Рубрика «Malware» - 12

Неистощима фантазия авторов злонамеренных программ. Недавно Google Chrome начал закручивать гайки и ограничивать в правах расширения браузера – с некоторых пор они должны проходить проверку кода специалистами компании. В связи с этим вместо того, чтобы пытаться встроиться в существующий браузер в виде расширения, новый зловред по имени eFast просто подменяет собою весь браузер целиком.
Читать полностью »

Lenovo отличилась снова: bloatware оказалось встроенным в BIOS ноутбуков компании - 1

Компания Lenovo снова оказалась в центре скандала, связанного с модификацией операционной системы на ноутбуках, которые производит и продаёт эта компания. В прошлый раз выяснилось, что их OEM-операционка включала установленную рекламную программу Superfish, отличившуюся навязчивым поведением и полным пренебрежением к безопасности. На этот раз всё гораздо хуже – пользователя не спасёт даже полная переустановка операционной системы с нуля.

После установки чистой системы Windows перед первым её запуском, специальная программа, хранящаяся в BIOS, заменяет системный файл autochk.exe, служащий для проверки целостности файловой системы и исправления ошибок, на свой загрузчик. Он создаёт системные службы, которые скачивают нужные программы с серверов Lenovo. Так эта система работает с Windows 7. В случае Windows 8 всё происходит ещё проще.

Дело в том, что ОС Windows, начиная с восьмёрки, поддерживает т.н. Windows Platform Binary Table (WPBT) – таблицу, формат которой был разработан компанией в виде расширения таблиц ACPI (Advanced Configuration and Power Interface). Система работает так: в BIOS компьютера может храниться бинарный исполняемый файл. Если система при загрузке находит там этот файл, она копирует его на диск и выполняет.

К сожалению, компания Microsoft с высоты своего положения имеет все возможности для того, чтобы продавить производителей железа на поддержку такой системы – чем она и не преминула воспользоваться. А сделано всё это, разумеется, на благо пользователей. Компания Microsoft, не щадя себя, заботится о безопасности пользователей операционных систем Windows. Поэтому, таким образом она решила организовать помощь в розыске украденных компьютеров.
Читать полностью »

Байнет: Оперативно-аналитический центр интересуется шпионским ПО - 1

В Республике Беларусь есть государственная организация, ответственная за цензурирование интернета и блокировку неугодных ресурсов, — Оперативно-аналитический центр (о текущем нормировании интернета в Беларуси можно почитать здесь и здесь). После нашумевшего взлома Hacking Team стало известно, что ОАЦ планировал закупить комплекс шпионского ПО Da Vinci (краткую характеристику можно посмотреть по ссылке).
Читать полностью »

Интерпол предупреждает: вместе с биткоинами к вам могут попасть вирусы - 1

Представитель Интерпола рассказал о возможных угрозах, исходящих от «цепочки блоков» – технологии, использующейся в работе криптовалют. Одна из угроз – возможность встраивать в цепочку вредоносное ПО. Агентство сделало этот доклад, созданный в сотрудничестве со специалистами из лаборатории Касперского, на крупнейшей конференции по информационной безопасности Black Hat, которая в этом году проходила в Сингапуре.

Протокол цепочки блоков служит основой системы работы криптовалют. Это, по сути, всемирная финансовая книга, в которой оседают все транзакции, проводящиеся в системе. Из принципа работы цепочки следует, что эти записи хранятся вечно и доступны всем желающим. При этом, создателями протокола предусмотрели возможность встраивания любой информации в транзакцию. А это, по мнению специалистов из Интерпола, означает, что туда можно встроить и что-нибудь зловредное.
Читать полностью »

Привет!

Безусловно, ты знаешь о криптовалютах очень много, но сегодня мы принесли тебе кое-что новенькое: исследование вредоноса, созданного для кражи кошельков 80 криптовалют, включая биткойн вместе со всеми реквизитами доступа к ним.

Обнаружили мы его в ходе программы непрерывного мониторинга безопасности сети Интернет и тут же разобрали на запчасти несколько семплов вредоноса. Таких комбайнов по автоматизированному уводу криптокошельков у владельцев пока мало, но будет больше, мы уверены.

Ниже мы расскажем о том, как вредонос работает, и как не оказаться в группе риска. И конечно ещё раз просуммируем информацию о самих криптомонетах и их родственниках.

Кстати, финансовые регуляторы считают биткойн и всех его друзей валютными суррогатами, и мы ни в коем случае не пропагандируем их использование, а наоборот, призываем пользоваться фиатными деньгами как надёжным и стабильным платёжным инструментом. (Тут мог бы быть смайл)
Читать полностью »

В марте 2014 г. французское издание Le Monde опубликовало исследование, согласно которому спецслужбы Франция подозреваются в разработке и использовании изощренного вредоносного ПО для целей кибершпионажа. Изначально эта история была основана на документах беглого сотрудника АНБ Эдварда Сноудена, которыми он поделился с журналистами немецкого издания Der Spiegel в январе 2015 г.

Casper – новое вредоносное ПО для кибершпионажа - 1

Первоначальное исследование этого вредоносного ПО было выполнено организацией Communications Security Establishment Canada (CSEC), в котором эта вредоносная программа была названа Babar. После этого, несколько исследователей вредоносных программ также работали над ее анализом. Одним из них была Marion Marschalek (Cyphort), которая опубликовала два отчета, посвященных анализу этой вредоносной программы [1] [2].

Читать полностью »

Вступление

Я не буду разводить параноидальные сказки о том, что NSA и ФСБ за всеми следит. Просто примем за базовый тезис, что tor и i2p — «наше всё». К сожалению, в контексте TORа часто можно слышать только про silkroad и детскую порнографию. Мол, рассадник, раскачивающий и покушающийся.

Я управляю несколькими tor-exit node'ами и i2p маршрутизаторами. Самому старому из них уже почти год, самому молодому — примерно 4 месяца. За это время я не получил ни одного abuse report'а (я сам работаю в хостинговом бизнесе, так что хорошо представляю себе процесс реакции на «абузу» — она в первую очередь пересылается клиенту). Чтобы избежать вопросов, мой работодатель к ним не имеет никакого отношения: все эти ноды — исключительно за мой счёт, в свободное от работы время.

Не смотря на отсутствие abuse'ов, вопрос оставался: для чего люди используют TOR?

Контроль над exit node'ой позволяет посмотреть на проходящий трафик. Понятно, что мы исключаем весь шифрованный трафик (TLS, SSH), а так же весь трафик на .onion узлы. Однако, среди остального мы можем посмотреть на примерное распределение ресурсов по популярности.

Забегая вперёд, слегка упрощённый ответ на вопрос статьи:

Для чего используют TOR? - 1
(более подробная табличка — в конце статьи)

Методология измерения

Читать полностью »

Наши аналитики обнаружили интересный пример вредоносной программы, которая специализируется на заполнении форм веб-страницы, принадлежащей веб-сайту консульства Польши в Белоруссии. Веб-сайт содержит специальный раздел по заполнению данных для получении визы, точнее, по заполнению данных для приглашения на встречу или собеседование в консульство. Злоумышленникам пришло в голову написать вредоносную программу на C#, которая выполняла бы этот процесс заполнения данных в автоматическом режиме.

Анализ MSIL-Agent.PYO - 1

Читать полностью »

Предыдущая часть здесь.
image
Читать полностью »

Киберпреступная группа Sednit, которая также известна как Sofacy, APT28 или «Fancy Bear» специализируется в проведении атак на различные организации в течение многих лет. Недавно мы обнаружили, что эта группа начала специализироваться на атаках защищенных, изолированных от Интернет сетей типа air-gapped. Для этого используется специальная вредоносная программа, с помощью которой осуществляется похищение конфиденциальных данных компьютеров в скомпрометированной сети.

Хакерская группа Sednit специализируется на атаках изолированных air-gapped сетей - 1

Ранее мы писали про преступную активность этой группы, которая использовала собственный набор эксплойтов для компрометации легитимных веб-сайтов и последующего заражения пользователей вредоносными программами. Об активности этой группы также сообщали FireEye в своем отчете, посвященном группе APT28, а также Trend Micro в отчете Operation Pawn Storm. В этом материале мы остановимся на новой области атак этой группы, которая использует вредоносную программу Win32/USBStealer для похищения конфиденциальных данных компьютеров сетей, изолированных от Интернет.

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js