Jump to content

RSS News

Moderator
  • Content Count

    389
  • Joined

  • Last visited

  1. Почти 60% от всей вредоносной рекламы распространяют 3 рекламные сети. За большинство вредоносных рекламных объявлений ответственны группировки Scamclub, eGobbler, RunPMK и Zirconium. Исследователи из компании Confiant опубликовали отчет «Demand Quality Report for Q3 2019», посвященный анализу вредоносной рекламы. В период с 1 января по 20 сентября 2019 года специалисты проанализировали 120 млрд вредоносных рекламных объявлений, которые принудительно перенаправляли пользователя на вредоносные сайты или загружали вторичную полезную нагрузку. Большая часть рекламных баннеров была связана с мошенническими схемами, некоторые использовались для криптоджекинга или заражения устройства пользователя вредоносным ПО для последующего его включения в бот-сеть. По словам исследователей, из 75 поставщиков рекламы источником более 60% вредоносных объявлений являлись три платформы (компания не раскрывает их названия). Большинство вредоносных рекламных кампаний осуществлялись в выходные дни, а самые крупные — на праздники, отметили эксперты. В третьем квартале 2019 года за большинство вредоносных рекламных объявлений, распространяемых через рекламные сети, были ответственны группировки Scamclub, eGobbler, RunPMK и Zirconium. В отличие от других злоумышленников, Scamclub не прилагает больших усилий для избежания обнаружения путем отслеживания цифровых отпечатков браузера или целевой аудитории. Вместо этого Scamclub проводит огромные кампании с десятками или сотнями объявлений полагаясь на то, что защита рекламных платформ не выдержит и пропустит некоторые из баннеров на легитимные сайты. Группировка eGobbler использует уязвимости в браузерах для перенаправления пользователей на вредоносные сайты. В последней кампании eGobbler эксплуатировал уязвимость в браузерном движке Apple WebKit для распространения более 1 млрд вредоносных объявлений. Группировка RunPMK перехватывает мобильный трафик с iOS- и Android-устройств для показа мошеннической рекламы, например, связанной с розыгрышем денежных призов и пр. Zirconium использует уникальные методы отслеживания цифровых отпечатков браузера для показа пользователям определенных объявлений. В ходе атак злоумышленники используют методы обфускации и обычно распространяют мошенническую рекламу под видом оказания услуг техподдержки.
  2. Группировки ProCC и RevengeHotels атакуют отели по всему миру. Злоумышленники в ходе атак используют разные методы социальной инженерии. Специалисты из «Лаборатории Касперского» обнаружили две киберпреступные группировки, нацеленные на сферу отельного бизнеса. Первая группировка получила название RevengeHotels, а вторая — ProCC. Злоумышленники в ходе атак используют разные методы социальной инженерии, выдавая себя за представителей государственных организаций или частных компаний, желающих забронировать номера для большого количества людей. Операторы вредоносной кампании также используют динамические DNS-службы и продают учетные данные уязвимых систем жертв, предоставляя другим киберпреступникам удаленный доступ к зараженным сетям. RevengeHotels развернула целенаправленную кампанию против отелей, хостелов, гостиничных и туристических компаний, расположенных в Бразилии (преимущественно) и других странах. Эксперты выявили более 20 подвергнувшихся атакам отелей в Бразилии, а также в других странах, в частности в Аргентине, Боливии, Чили, Коста-Рике, Франции, Италии, Мексике, Португалии, Испании, Таиланде и Турции. Целью злоумышленников являлась кража данных кредитных карт посетителей и путешественников, хранящихся в компьютерных системах гостиниц и популярных туристических online-агентств (Booking.com и пр.). Основным вектором атаки являлась фишинговые письма с прикрепленными вредоносными документами в формате Microsoft Word, Excel или PDF. Злоумышленники эксплуатировали уязвимость удаленного выполнения кода (CVE-2017-0199) в MS Office для установки троянов RevengeRAT, NjRAT, NanoCoreRAT, 888 RAT на компьютер жертвы.
  3. Европол задержал 79 человек по подозрению в online-мошенничестве с карженными авиа-билетами. В 200 аэропортах мира прошла двенадцатая международная многопрофильная операция Global Airline Action Days. Европол совместно с правоохранительными органами ряда стран задержал 79 человек, подозреваемых в мошенничестве с авиабилетами. Как сообщает пресс-служба Европола, 18-22 ноября нынешнего года в более чем 200 аэропортах мира прошла двенадцатая международная многопрофильная операция Global Airline Action Days (GAAD). Целью GAAD является борьба с незаконной покупкой авиабилетов через интернет с использованием скомпрометированных данных банковских карт. В ходе операции было выявлено 165 подозрительных транзакций и задержано 79 человек, подозреваемых в покупке авиабилетов с использованием похищенных, скомпрометированных или поддельных данных банковских карт. Ряд случаев был связан с незаконной иммиграцией – у некоторых задержанных были обнаружены поддельные или чужие удостоверения личности. «Мошенничество с авиабилетами по своей сути не имеет границ. Эта операция стала кульминацией многих месяцев тщательного планирования, в котором приняли участие Европол, правоохранительные органы, судебные и пограничные органы, авиалинии и кредитные компании, и является прекрасным примером того, как совместными усилиями можно внести заметный вклад в борьбу с действующими через границы преступными синдикатами», - отметил заместитель исполнительного директора по операциям Европола Уил ван Гемерт (Wil van Gemert). Как сообщает Европол, мошенническая схема, предполагающая оплату товаров с помощью скомпрометированных данных банковских карт, приобретает большую популярность в странах Европы. Помимо авиабилетов, мошенники используют похищенные данные для аренды автомобилей и оплаты проживания в отелях. Авиакомпании являются одними из наиболее частых жертв подобного мошенничества – убытки достигают $1 млрд в год.
  4. Киберпреступники похитили у белорусской компании рекордную сумму денег. Виновницей происшествия стала бухгалтер, подключившая к компьютеру USB-флешку с цифровой подписью. Одна из белорусских компаний стала жертвой кибермошенников – из-за небрежного отношения к собственной кибербезопасности она лишилась рекордных 515 тыс. руб. Об этом в среду, 27 ноября, сообщил начальник управления по раскрытию преступлений в сфере высоких технологий криминальной милиции МВД Республики Беларусь Вадим Устинович на пресс-конференции. Виновницей происшествия стала главный бухгалтер компании, подключившая к компьютеру USB-флешку с цифровой подписью для оформления банковских платежей. С помощью инфицированной флешки злоумышленники похитили с банковских счетов компании $245 тыс. Главный бухгалтер сообщила об инциденте сотруднику IT-отдела, который оказался бессильным что-либо сделать. В конце рабочего дня компания обратилась в правоохранительные органы. В течение нескольких часов милиция прозванивала банки с целью заблокировать денежные переводы и операции. В результате этих действий часть похищенных средств удалось вернуть, однако остальное все же осталось у преступников. 515 тыс. руб. – максимальная сумма, когда-либо похищенная киберпреступниками у белорусских компаний. По данным МВД, в 2019 году в Беларуси зафиксирован резкий всплеск киберпреступлений. По сравнению с 2018 годом их количество увеличилось в 2,2 раза. Только 5 лет назад было зафиксировано всего 135 случаев киберпреступлений, но уже в этом году это число увеличилось до 7,7 тыс.
  5. Оператор DDoS-сервисов получил тюремный срок. В конце прошлой недели окружной суд Северной Каролины вынес приговор по уголовному делу о продаже в Интернете услуг по проведению DDoS-атак. За преступный сговор с целью причинения вреда чужим компьютерам 21-летний житель штата Иллинойс Сергий Усатюк наказан лишением свободы на 13 месяцев. Согласно материалам дела, молодой человек и его сообщник из Канады создали ряд онлайн-сервисов, работавших по модели DDoS как услуга, и управляли ими с августа 2015 года по ноябрь 2017-го. В деле фигурируют такие названия, как ExoStresser, QuezStresser, Betabooter, Databooter, Instabooter, Polystress и Zstress. «Только за первые 13 месяцев работы эти сервисы выполнили заказы на проведение 3 829 812 DDoS-атак, — сказано в обвинительном заключении. — В рекламной записи на сайте ExoStresser от 12 сентября 2017 года говорится, что данный сервис инициировал проведение 1 367 610 DDoS-атак, обернувшихся для сетей жертв 109 186 часами (4549 днями) простоя». Сообщники получали прибыль не только от сдачи в аренду ботнета и оказания иных DDoS-услуг подписчикам, но также за счет размещения рекламы «коллег по цеху». За время своей противоправной деятельности предприниматели суммарно скопили $542 925 — по крайней мере, такая сумма была обнаружена на счетах Усатюка после ареста. Заявление молодого человека о признании вины суд заслушал в конце февраля этого года. По выходе на свободу осужденный проведет три года под надзором. У него также конфискуют капиталы, нажитые неправедным путем. К сожалению, закрытие нескольких DDoS-сервисов для разросшегося теневого рынка — капля в море. Последние лет пять подобные сайты, известные в криминальных кругах как booters и stressers, активно множатся. Органам правоохраны иногда удается совместными ликвидировать такие сервисы и привлечь к ответу их операторов или пользователей, однако освободившуюся нишу тут же занимают конкуренты. Тем не менее ограничить этот рынок совместными усилиями хоть и трудно, но можно. По последним данным, к общей борьбе против DDoS на заказ присоединился Китай, где активность арендаторов специализированных ботнетов особенно высока.
  6. Троян Predator атакует любителей легких денег. Независимый ИБ-исследователь обнаружил на YouTube мошенническую кампанию, направленную на распространение шпионского трояна Predator the Thief (также известный как Predator). Злоумышленники маскируют зловред под программы для добычи криптовалют, торговли и управления финансами, и даже обещают пользователям доступ к чужим BTC-кошелькам. Приманка для любителей криптовалют Первое видео появилось на канале в декабре 2018 года. За прошедшее время аккаунт набрал 25 тыс. просмотров, из которых 11 тыс. приходятся на ролик про «бесплатный генератор биткойнов». На видео пользователь вставляет некие символы в исходный код страницы на сайте по управлению криптовалютами. После этого количество денег в кошельке на экране начинает расти. На втором месте по количеству просмотров руководство по работе с программой, якобы позволяющей вытаскивать криптовалюту из любых BTC- и ETH-кошельков. Мошенники уверяют, что пользователям достаточно ввести желаемую сумму и адрес отправителя. После оплаты транзакционной комиссии деньги придут на указанный кошелек. Помимо явно мошеннических программ канал продвигает и несколько якобы легитимных утилит — в основном, боты для трейдеров. Под всеми опубликованными видео указаны одинаковые ссылки на несколько файлообменных сервисов. Они ведут на ZIP-архив с тремя папками и файлом setup.exe. Это и есть полезная нагрузка — троян-инфостилер Predator. Возможности инфостилера Predator Впервые этот зловред попал на радары ИБ-специалистов в октябре 2018 года — тогда о Predator рассказал независимый исследователь под ником fumik0. В марте 2019-го троян подробно изучили эксперты «Лаборатории Касперского». Predator — это относительно примитивный шпион. Его создатели продают программу на подпольных площадках за 2000 рублей — меньше, чем конкурирующих Vidar и HawkEye. За эти деньги клиенты получают возможность похищать пароли, файлы куки, платежные и учетные данные из более чем 25 браузеров, а также записывать видео с веб-камеры. Злоумышленники также обещают функцию кейлоггинга, но на деле Predator лишь угоняет буфер обмена. По словам экспертов Kaspersky, этот зловред может угрожать частным пользователям и небольшим компаниям — защиту корпоративного уровня он обойти не способен. Главная особенность трояна состоит в регулярных обновлениях, благодаря чему антивирусные решения могут не распознать угрозу в очередной версии Predator. Чтобы дополнительно затруднить обнаружение, создатели зловреда обфусцировали его код и добавили некоторые защитные функции. Так, перед началом работы шпион проверяет наименование видеокарты и список загруженных DLL-библиотек. Таким образом Predator определяет, что попал в песочницу. Специалисты напоминают пользователям об опасности неизвестных программ, особенно если те продвигают как средство быстрого заработка и создания денег из воздуха. Жертвам Predator необходимо срочно сменить пароли в социальных сетях и платежных сервисах, а также игровых платформах вроде Steam и Battle.net — такие ресурсы все чаще становятся желанной целью для киберпреступников. Злоумышленники давно используют YouTube для продвижения вредоносного ПО. В 2018 году на видеохостинге обнаружилось множество роликов, в которых геймеры якобы устанавливали на Android-смартфоны онлайн-шутер Fortnite. Позже подобным атакам подверглись любители Apex Legends — преступники обещали им возможность запустить игру на мобильных устройствах, хотя она работает только на Windows, PlayStation 4 и Xbox One. Пользователи, которые следовали инструкциям мошенников, получали на свои устройства нежелательные приложения.
  7. Вредоносный видеофайл позволяет выполнить код в WhatsApp. Разработчики WhatsApp исправили серьезную уязвимость, которая могла привести к отказу в обслуживании или удаленному выполнению кода. Баг получил заплатку еще в октябре, однако в Facebook предпочли не разглашать эту информацию, чтобы пользователи успели установить важное обновление. О проблеме стало известно лишь после публикации бюллетеня безопасности, который компания выпустила 14 ноября 2019 года. Чем грозит критический баг в WhatsApp Недостаток связан с неправильной обработкой метаданных элементарного потока при воспроизведении видео в формате MP4. Для эксплуатации уязвимости злоумышленник должен узнать номер телефона жертвы и отправить ей специально созданный файл. Воспроизведение вредоносного объекта в WhatsApp вызовет переполнение буфера стека и приведет к зависанию программы, а в некоторых случаях позволит атакующему запустить сторонний скрипт на устройстве. Элементарный поток (Elementary Stream) — определенная стандартом MPEG зашифрованная последовательность данных одного типа, передаваемая на выход аудио- или видеодекриптора. Уязвимость зарегистрирована в базе данных MITRE как CVE-2019-11931. Недостаток затронул мобильные версии WhatsApp для Android, iOS и Windows Mobile, а также варианты мессенджера для корпоративных клиентов. Какие версии WhatsApp затронуты уязвимостью Разработчики добавили патч, устраняющий проблему, в следующие версии WhatsApp: Android 2.19.274; iOS 2.19.100; Business for Android 2.19.104; Business for iOS 2.19.100; Enterprise Client 2.25.3. Актуальная на данный момент версия WhatsApp для Windows Phone 2.18.368 остается уязвимой для атак с использованием бага. Разработчик прекращает поддержку мессенджера для мобильной операционной системы Microsoft 31 декабря 2019 года. Будет ли до этого момента выпущен еще один релиз программы — неизвестно. Представители Facebook заявили, что не знают о случаях эксплуатации CVE-2019-11931 в дикой природе. «Мы постоянно работаем над повышением безопасности нашего сервиса и публикуем отчеты о потенциальных проблемах, которые мы исправили, в соответствии с лучшими отраслевыми практиками. В данном случае нет никаких оснований полагать, что пользователи были затронуты», — заявил представитель WhatsApp в комментарии для издания The Hacker News. В октябре этого года мессенджер получил важный апдейт, который закрывал RCE-уязвимость, возникавшую при просмотре GIF-файлов. Критическая ошибка неправильного использования памяти возникала только на Android-устройствах и позволяла атакующему повысить свои привилегии, а также выполнить вредоносный код.
  8. Взломанные аккаунты Disney+ уже попали в хакерские магазины. Пользователи стримингового сервиса Disney+ массово жалуются на кражу своих аккаунтов. На хакерских сайтах взломанные учетные записи можно купить за несколько долларов или вовсе получить бесплатно. Веб-сервис Disney+, который запустили 12 ноября, доступен пользователям в США, Канаде и Нидерландах. Уже в первые сутки количество зарегистрированных пользователей превысило 10 млн. Такой наплыв посетителей даже вызвал технические сбои и перегрузил службу поддержки — сотрудники не успевали отвечать недовольным клиентам, у которых не получалось авторизоваться на сайте из-за пропадающего соединения. Вскоре выяснилось, что проблемы аудитории не ограничиваются нестабильным доступом. В социальных сетях стали появляться жалобы на потерю аккаунта — тысячи пользователей обнаружили в своих ящиках уведомления о смене учетных данных, после чего они не смогли залогиниться на сайте. Ситуацию усугубило и то, что аккаунт Disney+ используется для доступа к другим сервисам компании, включая магазины и парки развлечений. В результате жертвы злоумышленников разом лишились всех своих учетных записей в этой инфраструктуре. В настоящее время аккаунты Disney+ — популярный товар на подпольных торговых площадках. Цена варьируется от $3 до $11 (стоит отметить, что легальная подписка на Disney+ стоит $7). В некоторых случаях доступ к сервису можно получить и бесплатно — учетные данные публикуются на хакерских форумах в открытом виде. Разработчики Disney оставили техническую возможность совместного использования аккаунтов, поэтому можно предположить, что многие клиенты сервиса и не догадаются, что к их подписке имеют доступ посторонние. Хотя клиенты массово обвиняют создателей сервиса в небрежном отношении к безопасности, большинство экспертов указывают на ошибки самих пользователей. Представители корпорации заявили журналистам Gizmodo, что инциденты не связаны с утечками баз данных. Некоторые клиенты признались, что использовали для доступа к Disney+ свои старые пароли. В тех случаях, когда код доступа был уникальным, специалисты подозревают, что злоумышленники использовали шпионские трояны и прочие подобные программы. В то же время эксперты отмечают, что все случившееся было бы невозможным, если бы Disney+ поддерживал двухфакторную аутентификацию. Такой способ авторизации подразумевает, что пользователь вводит не только пароль, но и дополнительный код — например, из SMS или электронной почты. На данный момент всем клиентам Disney+, которые использовали слабый пароль, рекомендуется установить более стойкий код доступа. Предварительно стоит проверить свой компьютер на присутствие шпионского ПО. Ранее сообщалось, что стриминговые сервисы находятся на втором месте по популярности у организаторов атак с подстановкой учетных данных. Во второй половине 2018 года аналитики зафиксировали более 8,1 млрд попыток взломать такие аккаунты с помощью паролей с других интернет-ресурсов. В начале года сотрудники австралийской полиции совместно с ФБР арестовали 21-летнего киберпреступника, который управлял сайтом по продаже пользовательских аккаунтов. По оценкам правоохранительных органов, незаконная деятельность принесла молодому человеку не менее $212 тысяч.
  9. Оффшорный банк Cayman National Bank подтвердил факт взлома. Оффшорный банк Cayman National Bank острова Мэн подтвердил, что стал жертвой хакерской атаки. «В настоящее время ведется расследование, и Cayman National Bank работает с соответствующими правоохранительными органами для установления личности преступников, ответственных за кражу данных. Cayman National Bank серьезно относится к утечкам данных, и сейчас проводится криминалистическая IT-экспертиза. Также были приняты меры с целью обеспечения защиты клиентов Cayman National Bank острова Мэн и трастовых компаний», – сообщается в пресс-релизе финорганизации. Согласно публикации Motherboard от 17 ноября нынешнего года, ответственность за взлом взял на себя киберпреступник или группа киберпреступников, называющих себя Финеас Фишер (Phineas Fisher). На прошлых выходных Финеас Фишер объявил о запуске программы поощрения политически мотивированных хакеров, готовых взламывать крупные компании с целью обнародования общественно значимой информации. В качестве примера он привел собственный взлом банка Cayman National Bank в 2016 году. По словам Фишера, ему удалось похитить деньги, документы и электронные письма финорганизации. Размер похищенной суммы хакер не назвал, однако сообщил, что она составила «несколько сотен тысяч долларов». «Я ограбил банк и раздал деньги. Компьютерный взлом – это мощный инструмент для достижения экономического равенства», – заявил Фишер. Похищенные у Cayman National Bank документы хакер опубликовал на сайте раскрытия информации Distributed Denial of Secrets, управляемом активисткой Эммой Бест (Emma Best). Cayman National Bank подтвердил факт взлома, однако не приписывает его Финеасу Фишеру. Кроме того, согласно заявлению финорганизации, никаких признаков финансового ущерба ни самому банку, ни его клиентам обнаружено не было.
  10. Хакер Бурков может сесть в тюрьму на 80 лет. Американские власти обвиняют экстрадированного из Израиля гражданина России Алексея Буркова в мошенничестве, сговоре, краже личных данных и отмывании денег. Об этом сообщается на сайте ведомства. В США его могут осудить на 80 лет. Американская сторона подозревает Бурков в управлении сайтом Cardplanet, на котором можно было купить номера краденых банковских карт, многие из которых принадлежали гражданам США. «Украденные данные кредитных карт, проданные на сайте Буркова, привели к мошенническим покупкам на сумму более чем $20 млн», — говорится в сообщении. На другом сайте россиянина предлагалось приобрести личные данные конкретных людей и вредоносное программное обеспечение. Жителя Петербурга арестовали в аэропорту Тель-Авива в 2015 году, когда он приехал туда на отдых. Все эти годы Бурков провел в заключении. Он называет себя специалистом в сфере информационной безопасности и все обвинения в мошенничестве отрицает. Бурков предстал перед федеральным судом в Александрии. 15 ноября состоится слушание, на котором решится вопрос об аресте гражданина России. Российские власти предлагали Израилю обменять Нааму Ассахар на хакера Алексея Буркова. Он был арестован 4 года назад по запросу Соединенных Штатов. Руководство Израиля отказалось от этого предложения, сославшись на решение суда о выдаче Буркова США.
  11. Мошенническая «техподдержка» использует новую ошибку блокировки в Firefox. Выдающие себя за техподдержку мошенники активно эксплуатируют ошибку в браузере Firefox с целью вынудить жертв обратиться к ним за «помощью». Речь идет об ошибке в работе браузера, обнаруженной три месяца назад и затрагивающей стабильные сборки Firefox 70.x, бета-версии 71.x и ночные версии 72.x. С ее помощью злоумышленники могут блокировать браузер жертвы и отображать поддельное уведомление о необходимости скорейшего обращения в техподдержку, иначе через 5 минут система будет отключена. Закрыть вкладку с уведомлением жертва не может. Для блокировки браузера злоумышленники отправляют большое количество запросов на подтверждение авторизации, поскольку ограничений на их количество нет никаких. Жертва может вернуть себе контроль над браузером, завершив связанный с Firefox процесс в «Диспетчере задач» Windows. Как сообщает исследователь безопасности Жером Сегура (Jérôme Segura), мошенники, использующие данный баг, стараются запугать пользователей. Текст отображаемого ими уведомления гласит: «Не игнорируйте это важное предупреждение. Остановитесь и не выключайте ваш ПК. Ключ реестра вашего компьютера заблокирован. Почему мы заблокировали ваш компьютер? Ключ реестра Windows незаконный. Этот Windows-компьютер использует пиратское ПО. Этот Windows-ПК рассылает вирусы по интернету. Этот Windows-ПК взломан. Мы заблокировали компьютер ради вашей безопасности. Пожалуйста, позвоните нам в течение 5 минут, иначе ваш компьютер будет отключен».
  12. Киберпреступники используют имена политиков, чтобы завлечь жертв. Киберпреступники активно используют политическую повестку, чтобы распространять вредоносное ПО. Исследователи предупредили о сотнях киберкампаний, в рамках которых шифровальщики, средства удаленного доступа и прочие нежелательные программы маскируются под статьи и документы по актуальным темам. Эксперты решили изучить эту тему, когда обнаружили в одной из атак группировки Cobalt вредоносный файл trump.exe. Как показало дальнейшее расследование, это лишь одна из множества подобных приманок для потенциальных жертв. Зловреды, играющие роль полезной нагрузки в ходе этих кампаний, давно известны ИБ-специалистам. Так, документ Word под названием «12 вещей, которые Трамп должен знать о Северной Корее» разворачивает на компьютере RAT-троян Konni, активный, по разным оценкам, с 2014 года. Эксперты замечали этот зловред в атаках против государственных и частных организаций, которые также были связаны с КНДР. Другой вредоносный документ, Excel-файл «Индикаторы администрации Трампа относительно инвестиций в Китай», содержал макросы для загрузки RAT PoisonIvy. Операторы этого зловреда ранее уже использовали актуальные темы — в 2014 году троян распространялся под видом материалов о пропавшем рейсе «Малазийских авиалиний» MH-370. Популярные политики во вредоносных кампаниях Президент США оказался не единственным политиком, чье имя использовалось в нынешних атаках. Материал якобы о северокорейском лидере Ким Чен Ыне заражал жертв трояном Nechta, а файл Papa-Putin.exe маскировал троян NjRAT. Имя Владимира Путина также встретилось экспертам в названии примитивного вымогателя, который блокирует на компьютере элементы управления и диспетчер задач. По словам исследователей, с приближением американских выборов в 2020 году политические темы будут набирать популярность у киберпреступников. Как заметили ИБ-эксперты, злоумышленники не оставляют без внимания крупнейшие темы, будь то Чемпионат мира по футболу, Олимпийские игры или криптовалютная лихорадка. Пользователям следует учитывать этот факт и с особой осторожностью относиться к ресурсам и сообщениям под громкими заголовками.
  13. Компания Nikkei потеряла $29 млн из-за мошенников. мериканское подразделение компании Nikkei пострадало от крупного мошенничества, в результате которого лишилось около 3,2 млрд. японских иен (примерно $29 млн). Средства были переведены сотрудником компании по указанию мошенника, действовавшего под видом руководителя международной фирмы. BEC-атаки (Business Email Compromise) представляют собой мошенническую схему, при которой злоумышленники просят сотрудника компании перевести деньги на подконтрольный им банковский счет, отправив просьбу в электронном письме якобы от имени директора компании или доверенного партнера. Компания уведомила правоохранительные органы в США и Гонконге, поскольку киберпреступники часто перенаправляют украденные деньги на счета в Гонконге. «Мы проводим расследование, а также проверяем подробности и причины данного инцидента», — сообщила компания в официальном заявлении. Напомним, в сентябре нынешнего года производитель автомобильных компонентов Toyota Boshoku Corporation (входит в Toyota Group) также сообщил о мошенничестве, в результате которого одна из ее европейских дочерних компаний потеряла более $37 млн. Инцидент произошел 14 августа текущего года.
  14. Пользователям Steam угрожают продвинутые фишеры. Аналитики «Лаборатории Касперского» предупреждают пользователей Steam о волне тщательно проработанных фишинговых атак. Злоумышленники копируют магазины внутриигровых аксессуаров, чтобы похитить учетные записи геймеров и перепродать их виртуальное имущество. Хотя сами по себе такие атаки давно стали привычным явлением, последнюю кампанию отличает высокая степень проработки. Организаторы тщательно скопировали оформление реальных магазинов, связанных со Steam. На поддельных сайтах есть все внешние атрибуты: сертификаты безопасности, предупреждения об использовании куки, иконка HTTPS-подключения в адресной строке. Перейти по ссылкам, указанным на страницах, не получается — клик по ним вызывает окно с требованием ввести учетные данные Steam. Форма авторизации также повторяет привычные пользователям страницы — мошенники указывают URL портала Steam, меняют оформление в соответствии с используемым языком интерфейса. Более того, введенная информация проверяется по оригинальной базе данных, так что фишинговый сайт распознает некорректные логины и пароли. Получив правильную пару, сервис запрашивает код двухфакторной аутентификации, который позволяет мошенникам взять контроль над аккаунтом жертвы. Эксперты Kaspersky призывают пользователей быть бдительнее. Чтобы не попасться на удочку мошенников, нужно проверять адресную строку перед вводом важных данных, обращать внимание на малейшие несоответствия интерфейса. При подозрениях можно открыть в новом окне реальную страницу Steam и авторизоваться на ней — если сайт действительно интегрирован с магазином, вход произойдет и там. Пользователи также могут проверить легитимность домена с помощью сервиса WHOIS. Как напоминают специалисты «Лаборатории Касперского», официальные ресурсы регистрируются на длительный срок и публикуют контактные данные. Ранее исследователи обнаружили, что распространители вредоносного ПО взяли на вооружение сайты с кодами для игр. Посетителей таких площадок заражают бэкдорами, майнерами и загрузчиками нежелательных программ.
  15. Троян Adwind взял на мушку приложения Windows. Исследователи из Menlo Security обнаружили новую версию RAT-трояна Adwind, нацеленную исключительно на ПК Windows. Троян Adwind, он же AlienSpy, Frutas, Unrecom, JRAT, SockRat и JSocket, целиком написан на Java и обычно используется для кражи информации с зараженных машин. До сих пор зловреду было все равно, на какой платформе работать — Linux, macOS, Windows или Android. Модификация, появившаяся четыре месяца назад, атакует только Windows и ворует логины и пароли из Windows-приложений — Internet Explorer, Outlook, бизнес-программ, банковских клиентов. Примечательно, что новый Adwind интересуется также данными, сохраненными в браузерах на основе Chromium, в том числе в Brave. Зловред попадает на компьютер в виде JAR-файла, загружаемого по ссылке в спам-письме или с легитимного сайта, отдающего небезопасный сторонний контент. Во многих случаях исследователи фиксировали заражения, источником которых являлся непропатченный сайт WordPress. Вредоносный код в JAR-файле скрыт под несколькими слоями обфускации во избежание обнаружения сигнатурными методами. После его расшифровки происходит загрузка стартового набора модулей и установка соединения с C&C-сервером. IP-адрес центра управления Adwind выбирает по списку в конфигурационном файле; запрос на загрузку дополнительных JAR-файлов шифруется по AES и подается через TCP-порт 80. Получив все необходимое для выполнения основной задачи, зловред по команде приступает к сбору учетных данных, которые затем отправляет на удаленный сервер. Исследователи не преминули отметить, что зловредную Java-функциональность очень трудно отследить, поскольку Java широко используется в Интернете. Заблокировать или ограничить выполнение Java-функций нельзя: на них полагаются многие современные веб-приложения и SaaS-сервисы. Вместе с тем ни один сигнатурный анализатор не в состоянии уверенно обнаружить первоначальную JAR-нагрузку Adwind среди миллионов входящих и исходящих команд Java в корпоративной сети. Выявить вредоносную активность сможет только динамический анализ. Многофункциональный троян Adwind появился на интернет-арене в 2013 году и с тех пор периодически попадает в поле зрения специалистов по ИБ, демонстрируя новые образцы и меняя цели. Последний раз он засветился в августовских спам-рассылках, целью которых были энергетические предприятия США. Зловред доступен на черном рынке как услуга; его авторы уделяют много внимания средствам обхода и блокировки защитных решений. Так, в прошлом году они опробовали схему заражения, использующую DDE-макрос для сокрытия вредоносного кода от антивирусов.

Кардинг

Мошенничество с платежными картами, кардинг (от англ. carding) — вид мошенничества, при котором производится операция с использованием платежной карты или её реквизитов, не инициированная или не подтверждённая её держателем.

Хакинг

Внесение изменений в программном обеспечении, для достижения определенных целей, отличающихся от целей создателей программ, очень часто изменения являются вредоносными.

Contact

ICQ: 404488444
×
×
  • Create New...