Pull to refresh
  • by relevance
  • by date
  • by rating

Новая вредоносная кампания Dridex привела к большому количеству заражений в Европе

ESET NOD32 corporate blog
В последнее время банковский троян Dridex был одним из самых обсуждаемых. Это не удивительно, поскольку он уже получил популярность сравнимую с известным банковским трояном Zeus. Dridex также является одной из наиболее серьезных угроз на текущий момент. Авторы постоянно развивают свое творение, чтобы сделать его более эффективным.



По механизмам своей работы Dridex, который также известен как Bugat и Cridex, похож на банковские трояны типа Zeus, но представляет собой новый этап развития этого типа вредоносного ПО. Для компрометации пользователей злоумышленники используют вредоносные вложения для электронных писем, причем такой метод используется ими как в случае домашних пользователей, так и в случае корпоративных.
Читать дальше →
Total votes 7: ↑6 and ↓1 +5
Views 6.5K
Comments 1

Security Week 15: Дырявый модем в Huawei, VirusTotal как канал утечки данных, Microsoft патчится от Dridex

«Лаборатория Касперского» corporate blog Information Security *
Бывают же люди, до чужих багов жадные. Ральф-Филипп Вайнман из Comsecuris явно слегка повернут на уязвимостях беспроводных модемов – он копает эту тему как минимум с 2011 года, безжалостно бичуя поставщиков дырявых чипсетов. Почти каждый год выступает с новым докладом. В этот раз досталось Huawei, точнее, ее дочке HiSilicon Technologies. И достанется еще не раз: компания по доброте душевной опубликовала исходники ядра Huawei H60 Linux, что крутится у них под чипами серии Kirin, а вместе с ними слила и прошивку для HiSilicon Balong – сотового модема, который стоит в смартфонах Huawei.
Читать дальше →
Total votes 27: ↑26 and ↓1 +25
Views 7.8K
Comments 4

Анализ последней версии вредоносной программы Dridex для кражи регистрационных данных

Panda Security в России и СНГ corporate blog Antivirus protection *
Translation


Представляю Вашему вниманию отчет о последней версии Dridex – известного банковского трояна, который прославился своей сложностью и способностью оставаться незамеченным даже на зараженных компьютерах.
Читать дальше →
Total votes 5: ↑5 and ↓0 +5
Views 3.8K
Comments 1

Шифратор BitPaymer (FriedEx) создали авторы банковского трояна Dridex

ESET NOD32 corporate blog Antivirus protection *
Dridex успешно атаковал частных пользователей, компании и финансовые организации на протяжении нескольких лет, став нарицательным категории банковских троянов.

Новое исследование ESET доказывает, что авторы Dridex стоят за другим известным семейством вредоносных программ – сложным шифратором BitPaymer, который детектируется антивирусными продуктами ESET как Win32/Filecoder.FriedEx и Win64/ Filecoder.FriedEx.



Читать дальше →
Total votes 12: ↑11 and ↓1 +10
Views 2.9K
Comments 0

Началась массовая рассылка документов, использующих 0day-уязвимость в Word

Information Security *

В кампаниях по распространению зловредов Finspy и Latenbot для шпионажа использовалась одинаковая 0day-уязвимость в Word, а у документов была одинаковая дата и время последней редакции

Несколько дней назад в открытом доступе ещё до выхода патча была опубликована информация о новой 0day-уязвимости в Word (во всех версиях под все поддерживаемые операционные системы). Сообщалось, что уязвимость позволяет незаметно выполнить на компьютере жертвы произвольный код и установить вредоносное программное обеспечение через документ RTF. Вкратце описывался механизм работы зловреда.

Изощрённый характер атаки и использование 0day в популярном продукте намекали на то, что уязвимость целенаправленно использовалась против важных целей, а саму атаку проводили хакеры, близкие к спецслужбам и государственным структурам. Так оно и вышло.
Читать дальше →
Total votes 15: ↑14 and ↓1 +13
Views 20K
Comments 16

Распаковка: загрузчик Dridex

OTUS corporate blog Reverse engineering *
Translation
Доброй ночи, друзья! Менее чем через месяц у нас стартует курс «Реверс-инжиниринг», в связи с этим традиционно делимся полезным материалом по теме.

У некоторых читателей были проблемы с распаковкой начального загрузчика для Dridex (того, что был сброшен макросом), поэтому сегодня я покажу вам простой способ сделать это. Еще одна проблема, с которой сталкиваются люди, которую я не могу решить, это тот факт, что инфекционные цепочки Dridex имеют очень короткое время жизни, что делает практически невозможным реверс для большинства людей. Я объясню почему.

Текущая цепочка заражения Dridex имеет около 4 стадий:

  1. Офисный документ, содержащий макрос, запускает powershell-скрипт.
  2. Powershell-скрипт, который будет загружать упакованный загрузчик со взломанного сайта или sharepoint и запускать его.
  3. Упакованный загрузчик, который распакует сам себя и вставит код во вновь созданный процесс spoolsrv или svchost.
  4. Внедренный процесс, который будет связываться с сервером загрузчика, извлекать и выполнять настоящий двоичный файл бота.



Проблема для аналитиков состоит в том, что здесь сразу 2 точки сбоя: взломанный сайт, на котором размещен загрузчик, можно очистить или удалить учетную запись sharepoint, или же сервер загрузчика может быть остановлен (любой из них предотвратит успешное заражение). Кроме того, серверы загрузчиков часто поддерживают геозону (работают только в том случае, если ваш IP находится в стране, для которой он предназначен, и не является VPN), и как только загрузчик публично загружен, Dridex-группа имеет возможность занести его в черный список, навсегда заблокировав любого, кто его запускает, от контакта с любым C2s (Commercial Cloud Services).
Читать дальше →
Total votes 11: ↑11 and ↓0 +11
Views 1.7K
Comments 1