Растет активность рекламного трояна Boaxxe

Растет активность рекламного трояна Boaxxe

Александр Панасенко

Международная антивирусная компания ESET предупреждает о возросшей активности трояна Boaxxe, который заражает пользователей, перенаправляя их на рекламные сайты. Win32/Boaxxe.BE – семейство вредоносных программ, используемых киберпреступниками для перенаправления пользователя на рекламные сайты ради получения платы от рекламодателя (эта схема называется «кликфрод»).

Данная программа попадает в систему через вредоносные ссылки, которые активно распространяются на сомнительных или зараженных сайтах, а также через спам-рассылки. С сентября 2013 года троян Boaxxe распространяется силами участников одной из мошеннических партнерских программ (т.н. «партнерок») в русскоязычном сегменте сети.

За последние четыре месяца, в течение которых эксперты ESET отслеживали активность Boaxxe, к данной партнерской программе присоединились более сорока новых участников.

Согласно проанализированной статистике, за два месяца один из участников заразил трояном Boaxxe свыше 3300 устройств. Если экстраполировать эти данные, то получается, что лишь за счет сорока новых «партнеров» заражению подверглись не менее 100 000 пользователей.

Троян Boaxxe реализует два типа кликфрода – автоматический и инициированный пользователем. В первом случае клики на рекламные ссылки автоматически генерируются без ведома и участия пользователя, в течение всего времени работы зараженной системы. Во втором случае переход по рекламной ссылке инициирует сам пользователь – он вводит поисковый запрос в одну из легальных поисковых систем, после чего троян подставляет в результаты выдачи рекламные сайты вместо искомых.

При автоматическом кликфроде прибыль злоумышленников значительно выше – согласно статистике активности вышеупомянутого участника партнерки, за два месяца его прибыль составила $200 за автоматический кликфрод и всего $50 за обычный, инициированный пользователем.

На данный момент заинтересованность киберпреступников в Boaxxe подтверждается увеличением числа источников его распространения. Пиковая активность, представленная на графике, соответствует активности некоторых участников партнерской программы. Так, один из них перед Новым годом запустил масштабную спам-кампанию для широкого распространения трояна.

Стоит отметить осторожное поведение Boaxxe в захваченной системе – программа использует различные механизмы внедрения и заражения, в зависимости от используемого браузера, а также умеет скрываться от антивирусных сканеров.

Кроме того, троян избегает обнаружения самим пользователем. Так, когда пользователь выполняет поисковый запрос с использованием ключевого слова, Win32/Boaxxe.BE отправляет это слово в собственную поисковую систему, которая возвращает список подходящих рекламных сайтов, ссылки на которые и подставляются в поисковую выдачу.

При нажатии на такую ссылку пользователь не успевает увидеть легальную страницу, на которую он кликнул – вместо этого троян сразу перенаправляет его на одну из рекламных страниц, которые более-менее соотносятся с изначальным запросом. При отсутствии рекламных сайтов, относящихся к данному ключевому слову, перенаправление не выполняется.

Что примечательно, если в поисковой выдаче показываются ссылки на такие сервисы, как Wikipedia, Facebook или Twitter, содержание которых, скорее всего, хорошо знакомо пользователю, перенаправление также не будет осуществляться.

В итоге жертва Boaxxe может месяцами пополнять карманы злоумышленников и даже не подозревать об этом.

Подражатель Cryptolocker использует слабую криптографию

Подражатель Cryptolocker использует слабую криптографию

У криптографического трояна-вымогателя Cryptolocker, как у маньяка-убийцы, появляются свои подражатели, которые выдают себя за оригинал. Они пытаются копировать «почерк мастера», используя его фирменные приемы. При этом не гнушаются работать в новых регионах, в том числе в России, которые обходил стороной оригинальный Cryptolocker.

Для пользователей это означает, что в случае шифрования файлов с требованием выкупа появляется шанс спасти информацию бесплатно. Дело в том, что подражатель использует слабые криптографические стандарты, объяснил Андрей Комаров, исполнительный директор стартапа IntelCrawler.

Распространение нового трояна началось в декабре 2013 года. С тех пор обнаружено более 50 различных билдов, купленных на подпольных форумах. Основная часть заражений приходится на Россию.

После заражения компьютера троян копирует документы пользователя, зашифровывает копии с добавлением расширения .perfect и удаляет оригиналы. В каждой папке с документами размещается файл contact.txt с адресом электронной почты хозяина трояна, у которого есть ключ для расшифровки файлов.

Жертвам предлагают перевести до $150 на счет Perfect Money или QIWI VISA Virtual Card. Они должны сообщить имя хоста и уникальный идентификатор компьютера, который указан в том же файле contact.txt.

По мнению специалистов, троян разработали любители. Его невозможно сравнить с профессиональной разработкой авторов Cryptolocker. Те задействовали сеть C&C-серверов и используют для зашифровки файлов нерушимую комбинацию AES 256 бит и RSA 2048 бит.

Подражателю хватило ума только на библиотеку TurboPower LockBox, это криптографическая библиотека для Delphi. В частности, они использовали уязвимый шифр AES-CTR. Андрей Комаров говорит, что сейчас пишет универсальную программу для расшифровки файлов, она будет работать на любом компьютере. До ее выхода рекомендуется переименовать зашифрованные файлы и сменить имя хоста у компьютера.

Мобильные троянцы нашли новый путь к банковским счетам пользователей

Мобильные троянцы нашли новый путь к банковским счетам пользователей

Александр Панасенко

Мобильный троянец Svpeng, обнаруженный специалистами «Лаборатории Касперского» летом этого года и обладающий способностью красть деньги у пользователей смартфонов Android непосредственно с банковских счетов, стал еще хитрее – теперь он способен выманивать у пользователей их учетные данные от систем онлайн-банкинга при помощи фишинга.

Новый функционал этого троянца проявляется в том, что зловред подменяет открытое окно легального банковского приложения на фишинговое. Соответственно, все данные учетной записи системы интернет-банкинга, которые пользователь вводит в этом поддельном окне, отправляются прямиком к злоумышленникам.

Подобным же образом троянец Svpeng пытается украсть и данные банковской карты жертвы: при запуске приложения Google Play пользователь видит на экране смартфона окно, в котором ему предлагается ввести номер и секретный код своей платежной карты. Этот фишинговый прием также позволяет мошенникам получить легкий доступ к финансовым данным доверчивых или невнимательных пользователей.

Фишинговый функционал троянца Svpeng в действии

 

За три месяца существования троянца Svpeng «Лаборатория Касперского» обнаружила 50 модификаций этой вредоносной программы, а защитный продукт Kaspersky Internet Security для Android за это же время заблокировал более 900 установок троянца.

Примечательно, что в случае попадания на смартфон этот зловред предпринимает меры для самозащиты, усложняющие его обнаружение и удаление из системы. В частности, Svpeng использует ранее неизвестную уязвимость в платформе Android, благодаря которой может предотвращать сброс настроек телефона до заводских и препятствовать своему удалению. Единственным «противоядием» в этой ситуации является антивирус – Kaspersky Internet Security для Android способен удалить эту вредоносную программу из смартфона несмотря на все ее ухищрения.

«Мобильный троянец Svpeng распространяется с помощью SMS-спама, в котором злоумышленники нередко используют приемы социальной инженерии: имена известных сервисов, интригующие предложения, прикрытие знакомыми именами. Все это не должно вводить пользователя в заблуждение. Переход по ссылке в SMS является одним из наиболее распространенных способов заражения вредоносными программами, а потому делать этого никогда не стоит», – советует Роман Унучек, антивирусный эксперт «Лаборатории Касперского».

Клиентам банков в Европе угрожает новый опасный троянец Hesperbot

Клиентам банков в Европе угрожает новый опасный троянец Hesperbot

Александр Панасенко

Антивирусная компания Eset сегодня сообщила об обнаружении нового изощренного банковского троянца, направленного на пользователей из Европы и Азии. Новый вредносный код обладает широкими возможностями в плане похищения средств пользователей и может распространяться по электронной почте, а также пытается инфициаровать устройства на базе Android, Symbian и BlackBerry.

Новый троянец получил название Hesperbot и впервые был обнаружен при помощи облачной сети Eset LiveGrid, которая обнаружила первый очаг заражения Hesperbot в Турции, где этот вредонос был найден на сотнях компьютеров. Позже признаки присутствия банковского троянца были зафиксированы в Чехии, Португалии и Великобритании. Несколько жертв банковского вредоноса уже заявили, что лишились средств на банковских счетах, пишет cybersecurity.ru.

В Eset говорят, что Hesperbot обладает встроенным кейлоггером, может делать тайные снимки экрана и имеет встроенный прокси-сервер, при помощи которого прячутся соединения зараженного компьютера с хакерским сервером.

«Наш анализ возможностей Hesperbot показывает, что его функционал очень похож на функционал троянцев Zeus и SpyEye, причем все три вредоносных кода имеют схожие цели. Но значительная разница в реализации методов и алгоритма указывает на то, что эти коды все-таки относятся к разным семействам», — говорит Роберт Липовски, антивирусный эксперт Eset.

По его словам, операторы Hesperbot пытаются самыми разными путями заполучить реквизиты для входа в системы онлайн-банкинга европейских и азиатских банков. Если же заполучить реквизиты не получается, то код пытается установить свой мобильный модуль для Android, Symbian или BlackBerry.

Латвия не выдает США автора трояна Gozi из-за «неадекватно сурового наказания»

Латвия не выдает США автора трояна Gozi из-за «неадекватно сурового наказания»

В январе 2013 года Министерство юстиции США объявило о возбуждении дела против трех обвиняемых в создании и распространении банковского трояна Gozi. Один из них — гражданин России, другой — Латвии, третий — Румынии. По оценке следствия, троян Gozi мог заразить до 1 миллиона компьютеров по всему миру, в том числе до 40 тыс. — в США.

Россиянину Никите Кузьмину не повезло больше других: его арестовали еще в ноябре 2010 года по другому делу. 27-летний латвиец Денис Чаловский (Deniss Calovskis), который считается автором программного кода трояна, был задержан латвийской полицией в ноябре 2012 года. Но сейчас дело приобрело неожиданный поворот. Несмотря на дружеские отношения с Америкой, латвийские власти осмелились воспротивиться экстрадиции хакера.

Министр иностранных дел Латвии высказался против экстрадиции. Он сказал, что потенциальный срок 67 лет тюремного заключения кажется ему «неадекватно суровым наказанием» за такое преступление.

Американские суды отличаются нетерпимым отношением к хакерам. В отличие от европейских или постсоветских стран, в США за несанкционированное проникновение в компьютерную систему можно получить очень длительный срок тюремного заключения. Ситуация усугубляется компьютерной неграмотностью судей, что дает повод говорить о настоящем «хакерском сумасшествии» в судебной системе.

На графике показано количество заключенных в тюрьмах США в 1920-2006 гг.

Румынский обвиняемый по делу Gozi сейчас тоже борется против экстрадиции в США.

Новый троянец взламывает блоги в России и за рубежом

Новый троянец взламывает блоги в России и за рубежом

Александр Панасенко

Компания «Доктор Веб» предупреждает о распространении вредоносной программы Trojan.WPCracker.1, предназначенной для взлома блогов и сайтов, работающих под управлением популярных CMS (систем управления содержимым), в частности Worldpress. С помощью этого троянца злоумышленники могут поменять содержимое блогов или же инфицировать их другими вредоносными программами, которые будут угрожать будущим посетителям. Именно с распространением Trojan.WPCracker.1 может быть связан отмечаемый многочисленными экспертами в настоящее время всплеск масштабных атак на веб-сайты.

Попав на инфицированный компьютер, Trojan.WPCracker.1 создает свою копию в одной из системных папок и модифицирует ветвь реестра Windows, отвечающую за автоматический запуск приложений при старте операционной системы. Затем троянец устанавливает соединение со злоумышленниками, обращаясь на их удаленный сервер, news.drweb.com.

Злоумышленники отсылают троянцу список блогов и сайтов, работающих под управлением популярных CMS, среди которых WordPress и Joomla, и начинает подбор паролей к ним. В случае если процедура подбора пароля завершилась успехом, полученные данные троянец отправляет на принадлежащий злоумышленникам сервер.

 

 

 

В дальнейшем авторы троянца Trojan.WPCracker.1 используют свою модель монетизации – они продают доступ к взломанным сайтам третьим лицам (как правило, другим злоумышленникам), получая прямой доход.

 

 

Чем опасен Trojan.WPCracker.1 для своих жертв? С его помощью злоумышленники могут полностью поменять контент взломанного блога или же установить там другие вредоносные программы, которые будут нести прямую угрозу будущим посетителям. Именно с распространением данной вредоносной программы может быть связан отмечаемый многочисленными экспертами в настоящее время всплеск масштабных атак на веб-сайты путем подбора паролей к учетной записи администратора.

Обзор российского рынка Android-зловредов

Обзор российского рынка Android-зловредов

На хакерской конференции Defcon большой интерес публики вызвала презентация компании Lookout Security, посвященная российскому рынку разработки Android-зловредов, которые отправляют SMS на платные номера. По мнению аналитиков, в России есть более десятка компаний (так называемые Malware HQ), которые специализируются на распространении таких зловредов. Эти «стартапы» работают практически открыто, через партнерские программы.

Десять крупнейших компаний контролируют более 60% рынка. Они обеспечивают логистику, менеджмент, предоставляют короткие номера SMS и легко конфигурируемую платформу для создания зловредов Android SMS. У каждой из них в управлении до 100 коротких номеров SMS.

Партнеры, в свою очередь, настраивают зловреды под свои нужды и распространяют через подконтрольные сайты, в твиттере и социальных сетях. Партнеры могут зарабатывать от $700 до $12000 в месяц, получая до 80-85% прибыли, генерируемой пользователями на платных SMS.

По мнению аналитиков, в России действуют несколько тысяч отдельных дистрибьюторов зловредов, на этот рынок работают десятки тысяч сайтов. Общий оборот индустрии, вероятно, оценивается в миллионы долларов.

Как и в обычных стартапах, над созданием зловредов трудятся группы профессиональных разработчиков, которые выпускают новые релизы через 1-2 недели.

В Сети участились случаи атак с использованием трояна «njRAT»

В Сети участились случаи атак с использованием трояна «njRAT»

Специалисты компании Fidelis Security Systems сообщили о том, что в Сети стал активно эксплуатироваться троян под названием «njRAT». Более того, они подчеркивают резкий рост кибератак с его применением.

На текущий момент вирус используют для проведения целевых кибератак на телекоммуникации, энергетический сектор и информационные системы стран Ближнего Востока. Однако из-за того, что вредоносное ПО находится в открытом доступе, эксперты по ИБ уверены, что злоумышленники могут осуществлять атаки и на другие цели.

Специалисты компании сообщают, что «njRAT» обладает функциями клавиатурного шпиона и может получить доступ к web-камере жертвы. Кроме того, троян можно использовать для похищения логинов и паролей, а также инсталляции рабочей оболочки.

В Fidelis Security Systems также говорят, что главным способом распространения вредоносного ПО являются фишинговые атаки, скрытые загрузки (drive-by download) и инфицированные приложения.

Помимо прочего, посредством эксплуатации вируса злоумышленники могут получить доступ к рабочему столу компьютера жертвы, загружать и скачивать файлы, управлять процессами и вносить изменения в реестр.

По словам ИБ-экспертов, антивирусные решения некоторых крупных компаний не способны обнаружить все модификации трояна.

Появился подозреваемый в разглашении информации об авторах Stuxnet

Появился подозреваемый в разглашении информации об авторах Stuxnet

Спецслужбы США продолжают искать виновного в рассекречивании секретной кибероперации по внедрению червя Stuxnet в компьютерные системы Ирана.

Подробности об операции «Олимпийские игры» были опубликованы в газете NY Times 1 июня 2012 года. В статье описано, как проходили совещания у президента Обамы, на которых подробно докладывалось о ходе внедрения Stuxnet. Президент постоянно держал руку на пульсе, ему докладывали о прогрессе и он одобрял каждый новый этап. Первая версия Stuxnet была написана еще при бывшем президенте Джордже Буше американскими экспертами в тесном сотрудничестве со специалистами израильской армии. Программа имела конкретную цель: искать центрифуги Siemens P-1, которые используются для обогащения ядерного топлива, и физически вывести их из строя. Это осуществлялось путем неожиданного уменьшения или увеличения скорости вращения центрифуг, так что в конце концов они ломались. Как сообщается, операция увенчалась успехом: количество центрифуг по обогащению урана временно уменьшилось с 5000 до 4000, а ядерная программа Ирана затормозилась на полтора-два года. При этом авторы Stuxnet сумели замести следы, так что иранские специалисты списали инцидент на механические проблемы оборудования.

Операция «Олимпийские игры» — первый случай, когда США целенаправленно провели атаку на инфраструктуру другого государства с помощью кибероружия.

Спустя год после утечки информации до сих пор остается неясным, кто передал ее известному журналисту Дэвиду Сангеру в таких подробностях. Круг осведомленных лиц ограничен высшими чинами армии, разведки и администрации президента, которые участвовали в описанных совещаниях.

Естественно, расследование инцидента началось сразу же после публикации в NY Times, причем ФБР получило полномочия на допрос самых высоких чиновников, вплоть до министров. В июле 2013 года у следствия, наконец-то, появился первый подозреваемый. Как сообщает NBC News со ссылкой на свои источники, Министерство юстиции США выслало официальное уведомление о начале расследования генералу в отставке Джеймсу Картрайту (James Cartwright). Теперь сыщики могут официально изучить его телефонные разговоры, SMS и электронную почту за прошлый год.

Джеймс Картрайт в 2007-2011 годы занимал пост вице-председателя Объединенного комитета начальников штабов, то есть был вторым по рангу офицером в главном органе управления вооруженными силами США и имел статус советника президента по безопасности. Он подал в отставку в августе 2011-го.

63-летний генерал в отставке может стать очередной жертвой антишпионского закона Espionage Act. За годы правления Обамы по этому закону «обработали» восемь человек. Президент год назад официально заявил, что виновные в таких утечках должны быть наказаны без всякого снисхождения (“zero tolerance”).

Администрация президента и Джеймс Картрайт пока воздерживаются от комментариев.

Обнаружена опасная уязвимость в ОС Android

Обнаружена опасная уязвимость в ОС Android

Александр Панасенко

Исследовательская группа Bluebox Security Labs недавно обнаружила уязвимость в модели обеспечения безопасности Android, которая позволяет изменить код приложения .apk, не повреждая криптографическую подпись приложения. Таким образом можно превращать любое подписанное приложение в троянскую программу. Причем подмены абсолютно никто не заметит. Ни Play Market, ни телефон, ни пользователь.

Эта уязвимость присутствует начиная с версии Android 1.6 «Donut» или по-другому говоря на любом телефоне, купленном не позже 4 лет назад. Или это почти 900 миллионов девайсов. Злоумышленники в зависимости от типа приложения могут использовать уязвимость для хищения данных или для создания мобильного ботнета, пишет habrahabr.ru.

Для частных лиц и предприятий (вредоносное приложение может получить доступ к отдельным данным, или проникнуть в предприятия) опасность достаточно велика, тем более, если учесть, что приложения, разработанные производителями устройств (например, HTC, Samsung, Motorola, LG) или третьих лиц, которые работают в сотрудничестве с производителем устройства, имеют особые привилегии в Android.

Внедрение кода в приложение от производителя устройства может предоставить полный доступ к системе Android и всем установленным приложениям (или их данным). У приложения тогда будет возможность не только считывать произвольные данные приложения на устройстве (электронная почта, SMS-сообщения, документы, и т.д.), но и будет шанс получить доступ к сохраненным паролям. Причем это не помешает нормально функционировать телефону и управлять любой функцией (сделать произвольные телефонные вызовы, отправить произвольные SMS-сообщения, включить камеру и записать вызов). Наконец, можно создать целый ботнет.

Как это работает:

Все приложения Android имеют криптографические подписи, которые позволяют операционной системе Android определить и проверить — вмешались ли в код программы или нет. Когда приложение установлено, то для него создается песочница, Android записывает цифровую подпись этого приложения. Все последующие обновления для приложения должны соответствовать этой самой подписи, чтобы проверить, что оно от того же автора.

Уязвимость использует несоответствие, которое допускается при модификации приложения APK, при этом не повреждая криптографическую подпись приложения. Простыми словами, уязвимость позволяет обмануть Android и он будет думать, что приложение не было изменено.

В своей презентации Джефф расскажет о баге 8219321 в Android OS, о котором он сообщил в Google в феврале этого года, и об эксплойте, который работает практически на всех Android-устройствах, независимо от их возраста.

Снимок экрана демонстрирует, что Bluebox Security изменили приложение от производителя так, что теперь у них есть полный доступ к устройству. В данном случае компания изменила информацию о программном обеспечении устройства.

Злоумышленники могут использовать множество методов, чтобы распространить такие троянские приложения, включая отправку их по электронной почте, загружая их на сторонний Маркет, размещая их на любом веб-сайте. Некоторые из этих методов, особенно сторонние репозитории приложений, уже используются, чтобы распространить вредоносное программное обеспечение для Android. Используя Google Play, чтобы распространить приложение, которые было изменено, — не получится. Потому что Google обновил процесс записи приложения в Маркет, дабы блокировать приложения, которые содержат эту проблему.

Между прочим, Google был уведомлен относительно уязвимости еще в феврале, и компания поделилась информацией с их партнерами. И теперь партнерам нужно решить, когда выпустить обновление для устройств. Форристэл подтвердил, что одно устройство, Samsung S4, уже имеет заплатку, которая демонстрирует, что некоторые производители устройств уже начали выпускать патчи. Google еще не выпустил патч для своих Nexus устройств, но компания работает над этим.