|
|
|
Как сообщают исследователи из Lookout, им удалось обнаружить вредоносное приложение Dendroid, ориентированное на пользователей Android. Вирус представляет собой руткит (Remote Access Toolkit), предоставляющий хакерам удаленный доступ к скомпрометированным устройствам.
В настоящий момент создатели Dendroid продают свою разработку всем, кто желает автоматизировать процесс распространения вредоносного ПО, по цене в $300. Авторы вируса заверяют, что инструмент способен скрытно осуществлять видеосъемку, записывать аудио и звонки пользователя, отправлять текстовые сообщения и многое другое.
Более того, руткит содержит несколько функций, предназначенных для того, чтобы скрыть свою активность от антивирусных решений, в том числе от Bouncer на Google Play.
По мнению исследователей, Dendroid является результатом объединения нескольких вредоносных проектов. Об этом свидетельствует невероятно обширный список возможностей вируса, а также заметно варьирующийся уровень сложности отдельных компонентов - некоторые из них довольно сложно эксплуатировать, не имея соответствующих навыков.
|
|
|
Bitcoin-обменники продолжают оставаться проблемой для инвесторов. Сегодня еще один обменник сообщил о хакерской атаке, в результате которой было похищено 76,69 биткоинов на сумму около 50 000 долларов. Как сообщил оператор интернет-платформы Poloniex, в результате нападения площадка потеряла примерно 12,5% всех имевшихся у нее биткоинов.
В компании заявили, что пока не готовы предоставить технических подробностей относительно взлома. В компании Busoni, владеющей Poloniex, говорят, что неизвестной группе хакеров удалось выявить баги в программном коде Poloniex, через которые были похищены виртуальные монеты.
На данный момент сама площадка Poloniex продолжает функционировать и клиенты ведут транзакции через нее. Также в компании пока ничего не сообщили о возможном возмещении ущерба клиентам.
|
|
|
В реализации гипервизора KVM выявлена уязвимость (CVE-2014-0049), позволяющая пользователю гостевой системы выполнить код на уровне ядра гостевой системы. Проблема вызвана ошибкой в функции "complete_emulated_mmio()" (arch/x86/kvm/x86.c), проявляющейся при обработке повторяющихся эмулированных операций emulator_read_write, что при определённом стечении обстоятельств может привести к повреждению областей памяти ядра.
Уязвимость подтверждена в ядрах 3.10.x, 3.12.x и 3.13.x. Стабильные выпуски Debian и RHEL не подвержены проблеме, для Fedora 20 выпущено обновление kernel-3.13.5-202.fc20. Для основной ветки ядра Linux исправление доступно в виде патча.
|
|
|
Эксперт по компьютерной безопасности в Trend Micro Лион Гу (Lion Gu) опубликовал доклад о китайском рынке мобильных киберпреступников. Специалист изучил сервисы по SMS-спаму и другие подобные продукты, которые подпольно продают в стране.
На черном рынке Китая предлагают программы для автоматической отправки входящих сообщений на определенные номера. Хакеры продают сервисы для спама пользователей iMessage, софт для поднятия рейтинга приложений и телефонные номера. Один из любимых методов преступников по получению денег – это принудительная подписка пользователей на премиум-сервисы.
Специальный софт подключает жертв к SMS-услугам без их ведома. Пользователи подписываются на такие услуги для получения сообщений или уведомлений. SMS-трояны сделаны так, чтобы перехватывать и удалять сообщения о подтверждении на подписку.
SMS-софт опасен и тем, что способен перехватывать входящие сообщения и передавать их хакерам. Это опасно, ведь человеку могут прислать коды или идентификационные данные. Пароли могут открыть хакерам доступ к онлайновым банковским счетам или услугам.
Взломщики продают устройства для SMS-спама. Например, GSM-модемы могут использоваться для отправки и получения текстовых сообщений несколькими SIM-картами. Продукт с 16 карточками способен отсылать до тысячи SMS в час.
Преступники, которые хотят обмануть пользователей продукции Apple, полагаются на софт для сервиса iMessage. Посредством приложений можно отсылать сообщения владельцам Mac, iPhone, iPad и iPod. Такая услуга стоит $16 за тысячу отправлений.
|
|
|
На конференции по безопасности RSA, проходившей на прошлой неделе, двое исследователей продемонстрировали возможность вполне законно и бесплатно создавать ботнеты, используя пробные учетные записи в облачных сервисах.
Эксперт по безопасности компании Bishop Fox Роб Рэген (Rob Ragan) сообщил, что он и его коллега, Оскар Салазар (Oscar Salazar), хотели проверить, можно ли создать ботнет при помощи доступных облачных сервисов, и последние несколько лет вели исследования в этой области. «Нам начали приходить электронные письма и различные уведомления наподобие «Предлагаем бесплатный ящик Amazon EC2, бесплатное хранилище данных и бесплатную платформу для разработки и размещения кода», и мы подумали: «О! Здесь должно быть достаточно мощности для вычислений».
Исследователи решили проверить, насколько сложно будет автоматизировать процесс регистрации в неограниченном количестве бесплатных учетных записей на предложенных сайтах, а затем создать центральную систему контроля, откуда атакующий смог бы рассылать вредоносное ПО. В итоге Рэген и Салазар пришли к выводу, что это очень легко.
«Нам действительно с легкостью удалось получить сотни ящиков определенных провайдеров и создать способ централизовано осуществлять такие действия, как, например, масштабное сканирование портов», - отметил Рэген.
По словам исследователей, им также удалось разработать концепт добычи Bitcoin: «Если у вас есть столько вычислительной мощности, за которую еще и не надо платить, то почему бы не использовать ее для генерации Bitcoin? Это могло бы стать огромным стимулом для киберпреступников к использованию этих платформ в своей деятельности».
|
|
|
Хакерская группа Russian Cyber Command опубликовала около тысячи документов, которые слила у Рособоронэкспорта. Это единственная компания, которая занимается экспортом и импортом продукции военного назначения.
«Учитывая последние бредовые попытки нашего правительства развязать Третью мировую войну, мы свободные от Путина жители Российской Федерации, решили объявить домашнюю кибервойну российским военным предприятиям. Речь пойдет о компаниях, на которых держится империя Путина», – утверждается в сообщении хакеров.
Утечка данных, похоже, реальна. Опубликованные файлы весят 500 Мб и были загружены на BayFiles. Хакеры получили файлы после взлома сети посольства Индии в Москве. Злоумышленники получили доступ к сети посольства и отправили email с вредоносным софтом главе Рособоронэкспорта. Так им удалось взломать серверы компании.
По аналогичной схеме взломщики получили доступ к фирмам Сухой, Оборонпром, Велес, Капитал и РУСАЛ. Хакеры утверждают, что вскоре опубликуют информацию о данных организациях. В марте 2012 года появилась информация о том, что Россия начала кибератаки против Украины. Похожая активность наблюдалась в 2008 году во время войны с Грузией.
|
|
|
Доступен корректирующий выпуск интерпретатора языка программирования PHP 5.5.10, в котором исправлено несколько ошибок, обновлена поставляемая в комплекте библиотека PCRE 8.34, добавлена поддержка указания нескольких путей в php_ini_scanned_path, в расширении LDAP добавлена функция ldap_modify_batch, в расширении Openssl добавлена пооддержка проверки EC-ключей (elliptic curve) через php_openssl_is_private_key.
Устранены 3 уязвимости: две в дополнении Fileinfo (CVE-2014-1943 - бесконечная рекурсия, CVE-2014-2270 - выход за границы области памяти) и одна в GD (CVE-2013-7327, разыменование указателя NULL). Одна из проблем потенциально позволяет организовать выполнение кода при обработке функцией fileinfo специально оформленного исполняемого файла в формате PE. Указанная уязвимость также устранена в коде утилиты file.
|
|
|
Компания Marble Security сообщила об обнаружении партии смартфонов от ведущих производителей с предустановленным шпионским ПО. Согласно данным компании, во время расследования инцидента безопасности они обнаружили у одного из своих клиентов вредоносное ПО, замаскированное под приложения Netflix. В ходе расследования удалось выяснить, что многие новые телефоны, которые были приобретены компанией, содержали шпионское ПО.
Среди скомпрометированных устройств были смартфоны и планшеты от Samsung, Motorola, Asus и LG Electronics. После исследования троянского приложения выяснилось, что вредонос собирал пароли и финансовую информацию, а затем отправлял их на сервер, расположенный в России.
По словам технического директора Marble Security Дэвида Джеванса (David Jevans), устройства были куплены у поставщика уже с установленным вредоносным ПО. С такой же проблемой немного позже в компанию обратился другой клиент.
В настоящий момент известно, что вредоносное ПО было установлено до покупки смартфона клиентом. В список скомпрометированных устройств попало семейство Samsung Galaxy Note, телефоны Galaxy 3 и 4 phones, планшеты Asus, смартфон LG's Nexus S, а также телефоны Motorola Droid.
|
|
|
Компания Qrator Labs составила отчет по активности DDoS'еров в 2013 году. За прошлый год Qrator Labs нейтрализовала 6644 DDoS-атак. Годом ранее эта цифра составила 3749. 2х-кратный рост обусловлен ростом активности киберпреступников в целом.
В Qrator Labs заявили: «По нашим оценкам, общее количество атак на российские сайты выросло за прошлый год примерно на четверть. Также возросло среднее число атак, приходящихся на один сайт. Одна из причин происходящего — в том, что осуществить DDoS-атаку в последние годы не становится сложнее. Например, для организации атаки типа DNS Amplification полосой 150 Гб/сек и больше достаточно 5-10 серверов средней мощности».
Максимальный размер ботнета, задействованного в атаке, вырос с 207 401 до 243 247 машин. Увеличилась также доля Spoofing-атак – с 43,05% до 57,97%. Это атаки, в которых вместо IP-адреса реального пользователя подставляется фальшивый. Максимальная длительность атаки сократилась с 83 дней в 2012 году до 22 дней в 2013.
На фоне заметного роста «интеллектуализации» ботнетов, имитирующих поведение рядового пользователя, также существенно выросло количество высокоскоростных атак типа SYN-flood.
С марта по октябрь 2013 года подавляющее число атак производилось с использованием DNS Amplification. Это атаки, когда злоумышленник посылает запрос (обычно короткий в несколько байт) уязвимым DNS-серверам, которые отвечают на запрос уже в разы большими по размеру пакетами. Если при отправке запросов использовать в качестве исходного IP-адреса адрес компьютера жертвы (ip spoofing), то уязвимые DNS-серверы будут посылать ненужные пакеты этому компьютеру, пока полностью не парализуют его работу.
В декабре 2013-го стало расти число атак c использованием технологии NTP Amplification. Такие атаки по принципу организации похожи на DNS Amplification, но вместо DNS-серверов злоумышленники используют серверы синхронизации времени — NTP. Увеличение количества подобных инцидентов продолжается и в первые два месяца 2014 года.
|
|
|
В GnuTLS 3.2.12, свободной библиотеке с реализацией протоколов SSL, TLS и DTLS и функций для работы с различными типами сертификатов, устранена критическая уязвимость (CVE-2014-0092). Проблема проявляется во всех выпусках GnuTLS и даёт возможность обойти процедуры верификации сертификатов X.509, в результате чего специально оформленный поддельный сертификат может быть воспринят как валидный.
Хакер, имеющий контроль над транзитным оборудованием (например, имеющий доступ к маршрутизатору или кабелю), может организовать MITM-атаку (man-in-the-middle) и использовать незаверенный в удостоверяющем центре поддельный сертификат для получения контроля над транзитным TLS-соединением клиента. Также не исключается использование уязвимости в GnuTLS для распространения фиктивных обновлений пакетов c обходом системы проверки по цифровой подписи.
Проблема возникла из-за ошибочного выполнения команды очистки ('goto cleanup') вместо перехода в секцию вывода ошибки ('goto fail'), что позволяет атакующему сформировать универсальный поддельный сертификат, который всегда будет проходить процедуру верификации.
Уязвимость оценивается как очень серьёзная. Ховард Чу (Howard Chu), главный архитектор проекта OpenLDAP, ещё в 2008 году выступал с рекомендацией прекращения использования GnuTLS в связи с несоблюдением элементарных правил безопасности в кодовой базе GnuTLS, в частности, повсеместном использовании функций strlen и strcat. По мнению Ховарда, исправить ситуацию может только полный пересмотр API GnuTLS.
|
|
|
Программное обеспечение порядка 95% банкоматов американских банков вскоре перестанет получать обновления, и устройства станут уязвимыми для проведения кибератак. Причиной такого положения вещей послужило то, что указанные банкоматы работают под управлением Windows XP, поддержку которой Microsoft прекратит через месяц, 8 апреля.
По словам эксперта по обслуживанию банкоматов в компании Triton Кертиса Джонсона (Kurtis Johnson), данная проблема является весьма серьезной. Если банки не успеют вовремя перейти на более новые версии платформы, пользователи банкоматов рискуют потерять данные. Если хакерам удастся обнаружить новые бреши, Microsoft уже не сможет их исправить, предоставляя злоумышленникам возможность свободной эксплуатации уязвимостей.
Стоит отметить, что отсутствие обновлений и исправлений безопасности для банкоматов является весьма серьезной проблемой, поскольку злоумышленники могут устанавливать на устройствах вредоносное ПО для перехвата данных о банковской карте, в том числе PIN-код.
Учитывая тот факт, что переустановка ОС на всех банкоматах является очень длительным и дорогостоящим процессом, крупнейшие банки США заключают сделки с Microsoft на продление поддержки Windows XP. В частности, JPMorgan приобрела дополнительную поддержку ПО для банкоматов на год, а в июне этого года на устройствах в отделениях Chase будет установлена Windows 7. Известно, что Wells Fargo также обновит ПО банкоматов, однако временные рамки пока остаются в тайне. Bank of America, в свою очередь, отказался как-либо комментировать ситуацию.
|
|
|
Вредоносные программы, заражающие электронную «начинку» банкоматов, — явление не слишком распространенное, поэтому появление новых образцов подобного ПО неизменно вызывает интерес специалистов. В распоряжении вирусных аналитиков появился образец троянца Trojan.Skimer.19, способный инфицировать банкоматы одного из зарубежных производителей, используемые многочисленными банками на территории России и Украины.
Это уже третий тип банкоматов, на которые ориентированы троянцы семейства Trojan.Skimer. Согласно имеющейся у «Доктор Веб» информации, организованные злоумышленниками атаки на банковские системы с применением Trojan.Skimer.19 продолжаются и по сей день.
Основной вредоносный функционал этого троянца, как и его предыдущих модификаций, реализован в виде динамической библиотеки, которая хранится в NTFS-потоке другого вредоносного файла, детектируемого антивирусным ПО Dr.Web как Trojan.Starter.2971. Если в инфицированной системе используется файловая система NTFS, Trojan.Skimer.19 также хранит свои файлы журналов в потоках — в эти журналы троянец записывает треки банковских карт, а также ключи, используемые для расшифровки информации.
Заразив операционную систему банкомата, Trojan.Skimer перехватывает нажатия клавиш EPP (Encrypted Pin Pad) в ожидании специальной комбинации, с использованием которой троянец активируется и может выполнить введенную хакером на клавиатуре команду. Среди выполняемых команд можно перечислить следующие: сохранить лог-файлы на чип карты, расшифровать PIN-коды; удалить троянскую библиотеку, файлы журналов, «вылечить» файл-носитель, перезагрузить систему (злоумышленники дважды отдают команду инфицированному банкомату, второй раз – не позднее 10 секунд после первого); вывести на дисплей банкомата окно со сводной статистикой: количество выполненных транзакций, уникальных карт, перехваченных ключей и т. д.; уничтожить все файлы журналов; перезагрузить систему; обновить файл троянца, считав исполняемый файл с чипа карты.
Последние версии Trojan.Skimer могут активироваться не только с помощью набранного на клавиатуре банкомата кода, но и с использованием специальных карт, как и в более ранних вариантах троянских программ данного семейства. Для расшифровки данных Trojan.Skimer применяет либо встроенное ПО банкомата, либо собственную реализацию симметричного алгоритма шифрования DES, используя ранее перехваченные и сохраненные в журнале ключи.
|
Новостей: 6868 (Страниц: 573, Новостей на странице: 12)
[1] 2 3 4 5  |
|
|
ssl)
||
Exploit.IO
Безопасность
Другое