Новый червь Crigent заражает Word и Excel и использует Windows PowerShell

Новый червь Crigent заражает Word и Excel и использует Windows PowerShell

Исследователи из Trend Micro  обнаружили  новое семейство вредоносного ПО, заражающего файлы Word и Excel – червь Crigent, так же известный как Power Worm. Вместо того, чтобы создавать или включать выполняемый код, червь использует Windows PowerShell, которая является мощной интерактивной оболочкой/инструментом, поддерживающей все версии Windows. Примечательно, что вся активность Crigent осуществляется именно через скрипты PowerShell, поэтому ИБ-администраторы, следящие за появлением в системе вредоносного ПО, могут пропустить его.

Червь попадает на компьютер в виде инфицированного документа Word или Excel, загруженного пользователем. После открытия он загружает из сети Tor и сервера Polipo два дополнительных компонента – персональный web-кэш/прокси. Злоумышленники маскируют файлы (изменяя их имена), пряча данные в записях DNS. Копии этих файлов хранятся на легитимных хостах облачных сервисов (в данном случае, в Dropbox и OneDrive), а их URL прячется в записях DNS.

Соединения Crigent с C&C-сервисом осуществляется через Tor и Polipo. Используемый URL содержит два идентификатора GUID: {C&C server}/get.php?s=setup&mom={GUID #1}&uid={GUID #2}

Существует несколько способов обнаружения червя внутри системы. Во-первых, подозрение может вызывать присутствие во внутренней сети Polipo и Tor. Стоит отметить, что используемые червем .DOC и .XLS больше не являются расширениями по умолчанию. Версии Office от Office 2007 и выше используют по умолчанию расширения .DOCX и .XLSX, с поддержкой более ранних форматов в целях обратной совместимости. Поэтому присутствие большого количества новых файлов, использующих старое расширение, может быть признаком присутствия Crigent.

Появился подозреваемый в разглашении информации об авторах Stuxnet

Появился подозреваемый в разглашении информации об авторах Stuxnet

Спецслужбы США продолжают искать виновного в рассекречивании секретной кибероперации по внедрению червя Stuxnet в компьютерные системы Ирана.

Подробности об операции «Олимпийские игры» были опубликованы в газете NY Times 1 июня 2012 года. В статье описано, как проходили совещания у президента Обамы, на которых подробно докладывалось о ходе внедрения Stuxnet. Президент постоянно держал руку на пульсе, ему докладывали о прогрессе и он одобрял каждый новый этап. Первая версия Stuxnet была написана еще при бывшем президенте Джордже Буше американскими экспертами в тесном сотрудничестве со специалистами израильской армии. Программа имела конкретную цель: искать центрифуги Siemens P-1, которые используются для обогащения ядерного топлива, и физически вывести их из строя. Это осуществлялось путем неожиданного уменьшения или увеличения скорости вращения центрифуг, так что в конце концов они ломались. Как сообщается, операция увенчалась успехом: количество центрифуг по обогащению урана временно уменьшилось с 5000 до 4000, а ядерная программа Ирана затормозилась на полтора-два года. При этом авторы Stuxnet сумели замести следы, так что иранские специалисты списали инцидент на механические проблемы оборудования.

Операция «Олимпийские игры» — первый случай, когда США целенаправленно провели атаку на инфраструктуру другого государства с помощью кибероружия.

Спустя год после утечки информации до сих пор остается неясным, кто передал ее известному журналисту Дэвиду Сангеру в таких подробностях. Круг осведомленных лиц ограничен высшими чинами армии, разведки и администрации президента, которые участвовали в описанных совещаниях.

Естественно, расследование инцидента началось сразу же после публикации в NY Times, причем ФБР получило полномочия на допрос самых высоких чиновников, вплоть до министров. В июле 2013 года у следствия, наконец-то, появился первый подозреваемый. Как сообщает NBC News со ссылкой на свои источники, Министерство юстиции США выслало официальное уведомление о начале расследования генералу в отставке Джеймсу Картрайту (James Cartwright). Теперь сыщики могут официально изучить его телефонные разговоры, SMS и электронную почту за прошлый год.

Джеймс Картрайт в 2007-2011 годы занимал пост вице-председателя Объединенного комитета начальников штабов, то есть был вторым по рангу офицером в главном органе управления вооруженными силами США и имел статус советника президента по безопасности. Он подал в отставку в августе 2011-го.

63-летний генерал в отставке может стать очередной жертвой антишпионского закона Espionage Act. За годы правления Обамы по этому закону «обработали» восемь человек. Президент год назад официально заявил, что виновные в таких утечках должны быть наказаны без всякого снисхождения (“zero tolerance”).

Администрация президента и Джеймс Картрайт пока воздерживаются от комментариев.

Сетевой червь Dorkbot распространяется через внутренний чат Facebook

Сетевой червь Dorkbot распространяется через внутренний чат Facebook

Специалисты компании Bitdefender выявили новую модификацию червя Dorkbot. Вредоносная программа распространяется посредством внутреннего чата Facebook. Инфицировав устройство, вредонос начинает отслеживать интернет-активность пользователей, а также красть их персональные данные, например, логины и пароли.  Кроме того, данная модификация Dorkbot позволяет киберпреступникам загружать на инфицированное устройство дополнительные вредоносные компоненты.

По данным экспертов, вредоносы семейства Dorkbot наиболее распространены в США, Индии, Португалии, Румынии, Германии, Турции и Великобритании.

Чтобы заставить жертву «впустить» вредонос в систему, злоумышленники маскируют его под вполне безопасный файл формата jpg.

Кроме того, Dorkbot может также распространяться посредством флешек, подключаемых к устройству.

Чтобы не стать жертвой Dorkbot, эксперты советуют интернет-пользователям игнорировать подозрительные ссылки, получаемые посредством мгновенных сообщений, даже если они якобы приходят от знакомого человека.