Рубрика «вредоносное ПО» - 2

Группировка киберпреступников RTM похищает деньги у банковских клиентов с 2015 г. Большинство ее жертв — российские компании. Вредоносное ПО, которое используют злоумышленники, в ИБ-сообществе так же принято называть RTM.

Об этой программе написано довольно много технических отчетов, которые подробно описывают общий механизм работы ВПО. В этой статье мы сосредоточимся на методах получения адресов управляющих (C&C) серверов RTM. В каждой итерации программы злоумышленники изобретательно подходят к этой задаче: они распространяют адрес через блоги, используют систему альтернативных DNS-серверов и сеть Tor. На днях же мы обнаружили, что RTM стала скрывать IP в транзакциях на биткойн-кошелек.

Читать полностью »

Всем привет. До старта курса «Реверс-инжиниринг» остается меньше десяти дней, в связи с этим хотим поделиться еще одним интересным переводом по теме. Поехали!

BASS — фреймворк для автоматического синтеза антивирусных сигнатур - 1

Краткий обзор

BASS — фреймворк для автоматического синтеза антивирусных сигнатур - 2

Картина угроз стремительно меняется — постоянно появляются новые кибератаки, а старые становятся изощреннее. В этих условиях перед специалистами по безопасности встают все более сложные задачи. Ежедневно им приходится обрабатывать и анализировать миллионы образцов ранее неизвестного и совершенно нового вредоносного ПО, разрабатывать эффективные антивирусные сигнатуры для описания целых семейств вредоносных программ, обеспечивать масштабируемость инструментов по мере увеличения числа образцов для анализа. При этом приходится учитывать ограниченность ресурсов на средства автоматизации анализа вредоносных программ. Чтобы помочь ИТ-специалистам справиться с этими разнообразными сложностями, Talos предлагает новую платформу с открытым кодом под названием BASS.Читать полностью »

Мутные воды: как хакеры из MuddyWater атаковали турецкого производителя военной электроники - 1

У иранских прогосударственных хакеров — большие проблемы. Всю весну неизвестные публиковали в Telegram «секретные сливы» — информацию о связанных с правительством Ирана APT-группах — OilRig и MuddyWater — их инструментах, жертвах, связях. Но не о всех. В апреле специалисты Group-IB обнаружили утечку почтовых адресов турецкой корпорации ASELSAN A.Ş, занимающуюся производством тактических военных радиостанций и электронных систем обороны для вооруженных сил Турции. Анастасия Тихонова, руководитель группы исследования сложных угроз Group-IB, и Никита Ростовцев, младший аналитик Group-IB, описали ход атаки на ASELSAN A.Ş и нашли возможного участника MuddyWater.
Читать полностью »

Согласно нашим подсчетам, в 72% зараженных сайтов использованы программы скрытого удаленного администрирования — бэкдоры. С их помощью мошенники получают удаленный доступ к вашему сайту, и понятное дело, чем это грозит владельцу: получение и передачи конфиденциальных данных пользователей, запуск вредоносных программ, уничтожения информации и тд.

Распознать и обезвредить. Поиск неортодоксальных бэкдоров - 1
Читать полностью »

Нашумевшая новость об утечке архива ЦРУ чаще всего преподносилась в контексте того, что спецслужба США могла подслушать, подсмотреть, узнать о нас с телефонов, компьютеров и даже телевизоров. Предлагаем вашему вниманию информацию об одном из их проектов с необычным названием Rain Maker. Он представляет собой набор утилит, направленный на скрытый сбор информации на исследуемом объекте, не подключенном к сети Интернет. Агент получает специальную флешку с музыкой и portable VLC-плеером, подключает ее к компьютеру жертвы и спокойно работает под современные хиты. Закончив работу, передает флешку со скрытыми на ней и зашифрованными данными координатору, который отправляет ее в центр на расшифровку. Как это реализовано технически?

Как ЦРУ вызывало дождь: использование Rain Maker для сбора сведений с закрытых объектов - 1

* Из архива ЦРУ к этому проекту. У агентов тоже есть юмор!
Читать полностью »

В новой утечке данных на WikiLeaks содержатся советы о том, как нужно и как не нужно писать эксплоиты

image

В данных, выложенных на WikiLeaks, содержатся тысячи файлов, относящихся к группе разработчиков ЦРУ (Engineering Development Group, EDG). Эта организация из центра киберразведки ЦРУ отвечает за создание инструментов взлома цифровых устройств по всему миру – для достижения целей ЦРУ. Утекли документы с сервера, используемого для отслеживания и документирования проектов.

Многие из этих документов не засекречены – там, к примеру, можно найти инструкции от Lockheed Martin и других производителей. Большая часть имеет гриф «секретно», включая такие безобидные вещи, как инструкция для начинающих по Microsoft Visual Studio – судя по всему, любимый инструмент подразделения EDG, департамента прикладных разработок (Applied Engineering Department, AED). Также там можно найти немного компонентов для создания мемов и анимированные GIF из манга-сериала Триган.
Читать полностью »

Великая борьба с программами-обертками - 1

Не секрет, что в современном мире проблема нежелательного и вредоносного ПО встает все более и более остро. Ботнеты различного назначения, локеры, adware…
Разумеется, многие пытаются с этим бороться. Я работаю на одного регионального провайдера, и мы тоже проводим политику пассивного предупреждения пользователей, продвигаем антивирусы и культуру использования интернета. В конце концов нам же лучше, если у клиента все работает быстро и адекватно.
С недавних пор к этому подключились и поисковики. Под катом занимательная история о том, как мы стали жертвой этой борьбы, а также повод задуматься, к чему это все может привести.
Читать полностью »

В Aralabs сообщили о новом виде вредоносного ПО для роутеров — ПО роутера встраивает в тег Google Analytics рекламу и порнографию от сервиса PopUnder. Сторонний контент загружается практических на всех сайтах с рекламой от Google, если не установлены расширения браузеров блокирующих рекламу. ПО меняет настройки DNS, заражение происходит через JavaScript, список уязвимых роутеров неуказан.
image
Читать полностью »

Вчера была опубликована новость о вредоносном программном обеспечении Regin, который следил за пользователями из различных сфер, включая корпоративных пользователей и правительства стран. Троян наблюдал за пользователями с 2008 по 2011 годы, после чего пропал с радаров и вновь появился в 2013 году.

Весной 2011 года Еврокомиссия обнаружила, что была взломана. Вторжение было сложным для обнаружения, использовалась уязвимость нулевого дня. Хакеры вошли в сеть, разведали сетевую архитектуру и заразили многочисленные системы в Европейской Комиссии и Совете Европы прежде, чем их получилось обнаружить, украв при этом сотню-другую документов. Спустя два года, в 2013, была взломана Бельгийская телекоммуникационная компания «Белгаком»: хакеры узнали логины и пароли системных администраторов компании, чтобы получить доступ к маршрутизаторам, контролирующим сотовую сеть Белгаком. Далее жертвой стал Жан-Жак Квисквотер, профессор-криптограф.

АНБ США и Центр правительственной связи Великобритании были связаны с Regin, а это значит, что они могли приложить руку к вышеупомянутым целям в 2013 году. Взлом же Еврокомиссии был осуществлен с помощью похожего вредоносного кода, также многоступенчатого, что снова наводит исследователей из Лаборатории Касперского и Symantec на мысли о злополучном Regin.

image
Читать полностью »

Оригинал здесь

Помните, как в апреле мы писали про инициативу разработчиков ввести черный список для ПО, которое игнорирует рекомендации команды Google Chrome по установке сторонних расширений? И именно по причине не соблюдения рекомендаций официальный установщик Яндекс.Элементов признан вредоносным.

Яндекс.Элементы признаны вредоносными
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js