Security­Lab.ru
21 ноября, 2013

Исследователи компании Bitdefender, занимающейся созданием антивирусных решений, обнаружили вредоносное ПО Antivirus Security Pro, способное обходить антивирус благодаря похищенным цифровым сертификатам. По словам экспертов, вредонос устанавливается на компьютер при помощи загрузчика с цифровой подписью.

«Установочный файл, поставляющийся через интернет, подписан цифровым сертификатом, выпущенным компанией Ease Entertainment Services 22 ноября прошлого года. В настоящее время этот сертификат действительный (если его еще не аннулировали). Скорее всего, он был похищен», - сообщил старший аналитик Bitdefender Богдан Ботезату (Bogdan Botezatu).

Эксперты Bitdefender уведомили Ease Entertainment Services о краже, поэтому в ближайшее время сертификат будет аннулирован. По словам Ботезату, злоумышленники не продлевали срок его действия, который истекает в ноябре 2014 года.

Antivirus Security Pro является вредоносным ПО, маскирующимся под антивирус. Загрузившись на систему, поддельная программа сканирует ее, а затем отправляет пользователю уведомление, что его компьютер заражен серьезным вирусом, для удаления которого необходимо приобрести полную платную версию «антивируса».

«Современные операционные системы по-разному ведут себя с файлами, подписанными цифровой подписью, которые пытаются выполнить общесистемные изменения. При помощи различных «подсказок» неподписанное ПО пытается привлечь внимание пользователей и получить преимущества перед программами с цифровой подписью», - сообщил Ботезату.

текст: Георгий Орлов /Infox.ru
опубликовано 25 ноя ‘13 17:17

Международная антивирусная компания ESET озвучила детали расследования атаки на Skype, жертвами которой стало более 500 тысяч пользователей.

В мае экспертами ESET была обнаружена массовая спам-кампания в мессенджерах Skype и Gtalk. Злоумышленниками были использованы разные методы социнженерии, предлагающие пользователям перейти по ссылкам. Ссылки были замаскированы через легальный сервис Google URL Shortener и вели на вредоносное ПО. За двое суток по ссылкам перешли полмиллиона пользователей.

Аналитики ESET все результаты расследования опубликовали в отчете «Хронология атаки в Skype». Согласно итогам анализа, 27% переходов по зараженным ссылкам осуществили жители Мексики, Бразилии и Колумбии. Россия также оказалась в центре атаки, на уловку мошенников попались 40 тысяч человек. Лидером среди количества кликов стала Германия — 80 тысяч.

В качестве вируса была использована модификация угрозы Win32/Gapz, основанная на PowerLoader. Указанное ПО обходит механизмы информационной безопасности и загружает на компьютер червя Win32/Rodpicom.C, рассылающего ссылки в сервисах мгновенного обмена сообщениями.

Червь на компьютере пользователя ищет процессы для последующего обнаружения сервисов обмена мгновенными сообщениями, после чего распространяет вредоносный код по контактам пользователя. Вирусной лабораторией ESET было обнаружено 130 различных вредоносных файлов, из которых основное количество являют собой Win32/PowerLoader и Win32/Rodpicom. На сегодняшний день обе угрозы по-прежнему активны.

хакер.ру
25.11.2013

Новый слайд из презентации, которую Эдвард Сноуден передал в СМИ, демонстрирует поистине глобальный размах действий Агентства национальной безопасности США. На слайде показаны региональные программы слежения, которые действуют в разных странах мира. При этом количество точек доступа к посторонним сетям (Computer Network Exploitation) сотрудники АНБ оценивают более чем в 50 тыс.

[highslide]http://www.xakep.ru/post/61644/nsa.jpg[/highslide]

На официальной странице подразделения Computer Network Operations указано, что программа использования эксплойтов включает в себя «действия и сбор информации из вражеских информационных систем и сетей».

В августе 2013 года газета NY Times писала, что подобными операциями в АНБ занимается элитное хакерское подразделение под названием Tailored Access Operations (TAO). Например, руководитель техасского подразделения TAO, в распоряжении которого есть 14 хакеров, сообщил, что его группа совершила более 54 тыс. операций типа Global Network Exploitation для национальной разведки.

По мнению специалистов, 50 тыс. заражений — исключительно малое количество для национальной разведки. Вероятно, АНБ интересуют только важные цели — крупные банки, интернет-провайдеры, телекомы и прочие организации, через которые можно осуществлять массовый сбор данных.

---

СМИ назвали количество зараженных АНБ компьютерных сетей


Фото: Kai Pfaffenbach / Reuters

Lenta.ru
11:24, 25 ноября 2013

Агентство национальной безопасности США (АНБ) заразило вирусами более 50 000 компьютерных сетей по всему миру. Об этом со ссылкой на документы, предоставленные бывшим сотрудником ведомства Эдвардом Сноуденом, сообщила голландская газета NRC Handelsblad.

Взлом и заражение сетей производились для последующей установки в них программного обеспечения, которое позволяло работникам спецслужб получать доступ к персональной информации, передающейся через интернет.

Как следует из опубликованного газетой секретного слайда АНБ, внутри самой спецслужбы метод получения информации из закрытых компьютерных систем с помощью их заражения получил название CNE (Computer Network Exploitation). В 2012 году объектами CNE-атак стали сети, расположенные в США, Китае, Бразилии, Индии, Венесуэле, нескольких африканских и арабских странах. Взломам со стороны американской разведки подвергались и сети, размещенные на территории России.

Ранее стало известно, что схожими методами компьютерного слежения пользовались также в Британском центре правительственной связи (GCHQ) . По информации СМИ, сотрудники GCHQ получали доступ к переписке и конфиденциальным данным, передававшимся через сети бельгийского интернет-провайдера Belgacom и международной Организации стран-экспортеров нефти (ОПЕК). Для сбора сведений британские спецслужбы использовали метод так называемого «квантового проникновения» (quantum insert), который позволял заражать компьютеры вирусами через поддельные страницы соцсети LinkedIn и интернет-издания Slashdot.

О том, что американским Агентством национальной безопасности ведется массовая слежка за пользователями интернета по всему миру впервые стало известно летом 2013 года. Сведения об этом передал прессе экс-сотрудник АНБ Эдвард Сноуден. Сам Сноуден обвиняется властями США в разглашении государственной тайны. В настоящее время он находится в России, где ему предоставлено временное убежище сроком на один год.

Security­Lab.ru
14 января, 2014. 11:08

Уязвимость в устройствах позволяла удаленному пользователю получать права администратора.

Компания Cisco Systems заявила о выпуске обновлений аппаратного обеспечения своей продукции и удалении бэкдоров, недавно обнаруженных в беспроводной точке доступа и двух моделях маршрутизаторов. Незадокументированное ПО позволяло удаленно получить доступ администратора к зараженному устройству.

Уязвимость в маршрутизаторе Linksys WAG200G была найдена в конце прошлого месяца исследователем Элоем Вандербекеном (Eloi Vanderbeken). Он обнаружил сервис прослушивания через порт 32764 TCP, подключение к которому позволяет удаленному пользователю отправлять устройству неаутентифицированные команды и сбрасывать пароль администратора.

После сообщения Вандербекена многие пользователи стали сообщать о наличии бэкдоров в различных продуктах как Cisco, так и Netgear, Belkin и других производителей. На многих устройствах получить доступ можно было только из локальных беспроводных сетей, однако некоторые продукты были доступны через интернет.

Что касается Cisco Systems, то компания сообщила об уязвимостях в беспроводной точке доступа WAP4410N, а также маршрутизаторах WRVS4400N и RVS4000. За Linksys ответственность лежит на Belkin, поскольку Cisco продала этот маршрутизатор еще в начале прошлого года.

Напомним* , что ранее компания утверждала, что в ее продукции отсутствуют бэкдоры, внедренные Агентством национальной безопасности США.

---

*
18 октября, 2013

Компания заявила, что не использует проблемный алгоритм генерации псевдослучайных чисел в своих продуктах.

Скандал с массовым прослушиванием АНБ ведомств и компаний, внедрением бэкдоров в ряд популярных продуктов и тотальным слежением за гражданами различных стран мира не мог не коснуться одного из крупнейших производителей сетевого оборудования.

Недавние события, связанные с генератором псевдослучайных чисел DUAL_EC_DRBG, заставили копанию Cisco сделать заявление по этому поводу. Дело в том, что шифрование DUAL_EC_DRBG включено в состав BSAFE тулкита, который используется для обеспечения шифрования и входит в состав продуктов компании.

Энтони Грико (Anthony Grieco) опубликовал в официальном блоге компании сообщение, заверяющее пользователей, что в продуктах компании Cisco не используется бэкдор от АНБ.

"Я немного зайду наперед и скажу: мы не используем Dual_EC_DRBG в наших продуктах. Это правда, что некоторые библиотеки могут поддерживать DUAL_EC_DRBG, но этот алгоритм выключен в наших продуктах."

Согласно сообщению в блоге, алгоритм генерации псевдослучайных чисел, который используется во всех продуктах Cisco, определяется компанией, и не может быть изменен в настройках пользователем.

Впервые о бэкдоре от АНБ заговорили еще в 2007 году, когда алгоритм генерации псевдослучайных чисел Dual_EC_DRBG вошел как опция в пакет обновления Service Pack 1 операционной системы Windows Vista. На конференции CRYPTO 2007 криптоаналитики Нильс Фергюсон (Niels Ferguson) и Дэн Шумоу (Dan Shumow) заявили о том, что в Dual_EC_DRBG содержится фиксированный набор чисел, позволяющий лицам, знающим его, предсказывать сгенерированные алгоритмом псевдослучайные числа.

Новую огласку этот алгоритм получил в сентябре этого года из-за скандала, связанного с Эдвардом Сноуденом. Представители RSA разослали электронной почтой бюллетень ESA-2013-068 с рекомендацией заменить скомпрометированный генератор случайных чисел Dual_EC_DRBG.

CNews
27.01.14, Пн, 19:35, Мск

Международная антивирусная компания Eset сообщила о возросшей активности трояна Boaxxe, который заражает русскоязычных пользователей, перенаправляя их на рекламные сайты.
Как говорится в заявлении Eset, поступившем в редакцию CNews, Win32/Boaxxe.BE представляет собой семейство вредоносных программ, используемых киберпреступниками для перенаправления пользователя на рекламные сайты ради получения платы от рекламодателя (эта схема называется «кликфрод»).
Данная программа попадает в систему через вредоносные ссылки, которые активно распространяются на сомнительных или зараженных сайтах, а также через спам-рассылки. С сентября 2013 г. троян Boaxxe распространяется силами участников одной из мошеннических партнерских программ (так называемых «партнерок») в русскоязычном сегменте сети. За последние четыре месяца, в течение которых эксперты Eset отслеживали активность Boaxxe, к данной партнерской программе присоединились более сорока новых участников.
Согласно проанализированной статистике, за два месяца один из участников заразил трояном Boaxxe свыше 3300 устройств. Если экстраполировать эти данные, то получается, что лишь за счет сорока новых «партнеров» заражению подверглись не менее 100 тыс. пользователей.
Троян Boaxxe реализует два типа кликфрода — автоматический и инициированный пользователем. В первом случае клики на рекламные ссылки автоматически генерируются без ведома и участия пользователя, в течение всего времени работы зараженной системы. Во втором случае переход по рекламной ссылке инициирует сам пользователь — он вводит поисковый запрос в одну из легальных поисковых систем, после чего троян подставляет в результаты выдачи рекламные сайты вместо искомых, рассказали в Eset.
При автоматическом кликфроде прибыль злоумышленников значительно выше — согласно статистике активности вышеупомянутого участника партнерки, за два месяца его прибыль составила $200 за автоматический кликфрод и всего $50 за обычный, инициированный пользователем.


Еженедельные обнаружения Win32/Boaxxe.BE, начиная с сентября 2013 года

На данный момент заинтересованность киберпреступников в Boaxxe подтверждается увеличением числа источников его распространения, отметили в компании. Пиковая активность, представленная на графике, соответствует активности некоторых участников партнерской программы. Так, один из них перед Новым годом запустил масштабную спам-кампанию для широкого распространения трояна.
В Eset также отметили осторожное поведение Boaxxe в захваченной системе — программа использует различные механизмы внедрения и заражения, в зависимости от используемого браузера, а также умеет скрываться от антивирусных сканеров.
Кроме того, троян избегает обнаружения самим пользователем. Так, когда пользователь выполняет поисковый запрос с использованием ключевого слова, Win32/Boaxxe.BE отправляет это слово в собственную поисковую систему, которая возвращает список подходящих рекламных сайтов, ссылки на которые и подставляются в поисковую выдачу.
При нажатии на такую ссылку пользователь не успевает увидеть легальную страницу, на которую он кликнул. Вместо этого троян сразу перенаправляет его на одну из рекламных страниц, которые более-менее соотносятся с изначальным запросом.
Также примечательно, что при отсутствии рекламных сайтов, относящихся к данному ключевому слову, перенаправление не выполняется. Если в поисковой выдаче показываются ссылки на такие сервисы, как Wikipedia, Facebook или Twitter, содержание которых, скорее всего, хорошо знакомо пользователю, перенаправление также не будет осуществляться. В итоге жертва Boaxxe может месяцами пополнять карманы злоумышленников и даже не подозревать об этом

Фото: ЕРА

РБК daily
08:41, 31.01.2014

Американская компания Yahoo! уведомила пользователей своего почтового сервиса об атаке хакеров и краже паролей от аккаунтов, говорится в сообщении компании. Вместе с тем там не уточняют, сколько именно аккаунтов было взломано. Кроме того, в Yahoo! выразили уверенность, что логины и пароли от почтовых ящиков были украдены не из хранилища корпорации, а получены от третьей стороны.

«Мы зафиксировали скоординированные попытки взлома почтовых ящиков наших пользователей. Обнаружив подозрительную активность, наша компания предприняла немедленные меры для защиты клиентов», — цитирует ИТАР-ТАСС сообщение компании.
Для защиты информации пользователям предложено не просто изменить секретные пароли, но и привязать доступ к почте к мобильному номеру владельца, то есть использовать двухступенчатый метод идентификации. Yahoo! также сообщила, что сейчас сотрудничает с правоохранительными органами для определения злоумышленников и привлечения их к ответственности.

В конце декабря 2013 года был выявлен хакерский сервер, на котором были сохранены имена пользователей и пароли почти от 2 млн учетных записей в Facebook, Gmail, YouTube, Twitter и соцсети «Одноклассники». Пароли от аккаунтов были украдены у пользователей по всему миру. Так, безопасности в Сети лишились 318 тыс. учетных записей в Facebook, 70 тыс. аккаунтов Gmail и YouTube, 22 тыс. аккаунтов Twitter, а также 9 тыс. аккаунтов соцсети «Одноклассники».

Как отмечал ранее аналитический центр Zecurion Analytics, ущерб от утечек конфиденциальной информации в 2012 году остался примерно на уровне прошлого года (20,582 млрд долл.) и составил 20,083 млрд долл. Число российских утечек с ощутимым потенциальным ущербом также осталось примерно на уровне прошлого года (36 в 2012 году против 41 в 2011 году), что составило 4% мировых сливов информации. Вместе с тем поменялся и отраслевой профиль утечек. Если в 2011 году больше всего утечек было зарегистрировано в отрасли здравоохранения, то по итогам 2012 года медучреждения оказались только четвертыми после учебных заведений, госорганизаций и предприятий розничной и интернет-торговли.

03.02.2014, 10:24 Новостная служба Ferra

Компания Symantec сообщила о том, что сервис мгновенного обмена картинками и сообщениями Snapchat, ставший популярным в США и некоторых странах Европы, набирает популярность и среди спамеров. В новой волне спам-атак использованы эротические фотографии в сочетании со ссылками, выглядящими как ссылки на сайты известных компаний. Используя чужие короткие домены, спамеры создают очень похожие собственные ссылки, вызывающие у пользователей ложное чувство доверия.


Спам в Snapchat

Ранее специалисты Symantec сообщали о том, что злоумышленники завлекали пользователей при помощи порнографии и фальшивых сообщений от тайного поклонника. На сей раз пользователю приходит фотография эротического характера с фальшивой просьбой изображенной на ней девушки добавить ее в друзья в популярном в США сервисе обмена сообщениями Kik Messenger. Затем в дело идет тот самый чат-бот, с которым эксперты Symantec столкнулись на Tinder этим летом.

Интересным новшеством стало использование в этой спам-кампании укороченных ссылок, публикуемых под доменами небольших сайтов или сайтов популярных брэндов. Спамеры нашли способ создавать собственные ссылки, используя чужие короткие домены, вызывая таким образом у пользователей ложное чувство доверия. За фальшивыми адресами известных компаний скрываются ссылки, перенаправляющие пользователей на сайты adult webcam.

Специалисты компании Symantec тесно сотрудничают с сервисом создания укороченных ссылок Bitly с целью выявления фактов их использования спамерами и блокирования таких ссылок. Специалисты Bitly подтвердили, что некоторым спамерам удалось получить API-ключи Bitly, принадлежащие различным известным компаниям, часть из которых использует сервис размещения социальных закладок AddThis, который лишь совсем недавно перестал требовать от пользователей использование их API-ключей в открытом виде.

Источник: Snapchat

Компьютерное обозрение (ko.com.ua)
6 февраля 2014 г., 12:06

Спецслужба Великобритании GCHQ (Government Communications Headquarters, Центр правительственной связи), ответственная за ведение радиоэлектронной разведки и за обеспечение защиты информации правительства и армии, организовывала кибератаки против участников движения Anonymous. Согласно документам Агентства национальной безопасности США (NSA), предоставленным бывшим сотрудником NSA Эдвардом Сноуденом (Edward Snowden) и опубликованным телеканалом NBC, этой деятельностью занималась специальная группа агентов под названием Joint Threat Research Intelligence Group (JTRIG), о существовании которой ранее не было известно.

Так, еще в 2012 г. британские спецслужбы проводили DDoS-атаки на IRC-чаты, используемые для общения хактивистами. Операция под названием Rolling Thunder была инициирована после того, как в 2011 г. группа Anonymous в поддержку движения WikiLeaks (которому крупные платежные системы заблокировали перевод средств), атаковала сайты PayPal, MasterCard и VISA.

Агенты JTRIG внедрялись в IRC-чаты чтобы выявить хакеров, атаковавших правительственные ресурсы. В документах приводятся датированные 2011 г. фрагменты переписки сотрудников спецслужб с участниками GZero, Topiary и pOke группы Anonymous, в ходе одного сеанса агент провоцировал pOke перейти по ссылке на новость об Anonymous, причем эта ссылка инициировала некий метод получения данных об используемой хактивистом VPN. Насколько часто такое общение заканчивалось арестами неизвестно, но по информации NSA, 80% из тех, с кем контактировали агенты, в течение месяца исчезали из чатов.

Как подчеркивает исполнительный директор Corero Network Security Эндрю Миллер, «использование госструктурами хакерских методов вызывает множество вопросов с моральной точки зрения. А с юридической находятся в очень сомнительном правовом поле: как известно, участников Lulzsec за проведение DDoS атак арестовали, но ведь очевидно, что JTRIG занималась точно такой же деятельностью».

06.02.2014, 18:12 Новостная служба Ferra

Компания Adobe Systems официально уведомила о выпуске обновления для Flash Player, предназначенного как для Apple Mac, так и для компьютеров под управлением Windows. Данный патч призван закрыть критическую уязвимость, способную обеспечить хакерам полный контроль над атакуемой системой, причем, для пользователей Windows PC и “макинтошей” это актуально, если они используют Flash Player 12.0.0.43 или более раннюю версию, и им рекомендуется побыстрее обновиться до Flash Player 12.0.0.44.

Не обойдены стороной и почитатели Linux, которым рекомендуется как можно быстрее обновить соответствующий плагин с Flash Player 11.2.202.335 или более ранней версии до Flash Player 11.2.202.336. Особенно актуально данное предупреждение для почитателей Google Chrome и Internet Explorer, часто пользующихся указанными браузерами, и к ним обновление должно прийти автоматически вместе с соответствующими апдейтами самих интернет-обозревателей. Обнаружили данную уязвимость в “Лаборатории Касперского”, и Adobe поблагодарила экспертов Александра Полякова и Антона Иванова.

Источник: CNET

Bankir.ru
17.02.2014 10:57

Международная антивирусная компания ESET предупреждает об активизации банковского трояна Win32/Corkow, поражающего системы дистанционного банковского обслуживания. Атаки вредоносной программы направлены на пользователей из России и Украины, на них приходится 86% заражений.

Win32/Corkow – комплексная вредоносная программа, предназначенная для хищения аутентификационных данных для онлайн-банкинга. Первые ее модификации появились в 2011 году, но, в отличие от широко известного трояна Carberp, Corkow до сих пор не стал настолько известным.

Подобно другим банковским троянам, Win32/Corkow имеет модульную архитектуру. Это означает, что злоумышленники могут по мере необходимости расширять спектр его возможностей для хищения конфиденциальных данных.

Больше всего заражений приходится на Россию и Украину (73 и 13% соответственно). Неудивительно, что эти страны пострадали больше других, так как Win32/Corkow имеет российское происхождение. Троян содержит вредоносный модуль, нацеленный на компрометацию системы онлайн-банкинга iBank2, которая используется российскими банками и их клиентами.

«Проанализировав Win32/Corkow, мы пришли к выводу, что по своей структуре и возможностям эта вредоносная программа действительно похожа на печально известный Carberp. Вредоносный код Java, который используется для атаки на iBank2, содержит строки русского и украинского языка, которые используются в этой системе дистанционного банковского обслуживания, что явно указывает на его направленность на Россию и Украину», – говорит Антон Черепанов, исследователь ESET, который осуществлял анализ Win32/Corkow.

В арсенале Win32/Corkowесть также клавиатурный шпион, модуль для снятия скриншотов с рабочего стола, веб-инъекций и кражи данных веб-форм. Кроме того, троян поддерживает удаленный доступ к зараженному компьютеру и установку другой вредоносной программы для кражи паролей–Pony (детектируется антивирусными продуктами ESET как Win32/PSW.Fareit).

Еще одна характерная особенность Corkow – ориентация на веб-сайты и соответствующее ПО, которое относится к виртуальной валюте Bitcoin, а также компьютеры разработчиков приложений для Android. Далее злоумышленники могут получить несанкционированный доступ к аккаунтам счетов Bitcoin скомпрометированных пользователей со всеми вытекающими последствиями.

Эксперты ESET продолжают следить за активностью злоумышленников и рекомендуют пользователям соблюдать осторожность, не переходить по подозрительным ссылкам в социальных сетях, онлайн-мессенджерах или электронной почте, использовать современные антивирусные продукты для защиты от киберугроз.