У меня сложилось впечатление, что в последнее время фишинговых атак в социальных сетях стало меньше, чем раньше. Но сегодня, как только я зашёл в Twitter, я заметил, что получил два личных сообщения с очень похожим содержанием.

Первое сообщение пришло два дня назад. Я попытался проверить, ведет ли ссылка на ресурс, распространяющий вредоносное ПО, или на фишинговый сайт, но она была уже неактивна. Поэтому когда я получил второе сообщение, я проверил ссылку сразу же – сейчас, когда я это пишу, фишинговый сайт ещё активен.

По своей структуре сообщения были похожи. Единственное отличие заключалась в выборе сервиса сокращения ссылок (использовались сервисы bit.ly и y.ahoo.it), да ещё в тексте письма было изменено одно слово.

"hey, someone is spreading nasty rumours about you URL"
"hey, someone is spreading terrible rumours about you URL"

Недавно в Швеции мошенники провернули крупную операцию, в результате которой с банковских счетов пользователей было украдено более 1,2 млн. шведских крон (около 177 800 американских долларов). Злоумышленники устанавливали на компьютерах жертв троянскую программу, которая обеспечивала им доступ к зараженным машинам. К счастью, преступников поймали и приговорили к тюремным срокам, но расследование потребовало определенного времени, поскольку в мошеннической схеме было задействовано более 10 человек.

Однако подобные атаки уже не так эффективны, как раньше: последнее время киберпреступники все чаще прибегают к другим методам поиска новых жертв и проведения атак. Уже довольно давно мы сталкиваемся с тем, что они используют взломанные учетные записи в Facebook, чтобы заманить в ловушку друзей владельцев этих аккаунтов. Пользователей обманным путем побуждают выполнять самые разные действия, от перехода по вредоносным ссылкам до перевода денег на банковские счета мошенников.

Не так давно стало известно, что компания Google внесла в черные списки целые группы субдоменов, например, домены co.cc, которые широко используются для размещения вредоносных сайтов. Примерно в это же время я начал изучать новые способы выявления доменов, связанных с вредоносным контентом, с помощью анализа данных DNS.

В процессе исследования я просто посылал AXFR-запросы DNS-серверам доменов, которые выглядели подозрительно, но я быстро обнаружил, что слабую конфигурацию серверов имен имеют не только домены, используемые для размещения фишинговых сайтов. Многие сайты государственных органов и серверы имен доменов первого уровня поддерживают AXFR-запросы. Это само по себе не является уязвимостью, но информация, получаемая от серверов имен в ответ на такие запросы, может быть очень ценной для злоумышленников.

AXFR — опкод для переноса зоны DNS (DNS zone transfer). Это тип DNS-запросов, позволяющий вам как внешнему субъекту получить все данные DNS, относящиеся к данному домену. Такие запросы используют администраторы для репликации баз данных DNS между DNS-серверами. AXFR-запросы также позволяют злоумышленникам получить все DNS-данные, относящиеся к определенному домену.

Пару дней назад, изучая обстоятельства предполагаемого взлома компьютерной системы латвийской электростанции, я наткнулся на интересную вредоносную рекламу на ImageShack, где были размещены изображения, связанные с предполагаемой атакой.

Реклама на странице загружает эксплойт, который использует уязвимость в Java и детектируется продуктами «Лаборатории Касперского» как Exploit.HTML.CVE.2010-4452.m. Этот эксплойт пытается загрузить вредоносную программу Trojan.win32.TDSS.cgir. Как известно, TDSS – это руткит, способный действовать в Windows на самом низком уровне. Его удаление может стать чрезвычайно сложной задачей.

Механизм заражения такой: при открытии страницы загружается реклама и осуществляется соединение с http://--removed--ediagroup.com/enc/jv.html. С этой страницы загружается эксплойт. Далее загружается вторая страница http://--removed--ediagroup.com/load.php?2, с которой на компьютер устанавливается троянская программа, содержащая зловред TDSS.

Продукты «Лаборатории Касперского» уже детектируют и эксплойт, и устанавливаемую на компьютер троянскую программу. Это еще раз демонстрирует, как важно поддерживать антивирусные программы в актуальном состоянии.

Последние несколько дней широко обсуждается хакерская атака на геймерскую сеть Playstation Network (PSN), в результате которой была похищена конфиденциальная информация — например, данные банковских карт пользователей. Сейчас наблюдается усиление активности в среде киберпреступников. Если верить сообщению, размещенному на форуме PSX-scene, среди похищенных данных могли быть коды проверки подлинности банковских карт (CVV2). На подпольном форуме Darkode пишут, что украденные данные, возможно, имеют вид: fname, lnam, address, zip, country, phone, email, password, dob, ccnum, CVV2, exp date.

Однако согласно заявлению Sony в официальном блоге Playstation, хакер не получил доступа к CVV2:

«Несмотря на то, что расследование деталей этого инцидента еще продолжается, мы точно можем сказать, что неизвестному взломщику стали доступны личные данные пользователей, предоставленные при регистрации: имена, электронные и почтовые адреса (страна, город, штат, почтовый индекс), даты рождения, логины и пароли для доступа к PlayStation Network/Qriocity, а также идентификаторы PSN. Возможно, были похищены данные профилей пользователей — истории покупок, адреса, по которым направлялись счета (город, штат, почтовый индекс), ответы на секретные вопросы, с помощью которых можно восстановить пароли доступа к PlayStation Network/Qriocity. Если вы дали согласие на открытие дополнительного аккаунта на имя другого лица, его данные тоже могли быть украдены. На данный момент нет оснований считать, что добычей злоумышленника стали данные кредитных карт пользователей, но полностью исключить такую возможность также нельзя. Если вы предоставляли данные своей кредитной карты в PlayStation Network или Qriocity, мы считаем своим долгом предупредить вас о том, что номер вашей карты (за исключением кода безопасности CVV2) и срок ее действия могли стать доступны мошеннику».

Кому верить, вот вопрос.

Я бы порекомендовал всем пользователям PSN получить новые банковские карты. А если вы используете в Facebook, MSN, электронной почте и на форумах тот же пароль, что и в PSN, советуем всюду его срочно поменять.

Во время написания поста стало известно, что уязвимость “authplay.dll”, обнаруженная в Adobe Flash Player, Acrobat Reader и Acrobat, эксплуатируется зловредами из списка “in-the-wild”. В своем докладе об уязвимостях формата PDF на саммите вирусных аналитиков на Кипре Роул Шоуэнберг также подчеркнул важность защиты на клиентском компьютере. На PH-neutral, ежегодной неформальной встрече специалистов по IT-безопасности в Берлине, Юлия Вольф (Julia Wolf) рассказала о создании и парсинге PDF-файлов. Безопасность на стороне клиента представляет собой огромную проблему, с которой подчас сложно совладать, поскольку большая часть автоматических инструментов обновления попросту не поддерживает стороннее ПО.

Работая в области аудита безопасности и выполняя проверку защиты систем от несанкционированного доступа, я понял одну важную вещь: большинство организаций и компаний уделяют основное внимание безопасности на стороне сервера, укрепляя линию обороны в лице продвинутого межсетевого экрана, а также инструментов безопасности внешних активов и демилитаризованной зоны, но при этом полностью забывая про защитные решения на рабочих станциях.

Аудит безопасности, проводимый в компаниях, чаще всего ограничивается проверкой ресурсов, находящихся в общем доступе — сети, почты и хранилищ данных, а также некоторых внутренних ресурсов, таких как базы данных. Похоже, все усилия по поддержанию безопасности сосредотачиваются на защите вебсайтов, а о безопасности клиентов предпочитают забыть. Системные администраторы зачастую полагают, что встроенная функция обновления полностью обеспечивает своевременность установки патчей. Однако стандартные инструменты обновления часто страдают тем, что не покрывают сторонние программы, такие как программы для чтения PDF-файлов, флэш-плееры, медиаплейеры, почтовые клиенты и т.д. И именно эти бреши часто эксплуатируются вредоносными программами. Такие бреши не закрываются даже встроенными инструментами обновления, поскольку для таких уязвимостей не выпущены патчи. «Лаборатория Касперского» прикладывает много усилий, чтобы эвристика была в состоянии распознать подобные угрозы — в данном случае уязвимость успешно распознается продуктами «Лаборатории Касперского», и наши клиенты защищены от данной угрозы. Когда угроза только начала распространяться в дикой среде, у «Лаборатории Касперского» не было соответствующей сигнатуры, но эвристическими компонентами в составе продуктов угроза распознавалась как HEUR:Exploit.Script.Generic. Сейчас она распознается как Exploit.JS.Pdfka.ckq.

На днях я обнаружил новый инструмент, позволяющий любому человеку создать вредоносную программу с помощью нескольких кликов мышкой. При исполнении вредоносной программы зараженный компьютер присоединяется к ботнету, который управляется с помощью Twitter, и используется в нелегальных целях.

Инструмент, который находится в открытом доступе, называется TwitterNET Builder. Требуется всего лишь пара кликов для создания вредоносной программы, которая превращает обычный компьютер в узел ботнета. TwitterNET Builder создает профиль на Twitter, с которым зараженный компьютер связывается для получения команд и инструкций.

У такого вредоносного кода нет механизма распространения, он должен запускаться вручную с компьютера-жертвы. Однако эти вредоносные программы могут устанавливаться на компьютер и исполняться, к примеру, в ходе drive-by атаки или с червем, который проникает на машину через обнаруженную уязвимость.

На момент написания блога инструмент был доступен в двух версиях. Sunbelt описывает первую версию как инструмент, поддерживающий небольшое количество команд с неизменяемыми именами. Бот может загружать и исполнять файлы, проводить DDoS атаки, открывать веб-сайты, а также контролировать общение зараженного компьютера и Twitter. Подробное описание возможных команд приведено в оригинальном блогпосте Sunbelt.

Новая версия TwitterNET Builder позволяет киберпреступнику самому определять названия команд, что намного усложняет выявление аккаунтов, которые иcпользуются для контроля этих ботнетов.

Как защитить себя?

Так как у данного инструмента отсутствуют собственные механизмы распространения, он загружается и выполняется вручную – к примеру, файл может быть получен как вложение в электронном письме или через программу быстрого обмена сообщениями. Будьте осторожны при открытии почтовых вложений или файлов, пересылаемых вам во время разговора в чате. Также необходимо соблюдать осторожность, чтобы компьютер не был инфицирован в ходе drive-by атаки, которая, к примеру, может использовать уязвимость вашего браузера.

Большинство таких вредоносных инструментов используют уже известные функции и код, которые с легкостью идентифицируются эффективной антивирусной программой. Удостоверьтесь, что на вашем компьютере установлены обновления антивирусного ПО и все защитные патчи сторонних производителей.

Первая версия TwitterNET Builder детектируется «Лабораторией Касперского» как Backdoor.Win32.Twitbot.a, вторая — как Backdoor.Win32.Twitbot.b.