11.04.13, Чт, 14:10, Мск

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщила об опасности заражения новой версией вредоносной программы Trojan.Zekos, одна из функций которой заключается в перехвате DNS-запросов на инфицированном компьютере. Этот механизм применяется вирусописателями в целях проведения фишинговых атак — на зараженной машине могут отображаться принадлежащие злоумышленникам веб-страницы вместо запрошенных пользователем сайтов, рассказали CNews представители компании.

С конца прошлой недели в службу технической поддержки «Доктор Веб» стали поступать заявки от пользователей, утративших возможность заходить на сайты социальных сетей. Вместо соответствующих интернет-ресурсов в окне браузера демонстрировались веб-страницы с сообщением о том, что профиль пользователя в социальной сети заблокирован, и предложением ввести в соответствующее поле номер телефона и подтверждающий код, полученный в ответном SMS.

Вот примеры текстов, опубликованных злоумышленниками на поддельных веб-страницах, имитирующих «ВКонтакте» и «Одноклассники»: «Мы зафиксировали попытку взлома Вашей страницы. Не беспокойтесь, она в безопасности. Чтобы обезопасить Вашу страницу от злоумышленников и в будущем, мы просим Вас подтвердить привязку к телефону и придумать новый сложный пароль»; «Ваша страница была заблокирована по подозрению на взлом! Наша система безопасности выявила массовую рассылку спам-сообщений с Вашего аккаунта, и мы были вынуждены временно заблокировать его. Для восстановления доступа к аккаунту Вам необходимо пройти валидацию через мобильный телефон».

При этом оформление веб-страниц и демонстрируемый в строке браузера адрес оказывались идентичны оригинальному дизайну и интернет-адресу соответствующей социальной сети. Кроме того, на поддельной веб-странице даже демонстрировалось настоящее имя пользователя, поэтому многие жертвы киберпреступников попросту не замечали подмены, считая, что их учетная запись в социальной сети действительно была взломана.

Проведенное вирусными аналитиками «Доктор Веб» расследование показало, что виновником инцидента стала видоизмененная вирусом системная библиотека rpcss.dll, являющаяся компонентом службы удаленного вызова процедур (RPC) в операционных системах семейства Microsoft Windows. А троянская программа, «дополнившая» библиотеку вредоносным объектом, получила название Trojan.Zekos, причем она умеет заражать как 32-битные, так и 64-битные версии Windows. Примечательно, что первые версии данного трояна были найдены еще в начале 2012 г., однако эта модификация вредоносной программы обладает некоторыми отличиями от своих предшественников.

По словам экспертов «Доктор Веб», Trojan.Zekos состоит из нескольких компонентов. Запустившись на зараженном компьютере, Trojan.Zekos сохраняет свою зашифрованную копию в одну из системных папок в виде файла со случайным именем и расширением, отключает защиту файлов Windows File Protection и пытается повысить собственные привилегии в операционной системе. Затем троян модифицирует библиотеку rpcss.dll, добавляя в нее код, основное предназначение которого — загрузка в память компьютера хранящейся на диске копии трояна. Также Trojan.Zekos модифицирует драйвер протокола TCP/IP (tcpip.sys) с целью увеличения количества одновременных TCP-соединений в 1 секунду с 10 до 1 млн.

В целом, по оценкам компании, Trojan.Zekos обладает чрезвычайно развитым вредоносным функционалом. Как упоминалось выше, одна из возможностей данной вредоносной программы — перехват DNS-запросов на инфицированном компьютере для процессов браузеров Microsoft Internet Explorer, Mozilla Firefox, Chrome, Opera, Safari и др. Таким образом, при попытке, например, посетить сайт популярной социальной сети, браузер пользователя получит в ответ на DNS-запрос некорректный IP-адрес запрашиваемого ресурса, и вместо искомого сайта пользователь увидит принадлежащую злоумышленникам веб-страницу. При этом в адресной строке браузера будет демонстрироваться правильный URL. Помимо этого, Trojan.Zekos блокирует доступ к интернет-сайтам большинства антивирусных компаний и серверам Microsoft.

Сигнатура данной угрозы и алгоритм лечения последствий заражения трояном Trojan.Zekos добавлены в вирусные базы Dr.Web. Пользователям, пострадавшим от данной угрозы, рекомендуется проверить жесткие диски своих компьютеров с помощью антивирусного сканера или воспользоваться бесплатной лечащей утилитой Dr.Web CureIt!.

CNews

11.04.13, Чт, 15:20, Мск, Текст: Антон Ворыхалов / Фото: krebsonsecurity.com

Эксперт в области ИБ Брайан Кребс обвинил жителя Саранска в создании трояна Flashback, на основе которого был создан крупнейший в истории ботнет для Mac OS X.

Авторитетный эксперт в области информационной безопасности Брайан Кребс (Brian Krebs) утверждает, что ему известен автор Flashback, самого опасного трояна для компьютеров Apple.

Flashback.C, обнаруженный (материал ниже - R) в 2011 г., распространялся под видом установочного файла Adobe Flash Player и требовал для установки в систему ввести пароль. Несмотря на это, на основе сформировался ботнет из более чем 600 тыс. компьютеров под управлением Mac OS X.

До сих пор создатель Flashback оставался анонимным, однако, по заявлению Кребса, троян был написан жителем Саранска Максимом Селихановичем.

Свое утверждение Кребс строит на собственном признании участника закрытого форума «черных SEO-шников» (поисковых оптимизаторов) BlackSEO.com, известного под ником Mavook.

Признание Mavook сделано в переписке по поводу получения им доступа к другому закрытому ресурсу Darkode.com. В ответ на просьбу рассказать о себе, он говорит, что является автором «ботнета на маках Flashback» и просит зарегистрировать его «под каким-нибудь непалевным ником, например macbook».


Признание пользователя Mavook на форуме BlackSEO.

Кребс отмечает, что Mavook мог приписать себе авторство Flashback, желая поднять себя в глазах собеседника, однако он и без того обладает на форуме VIP-статустом и из его профиля видно, что он один из старейших участников форума BlackSEO.com: ник Mavook зарегистрирован в 2005 г. и является 24 по счету из тысячи.

Кребс приводит разговор с форума, где Mavook характеризуется как «хороший адекватный человек», способный сдать в аренду связку - серверный инструмент для управления ботнетом.

Профиль Mavook указывает на его персональную страницу. Хотя Whois для нее уже давно скрыт, сервис историй Whois domaintools.com показывает, что домен был первоначально зарегистрирован в 2005 г. Максимом Селихановичем в столице в Мордовии Саранске.

Для регистрации mavook.com была использована электронная почта h0mini@mail.ru . Поиск по базе данных Skype связывает ее с пользователем под ником Maximsd. Mavook также использует адрес mavook@gmail.com , который также связан с Максимом Селихановичем из Саранска через учетные записи ныне несуществующего сайта saransk-offline.com, сервиса продажи MP3-файлов.

Еще один адрес Селихановича - troxel@yandex.ru , использованный для регистрации ныне удаленной учетной записи Facebook Maxim Selikhanovich из Саранска. Ник Troxel был использован на заброшенном сайте торговли mp3 mavook-mp3.com, зарегистрированном на «Mavook aka Troxel» по адресу h0mini@mail.ru .

Окончательным доказательством, пишет Кребс, является то, что почта h0mini@mail.ru - это контактный адрес, указанный на сайте мак-rm.com, саранской «Мордовской аутсорсинговой компании», оказывающей услуги ИТ-аутсорсинга и веб-дизайна.

По словам источника Кребса, которого сам он называет надежным, и который имеет доступ к базам данных российских налоговых органов, «Мордовская аутсорсинговая компания» зарегистрирована на имя Максима Дмитриевича Селихановича из Саранска.

CNews проверил последнее утверждение Кребса и выяснил, что в ЕГРЮЛ действительно содержится запись о Максиме Дмитриевиче Селихановиче, но сказано, что он вышел из числа соучредителей «Мордовской аутсорсинговой компании» в 2010 г.

CNews

---

Обнаружен троян, «убивающий» защиту компьютеров Apple

20.10.11, Чт, 17:32, Мск, Текст: Владислав Мещеряков / Фото: f-secure.com

Новая разновидность трояна Flashback.C отключает интегрированный антивирус в системе OS X и готовит канал для заражения «маков» другими вредоносными программами.

Антивирусный разработчик F-Secure распространил информацию о появлении новой вредоносной программы, работающей в операционной системе OS X, ранее известной как Mac OS X. В номенклатуре F-Secure троян получил название Flashback.C.

Flashback.C, распространяемый под видом установочного файла Adobe Flash Player, - это развитие относительно безобидного трояна Flashback.A, который также в сентябре 2011 г. также маскировался под тот же установщик.

Модернизированная разновидность популярного вируса обладает важной особенностью: новый троян после внедрения в систему отключает интегрированный в OS X защитный механизм, известный под названием XProtect и препятствует его обновлению. Таким образом, операционная система не в состоянии получить обновлений, благодаря которым она могла бы удалить троян.

Пожалуй, Flashback.C - это самый опасный из троянов для «яблочных компьютеров», которые начали появляться в 2011 г.

Весной 2011 г. стал известен вирус Mac Defender, который, маскируясь под антивирус, сообщал пользователю о заражении системы и от него требовал заплатить за программную лицензию.

В сентябре появился прототип нынешнего трояна - Flashback.A, который, установившись в системе, блокировал брандмауэр Little Snitch и устанавливал библиотеку dyld, позволяющую внедрить код в любое запущенное приложение.


Это установщик трояна Flashback.C, замаскированный под обновление Adobe Flash Player

Все три трояна для OS X, ставших известными в 2011 г. имеют характерную особенность: поскольку они распространяются, маскируясь под установочные файлы, для их внедрения в систему пользователь должен ввести пароль администратора, что существенно снижает риск заражения.

Ведущий вирусный аналитик «Лаборатории Касперского» Юрий Наместников отметил в разговоре с CNews, что его компания знает этот троян с 14 окт 2011 г., детектируя его под названием Trojan-Downloader.OSX.Flashfake.d.

Наместников отмечает эффективность тактики отключения защитных функций OS X, которой придерживается троян: «Порча файлов встроенной защиты Xprotect приводит к невозможности получения обновлений от компании Apple. Таким образом, вредоносный файл, однажды запустившись на компьютере, не только защищает себя от удаления, но и делает систему уязвимой для других вредоносных программ».

По словам эксперта, Flashback.C может представлять существенную угрозу: «он является каналом доставки вредоносных программ на компьютер пользователя, плюс к этому ослабляет защиту компьютера».

Коммерческий директор компании Unreal Mojo Александр Пацай, разработчик программ для iOS и OS X, замечает, что новый троян самоудаляется, обнаружив брандмауэр LittleSnitch, сообщающий о несанкционированном трафике. Он сообщает, что Flashback.C способен отключить только интегрированную в систему защиту Apple. Если на «маке» установлен антивирусный пакет стороннего производителя, то троян распознается и обезвреживается.

CNews

текст: Георгий Орлов /Infox.ru
опубликовано 18 апр ‘13 18:16

Компания ESET, являющаяся ведущим международным разработчиком антивирусного ПО и экспертом в области киберпреступности, сообщила, что ее эксперты обнаружили спам, «зарабатывающий» на Бостонской трагедии, распространяя вредоносную программу Win32/Kelihos.

В фишинговых письмах, которые были разосланы злоумышленниками, содержится ссылка на видеоролик, где запечатлен взрыв во время марафона в Бостоне. Перейдя по ссылке, пользователь попадает на страницу с видеороликом, но на той же странице находится и вредоносный элемент, который перенаправляет пользователя на набор эксплойтов Redkit. При помощи данного набора на пользовательский ПК устанавливается вредоносная программа, детектируемая решениями ESET как Win32/Kelihos. Данный тип атаки назван drive-by installation (в переводе «скрытая установка»).

Для инсталляции вируса через набор эксплойтов применяются незакрытые уязвимости в установленном ПО или в самой ОС. Вредоносное ПО похищает персональные данные пользователя — логины и пароли, почтовые адреса и содержимое кошелька Bitcoin, после чего пересылает злоумышленникам. Также, Kelihos объединяет скомпрометированные компьютеры в ботнет. Эксперты компании обнаружили, что для увеличения количества зараженных пользователей злоумышленники переориентировали ботнет на рассылку спама о взрыве в Бостоне.

Данный инцидент — далеко не единственный пример эксплуатации бостонской трагедии мошенниками. Сразу после взрыва появился Twitter-аккаунт, якобы от имени организаторов марафона. Было заявлено, что за каждый ретвит пострадавшим будет переводиться $1. Прежде чем администрация Твиттера удалила аккаунт, злоумышленники успели собрать более 50 тысяч ретвитов.

22.04.13, Пн, 17:24, Мск

Компания «Доктор Веб» — российский разработчик средств защиты информации — сообщила о массовом распространении двух новых модификаций троянов-шифровальщиков семейства Trojan.Encoder — Trojan.Encoder.205 и Trojan.Encoder.215. Опасны они тем, что вымогают у пользователей тысячи долларов за расшифровку файлов, сообщили CNews в компании.

По данным компании, вредоносные программы семейства Trojan.Encoder отыскивают на дисках инфицированного компьютера пользовательские файлы, в частности документы Microsoft Office, музыку, фотографии, картинки и архивы, после чего шифруют их. Зашифровав файлы, энкодеры требуют у жертвы оплатить их расшифровку, при этом сумма «выкупа» может достигать нескольких тысяч долларов.

Троян Trojan.Encoder.205 и его более поздняя модификация — Trojan.Encoder.215 — начали массово распространяться в конце марта — начале апреля 2013 г. Как правило, заражение происходит с использованием массовой рассылки сообщений электронной почты, содержащих эксплойт для одной из уязвимостей (CVE-2012-0158). С использованием этого эксплойта на компьютер жертвы проникает троян-загрузчик, который, в свою очередь, скачивает и устанавливает энкодер. По данным на 19 апреля 2013 г., в службу технической поддержки «Доктор Веб» уже обратилось 105 пользователей, пострадавших от Trojan.Encoder.205, и 74 жертвы трояна Trojan.Encoder.215, при этом заявки продолжают поступать.

Зашифровав файлы на инфицированном компьютере, вредоносная программа демонстрирует на экране сообщение, начинающееся с фразы «Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом. Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024» или «Все важные для Вас данные на этом компьютере (документы, изображения, базы данных, почтовая переписка и т.д.) зашифрованы с использованием уникального криптографического алгоритма. Без специального программного обеспечения расшифровка одного файла с использованием самых мощных компьютеров займет около года». При этом жертве предлагается отправить письмо на адрес электронной почты muranchiki@yahoo.com , gdf@gdfsgd.com , specialmist@gmail.com или decrypfiles@yahoo.com .


Сообщение, демонстрируемое вредоносной программой на экране компьютера жертвы

В последнее время наблюдается распространение еще одной модификации данной угрозы, отличающейся от предшественниц другим текстом и адресом электронной почты (на 19 апреля текущего года, служба технической поддержки «Доктор Веб» зафиксировала 58 обращений пользователей, пострадавших от этой угрозы).

Несмотря на заявления киберпреступников, обе модификации трояна используют довольно примитивный потоковый алгоритм шифрования, при этом из-за недостатков реализации трояна пользовательские данные порой не могут расшифровать даже сами злоумышленники. Вместе с тем, этот алгоритм без труда поддается расшифровке специалистами «Доктор Веб».

В случае заражения компьютера указанными вредоносными программами, в «Доктор Веб» советуют не пытаться переустановить операционную систему, а также не удалять или пытаться восстановить зашифрованные файлы самостоятельно. Необходимо обратиться с соответствующим заявлением в полицию и службу технической поддержки «Доктор Веб», создав тикет в категории «Запрос на лечение» (к тикету нужно приложить зашифрованный трояном файл) — эта услуга бесплатна.

CNews

[highslide]http://digit.ru/images/38917/02/389170279.jpg[/highslide]

МОСКВА, 13 сен — Digit.ru

Киберпреступники стали использовать новую технологию атаки на клиентов платежных систем в интернете, основанную на применении облачных технологий, говорится в сообщении немецкой антивирусной компании G Data.

С помощью вредоносного программного обеспечения (ПО) вирусописатели могут перехватывать данные платежных операций на стороне пользователей, а размещение элементов вредоносного кода в «облаке» существенно осложняет анализ атак и создание эффективных инструментов борьбы с этим новым видом угроз, отмечают эксперты.

Обычно банковские троянцы используют хранящиеся на атакуемом компьютере конфигурационные файлы. Такие файлы содержат адреса сайтов, на которые часто заходит пользователь и которые киберпреступники планируют атаковать. Злоумышленники внедряют вредоносный код на эти ресурсы с помощью банковских троянцев, и в дальнейшем с помощью этого кода хакерам удается похитить данные доступа и персональную информацию пользователей.

Согласно сообщению, несколько дней назад эксперты G Data обнаружили особую конфигурацию известного банковского троянца ZeuS. Его принцип действия отличается тем, что вместо внедрения полностью всего вредоносного кода на атакуемый сайт, используется только небольшая часть зловреда в виде Javascript, который затем загружает из «облака» остальные компоненты вредоносного кода. В дальнейшем в зависимости от атакуемого сайта троянец может попросить пользователя, например, повторно ввести данные банковской карты якобы в целях безопасности.

Аналогичный механизм атаки использует и другой троянец Ciavax, активность которого была замечена с августа этого года. В данном случае, отмечают эксперты, даже список сайтов, на которые планируется организовать атаку, засекречен.

По словам Томаса Зиберта, антивирусного эксперта G Data, новая технология совершения атак на клиентов онлайн-банкинга использует все преимущества известного троянца ZeuS, однако на этот раз вирусописателям удалось продвинуться дальше. Стало невозможно определить, какие сайты киберпреступники собираются атаковать.

«В то же время, проверка выборки интернет-адресов вручную на основе их тематики тоже не может быть эффективным решением, поскольку большое количество запросов может привлечь к себе внимание злоумышленников. Применение новых механизмов ведения атак не только существенно осложняет борьбу с вирусописателями, но и свидетельствует об их возросшем профессионализме», — добавил он.

Фото: picvario.com/Russian Look

Специалисты предупреждают о новом вредоносном вирусе для мобильников на базе Android

«Expert Online» /28 окт 2013, 13:48

Похитить денежные средства с банковской карты теперь могут с помощью одного SMS-сообщения. Появился новый вредоносный вирус, который попадает в мобильный телефон и получает доступ к банковской карте, которая привязана к этому номеру. Деньги с карты выводятся на мобильные кошельки мошенников. А пользователь об этом даже не узнает - троян уничтожает SMS-уведомления.

О появлении вредоносной программы сообщили сотовый оператор "МегаФон" и производитель антивирусов "Лаборатория Касперского". Вирус поражает мобильные телефоны на базе Android.

Мошенники рассылают владельцам мобильных устройств сообщения с гиперссылками, пройдя по которым пользователь скачивает себе вредоносную программу.

"Злоумышленники постоянно разрабатывают модификации троянцев, большая часть которых приходится на Россию. Пользователь даже не догадывается о том, что его телефон заражен, и с его счета списываются средства", - отмечает директор по предотвращению мошенничества компании "МегаФон" Сергей Хренов. Он рекомендует абонентам регулярно обновлять антивирусы на своих телефонах, не проходить по ссылкам в сообщениях и не скачивать в свой смартфон программы из непроверенных источников.

В "Лаборатории Касперского", в свою очередь, отмечают рост вредоносного ПО, нацеленного на кражу банковских данных. "Если раньше мы обнаруживали в среднем три-четыре зловреда такого рода для Android в месяц, то только в сентябре 2013-го нами задетектировано 250 различных модификаций банковских зловредов", - констатирует антивирусный эксперт Роман Утечек.

По данным "Лаборатории Касперского", Россия является самой атакуемой страной: на нее приходится более 66% атак на мобильные устройства. Большинство SMS-троянцев воруют в среднем около 300 руб. с мобильного устройства.

28.10.13, Пн, 16:03, Мск

Компания «МегаФон» и «Лаборатория Касперского» сообщили об увеличении случаев заражения мобильных телефонов на базе Android вредоносным программным обеспечением (ПО), которое переводит мошенникам деньги с банковских карт абонентов.

Впервые вредоносное ПО с подобным функционалом было обнаружено «Лабораторией Касперского» летом этого года. Новая угроза позволяла быстро и незаметно выудить у ничего не подозревающей жертвы значительную сумму денег. В отличие от своих собратьев этот новый SMS-троянец предоставлял своим хозяевам возможность хищения денег не с мобильного, а с банковского счета жертвы. Мошенники рассылали владельцам мобильных устройств сообщения с гиперссылками. Пройдя по ссылке, пользователь скачивал себе вредоносную программу, которая способна без участия абонента запрашивать баланс, пополнять счет с банковской карты, если она привязана к номеру, и далее выводить денежные средства с лицевого счета абонента на электронные кошельки злоумышленников.

В конце сентября был обнаружен новый троянец с подобным функционалом, нацеленный на клиентов того же крупного банка. Этот троянец также ориентирован на кражу денег с банковского счета жертвы. В первую очередь он отправляет SMS-BALANCE на «короткий» номер банка, затем ждет команды от сервера о переводе некой суммы со счета.

«Злоумышленники постоянно разрабатывают модификации троянцев, большая часть которых приходится на Россию. В этот раз мошенники создали нового троянца с похожим функционалом. Пользователь даже не догадывается о том, что его телефон заражен, и с его счета списываются средства, так как зловред полностью удаляет входящие SMS-уведомления от банка. Узнать о наличии угрозы в телефоне можно только с помощью антивирусного программного обеспечения или путем постоянного отслеживания транзакций по своему банковскому счету, - отмечает директор по предотвращению мошенничества Сергей Хренов, «МегаФон». - Я хотел бы предупредить клиентов «МегаФона» о возникшей угрозе и посоветовать обновить антивирусное ПО, а также не проходить по ссылкам в сообщениях и не закачивать в свой смартфон программы из непроверенных источников».

«В этом году мы наблюдаем рост вредоносного ПО, нацеленного на кражу банковских данных. Если раньше мы обнаруживали в среднем 3-4 зловреда для ОС Android такого рода в месяц, то только в сентябре 2013 нами задетектировано 250 различных модификаций банковских зловредов. На конец 2012 г. нами было обнаружено 64 банковских зловреда, а на данный момент их уже почти 750, что говорит о более чем десятикратном росте, – отмечает Роман Утечек, антивирусный эксперт «Лаборатории Касперского». - В случае с последним троянцем, нацеленным на клиентов одного из крупнейших российских банков, на наш взгляд, мошенники только примериваются для того, чтобы в ближайшее время сделать массовую рассылку вредоносного ПО».

По данным «Лаборатории Касперского», Россия является самой атакуемой страной – на нее приходится более 66% атак на мобильные устройства. В среднем в России защитные решения «Лаборатории Касперского для платформы Android блокируют около 2500 установок вредоносного ПО в сутки. Большинство SMS-троянцев для ОС Android воруют в среднем около 300 руб. с мобильного устройства. Но существуют угрозы, способные подписывать жертву на ежедневное снятие денег. Кроме того, последнее время набирают популярность зловреды с возможностью неоднократной отправки премиум SMS.

CNews

SecurityLab.ru
29 октября, 2013

Microsoft опубликовала глобальное исследование угроз безопасности для Windows XP.

Эксперты компании Microsoft опубликовали результаты своего глобального исследования, посвященного наиболее распространенным угрозам информационной безопасности, ориентированным на операционную систему Windows XP.

Среди прочего, выяснилось, что в течение первой половины 2013 года из миллиарда исследуемых компьютеров, на которых установлены антивирусные решения корпорации, более 17% подвергались вирусным атак. При этом в процентном соотношении системы с Windows XP были атакованы в шесть раз чаще, чем те, на которых установлена Windows 8.

Интересно, что самым популярными вирусами для Windows XP являются трояны семейства Sality, предназначенные для хищения конфиденциальных данных. За ними следуют не менее известные вирусы Ramnit и Vobfus.

Разработчики также подчеркивают, что с 8 апреля 2014 года они перестанут выпускать обновления безопасности для Windows XP. В связи с этим, эксперты ожидают еще больший рост количества угроз, ориентированных на данную операционную систему.

Ознакомиться с отчетом Microsoft можно здесь.

[highslide]http://digit.ru/images/38882/31/388823165.jpg[/highslide]

Digit.ru
29/10/201312:40

В результате атаки на внутренние сети компании Adobe было скомпрометировано 38 миллионов учетных записей пользователей, а не 2,9 миллиона, как компания заявляла ранее.

В начале октября производитель программного обеспечения Adobe сообщил о взломе своих внутренних сетей, в результате которого мошенники получили доступ к паролям и данным кредитных карт 2,9 миллиона пользователей. Брайан Кребс, специалист по кибербезопасности, в рамках расследования выяснил реальные масштабы утечки и связался с компанией. Пресс-секретарь Adobe Хизер Эделл подтвердила, что злоумышленникам удалось получить доступ к Adobe ID и действительным зашифрованным паролям порядка 38 миллионов активных пользователей.

Adobe отправила предупреждения всем пользователям, в том числе неактивным, чьи учетные записи могли быть скомпрометированы в результате взлома, утверждают в компании. В Adobe полагают, что мошенники получили также данные тестовых и повреждённых аккаунтов. Объем скомпрометированных данных по этим Adobe ID сейчас уточняется.

Как ранее сообщал Digit.ru, помимо персональных данных неизвестные смогли получить исходные коды ряда продуктов Adobe, среди которых программа для работы с PDF-файлами Acrobat, а также инструментарий для разработки интернет-приложений ColdFusion и ColdFusion Builder. Утечка исходного кода позволила злоумышленникам осуществить атаку на исходный код программы Photoshop, сообщила пресс-секретарь компании. Других данных об атаках на сервера программ Adobe пока нет.

Компьютерное обозрение
31 октября 2013 г., 16:55

Количество атак с использованием Java-эксплойтов в период с сентября 2012 г. по август 2013 г. составило 14,1 млн, что на треть больше, чем за предыдущий аналогичный период, сообщает «Лаборатория Касперского». Как добавили в компании, традиционно Adobe Flash Player, Adobe Reader и Oracle Java являлись наиболее часто атакуемым злоумышленниками программами. Однако, за последний год именно Java стала основной целью киберзлоумышленников.

Большая часть атак пришлась на второе полугодие — с марта по август 2013 г. было зарегистрировано более 8,5 млн атак. При этом около половины было осуществлено с помощью всего шести семейств Java-эксплойтов, хотя всего задетектировано более 2000 семейств подобных зловредов.

Большинство атакованных (около 80%) проживает всего в десяти странах. Половину всех атак приняли на себя США и Россия — 26,2% и 24,5% соответственно. Тройку лидеров наиболее пострадавших стран замыкает Германия, в которой за год было зафиксировано 11,7% атак. В то же время быстрее всего число атак росло в Канаде (на 118% за год), США (108%), Бразилии (72%) и Германии (81%).

Большое количество атак с использованием эксплойтов под Java неудивительно: за 12 месяцев в Java была обнаружена 161 уязвимость. Для сравнения, годом ранее была найдена лишь 51 уязвимость. Шесть из вновь обнаруженных уязвимостей получили статус критических, то есть максимально опасных, и именно они активно использовались злоумышленниками в атаках.

ko.com.ua

Security­Lab.ru
21 ноября, 2013

Если пользователь не успеет заплатить необходимую сумму, то ключ, согласно всплывающему окну с предупреждением, будет удален с сервера.

Эксперты из Национального агентства по борьбе с преступностью (National Crime Agency, NCA) Великобритании сообщили, что миллионы граждан стали жертвами атаки с использованием CryptoLocker. Напомним, что задачей вируса является ограничение доступа пользователя к собственным данным и последующее вымогательство за их расшифровку.

В NCA также утверждают, что вредоносная кампания продолжается. При этом злоумышленники рассылают спам-письма от имени банков и других финансовых учреждений. Электронные письма нацелены на представителей малого и среднего бизнеса, утверждают в NCA.

Письма содержат прикрепленные файлы, якобы связанные с сообщениями электронной почты (к примеру, голосовая почта, факс, счета-фактуры на оплату или предупреждения об осуществлении подозрительной финансовой операции). Данные вложения, на самом деле, являются вирусом CryptoLocker, который шифрует файлы в тех папках, к которым у него есть доступ.

Затем вредоносное ПО предлагает заплатить определенную сумму денег, для того чтобы получить ключ расшифровки файлов. На экране появляется окно для осуществления оплаты, подчеркивающее, что у пользователя есть ограниченный период времени на получение ключа. Если пользователь не успеет заплатить необходимую сумму, то ключ, согласно всплывающему окну с предупреждением, будет удален с сервера. Это значит, что файлы будет невозможно восстановить.

Известно, что сейчас злоумышленники требуют от пользователей две монеты Bitcoin, которые стоят по ?536 или $300.