Загрузка...

Вернуться   Другой Форум про антивирусы и софт - Norton, Касперский, ESET, Windows > Безопасность системы > Обсуждение антивирусов и файерволов
Войти через профиль в соц. сети
Регистрация Справка Правила Помощь форуму Пользователи Календарь Статистика Все разделы прочитаны
Обсуждение антивирусов и файерволов Обсуждения и сравнения антивирусных программ и файерволов, раздел допускает наличие флуда и свободного общения в рамках приличия

Ответ
Старый 05.05.2016, 09:01   #1041
#Iron hand of Moscow#
 
Аватар для VSpicin

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 7 983

VSpicin на форуме

IT-безопасность-свежие новости.


В OpenSSL закрыты две серьезные уязвимости

В минувший вторник появился новый набор патчей для OpenSSL, устраняющий две очень опасные бреши и четыре – низкой степени опасности. Эти уязвимости актуальны для пользователей OpenSSL 1.0.1 и OpenSSL 1.0.2.

Один из серьезных багов, CVE-2016-2107, открывает возможность для проведения атаки с оракулом (padding oracle attack) с целью расшифровки трафика. Эксплойт возможен при условии, что для соединения применяется шифр AES в CBC-режиме, а сервер поддерживает AES-NI.

«Особенно интересна проблема с AES, – отметил Рич Зальц (Rich Salz), один из разработчиков проекта и штатный инженер в Akamai. – Если удастся занять позицию [«человек посередине»], тогда можно внедрять пакеты, отслеживать коды ошибки и в итоге расшифровать трафик. Такая задача под силу атакующим национального масштаба, у которых есть возможность обеспечить принудительную маршрутизацию DNS или BGP, либо мелким хакерам, знающим, как взломать Wi-Fi в Starbucks».

В информационном бюллетене OpenSSL сказано, что данный патч является частью противоядия против атаки Lucky 13, обнаруженной в 2013 году. Это разновидность атаки по обходному каналу на TLS, точнее, на часть протокола, связанную с аутентификацией сообщений.

«Проверка паддинга была переписана с фиксацией времени, с тем, чтобы чтению и сравнению с MAC или байтами заполнителя всегда подвергались одни и те же байты, – пишут участники проекта. – Однако при этом исчезла проверка размера данных, которые должны включать как MAC, так и паддинг-байты». Вторая опасная уязвимость, нарушение целостности памяти, была обнаружена в кодере ASN.1 криптобиблиотеки. Ей подвержены лишь версии, вышедшие раньше апреля 2015 года. Данная брешь была закрыта 18 апреля прошлого года, релиз патча состоялся в июне. «Другой баг [высокой степени опасности] был исправлен год назад, – подтвердил Зальц, – однако это никак не отразилось на уровне безопасности. Если бы вендоры удосужились подхватить наши заплатки, все было бы в порядке». В своем бюллетене команда OpenSSL пояснила, что данная уязвимость сама по себе не представляет особой опасности, но в сочетании с другим, не связанным с ней багом в парсере ASN.1 она может повлечь переполнение буфера.

Пропатчены также две неопасных уязвимости переполнения в функции EVP_EncodeUpdate (). В обоих случаях ввод большого объема данных может при определенных условиях привести к нарушению целостности кучи.

Остальные бреши низкой степени опасности присутствуют в ASN.1 BIO и в функции X509_NAME_oneline() систем EBCDIC. В первом случае эксплойт может повлечь истощение памяти, во втором – возврат в буфер случайных данных из стека.

В заключение пользователям напоминают, что ИБ-поддержка OpenSSL 1.0.1 закончится 31 декабря. Версии 0.9.8 и 1.0.0 были сняты с довольствия в минувшем декабре.

источник
__________________
  Ответить с цитированием
Загрузка...
Re: IT-безопасность-свежие новости.
Старый 10.05.2016, 20:20   #1042
#Iron hand of Moscow#
 
Аватар для VSpicin

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 7 983

VSpicin на форуме
По умолчанию Re: IT-безопасность-свежие новости.

Вымогатель Bucbi вернулся в новом обличье

Криптоблокер Bucbi, дебютировавший два года назад, стал более разборчивым в выборе и использует bruteforce-атаки.

Исследователи из Palo Alto Networks обнаружили новую версию Bucbi на Windows Server; зловред требовал у владельца 5 биткойнов ($2,32 тыс.) за расшифровку. Анализ показал, что операторы обновленного блокера больше не раздают его ковром, как два года назад, а проводят целевые атаки.

«В прошлом этот вымогатель атаковал своих жертв без разбору и раздавался через email-вложения и с вредоносных сайтов, – пояснил журналистам Threatpost исследователь из Palo Alto Райан Олсон (Ryan Olson). – Злоумышленники ныне сменили тактику и применяют bruteforce-атаки».

По словам Олсона, основным объектом интересов обновленного Bucbi являются корпоративные сети, в которых работают доступные из интернета RDP-серверы. Получить доступ к этим Windows-серверам атакующим помогает утилита, называемая RDP Brute, которая способна взламывать пароли перебором по словарю.

В своем отчете исследователи высказали предположение, что, судя по списку учетных данных, которым оперируют злоумышленники, их основными мишенями являются PoS-системы. Этот список включает такие имена пользователя, как FuturePos, KahalaPOS, BPOS. «Вполне вероятно, что эта атака началась с поиска PoS-устройств (злоумышленниками), а затем, после успешной компрометации, когда оказалось, что скомпрометированные устройства не проводят финансовые транзакции, они сменили тактику», – полагают в Palo Alto. Нововведением также является отказ Bucbi от HTTP-связи с командным сервером. Злоумышленники просто устанавливают полный RDP-контроль над атакуемой системой. «Bucbi уникален тем, что он более чем зловред, распространяемый автоматизированными методами, – говорит Олсон. – За последние два года он эволюционировал и превратился в инструмент, который можно использовать для поиска конфиденциальных данных, получения представления о сети и для шифрования файлов». Еще одной уникальной чертой, пока не получившей подтверждения, является политическая мотивация атак с его использованием – по крайней мере, так утверждают его операторы. «Мы нигде не нашли свидетельств верности этого утверждения вымогателей», – констатирует Олсон.

В ходе анализа были обнаружены множественные признаки, по которым можно установить принадлежность новых атак Bucbi; в частности, адрес электронной почты, указанный в сообщении с требованием выкупа, исследователи определили как принадлежащий украинским националистам из «Правого сектора».

В беседе с Threatpost Олсон также отметил, что Bucbi – типичный представитель переживающей расцвет бизнес-модели вымогательства, сделавшей ставку на шифровании информации вместо ее кражи с последующей продажей. «Если бы я был плохим парнем и хотел скомпрометировать лечебное учреждение, я бы мог украсть огромное количество персональных и клинических данных, однако превращение краденого в деньги и статью дохода – дело не из легких, – признал представитель Palo Alto. – Использование вымогательского ПО означает, что все системы, которые можно скомпрометировать, потенциально представляют ценность».

Источник
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 11.05.2016, 14:40   #1043
#Iron hand of Moscow#
 
Аватар для VSpicin

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 7 983

VSpicin на форуме
По умолчанию Re: IT-безопасность-свежие новости.

Microsoft и Adobe экстренно исправляют 0-day уязвимости

Такие совпадения случаются нечасто: две компании в один день сообщили о двух разных 0-day уязвимостях, обе из которых уже активно используются злоумышленниками. Microsoft и Adobe призывают всех срочно обновиться, так как проблемы касаются большинства пользователей.

В ходе планового «вторника обновлений» Microsoft выпустила восемь критических бюллетеней безопасности и еще восемь были отмечены как «важные». Однако самой важной проблемой, которую устраняет новый набор патчей, стала уязвимость CVE-2016-0189, связанная с нарушением целостности памяти. Данная брешь фигурирует сразу в двух бюллетенях: MS16-053 и MS16-051. Дело в том, что баг может использоваться как через браузеры Internet Explorer 9, 10 и 11 (а также Interne Explorer 11, работающий в Windows 10), так и через движки JScript (5.8 и 5.7) и VBScript (5.8).

Согласно информации, опубликованной экспертами Symantec, эта 0-day уязвимость уже используется для фактических атак. Неизвестные злоумышленники рассылают узконаправленные фишинговые сообщения, которые содержат ссылки, ведущие на некий домен в корейской зоне .co.kr. На этом вредоносном сайте работает специальный скрипт, чья задача – обнаруживать уязвимости в Internet Explorer, Flash и Windows. Если скрипт обнаруживает брешь, сайт подсовывает браузеру жертвы прошедший обфускацию VBScript-файл. Этот файл исполняется автоматически, эксплуатируя свежую 0-day уязвимость, а затем загружает в директорию Temp вредоносный файл rund11.dll. Что именно вредонос делает дальше, эксперты Symantec пока не разобрались.

О не менее серьезной проблеме сообщила компания Adobe. Компания предупреждает, что во Flash Player обнаружен новый 0-day (CVE-2016-4117), патч для которого будет представлен только завтра: 12 мая 2016 года. Согласно данным специалистов FireEye, обнаруживших этот 0-day, для уязвимости уже существует эксплоит, и злоумышленники во всю эксплуатируют баг.

Компания сообщает, что уязвимость CVE-2016-4117 опасна для всех версий Adobe Flash Player, начиная с 21.0.0.226 и ниже. Под угрозой оказались пользователи практически всех популярных ОС: Windows, OS X, Linux и Chrome OS. Хотя подробностей по понятным причинам пока очень мало, сообщается, что использование бага может привести к некорректному завершению работы Flash Player, что в дальнейшем позволит атакующему установить контроль над уязвимой системой.

Пока исправление для 0-day уязвимости не готово, специалисты Adobe устранили ряд проблем в серверной платформе ColdFusion, а также выпустили патчи для 92 разных уязвимостей в Adobe Acrobat и Reader.

Подробности
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 12.05.2016, 11:40   #1044
#Iron hand of Moscow#
 
Аватар для VSpicin

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 7 983

VSpicin на форуме
По умолчанию Re: IT-безопасность-свежие новости.

Учреждения массово используют устаревшее и уязвимое ПО

Всем известно, что устаревшие версии программ, браузеров и плагинов небезопасны, но насколько?

Этим вопросом задались специалисты Duo Labs; они тщательно проанализировали опасности, которые несет устаревший софт, и подготовили отчет. По его данным, 25% всех корпоративных ИТ-систем подвержены 700 известным уязвимостям. По мнению специалистов Duo, более всего для бизнеса опасно семейство браузеров Internet Explorer.

В ходе подготовки отчета компания Duo Labs проанализировала 2 млн устройств, используемых в инфраструктурах компаний различного размера — от предприятий малого и среднего бизнеса до корпораций, входящих в список Fortune 500. Проблема своевременного обновления программ актуальна как никогда, считает Майк Хенли (Mike Hanley), директор Duo Labs. Он обращает внимание на изменения в области киберугроз и растущую популярность облачных приложений.

Браузеры Microsoft чаще всего содержат баги

В тексте отчета эксперты Duo Labs не церемонились: они подвергли браузер Internet Explorer жесткой критике и предложили корпоративным пользователям перейти на Google Chrome. 25% всех устройств под Windows используют устаревшие или уже не поддерживаемые Microsoft версии Internet Explorer.

В то же время аналитики были весьма довольны безопасностью Chrome, главным образом из-за функции автоматического обновления. 82% пользователей Chrome используют самую актуальную версию браузера; для сравнения: этот показатель составляет 58% для Edge, 11% для IE, 66% для Firefox и 49% для Safari.

Проблема состоит не столько в вялой миграции на более безопасную ОС Windows 10, сколько в переходе пользователей старых версий ОС на более новые версии Internet Explorer. В то время как 68% всех устройств под Windows используют последнюю версию IE 11 или Edge 12/13, 25% полагаются на IE 10 или даже более ранние версии. «Если ваше предприятие использует в качестве браузера выпущенный 10 лет назад Internet Explorer 8, зреет закономерный вопрос: почему?» — иронизирует Хенли.

Flash и Java


В большинстве случаев в учреждениях используются устаревшие версии плагинов Java и Flash. В качестве меры предосторожности многие компании принудительно отключают поддержку этих плагинов в браузерах.

Что касается Java- и Flash-плагинов, данные Duo Labs весьма расплывчаты. В целом специалисты считают оба плагина крайне проблематичными и советуют избавиться от них с целью сокращения количества возможных векторов атак на ИТ-системы корпораций.

60% пользователей Flash используют устаревшую версию плагина, то же самое можно сказать о 72% пользователей Java; это, в свою очередь, делает корпоративные системы потенциально подверженными атакам через сотни уязвимостей. Flash и Java являются излюбленными целями для хакеров, которые используют для атак разнообразные эксплойт-паки.

Mac и PC

Результаты исследования подтверждают расхожую точку зрения насчет того, какая платформа — Apple или Windows — более безопасна. Ожидаемо 53% пользователей Mac OS полагаются на самую актуальную версию OS X (или предыдущую версию); для юзеров Windows этот показатель составляет 35% (Windows 10 или 8.1). Однако не стоит считать Mac OS оплотом безопасности: 8% приверженцев Apple используют более не поддерживаемые разработчиком версии OS X (10.8 и ниже). Среди пользователей Windows таковых только 2% (Windows 8 и XP).

Обновлять или не обновлять — вот в чем вопрос

Многие учреждения опасаются обновлять ПО, так как этот процесс может нарушить работу критически важного приложения. «Это логичный вопрос, — констатирует Хенли. — Если обновления содержат баги, нарушающие работу ПО, мы, как разработчики, демотивируем пользователей применять последние патчи. Нам нужно помнить об этом».

Компаниям следует осознать, каким рискам они подвержены из-за несвоевременного обновления ПО: «Для многих организаций финансовые или репутационные потери могут выйти гораздо дороже, чем стоимость обновления приложений».

Источник
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 17.05.2016, 08:14   #1045
#Iron hand of Moscow#
 
Аватар для VSpicin

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 7 983

VSpicin на форуме
По умолчанию Re: IT-безопасность-свежие новости.

Крупный ботнет подменяет результаты поиска Google и Bing

Компания Bitdefender сообщает о крупном ботнете под названием Million-Machine. Название не врёт: образующих его машин действительно почти миллион. Ботнет перехватывает обращения к поисковикам и зарабатывает на рекламе.

Вредоносная программа, лежащая в основе этого ботнета, называется Redirector.Paco. Для её распространения злоумышленники используют заражённые версии таких популярных приложений, как WinRAR, YouTube Downloader, Connectify, KMSPico и Stardock Start8.

Попав на компьютер жертвы, она добавляет себя в список автозапуска в реестре под видом программ Adobe Flash Scheduler и Adobe Flash Update. Попутно Redirector.Paco меняет адрес прокси в настройках Internet Explorer. После этого все обращения к интернету проходят через локальный прокси на порте 9090.

Локальный прокси нужен трояну для того, чтобы перехватывать запросы, отправляемые жертвой на поисковые системы. Когда Redirector.Paco замечает, что пользователь направился на Google, Yahoo или Bing, он подменяет настоящую страницу поисковика очень похожей, но поддельной.

Поддельные результаты поиска, которые выдаёт программа, взяты из системы пользовательского поиска Google — сервиса, который позволяет пользователям создавать специализированные поисковики. Создатели таких поисковиков могут менять их оформление и настройки. Кроме того, Google делится с ними доходом, которую приносит показанная на этих страницах реклама.

Именно в рекламных доходах и заключается смысл всей затеи. Эта вредоносная программа помогает злоумышленникам зарабатывать деньги на каждом рекламном объявлении Google, по которому кликают его жертвы.

По данным Bitdefender, Redirector.Paco действует с 2014 года и уже поразил более 900 тысяч компьютеров по всему миру. Большинство пострадавших располагается в Индии. Кроме того, немало жертв трояна в Малайзии, Греции, США, Италии, Пакистане, Бразилии и Алжире.

Источник
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 21.05.2016, 08:49   #1046
#Iron hand of Moscow#
 
Аватар для VSpicin

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 7 983

VSpicin на форуме
По умолчанию Re: IT-безопасность-свежие новости.

Троян «Прикормка» шпионит за ДНР, ЛНР и «Правым сектором»

Специалисты компании ESET обнаружили вредоносную программу, предназначенную для слежки за участниками боевых действий на востоке Украины, а также за некоторыми украинскими общественными деятелями, чиновниками и журналистами. Троян получил название «Прикормка».

Все признаки указывают на то, что распространители «Прикормки» действуют по меньшей мере с 2008 года. Троян оставался незамеченным по единственной причине: его используют очень избирательно. Несмотря на почтенный возраст, он поразил всего несколько сотен машин. В 2015 году ESET обнаружил «Прикормку» на 178 компьютерах. В этом году компания заметила ещё 44 экземпляра вредоносной программы.

Троян состоит из нескольких модулей. Они дают злоумышленникам доступ к файлам жертвы, позволяют записывать нажатия на клавиши, красть пароли, делать скриншоты, перехватывать переговоры по Skype, включать микрофон и многое другое.

Читать далее--->>>
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 21.05.2016, 08:51   #1047
#Iron hand of Moscow#
 
Аватар для VSpicin

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 7 983

VSpicin на форуме
По умолчанию Re: IT-безопасность-свежие новости.

Исследователь обнаружил, что Instagram уязвим перед обычным брутфорсом

Бельгиец Арне Свиннен (Arne Swinnen) обнаружил сразу две опасные уязвимости в Instagram. Обе проблемы позволяли осуществить брутфорс-атаку на подбор пароля. Один баг был найден в приложении Instagram для Android, а второй скрывался на странице регистрации instagram.com.

Первую уязвимость исследователь обнаружил еще в декабре 2015 года. Свиннен выяснил, что официальное Android-приложение Instagram допускает 1000 попыток аутентификации с одного IP-адреса и лишь после этого отображает сообщение «введенное имя пользователя не относится к данному аккаунту». Однако после двухтысячной попытки этот ответ исчезает, и система возвращает начинает чередовать один reliable response (верен пароль или неверен) и один unreliable response (неправильное имя пользователя).

Свиннен пишет, что атакующему достаточно создать простой скрипт, который будет обращаться к приложению вплоть до получения reliable response. Сам исследователь такой proof-of-concept написал и протестировал с его помощью перебор 10 000 паролей для тестового аккаунта. Более того, атакующий может войти в скомпрометированный в ходе такой атаки акканут с того же самого IP-адреса, который только что использовался для брутфорса. То есть никаких дополнительных мер защиты у Instagram попросту нет.

Читать далее--->>>
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 21.05.2016, 08:55   #1048
#Iron hand of Moscow#
 
Аватар для VSpicin

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 7 983

VSpicin на форуме
По умолчанию Re: IT-безопасность-свежие новости.

Сайты на WordPress чаще всего подвергаются компрометации

Исседователи из компании Sucuri опубликовали отчет о подверженности различных CMS-платформ атакам. Команда специалистов по устранению угроз помогает восстановить работу более 500 зараженных сайтов каждый день. Собрав необходимые данные в течение первого квартала 2016 года, эксперты проанализировали сведения о более чем 11 тыс зараженных сайтов и узнали, какие из них чаще всего страдают от атак и взломов.

В сети существует более миллиарда сайтов, треть которых работает на базе самых популярных CMS-платформ: WordPress (78%), Joomla (14%), Drupal (2%) и Magento (5%).

Как выяснилось в ходе подготовки отчета, 56% веб-сайтов на популярной платформе WordPress использовали не самую свежую версию ПО. Но если этот показатель и поражает, у других платформ дела обстоят еще хуже – 85%, 97% и 81% сайтов на Joomla, Magento и Drupal, соответственно, также невовремя обновляют ПО. WordPress демонстрирует стабильный рост количества заражений: в 2015 году было известно о 83% зараженных сайтов, а по результатам только первого квартала 2016 года – уже о 77% . Хотя в абсолютных значениях Magento отстает от WordPress по количеству инфекций, популярность этой платформы, используемой для создания онлайн-магазинов, растет по мере развития рынка электронной коммерции. Эксперты Sucuri предупреждают, что рост количества заражений сайтов на Magento между 2015 годом и первым кварталом 2016 года достиг целых 200%. Объектом внимания киберпреступников, атакующих сайты на Magento, предсказуемо становятся данные кредитных карт.

Основной точкой входа для вредоносного ПО для всех платформ являются уязвимости в плагинах, расширениях и дополнительных компонентах. Например, для WordPress наиболее слабым звеном оказались три плагина: RevSlider, GravityForms и TimThumb, на которые пришлась четверть всех заражений. Все три плагина не получали обновлений более года. Самый свежий патч для TimThumb датируется 2011 годом.

Тремя самыми частыми угрозами для проанализированных сайтов в первом квартале стали бэкдоры (68% сайтов), заражение другими видами вредоносного ПО (60%) и запросный спам (32%).

Авторов отчета, как и ожидалось, беспокоят несвоевременные обновления CMS и плагинов. Но кроме этого, благодаря широкому распространению открытых CMS вроде WordPress создание и администрирование сайта становятся посильной задачей для каждого. Недостаток знаний приводит к недостатку внимания к средствам обеспечения безопасности и обновлениям, что, в свою очередь, играет на руку хакерам.

Источник
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 23.05.2016, 10:37   #1049
#Iron hand of Moscow#
 
Аватар для VSpicin

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 7 983

VSpicin на форуме
По умолчанию Re: IT-безопасность-свежие новости.

«Служба техподдержки» блокирует доступ к компьютеру

Мошенники, занимающиеся ковровым обзвоном от имени службы техподдержки Microsoft, уже давно докучают американцам. К сожалению, ложное известие о проблемах с компьютером до сих пор способно настолько расстроить представителей старшего поколения, что они, не задумываясь, могут предоставить незнакомцу удаленный доступ к своей машине, а также все запрошенные данные, вплоть до реквизитов банковского счета.

Тем не менее, образовательно-просветительские мероприятия и многократные официальные предупреждения сделали свое дело, и этот подпольный бизнес стремительно теряет рентабельность. Обманщикам приходится пускаться на дополнительные ухищрения, чтобы вызвать искомую реакцию у пользователя и сохранить доход. Так, например, они размещают на своем сайте JavaScript, при отработке которого на странице отображается всплывающее окно, замаскированное под «синий экран смерти» (BSoD). При этом посетителю услужливо предлагается позвонить по указанному номеру «службы техподдержки Microsoft», который в итоге оказывается платным.

Недавно исследователи из Malwarebytes обнаружили еще один, более убедительный мошеннический прием, использование которого, по их мнению, может перерасти в тенденцию. Как сообщает ZDNet.com, злоумышленники в подтверждение «проблем» начали блокировать рабочий стол. «Внесем ясность: это не поддельный поп-ап в браузере, от которого легко избавиться, закрыв приложение или перезагрузив ПК, – поясняют эксперты. – Отнюдь нет, это проделки вредоносного ПО, стартующего автоматически, и привычная комбинация Alt+F4 или трюки с участием клавиши Windows здесь не помогут».

Анализ сэмпла, предоставленного Malwarebytes ИБ-исследователем, известным в Twitter как @TheWack0lian, показал, что данный зловред устанавливается на Windows без особых проблем и активируется лишь после перезагрузки системы. После запуска он блокирует рабочий стол, выводя поверх него поддельный экран установки обновлений Windows. По свидетельству экспертов, эта фальшивка очень похожа на оригинал, и рядовой пользователь вряд ли заметит подмену. Спустя некоторое время зловред демонстрирует другой экран, сообщающий жертве, что срок лицензии на использование данной копии ОС якобы истек, посему для продолжения установки обновлений ей нужно ввести действующий лицензионный ключ. Ниже поля для ввода приведен некий телефон службы техподдержки. Для пущего правдоподобия в этом сообщении также указаны забракованный ключ установки и имя компьютера, которые зловред с успехом отыскивает в зараженной системе. Исследователи позвонили по указанному мошенниками телефону и после долгих переговоров выяснили, что собеседник может устранить проблему, подключившись к компьютеру через TeamViewer (его инсталлятор оказался встроенным в код блокировщика), но это будет стоить 250 долларов.

Тот же @TheWack0lian нашел способ деактивации зловреда: удержанием Ctrl+Shift и нажатием клавиши S. Исследователи также обнаружили три варианта «ключа продукта», вшитые в код: h7c9-7c67-jb, g6r-qrp6-h2, yt-mq-6w. Malwarebytes предлагает эту альтернативу с оговоркой: найденные ключи могут не подойти для других вариаций блокировщика.

Как оказалось, злоумышленники уже активно рекламируют зловредов, заточенных под схему «техподдержки», на Facebook и распространяют их через партнерские PPI-программы (pay per install, с оплатой за каждую установку). Эти блокеры могут быть замаскированы под легитимную программу Windows – например, оптимизатор ПК, или под обновление для Flash Player.

«Безусловно, это тревожный тренд, так как избавиться от этих Windows-блокеров не столь просто, как от поддельных (но в большинстве своем безобидных) предупреждений в браузере, а если зловреда не удалишь, пользоваться компьютером невозможно», – предупреждают исследователи.

Источник
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 25.05.2016, 10:34   #1050
#Iron hand of Moscow#
 
Аватар для VSpicin

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 7 983

VSpicin на форуме
По умолчанию Re: IT-безопасность-свежие новости.

Авторы EITest сменили Angler на Neutrino

Вредоносная кампания EITest, запущенная полтора года назад, не теряет актуальности, лишь время от времени меняет средства распространения зловредов. Проанализировав майские атаки, исследователи из ISC SANS обнаружили, что EITest вновь эволюционировала.

Согласно Брэду Дункану, новый всплеск вызван миграцией с эксплойт-пака Angler на его конкурента Neutrino. «Наблюдая EITest-кампанию, я фиксировал лишь использование Angler для распространения различных вредоносных нагрузок, – пишет исследователь в блоге ISC. – В начале текущего месяца картина изменилась: я обнаружил, что шлюз EITest ведет к Neutrino, а не к Angler».

Кампания EITest была впервые идентифицирована в июле 2014 года экспертами Malwarebytes. Она опирается на тысячи взломанных сайтов со скрипт-редиректором на базе Flash и нацелена на засев разных зловредов, в частности, ворующего информацию троянца Gootkit. Редиректор в данном случае представляет собой фрагмент кода для Flash-приложения, внедряемый в конец стартовой страницы. Инъекция производится на лету и лишь единожды для каждого визитера (определяемого по IP-адресу).

Примечательно, что значение переменной name – EITest – одинаково для всех сайтов, задействованных в данной кампании. Во избежание попадания в черные списки URL источника для Flash-приложения постоянно меняется; множество ссылок, зафиксированных Malwarebytes, были привязаны к поддоменам в зоне .us.to (сервис сокращения ссылок, пользующийся бесплатными DNS-услугами).

Шлюзы Neutrino, по свидетельству Дункана, в настоящее время размещены в блоке 85.93.0.0/24. «В качестве TLD эти шлюзовые домены чаще всего используют .tk, однако на этой неделе мы также зарегистрировали .co.uk», – пишет исследователь.

Что касается полезной нагрузки, то Дункан в обоих случаях, которые он описывает, использовал Adobe Flash Player 20.0.0.306, подверженный уязвимости CVE-2016-1019. Ее эксплойт может вызвать отказ приложения и позволяет исполнить произвольный код.

Ход EITest-кампании также мониторят в Palo Alto Networks. В марте исследователи заметили, что шлюз изредка меняет IP-адрес, а TLD-зоны при этом остаются неизменными – .tk, .uk и .com. «URL шлюза EITest по-прежнему возвращает Flash-файл, перенаправляющий трафик на эксплойт-пак Angler, – рассказали эксперты в мартовской блог-записи. – Этот шлюзовый URL всегда генерирует два HTTP-запроса GET. По первому запросу отдается Flash-файл, по второму – скрипт, указывающий на лендинг-страницу Angler».

По состоянию на 19 мая индикаторы компрометации, зафиксированные на тестовых системах ISC SANS, включали следующие шлюзовые IP на порту 80: EITest – 85.93.0.33 (true.imwright.co.uk), Neutrino – 104.238.185.187 (ndczaqefc.anein.top), Angler – 185.117.75.219 (kmgb0.yle6to.top). При этом достоверно установлено, что Neutrino загружает Gootkit.

Подробности
__________________
  Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Выкл.
Pingbacks are Выкл.
Refbacks are Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
iSpy (безопасность дома, офиса...) Igoranama Другие программы - free version 111 15.03.2017 13:12
Новости кино DolphinDаrk Кино, Видео и ТВ 265 13.11.2016 08:33
Anvide Flash Lock ( Безопасность / Защита данных ) masteroleg Другие программы - free version 1 17.09.2015 16:23
LockXLS - безопасность Microsoft Excel rekc Офисные программы 2 10.12.2013 12:32
Правила раздела "Безопасность системы" creator Правила раздела 0 18.01.2011 20:49


Часовой пояс GMT +3, время: 18:30.




Загрузка...
Яндекс.Метрика