Рубрика «Malware» - 13

в 8:25, , рубрики: Malware, информационная безопасность, Социальные сети и сообщества, ФБР, фишинг

ФБР использовало фишинг и malware для раскрытия личности преступника

На днях на сайте Electronic Frontier Foundation были выложены документы по делу ФБР, где агентство использовало незаконные методы для раскрытия личности преступника.

Может быть, у агентства не было выбора, но дела это не меняет — сотрудники использовали зловредное ПО и фишинг, как основные инструменты работы. Само дело заключалось в необходимости поймать человека, который распространял со своей страницы на MySpace (это был май 2007 года) угрозы заминировать учебное заведение — Timberline High School.

Читать полностью »

в 11:56, , рубрики: dircrypt, Malware, дизассемблер, информационная безопасность, криптография, реверс-инжиниринг

Как мы (почти) победили DirCrypt

Перевод статьи от компании Check Point’s Malware Research Team.

DirCrypt — один из самых злостных видов вымогающей деньги малвари. Она не просто зашифровывает все найденные пользовательские файлы, требуя выкуп за их расшифровку, но и остается в системе, подхватывая и зашифровывая сохраняемые пользователем файлы на лету. После ее появления рабоат на компьютере превращается в мучение.

Жертвам подобных вредоносных программ обычно рекомендуют восстановить файлы из раннего бэкапа. Но если такого бэкапа нет, перед нами остается трудный выбор — смириться с потерей данных или заплатить злоумышленнику. Однако, нам (Check Point’s Malware Research Team) удалось найти способ в случае DirCrypt восстановить почти все данные, воспользовавшись его слабыми сторонами в реализации шифрования.

Читать полностью »

в 12:01, , рубрики: banking trojan, Malware, Блог компании ESET NOD32, Вирусы (и антивирусы)

Троянская программа Win32/Aibatook известна с конца прошлого года и специализируется на краже персональных данных пользователя, а также данных онлайн-банкинга. Код первых версий Aibatook был написан на Delphi, затем авторы переключились на C++. Наши аналитики осуществили анализ одной из версий этого трояна, которая появилась в апреле 2014 г. Эта версия имеет следующие особенности:

  • Распространение вредоносной программы осуществляется через специальную цепочку эксплуатации (набор вредоносных скриптов), начало которой размещено на скомпрометированном веб-сайте.
  • Aibatook нацелен только на браузер Internet Explorer и использует необычный способ для кражи персональной информации пользователя.
  • Два различных подхода в реализации логики кражи персональной информации. Первый из них специально создан против двух крупных японских банков, а второй является более гибким и в настоящее время используется против около 90 различных интернет-сервисов.

Анализ банковского трояна Win32 Aibatook

Читать полностью »

в 17:43, , рубрики: DNS, DynDNS, Malware, microsoft, noip, security, информационная безопасность, метки: , , , ,

Как-то прошло мимо Хабра, но на днях Microsoft добилась судебной блокировки около 20000 субдоменов NoIP. Однако что-то пошло не так и «по-техническим» причинам, предроложительно, заблокировали миллионы пользователей.
Читать полностью »

в 22:04, , рубрики: Malware, POS, security, Блог компании ESET NOD32, информационная безопасность, метки: , ,

На этой неделе мы писали про нашумевшую историю, связанную с компрометацией крупной американской ритейлерной сети Target. Данные кредитных карт более 50 млн. покупателей и клиентов Target оказались скомпрометированы. Злоумышленники использовали хорошо подготовленную атаку на один из серверов компании и смогли получить доступ во внутреннюю сеть для централизованной установки вредоносного кода на компьютеры, которые обслуживают POS-терминалы. Вредоносный код, который известен как Trojan.POSRAM (iSight) или новая модификация BlackPOS использовался атакующими для получения доступа к данным кредитных карт в момент проведения платежной операции. В СМИ этот вредоносный код упоминался как KAPTOXA, название взято из отчета iSight и информации IntelCrawler. Последняя указала на одного из наших соотечественников как на автора вредоносного ПО.

В США очередная крупная утечка данных кредитных карт

После появления информации о компрометации Target, другая ритейлерная сеть Neiman Marcus также заявила о хищениях данных кредитных карт в середине декабря прошлого года, причем речь идет об оплате именно с использованием POS терминалов, так как клиентов онлайн-магазина это не коснулось. Сегодня же появилась информация, что еще одна крупная сеть магазинов Michaels занимается расследованием инцидента кражи данных карт. Службы безопасности банковских учреждений уже зафиксировали сотни случаев мошеннического доступа к данным кредитных карт, украденных через Michaels.

Читать полностью »

в 11:49, , рубрики: Malware, Блог компании ESET NOD32, Вирусы (и антивирусы), метки:

В этом анализе мы хотим рассказать об интересном семействе вредоносных программ Win32/Boaxxe.BE, которое используется злоумышленниками для направления трафика на рекламные сайты с использованием различных техник кликфрода. Таким образом злоумышленники получают материальную выгоду от рекламодетеля, который платит за клики. Первая часть анализа освещает инфраструктуру партнерской сети, которая используется для распространения этой вредоносной программы, во второй части мы сосредоточимся на технических аспектах вредоносного кода.

Злоумышленники используют Win32/Boaxxe.BE для организации кликфрода

Дистрибуция и получение прибыли

Win32/Boaxxe.BE распространялся с сайта партнерской программы partnerka.me, который начал свою работу в сентябре 2013 г. Владельцы или клиенты партнерки (партнеры) платят злоумышленникам за установки этой вредоносной программы на компьютеры пользователей. На скриншоте ниже представлена панель управления одного из партнеров (т. н. филиал партнерки), который фиксирует статистику, связанную с дистрибуцией вредоносного кода.

Читать полностью »

в 19:41, , рубрики: adware, chromium, Google Chrome, Malware, информационная безопасность, Спам (и антиспам), шапочка из фольги, метки: , , , ,

16 января Amit Agarwal, разработчик расширения Add to Feedly опубликовал заметку в блоге, в которой признал, что его расширение было продано неизвестному за сумму в несколько тысяч долларов («предложение из четырёх цифр»).

Add to Feedly — это расширение, которое добавляло удобную кнопку подписки на RSS канал текущей страницы через сервис Feedly (популярная альтернатива почившему Google Reader). Расширение было сделано Амитом за час и набрало 30 000 пользователей в магазине Chrome. Расширение было продано, деньги получены через PayPal, и Амит передал права на расширение другому аккаунту Google.

Через месяц новые владельцы отправили обновление в магазин Chrome. Никаких новых фич, никаких исправлений багов. Только добавление рекламы на все страницы, которые просматривает пользователь. Все ссылки на каждом сайте превратились в реферальные, по которым выкидывалась реклама. Кроме того, новые хозяева получили возможность отслеживать все переходы пользователей. Проще говоря, автообновление Chrome загрузило вредоносный код напрямую в 30 000 аккаунтов, а синхронизация Chrome Sync распространила это по каждому подключённому компьютеру с установленными Google Chrome, Chromium или Chrome OS.
Читать полностью »

в 8:41, , рубрики: Malware, Блог компании ESET NOD32, метки:

Не так давно в открытом доступе появилось письмо, которое некоторые известные участники AV/Security сообщества направили различным антивирусным компаниям с целью разъяснить свою позицию по обнаружению state-sponsored/government malware (т. н. кибероружие), а также прояснить слухи касаемо возможного сотрудничества таких компаний со спецслужбами разных государств для создания временного коридора по задержке обнаружения соответствующих вредоносных объектов.

Само письмо представлено здесь и просит дать разъяснение от компаний по следующим вопросам.

  • Наблюдали ли вы активность вредоносного ПО, которое явно имеет state-sponsored происхождение без его фактического обнаружения, т. е. добавления в базы?
  • Обращались ли к вам правительственные структуры с запросом на то, чтобы отсрочить (снять) обнаружение с того или иного вредоносного объекта? Если да, то не могли бы вы предоставить информацию о таком разрешенном к использованию ПО и на какой период времени откладывалось обнаружение?
  • Как бы вы ответили на подобный запрос от правительственных структур в будущем?

Читать полностью »

в 7:04, , рубрики: ERP-системы, Malware, sap, Вирусы (и антивирусы), информационная безопасность, метки: ,

image
Несколько недель назад российская антивирусная компания Доктор Веб обнаружила необычный банковский троян. Основная задача вируса получать аутентификационные данные для доступа к банковским счетам жертв, поэтому его отнесли к семейству «Trojan.Ibank». Необычная находка была сделаны в коде вируса, в котором обнаружены модули поиска клиентов SAP-систем. Внедрив подобный троян на систему с SAP-клиентом злоумышленник может получить более «вкусные» данные нежели банковские учетки жертвы, а именно пароли доступа к SAP и IP-адреса серверов этих систем.
Получив доступ к SAP злоумышленник может (в зависимости от уровня скомпрометированной учетки) осуществить доступ практически ко всем ресурсам компании, он может украсть коммерческие секреты, информацию о сотрудниках, клиентах, поставщиках, ценах. Он может вывести деньги из компании путем создания и утверждения транзакций платежей или изменении банковских счетов существующих клиентов, подставив вместо них свои. В конце концов, он может организовать DoS-атаку против SAP-серверов компании и тем самым попытаться сорвать ее бизнес-операций и нанести финансовый ущерб.
Читать полностью »

в 7:54, , рубрики: Malware, php, Блог компании ESET NOD32, информационная безопасность, метки:

Несколько часов назад стало известно, что известный веб-сайт для разработчиков PHP — php.net скомпрометирован вредоносным содержимым (JavaScript) и осуществляет доставку вредоносного ПО для пользователей через набор эксплойтов.

We are continuing to work through the repercussions of the php.net malware issue described in a news post earlier today. As part of this, the php.net systems team have audited every server operated by php.net, and have found that two servers were compromised: the server which hosted the www.php.net, static.php.net and git.php.net domains, and was previously suspected based on the JavaScript malware, and the server hosting bugs.php.net. The method by which these servers were compromised is unknown at this time.

A further update on php.net

php.net скомпрометирован

One of our research tools flagged php.net as distributing malware. The site appears to have been compromised and had some of its javascript altered to exploit vulnerable systems visiting the website, instead of ad network vector that we typically see in more popular sites.

Barracuda Labs

Читать полностью »

1...10...121314...16
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js