Январь 2013: атака буткитов Trojan.Mayachok, новые угрозы для Windows и Android
08.02.13, Пт, 20:40, Мск
Компания «Доктор Веб» опубликовала обзор вирусной активности в январе 2013 г. По данным компании, основной январской тенденцией стала очередная волна распространения вредоносных программ семейства Trojan.Mayachok, а также появление новых угроз как для операционной системы Windows, так и для мобильной платформы Android.
В январе 2013 г. в абсолютные лидеры среди угроз, обнаруженных на компьютерах пользователей лечащей утилитой Dr.Web CureIt!, выбилась троянская программа Trojan.Mayachok.2. Trojan.Mayachok.2, детектируемый антивирусным ПО Dr.Web еще с весны 2011 г., стоит особняком среди других версий этой весьма распространенной вредоносной программы, поскольку в отличие от них является VBR-буткитом. «Иными словами, этот троян заражает загрузочную запись VBR (Volume Boot Record) при условии, что файловая система инфицированного компьютера имеет формат NTFS. При этом Trojan.Mayachok.2 снабжен драйверами как для 32-разрядной, так и для 64-разрядной версий Microsoft Windows», — рассказали CNews в компании.
Основное функциональное назначение этой вредоносной программы — блокировка доступа в интернет и демонстрация в окне браузера предложения «скачать обновление безопасности», для загрузки которого жертве следует указать в соответствующей форме свой номер мобильного телефона и ввести пришедший в ответном SMS код. Таким образом, пользователь соглашается с условиями платной подписки, за которую с его счета мобильного телефона будет регулярно списываться определенная сумма.
Среди обнаруженных утилитой Dr.Web CureIt! угроз велико количество детектов трояна Trojan.Mayachok в оперативной памяти инфицированных компьютеров (более 40 тыс. случаев), также в январе на компьютерах пользователей часто выявлялся троян Trojan.Mayachok.18550. По-прежнему чрезвычайно распространены среди пользователей ПК платные архивы, детектируемые антивирусным ПО Dr.Web как семейство угроз Trojan.SMSSend, велико и число заражений троянской программой BackDoor.IRC.NgrBot.42. Сводные данные о 20 наиболее распространенных угрозах, обнаруженных в январе 2013 г. на компьютерах пользователей лечащей утилитой Dr.Web CureIt!, представлены в опубликованном ниже списке:
В январе 2013 г. специалистами «Доктор Веб» было зафиксировано появление новой модификации вредоносной программы BlackEnergy, получившей наименование BackDoor.BlackEnergy.36. О ликвидации бот-сети BlackEnergy —ботнета, предназначенного для рассылки спама — стало известно летом 2012 г. В период своей максимальной активности бот-сеть BlackEnergy рассылала более 18 млрд писем в день, однако благодаря усилиям специалистов по информационной безопасности уже к осени прошлого года основные управляющие серверы BlackEnergy были ликвидированы, а к началу зимы активность ботнета практически сошла на нет.
Однако уже в январе 2013 г. злоумышленники предприняли попытку создания новой бот-сети с использованием вредоносной программы BackDoor.BlackEnergy.36. Основных отличий этой модификации трояна от его предыдущих редакций два: конфигурационный файл трояна хранится в зашифрованном виде в отдельной секции динамической библиотеки, которая, в свою очередь, содержится в одной из секций трояна и при его запуске встраивается в процесс svchost.exe или в explorer.exe. Помимо этого, злоумышленники немного изменили сетевой протокол, с использованием которого BackDoor.BlackEnergy.36 обменивается данными с управляющим центром.
С использованием бот-сети уже была предпринята попытка DDoS-атаки на один из популярных в Рунете развлекательных ресурсов. Троян был обнаружен в ходе мониторинга деятельности другого широко распространенного ботнета — BackDoor.Andromeda.
В свою очередь, наметившаяся в 2012 г. тенденция к увеличению числа вредоносных и потенциально опасных Android-приложений, предназначенных для получения различных конфиденциальных сведений, продолжилась и с началом нового 2013 года, отметили в «Доктор Веб». Так, в начале января был обнаружен очередной Android-троян, который представлял угрозу для японских пользователей и предназначался для кражи сведений, содержащихся в телефонной книге их мобильных устройств.
Как и другие подобные вредоносные приложения, Android.MailSteal.2.origin распространялся при помощи спам-писем, которые содержали предложение установить ту или иную полезную программу. Перейдя по указанной ссылке, доверчивый пользователь попадал на сайт, имитирующий официальный каталог Google Play, и, ничего не подозревая, мог установить себе трояна. Примечательно, что злоумышленники попытались разнообразить «каталог», предлагая к загрузке сразу несколько различных «приложений», однако во всех случаях это была одна и та же вредоносная программа.
В процессе работы Android.MailSteal.2.origin действовал по уже отработанной схеме: после запуска он уведомлял пользователя о выполнении предварительной настройки, однако через некоторое время сообщал о невозможности работы на целевом мобильном устройстве. Одновременно с этим троян скрытно выполнял поиск контактов в телефонной книге и при их обнаружении загружал соответствующую информацию, такую как адреса электронной почты и номера телефонов, на удаленный сервер. Полученные сведения в дальнейшем могут быть использованы злоумышленниками для организации новых спам-кампаний или для продажи на черном рынке.
Также в январе специалистами «Доктор Веб» было обнаружено существенное число новых коммерческих шпионских приложений: Program.SpyMob.origin, Program.MSpy.2.origin, Android.Phoggi.1.origin, Program.OwnSpy.1.origin,Program.Copyten.1.origin, Program.Spector.1.origin. Кроме того, в вирусные базы были внесены сведения о модификациях этих шпионских программ, доступных для мобильной платформы BlackBerry. Ими стали BlackBerry.Phoggi, Program.Spector.1,Program.Spector.2, Program.Spector.3.
В начале января 2013 г. специалистами компании «Доктор Веб» была обнаружена новая троянская программа BackDoor.Finder, получившая наиболее широкое распространение на территории США. Троян встраивается в процессы наиболее популярных браузеров (Microsoft Internet Explorer, Mozilla Firefox, Maxtron, Chrome, Safari, Mozilla, Opera, Netscape или Avant), после чего перехватывает обращения пользователей к сайтам различных поисковых систем (google.com, bing.com, yahoo.com, ask.com, search.aol.com, search.icq.com, search.xxx, www.wiki.com, www.alexa.com или yandex.com) и демонстрирует вместо результатов поиска специально подготовленные злоумышленниками ссылки.
Также в январе, по данным компании, был зафиксирован факт распространения новой модификации давно известной вредоносной программы семейства BackDoor.Butirat — BackDoor.Butirat.245. Данный троян способен загружать на инфицированный компьютер и запускать на нем исполняемые файлы по команде с управляющего сервера, а также красть пароли от популярных FTP-клиентов.
Согласно данным «Доктор Веб», в январе наиболее распространенными вредоносными файлами, обнаруженными в почтовом трафике, стали:
Обнаружены новые уязвимости нулевого дня в Adobe Reader и Adobe Acrobat
19.02.13, Вт, 21:03, Мск
Корпорация Symantec сообщила об обнаружении интернет-активности, эксплуатирующей новые уязвимости нулевого дня (CVE-2013-0640, CVE-2013-0641) в продуктах Adobe Reader и Adobe Acrobat XI и более ранних версий. Компания Adobe пока не выпустила исправления по этим уязвимостям, но опубликовала рекомендации по противодействию эксплуатирующим их атакам. Решение для защиты от вирусов на уровне почтовых серверов Symantec Mail Security обеспечивает защиту от этих атак, предотвращая загрузку вредоносных PDF-файлов.
Как рассказали CNews в компании, изначально интернет-сообщество опиралось на отчёт о новой уязвимости нулевого дня, опубликованный компанией FireEye. В нём сообщалось, что в результате её успешной эксплуатации на компьютер были загружены несколько файлов. Анализ экспертов Symantec подтверждает такую возможность.
По данным компании, атака проходит следующим образом: вредоносный PDF-файл устанавливает DLL-библиотеку под названием D.T; D.T декодирует и устанавливает DLL-библиотеку под названием L2P.T; L2P.T, в свою очередь, создает в реестре ключи автозапуска и загружает на компьютер библиотеку-загрузчик LangBar32.dll; затем LangBar32.dll с сервера злоумышленников скачивает дополнительное вредоносное ПО с бэкдор- и кейлоггер-функционалом.
На этих этапах атаки продукты Symantec идентифицируют вредоносные программы как Trojan.Pidief и Trojan.Swaylib (изначально как Trojan Horse). Помимо этого, с целью выявления данного эксплойта было выпущено дополнительное определение (сигнатура) для системы предотвращения вторжений (IPS) Web Attack: Malicious PDF File Download 5.
[highslide]http://filearchive.cnews.ru/img/cnews/2013/02/19/cve_2013_0640.jpg[/highslide] Атака посредством CVE-2013-0640
Как сообщили в Symantec, дальнейшее исследование показало, что PDF-файл, примененный в атаке, нейтрализуется продуктом Symantec Mail Security, а используемые в ходе атаки PDF-файлы идентифицируются облачными технологиями детектирования Symantec как WS.Malware.2.
Специалисты Symantec продолжают изучать данную уязвимость и возможности блокирования данного канала для проведения атак.
«Лаборатория Касперского» опубликовала отчет о спам-активности в январе 2013 г.
22.02.13, Пт, 18:58, Мск
Доля спама в почтовом трафике в январе снизилась на 7,7%
«Лаборатория Касперского» опубликовала отчет о спам-активности в январе 2013 г. По данным компании, в первом месяце текущего года доля почтового мусора продолжила снижаться и достигла 58,3%, что на 7,7% меньше, чем в декабре. Тем не менее, за исследуемый период Россия вышла в лидеры по количеству незапрошенной электронной корреспонденции, рассылаемой в Рунете с ее территории, сообщили CNews в компании.
В январе интернет наводнили многочисленные рассылки, эксплуатирующие тему предстоящих праздников — день святого Валентина, 23 февраля и 8 марта. Традиционно спамеры рассылали предложения о покупке цветов и различных «мужских» сувениров. Возросло количество писем с туристическими и развлекательными предложениями в честь предстоящих праздников.
География стран-распространителей спама не претерпела существенных изменений, однако внутри рейтинга государств произошло небольшое перераспределение потоков почтового мусора. Так, доля Китая, сохранившего за собой пальму первенства по объему рассылаемого с его территории незапрошенной корреспонденции, уменьшилась на 5%. В то же время доля США, занимающих второе место, напротив, увеличилась на 3,7%. В целом из этих двух стран было разослано 48,1% мирового спама.
В лидирующую тройку неожиданно вошла Южная Корея (+4,1%), Индия спустилась на 5 место (-1,7%). Россия же в рейтинге поднялась на одну строчку вверх (+1,8%) и по итогам января заняла четвертое место. Германия, занимавшая в декабре 7 строчку, в январе опустилась сразу на 17 место с показателем 0,9%, хотя процент спама, распространенного из этой страны, изменился не столь значительно (-1,5%).
[highslide]http://filearchive.cnews.ru/img/cnews/2013/02/22/spamreport_jan2013_pic07.jpg[/highslide] Страны — источники спама в мире
Иная ситуация складывается в Рунете, где в январе в лидерах оказалась Россия (+5,9%), поднявшаяся с третьей позиции. Почти на столько же процентных пунктов уменьшился вклад в спам-потоки Индии (-5,8%), которая в результате спустилась на 4 место. Доля спама из США увеличилась почти втрое (+7%), в результате эта страна поднялась с 8 на 2 место, потеснив с него Вьетнам (-4,4%).
Доля спама из Германии в Рунете, как и в мире, значительно уменьшилась (-5,6%), теперь страна занимает 14 строчку, выбыв из пятерки лидеров.
Среди регионов лидером по распространению спама остается Азия (50,9%). В первую тройку, как и в декабре, вошли Северная Америка и Восточная Европа.
[highslide]http://filearchive.cnews.ru/img/cnews/2013/02/22/spamreport_jan2013_pic09.jpg[/highslide] Регионы — источники спама
Хотя доля спама в почтовом трафике в январе уменьшилась, количество рассылок с вредоносными вложениями остается весьма высоким. В январе вредоносные вложения содержались в 3% писем — это всего на 0,15% меньше, чем в прошлом месяце.
[highslide]http://filearchive.cnews.ru/img/cnews/2013/02/22/spamreport_jan2013_pic10.jpg[/highslide] Топ-10 вредоносных программ, распространявшихся в почте
Среди зловредов, чаще всего распространяемых в почте, в январе на место лидера вернулся Trojan-Spy.HTML.Fraud.gen. В прошлом году эта вредоносная программа долго держалась на первой строчке топ-10, но в сентябре резко сдала позиции и даже не вошла в первую десятку. Этот троян занимается похищением данных онлайн-банкинга, которые киберпреступники используют для кражи денег с пользовательских счетов.
В топ-10 есть еще две вредоносные программы, нацеленные на кражу пользовательских паролей. Они относятся к семейству Tepfer и находятся на девятом и десятом местах чарта.
Второе и третье места заняли почтовые черви. Mydoom просто распространяет себя по контактам пользователей и предназначен для сбора почтовых адресов, тогда как Bagle, помимо этого, может подгружать на компьютер пользователя другие вредоносные программы.
В свою очередь, 4, 5 и 7 места занимают вредоносные программы семейства Andromeda. Их цель — закачать на компьютер пользователя другие вредоносные программы, после чего оригинальный файл удаляется.
Что касается стран, куда направлялись письма с вредоносными вложениями, то в целом существенных изменений в распределении вредоносных рассылок по странам не наблюдается. По данным «Лаборатории Касперского», на первом месте — по-прежнему США, что, по мнению специалистов компании, неудивительно, поскольку США лидируют по количеству интернет-пользователей. При этом многие вредоносные программы нацелены на кражу паролей от онлайн-банкинга, который в США весьма развит и популярен.
Доля фишинговых писем в почтовом потоке в январе снизилась вдвое и составила 0,003%. Согласно отчету «Лаборатории Касперского», за прошедший месяц произошли существенные изменения в лидирующей пятерке категорий организаций, атакованных фишерами. Социальные сети сохранили лидирующую позицию по количеству фишинговых атак, при этом их показатель вырос на 9,71% и составил 39,62%. Доля фишинговых атак на поисковики (+3,6%) и ИТ-вендоров (+1,2%) также увеличилась. Поисковики занимают по итогам января вторую строчку рейтинга.
В то же время, существенно уменьшилась доля атак на онлайн-магазины и интернет-аукционы (-5,8%), финансовые и платежные организации (-7%).
[highslide]http://filearchive.cnews.ru/img/cnews/2013/02/22/spamreport_jan2013_pic14.jpg[/highslide] Распределение топ-10 организаций, атакованных фишерами, по категориям
Банковский фишинг по-прежнему очень распространен в интернете. Традиционное сообщение о превышении количества попыток входа в аккаунт и необходимости установки дополнительной защиты активно используется спамерами для направления пользователей на фишинговые страницы и кражи номеров и паролей кредитных карт клиентов.
«Январь полностью оправдал наши прогнозы, и мы зафиксировали дальнейшее снижение количества незапрошенной корреспонденции в почтовом трафике. К тому же, сохраняется тенденция к снижению в спам-потоках количества фишинговых и вредоносных писем. Однако в дальнейшем с оживлением деловой активности можно ожидать увеличения рекламных рассылок в почте, — прокомментировала результаты анализа спам-активности в январе Татьяна Щербакова, старший спам-аналитик «Лаборатории Касперского». — Особое внимание следует обратить тем, кто привык пользоваться услугами сервисов по бронированию билетов и отелей в интернете. Рост популярности таких ресурсов в последнее время неизбежно привлекает к ним внимание и злоумышленников, которые занимаются кражей информации о платежных картах пользователей. Чтобы не стать жертвой обмана в Сети, важно не только использовать технические средства защиты, но и руководствоваться здравым смыслом».
Trend Micro представила новую платформу мобильной безопасности для Android с функциями защиты Facebook-аккаунтов
25.02.13, Пн, 13:04, Мск
Компания Trend Micro Incorporated представила Trend Micro Mobile Security 3.0 — инновационную платформу, предлагающую новый подход к защите пользователей смартфонов и планшетных ПК на базе Android. Версия 3.0 расширяет «периметр защиты» пользователей, включая информацию в учетной записи Facebook. Новые функции и возможности решения Trend Micro Mobile Security третьего поколения позволяют обеспечивать неприкосновенность «частной цифровой жизни» современного человека. Кроме того, новая версия также предлагает ускоренное сканирование на наличие вредоносного кода и возможность резервного копирования всех пользовательских данных в защищенное «облако» Trend Micro.
«За последние год-полтора мы стали свидетелями лавинообразного роста количества угроз для Android. На сегодняшний день нам удалось обнаружить свыше 350 тыс. уникальных вредоносных программ для этой платформы в многочисленных магазинах приложений и на других веб-сайтах, включая даже такие известные, как Google Play Store, — рассказал CNews Хой Нгуен (Khoi Nguyen), глава подразделения мобильных решений, Trend Micro. — По нашим оценкам, уже к концу 2013 г. число вредоносных и потенциально опасных приложений для Android достигнет фантастической отметки — 1 миллион».
Однако этим опасности для пользователей не исчерпываются. Из 1,06 млрд активных пользователей Facebook 680 млн регулярно заходят на свои личные страницы в этой сети с мобильных устройств; для многих из них это единственный возможный канал доступа к личному аккаунту. Не так давно Facebook обновила набор доступных пользователю настроек безопасности, однако — согласно результатам исследований Consumer Reports — более трети пользователей Facebook все еще находятся в группе риска. Они не знают о том, как настроить уровень конфиденциальности, не изменяют эти настройки или вовсе пренебрегают защитой, свободно делясь информацией с другими людьми, отметили в Trend Micro.
Чтобы восполнить этот пробел в защите, платформа Trend Micro Mobile Security 3.0 теперь включает новое решение Trend Micro Privacy Scanner, которое обеспечивает дополнительный уровень защиты личной информации, размещаемой пользователем на своей странице в Facebook. Оно анализирует настройки безопасности профиля и «подсказывает», как изменить их, чтобы обеспечить максимальную защиту, пояснили разработчики. Один раз щелкнув кнопкой мыши или прикоснувшись к экрану, пользователь может просмотреть настройки своего профиля Facebook, в том числе касающиеся доступа к личной информации. Пользователи могут установить Trend Micro Privacy Scanner на свои мобильные устройства и в виде отдельного бесплатного приложения.
Еще одним решением в составе пакета Trend Micro Mobile Security является Trend Micro Mobile Backup and Restore — ПО для резервного копирования информации пользователя в защищенное «облако» Trend Micro. Контакты, изображения, видео, музыка, текстовые сообщения, история звонков и события в календаре — Trend Micro Mobile Backup and Restore позволяет настроить автоматическое резервное копирование всех этих данных. Кроме того, по словам разработчиков, оптимизированная технология сканирования способна быстрее выявлять потенциальные угрозы, помогая защитить мобильное устройство от опасностей новой цифровой эпохи. Как и Trend Micro Privacy Scanner, решение Trend Micro Mobile Backup and Restore также доступно в качестве отдельного приложения.
Новая «дыра» в iPhone открывает доступ ко всем файлам без взлома
26.02.13, Вт, 18:02, Мск, Текст: Сергей Попсулин
С начала февраля в iOS обнаружена вторая уязвимость, которая позволяет получить доступ к данным на iPhone в обход пароля.
Найденная в iOS 6.1 новая уязвимость позволяет злоумышленникам, завладевшим iPhone с этой версией платформы, получать доступ к содержимому памяти, включая фотографии, контакты и другую персональную информацию, минуя пароль.
Об этом сообщает ThreatPost со ссылкой на основателя и генерального директора австрийской компании, работающей на рынке информационной безопаности, Vulnerability Lab Бенджамина Кунц Межри (Benjamin Kunz Mejri), который и обнаружил брешь.
Для того чтобы преодолеть парольную защиту, вору необходимо выполнить серию манипуляций с устройством. Она включает нажатие на кнопку питания, кнопку «Экстренный вызов» и кнопку возврата на домашний экран.
После серии манипуляций злоумышленник может получить доступ к данным на смартфоне, подключив его к произвольному компьютеру с приложением iTunes. При этом в iTunes никакого пароля вводить для синхронизации не придется.
На позапрошлой неделе пользователи обнаружили похожую уязвимость, которая также требует манипуляций с телефоном и позволяет получить доступ к персональным данным без ввода пароля непосредственно на устройстве, без компьютера.
На прошлой неделе Apple выпустила обновление прошивки до версии iOS 6.1.2, однако описанная уязвимость не была устранена. Обновление было посвящено ошибке в работе с протоколом Exchange, которая вела к быстрому разряду батареи.
В минувший четверг, 21 февраля, вендор распространил среди разработчиков версию платформы iOS 6.1.3 beta 2, в которой устранена первая из обнаруженных уязвимостей. Кроме того, в этой версии разработчики закрыли брешь, которая позволяла осуществлять джейлбрейк (взлом для установки приложений из любых источников) устройств с помощью инструмента evasi0n.
2012 г. стал годом утечек в государственных компаниях
28.02.13, Чт, 14:37, Мск
Аналитический центр InfoWatch представил очередное ежегодное глобальное исследование утечек информации, зарегистрированных и обнародованных в СМИ за 2012 г. По данным аналитиков, в прошедшем году было скомпрометировано более 1,8 млрд записей, в том числе финансовые и персональные данные. В СМИ всего было обнародовано 934 случая утечки конфиденциальных данных, что на 16% превышает показатель прошлого года. При этом только прямые потери компаний, которые были опубликованы в открытых источниках, превысили $37,8 млн.
«Следует отдавать себе отчет в том, что финансовые потери, которые обнародуют компании вследствие утечки данных — это капля в море от реальных убытков, которые ежедневно несет бизнес, — прокомментировала результаты исследования Татьяна Белей, директор по маркетингу компании InfoWatch. — В последнее время наблюдается положительная динамика по обнародованию в СМИ информации об утечках ценной информации, но есть основания полагать, что число “публичных” инцидентов составляет не более 3-5% от их реального количества, а финансовые убытки указывает еще меньшее число компаний. Если учитывать все эти факты, то десятки миллионов долларов потерь выливаются в совершенно фантастические суммы — десятки миллиардов».
Согласно аналитическому отчету, процент случайных утечек снижается — так, в 2012 г. доля случайных утечек составила всего 38%, тогда как доля злонамеренных утечек растет — 46%. Первое место по типу утечек по-прежнему занимают персональные данные — 89,4% (92,4% в 2011 г.). Между тем, самым популярным каналом утечек стала бумажная документация (22,3%).
«Ликвидные персональные данные интересны широкому кругу злоумышленников, так как их можно сбыть на черном рынке, поэтому подобные утечки имеют массовый характер, и базы с персональными данными могут быть проданы широкому кругу покупателей, — рассказали CNews в InfoWatch. — При этом коммерческая или государственная тайны обычно утекают “на заказ” несмотря на то, что эти организации серьезно подходят к защите информации и стараются соответствовать требованиям законов и стандартов».
[highslide]http://filearchive.cnews.ru/img/cnews/2013/02/28/data_leak_channels.jpg[/highslide] InfoWatch: каналы утечек информации в 2012 г.
Что касается распределения утечек по регионам, то в этом году США оказались на первом месте как по количеству (576, или 61,7% от всех утечек), так и по агрегированному показателю (утечка на душу населения). Второе место удерживает Великобритания (97, или 10,3%). Третье место — за Россией (75, или 8,3%).
[highslide]http://filearchive.cnews.ru/img/cnews/2013/02/28/data_leak_statistics___countrywise.jpg[/highslide] InfoWatch: распределение утечек по регионам в 2012 г.
Если рассматривать соотношение утечек в разрезе «тип организации», то в 2012 г. доля коммерческих организаций составила 41% и уменьшилась на 5% по сравнению с прошлым годом, доля образовательных учреждений сократилась практически вполовину, составив 16%. Откровенно плохо защищаются государственные учреждения, где количество инцидентов, связанных с утечкой информации, составило 29%, показав существенный прирост по сравнению с прошлым годом, отмечается в отчете InfoWatch.
По мнению аналитиков компании, увеличение доли госструктур в распределении источников утечек по типу организации примечательно и говорит о недостаточном внимании к проблемам защиты информации в госсекторе. Вторая причина еще более очевидна — массовое использование мобильных устройств (смартфоны, ноутбуки, планшеты), к которому службы информационной безопасности государственных и муниципальных организаций по всему миру оказались явно не готовы, считают в InfoWatch.
«Согласно наблюдениям аналитиков InfoWatch, в минувшем году государственные компании оказались в “лидерах” по динамике роста утечек конфиденциальной информации, — отметила Наталья Касперская, глава группы компаний InfoWatch. — Эта тенденция свидетельствуют о том, что уровень информационной безопасности в госсекторе пока недостаточно высок. Защите информации в госструктурах необходимо уделять повышенное внимание ввиду наличия в данных организациях информации высокой государственной важности, как то государственная тайна, секретные стратегические сведения и т.д., а также колоссального объема обращающихся здесь персональных данных. В особенности это актуально для России, где в настоящее время наблюдается бурное развитие рынка государственных электронных услуг».
За все годы исследования аналитики InfoWatch впервые столкнулись с неоднородностью картины утечек применительно к различным отраслям. На общем фоне выделяются банки, страховые компании, телеком-операторы, где доля случайных утечек стабильно снижается. Данная картина с небольшими оговорками характеризует практически весь коммерческий сектор. Аналитики связывают это с возрастающей популярностью средств защиты информации и контроля информационных потоков.
На состязании Pwn2Own были успешно взломаны Chrome, Firefox, IE 10 и Java
OpenNET, 07.03.2013 12:17
Первый день соревнований Pwn2Own, проводимых ежегодно в рамках конференции CanSecWes, оказался как никогда плодотворен - были продемонстрированы рабочие техники эксплуатации ранее неизвестных уязвимостей в Chrome, Firefox, IE 10, Windows 8 и Java. Во всех случаях атака была совершена при обработке в браузере специально оформленной web-страницы, открытие которой завершилось получением полного контроля над системой. При демонстрации атаки использовались самые свежие стабильные выпуски браузеров и операционных систем Windows 7, 8 и Mac OS X Mountain Lion со всеми доступными обновлениями в конфигурации по умолчанию.
В соответствии с условиями конкурса, детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только после выпуска производителями обновлений с устранением указанных уязвимостей. Отчасти успех Pwn2Own в этом году связан с существенным увеличением суммы вознаграждения. Например, за демонстрацию взлома браузера Chrome будет выплачено вознаграждение в 100 тысяч долларов, за взлом IE - 75 тысяч долларов, за взлом Firefox - 60 тысяч долларов, за взлом Safari - 65 тысяч долларов, за взлом IE через плагин Adobe Reader XI - 70 тысяч долларов, за взлом плагинов Adobe Flash и Java по 20 тысяч долларов. Одновременно будет проведено смежное соревнование Pwnium, на котором будет предложено взломать Chrome OS на устройстве Samsung Series 5 550 Chromebook. Общий призовой фонд Pwnium составит 3.14159 млн долларов, а сумма максимального вознаграждения - 150 тысяч долларов.
Что касается техники уже продемонстрированных взломов, то для Firefox 19 была эксплуатирована новая уязвимость, связанная с обращением к уже освобождённой области памяти (use-after-free), в сочетании с новой техникой обхода всех дополнительных механизмов защиты операционной системы Windows 7, таких как DEP (Data Execution Prevention) и ASLR (Address Space Layout Randomization). Взлом Windows 8 был продемонстрирован на планшете Surface Pro через эксплуатацию двух 0-day уязвимостей в Internet Explorer 10 и новую технику выхода за пределы sandbox. Атаки были продемонстрированы сотрудниками компании Vupen Security. Плагин Java был успешно атакован тремя разными участниками конкурса, представляющими компании Accuvant Labs, Contextis и Vupen, через эксплуатацию уязвимости, приводившей к возможности переполнения кучи.
Взлом Chrome продемонстрировали Nils и Jon Butler, исследователи из компании MWRLabs. Для проведения атаки на Chrome был подготовлен многоуровневый рабочий эксплоит, использующий 0-day уязвимости в ОС для обхода ограничений sandbox в сочетании с уязвимостью в процессе рендеринга браузера. Обход sandbox был организован через эксплуатацию уязвимости в ядре, позволяющую выполнить код вне изолированного окружения с системными привилегиями Windows. Для обхода ALSR использовалась утечка некоторых адресов в памяти, по которым был вычислен базовый адрес системной DLL. Для обхода DEP из DLL было прочитано и преобразовано в строку Javascript содержимое сегмента .text, на основе которого были рассчитаны адреса для ROP (Return-Oriented Programming).
По словам участвовавших в конкурсе исследователей из компании Vupen, из-за задействования дополнительных механизмов защиты, разработка эксплоитов стала занимать заметно больше времени, например, если для прошлых конкурсов, эксплоит удавалось написать за неделю, то сейчас на поиск уязвимости и написание эксплоита было потрачено несколько месяцев. Отдельно отмечаются положительные сдвиги компании Adobe в плане укрепления безопасности Flash-плагина и оперативности выпуска обновлений: если раньше эксплуатация уязвимостей во Flash являлась основным источником распространения вредоносного ПО, то теперь лавры перешли к плагину Java.
Написать эксплоит для Flash, с учётом внедрения sandbox-изоляции, стало значительно труднее и дороже, чем эксплоит для плагина Java, в котором для атаки достаточно найти уязвимость без необходимости разработки методов обхода sandbox. Изменить ситуацию компания Oracle может, только кардинально переработав архитектуру безопасности Java, без этого 0-day эксплоиты будут появляться всё чаще и чаще. Наиболее трудным для совершения атаки называется браузер Chrome, преодоление многоуровневой системы безопасности которого сулит массу трудностей, а разработчики не только устраняют существующие уязвимости, но и развивают методы для предотвращения техник атак и блокирования обхода sandbox. Слабой стороной Chrome называется Webkit.
На первом дне конкурса не был взломан браузер Safari в окружении Mac OS X, предположительно участники конкурса приберегли рабочие методы атаки для следующего дня, на котором за взлом Safari в iOS назначено существенно более высокое вознаграждение.
Дополнение: на втором дне соревнования Pwn2Own были успешно продемонстрированы новые методы атаки на браузерные плагины Java, Flash и Adobe Reader.
Троянцы Trojan.Hosts заражают по 8 000 компьютеров в сутки
12.03.2013, 18:43 Новостная служба Ferra
Компания «Доктор Веб» предупредила пользователей об участившихся случаях взломов злоумышленниками веб-сайтов с целью загрузки на компьютеры пользователей вредоносных программ семейства Trojan.Hosts. Масштабы распространения этой угрозы в начале 2013 года приняли почти эпидемический характер. Пик распространения троянцев Trojan.Hosts пришелся на январь и середину февраля, когда ежесуточно на компьютерах пользователей фиксировалось порядка 9 500 случаев заражения. В марте Trojan.Hosts заражают около 8 000 компьютеров в сутки.
Для взлома веб-сайтов злоумышленники используют протокол FTP, подключаясь к ресурсам с использованием похищенных ранее логинов и паролей. Затем на взломанный сайт загружается специальный командный интерпретатор (шелл), с использованием которого изменяется файл .htacess, а на сайте размещается вредоносный скрипт.
В результате, при заходе на зараженный сайт скрипт выдает посетителю веб-страницу, содержащую ссылки на различные вредоносные приложения. В частности, таким образом в последнее время начали широко распространяться троянцы семейства Trojan.Hosts.
Следует отметить, что троянцы этого семейства распространяются злоумышленниками отнюдь не только с помощью взломанных сайтов. Была организована и работа нескольких партнерских программ, через которые киберпреступникам выплачивается вознаграждение за получение прибыли с жертвы Trojan.Hosts. Таким образом, эти троянцы могут попадать на компьютеры потенциальных жертв и иными путями — например, с использованием бэкдоров и троянцев-загрузчиков.
Напомним, что основное предназначение вредоносных программ семейства Trojan.Hosts — модификация файла hosts, расположенного в системной папке Windows и отвечающего за трансляцию сетевых адресов сайтов. В результате вредоносных действий при попытке перейти на один из популярных интернет-ресурсов пользователь зараженного компьютера перенаправляется на принадлежащую злоумышленникам веб-страницу.
Масштабы распространения этой угрозы в начале 2013 года приняли почти эпидемический характер. Так, пик распространения троянцев Trojan.Hosts пришелся на январь и середину февраля, когда ежесуточно на компьютерах пользователей фиксировалось порядка 9 500 случаев заражения вредоносными программами данного семейства. В начале марта число инфицированных рабочих станций стало немного сокращаться — например, за сутки 11 марта было выявлено всего 7 658 случаев заражения (количество подсчитывается по числу зафиксированных случаев изменения троянцем содержимого файла hosts на инфицированных компьютерах).
Компания McAfee опубликовала отчет «Безопасность мобильных устройств. Отчет McAfee о тенденциях угроз для потребителя» (Mobile Security: McAfee Consumer Trends Report), данные которого свидетельствуют о резком увеличении числа вредоносных приложений, в том числе различного рода фишинговых сообщений, мошеннических инструментов черного рынка, тайпсквоттинга, «попутных загрузок» и угроз атак по беспроводной связи ближнего радиуса. Отчет указывает на волну новых приемов, используемых киберпреступниками с целью хищения цифровой личной информации, попыток финансового мошенничества и получения доступа к частной информации, хранящейся на мобильных устройствах.
«Несмотря на рост осознания потребителями угроз, исходящих от мобильных платформ, по-прежнему сохраняется значительный дефицит знаний о том, как и где устройства могут заразиться вредоносной программой и каков уровень потенциального ущерба, — сообщил CNews Луис Бландо (Luis Blando), вице-президент McAfee по разработке продуктов для мобильных устройств. — Киберпреступники демонстрируют высокий уровень настойчивости и изощренности, что ведет к более разрушительным хакерским атакам самого различного рода, которые весьма сложно обнаружить. Именно поэтому необходим более высокий уровень защиты и бдительности. Цель отчета состоит в том, чтобы помочь потребителям осознать риски, с которыми они сталкиваются, и рассказать о методах, позволяющих обезопасить себя и свою работу, уверенно пользуясь всеми своими мобильными устройствами».
Так, с помощью широкой сети сбора информации об угрозах безопасности Global Threat Intelligence (GTI) специалисты лаборатории McAfee Labs проанализировали данные о безопасности мобильных устройств за последние три квартала и обнаружили резкое увеличение количества угроз. Самыми опасными современными угрозами и новыми тенденциями, с которыми потребитель столкнется в 2013 г., они определили: опасные приложения; деятельность на черном рынке; тайпсквоттинг; попутные загрузки; беспроводная связь ближнего радиуса.
Согласно данным McAfee, киберпреступники стараются изо всех сил внедрить зараженные приложения в ассортимент таких доверенных источников, как Google Play, а скрывающиеся в приложениях угрозы становятся все более изощренными. В частности, специалисты McAfee Labs обнаружили, что 75% зараженных вредоносным ПО приложений, загруженных владельцами продукта McAfee Mobile Security, распространялись через магазин Google Play. Таким образом, шанс среднего потребителя загрузить опасное приложение составляет один к шести. Почти 25% опасных приложений, содержащих вредоносные программы, также содержат подозрительные URL-адреса, а 40% семейств вредоносных программ осуществляют злонамеренные действия сразу по нескольким направлениям.
Используя опасное приложение, злоумышленник может: похитить личную информацию, в том числе данные для доступа к услугам интернет-банкинга, адреса электронной почты и коды доступа к беспроводному интернет-подключению, что вместе с данными о местоположении пользователя даст ему полное представление о его личности; выполнять мошеннические действия, включая рассылку мошеннических SMS-сообщений, оплата за которые взимается со счета жертвы без её ведома; использовать устройство жертвы в преступных целях, сделав его частью бот-сети, позволяющей злоумышленнику дистанционно управлять телефоном.
Клиенты бот-сетей, загрузчики и руткиты — распространенный и ходовой товар на черном рынке — продается как часть наборов программных инструментов. Преступники используют их для рассылки SMS-сообщений от имени жертвы на платные номера, размещения кликфродов, рассылки нежелательных сообщений, кражи данных, попыток банковских махинаций, причем сложность и изощренность инструментов, используемых в данной сфере преступной деятельности, постоянно увеличивается. Затем финансовые мошенники повторно используют эти компоненты в разных комбинациях для составления новых схем незаконного обогащения.
Преступники применяют тайпсквоттинг, пытаясь воспользоваться опечатками потенциальных жертв при поиске URL-адресов популярных сайтов и известных брендов. «Возьмем, например, доменное имя example.com. Используя его название, преступник может создать атаку на базе адреса www.exemple.com, в расчете на допущенную пользователем обычную орфографическую ошибку или опечатку»,— пояснили в McAfee.
Первые случаи «попутных загрузок» были отмечены в 2012 г. По оценкам специалистов McAfee, в 2013 г. их количество возрастет. При «попутных загрузках» вредоносный код загружается на мобильные устройства автоматически без ведома пользователя. Как только пользователь запускает такое приложение, преступники получают доступ к его устройству.
В 2013 г. также ожидается повышение преступной активности, использующей уязвимости услуг бесконтактных платежей по модели tap-and-pay на базе технологии (NFC). Технология NFC используется в бизнес-моделях мобильных платежей, иначе называемых «электронными кошельками». Данная разновидность мошеннического ПО использует черви для проникновения в устройства-жертвы с близкого расстояния. Такие атаки происходят по сценарию bump and infect («столкнулся и заразил»). Этот путь заражения позволяет вредоносной программе быстро распространяться в местах скопления большого числа людей, например, в электричках в часы пик или парках развлечений.
Когда жертва использует только что зараженное устройство для оплаты с помощью услуги tap-and-pay, злоумышленник получает всю информацию об учетной записи кошелька и, пользуясь полученными данными, тайно похищает деньги. Вредоносные черви такого типа будут распространяться, используя уязвимости устройств. Согласно прогнозам, этот вид угроз будет использовать 11,8% семейств вредоносных программ, которые уже содержат средства эксплуатации уязвимостей.
В целом, по мнению специалистов McAfee, по мере развития мобильных технологий преступники будут стремиться найти пути обогащения, используя функции, которыми обладают только мобильные устройства. Так, в 2012 г. 16% обнаруженных McAfee семейств вредоносных программ составляли программы, рассылающие платные SMS-сообщения на специальные номера по высоким тарифам. В 2013 г. в компании прогнозируют рост числа вредоносных программ, подписывающих пользователей на дорогостоящие приложения без их согласия.
Злоумышленники маскируют программу-вымогатель под обновление Adobe Flash
13.03.13, Ср, 15:14, Мск
Корпорация Symantec сообщила об обнаружении новой вредоносной кампании, использующей для обмана пользователей поддельные сайты обновления Adobe Flash. Их компьютеры заражаются вредоносной программой-вымогателем и программой-автокликом, которая ходит по рекламным ссылкам от имени пользователя.
«Широкое распространение среди пользователей и достаточно частая необходимость обновления Adobe Flash сделало этот продукт объектом повышенного внимания киберпреступников. Применяя методы социальной инженерии, злоумышленники заманивают пользователей на поддельные страницы обновления Adobe Flash, с которых вместо очередного обновления ни о чем не подозревающий пользователь устанавливает на свой компьютер вредоносную программу», — рассказали CNews в Symantec.
В качестве одного из ярких примеров специалисты компании указывают сайт, выдающий себя за страницу обновления Adobe Flash Player: httр://16.a[REMOVED]rks.com/adobe/. По их мнению, злоумышленнику удалось создать достаточно правдоподобную копию официального сайта, однако все же был допущен ряд недочётов: большая часть ссылок ведёт назад на атакующий домен, и абсолютно все ссылки на странице, кроме ссылки на само вредоносное содержимое — к корневому каталогу сайта, что приводит к ошибке 404 (страница не найдена).
«Основная цель злоумышленника — добиться установки вредоносной программы, и для увеличения шансов он предлагает на выбор пользователю два варианта. Первый вариант представляет собой всплывающее окно, предлагающее пользователю скачать файл под названием “flash_player_updater.exe”. Вторая опция — кнопка “Download Now”, после нажатия на которую начинает скачиваться файл “update_flash_player.exe”, — рассказали в компании. — Продукты компании идентифицируют оба файла как Downloader.Ponik».
Поддельная страница обновления Adobe Flash
В ходе исследования выяснилось, что помимо кражи паролей эти вредоносные программы выискивают в системе учётные записи удалённого доступа по FTP/telnet/SSH, а также отслеживают учётные записи почты по протоколам SMTP, IMAP и POP3. И, несмотря на то, что обе эти программы принадлежат к одному типу, ведут они себя по-разному: в первом случае устанавливается программа-вымогатель (ransomware), а во втором — робот, кликающий по рекламным ссылкам.
Файл flash_player_updater.exe обращается через порт 8080 по адресу httр://lum[REMOVED]th.com/forum/viewtopic.php, откуда получает команду на скачивание файла по ссылкам: httр://ocean[REMOVED]ba.co.za/; httр://sys[REMOVED]55.info/; httр://topaz[REMOVED]al.net/. По информации Symantec, все три файла идентичны. Используя несколько источников, злоумышленник лишь повышает их доступность. Специалисты компании определяют эти файлы как Trojan.Ransomlock.Q.
Как только запускается один из этих файлов, на заражённом компьютере появляется обновлённая версия программы-вымогателя Trojan.Ransomlock.Q, после чего последняя подключается к своему серверу управления, загружает зашифрованный файл и затем блокирует компьютер. Примечательно, что троянская программа также определяет производителя установленного антивируса и подставляет его логотип вместо стандартного логотипа Windows.
В данном случае исследователи Symantec отключили антивирус Norton 360, так как он уже обеспечивает защиту от этой угрозы, и получили следующее предложение об оплате:
Программа-вымогатель заменила логотип ОС Windows на логотип Norton 360
MoneyPak использует 14-значный формат ввода. В качестве эксперимента специалисты ввели произвольный 14-значный код и получили сообщение с текстом «Ваш код обрабатывается. Повторный ввод не ускорит процесса. Обработка может занять до 12 часов, не выключайте компьютер». Введенная информация шифруется и отправляется на сервер управления злоумышленников.
Файл update_flash_player.exe также через порт 8080 обращается по адресу httр://lum[REMOVED]th.com/forum/viewtopic.php, откуда получает команду на скачивание файлов по следующим ссылкам: twinp [REMOVED]ng.com/; labos[REMOVED]ra.eu/; ftp.calm[REMOVED]ge.com/. Эти файлы устанавливаются на зараженный компьютер и работают в фоновом режиме, скрытно от пользователя нарабатывая клики по рекламе. Антивирусные продукты Symantec обеспечивают защиту от этой угрозы, идентифицируя её как Trojan Horse.
Чтобы не стать жертвой подобного рода атак, эксперты Symantec рекомендуют использовать актуальные версии антивирусного и другого ПО для обеспечения безопасности.
