Exploit.IN - сайт о сетевой безопасности и защите
Наши зеркала:  Exploit.IN ( ssl)    ||    Exploit.IO
Навигация
Основное:
  На главную
  Написать нам
  Онлайн-утилиты
  Форум

Новости:
  Архив новостей
  Поиск новостей
  RSS-новости
  Twitter

Реклама

Zloy.bz

DamageLab


      05.02.2016 16:55: C&C сервер трояна Dridex взломали, и начали распространять антивирус Avira
     Ботнет Dridex, распространяющий одноименный банковский троян, оказался взломан неизвестным доброжелателем. Анонимный шутник заставил ботнет «заражать» пользователей антивирусом Avira.

     Хотя в конце 2015 года ФБР провело операцию по прекращению деятельности ботнета Dridex, сеть все равно осталась на плаву и продолжила распространять малварь. Как правило, данный ботнет используется для рассылки спама. Письма содержат вредоносные вложения, в основном в виде документов Word с нехорошими маросами. Как только жертва открывает такой файл, срабатывает макрос, и с C&C сервера хакеров скачивается пейлоуд. Проникнув в систему, Dridex создает за зараженной машине кейлоггер, а также использует невидимые редиректы и веб-инъекции для банковских сайтов.

     «Вредоносный контент, загружающийся по URL злоумышленников, был заменен на оригинальную, самую свежую версию инсталлятора Avira (вместо обычного загрузчика Direx)», — рассказал один из экспертов Avira.

     Таким образом, жертвы ботнета в последнее время получали не банковский троян, а актуальную, подписанную копию антивируса. В компании Avira сообщают, что им неизвестно, кто провернул этот трюк, и какие цели он преследовал. Свою причастность к инциденту разработчики антивируса опровергают.

      05.02.2016 16:45: Обновление PHP 5.5.32, 5.6.18 и 7.0.3 с устранением уязвимостей
     Доступны корректирующие выпуски языка программирования PHP 7.0.3, 5.6.18 и 5.5.32, в которых внесено около 40 изменений, в том числе устранено несколько уязвимостей: несколько проблем, связанных с разыменованием указателя NULL, возможность фальсификации вывода функции stream_get_meta_data, целочисленное переполнение в iptcembed(), обращение к неинициализированной области памяти в openssl_seal(), повреждение памяти при разборе некорректных файлов tar/zip/phar, переполнение стека при распаковке файлов tar, обращение к уже освобождённым областям памяти в SPL, переполнение буфера в вызове exec() и т.п.

     В версиях PHP 5.6.18 и 7.0.3 также добавлена поддержка нового кода ответа HTTP 451 (Unavailable For Legal Reasons), предназначенного для обозначения факта блокировки доступа на основании решения властей. Библиотека pcrelib обновлена до версии 8.38.

      05.02.2016 16:40: Хакеры взломали 20 млн аккаунтов площадки Taobao
     Китайские хакеры взломали более 20 млн активных учетных записей пользователей торговой площадки Taobao, принадлежащей компании Alibaba Group. Как сообщил представитель Alibaba, специалисты обнаружили атаку на начальной стадии и обратились к пользователям с просьбой изменить пароли. Большинство попыток проникновения были вовремя обнаружены и предотвращены. Хакеры начали применять схему в середине октября 2015 года, но в ноябре были выявлены. На данный момент хакеры задержаны.

     Согласно данным отчета Министерства общественной безопасности КНР, хакерам удалось получить базу данных, состоящую из 99 млн записей (имя пользователя/пароль), применяемых на различных сайтах. Из указанного количества 20,59 млн учетных данных использовались для аккаунтов Taobao.

     Хакеры использовали скомпрометированные учетные записи для оформления фальшивых заказов. Данная практика известна в Китае как «чистка» и используется для повышения рейтингов торговцев. Помимо прочего, хакеры занимались продажей учетных записей, впоследствии используемых для мошенничества.

     Предположительно, взлом мог произойти из-за уязвимости в платформе Alibaba, однако, по словам пресс-секретаря компании, система надежно защищена. Атака не способствовала появлению любых возможных лазеек для преступников, заверил представитель Alibaba Group.

      02.02.2016 23:29: Хакеры AnonSec взломали НАСА и попытались утопить дрона, стоимостью $222,7 млн
     Группа хакеров AnonSec заявляет, что им удалось взломать Национальное управление по воздухоплаванию и исследованию космического пространства (НАСА). В качестве доказательств хакеры опубликовали архив объемом 275 Гб, содержащий 631 видео с БПЛА и метеорологических радиолокаторов, 2143 бортовых журнала, а также имена, email-адреса и телефоны 2414 сотрудников ведомства.

     На PasteBin хакеры опубликовали новый выпуск собственного езина, озаглавленный «OpNasaDrones». В журнале AnonSec подробно рассказали о своих мотивах и о том, как именно им удалось хакнуть НАСА.

     Так как к трояну Gozi группа отношения не имеет, хакеры пишут, что они попросту купили доступ к зараженному серверу у автора Gozi, и сервер стал отправной точкой входа. Затем AnonSec принялись проверять, сколько машин в сети НАСА им удастся взломать, получив root-доступ. Безопасность НАСА действительно оставляла желать лучшего: запустив обычный брутфорс, хакеры нашли первое сочетание логина и пароля root:root через 0,32 секунды.

     Стоит ли удивляться, что со временем хакеры сумели пробраться и во внутреннюю сеть ведомства, получив root-доступ, в том числе, к сетевым хранилищам данных. NAS использовались для загрузки и хранения бэкапов планов полетов дронов НАСА, которые в итоге оказались в руках хакеров. Также AnonSec сумели добраться до материалов Исследовательского центра имени Джона Гленна, Центра космических полетов им. Р. Годдарда и Летно-исследовательского центра им. Драйдена. Материалы содержали самые разные данные, полученные с воздушных судов ведомства, что очень обрадовало взломщиков. К тому времени AnonSec уже решили, что основная миссия данного взлома: узнать побольше о том, как продвигаются исследования НАСА в области засева облаков.

     Помимо прочего, AnonSec сумели добраться и до материалов проектов Global Hawk и Operation Ice Bridge. Разведывательные БПЛА Global Hawk – очень амбициозная разработка. Они создавались специально для дальних полетов, в том числе и над океаном. Такой дрон способен провести в воздухе почти 24 часа. Каждая из этих машин стоит $222,7 млн. Однако AnonSec уверяют, что с безопасностью у хваленых беспилотников все плохо.

     Хакеры заметили, что инженеры НАСА обычно загружают в беспилотники заранее просчитанные планы полетов для большинства миссий, в виде файлов .gpx. Применив простейшую man-in-the-middle атаку, AnonSec сумели перехватить план полета и подменили файл собственным, который направлял дрон Global Hawk, стоимостью сотни миллионов долларов, прямиком в воды Тихого океана. Утопить аппарат в океане не удалось. Хотя фальшивый план полета был удачно загружен в Global Hawk, один из инженеров заметил нечто странное и перевел машину в режим ручного управления.

      02.02.2016 23:24: В Android устранена уязвимость, эксплуатируемая через беспроводную сеть
     Компания Google выпустила обновление прошивки для устройств Nexus, в котором устранено несколько критических уязвимостей в драйверах для беспроводных чипов Broadcom и Qualcomm.

     Проблемы в драйвере Broadcom (CVE-2016-0801, CVE-2016-0802) позволяют удалённому хакеру, имеющему доступ к Wi-Fi сети, организовать выполнение кода на подключенном к данной сети уязвимом устройстве. Уязвимость эксплуатируется через отправку специально оформленного управляющего пакета, при обработке которого происходит выход за границы буфера, что может быть использовано для организации выполнения кода на уровне ядра.

     Уязвимость в драйвере Qualcomm (CVE-2016-0806) даёт возможность локальному атакующему выполнить код с правами ядра. Кроме того, две опасные локальных уязвимости (CVE-2016-0807, CVE-2016-0805), позволяющие повысить свои привилегии в системе, устранены в отладочном процессе (Debugger Daemon) и модуле контроля за производительностью ARM-процессоров Qualcomm (Qualcomm Performance Module).

     В обновлении также устранена критическая уязвимость в медиасервере (CVE-2016-0803, CVE-2016-0804), позволяющая организовать выполнение кода с правами процесса mediaserver при обработке специально оформленного контента. Например, уязвимость может быть эксплуатирована при открытии непроверенных мультимедийных данных в браузере или при воспроизведении MMS-сообщения. В дальнейшем, атакующие могут воспользоваться локальными уязвимостями в драйверах для получения полного контроля за системой.

     Неприятная проблема устранена в библиотеке Minikin (CVE-2016-0808): при установке непроверенного шрифта уязвимость приводит к краху и перезагрузке, что может быть использовано для блокирования доступа к устройству из-за вхождения в бесконечный цикл перезагрузок.

     В публичный репозиторий AOSP (Android Open Source Project) исправления будут внесены в ближайшие несколько дней. Производители устройств на базе платформы Android были уведомлены о наличии проблем 4 января. Исправления для устройств Nexus выпущены для прошивок с Android 4.4.4, 5.0, 5.1.1, 6.0 и 6.0.1. Информация о проблеме с драйвером Broadcom была отправлена производителю 25 октября. Информация о возможной подверженности проблемам других систем на базе ядра Linux пока отсутствует.

      02.02.2016 23:23: У шпионского трояна для Linux есть Windows-версия
     Эксперты сообщили об обнаружении «брата-близнеца» трояна Linux.Ekocms. В классификации «Лаборатории Касперского» малварь, ориентированная на Linux системы, получила имя Backdoor.Linux.Mokes.a. Но согласно новому отчету, у вредоноса также имеется и версия для Windows.

     В конце января сотрудники компании «Доктор Веб» сообщили об обнаружении трояна Linux.Ekoms.1. Малварь не только делает снимки экрана жертвы с определенной периодичностью, но способна загружать на зараженную машину различные файлы. Чуть позже компании Sophos и «Лаборатория Касперского» также идентифицировали новую угрозу, дав ей названия Linux/Mokes-A и Backdoor.Linux.Mokes.a, соответственно. Но оказалось, что атаками на пользователей Linux дело не ограничивается. В новом аналитическом отчете «Лаборатории Касперского» сообщается, что специалисты компании обнаружили 32-битную Windows-версию трояна.

     В целом, принцип работы Windows-версии трояна схож с работой его Linux-двойника. Разумеется, в коде есть некоторые модификации, отражающие специфику работы ОС, но их нельзя назвать существенными. Принцип работы остался прежним: троян случайным образом выбирает для установки одну из девяти локаций в %AppData%, связывается с командным сервером через определенные промежутки времени и шпионит за своей жертвой, сохраняя все собранные данные локально, для последующей передачи на сервер хакеров.

     Основных отличий от версии для Linux два: в Windows-версии малвари включена функция кейлоггера, то есть все нажатия клавиш протоколируются и сохраняются в лог. Напомню, что Linux-версия трояна тоже содержала данный компонент, но он был отключен в обнаруженных специалистами образцах. Второе отличие, делающее версию для Windows более опасной: вредонос использует украденные сертификаты Comodo, чтобы заставить систему поверить, что он является легитимным и безопасным приложением из доверенного источника (см. иллюстрацию выше).

     Чуть позже в отчете появилось дополнение, гласящее, что компания обнаружила еще одну разновидность трояна: Backdoor.Win32.Mokes.imw. Этот образец может похвастаться еще и включенной функцией звукозаписи, которая тоже неактивна в версии для Linux. Каждые пять минут малварь создает новый аудиофайл.

     Троян написан на C++ и Qt, так что, теоретически, где-то может существовать и версия для Mac OS X, ведь операционная система компании Apple тоже поддерживается.

      02.02.2016 22:12: Хакеры взломали 5 тысяч учетных записей клиентов Neiman Marcus
     Торговая сеть Neiman Marcus Group заявила о массовом взломе учетных записей клиентов. Как сообщается в специальном уведомлении компании, злоумышленникам удалось получить доступ к аккаунтам порядка 5200 покупателей.

     Хакеры не пытались взломать базу данных Neiman Marcus, а использовали адреса электронной почты и пароли, полученные в ходе атак на другие сайты. Как отмечается в обращении к клиентам, обычно подобные атаки малоэффективны и не приводят к компрометации учетных записей, если жертва не использует одинаковые учетные данные на разных сайтах.

     Вследствие инцидента хакерам удалось получить доступ к личной и финансовой информации клиентов, такой как имена, физические и электронные адреса, номера телефонов, последние четыре цифры платежных карт и история покупок. Номера социального страхования, даты рождения и подробные банковские данные раскрыты не были.

     Примерно с 70 учетных записей хакеры осуществили несанкционированные покупки. Команде по борьбе с мошенничеством удалось отменить заказы и вернуть жертвам денежные средства.

      02.02.2016 22:04: Безопасность OS X под угрозой из-за популярного фреймворка
     Исследователь Радослав Карпович (Radoslaw Karpowicz) обнаружил, что использование фреймворка Sparkle Updater представляет угрозу для пользователей OS X. Процесс обновления приложений, использующих Sparkle Updater, нельзя считать безопасным.

     Sparkle Updater – популярный компонент множества приложений, он позволяет разработчикам значительно упростить процесс обновления: пользователям не приходится проверять обновления вручную. Уязвимость кроется не в коде фреймворка, проблема в том, что разработчики часто забывают правильно его настроить, в результате чего Sparkle Updater во многих случаях использует HTTP вместо HTTPS.

     Для работы фреймворк использует AppCast сервер, который функционирует подобно RSS-протоколу, получая уведомления, когда разработчики выпускают обновления или анонсируют релиз новой версии приложения. Информация передается в виде XML-сообщений. Пользователь может проверять обновления вручную, а может поручить это приложению, которое будет осуществлять проверки автоматически.

     Карпович выяснил, что в случае автоматической проверки обновлений, информация часто передается через HTTP. Этим страдают такие популярные программы как Adium, Coda, iTerm, Facebook Origami, Pixelmator, SequelPro, Tunnelblick и VLC. Исследователь пишет, что, скорее всего, уязвимых приложений гораздо больше, а он протестировал только первое пришедшее на ум.

     Использовав простую man-in-the-middle атаку, Карпович сумел перехватить запрос AppCast сервера об апдейте и подменил XML-сообщение вредоносным кодом. Так как Sparkle Updater использует для обработки информации в XML-файлах компонент WebView, исследователь сумел добиться от удаленной машины исполнения произвольного кода, полученного в XML-сообщении. Теоретически, такая атака может привести к полной компрометации системы хакером.

     Также Карповичу удалось заставить локальную систему выделить процессу обновления куда больше памяти, чем требовалось на самом деле, что привело к возникновению квази-DoS состояния. Кроме того, исследователь смог провести XXE (XML External Entity) атаку, что дало ему доступ к некоторым локальным файлам.

      01.02.2016 22:48: Соавтор вредоносного ПО Blackshades приговорен к 5 годам условно
     Окружной суд Манхэттена вынес приговор в отношении одного из разработчиков вредоносного ПО Blackshades, использовавшегося для инфицирования миллиона компьютеров по всему миру. Майкл Хоуг (Michael Hogue), также известный под псевдонимом xVisceral, получил 5 лет лишения свободы условно. Суд обязал Хоуга выплатить компенсацию в размере $40 тыс. и назначил 500 часов общественных работ.

     Согласно материалам дела, Хоуг вместе с сообщниками продавал Blackshades как минимум с 2010 года. В 2012 году преступник был арестован в ходе совместной операции, проведенной правоохранительными органами нескольких стран, и согласился сотрудничать со следствием. В мае 2014 года правоохранители задержали в 16 странах почти 100 человек — создателей, продавцов и пользователей вирусных программ.

     Напомним, в июне прошлого года компаньон Хоуга Алекс Юсел (Alex Yucel) был приговорен Южным федеральным судом Нью-Йорка к 57 месяцам лишения свободы, штрафу размером в $200 тыс. и конфискации компьютерного оборудования. По данным следствия, в период с сентября 2010 года по апрель 2014 года на продаже вредоноса злоумышленники заработали более $350 тыс.

     Хоуг признал вину еще 2,5 года назад, однако приговор был вынесен только сейчас. Три других соучастника — наемный администратор Брендан Джонстон (Brendan Johnston), покупатели Марлен Раппа (Marlen Rappa) и Кайл Федорек (Kyle Fedorek) были осуждены в 2015 году. Джонстон и Раппа, шпионивший за жертвами Blackshades, получили по одному году, Федорек, обокравший с помощью трояна более 400 пользователей — два года лишения свободы.

      01.02.2016 22:46: Десятки игр в Google Play инфицированы Android-трояном Xiny
     Эксперты обнаружили в каталоге магазина приложений Google Play десятки игр, инфицированных трояном Xiny. Основным предназначением данного вредоноса является загрузка, установка и запуск программ по команде хакеров. Также Xiny способен показывать навязчивую рекламу.

     Троян содержится в более чем 60 играх, размещенных от имени различных разработчиков, в том числе Conexagon Studio, Fun Color Games, BILLAPPS и пр. Главная опасность трояна заключается в способности загружать и динамически запускать произвольные apk-файлы по команде злоумышленников. Специалисты отмечают довольно интересный способ реализации данной функции. С целью маскировки вирусописатели прячут вредоносное ПО в специально созданных изображениях, фактически применяя метод стеганографии. В отличие от криптографии, когда исходная информация шифруется, а сам по себе факт шифрования может вызвать подозрение, стеганография позволяет скрывать те или иные данные незаметно.

     Получив от C&C-сервера нужное изображение, троян при помощи специального алгоритма извлекает и выполняет apk-файл. Xiny передает на сервер хакеров данные об IMEI-идентификаторе и MAC-адресе зараженного устройства, версии и текущем языке ОС, наименовании мобильного оператора, доступности карты памяти и пр.

     В числе других функций вредоноса присутствует возможность загружать и предлагать владельцу инфицированного устройства установить различное ПО. При наличии доступа с правами суперпользователя на системе Xiny может инсталлировать и удалять приложения без ведома владельца гаджета. Также вредонос способен показывать всевозможную навязчивую рекламу.

      01.02.2016 22:44: В 2015 году было создано более 304 млн новых видов вредоносного ПО
     По данным специалистов Panda Security, в прошлом году появилось более 304 млн новых видов вредоносов. Как сообщается в отчете компании, вирусописатели побили своеобразный рекорд, за один год создав более четверти (27,63%) всего существующего в мире вредоносного ПО.

     В прошлом году специалисты Panda Security обнаружили 84 млн образцов вредоносного ПО – порядка 28% всех созданных в 2015 году вирусов. Для сравнения, в 2014 году сотрудники компании выявили примерно 75 млн вредоносов.

     Как заявил технический директор компании Луис Корронс (Luis Corrons) в интервью изданию Infosecurity Magazine, компаниям необходимо инвестировать в технологии по обнаружению и устранению угроз на рабочих станциях (endpoint detection and response, EDR). «Как заявили специалисты Gartner, EDR позволяет улучшить безопасность компании и быстрее реагировать на атаки, обходящие существующие меры антивирусной защиты», - сообщил Корронс.

     Самыми популярными категориями вредоносного ПО в 2015 году стали трояны (52% от всех обнаруженных вредоносов), обычные вирусы (23%) и черви (13%). Реже всего обнаруживали новые виды потенциально нежелательных приложений (11%) и шпионского ПО (2%). В кибератаках чаще всего использовалось вымогательское ПО CryptoLocker.

     Лидером по количеству инфекций вновь оказался Китай – 57% компьютеров в Поднебесной оказались заражены тем или иным видом вредоносного ПО. Также в списке оказались Тайвань (49%), Турция (43%), Колумбия (33%), Уругвай (33%) и Испания (32%).

      01.02.2016 22:43: Хакеры взломали базу данных профсоюза полиции США
     В конце прошедшей недели неизвестные хакеры осуществили взлом базы данных крупнейшего объединения полицейских США под названием Fraternal Order of Police (POS), которая объединяет более 325 тысяч сотрудников правопорядка. В итоге в сеть попали личные данные и адреса членов профсоюза, а также документы о его деятельности — например, финансовая информация и соглашения с администрациями городов США об обеспечении охраны порядка. В общей сложности хакерам удалось похитить 2,5 гигабайта данных, к расследованию происшествия уже подключилось ФБР.

     Президент FOP Чак Кантербери (Chuck Canterbury) в опубликованном на Facebook заявлении сообщил, что атака была организована хакерами, находившимися за пределами США — нанятые FOP ИБ-специалисты смогли обнаружить подозрительные обмены данными с IP-адресами в Великобритании. По словам руководителя профсоюза, хакерам удалось «подсунуть системе поддельный ключ шифрования, который она не должна была принять, но приняла из-за программных ошибок».

     Кроме того, хакерам удалось получить доступ к закрытому форуму FOP, на котором члены организации обсуждали различные темы, от необходимости более жестких мер в отношении нелегальных мигрантов, до критики политики президента США.

     Как сообщил блогер под ником Ctulhu, который опубликовал дамп украденных данных, информацию ему предоставил хакер, который пожелал остаться неизвестным. Он мотивировал атаку «увеличивающейся пропастью между полицейскими и гражданами США».

Новостей: 8497 (Страниц: 709, Новостей на странице: 12)
[1] 2 3 4 5
Онлайн-утилиты
 Безопасность
Расширенный тест анонимности
Тест браузера (короткий)
Проверка сложности пароля
Генератор паролей

 Другое
Тест скорости
Расчет скорости скачивания
Конвертер IPv4 / IPv6
Конвертер UNIX / GMT время
Jabber Valid Checker

Быстрый переход
вирус firefox взлом форум security flash linux ip rss explorer windows exploit проверка socks root apple Google Facebook ddos Symantec ssl ботнет Android спам Chrome троян добавить тег


Powered by Exploit.IN © 2005-2016