Apple выпустила новое обновление для iOS — iOS 8.2 (APPLE-SA-2015-03-09-1). Компания исправила небольшое количество security-уязвимостей и улучшила общую стабильность iOS, а также нескольких встроенных приложений, включая, Mail, Maps, Music, VoiceOver. Для iOS 8.2 закрыта опасная уязвимость FREAK, о которой мы писали ранее и которая делала возможной атаку Man-in-the-Middle с возможной расшифровкой трафика HTTPS, передаваемого через браузер. iOS 8 используется на таких устройствах как iPhone 4s+, iPod touch 5 и iPad 2+.

В марте 2014 г. французское издание Le Monde опубликовало исследование, согласно которому спецслужбы Франции подозреваются в разработке и использовании изощренного вредоносного ПО для целей кибершпионажа. Изначально эта история была основана на документах беглого сотрудника АНБ Эдварда Сноудена, которыми он поделился с журналистами немецкого издания Der Spiegel в январе 2015 г.



Первоначальное исследование этого вредоносного ПО было выполнено организацией Communications Security Establishment Canada (CSEC), в котором эта вредоносная программа была названа Babar. После этого, несколько исследователей вредоносных программ также работали над ее анализом. Одним из них была Marion Marschalek (Cyphort), которая опубликовала два отчета, посвященных анализу этой вредоносной программы [1] [2].

Новая уязвимость под названием FREAK (CVE-2015-0204) обнаружена в известном пакете свободно распространяемого ПО с открытыми исходными текстами под названием OpenSSL. Она позволяет злоумышленникам скомпрометировать используемое браузером защищенное подключение HTTPS. Уязвимость затронула мобильные платформы Google Android и Apple iOS, так как там используется OpenSSL, а также Apple OS X. Уязвимости подвержены также все поддерживаемые версии Microsoft Windows (SA 3046015) из-за схожей уязвимости в Microsoft Schannel.

Компания Google, которая обещала шифрование по умолчанию (full-disk encryption) на устройствах, работающих под управлением своей новой мобильной ОС Android Lollipop, видимо, пошла на попятную. Издание Ars Technica сообщает, что новые смартфоны под управлением Android L не содержат эту опцию включенной по умолчанию. Технические требования устройства (hardware requirements) для этой ОС были опубликованы только в январе этого года и из них стало ясно, что речи о шифровании данных по умолчанию в них не идет.



Разговоры о шифровании данных на устройствах пошли после серии опубликованных в СМИ материалах беглого специалиста АНБ Эдварда Сноудена, из которых стало ясно, что спецслужбы могут получать доступ к хранимой на устройстве информации пользователя. Такая операция может осуществляться с использованием различного ПО и онлайн-сервисов, при этом шифрование данных на устройстве по умолчанию значительно затрудняла бы для спецслужб процесс получения личной и другой информации на устройстве.

В прошлом году мы писали о том, что правоохранительные органы США объявили в розыск автора известной банковской вредоносной программы Zeus. С использованием этой вредоносной программы были украдены сотни миллионов долларов с банковских счетов у пользователей по всему миру, а сам бот уже давно породил большое количество своих клонов. Недавно ФБР увеличили награду за информацию, ведущую к его поимке до суммы в $3 млн. Это максимальная награда, которая когда-либо объявлялась для фигурантов кибер-дел (cyber).



Фигурант под псевдонимом «slavik» известен в преступном мире уже давно и упоминается как автор одних из самых ранних версий Zeus. В начале прошлого года мы также писали про поимку правоохранителями другого киберпреступника. Речь идет об авторе другой банковской троянской программы SpyEye под псевдонимом «Gribodemon». Этот бот был основан на исходных текстах Zeus.

Правоохранительные органы вместе с security-компаниями провели операцию по захвату и выведению из строя инфраструктуры крупного ботнета вредоносного ПО Ramnit, который включает в себя более трех миллионов ботов (зараженных компьютеров). В операции участвовала организация Europol, а также CERT различных стран мира, включая, Германию, Италию, Голландию, Великобританию.



Сам Ramnit (ESET: Win32/Ramnit.X, Microsoft: Win32/Ramnit, Trojan:WinNT/Ramnit, Symantec: W32.Ramnit, Hacktool.Rootkit) обладает модульной архитектурой и использовался злоумышленниками для различных целей, в том числе, для кражи данных онлайн-банкинга пользователей. В дальнейшем, эти украденные данные использовались для похищения денежных средств пользователей (преступная схема). Ramnit обладает механизмами самораспространения (файловый вирус), выполняет в системе множество модификаций, а также содержит руткит.

Вассенаарские соглашения, которые контролируют экспорт вооружений и причастных к ним технологий для США & ЕС, пополнились дополнительным пунктом. Речь идет о том, что теперь под контроль подпадает ПО, которое относится к типу т. н. технологий двойного назначения (dual use technologies): 0day эксплойты, ПО со шпионскими функциями (spyware, backdoors), а также по сути любое ПО, которое разрабатывается частными компаниями не для публичного использования, причем оно может экспортироваться в другие страны.



Теперь компании, которые занимаются разработкой подобного вида ПО, должны будут согласовывать с гос. органами своей страны вывозимые ими в другие страны программные технологии, в том числе, если речь идет о специальных соревнованиях типа Pwn2Own, на которых представляются 0day эксплойты. Эксплойты потенциально могут использоваться в качестве наступательных вооружений и их экспорт будет контролироваться в упоминаемых выше странах.

Исходные тексты набора эксплойтов RIG exploit kit попали в сеть. Как и в случае с другими подобными утечками исходных текстов вредоносных программ, они были выставлены на продажу на одном из подпольных хакерских форумов, после чего оказались в открытом доступе. Наборы эксплойтов представляют из себя специальные инструменты злоумышленников, которые используются для автоматической установки вредоносных программ на компьютеры пользователей через эксплойты к браузерам или плагинов для них.

Авторитетный веб-ресурс VirusTotal, который является наиболее распространенным сервисом онлайн-проверки файлов и URL-ссылок различными AV-сканерами, внедрил дополнительный механизм уведомления о т. н. false positive. Под этим понятием подразумевается чистый (не зараженный) файл, обнаруживаемый (ошибочно) как вредоносная программа одним или несколькими антивирусными сканерами. Сами false positive являются довольно распространенным явлением и обнаружение с чистого файла может быть убрано вендором за несколько часов, тем не менее, такой подход вводит пользователя в заблуждение.

Microsoft обновила свои продукты, выпустив три обновления со статусом Critical и шесть Important. Исправлению подверглись продукты Windows, Internet Explorer, Office, и Server software, для них было исправлено 56 уязвимостей, причем в IE была исправлена 41 уязвимость (MS15-009). Это максимальное количество уязвимостей, которые были закрыты для этого браузера за последние несколько лет. Большинство из этих уязвимостей относятся к типу Remote Code Execution и могут быть использованы атакующими для проведения атак drive-by download. Одна из закрытых в IE уязвимостей (CVE-2015-0071) используется злоумышленниками в направленных атаках для обхода механизма безопасности ASLR.

Компания Adobe выпустила очередное внеплановое обновление для Flash Player (APSB15-04). На этот раз речь идет о 0day уязвимости CVE-2015-0313, которая использовалась атакующими для осуществления атак drive-by download (скрытная установка вредоносного ПО). Это третье обновление Flash Player за последние две недели. Как мы уже писали ранее, Adobe выпускала внеплановые обновления Flash Player для закрытия других Remote Code Execution 0day уязвимостей, находящихся на стадии активной эксплуатации.

Adobe is aware of reports that CVE-2015-0313 is actively being exploited in the wild via drive-by-download attacks against systems running Internet Explorer and Firefox on Windows 8.1 and below.

Microsoft выплатила $100k security-ресерчерам из группы Zero Day Initiative (ZDI) за демонстрацию метода успешного обхода новейших механизмов защиты Internet Explorer 11 от уязвимостей. Речь идет о механизмах браузера под общим названием Anti-Use-After-Free (Anti-UAF). Еще $25k были выплачены за продемонстрированный механизм защиты от обнаруженной уязвимости. Выплаты производились в рамках поддерживаемой компанией инициативы под названием Mitigation Bypass and BlueHat Defense.

To collect the main $100,000 prize, the team outlined techniques and steps to attack the Isolated Heap and MemoryProtection functions in the latest version of Microsoft Internet Explorer. Along with this, they describe how an attacker can use MemoryProtection as an oracle to completely bypass ASLR.

Наши аналитики обнаружили интересный пример вредоносной программы, которая специализируется на заполнении форм веб-страницы, принадлежащей веб-сайту консульства Польши в Белоруссии. Веб-сайт содержит специальный раздел по заполнению данных для получении визы, точнее, по заполнению данных для приглашения на встречу или собеседование в консульство. Злоумышленникам пришло в голову написать вредоносную программу на C#, которая выполняла бы этот процесс заполнения данных в автоматическом режиме.

Мы уже несколько раз писали про различные семейства троянов-шифровальщиков. Речь идет о модификациях семейства вредоносных программ FileCoder, а также вымогателе Win32/Virlock. Несколько дней назад наша антивирусная лаборатория начала получать сообщения о вредоносной кампании, направленной на пользователей Латинской Америки и Восточной Европы. Фишинговые сообщения электронной почты содержали информацию о «прибывшем факсе». Вложения таких сообщений содержали вредоносное ПО, которое специализируется на шифровании файлов пользователя и требовании выкупа за расшифровку в биткоинах.

Компания Apple выпустила OS X 10.10.2, закрыв 54 уязвимости в рамках обновления APPLE-SA-2015-01-27-4. Большинство закрытых уязвимостей позволяют атакующим исполнять произвольный код в OS X, в т. ч. с системными привилегиями. Apple также исправила опасную уязвимость под названием Thunderstrike, которая позволяла компрометировать безопасность OS X на самых ранних этапах загрузки (OS X bootkit). Обновление APPLE-SA-2015-01-27-4 исправляет множественные уязвимости в ОС, которые были публично раскрыты группой специалистов из Google Project Zero.

Компания Apple выпустила новое обновление для iOS — iOS 8.1.3 (APPLE-SA-2015-01-27-2). В этой версии мобильной ОС исправлен ряд багов, а также security-уязвимостей, в том числе и тех, которые потенциально могут использоваться злоумышленниками для установки вредоносных программ. Мобильная ОС iOS 8 используется на таких устройствах Apple как iPhone 4s+, iPod touch 5 и iPad 2+. Apple также исправила известную уязвимость под названием Masque (CVE-2014-4493), о которой мы подробно писали здесь и которая позволяла перезаписывать одно приложение iOS на другое.

Команда разработчиков YouTube объявила о том, что теперь HTML5 будет стандартом по умолчанию для проигрывания роликов, вместо Flash. HTML5 будет использоваться для проигрывания содержимого сервиса на веб-браузерах Google Chrome, MS IE11, Apple Safari 8 и бета-версий Mozilla Firefox. Еще несколько лет назад YouTube запустил экспериментальную версию проигрывателя на HTML5 для устройств или OS, которые не поддерживают Flash Player или просто не хотят его использовать (например, iOS).

Компания Adobe выпустила очередное обновление APSB15-03 для своего проигрывателя Flash Player, которое исправляет в нем критическую 0day уязвимость. Уязвимость с идентификатором CVE-2015-0311 использовалась атакующими для проведения атак drive-by download, т. е. скрытной установки вредоносного ПО. Для этого использовался набор эксплойтов Angler Exploit Kit, который содержал в своем арсенале эксплойт для этой уязвимости. Антивирусные продукты ESET обнаруживают различные модификации этого эксплойта как SWF/Exploit.CVE-2015-0311.A.

Сегодня мы публикуем наш отчет за год, который включает в себя информацию о различных угрозах, а также данные об актуальных трендах кибератак. За прошлый год мы фиксировали появление множества как новых различных вредоносных программ для Windows, так и развитие уже существующих семейств. Речь идет не только о Windows, но также о мобильных платформах Google Android и Apple iOS.



Наш отчет также содержит детальную информацию о закрытых уязвимостях в различных компонентах Windows и MS Office. Многие из этих уязвимостей использовались злоумышленниками в кибератаках на пользователей (т. н. 0day). В прошлом году мы выпускали отдельный пресс-релиз, посвященный известному трояну BlackEnergy. Он распространялся с использованием 0day уязвимости в Office.

Ранее СМИ, со ссылкой на Microsoft, опубликовали информацию о новом веб-браузере Spartan, который станет частью Windows 10. Spartan не относится к Internet Explorer 12, а станет совершенно новым браузером и будет поставляться в составе новой ОС. Этот браузер будет более «легковесным» и станет походить на конкурентов IE — Mozilla Firefox и Google Chrome. Под данным ZDNet Windows 10 будет поставляться с обоими браузерами, т. е. Internet Explorer и Spartan.