Exploit.IN - сайт о сетевой безопасности и защите
Наши зеркала:  Exploit.IN ( ssl)    ||    Exploit.IO
Навигация
Основное:
  На главную
  Написать нам
  Онлайн-утилиты
  Форум

Новости:
  Архив новостей
  Поиск новостей
  RSS-новости
  Twitter

Реклама

Zloy.bz

DamageLab


      03.09.2015 00:42: Новый банковский троян Shifu атакует японские финучреждения
     Эксперты IBM Security X-Force обнаружили новый банковский троян, получивший название Shifu, что с японского переводится как «вор». Троян заимствует функционал различных вредоносных семейств, таких как Shiz, Zeus, Gozi/ISFB и Corcow. Он нацелен, в основном, на японские финансовые организации и платформы.

     Вредонос похищает разнообразную информацию, связанную с процессом авторизации, в том числе пароли, учетные данные и личные сертификаты. Таким образом, оператор Shifu может использовать украденные учетные данные для получения контроля над банковскими счетами жертв, открытыми в различных финансовых организациях.

     Shifu способен сканировать, проводить анализ и осуществлять эксфильтрацию данных со смарт-карт, если они подключены к считывателю, а также осуществлять поиск кошельков криптовалюты и похищать их содержимое. Помимо прочего, троян обладает функцией «антивируса», которая активируется после инфицирования компьютера жертвы и служит для обнаружения и сдерживания других вредоносов.

     Специалисты IBM полагают, что создателями Shifu являются выходцы из стран постсоветского пространства, на что указывают фрагменты кода, написанные на русском языке. Пока основными целями вредоноса являются японские банки, однако специалисты не исключают, что в будущем вредоносная кампания распространится и на финансовые учреждения других стран.

      03.09.2015 00:41: Россия и Китай обменялись информацией об американских шпионах
     Противостояние хакерских группировок в интернете приводит к усилению международной напряженности. Россия и Китай предпочитают действовать тихо и не комментируют хакерскую активность своих или иностранных хакеров. Американские руководители, наоборот, открыто обсуждают проблемы, разоблачают противников в СМИ и публично угрожают санкциями. С очередным разоблачением 31 августа 2015 года выступил министр обороны Эштон Картер (Ashton Carter).

     Министр сообщил, что зарубежные разведслужбы, особенно из России и Китая, активно накапливают и обмениваются информацией из взломанных компьютерных баз данных США, откуда они черпают сведения об американских разведчиках и агентах, в том числе сведения об уровне допуска, записях авиаперелетов и формах медицинского страхования.

     Очевидно, министр имеет в виду информацию, которую неизвестные хакеры получили в результате взлома Службы управления персоналом США (U.S. Office of Personnel Management, OPM). Независимые эксперты сразу сказали, что утечка этой информации значительно затруднит работу штатных американских разведчиков. Имея досье на всех сотрудников с доступом к секретной информации, врагу гораздо проще искать и вербовать агентов. По новым данным, хакеры получили информацию о 14 млн бывших и нынешних госслужащих.

     Источники в Белом доме сообщают, что по крайней мере одна секретная сеть инженеров и ученых, которые оказывали техническую помощь американским агентам, работающим под прикрытием, оказалась скомпрометирована в результате взлома баз данных.

      02.09.2015 00:48: Найден баг, позволяющий взламывать страницы групп в facebook
     Индийский специалист по безопасности Лаксман Мутиях (Laxman Muthiyah) нашел баг, позволяющий взламывать Facebook Business Pages, то есть страницы компаний и различных сообществ.

     Мутиях рассказал в своем блоге, что сторонние приложения могут получить практически полный контроль над Facebook-страницей. В итоге, это может привести к тому, что жертва полностью утратит свои права администратора.

     Сторонним приложениям разрешено производить практически любые операции, в том числе, публиковать статусы от имени пользователя, публиковать фото, выполнять другие задачи, однако Facebook, казалось бы, не позволяет им добавлять кого-либо в список администраторов страницы или модифицировать его.

     Зато Facebook позволяет администраторам присваивать различные роли людям, состоящим в организациигруппе, через manage_pages – специальное разрешение доступа, запрашиваемое сторонними приложениями. Из-за этого, по словам исследователя, атакующий, при помощи простой последовательности запросов, может сделать себя админом определенной страницы Facebook. Используя запрос manage_pages, можно присвоить пользователю X статус MANAGER, то есть сделать его администратором данной страницы. Фактически, атакующий может получить полный контроль над аккаунтом.

     Чтобы удалить саму жертву из списка администраторов, тоже не потребуется много манипуляций:
Delete /< page_id >/userpermissions HTTP/1.1
Host : graph.facebook.com
Content-Length: 245
user=< target_user_id >& access_token=< application_access_token >


      02.09.2015 00:43: Экс-сотрудник Секретной службы США признал себя виновным в краже $820 тыс
     В понедельник, 31 августа, бывший сотрудник Секретной службы США Шон Бриджес (Shaun W. Bridges) признался в хищении $820 тыс. в биткоинах в ходе расследования по делу подпольной торговой площадки Silk Road. Приговор экс-агенту будет оглашен 7 декабря нынешнего года.

     Бриджес, который входил в Балтиморскую следственную группу, в январе 2013 года, воспользовавшись учетной записью администратора Silk Road, перевел 20 тыс. биткоинов на свой персональный счет. Затем, когда стоимость криптовалюты возросла, Бриджес обналичил ее и перевел $820 тыс. на личные счета в США. Как предположило следствие, агент проводил транзакции и спрятал деньги с помощью токийского биткоин-обменника Mt GOX до того, как был выдан официальный ордер на арест основателя Silk Road Росса Ульбрихта (Ross Ulbricht).

     Напомним, приговор по делу Ульбрихта был вынесен 29 мая текущего года. По решению суда, создатель Silk Road получил пожизненный срок заключения.

     Помимо Бриджеса, обвинения в мошенничестве и отмывании денег были предъявлены еще одному участнику следственной группы Карлу Марку Форсу Четвертому (Carl Mark Force IV) из Управления по борьбе с наркотиками США. Форс был также обвинен в краже государственного имущества и в создании конфликта интересов. Уголовное дело возбудили в суде города Сан-Франциско. Суд на Форсом состоится 19 октября 2015 года.

      02.09.2015 00:42: Троян-локер Shade заражает систему жертвы множеством вирусов
     Shade попадает на компьютер жертвы двумя способами: либо через спам-рассылки, либо с помощью эксплойтов. В первом случае жертва получает письмо с вредоносным вложением, попытка открыть которое приводит к заражению системы. Имя файла меняется с каждой новой волной рассылки.

     Во втором случае вредоносный код появляется в системе после посещения жертвой скомпрометированного веб-сайта.Вредоносный код на сайте задействует уязвимость в браузере или его плагинах, после чего в систему тайно устанавливается локер.

     После попадания на компьютер жертвы Shade начинает шифровать файлы и добавлять к ним расширения .xtbl и .ytbl. Но на этом действие троянца не прекращается. Помимо своей основной работы Shade скачивает и устанавливает в систему пользователя другие вредоносные программы нескольких различных семейств, например программу подбора паролей к веб-сайтам. Еще одно вредоносное ПО, загружаемое шифровальщиком, известно как Trojan-Downloader.Win32.Zemot – этот зловред в свою очередь может устанавливать на компьютер жертвы известный банковский троянец ZeuS.

     В случае обнаружения шифровальщика Shade (либо результатов его работы — файлов с расширениями .xtbl, .ytbl) настоятельно рекомендуется провести полную антивирусную проверку компьютера. В противном случае система с большой долей вероятности останется заражена вредоносными программами, закаченными троянцем.

      02.09.2015 00:40: Keyraider заразил 225 тысяч джейлбрейкнутых Iphone
     Исследователи из Palo Alto Networks обнаружили новое семейство зловредов, нацеленных на поражение джейлбрейкнутых смартфонов Apple. Вредонос KeyRaider установлен на четверть миллиона устройств. С каждого снимаются учетные данные для аккаунтов Apple и отправляются на C&C сервер. Таким образом, произошел один из крупнейших взломов аккаунтов Apple в истории.

     Как обычно, malware распространяется через каталог программного обеспечения Cydia, свободную альтернативу App Store. Вредоносный код KeyRaider добавлен к легитимным программам для «настройки джейлбрейка» (jailbreak tweak) и незаметно устанавливается на мобильное устройство жертвы. Распространением занимается пользователь Миша (mischa07).

     От действий зловреда пострадали пользователи как минимум восемнадцати стран, особенно тех, где пользователи Apple любят делать джейлбрейк. Это Китай и Россия. Кроме них, пострадали пользователи из Франции, Японии, Великобритании, США, Канады, Германии, Австралии, Израиля, Италии, Испании, Сингапура и Южной Кореи.

     Самое интересное, что иногда инфекция не ограничивается только кражей учетных данных. В некоторых случаях KeyRaider работает, как локер, т.е. блокирует телефон и требует деньги за разлок. Отмечены и случаи несанкционированного снятия денег со счетов отдельных пользователей.

     Кроме 225 000 украденных аккаунтов, хозяева KeyRaider получили в свое распоряжение тысячи сертификатов, секретных ключей шифрования и счетов с финансами.

     Собранную информацию зловред отправляет на командный сервер, который и сам страдает от наличия SQL-inj. Взломав сервер с помощью этой уязвимости, специалисты Palo Alto Networks получили точную информацию о количестве угнанных Apple-аккаунтов: 225 941. Возможно, вскоре база появится в торрентах.

     Примерно 20 000 аккаунтов в базе содержат в открытом виде имя пользователя, пароль и GUID, остальная часть зашифрована.

      02.09.2015 00:34: Обнаружен новый экземпляр похищающего логины и пароли malware
     Специалисты IBM обнаружили новый экземпляр malware, предназначенного для хищения логинов и паролей. Вредонос обладает достаточной гибкостью, чтобы в будущем получить возможность похищать личные данные в режиме реального времени.

     По словам специалиста IBM в области кибербезопасности Лаймора Кессема (Limor Kessem), CoreBot имеет модулярную структуру, позволяющую в будущем легко расширять функционал вредоноса, добавляя новые механизмы хищения данных. В настоящее время вредоносное ПО похищает логины и пароли, а также лицензионные ключи установленных на компьютере программ. Тем не менее, эксперты крайне взволнованы его модулярной структурой.

     «Несомненно, самой интересной особенностью CoreBot является его система плагинов, благодаря которой обеспечивается модульная структура вредоноса и его потенциал, – заявил Кессем. – Сразу после установки на целевую систему CoreBot загружает плагины с C&C-сервера, после чего внедряет их с помощью функции экспорта plugininit в DLL плагина».

     В настоящее время CoreBot использует лишь один плагин, известный как Stealer. Он похищает логины и пароли, сохраненные во всех крупных браузерах, FTP- и email-клиентах, сервисах Webmail, а также кошельках криптовалют, частных сертификатах и классических приложениях. По данным IBM, сейчас CoreBot не может похищать данные напрямую из браузера в режиме реального времени, но по мере появления дополнительных плагинов вредонос обзаведется и этой функциональностью.

      31.08.2015 23:12: R01 и Timeweb взломаны
     Вчера стало известно об инциденте безопасности, связанном с атакой на серверы имен регистраторов R01 и TimeWeb. Пользователи, чьи домены находились на серверах имен этих регистраторов начали замечать проблемы с доступностью сайтов. Многие посетители жаловались, что при посещении популярных сайтов их перенаправляет на сторонние ресурсы.

     Хакерам удалось взломать R01 и Timeweb, и изменить NS-записи для некоторых доменов и перенаправить трафик пользователей на сторонние сайты. В системе Регистратора была выполнена автоматическая отмена внесенных изменений в DNS-записи.

     На данный момент все доменные имена делегированы на корректные ns-серверы и готовы к работе. По результатам расследования происшествия будут приняты меры по усилению безопасности, позволяющие предотвратить подобные ситуации в дальнейшем.

      31.08.2015 23:07: Иранские хакеры применяют фишинговую схему для взлома аккаунтов Gmail
     Хакеры из Ирана разработали сложную фишинговую схему для обхода средств защиты ученых записей в Gmail, сообщается в отчете специалистов лаборатории Citizen Lab, работающей в рамках научного центра Munk School of Global Affairs при Университете Торонто. По сути, тактика не является инновационной – нечто подобное уже использовалось в прошлом в атаках на финансовые организации.

     Новый метод предполагает использование телефонов и электронной почты для обхода двухфакторной аутентификации, реализованной Google. Большинство атак начинаются с телефонного звонка с британского номера, причем звонящий может разговаривать как на английском языке, так и на фарси. Эксперты отмечают, что атакующие прекрасно осведомлены об активности жертвы, а их тактика сходна с методами, используемыми иранскими хакерскими группировками.

     В ходе атаки преступники пытаются завладеть паролем пользователя и одноразовым 2FA-кодом. В одном из сценариев хакеры используют фальшивые страницы, имитирующие процесс аутентификации Gmail, и похищают вводимые пользователем данные, одновременно осуществляя попытки зайти на настоящую страницу Gmail. Таким образом злоумышленникам удается получить подлинный 2FA-код.

     По другому сценарию атака начинается с телефонного звонка по ходу которого неизвестный, говорящий на фарси, предлагает жертве выгодное сотрудничество, при этом демонстрируя полную информированность о профессиональной деятельности пользователя и его хобби. Затем хакер отправляет «деловое предложение» на личный электронный адрес жертвы. Письмо весьма напоминает уведомление Google Drive с прикрепленным к нему документом. Ссылка на документ ведет на страницу регистрации Google Drive, где в соответствующих полях уже указаны электронный адрес и имя пользователя. При нажатии на опцию «Просмотр документа» отображается фальшивая страница авторизации Gmail.

     По словам старшего исследователя Citizen Lab Джона Скотт-Рэилтона (John Scott-Railton), атаки, по всей видимости, являются политическими, поскольку список жертв злоумышленников включает руководителя некоммерческой правозащитной организации Фонд Электронных Рубежей и иранских активистов.

      29.08.2015 01:59: В продажу поступил Sphinx, новый вариант Zeus
     Новый вариант популярного банковского трояна Zeus поступил в продажу на подпольных форумах. Код Sphinx написан на C++ и основан на открытом исходном коде ZeuS. Троян под названием Sphinx работает исключительно через сеть анонимайзеров Tor. Разработчик уверяет, что новая программа неуязвима для синкхолинга, блэклистинга и ZeuS-трекеров. При этом ей даже не нужен специализированный защищенный хостинг.

     В настоящее время Sphinx продается по цене $5000 за бинарный файл. Продавец принимает биткоины и Dash. Троян поддерживает все необходимые функции, в том числе Backconnect VNC и Backconnect SOCKS, веб-инжекты в формате ZeuS. В режиме удаленного управления хозяин бота может удалить с ПК антивирусные программы и произвести другие действия незаметно от жертвы.

     В данный момент Sphinx предполагается использовать в операционных системах Windows Vista и Windows 7, с включенным UAC и без применения локальных эксплоитов. Панель управления Sphinx не отличается от панели управления ZeuS.

      29.08.2015 01:56: Agora закрылся из-за брешей в протоколе Tor Hidden Services
     Крупнейший в сети Tor подпольный рынок Agora был временно закрыт из-за переживаний его администрации по поводу уязвимости ресурса к новым методам обнаружения скрытых сервисов Tor. Скрытыми сервисами являются web-сайты, доступ к которым можно получить только через Tor, скрывающий IP-адреса серверов подпольных ресурсов и устройств покупателей.

     Agora сумела избежать множество правоохранительных рейдов и даже обошла по популярности и численности клиентов подпольную площадку Silk Road. Администраторы Agora опубликовали сообщение, подписанное с помощью открытого PGP-ключа, в котором сказано, что ресурс переходит в автономный режим работы. Представители Agora обеспокоены недавно обнаруженными ИБ-экспертами уязвимостями в протоколе Tor Hidden Services, которые могут быть проэксплуатированы для обнаружения местоположения серверов подпольного рынка.

     Разработчики Agora уже занимаются поиском решений для улучшения безопасности подпольного ресурса, однако это займет некоторое время. В сообщении также сказано, что эксперты Agora обнаружили подозрительную активность вокруг серверов, и ими было принято решение переместить серверы в другое место.

     Пока неясно, на какие ИБ-исследования ссылаются представители Agora. Вполне вероятно, что администрацию подпольного рынка встревожил документ, представленный на USENIX Security Symposium, в котором описан новый метод определения местонахождения серверов скрытых сервисов Tor.

      29.08.2015 01:54: В DSL-маршрутизаторах Asus, ZTE и Digicom выявлены дефолтные доступы
     В некоторых моделях DSL-маршрутизаторов ASUS, DIGICOM, Observa Telecom, PLDT и ZTE выявлено использование предопределённых параметров входа. В частности, в системе присутствует пользователь admin с типовым паролем "XXXXairocon", под которым можно подключиться к устройству c правами администратора, используя протокол telnet. XXXX в пароле соответствует последним цифрам MAC-адреса устройства, который можно узнать через запрос публично выдаваемой по SNMP статистики.

     Изначально проблема была выявлена для устройства ZTE ZXV10 W300, но потом выяснилось, что некоторые модели других производителей также используют аналогичные прошитые параметры входа. В частности, проблеме подвержены устройства ASUS DSL-N12E, DIGICOM DG-5524T, Observa Telecom RTA01N, Philippine Long Distance Telephone (PLDT) SpeedSurf 504AN и Kasda KW58293, а также возможно и другие модели.

Новостей: 8165 (Страниц: 681, Новостей на странице: 12)
[1] 2 3 4 5
Онлайн-утилиты
 Безопасность
Расширенный тест анонимности
Тест браузера (короткий)
Проверка сложности пароля
Генератор паролей

 Другое
Тест скорости
Расчет скорости скачивания
Конвертер IPv4 / IPv6
Конвертер UNIX / GMT время
Jabber Valid Checker

Быстрый переход
вирус firefox взлом форум security flash linux ip rss explorer windows exploit проверка socks root apple Google Facebook ddos Symantec ssl ботнет Android спам Chrome троян добавить тег


Powered by Exploit.IN © 2005-2015