КатегорияВирусы


Китайские шпионы могли передать украденные у АНБ инструменты создателям WannaCry


Хакерская группировка Shadow Brokers заполучила инструменты для взлома в 2017 году, что привело к ряду крупных инцидентов по всему миру, включая массовую атаку с использованием шифровальщика WannaCry. Сообщалось, что группировка выкрала инструменты взлома у американского Агентства национальной безопасности, но было неясно, как им удалось это сделать. Теперь же стало известно о том, что специалисты Symantec провели анализ, на основе которого можно предположить, что инструменты взлома были похищены у АНБ агентами китайской разведки.

Компания Symantec установила, что хакерская группа Buckeye, предположительно работающая на Министерство государственной безопасности Китая, применяла инструменты АНБ за год до того, как произошёл первый инцидент с участием Shadow Brokers. Специалисты Symantec считают, что группировка Buckeye заполучила инструменты взлома в ходе атаки АНБ, после чего они были модифицированы.  

В сообщении также говорится, что хакеры Buckeye вполне могут быть причастны к этому, поскольку ранее представители АНБ заявляли о том, что эта группировка является одной из наиболее опасных. Помимо прочего, на Buckeye была возложена ответственность за нападение на американских производителей космической техники и некоторые энергетические предприятия. Специалисты Symantec говорят о том, что изменённые инструменты АНБ использовались при проведении атак на исследовательские организации, образовательные учреждения и другие инфраструктурные объекты из разных стран мира. 

В компании Symantec считают, что американским спецслужбам давно пора всерьёз рассматривать возможность того, что разработанные в США инструменты могут быть захвачены и использованы против американского государства. Также было отмечено, что Symantec не удалось обнаружить каких-либо доказательств того, что хакеры из Buckeye применяли украденные у АНБ инструменты для атак на объекты, расположенные на территории США.  

Источник: 3dnews.ru


Японское правительство поддерживает разработку вредоносного программного обеспечения


Сетевые источники сообщают о том, что Япония намерена осуществить разработку вредоносного ПО, которое будет использоваться, если страна подвергнется нападению. Такие сообщения появились в японской прессе со ссылкой на осведомлённые правительственные источники.

Известно, что разработку необходимого программного обеспечения планируется завершить к концу текущего финансового года. Проект будет реализовываться подрядной организацией, государственные служащие в нём задействованы не будут.

Информации о возможностях упомянутого ПО, а также о сценариях, при которых Япония готова пустить его в ход, пока нет. Вероятно, правительство намерено применять вредоносные программы в случае обнаружения атак на государственные учреждения.

Такая стратегия объясняется тем, что за последние годы в регионе вырос уровень военной угрозы со стороны Китая. Возможность отражения кибератак является лишь одной из составляющих полномасштабной модернизации вооружённых сил Японии. Таким образом, страна фактически признала факт разработки кибероружия. Скорее всего, правительство намерено продолжить укрепление позиций государства в этой сфере в будущем.

Стоит отметить, что в 2019 году правительство Японии разрешило сотрудникам Национального института информационных и коммуникационных технологий (NICT) взламывать IoT-устройств на территории государства. Такая деятельность осуществляется в рамках беспрецедентного опроса небезопасных устройств, используемых в сфере IoT. В конечном счёте планируется сформировать реестр устройств, которые защищены слабым или стандартным паролем, после чего собранная информация будет передана поставщикам интернет-услуг для проведения работ, направленных на устранение проблемы.

Источник: 3dnews.ru


Исследователи обнаружили новую версию печально известного трояна Flame


Вредоносная программа Flame считалась мёртвой после того, как в 2012 году она была обнаружена специалистами из «Лаборатории Касперского». Упомянутый вирус представляет собой сложную систему инструментов, предназначенных для ведения шпионской деятельности в национально-государственных масштабах. После публичного разоблачения операторы Flame попытались замести следы, уничтожив следы пребывания вируса на зараженных компьютерах, большая часть из которых находилась на Ближнем Востоке и в Северной Африке.

Теперь же специалистам из компании Chronicle Security, которая входит в состав Alphabet, удалось обнаружить следы модифицированной версии Flame. Предполагается, что троян активно использовался злоумышленниками с 2014 по 2016 гг. Исследователи говорят о том, что злоумышленники не уничтожили вредоносную программу, а переделали её, сделав более сложной и незаметной для средств защиты.

Ещё специалисты нашли следы применения сложной вредоносной программы Stuxnet, которая в 2007 использовалась для саботажа ядерной программы в Иране. Специалисты считают, что Stuxnet и Flame имеют общие черты, что может свидетельствовать о происхождении троянских программ. Эксперты считают, что разработка Flame велась в Израиле и США, а сама вредоносная программа использовалась для ведения шпионской деятельности. Стоит отметить, что на момент обнаружения вирус Flame являлся первой модульной платформой, компоненты которой могли заменяться в зависимости от особенностей атакованной системы.

Сейчас в руках исследователей появились новые инструменты, помогающие искать следы прошлых атак, позволяя пролить свет на некоторые из них. В результате удалось обнаружить файлы, которые были скомпилированы в начале 2014 года, примерно через полтора года после того, как состоялось разоблачение Flame. Отмечается, что на тот момент ни одна из антивирусных программ не определяла эти файлы как вредоносные. Модульная троянская программа имеет немало функций, позволяющих вести шпионскую деятельность. К примеру, она способна включать микрофон на заражённом устройстве, чтобы записывать разговоры, которые ведутся поблизости.

К сожалению, исследователи не смогли раскрыть весь потенциал Flame 2.0, обновлённой версии опасной троянской программы. Для её защиты использовалось шифрование, не позволившее специалистам детально изучить компоненты. Поэтому вопрос о возможностях и способах распространения Flame 2.0 остаётся открытым.

Источник: 3dnews.ru


Alcatel поставляла смартфоны с предустановленным вирусом


В прошлом году французский бренд, принадлежащий китайской TCL, уже попадался на поставках смартфонов с предустановленным рекламным программным обеспечением. Однако новый скандал обещает оказаться ещё более серьёзным, ведь теперь речь идёт не просто о показе пользователям рекламы, а о вредоносном ПО, которое, по данным британской компании Upstream, специализирующейся на вопросах безопасности, обнаружилось в моделях Pixi 4 и A3 Max.

Речь идёт о фирменном приложении прогноза погоды Weather Forecast — World Weather Accurate Radar, у которого кроме основной функции обнаружились недокументированные и малоприятные для рядовых потребителей возможности. В частности, оно собирало данные об IMEI телефонов, адресах электронной почты и местоположении, а затем отправляло их на удалённый сервер TCL. Также сообщается о фактах подписки на платные сервисы без ведома владельцев телефонов и значительный расход мобильного трафика.

Информации о том, как вредоносное ПО попало в фирменное погодное приложение TCL, пока отсутствует. Тем не менее, на данный момент программа, которая также была доступна в Google Play, уже удалена из магазина приложений. Последняя её версия вышла 19 декабря 2018 года. Общее количество скачиваний Weather Forecast — World Weather Accurate Radar превышает 10 млн, а её средняя пользовательская оценка составляет 4,4 балла из 5.

Источник: 3dnews.ru


ESET предупреждает о всплеске активности нового шифратора GandCrab


Работающая в сфере IT-безопасности компания ESET информирует о всплеске активности новой программы-шифровальщика GandCrab, блокирующей доступ к данным на компьютере и требующей выплаты определённой суммы киберпреступникам для возвращения доступа к ценной информации.

Шифратор распространяется под видом программ для взлома популярных в пользовательской среде приложений и игр, таких, как Minecraft, Counter Strike, StarCraft, Adobe Acrobat, Microsoft Office, антивирусный софт и др. Попав в систему жертвы, GandCrab собирает информацию с устройства, включая имя компьютера, имя пользователя и IP-адрес. Далее вредоносная программа запускает процесс шифрования данных на жёстких, съёмных и сетевых дисках, удаляет резервные копии операционной системы и выводит на экран требование выкупа в криптовалюте.

GandCrab может шифровать файлы различных форматов, в том числе документы Microsoft Office, OpenOffice, PDF и текстовые файлы, базы данных, фотографии, музыку и видео. При этом восстановить зашифрованные данные в настоящее время не представляется возможным.

Эксперты компании ESET советуют воздержаться от установки любых «кряков» и пиратских версий легитимных программных продуктов. «Если заражение шифратором произошло, платить вымогателям не рекомендуется — получение выкупа ни к чему их не обязывает, зато мотивирует продолжать противоправную деятельность», — говорится в информационном сообщении антивирусного вендора.

Источник: 3dnews.ru


Вирус похозяйничал на TSMC: ожидаются задержки в поставках


Компания Taiwan Semiconductor Manufacturing Co. (TSMC), крупнейший в мире производитель чипов, поставляющий микросхемы для iPhone Apple, столкнулась с вынужденной остановкой ряда компьютерных систем и производственных мощностей, происшедшей из-за компьютерного вирусного инцидента в пятницу, 3 августа.

Pocketnow

Согласно воскресному объявлению TSMC, специалисты компании выявили причину инцидента и нашли способ устранения проблемы. В 14:00 по тайваньскому времени (9:00 мск) было восстановлено порядка 80 % систем и производственных объектов, пострадавших от инцидента. Полное восстановление ожидается в понедельник, 6 августа.

TSMC прогнозирует, что случившееся приведёт к задержкам в поставках и дополнительным расходам. По оценкам компании, потери выручки за квартал составят около 3 %, валовой маржи — около одного процентного пункта.

Компания выразила уверенность, что наверстает отставание по поставкам в четвёртом квартале 2018 года. В связи с этим она не будет менять свой прогноз по показателям на 2018 год, объявленный 19 июля 2018 года.

Большинство клиентов TSMC были уведомлены об этом событии, и компания тесно сотрудничает с ними по уточнению графика поставок. Детали будут сообщены каждому клиенту индивидуально в течение следующих нескольких дней.

Как объясняет TSMC, «вирусная эпидемия стала результатом неправильных действий в ходе процесса установки программного обеспечения на новом оборудовании, которые вызвали распространение вируса после подключения оборудования к компьютерной сети компании».

Источник: 3dnews.ru


Предустановленный рекламный вирус найден более чем на 100 дешёвых Android-смартфонах


Исследователи из лаборатории по поиску угроз Avast выяснили, что более 100 дешёвых смартфонов от производителей вроде ZTE, Archos и myPhone поставляются с предустановленным вредоносным программным обеспечением. Проблема распространяется более чем на 90 стран, но решается использованием системы Google Play Protect.

Один из вариантов рекламного вируса действует на протяжении трёх лет. Он называется Cosiloon и впервые был замечен Dr. Web в 2016 году. Он встраивается в прошивку устройства, поэтому удалить его не слишком просто. Avast обнаружила вирус на устройствах 18 тысяч пользователей.

У Cosiloon за три года появилось несколько усовершенствованных вариантов. Один из них располагается в системном разделе и загружает инструкции о том, какие сервисы нужно запускать и что в дальнейшем нужно загружать на смартфон. После этого на телефоне начинает отображаться реклама, которая может вести к скачиванию других угроз.

Ещё один вариант вируса менее распространён и интегрирован глубоко в системные функции Android. Avast пишет, что «изученные образцы были заражены ещё двумя вредоносными пакетами данных, способными запускать приложения, устанавливать дополнительные APK из Интернета и передавать конфиденциальные данные вроде IMEI, MAC-адреса и телефонного номера на удалённые серверы, но их код, судя по всему, не имеет отношения к семейству Cosiloon».

Из-за вирусов на смартфонах отображается реклама Google, Facebook и Baidu. Также исследователям было «предложено загрузить сомнительные игры из сети Baidu».

Большинство устройств с вредоносным ПО не было сертифицировано Google. Установщик добавлялся производителем или сотовым оператором где-то на этапе поставок. Google попросила разработчиков прошивок отнестись к проблеме с полной серьёзностью.

На момент написания новости в списке было 141 устройство. Но проблема может затрагивать лишь отдельные аппараты, поскольку существуют различные варианты прошивок.

Источник: 3dnews.ru


В облачном хранилище OneDrive появилась защита от вирусов-вымогателей


Microsoft добавила в облачное хранилище OneDrive функцию «Восстановление файлов» (Files Restore), которая ранее была доступна только владельцам бизнес-аккаунтов. Теперь ею могут пользоваться все, у кого оформлена подписка Office 365. Нововведение позволяет восстанавливать файлы в облаке за последние 30 дней.

Компания позиционирует функцию как способ защититься от вирусов-вымогателей, которые блокируют файлы на компьютере и зачастую пытаются удалить облачные копии, хранящиеся в синхронизированных папках. Обычно жертвам таких вирусов придётся платить злоумышленникам, чтобы получить свои документы обратно.

Если OneDrive обнаружит массовое удаление файлов в облаке, то Microsoft сообщит об этом пользователю по почте или через мобильное или настольное уведомление. После этого можно будет быстро откатить изменения до того момента, когда вирус начал удалять файлы.

Ссылки, с помощью которых вы делитесь документами из OneDrive, теперь можно защитить паролем. Редмондский гигант также усилил защиту писем в Outlook.com. Шифрование можно включать для отдельных сообщений. Если сервис обнаружит в письме конфиденциальную информацию, то сам предложит её защитить.

Зашифрованные сообщения можно читать через Outlook.com, Outlook для iOS и Android, почтовый клиент Windows или просто по специальной ссылке. Автор письма волен запретить пересылать и копировать его.

Все перечисленные функции, кроме защищённых паролем ссылок в OneDrive, уже должны быть доступны некоторым пользователям Office 365, а до остальных подписчиков доберутся до конца месяца. Зашифрованные ссылки появятся в облачном сервисе в ближайшие недели.

Источник: 3dnews.ru


Рекламный вирус в Android-приложениях заразил не меньше миллиона устройств


Киберпреступникам удалось установить на сотни тысяч устройств под управлением Android вредоносное ПО, спрятав его в нескольких приложениях. Вирус попал в Google Play в обличье семи программ — шести сканеров QR-кодов и одного «умного компаса».

После установки приложения должно было пройти шесть часов, прежде чем оно начнёт показывать на весь экран вредоносную рекламу, открывать навязчивые объявления на интернет-страницах и присылать уведомления с подозрительными ссылками.

Предположительно, вирус под названием Andr/HiddnAd-AJ, обнаруженный SophosLabs, заразил устройства как минимум миллиона пользователей. Эта цифра может быть гораздо больше — одно из приложений было загружено 500 тысяч раз, прежде чем его удалили из Google Play.

При первом запуске заражённое приложение отправляет запрос на сервер злоумышленников, чтобы получить необходимую конфигурацию. Чтобы это скрыть, в первые несколько часов после установки программа не производит никаких вредоносных действий.

После этого приложение получает доступ к списку ссылок, сообщений и иконок, которые вскоре начинают захламлять смартфон жертвы. Вирусу «помогает» специальный код, замаскированный под обычную библиотеку Android.

В дополнение к стандартным компонентам злоумышленники оснастили приложения «графической» секцией. Она выглядит невинно, но содержит инструкции по получению всей информации и файлов для запуска вредоносной рекламы.

SophosLabs уведомила Google о проблеме, и та удалила приложения с вирусами из магазина. Несмотря на то, что калифорнийскому гиганту самостоятельно не удалось выявить вредоносный код в этих приложениях, SophosLabs рекомендует загружать программы только из Google Play.

Источник: 3dnews.ru


Android-троян Fakebank научился перенаправлять звонки в банк на телефон мошенников


К каким только изощрённым способам не прибегают мошенники, чтобы выудить у честных владельцев мобильных устройств их кровные средства. О применяемых аферистами для атак на владельцев Android-гаджетов схемах и методиках оперативно уведомляют специализирующиеся на тематике кибербезопасности компании, такие как Symantec. Их недавний отчёт о видоизменённой модификации трояна Fakebank позволит не попасть на крючок мошенников, которые маскируются под работников банка.   

По данным Symantec, обновлённая версия трояна Fakebank обзавелась функцией скрытой переадресации телефонных звонков при наборе определённых номеров, прописанных авторами вредоносного ПО. Позвонив по одному из таких номеров, владелец Android-смартфона попадёт в действительности на мошенников, играющих роль менеджеров банка. Fakebank позволит им заполучить конфиденциальные сведения, необходимые для беспрепятственного доступа к чужим активам. Таким образом, разговор с псевдо-сотрудником банка может обернуться в конечном итоге нулевым балансом на счету. 

www.financewalk.com

В отчёте Symantec фигурирует упоминание о 22 заражённых приложениях, маскирующихся под безвредный Android-софт, распространение которых происходит через социальные сети и сомнительного характера веб-ресурсы. Известно, что от Fakebank пострадали преимущественно клиенты южнокорейских банков. Напомним, что в задачи ранней версии трояна Fakebank входил перехват текста СМС и запись телефонных разговоров, а также имитация сервисов для онлайн-банкинга. 

Новый Fakebank подделывает интерфейс вызова, так что пользователь по-прежнему видит реальный номер банка, хотя на самом деле звонок перенаправляется на телефон мошенников. Аналогичным образом вирус действует и при входящем вызове с номера мошенника.  

Источник: 3dnews.ru