Рубрика «Malware» - 9

Неделю назад специалисты ФСБ опубликовали интригующий пресс-релиз о вредоносном ПО, которое было обнаружено на компьютерах государственных, а также научных и военных учреждений. Описанные специалистами ФСБ признаки указывали на хорошо подготовленную т. н. state-sponsored кибератаку, в которой использовались жестко направленные (highly targeted), уникальные для каждой жертвы компоненты. Наша антивирусная лаборатория также получила образцы этого вредоносного ПО и AV-продукты ESET обнаруживают их как Win32/Cremes и Win64/Cremes.

Cremes — новое продвинутое вредоносное ПО для кибершпионажа - 1

Выводы наших специалистов совпали с выводами компании Symantec, которые опубликовали свой отчет, посвященный исследованию Cremes (Remsec). По своей сложности новое вредоносное ПО напоминает уже известное ранее кибероружие, такое как Flame, Regin и EvilBunny. С Flame и EvilBunny, Cremes роднит использование скриптов на языке Lua. Новая кибергруппировка получила название Strider и использовала Cremes для кражи ценной информации у своих жертв.

Читать полностью »

image

На смену обычным вредоносным программам, нарушающим работу систему и троянам, ворующим персональные данные, на первый план за последние несколько лет вышел новый тип киберпреступности: вымогательство через шифрование персональных данных.

Эта тема уже не единожды понималась на различных ресурсах, в том числе и новостных. Видели мы многое: криптовымогатели, атакующие частных лиц, криптовымогатели, атакующие государственные и коммерческие учреждения, Malware, использующие поп-ап окна, манипулирующие рядовыми пользователями и играющие на их юридической и технической безграмотности. Было даже ПО, банально удаляющие файлы, когда как жертве сообщалось, что они зашифрованы.

До последнего времени программы-вымогатели мирно сосуществовали друг с другом. Но, по всей видимости, жертв на всех стало не хватать, так как пользователи сети стали более осведомлены о новых типах угроз, да и антивирусные компании не стояли на месте. И, как итог, в сети появились ключи для расшифровки данных, пораженных криптовымогателем Chimera и, по всей видимости, «утечка» — это дело рук конкурентов.
Читать полностью »

Наши аналитики анализируют множество экземпляров вредоносного ПО для Apple OS X каждый день. В основном, они относятся к типу нежелательных приложений (Potentially Unwanted Applications, PUA), которые специализируются на внедрении рекламы в работающий веб-браузер.

Вредоносное ПО OSX-Keydnap используется для кражи учетных данных на Apple OS X - 1

Последние несколько недель мы занимались исследованием одного интересного экземпляра вредоносного ПО, которое специализируется на краже содержимого т. н. связки ключей OS X (keychain), а также выступает как backdoor, предоставляя злоумышленнику доступ к скомпрометированному компьютеру.

Читать полностью »

В прошлом году специалисты компании ESET смогли обнаружить и проанализировать несколько экземпляров вредоносной программы, которые использовались в операциях кибершпионажа за пользователями. Эта вредоносная программа получила название SBDH и использует в своей работе мощные фильтры данных, различные методы взаимодействия со своими операторами, а также интересную технику обеспечения своей выживаемости в системе. Вредоносная программа была направлена на получение интересных для атакующих данных компьютеров правительственных и государственных учреждений, которые в основном сосредоточены на экономическом росте и сотрудничестве в Центральной и Восточной Европе. Информация о SBDH также будет представлена исследователями ESET Tomáš Gardoň и Robert Lipovský на конференции Copenhagen Cybercrime Conference 2016 в Копенгагене.

Вредоносное ПО используется для кибершпионажа за пользователями Центральной и Восточной Европы - 1

SBDH состоит из загрузчика и других модулей, которые используются операторами. Компактный по размеру загрузчик распространялся злоумышленниками с использованием фишинговых сообщений электронной почты. Такие сообщения содержали вложение, в качестве которого содержался файл, имеющий в названии двойное расширение. Так как Windows скрывает расширение известных файлов, пользователю отображалось фальшивое расширение, на что и рассчитывали злоумышленники. Для того, чтобы еще больше убедить потенциальную жертву в своей легитимности, для исполняемых файлов были подобраны значки стандартных приложений Microsoft или документа Word.
Читать полностью »

Наши специалисты технической поддержки фиксируют самые разные запросы пользователей. Один из таких запросов оказался весьма интересным для анализа. Ситуация заключалась в обнаруженной нами вредоносной активности в системе пользователя, которая проявилась в технике DNS hijack. Она используется для перенаправления DNS-запросов пользователя на специальные DNS-серверы. Особенность ситуации заключалась в том, что вредоносное ПО использовало для операции hijack специальный метод, который скрывал от глаз пользователя вредоносную активность.

Нежелательное ПО DNS Unlocker использует метод DNS hijack для обмана пользователей - 1

Таким образом, пользователь не мог видеть настройки DNS-серверов в GUI-интерфейсе сетевых настроек. Кроме этого, там также будет указано, что система использует DHCP-протокол для получения настроек. Нежелательное приложение, которые выполняет подобные операции в системе, называется DNS Unlocker.

Читать полностью »

Двухголовый монстр в мире вирусов: GozNym - 1

Сотрудники IBM X-Force Research обнаружили новый троян, который является гибридом довольно известных зловредов Nymaim и Gozi ISFB. Оказалось, что разработчики Nymaim совместили исходный код этого вируса с частью кода Gozi ISFB. Получился гибрид, который активно использовался при атаках на сети 24 банков США и Канады. При помощи этого malware удалось украсть миллионы долларов. Гибридный вирусный продукт получил название GozNym.

По словам специалистов по информационной безопасности, этот гибрид взял лучшее от двух упомянутых выше вирусов: от Nyamaim зловред наследовал умение скрывать свое присутствие от антивирусов, от Gozi — возможность проникать на ПК пользователей. GozNym неофициально назвали «двухголовым монстром».
Читать полностью »

Распознавание DGA доменов. А что если нейронные сети? - 1

Всем привет!

Сегодня мы поговорим про распознавание доменов, сгенерированных при помощи алгоритмов генерации доменных имен. Посмотрим на существующие методы, а также предложим свой, на основе рекуррентных нейронных сетей. Интересно? Добро пожаловать под кат.

Читать полностью »

Subj, комплект исходных текстов бота Gozi ISFB (a.k.a Ursnif) опубликован в открытом доступе и доступен всем желающим. Вредоносная программа Ursnif является достаточно серьезным инструментом для работы с http и https трафиком на компьютере жертвы, она содержит в себе 32-битный и 64-битный компоненты полезной нагрузки для внедрения их в различные работающие процессы таких веб-браузеров как Google Chrome, Microsoft Internet Explorer, Mozilla Firefox, а также привилегированный процесс диспетчера сервисов Services.exe.

Исходные тексты бота Gozi утекли в сеть - 1

Ursnif начал активно использоваться киберпреступниками еще пять лет назад, а самые первые его версии вышли в свет еще в 2008 г. Злоумышленники активно использовали набор эксплойтов Blackhole exploit kit для распространения дропперов трояна. Недавно мы писали, что сам автор Blackhole получил семь лет тюрьмы. Gozi или Ursnif использовался злоумышленниками как похититель различной информации на системе жертвы, включая, учетные данные таких сервисов как FTP, Telnet, POP3, и IMAP.

Читать полностью »

Спустя год после публикации нашего технического анализа ботнета на основе вредоносной программы Linux/Mumblehard, мы рады сообщить о его успешном демонтировании. Компания ESET, совместно с киберполицией Украины и компанией CyS Centrum LLC, смогли демонтировать ботнет Mumblehard, остановив его активность по рассылке спама с 29 февраля 2016 г. Компания ESET, совместно с киберполицией Украины и компанией CyS Centrum LLC, смогли демонтировать ботнет Mumblehard, прекратив его активность по рассылке спама с 29 февраля 2016 г.

Ботнет Linux-Mumblehard демонтирован с помощью ESET - 1

Компания ESET применила известный механизм под названием sinkhole (синкхолинг) для всех известных компонентов Mumblehard. Мы поделились полученными в результате этой операции данными с организацией CERT-Bund. Эта организация уведомила центры CERT других стран в случае присутствия там ботов Mumblehard.

Читать полностью »

В первой части нашего ресерча мы рассмотрели несколько особенностей вредоносной программы Linux/Remaiten, а именно, внутреннее устройство загрузчика бота, его взаимодействие с управляющим C&C-сервером, обрабатываемые ботом команды, а также сканер telnet для поиска других потенциальных жертв. Мы также отметили присутствие компонентов вредоносной программы для микропроцессоров архитектур MIPS и ARM. Кроме этого, мы удивились, обнаружив намек на присутствие ботов для таких платформ Power PC и SuperH.

Злоумышленники используют бот Linux-Remaiten для компрометации embedded-устройств, часть 2 - 1

Во второй части мы более детально остановимся на процессе заражения вредоносной программой других устройств, а также другой интересной функции, которая позволяет Linux/Remaiten завершать процессы других ботов и программ в Linux.

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js