Специалисты компании Palo Alto Networks обнаружили первый настоящий вымогатель (ransomware) для Apple OS X. Вредоносная программа получила название KeRanger и обнаруживается нашими антивирусными продуктами как OSX/Filecoder.KeRanger.A. KeRanger относится к типу crypto-ransomware или filecoder и специализируется на шифровании файлов пользователя с дальнейшим требованием выкупа за расшифровку.



Для распространения вредоносной программы злоумышленники выбрали эффективный способ компрометации дистрибутивов ПО под названием Transmission для OS X. Эта программа представляет из себя простой свободно распространяемый клиент BitTorrent. Несколько дней назад два дистрибутива Transmission v2.90 были скомпрометированы KeRanger и распространялись на официальном веб-сайте клиента. Так как Transmission является свободным ПО, злоумышленники могли просто скомпилировать специальную backdoored-версию и заменить ее на сервере разработчиков. Кроме этого, скомпрометированный дистрибутив был подписан легитимным цифровым сертификатом разработчика для Mac.

Компания AMD завтра выпустит обновление для микрокода своих микропроцессоров архитектуры Piledriver (AMD Piledriver Family 15h). Обновление специализируется на устранении уязвимости в коде виртуализации, которая может быть использована атакующими для побега из виртуальной среды на реальную ОС. Уязвимости подвержены микропроцессоры с микрокодом последних версий 0x6000832 и 0x6000836, который используется в серверных вариантах типа Opteron 6300 или клиентских серии FX, а также Athlon.



При срабатывании уязвимости, микропроцессор может интерпретировать часть данных как исполняемый код и выполнить его, что приведет к аварийному завершению процесса на виртуальной машине. В свою очередь, это позволит обойти ограничения гипервизора и исполнить код на реальной ОС. В случае с сервером, злоумышленник, под видом обычного пользователя, на гостевой виртуальной машине может заполучить доступ ко всему серверу, причем с максимальными привилегиями.

Недавно стало известно, что в наборе системных файлов Windows 10 Insider Preview Build 14251 содержатся два драйвера с названиями LXss.sys и LXCore.sys, которые могут иметь прямое отношение к реализации подсистемы Linux на Windows 10, для поддержки в последней запуска соответствующих приложений. Указанные названия файлов могут интерпретироваться как Linux Subsystem и Linux Core. Также эти два файла имеют отношение к Windows 10 Mobile, для которой Microsoft собиралась включить поддержку приложений ОС Android, также основанной на ядре Linux.



Кроме этого, известный гуру внутреннего устройства Windows и один из соавторов известной книги Windows Internals, Alex Ionescu, показал в своем твиттере скриншот одной из функций драйвера LXCore.sys Windows 10 того же выпуска в отладчике Windbg, на котором виден анализатор заголовков 64-битных исполняемых файлов Linux, известных как ELF64.

Apple наняла на работу автора мессенджера Signal, который считается одним самых безопасных бесплатных приложений для обмена информацией между пользователями. Автор Signal Фредерик Джейкобс ранее работал в компании Open Whisper Systems и занимался разработкой мессенджера, который получил самые высокие оценки по обеспечению безопасности пересылаемых данных от таких гуру как Брюс Шнайер, Мэтью Грин и Эдвард Сноуден. В отличие от других мессенджеров, Signal предлагает пользователям безопасное end-to-end шифрование, без необходимости расшифровывать пересылаемые данные на промежуточном этапе.



Для самой Apple проблема обеспечения безопасности пользовательских данных на мобильных устройствах, которые работают под управлением iOS, встала как никогда остро. Компания и спецслужбы США вышли на новый уровень дебатов о возможности раскрытия данных пользователей, что может стать прецедентом для масштабного наступления спецслужб на политику конфиденциальности пользовательских данных всех высокотехнологичных компаний.

В мае 2014 г. специалисты ESET обнаружили первый вымогатель с функцией шифрования файлов для Android под названием Simplocker. Аналогичное вредоносное ПО для Windows ранее уже получило достаточно широкую распространенность и успешно использовалось злоумышленниками для вымогания значительных сумм с их жертв. Среди ярких представителей можно выделить такие семейства как Cryptolocker, Cryptowall, CTB-Locker, Torrentlocker.



После своего запуска на устройстве, вымогатель отображает пользователю сообщение с требованием выкупа, как это показано на рисунке ниже. Шифрование файлов осуществляется Simplocker в отдельном программном потоке. Вредоносная программа Android/Simplocker.A осуществляет поиск на SD-карте определенных типов файлов, таких как изображения, документы, видео со следующими расширениями: JPEG, JPG, PNG, BMP, GIF, PDF, DOC, DOCX, TXT, AVI, MKV, 3GP, MP4. Файлы шифруются с использованием симметричного шифра AES.

Специалисты компании FireEye обнаружили серьезную недоработку безопасности в инструменте EMET [1,2,3,4,5,6,7], которая позволяет достаточно просто отключить его механизмы защиты процессов с использованием его же встроенных функций. Уязвимость присутствует в предыдущих версиях EMET, т. е. в версиях до актуальной 5.5. Пользователям этих версий рекомендуется обновить EMET до последней версии.



Сам EMET поддерживает внутренний механизм снятия перехватов с API-функций системных библиотек в защищаемых процессах. Эта функция применяется в том случае, когда нужно оперативно отключить защиту процесса, за реализацию которой отвечает динамическая библиотека emet.dll. Полное отключение защиты реализуется обработчиком DllMain с кодом выгрузки DLL_PROCESS_DETACH. В силу того, что emet.dll не перехватывает функцию kernel32!GetModuleHandleW и не контролирует ее поведение, шелл-коду достаточно вызвать GetModuleHandleW для получения адреса загрузки DLL в памяти и вызвать DllMain, передав функции это значение и константу выгрузки.

Вымогатели (ransomware) представляют из себя особый тип вредоносных программ для мобильных устройств, количество которых постоянно растет. Вымогатели можно разделить на две большие группы: первые специализируются на блокировании экрана устройства пользователя (lock-screen ransomware), а вторые шифруют на нем данные (сrypto-ransomware). За несколько лет своей деятельности оба этих типа уже привели к значительным финансовым потерям пользователей, а также потерям их личных данных.



Подобно другим типам вредоносного ПО для Android, таким как, например, SMS-трояны, вымогатели существенно эволюционировали в течение последних нескольких лет, при этом VX-авторы адаптировали многие вредоносные техники, доказавшие свою эффективность в аналогичных вредоносных программах, для настольных систем.

Разработчики одного из известных дистрибутивов Linux под названием Mint сообщили в блоге, что их сервер был скомпрометирован, а ISO-дистрибутивы ОС подверглись модификации (backdoored). Указывается, что стоит обратить внимание на скачанные с сервера загрузки дистрибутивы 20 февраля. По данным разработчиков, скомпрометированным оказался дистрибутив версии Linux Mint 17.3 Cinnamon.



Вредоносные дистрибутивы были размещены по IP-адресу 5.104.175.212, а сам бэкдор обращается по URL-адресу absentvodka.com. Ниже указаны инструкции проверки скачанного дистрибутива.

Microsoft выпустила 14 обновлений для Windows 8.1 и Server 2012, которые исправляют баги в их различных компонентах, включая, исполняемые файлы ядра, системные драйверы и прочие системные компоненты. Несколько обновлений касаются и Windows 7 SP1, например, для этих ОС выпущено обновление KB3118401, которое доставляет для них т. н. среду Universal C Runtime (Windows 10 Universal CRT). Она появилась в Windows 10 и без этого установленного обновления приложения, скомпилированные с ее поддержкой, не смогут запускаться на этих ОС.



Другое обновление KB3126033 исправляет баг в сервисе Remote Desktop Protocol (RDP). Ошибка связана с использованием режима Restricted Admin при подключении к удаленному компьютеру, при этом подключающаяся сторона может получить сообщение об ошибке. Обновлению подвергается системный файл Winlogon.exe, системный процесс которого отвечает за процесс входа в Windows.

Друзья, команда ESET Russia приглашает всех желающих на ледовый каток (Москва). Зима скоро закончится, поэтому нужно успеть откатать свое! Мероприятие состоится 18 февраля в 19:00 на катке Таганского парка. В его программу входят спортивные развлечения, соревнования в дисциплине шорт-трек, конкурсы и розыгрыши с вручением подарков. На катке будет работать детский аниматор.



Вход за счет компании, но по паролю. Для читателей Хабрахабр пароль «Антивирус ESET NOD32». Количество мест ограничено. Можно приходить без своих коньков, так как в парке есть прокат и для вас он будет бесплатный.

Ранее мы уже указывали на практически полное отсутствие информативности со стороны Microsoft о полезных свойствах обновлений для Windows 10 (не security). Это стало ясно еще в момент выхода первого большого обновления для Windows 10 в начале августа прошлого года. В отличие от пользователей предыдущих версий ОС, особенно, Windows 7 и Windows 8/8.1, пользователи новой ОС оставались в полном неведении того, для чего предназначено то или иное обновление, т. к. компания, фактически, отказалась уведомлять об этом пользователей и специалистов, для которых такая информация весьма важна.



Сегодня, в день выхода очередной порции обновлений, Microsoft решила исправить данную ситуацию, представив специальный раздел на своем веб-сайте под названием Windows 10 update history. Данный портал будет содержать информацию о выпущенных для Windows 10 как security, так и не security обновлений в хронологическом порядке.

Почти год назад мы предупреждали наших пользователей о распространении вредоносной программы Remtasu. На сегодняшний день ее активность нисколько не уменьшилась и нам удалось зафиксировать многочисленные модификации этой угрозы, которая используется злоумышленниками.



Аналитики нашего офиса в Латинской Америке зафиксировали наибольшую активность модификаций Win32/Remtasu.Y в Латинской Америке, в основном, в Колумбии, а также в Турции, Тайланде, и других странах. Одна из последних кампаний была связана с вредоносным инструментом, якобы, предназначенным для получения паролей от учетных записей Facebook.

Oracle выпустила внеплановое обновление для Java — Java 8 Update 73 (8u73, а также 6u113 и 7u97). В новой версии ПО исправлена уязвимость CVE-2016-0603 (Security Alert for CVE-2016-0603), которая позволяет злоумышленникам скомпрометировать систему при установке продукта с использованием дистрибутивов версий Java 6, 7 и 8. Уязвимость присутствует в компоненте установщика (Windows Installer) и заключается в том, что он может исполнить определенные файлы в директории загрузок пользователя (Downloads), заранее подготовленные злоумышленником.



Уязвимость является относительно сложной для эксплуатации, поскольку атакующим нужно разместить необходимые файлы в директории загрузки еще до того как пользователь запустит на исполнение дистрибутив с ПО, поэтому ей присвоен не самый высокий уровень опасности CVSS (7.6). В то же время, при успешной реализации сценария атаки, злоумышленники смогут получить полный контроль над системой, поскольку DLL-библиотека злоумышленников будет исполнена в контексте процесса с высокими правами Администратора в системе.

Последние несколько месяцев наши аналитики выполняли анализ нескольких вредоносных программ, которые получили достаточно широкое распространение в таких странах как Германия и Испания. Одним из интересных примеров такой вредоносной программы был троян Nemucod, о котором мы писали ранее. В функции Nemucod входила задача распространения вымогателя Teslacrypt.



В этом посте мы расскажем о новом трояне под названием Bayrob, который был направлен на массовое заражение пользователей ряда стран с середины декабря прошлого года. Особенность одной из модификаций этого трояна заключается в том, что в качестве управляющего C&C-сервера был использован сервер принадлежащий компании Amazon.

Microsoft изменила статус обновления до Windows 10 с «необязательного» (optional) на «рекомендуемый» (recommended) для пользователей Windows 7 и Windows 8.1. В начале января компания уже сообщала, что Windows 10 была установлена на более чем 200 млн. устройств, а также указывала на будущее стимулирование обновления пользователей до новой версии Windows. С сегодняшнего дня обновление до этой версии ОС появится в списке обновлений у всех пользователей вышеуказанных ОС.



В то же время, это обновление по прежнему будет присутствовать в списке «необязательных» и пользователи как и раньше смогут отказаться от загрузки гигабайт установочных файлов этой ОС и их последующей установки. Microsoft также позволяет вернуться к предыдущей установленной копии Windows (downgrade) в течение 30 дней после ее установки, если пользователю не понравилось работать с Windows 10.

Компания Google выпустила security-обновление для Android Nexus Security Bulletin — February 2016, которое закрывает 7 критических и 6 прочих уязвимостей в компонентах этой мобильной ОС, начиная с версии 4.4.4 и заканчивая новейшей 6.0.1. Обновление закрывает две опасные уязвимости в Wi-Fi драйвере Broadcom (CVE-2016-0801, CVE-2016-0802) для всех вышеуказанных версий Android. Уязвимости позволяют атакующим выполнить произвольный код в системе, причем с максимальными правами на уровне ядра ОС.



Эксплуатация уязвимостей возможна за счет отправки на устройство специальным образом сформированных сетевых пакетов, что приведет к повреждению памяти в драйвере и исполнению кода. Серьезность уязвимости заключается и в том, что для срабатывания эксплойта и исполнения кода на устройстве самому пользователю не нужно совершать никаких действий. Уязвимости были обнаружены еще в октябре прошлого года.

Ранее мы описывали детали вредоносных кампаний, которые были направлены против таких предприятий на западе Украины [1, 2]. В указанных кибератаках злоумышленники использовали троян BlackEnergy и специальный компонент KillDisk для выведения скомпрометированных систем из строя. Они также прибегали к помощи бэкдора Win32/SSHBearDoor.A для управления такими системами через SSH.



19 января нам удалось зафиксировать новые кибератаки на энергетические компании Украины. Несколько таких компаний, специализирующихся на поставках электроэнергии, были атакованы еще раз, уже после серии предыдущих кибератак и отключений электроэнергии в декабре.

Microsoft обновила EMET до версии 5.5 [1,2,3,4,5,6]. Новую версию инструмента можно сказать по этой ссылке. Как мы уже указывали в информации к бета версии, в инструмент была добавлена существенная функция безопасности под названием «Block Untrusted Fonts» для противодействия Local Privilege Escalation (LPE) эксплойтам, которые используются вредоносными программами и RCE эксплойтами для повышения своих прав в системе. Речь идет о защите от LPE эксплойтов, использующих специальным образом сформированные файлы шрифтов для срабатывания уязвимостей в драйвере win32k.sys.



К сожалению, новая функция доступна только пользователям Windows 10, т. к. ее реализация опирается на новые возможности ядра ОС, доступные только в этой ней. EMET 5.5 — это первая release-версия инструмента, в которой добавлена поддержка Windows 10.

Компания Samsung выпустила обновление SMR-JAN-2016 для своих устройств под управлением Android, которое закрывает 16 уязвимостей в ОС и встроенном ПО. Девять из них относятся непосредственно к Android и были исправлены Google в рамках обновления Nexus Security Bulletin — January 2016, о котором мы писали ранее. Другие семь уязвимостей относятся к типу Samsung Vulnerabilities and Exposures (SVE) и находятся в сервисах или коде Samsung, работающих в Android.



Две SVE уязвимости с идентификаторами SVE-2015-5109 (Samsung Galaxy S6: android.media.process Face Recognition Memory Corruption) и SVE-2015-5110 (Samsung Galaxy S6: libQjpeg je_free Crash) относятся к типу Critical и могут позволить атакующим удаленно исполнить код на устройстве или вызвать его отключение. Обновлению подлежат такие модели устройств компании как Galaxy S5, S6, S6 edge, S6 edge+, Note 4, Note 5, Note Edge, которые работают на Android версии 4.4 (KitKat) и выше.

Компания Oracle анонсировала грядущее изменение, которое может быть воспринято с энтузиазмом многими пользователями. Речь идет о прекращении выпуска плагина Java для веб-браузеров, начиная с будущей 9-й версии этого ПО. Плагин будет удален из таких пакетов ПО как Oracle JDK и JRE, а также Java SE. В свою очередь, авторам апплетов и содержимого для плагина предлагается переходить на технологию Java Web Start.



Нужно отметить, что такие популярные веб-браузеры как Google Chrome и Microsoft Edge уже отказались от использования интерфейса NPAPI, который необходим для работы проигрывателя Java. Такой же шаг предусмотрен и для Mozilla Firefox в этом году. Плагин для проигрывания содержимого Java не раз критиковался исследователями по безопасности за присутствие там большого количества уязвимостей, которые ранее использовались атакующими для удаленной установки вредоносных программ.