когда будет выпущен следующий пакет обновлений.

ЛК раскрывает таргетированные атаки против Японии и Южной Кореи

ЛК раскрывает таргетированные атаки против Японии и Южной Кореи

Александр Панасенко

Исследовательский центр «Лаборатории Касперского» выпустил отчет, раскрывающий действия кибершпионской группы Icefog, нацеленной на организации Южной Кореи и Японии и наносящей урон поставщикам компонентов оборонной отрасли США. Активность группы началась в 2011 году, а в середине 2012-го ее деятельность приобрела новый масштаб.

«За последние несколько лет мы стали свидетелями множества таргетированных атак, бьющих по самым различным отраслям. Во многих случаях злоумышленники годами присутствовали в корпоративных и правительственных сетях и перехватывали терабайты ценных данных, – прокомментировал Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского». – Но тактика набегов Icefog демонстрирует новую тенденцию: небольшие группы хакеров начинают охотиться за информацией с «хирургической» точностью. Атака продолжается от нескольких дней до недель и, получив желаемое, злоумышленники подчищают следы и уходят. Мы ожидаем роста числа подобных групп, специализирующихся на фокусированных атаках – что-то вроде современных кибернаемников».

Исследование показывает, что среди целей группы были подрядчики оборонной отрасли (например, корейские Lig Nex1 и Selectron Industrial Company), судостроительные компании (DSME Tech, Hanjin Heavy Industries), морские грузоперевозчики, телекоммуникационные операторы (Korea Telecom), медиа-компании (Fuji TV) и Японо-Китайская Экономическая Ассоциация. Взламывая компьютеры, киберпреступники перехватывают внутренние документы и планы организации, данные учетных записей почты и пароли для доступа к внешним и внутренним ресурсам сети, а также списки контактов и содержимое баз данных.

Во время атак злоумышленники используют вредосноные программы семейства «Icefog» (так же известного, как «Fucobha»). Специалисты «Лаборатории Касперского» обнаружили версии «Icefog» как для Microsoft Windows, так и для Mac OSX.

Тогда как в случае других кибершпионских кампаний компьютеры жертв оставались зараженными месяцами или даже годами, позволяя злоумышленникам постоянно перехватывать данные, операторы Icefog обрабатывают свои цели одну за другой: находят и копируют только необходимую информацию, после чего самоустраняются. Чаще всего операторы заранее знают, что им требуется на зараженных компьютерах. Они ищут определенные имена файлов, показывая навыки японского и корейского языков, и когда находят то, что искали — передают на управляющий сервер.

Эксперты «Лаборатории Касперского» с помощью техники «DNS-sinkhole» получили возможность мониторинга 13 из более чем 70 доменов, используемых злоумышленниками. Это предоставило дополнительную статистику по количеству и географии жертв в мире. Также на управляющих серверах в открытом доступе, но в зашифрованном виде были обнаружены журналы с описанием каждого действия, совершенного атакующими на зараженных компьютерах. В некоторых случаях это помогло определить цели атаки и идентифицировать жертв. В дополнение к Японии и Южной Кореи, было зарегистрировано множество попыток соединений из Тайвани, Гонконга, Китая, США, Австралии, Канады, Великобритании, Италии, Германии, Австрии, Сингапура, Белоруссии и Малайзии. В общей сложности, эксперты «Лаборатории Касперского» наблюдали более 4000 уникальных IP-адресов зараженных машин, принадлежащих сотням жертв, 350 из которых пользовались Mac OS X, и лишь несколько десятков – Microsoft Windows.

Основываясь на ряде улик, оставленных атакующими, специалисты «Лаборатории Касперского» предполагают, что члены этой группы могут находиться в одной из трех стран: Китай, Южная Корея или Япония. Стоит также отметить, что практически все внутренние сообщения, найденные во вредоносной программе, были на китайском языке, так же как и ее код с основным языком операционной системы сервера управления Icefog.