Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

Новости информационной безопасности




Mylobot: одетый с иголочки даунлоудер

Исследователи из ИБ-компании Deep Instinct обнаружили в сетях своего клиента новый, очень продвинутый Windows-зловред, основным назначением которого является загрузка других вредоносных программ.

По свидетельству экспертов, новобранец, нареченный ими Mylobot, вооружен разнообразными средствами предотвращения анализа и обнаружения. Так, он умеет определять свой запуск в песочнице, виртуальной машине и под отладчиком; принудительно завершать процессы Windows Defender и Windows Update; блокировать дополнительные порты в брандмауэре Windows.

Файл ресурсов Mylobot зашифрован, выполнение вредоносного кода происходит бесфайловым методом. Данный зловред также владеет нестандартной техникой внедрения кода — process hollowing. Чтобы не выдать свое присутствие интернет-связью, обосновавшийся на компьютере бот выжидает две недели, прежде чем доложить об успешном заражении на C&C-сервер.

“Это уникальный набор самых современных техник, — заявил в комментарии для Dark Reading Арик Соломон (Arik Solomon), вице-президент Deep Instinct по исследованиям и разработкам. — Все они известны и по отдельности используются некоторыми зловредами, но подобная комбинация не имеет себе равных”.

Выполняя функции даунлоудера, Mylobot может закачать на машину жертвы любую полезную нагрузку — спамбот, DDoS-зловред, кейлоггер, банковский троян. Конкурентов этот загрузчик не терпит и беспощадно от них избавляется, сверяя список запущенных процессов с содержимым папки %APPDATA%, куда обычно сохраняются вредоносные файлы. Обнаружив совпадение, Mylobot прибивает процесс и удаляет соответствующий exe-файл.

Судя по всему, авторы этого зловреда надумали создать ботнет, который можно будет сдавать в аренду распространителям другого вредоносного ПО. Кем написан новый бот, пока непонятно; известно лишь, что Mylobot фиксирует раскладку клавиатуры и, обнаружив азиатские кодировки, отменяет исполнение.

Источник: https://threatpost.ru/mylobot-a-new-highly-advanced-downloader/26757/

Дата: 2018-06-21 08:03:14

Источник: https://exploit.in/2018/11430/



Мошенники-рецидивисты получили 8 лет тюрьмы

Савеловский суд Москвы огласил приговор братьям Евгению и Дмитрию Попелышам, а также их сообщникам по обвинению в кибермошенничестве. Близнецы получили по 8 лет колонии общего режима, также каждый из них должен уплатить в казну штраф в размере 900 тыс. рублей.

По словам пресс-секретаря Савеловского суда Марии Михайловой, трое подельников Попелышей получили от 4,5 до 6 лет лишения свободы и до 700 тыс. рублей штрафа. Еще одному фигуранту дела дали условный срок, а затем амнистировали со снятием судимости.

Преступники обвиняются по трем статьям УК РФ: ч. 2 ст. 273 о создании, использовании и распространении вредоносного ПО, ч. 3 ст. 272, касающейся неправомерного доступа к компьютерной информации и ч. 4 ст. 159.6 УК РФ о кибермошенничестве.

По версии следствия, Попелыши при помощи фишинговых инструментов получали учетные данные от личных кабинетов клиентов российских банков. Злоумышленники распространяли вредоносное ПО, перенаправлявшее жертву на поддельную страницу с формой для ввода конфиденциальных данных. Затем пользователю поступал звонок якобы от кредитной организации. Подельник мошенников убеждал владельца карты назвать код подтверждения перевода.

Под началом Попелышей работал целый штат специалистов. Помимо лиц, отвечавших за звонки “от банка”, в него входили распространители вредоносных программ, разработчики, обновлявшие и совершенствовавшие зловреды, а также люди, обналичивавшие незаконную прибыль. При помощи налаженной системы киберграбежей банде удалось добраться до 7 тыс. счетов и вывести более 12,5 млн рублей с марта 2013 по май 2015 года.

При задержании братья пытались избавиться от вещественных доказательств. В частности, полмиллиона рублей наличными, флешки и SIM-карты преступники хотели спустить в унитаз. Замести следы мошенникам помешал засор в туалете.

Невзирая на этот эпизод и тот факт, что следствие в итоге получило доказательные материалы, защита продолжает настаивать на невиновности Попелышей.

Адвокат одного из братьев указывает на то, что некоторые IP-адреса, с которых производились манипуляции с фишинговыми сайтами, принадлежат банкам. По словам юриста, представляющего интересы Александра Сарбина, старейшего подельника преступников, сами эпизоды, на которых основано обвинение “не выдерживают никакой критики”.

Стоит отметить, что и Попелыши, и Сарбин уже оказывались на скамье подсудимых за совершение киберпреступлений. В 2012 году Чертановский суд Москвы приговорил фишеров, обвинявшихся в краже 13 млн рублей, к 6 годам лишения свободы условно. Мошенникам дали 5 лет испытательного срока, но дожидаться, пока он пройдет, братья не стали.

Источник: https://threatpost.ru/persistent-cyberfraudsters-popelysh-brothers-sentenced/26749/

Дата: 2018-06-21 07:57:26

Источник: https://exploit.in/2018/11428/



На хакерских форумах можно купить новый вредонос Kardon Loader всего за $50

Программа представляет собой дроппер, позволяющий загружать дополнительную полезную нагрузку.

Исследователи безопасности из компании Arbor ASERT обнаружили новое вредоносное ПО Kardon Loader, продающееся на хакерских форумах всего за $50 в биткойнах.

По словам автора вредоноса, в настоящее время программа находится на стадии бета-версии. Как следует из описания Kardon, программа представляет собой дроппер, позволяющий загружать дополнительную вредоносную полезную нагрузку.

«Kardon имеет намного меньший функционал, чем ряд его аналогов, таких как Smoke и Quant. Однако, в то время как его предшественники начали добавлять функции майнинга и кражи учетных данных, Kardon Loader ограничил эти «дополнительные функции» и добавил панель управления», - отметили специалисты.

Обычно дропперы имеют встроенную панель, которая позволяет покупателям взаимодействовать с зараженными устройствами и загружать дополнительное вредоносное ПО. Помимо стандартной панели управления, Kardon также включает в себя полноценный бот-шоп, гораздо более редкую функцию, которая позволяет покупателям оригинального Kardon Loader открыть «интернет-магазин», где они смогут продавать доступ к инфицированным компьютерам.

По словам специалистов, в настоящее время Kardon Loader не представляет опасность, так как в Сети не удалось обнаружить свидетельств активности программы.

Дата: 2018-06-21 07:12:00

Источник: http://www.securitylab.ru/news/494040.php



Суд вынес приговор «бездарнейшему преступнику в интернете»

На этой неделе суд приговорил «бездарнейшего преступника в интернете» к 20 месяцам лишения свободы за DDoS-атаки на городские службы Мэдисона (штат Висконсин, США).

Суд признал 23-лентнего Рэндалла Чарльза Такера (Randall Charles Tucker), известного в Сети как «биткойн барон», виновным в осуществлении DDoS-атак на городские службы Мэдисона 9-14 марта 2015 года. Из-за атак службы, в том числе колл-центр 911, были вынуждены приостановить или прекратить работу.

Такер начал «карьеру» киберпреступника в 2014 году, осуществляя дефейсы и DDoS-атаки. «Барон» никогда не скрывал своих действий и открыто анонсировал атаки на своей странице в Twitter. В частности, он принимал участие в проводимой активистами Anonymous акции за спасение океанов #OpSeaWorld, а также атаковал больницы, игровые серверы, сайты банков, хостинг-провайдеров и СМИ и т.д.

«Барон» никогда не пользовался уважением среди хакерского сообщества и использовал автоматизированные инструменты. Его наибольшими «достижениями» стали дефейс главной страницы сайта детской больницы, где «Барон» разместил детскую порнографию, и попытка шантажа городских властей города Мур (штат Оклахома, США).

Однажды Такер даже попытался проявить свою гражданскую позицию против незаконного избиения и ареста студента полицейскими. Парень взломал сайт управления полиции города Сан-Марко и оставил сообщение с требованием посадить в тюрьму ответственного за незаконные действия полицейского. Однако «Барон» не знал, что этот полицейский к тому времени уже два года как был за решеткой.

В послужном списке Такера также значится DDoS-атака на новостной портал News2Share.com. За прекращение атаки преступник потребовал опубликовать на портале его самодельное «хакерское» видео. Ролик был опубликован, однако его посмотрело только несколько сотен человек.

Такер никогда не заботился о том, чтобы замести следы, и правоохранителям не составило большого труда его арестовать. Общаясь по Skype со своим другом, он хвастался публикациями в СМИ о своих «достижениях» и отмечал, что «становится весьма популярным в интернете». По его словам, он занимался хакерством два года, но «так и не был пойман».

Большую часть атак парень осуществил после того, как ему были предъявлены обвинения в нападении с ножом на отца. В ожидании приговора Такер пытался заработать репутацию хакера перед тем, как отправиться в тюрьму.

Источник: https://www.securitylab.ru/news/494037.php

Дата: 2018-06-21 07:09:05

Источник: https://exploit.in/2018/11426/



Уязвимость в Edge позволяла вредоносным сайтам получать доступ к контенту других ресурсов

Уязвимость CVE-2018-8235 затрагивала браузер Edge и версию для разработчиков Firefox Nightly.

Ранее в этом месяце Microsoft исправила в браузере Edge уязвимость, позволявшую вредоносным сайтам получать контент с других сайтов путем воспроизведения аудиофайлов видоизмененным способом.

«Это очень серьезный баг. Вы можете зайти на мой (PoC – ред.) сайт, и я прочитаю ваши электронные письма, ленту Facebook, и все это без вашего ведома», – пояснил обнаруживший проблему разработчик Google Джейк Арчибальд (Jake Archibald).

Уязвимость возникает, когда с помощью Service workers вредоносный сайт загружает мультимедийный контент внутри тега <audio> с удаленного сайта и при этом использует параметр «range» для загрузки только определенной части файла. Как пояснил Арчибальд, из-за несоответствий в обработке браузерами файлов, загруженных через Service workers внутри тега <audio>, на вредоносный сайт можно загрузить любой контент.

В нормальных условиях это было бы невозможно из-за реализованной в браузерах технологии Cross-Origin Resource Sharing (CORS), защищающей сайты от загрузки контента с других ресурсов. Однако конфигурация Edge позволяла сайтам злоумышленников отправлять запросы «no-cors», которые принимающие сайты (например, Facebook, Gmail или BBC) принимали без каких-либо проблем. Таким образом, вредоносный сайт мог загружать контент, скрытый за процедурами аутентификации.

Уязвимость CVE-2018-8235, названная Арчибальдом Wavethrough, затрагивала только Edge и версию для разработчиков Firefox Nightly, но не Chrome или Safari. На момент написания новости проблема была исправлена в обоих браузерах.

Cross-origin resource sharing («совместное использование ресурсов между разными источниками») – технология современных браузеров, позволяющая предоставлять web-странице доступ к ресурсам другого домена.

Дата: 2018-06-21 06:59:47

Источник: http://www.securitylab.ru/news/494039.php



В Сети обнаружен новый ботнет с обширным арсеналом самых современных техник

Загрузчик Mylobot оснащен разнообразными средствами предотвращения анализа и обнаружения.

Исследователи из компании Deep Instinct сообщили о появлении нового ботнета, операторы которого используют загрузчик Mylobot для заражения устройств различным вредоносным ПО – от майнеров криптовалюты до кейлогеров, банковских троянов и программ-вымогателей. Особенность Mylobot заключается в использовании уникального набора самых современных техник.

В частности, Mylobot оснащен разнообразными средствами предотвращения анализа и обнаружения. К примеру, он умеет определять свой запуск в песочнице, виртуальной машине и под отладчиком, может принудительно завершать процессы Windows Defender и Центра обновлений Windows, а также блокировать дополнительные порты в межсетевом экране Windows.

Файл ресурсов Mylobot зашифрован, выполнение вредоносного кода происходит бесфайловым методом. Вредонос также использует нестандартную технику внедрения кода, называемую Process Hollowing (с ее помощью атакующие создают процессы в состоянии ожидания и заменяют образ процесса образом, который хотят скрыть). Заразив устройство, Mylobot выжидает две недели прежде чем связаться с управляющим сервером.

Структура кода Mylobot довольно сложная. Вредонос содержит три слоя файлов, вложенных один в другой, причем каждый слой отвечает за исполнение следующего.

Помимо загрузки вредоносного ПО, Mylobot также может использоваться для осуществления DDoS-атак. В кампании, обнаруженной исследователями, Mylobot загружал на компьютеры жертв бэкдор DorkBot. В настоящее время эксперты затрудняются сказать, каким образом распространяется вредонос.

Загрузчик безжалостно расправляется с конкурентами на инфицированных устройствах, сверяя список запущенных процессов с содержимым папки %APPDATA%, куда обычно сохраняются вредоносные файлы. Выявив совпадение, Mylobot завершает процесс и удаляет соответствующий exe-файл.

Специалисты пока не могут сказать, кто стоит за Mylobot, но сложность и уникальное поведение говорят о том, что авторы вредоноса отнюдь не аматоры.

Дата: 2018-06-21 06:55:50

Источник: http://www.securitylab.ru/news/494038.php



IPhone будет автоматически передавать координаты при звонке в 911

При звонке в службу спасения часть времени разговора занимает определение места, куда нужно выехать медикам, пожарным или полиции. Автоматическая отправка геолокационных данных позволит сократить время разговора. В США в скорую звонят 25 миллионов человек в год, а ускорение реакции спасателей на одну минуту может привести к спасению более десяти тысяч жизней за этот период. В выходящей осенью этого года iOS 12 появится функция отправки координат при звонке в 911.

l8mzj-zwssrtxps-pa2iom-ghrk.jpeg

Датчики и программное обеспечение на смартфонах от Apple и Android-гаджетах пониям вроде Uber, Facebook и другим сервисам определить наше местоположение с высокой точностью, чтобы мы могли быстро вызывать такси, заказать пиццу или получить релевантную рекламу от магазина поблизости. При этом экстренные службы часто застряли в прошлом: оператор просит диктовать местоположение. Службам необходимо снизить время отклика и быстро получать геоданные даже в том случае, если человек не может ничего сказать.

Около 80% звонков из 240 миллионов в год на номер 911 делается с мобильных устройств. Когда звонок приходит со стационарного телефона, его точный адрес быстро определяется, а точность с мобильных может превышать сотню метров. В 2016 году журналисты Fox 2 News провели эксперимент: в результате звонка колл-центра службы 911 местоположение было определено с ошибкой в два километра — у вышки сотовой связи.

Чтобы решить проблему с определением локации, Apple в 2015 году запустила систему HELO — Hybridized Emergency Locations. Эта система использует данные с сотовых вышек и датчиков смартфонов — GPS и Wi-Fi — чтобы помочь службе спасения. HELO уже используют сотовые операторы AT&T и T-Mobile.

Следующим этапом станет автоматическая отправка данных HELO с телефонов на iOS с помощью технологии компании RapidSOS. Система позволит центрам службы спасения получать эти данные благодаря интеграции с существующим в этих центрах программным обеспечением.

Apple заверяет, что в соответствии с фокусом компании на защиту приватности, данные с систем будут доступны только центру спасения 911 и только во время звонка в службу.

Федеральная комиссия по связи США (FCC) требует от производителей определения местоположения звонящего с точностью до 50 метров как минимум 80% времени. Локационные сервисы iOS позволяют превысить этот показатель даже в городской среде.

fq1hl1nrsrj-esawyuijzyyduke.jpeg

RapidSOS, в партнёрстве с которой Apple запускает проект автоматической передачи геоданных в 911 в iOS 12, разработала систему, позволяющую соединить службу спасения с любыми подключенными устройствами — домашними системами безопасности, носимыми гаджетами, приложениями. Для этого компания выпустила API для «интернета вещей» — производители с его помощью могут подключиться к программе.

meqwa5ohc9kidu0xqlxa_pwiczk.jpeg

Необходимость максимально сократить время между звонком и оказанием помощи стояла перед службами спасения с момента их появления. Над её решением с помощью мобильных устройств работает российский стартап Кнопка Жизни. Инфраструктура проекта состоит из устройства пользователя — это могут быть умные часы, телефон или брелок на шею, и врача на линии экстренной помощи, который вызывает скорую помощь, сообщает о происшествии близким и отправляет всем геоданные с точностью до 6 метров, полученные с помощью ГЛОНАСС/GPS. Также устройство контролирует самочувствие пациента и может включаться автоматически, например, при падении. В линейку гаджетов входят устройства для пожилых людей и для детей.

twml9ws1jz7wfekgblg6ntzg9qo.jpeg

Если говорить именно о службе спасения, то в России в мае 2017 года вступил в силу Приказ Минкомсвязи России «Об утверждении Правил определения места нахождения пользовательского оборудования (оконечного оборудования), с которого были осуществлены вызов или передача сообщения о происшествии по единому номеру вызова экстренных оперативных служб “112”, и Порядка предоставления и объема информации, необходимой для обеспечения реагирования по вызову или сообщению о происшествии по единому номеру вызова экстренных оперативных служб “112”». Все операторы сотовой связи «большой пятёрки» быстро реализовали отправку координат в систему 112 благодаря централизации сервиса. Систему постепенно вводят в различных регионах — с 1 июня 2017 года она уже была запущена в Московской области, а, например, в Воронеже работает с декабря 2017.

После звонка абонента мобильной связи на номер службы спасения система 112 получает идентификатор оператора связи, шлёт ему запрос о локации позвонившего абонента, и оператор передаёт в систему координаты с учётом погрешности. Информационная подсистема 112 визуализирует полученные данные на карте.

image

Дата: 2018-06-21 06:43:18

Источник: https://habr.com/post/414637/



Презентация GDPR и ИБ

Выкладываю презентацию про GDPR и информационную безопасность, которую рассказывал на вебинаре itSMF Russia пару дней назад.
%25D0%25A1%25D0%25BD%25D0%25B8%25D0%25BC%25D0%25BE%25D0%25BA%2B%25D1%258D%25D0%25BA%25D1%2580%25D0%25B0%25D0%25BD%25D0%25B0%2B2018-06-21%2B%25D0%25B2%2B9.20.17.png
SlideShare - https://www.slideshare.net/AndreyProzorov/gdpr-and-information-security-ru
Группа в ВКонтакте - https://vk.com/isms8020

Дата: 2018-06-21 06:33:03

Источник: http://80na20.blogspot.com/2018/06/gdpr.html



3 тыс. приложений могут привести к утечке данных из-за незащищенных серверов Firebase

Компания Appthority опубликовала результаты исследования нового варианта уязвимости HospitalGown, приводящей к утечке данных. Новый вариант связан с тем, что разработчики должным образом не защищают базы данных Google Firebase, к которым подключаются их приложения.

Специалисты Appthority обнаружили уязвимость HospitalGown еще в 2017 году. Проблема связана не с каким-либо кодом в приложении, а с отсутствием на серверах механизмов авторизации. Как ранее сообщал SecurityLab, из-за отсутствия защиты серверов Elasticsearch более 1 тыс. приложений могут привести к утечке 43 ТБ корпоративных данных.

Новый вариант уязвимости затрагивает серверы Firebase, где хранится такая персонально идентифицируемая информация, как данные о состоянии здоровья, незашифрованные пароли, токены авторизации в соцсетях и криптовалютных обменниках, данные по денежным транзакциям, номера транспортных средств и т.д.

Уязвимости подвержены 3 тыс. iOS- и Android-приложений (уязвимые Android-приложения были загружены свыше 620 млн раз), подключающихся к 2,3 тыс. незащищенным базам данных Firebase. 62% предприятий имеют хотя бы одно уязвимое приложение, сообщают эксперты.

Источник: https://www.securitylab.ru/news/494035.php

Дата: 2018-06-21 06:31:16

Источник: https://exploit.in/2018/11424/



Суд вынес приговор «бездарнейшему преступнику в интернете»

Однажды «биткойн барон» осуществил дефейс полицейского сайта с требованием посадить в тюрьму полицейского, уже два года как находившегося в тюрьме.

На этой неделе суд приговорил «бездарнейшего преступника в интернете» к 20 месяцам лишения свободы за DDoS-атаки на городские службы Мэдисона (штат Висконсин, США).

Суд признал 23-лентнего Рэндалла Чарльза Такера (Randall Charles Tucker), известного в Сети как «биткойн барон», виновным в осуществлении DDoS-атак на городские службы Мэдисона 9-14 марта 2015 года. Из-за атак службы, в том числе колл-центр 911, были вынуждены приостановить или прекратить работу.

Такер начал «карьеру» киберпреступника в 2014 году, осуществляя дефейсы и DDoS-атаки. «Барон» никогда не скрывал своих действий и открыто анонсировал атаки на своей странице в Twitter. В частности, он принимал участие в проводимой активистами Anonymous акции за спасение океанов #OpSeaWorld, а также атаковал больницы, игровые серверы, сайты банков, хостинг-провайдеров и СМИ и т.д.

«Барон» никогда не пользовался уважением среди хакерского сообщества и использовал автоматизированные инструменты. Его наибольшими «достижениями» стали дефейс главной страницы сайта детской больницы, где «Барон» разместил детскую порнографию, и попытка шантажа городских властей города Мур (штат Оклахома, США).

Однажды Такер даже попытался проявить свою гражданскую позицию против незаконного избиения и ареста студента полицейскими. Парень взломал сайт управления полиции города Сан-Марко и оставил сообщение с требованием посадить в тюрьму ответственного за незаконные действия полицейского. Однако «Барон» не знал, что этот полицейский к тому времени уже два года как был за решеткой.

В послужном списке Такера также значится DDoS-атака на новостной портал News2Share.com. За прекращение атаки преступник потребовал опубликовать на портале его самодельное «хакерское» видео. Ролик был опубликован, однако его посмотрело только несколько сотен человек.

Такер никогда не заботился о том, чтобы замести следы, и правоохранителям не составило большого труда его арестовать. Общаясь по Skype со своим другом, он хвастался публикациями в СМИ о своих «достижениях» и отмечал, что «становится весьма популярным в интернете». По его словам, он занимался хакерством два года, но «так и не был пойман».

Большую часть атак парень осуществил после того, как ему были предъявлены обвинения в нападении с ножом на отца. В ожидании приговора Такер пытался заработать репутацию хакера перед тем, как отправиться в тюрьму.

Дата: 2018-06-21 05:49:56

Источник: http://www.securitylab.ru/news/494037.php