Рубрика «Malware» - 4

Если вы используете Kodi, то могли заметить, что популярный голландский репозиторий аддонов XvBMC был закрыт из-за нарушения авторских прав. После этого мы обнаружили, что репозиторий скрытно использовался в кампании криптомайнинга, начавшейся в декабре 2017 года. Это второй известный инцидент, связанный с распространением вредоносного ПО через аддоны Kodi, и первый случай криптомайнинга с помощью данной платформы. Интересно, что пользователям Kodi направляются бинарники, соответствующие используемой ОС (Windows или Linux).

Аддоны Kodi используются для распространения криптомайнеров - 1

Для тех, кто не знаком с платформой Kodi: медиаплеер не поставляет контент; пользователи самостоятельно расширяют функциональность продукта, устанавливая аддоны из официального репозитория и сторонних площадок. Некоторые неофициальные дополнения позволяют получить доступ к пиратскому контенту, в связи с чем Kodi неоднозначно воспринимается общественностью.

Дополнения Kodi, нарушающие авторские права, уже связывали с распространением вредоносного ПО, но, за исключением инцидента с DDoS-модулем в составе популярного аддона, доказательств предъявлено не было.

Читать полностью »

27 августа 2018 года в твиттере ИБ-специалиста с ником SandboxEscaper была опубликована информация об уязвимости нулевого дня. Уязвимость затрагивает версии Microsoft Windows с 7 по 10, точнее, интерфейс Advanced Local Procedure Call (ALPC) в Планировщике заданий Windows. Она обеспечивает локальное повышение привилегий (Local Privilege Escalation), что позволяет атакующему повысить права вредоносного кода от уровня User до SYSTEM. О скоординированном раскрытии уязвимости речь не идет – аккаунт SandboxEscaper вскоре удалили, закрывающие патчи отсутствовали.

Ссылка из твита вела в репозиторий GitHub с Proof-of-Concept кодом эксплойта – не только скомпилированной версией, но и исходным кодом. Следовательно, любой желающий мог модифицировать и перекомпилировать эксплойт, чтобы улучшить его, избежать обнаружения или включить в собственный код.

В общем, неудивительно, что всего через два дня эксплойт появился in the wild в кампании кибергруппы PowerPool. По данным телеметрии ESET, в числе целевых стран атакующих – Россия, Украина, Польша, Германия, Великобритания, США, Индия, Филиппины, Чили. Жертв сравнительно немного, что может указывать на высокую таргетированность кампании.

Кибергруппа PowerPool освоила уязвимость нулевого дня в Advanced Local Procedure Call - 1

Читать полностью »

Исследование Linux/Ebury, основного компонента операции Windigo, заставило нас присмотреться к остальным составляющим данной экосистемы, чтобы узнать, используются ли они в операции. Внимание привлек открытый прокси-сервер Win32/Glupteba, который ранее распространялся с помощью набора эксплойтов в рамках операции Windigo. По итогам последнего анализа мы предполагаем, что программа больше не связана с Windigo.

В посте мы представим информацию о текущих механизмах распространения Glupteba, краткий анализ сетевого трафика, проходящего через прокси, технический анализ состояния бинарного файла Glupteba, а также взаимосвязь Glupteba и Windigo.

Win32-Glupteba больше не связана с операцией Windigo - 1

Читать полностью »

Вирусная лаборатория ESET обнаружила новый Android RAT (Remote Administration Tool), использующий протокол Telegram для управления и эксфильтрации данных. Изначально мы обратили внимание на повышение активности уже известных IRRAT и TeleRAT, но затем, разобравшись в происходящем, нашли совершенно новое семейство. Новый RAT активен минимум с августа 2017 года. В марте 2018 года исходный код малвари распространялся через Telegram-каналы хакеров, в результате чего сотни модификаций сегодня действуют in the wild.

Новый Android RAT использует протокол Telegram - 1

Одна из версий отличается от остальных. Несмотря на доступность исходного кода, она продается под коммерческим названием HeroRat через специальный Telegram-канал. Авторы предлагают HeroRat в пользование по модели Malware-as-a-Service. Малварь доступна в трех комплектациях с разными функциями и видеоканалом поддержки. Неясно, был ли этот вариант написан на базе слитого кода или, наоборот, является оригиналом, исходный код которого затем появился в сети.

Читать полностью »

Следить за высокопоставленными жертвами, оставаясь в тени. Это принцип работы двух вредоносных компонентов InvisiMole. Они превращают зараженный компьютер в видеокамеру атакующих, которая позволяет видеть и слышать все, что происходит в офисе или в любом другом месте, где находится устройство. Операторы InvisiMole легко подключаются к системе, следят за действиями жертвы и крадут ее секреты.

ESET препарировала шпионское ПО InvisiMole, использующееся с 2013 года - 1

По данным телеметрии ESET, злоумышленники, стоящие за данной спайварью, активны как минимум с 2013 года. Тем не менее, этот инструмент кибершпионажа не только не был изучен, но и не детектировался до момента обнаружения продуктами ESET на зараженных компьютерах в России и Украине.

Кампания высокотаргетирована, что объясняет низкий уровень зараженности – всего несколько десятков компьютеров.
Читать полностью »

Банковские трояны в последние годы теряют популярность среди киберпреступников. Одна из причин – развитие технологий защиты антивирусных вендоров и разработчиков веб-браузеров. Провести атаку с помощью банкера сложно, поэтому многие вирусописатели переходят на более простые и выгодные инструменты: шифраторы, майнеры, ПО для кражи криптовалют.

Многие, но не все. Мы обнаружили новое семейство банкеров, использующее для манипуляций с браузером новую технику. Вместо сложного внедрения кода в процесс браузера для мониторинга его активности, малварь перехватывает события Windows в цикле ожидания сообщений, чтобы проверять значения объектов, связанных с банковскими операциями.

ESET обнаружила банкер BackSwap, использующий новый метод манипуляции браузером - 1

Обнаружив работу с онлайн-банкингом, малварь инжектирует вредоносный JavaScript в веб-страницу – через консоль разработчика в браузере, либо напрямую в адресную строку. Операции производятся без ведома и участия пользователя. Простая на первый взгляд схема позволяет обходить продвинутые механизмы защиты браузеров от комплексных атак.

Читать полностью »

ФБР советует перезагрузить свои роутеры для избавления от зловреда VPNFilter - 1
Одна из моделей роутеров, заражаемых VPNFilter

На днях стало известно о том, что ФБР просит пользователей интернета в США перезагрузить свои роутеры для того, чтобы избавиться от вируса VPNFilter. Malware о котором идет речь, как считают специалисты, заразило сотни тысяч различных сетевых устройств. Избавиться от него можно очень простым способом — просто перезагрузить свой роутер.

О самом зловреде рассказывали специалисты компании Cisco Talos на прошлой неделе. В настоящее время количество зараженных вирусом роутеров достигло полумиллиона и продолжает увеличиваться. Это роутеры не одного и не двух производителей, а многих известных вендоров, включая Linksys, Mikrotik, Netgear, QNAP и TP-Link.
Читать полностью »

Sednit, также известные как APT28, Fancy Bear, Sofacy или STRONTIUM – группа злоумышленников, работающих с 2004 года, а может и раньше, основной целью которых является кража конфиденциальной информации у избранных объектов.

Анализ Zebrocy, вредоносного ПО первого этапа группы Fancy Bear - 1

Примерно с конца 2015 года мы наблюдаем развертывание этой группой нового компонента – Zebrocy, загрузчика для Xagent (главного бэкдора Sednit). Лаборатория Касперского впервые упоминает данный компонент в 2017 году в отчете APT trend report и недавно выпустила статью с его описанием.

Новый компонент – семейство вредоносного ПО, состоящее из загрузчиков и бэкдоров, написанных на Delphi и AutoIt. Они играют в экосистеме Sednit ту же роль, что и Seduploader, – используются в качестве вредоносного ПО первого этапа атаки.

Читать полностью »

Кража NTLM через PDF - 1
Прошло всего несколько дней после того, как было объявлено, что злоумышленники могут использовать уязвимость в MS Outlook, используя OLE, чтобы украсть NTLM-хэш пользователей Windows.

Исследовательская группа Check Point обнаружила, что утечка дайджеста NTLM возможна и с помощью файлов PDF. Атака возможна без какого-либо взаимодействия с пользователем — достаточно просто открыть файл.
Читать полностью »

Turla – одна из наиболее известных кибергрупп, специализирующихся на шпионаже. В ее арсенале обширный набор инструментов, наиболее продвинутые из которых используются для установки на приоритетные для атакующих машины. Платформа для шпионажа преимущественно ориентирована на Windows, но может использоваться для macOS и Linux с помощью различных бэкдоров и руткита.

Не так давно мы обнаружили новый метод компрометации рабочих станций, который использует Turla. Данная техника применяется в атаках, нацеленных на сотрудников посольств и консульств стран постсоветского пространства.

ESET: бэкдор Mosquito группы Turla используется в Восточной Европе - 1

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js