• Win32/Industroyer: новая угроза для промышленных систем управления

      Win32/Industroyer – сложная вредоносная программа, предназначенная для нарушения рабочих процессов в промышленных системах управления (ICS), в частности, на электрических подстанциях.

      Создателей Win32/Industroyer отличает высокая квалификация и глубокое понимание промышленных систем управления и протоколов связи в электроэнергетике. Маловероятно, чтобы кто-либо мог написать и протестировать подобное ПО без доступа к специализированному оборудованию, которое используется в целевой среде.



      Читать дальше →
      • +20
      • 9,5k
      • 7
    • Киберкампания watering hole от Turla: обновленное расширение для Firefox использует Instagram

        Некоторые схемы АРТ-атак не меняются годами. Например, атаки watering hole в исполнении кибергруппы Turla. Эта группировка специализируется на кибершпионаже, ее основные цели – правительственные и дипломатические учреждения. Схему watering hole хакеры используют для перенаправления потенциальных жертв на свою C&C-инфраструктуру как минимум с 2014 года, иногда внося небольшие изменения в принцип работы.



        Мы в ESET следим за кампаниями Turla и недавно обнаружили, что хакеры вернулись к использованию метода, заброшенного на несколько месяцев.

        Читать дальше →
      • Вредоносное ПО Linux/Shishiga использует скрипты Lua

          Среди образцов вредоносного ПО для Linux, получаемых ежедневно, мы заметили подозрительный экземпляр, который детектировал только Dr.Web – как Linux.LuaBot. Довольно странно, поскольку наша частота обнаружений малвари семейства Luabot как правило выше.

          Выполнив анализ, мы выяснили, что программа написана на Lua и относится к новому семейству, не связанному с уже известным Luabot. Малварь получила название Linux/Shishiga. Она использует четыре протокола (SSH – Telnet – HTTP – BitTorrent) и Lua-скрипты.

          image


          Читать дальше →
        • Новый мобильный банкер на Google Play — теперь под видом приложения-фонарика

            Никогда не было и вот опять. На Google Play обнаружили приложение с «незадокументированными возможностями» — фонарик Flashlight LED Widget, скрывающий функции мобильного банкера. Приложение появилось 30 марта и до удаления 10 апреля было загружено до пяти тысяч раз.

            В отличие от других вредоносных программ с постоянным набором целевых приложений, этот троян меняет цели динамически, в зависимости от софта, установленного на зараженном устройстве.

            image

            Читать дальше →
          • Sathurbot: распределенная атака на WordPress-сайты

              Поиск фильмов и софта на торрентах сопряжен с некоторым риском. Есть шанс получить ссылки на торренты, размещенные на сайтах, которые не имеют ничего общего с файлообменом. Просто они работают на WordPress и были скомпрометированы.

              В отчете рассказываем об экосистеме трояна Sathurbot – распространении через торренты и брутфорс-атаках на WordPress-сайты.

              image

              Читать дальше →
            • Россиянин Максим Сенах признался в причастности к киберкампании Windigo

                Три года назад ESET опубликовала отчет об операции Windigo – вредоносной кампании, результатом которой стала компрометация десятков тысяч Linux и UNIX серверов. На этой неделе один из подозреваемых в кибератаках, Максим Сенах из Великого Новгорода, в американском суде признал свою вину в нарушении закона о компьютерном мошенничестве и злоупотреблении (CFAA).

                image
                Читать дальше →
              • Фальшивые обещания, агрессивная реклама, трояны-загрузчики и другие сюрпризы Google Play

                  Специалисты ESET обнаружили на сервисе Google Play очередную партию вредоносных и нежелательных приложений. Они маскируются под легитимные программы и/или используют методы социальной инженерии для увеличения рейтинга. Общее число загрузок «героев» этого обзора превышает полтора миллиона, причем в большинстве ситуаций изучение отзывов пользователей в сервисе Google Play позволило бы избежать установки потенциально опасного ПО.

                  image

                  Читать дальше →
                • Целевые атаки на польские банки: технический анализ

                    На польском портале ZaufanaTrzeciaStrona.pl, посвященном кибербезопасности, не так давно появилась новость об успешных атаках на польские банки (версия на английском здесь). Инцидент был охарактеризован как «серьезнейший». Данные подтвердили Symantec и BAE Systems. Список жертв пополнили учреждения из Мексики и Уругвая, а также другие цели по всему миру.

                    image

                    В этих атаках немало интересного – от целей и векторов заражения до особенностей вредоносных исполняемых файлов. Если первые два аспекта уже изучены, то вредоносный код не был детально исследован. В этом посте мы проведем технический анализ зловреда.

                    Читать дальше →
                    • +11
                    • 6,1k
                    • 4
                  • Мобильные банкеры распространялись на Google Play под видом погодных приложений

                      Специалисты нашей вирусной лаборатории нашли на сервисе Google Play две модификации банковского трояна Trojan.Android/Spy.Banker. Троян распространялся под видом легитимных приложений с прогнозом погоды.

                      image
                      Читать дальше →
                    • Кибергруппа RTM специализируется на краже средств у российских компаний

                        Известно несколько кибергрупп, специализирующихся на краже средств у российских компаний. Мы наблюдали атаки с применением лазеек в системах безопасности, открывающих доступ в сети целевых объектов. Получив доступ, атакующие изучают структуру сети организации и развертывают собственные инструменты для кражи средств. Классический пример этого тренда – хакерские группировки Buhtrap, Cobalt и Corkow.


                        image


                        Группа RTM, которой посвящен этот отчет, является частью данного тренда. Она использует специально разработанные вредоносные программы, написанные на Delphi, которые мы рассмотрим подробнее в следующих разделах. Первые следы этих инструментов в системе телеметрии ESET обнаружены в конце 2015 года. По мере необходимости группа загружает в зараженные системы различные новые модули. Атаки нацелены на пользователей систем ДБО в России и некоторых соседних странах.


                        Читать дальше →
                        • +22
                        • 11,6k
                        • 1
                      • Роутеры NetGear подвержены серьезной уязвимости

                          В некоторых моделях роутеров NetGear была обнаружена серьезная узвимость, которая позволяет злоумышленникам удаленно исполнять команды Linux на устройствах. Для эксплуатации уязвимости злоумышленники могут использовать специальным образом сформированный запрос к роутеру и отправить его через заранее подготовленную веб-страницу.


                          NETGEAR has recently become aware of the security issue #582384 that allows unauthenticated web pages to pass form input directly to the command-line interface. A remote attacker can potentially inject arbitrary commands which are then executed by the system.

                          Читать дальше →
                          • +13
                          • 7,3k
                          • 4
                        • Набор эксплойтов Stegano используется злоумышленниками для компрометации пользователей

                            Специалисты ESET обнаружили, что миллионы посетителей популярных новостных веб-сайтов были мишенью нескольких вредоносных объявлений, которые специализировались на перенаправлении пользователей на набор эксплойтов. Этот набор эксплойтов использовался для компрометации пользователей вредоносным ПО с привлечением эксплойтов для Flash Player.



                            Начиная, по крайней мере, с октября месяца этого года, пользователи могли сталкиваться с объявлениями, рекламирующими такие приложения как «Browser Defence» и «Broxu». Ниже приведены баннеры этих объявлений, которые использовались для показа на веб-сайтах.

                            Читать дальше →
                          • Google исправила уязвимости в Android

                              Google выпустила обновление для Android под названием Android Security Bulletin—December 2016, которое исправляет в этой ОС множественные уязвимости, а также уязвимости в ее сторонних компонентах производства NVIDIA, MediaTek, HTC и Qualcomm. Например, в компоненте драйвера звукового кодека HTC было исправлено три уязвимости типа Local Privilege Escalation (LPE), которые могут быть использованы атакующими для запуска вредоносного кода в режиме ядра Android. Исправлению подлежат устройства Google Nexus 9.



                              Нужно отметить, что в этот раз не было исправлено ни одной критической уязвимости в Android, которая могла быть использована для удаленного исполнения кода с повышенными привилегиями, например, с использованием печального компонента Mediaserver, отвечающего за обработку мультимедийных файлов.

                              Читать дальше →
                            • Злоумышленники рассылают фишинговые SMS сообщения от имени Apple

                                Фишинговые сообщения, которые злоумышленники распространяют с помощью сервиса коротких текстовых сообщений SMS, не являются чем-либо новым. Они узнают номера телефонов своих потенциальных жертв и используют актуальную на текущий момент тему для рассылки сообщений от имени выбранной компании.


                                Недавно мы наблюдали рассылку сообщений от имени компании Apple, целью которой для злоумышленников было получить конфиденциальные данные пользователей, а, именно, логины и пароли от учетных записей Apple ID. Распространенность устройств и сервисов от Apple, делает использование этой темы для злоумышленников весьма актуальным.

                                Читать дальше →
                              • Злоумышленники используют 0day уязвимость в веб-браузере Tor для кибератак

                                  Новая уязвимость в веб-браузере Tor/Firefox используется для установки вредоносного ПО на компьютеры пользователей. Одной из первых эта информация появилась в списке рассылки (mailing list) Tor Project. Для эксплуатации уязвимости эксплойт использует специальным образом сформированные файлы HTML и CSS. По информации известного security-ресерчера Dan Guido, уязвимость относится к типу use-after-free и затрагивает Scalable Vector Graphics (SVG) парсер Firefox.



                                  Основатель Tor Project Roger Dingledine уведомил пользователей, что разработчики Firefox в курсе данной проблемы и работают над исправлением для уязвимости. Пользователям веб-браузера Tor рекомендуют отключить использование JavaScript до выхода соответствующего исправления.

                                  Читать дальше →
                                • Злоумышленники обещают пользователям бесплатные билеты авиакомпании Emirates

                                    До праздников в конце года остается не так много времени и пользователи заранее планируют бронирование билетов на самолет для посещения близких, друзей или же просто для отдыха. Как и следовало ожидать, киберпреступники активизируют свою деятельность в такое время, рассчитывая обмануть как можно больше пользователей. Они используют методы социальной инженерии и обещают пользователям бесплатные авиабилеты.



                                    В нашем прошлом посте мы предупреждали пользователей о фишинговой рассылке в WhatsApp, которая использует тему скидочных купонов. На сей раз злоумышленники также выбрали WhatsApp и рассылку сообщений от имени авиакомпании Emirates. Они предлагают пользователям получить несколько бесплатных билетов.

                                    Читать дальше →
                                  • Специалисты ESET выпустили новый инструмент расшифровки файлов шифровальщика Crysis

                                      С момента своего появления, вымогатели-шифровальщики представляют из себя прибыльный инструмент для организации бизнеса киберпреступников. Количество представителей таких семейств вредоносных программ выросло достаточно быстро, причем их жертвами становились как корпоративные пользователи (компании), так и простые пользователи.



                                      Один из шифровальщиков под названием Crysis заразил достаточно большое количество пользователей по всему миру, антивирусные продукты ESET обнаруживают его как Win32/Filecoder.Crysis. В случае этого шифровальщика, жертвам повезло больше, поскольку наши специалисты разработали бесплатный инструмент для расшифровки зашифрованных файлов.

                                      Читать дальше →
                                      • +16
                                      • 7,9k
                                      • 7
                                    • Lenovo исправила уязвимости в прошивках своих компьютеров

                                        Lenovo исправила две важные уязвимости в системном ПО своих компьютеров. Уязвимости исправляются обновлением LEN-9903 (Intel ME protection not set on some Lenovo Notebook and ThinkServer systems) и LEN-8327 (Microsoft Device Guard protection bypass). Первая уязвимость с идентификатором CVE-2016-8222 заключается в неправильной конфигурации Lenovo системного механизма чипсетов Intel — Intel Management Engine на некоторых моделях ноутбуков и компьютеров ThinkServer.


                                        Вторая уязвимость с идентификатором CVE-2016-8222 чем-то похожа на известную прежде уязвимость ThinkPwn, о которой мы уже писали здесь. Уязвимость может позволить атакующему перезаписать важные системные переменные BIOS и вызывать сервисы SMM режима работы микропроцессора, т. е. на уровне привилегий минус второго кольца (-2).

                                        Читать дальше →
                                        • +12
                                        • 4,9k
                                        • 4
                                      • Итоги контеста PwnFest

                                          Соревнование (контест) между security-ресерчерами под названием PwnFest чем-то напоминает другой известный контест — Pwn2Own. PwnFest проходил в Южной Корее, где исследователям по безопасности предлагалось скомпрометировать различные устройства и приложения для удаленного исполнения кода, а также повышения своих привилегий в системе. Спектр предлагаемых для взлома продуктов достаточно обширен, это веб-браузер Edge на Windows 10, ОС Android 7 на новейшем устройстве Google Pixel, известная среда виртуализации Microsoft Hyper-V, веб-браузеры Google Chrome и Apple Safari, а также VMware Workstation, Adobe Flash Player и Apple iOS 10.


                                          Команда китайских исследователей по безопасности из известной компании Qihoo 360 Technology не только сумела успешно скомпрометировать Microsoft Edge, VMware Workstation, Adobe Flash, Google Pixel, а также выиграть титул «Lord of Pwn». В общей сложности команда заработала $530k.

                                          Читать дальше →
                                        • Вредоносная программа Retefe используется для компрометации пользователей онлайн-банкинга

                                            Вредоносная программа под названием Retefe специализируется на компрометации пользователей различных банков, среди которых и Tesco Bank. Клиенты этого банка недавно подверглись массовой компрометации аккаунтов. Retefe используется злоумышленниками для кражи данных онлайн-банкинга, которые затем могут быть использованы с целью осуществления мошеннических операций.


                                            Согласно новостному порталу BBC, за выходные было зафиксировано около 40 тыс. подозрительных банковских транзакций, причем половина из них приходилась на незаконное списание денежных средств. Позже представители Tesco Bank подтвердили, что в результате компрометации пострадало около 9 тыс. клиентов банка.
                                            Читать дальше →

                                          Самое читаемое