Рубрика «Блог компании ESET NOD32» - 30

Вредоносное ПО, которое шифрует файлы пользователей, а затем просит деньги за расшифровку, не является новым. Такие семейства получили общее название Filecoder и являются распространенным типом угроз — их называют вымогателями (ransomware). За последние несколько месяцев мы отметили значительный рост активности шифровальщиков FileCoder. Антивирусные продукты ESET обнаруживают эти угрозы как Win32/Filecoder и Win32/Gpcode.

Наша система телеметрии ESET Live Grid показывает, что еженедельное количество обнаружений объектов Win32/Filecoder выросло более чем на 200% с июля 2013 г. — в сравнение со средним показателем за январь-июнь того же года.

Семейства вымогателей FileCoder активизировались

Больше всего пострадала от деятельности этого вредоносного ПО Россия. В других странах активность присутствует в меньшей степени.

Читать полностью »

На этой неделе мы писали про обнаруженную 0day уязвимость в браузере Internet Explorer, которая использовалась в таргетированной атаке. Позднее специалисты компании FireEye опубликовали детали расследования этой атаки, где указывается, что цели атакующих находились в Японии, а сами атакующие располагали той же инфраструктурой, которая использовалась при компрометацииЧитать полностью »

Microsoft сообщает об обнаруженной таргетированной атаке на пользователей браузера Internet Explorer 8 & 9, в которой используется 0day уязвимость (CVE-2013-3893 MSHTML Shim), присутствующая во всех версиях браузера IE (6-10) для всех версий ОС XP(SP3)-Vista-Seven-8-RT x32/x64. Как и в случае со многими другими уязвимостями в IE, она имеет тип Remote Code Execution и используется злоумышленниками для скрытной установки вредоносного кода. Эксплуатирование относится к типу memory-corruption и связано с неправильным обращением кода браузера к удаленному блоку памяти (use-after-free). При этом исполняемый код получит те же права в системе, что и текущий пользователь.

Microsoft is investigating public reports of a vulnerability in all supported versions of Internet Explorer. Microsoft is aware of targeted attacks that attempt to exploit this vulnerability in Internet Explorer 8 and Internet Explorer 9. Applying the Microsoft Fix it solution, «CVE-2013-3893 MSHTML Shim Workaround,» prevents the exploitation of this issue. See the Suggested Actions section of this advisory for more information.

The vulnerability is a remote code execution vulnerability. The vulnerability exists in the way that Internet Explorer accesses an object in memory that has been deleted or has not been properly allocated. The vulnerability may corrupt memory in a way that could allow an attacker to execute arbitrary code in the context of the current user within Internet Explorer. An attacker could host a specially crafted website that is designed to exploit this vulnerability through Internet Explorer and then convince a user to view the website.

Новая cross  Internet Explorer уязвимость эксплуатируется in the wild

Читать полностью »

Мы уже писали про Hesperbot, эта угроза представляет из себя новое банковское вредоносное ПО и имеет модульную архитектуру. Злоумышленники использовали его для проведения атак на пользователей различных стран, включая Турцию, Чехию, Португалию и Великобританию. Основной целью атак было похищение конфиденциальных данных онлайн-банкинга пользователей и установка мобильного компонента вредоносного кода на устройства под управлением Symbian, Android, Blackberry. Киберпреступники использовали убедительную схему фишинга для заманивания пользователей на вредоносные ссылки, что делало их подход еще более практичным.

Банковский троян Hesperbot – детальный анализ

Компрометация пользователя происходит при переходе по вредоносной ссылке. Ниже показана схема, используемая злоумышленниками.

Банковский троян Hesperbot – детальный анализ
Рис. Схема компрометации пользователя.

Читать полностью »

Microsoft анонсировали выпуск серии обновлений, нацеленных на устранение уязвимостей в своих продуктах. Заявленные ранее в пре-релизе (5 сентября) секьюрити-фиксы покрывают более 50 уникальных уязвимостей (4 исправления со статусом Critical и 10 со статусом Important). Детальный отчет (включая сопоставления исправлений с CVE ID) Вы можете найти здесь. Одно из обновлений MS13-069 нацелено на исправление десяти Critical уязвимостей в браузере Internet Explorer (начиная с 6-й версии и заканчивая новейшим IE 10 для всех ОС Windows XP — 8 — RT, x32 и x64, серверных версий ОС как Moderate). Уязвимости относятся к типу Remote Code Execution (memory-corruption) и могут использоваться для скрытной установки вредоносного кода (drive-by). Для применения исправления нужна перезагрузка.

Microsoft и Adobe выпустили обновления для своих продуктов, сентябрь 2013

В сентябре стали известны подробности эксплуатирования RCE уязвимости в win32k.sys, которая была закрыта MS13-053 и может использоваться для обхода ограничений режима sandbox в браузере Google Chrome (Google Chrome full sandbox bypass w/ win32k, WebKit/Blink flaws via CVE-2013-0912, CVE-2013-1300). Успешная демонстрация работы связки эксплойтов для проведения drive-by атаки в последней [на тот момент] версии Chrome была продемонстрирована на Pwn2Own 2013, о чем мы уже писали ранее. В прошлом месяце Microsoft закрыли уязвимости в последней версии Internet Explorer и механизме ASLR, которые использовались для успешного проведения drive-by атаки в рамках Pwn2Own 2013.

Читать полностью »

В середине августа мы обнаружили кампанию по распространению вредоносного ПО, которая была нацелена на Чехию. Она привлекла наше внимание, поскольку файлы вредоносной программы распространялись через URL-адреса, очень напоминающие адреса почтового департамента Чехии. Дальнейший анализ файлов показал, что мы имеем дело с банковским вредоносным ПО, которое аналогично по своим возможностям Zeus и SpyEye, но отличается от уже известных семейств технической реализацией своих возможностей.

Hesperbot – новый банковский троян обнаружен in the wild

Новая троянская программа получила название Win32/Spy.Hesperbot и представляет из себя мощный инструмент для кражи данных онлайн-банкинга. Hesperbot имеет следующие возможности:

  • перехват сетевого трафика и HTML-инъекции;
  • кейлоггер;
  • создание скриншотов рабочего стола;
  • захват видео;
  • создание удаленного прокси-соединения;
  • создание скрытого VNC-сервера.

Читать полностью »

Несколько месяцев назад мы писали о PowerLoader. Этот вредоносный код использует интересный метод повышения привилегий в контексте explorer.exe. Исходные тексты PowerLoader, которые оказались доступными для общественности, используются и в других семействах вредоносных программ. Например, дропперы буткита Win32/Gapz основаны на этом коде PowerLoader. В августе мы обнаружили новую модификацию PowerLoader для 64-битных ОС (обнаруживается ESET как Win64/Vabushky.A). Эта модификация использует три эксплойта для поднятия своих привилегий в системе (Local Privelege Escalation): MS13-053 (CVE-2013-3660), MS12-041 (CVE-2012-1864), и MS12-042 (CVE-2012-0217). Использование таких эксплойтов ранее не наблюдалось в семплах PowerLoader или родственных ему семействах. Александр Матросов выполнил анализ этого вредоносного ПО.

Вредоносный код Win64/Vabushky является хорошим примером того, как быстро злоумышленники обновляют свои проекты с использованием исходных текстов Carberp. Два 64-битных эксплойта (CVE-2012-1864 и CVE-2012-0217) из нового PowerLoader основаны на исходных текстах Carberp. Стоит так же отметить, что код PowerLoader, который стал доступен для общественности в апреле 2013, спровоцировал новую волну распространения дропперов, основанных на нем.

Читать полностью »

Несколько дней назад la Repubblica опубликовала информацию итальянских security-ресерчеров о спам-кампании в Facebook, которая развивалась очень стремительными темпами. За 70 часов более 500 тысяч пользователей было скомпрометировано переходами по вредоносным ссылкам, которые распространялись через встроенный в Facebook сервис сообщений. Злоумышленники использовали такой род фишинга, при котором пользователю отправлялось сообщение о том, что он был помечен (tagged) в записи другого пользователя. Ссылка ведет на сторонний сайт, веб-страница которого содержит видео. При попытке просмотра видео пользователю предлагается установить специальное расширение для браузера, которое злоумышленники маскируют под словом «плагин».

Атаки в Facebook ежегодно приносят злоумышленникам $200 млн прибыли

Расширение получает доступ к браузеру пользователя и может контролировать все его действия в нем. Подобный код называют вредоносным, так как под компрометацию попадают конфиденциальные данные пользователя, которые браузер уже содержит и все данные, которые пользователь будет вводить в формы веб-страницы при работе с системами онлайн-банкинга или иными сервисами. Расширения являются эффективным легитимным средством и могут служить заменой уже довольно обкатанной у злоумышленников системе поддельных форм и внедрения вспомогательного кода в процесс браузера. Это, в свою очередь, еще больше затрудняет выявление действий вредоносного кода «невооруженным глазом».

Читать полностью »

В прошлом месяце мы писали о кампании по распространению вредоносного ПО «Home Campaign». Злоумышленники на протяжении длительного времени компрометировали веб-серверы, работающие под управлением Apache Linux, используя при этом вредоносный модуль Apache известный как Darkeech (обнаруживается ESET как Linux/Chapro). Этот код использовался для перенаправления пользователей веб-сайтов на набор эксплойтов Blackhole Exploit Kit. В процессе анализа атаки выяснилось, что ее полезной нагрузкой было семейство вымогателей (ransomware) Win32/Nymaim. Данный анализ посвящен техническим особенностям этой вредоносной программы и способам ее установки на компьютеры пользователей.

Вымогатель Win32/Nymaim – хроники обфускации

Читать полностью »

Компания опубликовала новые версии обновлений MS13-061 (v. 3) и MS13-057 (v. 3). Мы уже писали, что MS13-061 (cross- Exchange Server 2007-2010-2013 RCE fix) был отозван после августовского Patch Tuesday из-за сбоев в работе Exchange Server 2013 и проблем с остановкой индексации писем на сервере. Данная версия обновления исправляет ошибки, допущенные в предыдущем релизе. Пользователям, у которых уже установлено MS13-061, будет предложено обновить его последней версией исправления.

Microsoft перевыпускает MS13 057 и MS13 061

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js