Как стать автором
Обновить

Официальное опровержение Group-IB относительно использования технологий компании для защиты инфраструктуры Руформа

Блог компании Group-IB Информационная безопасность *IT-компании

Компания Group-IB, один из лидеров в сфере кибербезопасности, официально публикует опровержение относительно недостоверной информации: связанной с применением ее технологий для защиты инфраструктуры Руформа (владелец видеохостинга Rutube). 

9 мая в 16:10 в одном из аккаунтов в социальной сети Twitter был опубликован пост пользователя под ником sudormRF-6, создавший почву для домыслов и появления множества источников недостоверной информации относительно участия Group-IB в проекте по защите российского видеохостера Rutube, подвергшегося кибератаке 9 мая 2022 года, согласно официальному сообщению пострадавшей компании.

Читать далее
Всего голосов 13: ↑12 и ↓1 +11
Просмотры 3.7K
Комментарии 3

Carberp, Facebook и ddos.plug

Блог компании ESET NOD32
Про Carberp мы уже писали ни раз, но тут опять граждане отличились интересной активностью. Во-первых, на прошлой неделе была замечена аналитиками из Trusteer интересная вещь, что с определенной конфигурацией Carberp стал вымогать деньги у зараженных пользователей за вход в Facebook.

image

И причем, очень настойчиво требовал оплату в размере 20 Euro через Ukash:

image

Были мысли, что быть может новая модификация какая, но нет, только специальный конфигурационный файл, содержащий инжекты для Facebook. Выглядит этот конфигурационный файл так:

image

Причем данная модификация не использовала буткит функционал, но могла устанавливать его по запросу. При анализе модуля внедряемого в системные процессы стало понятно, что код этой библиотеки практически идентичен той, которая поставлялась сразу с буткитом. Немного смутила нас эта Facebook- активность, ведь раньше большой любви к зарубежным сервисам и банкам Carberp не питал. Но тем не менее, ранее были замечены атаки на следующие зарубежные банки: Bank of America, CityBank, HSBC, CHASE, Nordea. Возможно это далеко не все, но по крайней мере то, что лично видели в конфигах, и запомнилось. После продолжения анализа ситуации возникла идея, а не изменил ли свой вектор распространения Carberp за последнее время. Вот статистика по обнаружениям в нашем регионе:

image

Как видно из вышеприведенных данных, пиковым месяцем в прошлом году был декабрь, но январь не сдает своих позиций (с учетом того, что данные приведены на начало этой недели). Видимо, связка Carberp + Blackhole по-прежнему очень эффективна. С точки зрения регионализации наш регион только усилил свою долю по количеству инцидентов:
Читать дальше →
Всего голосов 22: ↑17 и ↓5 +12
Просмотры 6.4K
Комментарии 5

Наборы эксплойтов для секьюрити ресерчеров

Блог компании ESET NOD32
Вчера я наткнулся на интересный аккаунт в твиттере, который привлек внимание странными твитами, адресованными ресерчерам. Внимание привлекли следующие свойства:
  • Твиты были адресованы секьюрити ресерчерам (Микко Хиппонен, tachion24, Charlie aka Kafeine, Брайану Кребсу и Security Obscurity aka SecObscurity), которые занимаются, в т. ч. исследованиями наборов эксплойтов (exploit kits) и пишут о них.
  • Название аккаунта «paunch big hecker» недвусмысленно намекает на известного человека под ником Paunch, автора Blackhole exploit kit.
  • Содержание твитов намекает на то, что это ссылки на страницы статистики наборов эксплойтов (Nuclear Pack, Cool Exploit Kit), причем указываются сами названия наборов.

Такое своеобразное название аккаунта очевидно было выбрано для того, чтобы привлечь больше внимания.



Читать дальше →
Всего голосов 7: ↑6 и ↓1 +5
Просмотры 4.5K
Комментарии 0

Атаки в Facebook ежегодно приносят злоумышленникам $200 млн прибыли

Блог компании ESET NOD32 Информационная безопасность *
Несколько дней назад la Repubblica опубликовала информацию итальянских security-ресерчеров о спам-кампании в Facebook, которая развивалась очень стремительными темпами. За 70 часов более 500 тысяч пользователей было скомпрометировано переходами по вредоносным ссылкам, которые распространялись через встроенный в Facebook сервис сообщений. Злоумышленники использовали такой род фишинга, при котором пользователю отправлялось сообщение о том, что он был помечен (tagged) в записи другого пользователя. Ссылка ведет на сторонний сайт, веб-страница которого содержит видео. При попытке просмотра видео пользователю предлагается установить специальное расширение для браузера, которое злоумышленники маскируют под словом «плагин».



Расширение получает доступ к браузеру пользователя и может контролировать все его действия в нем. Подобный код называют вредоносным, так как под компрометацию попадают конфиденциальные данные пользователя, которые браузер уже содержит и все данные, которые пользователь будет вводить в формы веб-страницы при работе с системами онлайн-банкинга или иными сервисами. Расширения являются эффективным легитимным средством и могут служить заменой уже довольно обкатанной у злоумышленников системе поддельных форм и внедрения вспомогательного кода в процесс браузера. Это, в свою очередь, еще больше затрудняет выявление действий вредоносного кода «невооруженным глазом».

Читать дальше →
Всего голосов 6: ↑5 и ↓1 +4
Просмотры 7.1K
Комментарии 0

Hesperbot – новый банковский троян обнаружен in-the-wild

Блог компании ESET NOD32
В середине августа мы обнаружили кампанию по распространению вредоносного ПО, которая была нацелена на Чехию. Она привлекла наше внимание, поскольку файлы вредоносной программы распространялись через URL-адреса, очень напоминающие адреса почтового департамента Чехии. Дальнейший анализ файлов показал, что мы имеем дело с банковским вредоносным ПО, которое аналогично по своим возможностям Zeus и SpyEye, но отличается от уже известных семейств технической реализацией своих возможностей.



Новая троянская программа получила название Win32/Spy.Hesperbot и представляет из себя мощный инструмент для кражи данных онлайн-банкинга. Hesperbot имеет следующие возможности:

  • перехват сетевого трафика и HTML-инъекции;
  • кейлоггер;
  • создание скриншотов рабочего стола;
  • захват видео;
  • создание удаленного прокси-соединения;
  • создание скрытого VNC-сервера.

Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 8.8K
Комментарии 1

Банковский троян Hesperbot – детальный анализ

Блог компании ESET NOD32
Мы уже писали про Hesperbot, эта угроза представляет из себя новое банковское вредоносное ПО и имеет модульную архитектуру. Злоумышленники использовали его для проведения атак на пользователей различных стран, включая Турцию, Чехию, Португалию и Великобританию. Основной целью атак было похищение конфиденциальных данных онлайн-банкинга пользователей и установка мобильного компонента вредоносного кода на устройства под управлением Symbian, Android, Blackberry. Киберпреступники использовали убедительную схему фишинга для заманивания пользователей на вредоносные ссылки, что делало их подход еще более практичным.



Компрометация пользователя происходит при переходе по вредоносной ссылке. Ниже показана схема, используемая злоумышленниками.


Рис. Схема компрометации пользователя.

Читать дальше →
Всего голосов 40: ↑36 и ↓4 +32
Просмотры 22K
Комментарии 6

Произошла утечка «клиентской» части KINS

Блог компании ESET NOD32
Ранее мы упоминали о новом мощном банковском вредоносном ПО KINS. Речь идет о crimeware toolkit, который предоставляет злоумышленникам большие возможности по краже различных данных у пользователей. Теперь же стало известно, что часть текстов «клиентской» части KINS оказалась доступна всем желающим. В блоге Xylit0l указываются некоторые несоответствия оригинальной статьи Fox-IT о первых семплах KINS, которая была выпущена после публикации RSA.



Мы можем констатировать, что утечка текстов очередного вредоносного банковского ПО является плохой новостью для пользователей, поскольку спровоцирует новую волну распространения дропперов, основанных на этих текстах. Архив включает в себя:

Читать дальше →
Всего голосов 8: ↑8 и ↓0 +8
Просмотры 6.1K
Комментарии 1

Анатомия атаки на пользователей Skype

Блог компании ESET NOD32
Массивные атаки с целью установки вредоносного кода имеют большое негативное влияние на пользователей. Кроме этого, они показывают способность киберпреступников повторно использовать уже известные методы компрометации пользователей, которые будут действовать и в последующих случаях атак. Мы уже писали про массивную спам-атаку на пользователей Skype в мае этого года. Пользователи по всему миру получали сообщения от своих контактов через различные сервисы мгновенного обмена сообщениями Skype и Gtalk. Сообщения содержали вредоносные ссылки, которые приводили пользователя к установке нескольких видов вредоносного ПО, в т. ч. Win32/Rodpicom.C. За несколько часов было зафиксировано большое количество заражений пользователей этой вредоносной программой. Злоумышленники несколько раз прибегали к таким кампаниям и использовали различные языки при написании фишинговых сообщений для атак на пользователей разных стран, а также специальные методы заражения для усложнения их обнаружения.



В этом посте мы подробно рассмотрим каждый этап такой атаки, чтобы понять какими методами пользовались злоумышленники для преодоления возможностей безопасности системы. Разумеется, различные методы социальной инженерии для доставки вредоносного кода предоставляют этим атакам дополнительные возможности по усилению эффекта.

Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 12K
Комментарии 1

Получаем образ оперативной памяти

Информационная безопасность *
Из песочницы
Tutorial
image
Содержание оперативной памяти является очень важной информацией при изучении предыдущих действий с машиной. Оперативная память может содержать как части самих исполняемых процессов, так и части удаленных файлов, пользовательских сессий, криптографических ключей. При современном распространении сложных систем защиты информации, основанных на криптовании восстановление их ключей становиться чуть-ли не одной из основных задач для исследования. В защищенных системах зачастую оперативная память это единственное место где могут сохраниться защитные ключи и другая временная, но очень важная информация.
Читать дальше →
Всего голосов 36: ↑32 и ↓4 +28
Просмотры 61K
Комментарии 29

Автор банковского трояна Zeus объявлен в розыск

Блог компании ESET NOD32 Информационная безопасность *
Вчера стало известно, что правоохранительные органы США и Министерство юстиции сообщили о проведении специальной операции по выведению из строя ботнета Zeus Gameover. Эта последняя модификация универсального вредоносного банковского инструмента Zeus использует структуру P2P пиров для организации работы своего ботнета. Модификация появилась in-the-wild в середине 2011 г. получила название Gameover. В новой версии вредоносной программы авторы перешли на использование системы генерации доменных имен DGA и P2P, что существенно усложняет выведение из строя такого ботнета.



Об активности Zeus Gameover писали уже многие антивирусные и security-компании, финансовый ущерб пользователей от действий мошенников огромен и может исчисляться десятками и сотнями миллионов долларов. По оценке ФБР только с помощью модификации Gameover злоумышленникам удалось украсть более $100 млн. По информации KrebsOnSecurity — портала, который близко взаимодействует с правоохранительными органами, в операции «Tovar», по разрушению деятельности ботнета, участвовали ФБР, Европол, а также различные security-компании: CrowdStrike, Dell, Symantec, Trend Micro и McAfee.

Losses attributable to GameOver Zeus are estimated to be more than $100 million.

Читать дальше →
Всего голосов 45: ↑41 и ↓4 +37
Просмотры 27K
Комментарии 18

Задержаны хакеры, которые использовали похищенные Apple ID для блокирования iDevice

Блог компании ESET NOD32
Сегодня утром на сайте МВД РФ была опубликована информация об успешной операции, проведенной Управлением «К», в отношении лиц, подозреваемых в краже Apple ID пользователей с последующим их использованием для удаленной блокировки iPod Touch, iPhone или iPad через iCloud. Злоумышленники использовали так называемый «Режим пропажи» (Lost Mode) сервиса iCloud для удаленной блокировки iDevice (который должен работать под iOS 5+ и иметь активную функцию «Найти iDevice»).



Для осуществления противоправной деятельности применялись две отлаженные схемы.

Первая заключалась в получении доступа к учетной записи Apple ID жертвы при помощи создания фишинговых страниц, неправомерного доступа к электронной почте или использования методов социальной инженерии.

Вторая схема была направлена на привязку чужого устройства к заранее подготовленной учетной записи, с целью чего на различных Интернет-ресурсах создавались объявления о сдаче в аренду Apple ID, содержащего большое количество приобретенного медиаконтента.

Читать дальше →
Всего голосов 12: ↑10 и ↓2 +8
Просмотры 9.9K
Комментарии 4

Google: только 2% указанных злоумышленниками аккаунтов действительно рабочие

Блог компании ESET NOD32 Информационная безопасность *
На этой неделе стало известно, что некими лицами были выложены в публичный доступ данные аккаунтов пользователей таких крупных интернет-сервисов как Yandex, Mail.ru и Google. Новость моментально была растиражирована СМИ и комментарии самих компаний не заставили себя долго ждать. Первоначально информация появилась на нескольких форумах, участник одного из форумов опубликовал якобы «утекшие» данные аккаунтов пользователей этих компаний в нескольких постах и сразу же начал утверждать, что почти все данные этих аккаунтов рабочие и он «нашел там свои данные».

We found that less than 2% of the username and password combinations might have worked, and our automated anti-hijacking systems would have blocked many of those login attempts. We’ve protected the affected accounts and have required those users to reset their passwords.

Google.

Нужно отметить, что отличительной особенностью столь масштабной «утечки» является публикация логинов и паролей в открытом виде, что сразу же исключает возможность компрометации серверов этих компаний со стороны злоумышленников (там они хранятся в виде хэша + могут быть дополнительно зашифрованы). Еще одним показателем того, что компрометация этих интернет-сервисов исключена, является тот факт, что едва ли можно себе представить ситуацию, при которой кто-то единовременно смог проникнуть в инфраструктуру всех вышеперечисленных компаний. Даже если бы такое произошло, пароли были бы получены в виде хэшей и скрытно могли быть использованы в атаках типа Pass-the-Hash, которые успешно блокируются большинством современных компаний.

Читать дальше →
Всего голосов 31: ↑24 и ↓7 +17
Просмотры 13K
Комментарии 28

Хакерская группа Sednit переключилась на использование собственного набора эксплойтов

Блог компании ESET NOD32
Последние пять лет группа хакеров под названием «Sednit» была достаточно активна и ее жертвами становились различные организации, преимущественно, в Восточной Европе. Эта группа использовала в своем арсенале различные виды вредоносных программ, одна из которых называется Win32/Sednit (a.k.a Sofacy).



Недавно мы столкнулись с компрометацией легитимных финансовых веб-сайтов. Эти сайты были скомпрометированы злоумышленниками и перенаправляли своих посетителей на набор эксплойтов. Основываясь на результатах наших исследований и информации, которая была предоставлена нам ресерчерами из Google Security Team, было установлено, что за компрометацией ресурсов стоит группа киберпреступников Sednit.

Читать дальше →
Всего голосов 2: ↑2 и ↓0 +2
Просмотры 6.3K
Комментарии 2

ФБР: компанию Sony атаковали хакеры из Северной Кореи

Блог компании ESET NOD32 Информационная безопасность *
Несколько недель назад стало известно о масштабной кибератаке на компанию Sony (Sony Pictures Entertainment). В результате кибератаки злоумышленникам удалось получить доступ к нескольким не вышедшим фильмам, а также приватным данным сотрудников компании. В ходе расследования этого инцидента, проводимого ФБР и компанией FireEye, было установлено, что хакерам удалось проникнуть во внутреннюю сеть компьютеров компании и установить вредоносное ПО Destover (ESET: Win32/NukeSped.A, Microsoft: Trojan:Win32/NukeSped.A, Symantec: Backdoor.Destover). Из-за использования этого семейства вредоносного ПО в кибератаках, СМИ сообщали о т. н. «destructive attack», так как Destover специализируется на уничтожении данных жестких дисков компьютеров.

Читать дальше →
Всего голосов 20: ↑11 и ↓9 +2
Просмотры 21K
Комментарии 12

Исходные тексты набора эксплойтов RIG exploit kit утекли в сеть

Блог компании ESET NOD32
Исходные тексты набора эксплойтов RIG exploit kit попали в сеть. Как и в случае с другими подобными утечками исходных текстов вредоносных программ, они были выставлены на продажу на одном из подпольных хакерских форумов, после чего оказались в открытом доступе. Наборы эксплойтов представляют из себя специальные инструменты злоумышленников, которые используются для автоматической установки вредоносных программ на компьютеры пользователей через эксплойты к браузерам или плагинов для них.



Читать дальше →
Всего голосов 15: ↑9 и ↓6 +3
Просмотры 17K
Комментарии 13

За поимку автора Zeus назначена максимальная награда

Блог компании ESET NOD32 Информационная безопасность *
В прошлом году мы писали о том, что правоохранительные органы США объявили в розыск автора известной банковской вредоносной программы Zeus. С использованием этой вредоносной программы были украдены сотни миллионов долларов с банковских счетов у пользователей по всему миру, а сам бот уже давно породил большое количество своих клонов. Недавно ФБР увеличили награду за информацию, ведущую к его поимке до суммы в $3 млн. Это максимальная награда, которая когда-либо объявлялась для фигурантов кибер-дел (cyber).



Фигурант под псевдонимом «slavik» известен в преступном мире уже давно и упоминается как автор одних из самых ранних версий Zeus. В начале прошлого года мы также писали про поимку правоохранителями другого киберпреступника. Речь идет об авторе другой банковской троянской программы SpyEye под псевдонимом «Gribodemon». Этот бот был основан на исходных текстах Zeus.

Читать дальше →
Всего голосов 23: ↑15 и ↓8 +7
Просмотры 27K
Комментарии 16

Эволюция веб-инжектов, часть 1

Блог компании ESET NOD32
В настоящее время файлы веб-инжектов взяты на вооружение во многих банковских вредоносных программах и используются как средство для осуществления финансового мошенничества. Этот механизм работы вредоносных программ изначально был распространен в единичных экземплярах и находился в зависимости от того или иного семейства вредоносных программ. За последние несколько лет веб-инжекты стали использоваться как часть целой киберпреступной экосистемы, в которой независимые их разработчики продают свои изделия операторам ботнетов.



Такой рынок продажи подобных услуг можно наблюдать на многочисленных подпольных форумах, где мы видим все большее количество предложений от киберпреступников по продаже комплектов веб-инжектов. Они включают в себя все необходимые возможности для проведения банковского мошенничества, включая, механизмы обхода специальных мер безопасности, которые банки используют для обеспечения безопасности счетов пользователей.

Читать дальше →
Всего голосов 15: ↑14 и ↓1 +13
Просмотры 24K
Комментарии 1

Эволюция веб-инжектов, часть 2

Блог компании ESET NOD32
Файлы конфигурации веб-инжектов продаются различными лицами на подпольных хакерских форумах. Многие из этих лиц являются членами киберпреступных групп, либо имеют тесные связи с ними. Большинство кодеров веб-инжектов полагаются на один и тот же фиксированный формат конфигурационного файла (Рис.2). В то же время, некоторые авторы банковских троянов снабжают свои изделия специальными конвертерами различных форматов файлов веб-инжектов. Например, банковский троян Gataka содержит в своем составе подобный конвертер для преобразования конфигурационного файла стандартного типа (SpyEye) в свой внутренний формат.



Поскольку спрос на качественные веб-инжекты растет, их предложение со стороны авторов также увеличивается. Самим авторам веб-инжектов необходимы инструменты для облегчения процесса разработки и тестирования веб-инжектов. Примером такого инструмента является известный «билдер» или Config Builder, который был частью утекших исходных текстов Carberp. Он позволял задавать исходные параметров веб-инжекта на входе и получать конфигурационный файл на выходе.

Читать дальше →
Всего голосов 15: ↑14 и ↓1 +13
Просмотры 12K
Комментарии 0

Злоумышленники используют комплексное вредоносное ПО для атак на российский бизнес

Блог компании ESET NOD32
С конца прошлого года мы начали отслеживать новую вредоносную кампанию по распространению банковского трояна. Злоумышленники ориентировались на компрометацию российских компаний, т. е. корпоративных пользователей. Вредоносная кампания была активна как минимум год и кроме банковского трояна, злоумышленники прибегали к использованию других различных программных инструментов. К ним относятся специальный загрузчик, упакованный с использованием NSIS, и шпионское ПО, которое замаскировано под известное легитимное ПО Yandex Punto. Как только злоумышленникам удалось скомпрометировать компьютер жертвы, они устанавливают туда бэкдор, а затем банковскую троянскую программу.



Читать дальше →
Всего голосов 21: ↑20 и ↓1 +19
Просмотры 23K
Комментарии 10

Уязвимость CVE-2015-1635 (MS15-034) эксплуатируется in-the-wild

Блог компании ESET NOD32 Информационная безопасность *
На этой неделе мы писали про критическое обновление MS15-034 для драйвера http.sys на Windows 7+ (включая Windows 10 TP). Злоумышленник с использованием специально сформированного заголовка запроса HTTP-протокола может удаленно исполнить код, организовать DoS-атаку или уронить систему в BSOD как на клиентских так и на серверных выпусках Windows. Сам драйвер http.sys загружается Windows на самых ранних этапах и отвечает за реализацию логики работы HTTP-протокола (реализует прикладной уровень модели OSI в Windows).



Напрямую эта уязвимость относится к серверным выпускам Windows, поскольку службы IIS, которые отвечают за механизмы реализации веб-сервера, используют этот драйвер для открытия и обслуживания HTTP-портов входящих подключений, которые и могут быть использованы для компрометации системы. Однако, на некоторых современных клиентских выпусках Windows (в зависимости от конфигурации системы и ее сервисов), работающие сервисы также могут открывать HTTP-порты для прослушивания входящих подключений.

Читать дальше →
Всего голосов 36: ↑34 и ↓2 +32
Просмотры 35K
Комментарии 17