В последнее время банковский троян Dridex был одним из самых обсуждаемых. Это не удивительно, поскольку он уже получил популярность сравнимую с известным банковским трояном Zeus. Dridex также является одной из наиболее серьезных угроз на текущий момент. Авторы постоянно развивают свое творение, чтобы сделать его более эффективным.



По механизмам своей работы Dridex, который также известен как Bugat и Cridex, похож на банковские трояны типа Zeus, но представляет собой новый этап развития этого типа вредоносного ПО. Для компрометации пользователей злоумышленники используют вредоносные вложения для электронных писем, причем такой метод используется ими как в случае домашних пользователей, так и в случае корпоративных.

Microsoft отозвала Windows 10 версии 1511 с портала загрузки Windows 10. Ссылка на скачивание инструмента Media Creation Tool (MTC) доступна здесь. С его помощью пользователи могли устанавливать указанную версию Windows 10, которая была доступна и в качестве обновления для всех пользователей этой ОС. Теперь по ссылке доступен инструмент MTC предыдущей версии Windows 10 с номером 10.0.10240.16480. Таким образом, пользователям, которые захотят установить свежую копию Windows 10, придется скачать билд 10240, а потом обновить ОС.



С чем связано подобное решение Microsoft не совсем понятно, возможно, речь идет о серьезных багах в ОС. Как сообщает издание Windows IT Pro, у пользователей новой Windows 10 могут наблюдаться проблемы с активацией функции шифрования дисков Bitlocker. Новая версия Windows 10 версии 1511 по-прежнему доступна для загрузки в качестве обновления для уже установленной ОС.

Microsoft раскрыла некоторые технические детали большого обновления для Windows 10, о котором мы недавно писали. Речь идет о веб-браузере Edge, для которого были включены повышенные меры безопасности с переходом на специальную платформу EdgeHTML 13. Теперь веб-браузер будет блокировать загрузку тех DLL-библиотек, которые не снабжены цифровой подписью от Microsoft. Данная мера существенно повысит иммунитет веб-браузера к рекламному ПО, которое специализируется на внедрении своих DLL в веб-браузеры, а также от вредоносного ПО и вездесущих тулбаров.



Нужно отметить, что для веб-браузера Edge изначально были приняты определенные меры безопасности, которые отличают его от Internet Explorer 11. Например, он не поддерживает механизм устаревших типов расширений ActiveX и Browser Helper Objects (BHO). Edge также не использует движок для работы с VBScript (VBScript.dll), в котором было найдено достаточное количество RCE-уязвимостей.

Microsoft выпустила большое обновление для Windows 10 (First Major Update for Windows 10). Со слов компании, обновление вносит ряд улучшений в работу ОС для различных платформ, включая, улучшения, связанные с совместимостью Windows с различными устройствами и их драйверами. Microsoft указывает на то, что с данным обновлением Windows 10 достигла своей настоящей зрелости и ее смело можно рекомендовать в качестве основной платформы для развертывания в организациях.



Ключевым улучшением стало повышение производительности работы системы, так ОС стала загружаться на 30% быстрее по сравнению с Windows 7 на тех же устройствах. Улучшению подвергся веб-браузер Edge, голосовой помощник Cortana, а также приложения Mail, Calendar, Photos, Groove, Xbox, Store, OneNote, Solitaire. Компания не опубликовала никакой технической информации об изменениях в Windows.

В конце октября наши аналитики заметили вредоносную активность на веб-сайте компании Ammy, которая специализируется на разработке инструмента удаленного доступа Ammyy Admin. Злоумышленникам удалось загрузить на сервер веб-сайта этой компании вредоносную модификацию дистрибутива вышеуказанной программы, которая содержала вредоносное ПО кибергруппы buhtrap.



Несмотря на то, что Ammyy Admin является легитимным ПО, оно уже ранее использовалось злоумышленниками в своих вредоносных кампаниях и, поэтому некоторые антивирусные продукты, в том числе и ESET, обнаруживают его как потенциально нежелательное приложение (PUA). Тем не менее, он по-прежнему широко используется, в частности, в России.

Adobe выпустила обновление для Flash Player APSB15-28, закрыв в нем 17 уязвимостей. Большинство закрытых уязвимостей являются критическими и могут использоваться атакующими для удаленного исполнения кода в веб-браузере, а также организации атак типа drive-by download. Обновление не адресуется к каким-либо 0day уязвимостям в проигрывателе, которые в данный момент используются злоумышленниками.



Мы рекомендуем обновить используемый вами Flash Player. Такие браузеры как Internet Explorer 11 на Windows 8.1 / Win10 и Google Chrome, а также MS Edge обновляют свои версии Flash Player автоматически. Для IE см. обновляемое Security Advisory 2755801. Проверьте вашу версию Flash Player на актуальность здесь.

Специалисты Google объявили об окончании поддержки веб-браузера Chrome для Windows XP & Vista, а также для устаревших версий Apple OS X 10.6, 10.7 и 10.8 с апреля 2016 г. Для этих ОС веб-браузер перестанет обновляться и для него не будут выходить исправления уязвимостей. Таким образом, пользователи устаревшей Windows XP окажутся под двойным ударом, они не увидят обновлений не только для ОС, но и для веб-браузера Chrome в случае его использования.



Данная мера является еще одним стимулом для отказа пользователей от устаревших версий ОС, которые уже не могут обеспечить им должный уровень безопасности. Устаревшие версии Windows не содержат современных встроенных функций безопасности, а пользователи Windows Vista, которая все еще поддерживается компанией Microsoft, не могут воспользоваться такими современными версиями Internet Explorer как 10 и 11.

В АНБ опубликовали данные про обнаруженные ими уязвимости в различных программных продуктах. Из этих данных видно, что 91% таких уязвимостей в ПО отправляется на анализ вендорам для выпуска обновлений к продуктам, а прочие 9% спецслужба оставляет для себя «в целях обеспечения национальной безопасности». Reuters указывает, что поводом для публикации данных послужили обвинения АНБ в том, что сокрытие данных об уязвимостях подрывает иммунитет к кибератакам для самих компаний США, использующих данное ПО.



Данные беглого агента АНБ Эдварда Сноудена, а также исследования некоторых семейств вредоносного ПО различными антивирусными компаниями показывают, что спецслужба использовала различные бэкдоры для получения нужной информации, а 0day эксплойты для их скрытной установки. Stuxnet и Regin являются теми вредоносными программами, на тему которых спекуляции об их принадлежности к АНБ ведутся наиболее активно.

Mozilla Foundation выпустили новую версию веб-браузера Firefox 42, исправив в нем уязвимости и доработав его некоторые функции. Несколько исправленных уязвимостей присутствовали в наборе библиотек Network Security Services (NSS), которые используются веб-браузером для шифрования трафика с использованием протоколов SSL и TLS (Mozilla Foundation Security Advisory 2015-133). Уязвимости позволяли вредоносному веб-сайту компрометировать безопасное https подключение и удаленно внедрять вредоносное содержимое в работающий процесс веб-браузера. Сам пакет NSS обновился до версий 3.19.2.1, 3.19.4, 3.20.1. Обновлению подверглась и сборка ESR — Firefox ESR 38 38.4.



В новой версии веб-браузера добавлена функция под названием «tracking protection» для приватного режима просмотра веб-страниц. Функция блокирует используемые веб-сайтами возможности по отслеживанию активности пользователя и его последующей идентификации по этой информации.

Microsoft откажется от поддержки цифровых сертификатов, в которых используется алгоритм хэширования SHA-1, уже в середине следующего года (июнь 2016 г.). Срок поддержки этого алгоритма хэширования был урезан на полгода, поскольку изначально планировалась его поддержка до 2017 г. Подобное решение связано с обнаруженными недостатками SHA-1, которые позволяют выполнить коллизию и делают возможным подделку цифровой подписи. После указанной даты почти все цифровые сертификаты, использующие для генерации хэша SHA-1, не смогут проходить проверку в Windows и ее компонентах.



Схожее решение не так давно озвучили в Mozilla Foundation, веб-браузер Mozilla Firefox перестанет поддерживать цифровые сертификаты на основе SHA-1 с июля 2016 г. То же касается и Google Chrome.

По информации издания WSJ, Google собирается объединить свою десктопную ОС Chrome и ОС для мобильных устройств Android для создания универсальной ОС, которая смогла бы запускаться на различных типах устройств. Новая ОС может быть выпущена в 2017 г., а представить ее могут уже в следующем году. Android является очень популярной ОС от Google, чего не скажешь о Chrome OS, объединение последней с Android позволит запускать ее и на компьютерах.



Новая ОС сможет работать на ПК и ее пользователи получат доступ к магазину приложений Google Play. Несмотря на то, что Chrome OS будет объединена с Android, она продолжит свое существование как независимая ОС. Данный подход похож на тот, который применила и Microsoft, сделав Windows 10 доступной как для мобильных устройств, так и для компьютеров.

Наши аналитики получают на анализ тысячи новых образцов вредоносных программ каждый день и среди этого общего потока удается обнаружить любопытные экземпляры. В данном случае речь идет даже не об исполняемом файле, а о файле данных, который представляет из себя конфигурационный файл легитимного приложения. Такой файл и попал к нам в руки.



Дальнейший анализ подозрительного файла показал, что он является вредоносным и приводит к срабатыванию уязвимости в продукте Uploader! компании Ksoft. Ниже указаны подробности работы эксплойта и краткое описание его полезной нагрузки.

Ирландский новостной ресурс сообщил, что спецслужбы Германии начали расследование новых случаев компрометации компьютеров и средств связи сотрудников канцелярии Ангелы Меркель. Речь идет о новых случаях заражения известным вирусом Regin, о котором стало известно год назад и который считается самым опасным state-sponsored вредоносным ПО на сегодняшний день. Regin представляет из себя изощренную программную платформу для организации кибершпионажа и сбора данных.



После публикации секретных данных АНБ беглым агентом Эдвардом Сноуденом, стали известны подробности о различных программных инструментах шпионажа этой спецслужбы, а также британской разведки GCHQ. Одна из таких вредоносных программ под названием QWERTY обладает программным кодом, идентичным с Regin. Этот факт, наряду с прочими, подтвердил уверенность исследователей, что за Regin может стоять NSA/GCHQ.

Oracle выпустила Java 8 Update 65 (20 октября), исправив несколько багов в этом продукте. В новой версии улучшена работа ПО с Apple OS X, а также исправлены недочеты в функциях внутренних библиотек. Обновление отключает использование в ПО устаревшего алгоритма хэширования MD5 для операций, связанных с проверкой цифровой подписи приложений. Приложения, использующие цифровую подпись на основе этого устаревшего алгоритма, не смогут правильно работать в новой среде.



Скачать новую версию Java SE можно по этой ссылке. Уведомление пользователя об обновлении Java на Windows 10 происходит через единый центр уведомлений ОС, то же самое для OS X El Captain. Для устаревших версий Windows следует воспользоваться меню обновления в апплете Java панели управления.

Компания Apple выпустила набор исправлений для своих продуктов, обновив свою десктопную ОС OS X El Captain, EFI-прошивку для компьютеров Mac, iOS 9, а также iTunes для Windows. Обновление APPLE-SA-2015-10-21-6 Mac EFI Security Update 2015-002 закрывает одну уязвимость CVE-2015-7035 в EFI-прошивке для компьютеров Mac, которая позволяла атакующим компрометировать одну из функций, вызывав ее некорректным образом.



Другое обновление APPLE-SA-2015-10-21-1 iOS 9.1 закрывает 49 различных уязвимостей в iOS. Две закрытых уязвимости (CVE-2015-7015, CVE-2015-6979) относятся к типу Elevation of Privilege и блокируют эффективность использования новейшего Pangu jailbreak для iOS 9, который был анонсирован всего неделю назад. Для iOS также были закрыты несколько прочих уязвимостей, которые позволяли атакующим выполнять нелегитимный код на устройстве с системными привилегиями.

Microsoft выпустила набор обновлений для Windows, которые закрывают ряд багов в драйверах и системных файлах ОС. Обновление KB3078405 устраняет баги в драйвере Tunnel.sys на Windows 8.1, которые приводили к внезапным BSOD-ошибкам с кодами 0x0000004A и 0x0000009F. Компьютер мог падать в синий экран смерти в различных ситуациях, в т. ч. при использовании подключенного съемного USB-носителя и при переходе между различными режимами электропитания.



Обновление KB3095649 отключает проверку сертификации Touch Hardware Quality Assurance (THQA) для драйвера Win32k.sys на Windows 8.1. Еще одно обновление KB3095701 устраняет баги в драйвере Tpm.sys, которые не позволяли системе с запущенной Windows Server 2012 R2 распознавать некоторые устройства TPM 2.0.

Полгода назад мы писали, что Google решила повременить со своей инициативой шифрования данных (full-disk encryption) на устройствах с Android 5 (Lollipop), после его анонсирования в 2014 г. Тогда инициатива производителя мобильной ОС носила для производителей устройств рекомендательный характер. На фирменных устройствах Google Nexus 5 с Android Lollipop шифрование по умолчанию также было отключено.



С выходом Android 6 (Marshmallow) ситуация изменилась, как сообщает издание Ars Technica, Google изменила требования к шифрованию в своем основном документе Android Compatibility Definition Document. Теперь в пункте спецификации, отвечающем за шифрование, компания регламентирует шифрование данных на устройстве с Android 6 по умолчанию, правда, с некоторыми исключениями для определенного типа устройств, которые не могут обеспечить должный уровень криптографической производительности.

Adobe выпустила обновление APSB15-27, которое закрывает уязвимость CVE-2015-7645. Уязвимость находится на стадии активной эксплуатации злоумышленниками и использовалась кибергруппой Pawn Storm (aka Sednit, APT28, Sofacy) для организации направленных кибератак на пользователей. Сама уязвимость позволяет злоумышленникам успешно провести атаку типа drive-by download и скрытно установить вредоносное ПО в системе пользователя.



Ранее мы уже писали об этой кибергруппе, которая специализировалась на атаках изолированных air-gapped сетей с использованием специального вредоносного ПО. Она также использовала 0day эксплойты для Flash Player, Windows и Java при организации своих кибератак. В конце прошлого года мы публиковали расследование, в котором был отмечен тот факт, что данная кибергруппа использовала свой собственный набор эксплойтов для кибератак на страны Восточной Европы.

Недавно наши аналитики обнаружили вредоносную кампанию, в которой использовался банковский троян Win32/Brolux.A. Кампания была ориентирована на японских пользователей интернет-банкинга, а ее цель заключалась в распространении этого вредоносного ПО. Злоумышленники прибегали к использованию эксплойтов для двух уязвимостей. Первая уязвимость относится к ПО Flash Player, эксплойт для которых находился в утекших данных Hacking Team и т. н. unicorn bug, представляющий из себя уязвимость в веб-браузере Internet Explorer, которая была обнаружена в конце 2014 г.



Оба этих эксплойта все еще распространяются через веб-сайт для взрослых и пытаются установить подписанный цифровой подписью исполняемый файл вредоносной программы. Сама вредоносная программа специализируется на краже персональных данных жертвы и данных онлайн-банкинга. Подобный механизм распространения напоминает нам другой банковский троян, который также был ориентирован на японские банки и финансовые учреждения. Он назывался Win32/Aibatook.

Microsoft выпустила обновления для своих продуктов, исправив 33 уникальных уязвимости. Обновлению подверглись веб-браузеры Internet Explorer и Edge, а также компоненты всех версий Windows и Office. Обновление MS15-111 исправляет пять уязвимостей в различных компонентах ядра Windows (в т. ч. в Ntdll.dll, Ntoskrnl.exe, Smss.exe, Csrsrv.dll). Одна из уязвимостей CVE-2015-2552 (Trusted Boot Security Feature Bypass Vulnerability) присутствовала в механизме безопасности Secure Boot (Trusted Boot) и позволяла атакующему отключать проверки легитимности загружаемого кода режима ядра, что в свою очередь позволяло делать jailbreak для Windows RT.



Компания также перевыпустила обновление KB3084905 (TPM lockout occurs unexpectedly in Windows 8.1 or Windows RT 8.1), о котором мы писали ранее здесь. Обновление исправляло баг в системных файлах Windows и EFI-прошивке, который делал возможным неправильную работу кода ядра с криптографическим блоком TPM. Новое обновление относится к исправлению файла bootmgfw.efi.