Со второй декады октября Commtouch наблюдает масштабную спам-кампанию, использующую регистрацию целевых сайтов «на лету».

По свидетельству экспертов, эти мусорные письма продвигают игорные сайты. Объемы разовых спам-рассылок составляют несколько сотен миллионов сообщений, снабженных ссылкой. Число URL, задействованных в каждой такой атаке, измеряется тысячами, однако все они на момент рассылки не зарегистрированы. Авторы казино-спама регистрируют свои сайты примерно через час после начала атаки в надежде обмануть системы URL-фильтрации. Дело в том, что спам-фильтры в первую очередь проверяют дату регистрации ресурса, рекламируемого в письме. Если тот зарегистрирован накануне рассылки, весьма вероятно, что соответствующее сообщение отослано спамерами.

Трюк, используемый в наблюдаемых спам-рассылках, не нов. Commtouch отмечает, что из-за такого запаздывания с регистрацией первые получатели казино-спама при всем желании не смогут попасть на целевые веб-сайты. Тем не менее, спамерам, видимо, в данном случае важнее увеличить процент доставки последующих писем, кои вбрасываются в Сеть мощными очередями.

Microsoft заключила внесудебное соглашение с двумя ответчиками по делу о криминальном ботнете Kelihos/Hlux и отказалась от исковых претензий к этим лицам.

Названный ботнет был обезоружен в конце сентября совместными усилиями MS, ЛК и Kyrus Tech. Параллельно Microsoft подала в окружной суд Вирджинии иск против предполагаемых создателей и операторов Kelihos. В списке ответчиков впервые фигурировали два конкретных имени: Доминик Александер Пьятти (Dominique Alexander Piatti) и его служба бесплатных поддоменов dotFREE Group. Зона cz.cc, которой распоряжается Пьятти, пользуется большой популярностью у сетевого криминала. В мае текущего года Google временно заблокировала свыше 200 тыс. поддоменов cz.cc ― почти весь блок ― за вредоносную активность. На веб-хостинге dotFREE был также обнаружен лжеантивирус MacDefender.

Тем не менее, м-р Пьятти с готовностью присоединился к расследованию Microsoft и предоставил компании всю требуемую документацию. Изучив ее, эксперты убедились, что ни dotFREE, ни ее владелец не причастны к деятельности Kelihos. Его создатели просто воспользовались их услугами для оформления поддоменов, на которых впоследствии были подняты C&C бот-сети. В соответствии с достигнутым соглашением Пьятти аннулирует или передоверит Microsoft все поддомены, ассоциированные с Kelihos, а также замеченные в иной криминальной деятельности. Более того, он согласился помочь экспертам в разработке рекомендаций по предотвращению абьюзов на бесплатных сервисах поддоменов. Полигоном для обкатки передовых методик самозащиты послужит dotFREE, которая в случае успеха передаст свой опыт коллегам по цеху.

Остальные 22 ответчика, поименованные Microsoft как John Does ― неизвестные, пока не идентифицированы. Истец не оставляет надежды выявить их и призвать к ответу.

Компания Group-IB объявила о запуске частной службы быстрого реагирования на компьютерные инциденты, возникающие на территории РФ или затрагивающих российские организации, ― CERT-GIB.

Новый сервис сформирован на базе Group-IB; его первостепенной задачей является оказание оперативной помощи юридическим и физическим лицам в случаях нарушения информационной безопасности. До сих пор в России существовала лишь одна аналогичная служба, RU-CERT , хотя некоторые страны располагают несколькими профессиональными командами такого рода, а в США их десятки.

По замыслу создателей, CERT-GIB будет осуществлять сбор данных об инцидентах, а также координировать ответные мероприятия, направленные на снижение финансового и репутационного ущерба. Последние включают идентификацию природы нарушения и его нейтрализацию, восстановление штатного функционирования информационной системы, разбор причин инцидента, выявление причастных лиц и привлечение их к ответственности. Помимо этого эксперты планируют проводить технические, организационные и юридические консультации в рамках комплексной поддержки по минимизации информационных рисков.

Услуги CERT-GIB будут предоставляться как на договорной основе, так и по разовым запросам. Профессиональная служба запущена в круглосуточном режиме; для повышения эффективности ее руководство предполагает установить тесные контакты с отечественными и зарубежными коллегами по цеху, разработчиками ПО и защитных решений, правоохранительными органами и активистами. С полным спектром услуг CERT-GIB можно ознакомиться на сайте www.cert-gib.ru.

С июня 2011 года мы наблюдаем значительное уменьшение количества фальшивых антивирусов. В настоящее время фиксируем по 10 000 попыток заражения FakeAV ежесуточно. В то время как в июне эта величина достигала 50 000 - 60 000.

Количество попыток заражения Trojan-FakeAV в сутки, июнь-сентябрь 2011 г.

Количество автономных систем, подвергнутых HostExploit проверке на наличие нежелательного контента в минувшем квартале, превысило 39 тысяч. Помимо ставшего уже традиционным Тор 50 «плохих» провайдеров, активисты включили в отчет список стран с высоким уровнем загрязненности ресурсов, который возглавляют США и Россия. При этом на американском веб-хостинге обнаружено много зараженных сайтов, вредоносного ПО и командных серверов ботоводов; российский отличает высокая концентрация C&C ZeuS и рекламы спамеров.

Рейтинг индивидуальной ответственности за криминальную деятельность возглавила американская компания Oversee.net (AS33626), занимающаяся продажей и обслуживанием доменов. В ее сетях было найдено большое количество вредоносного ПО и зараженных веб-сайтов. В десятку лидеров вошли еще 4 американских провайдера, хотя присутствие США в Тор 50 от HostExploit уменьшилось с 23 до 16 позиций. Второе место в общем списке занял литовский хостер Hosting-Media (AS47583), который ухудшил свои показатели на рекордные 22610%. Он же возглавляет текущие рейтинги по наличию C&C ботнетов и серверов с эксплойтами.

По данным Symantec, в октябре спам составлял 74,2% почтовой корреспонденции ― немногим меньше, чем в предыдущий месяц. Около 0,5%, а в пиковые дни 2-3% нелегитимных писем были снабжены укороченной ссылкой, сгенерированной на легальном веб-сервисе.

Для маскировки собственных URL спамеры обычно используют чужие генераторы коротких ссылок. В мае текущего года исследователи обнаружили несколько поддельных сервисов такого рода, созданных специально для проведения спам-кампаний. Эти сайты нигде не афишировались, а URL, которыми они оперировали, на поверку оказались простыми редиректами. В минувшем месяце Symantec впервые обнаружила в открытом доступе полноценные сервисы сокращения ссылок, которые контролируются, по всей видимости, одной группой спамеров.

По свидетельству экспертов, все эти сайты, общим числом более 80, созданы по единому шаблону, используют open-source скрипты и зарегистрированы в зоне .info на московские адреса. Соответствующие домены размещены на британском веб-хостинге, держатель которого уже уведомлен о вероятности абьюза. Короткие ссылки, созданные на новых публичных сервисах, пока замечены лишь в спам-рассылках, продвигающих онлайн-аптеки сети Pharmacy Express.

Основным источником нелегитимных писем по-прежнему являются США, вклад которых в общий поток составил 34%. Наиболее высокие уровни спама наблюдались в Саудовской Аравии (80,5%), России (79,9%), Люксембурге (79,7%), Венгрии и Бразилии (по 77,7%). В разделении по отраслям хозяйственной деятельности больше прочих от спама страдали представители сферы образования (76,4%).

Доля фишинговых посланий в общем объеме спама сократилась на 0,07 пункта ― до 0,29%. Вклад вредоносных сообщений в спам-трафик сократился несколько больше и составил 0,42%. И та, и другая зловредная активность особенно ярко проявилась в британском секторе интернета. Лидером по локальным заражениям, зафиксированным Symantec в октябре, является Sality.

Наше исследование троянской программы Duqu продолжается. В первой части отчета, опубликованной несколько дней назад мы указали на существование гораздо большего количества драйверов, чем считалось раньше, а также сделали выводы о возможном наличии других модулей. Кроме того, мы пришли к выводу, что в отличие от массового распространения, как это было со Stuxnet, Duqu атакует только крайне малое число целей.

Однако прежде чем сообщить о наших очередных находках, я должен выразить глубокое уважение к работе, проделанной венгерской исследовательской лабораторией Crysys. Именно они были первыми, кто исследовал компоненты Duqu и подготовил великолепный отчет, который затем был предоставлен ими другим антивирусным компаниям и стал основой для дальнейших исследований. К сожалению, наша компания не была в числе первых получателей этого отчета, но тем интересней эта задача для нас сейчас – выяснить про Duqu всё.

Наши эксперты продолжают проводить глубокий анализ всех файловых компонентов Duqu и находят все больше и больше подтверждений его сходства со Stuxnet. Детальный отчет с анализом работы файлов и их структуры находится в процессе подготовки и будет опубликован позже. Эта часть исследования – сейчас не самое главное и срочное, гораздо важней понять причины происходящего и ход развития событий.

По свидетельству F-Secure, троянский даунлоудер для Mac OS, маскирующийся под обновление Adobe Flash, обрел новые средства самозащиты.

Следуя примеру своих Windows-собратьев, один из вариантов троянца Flashback (в классификации ЛК Trojan-Downloader.OSX.Flashfake) научился блокировать автоматическое обновление XProtect ― антивирусной утилиты, встроенной в последние версии OS X. Зловред выгружает процесс XProtectUpdater и переписывает служебные файлы, предотвращая автоматическую загрузку новых сигнатур. Новый трюк позволяет ему выиграть время для реализации основного функционала: установки бэкдора и подключения к командному серверу.

Другая версия Flashback недавно продемонстрировала способность отслеживать присутствие VMware Fusion на зараженной машине. Для проведения анализа подозрительного кода исследователи нередко прогоняют его в виртуальной среде, чтобы в случае нужды упростить процесс очистки. Если троянец обнаружит, что OS X запущена на виртуальной машине, его выполнение отменяется. Загрузка зловредного кода производится с помощью postinstall-скрипта. Бэкдор-компонент в этой версии прописывается не в домашней папке, где его легко обнаружить, а в списке ресурсов Safari. При этом информация о его местоположении добавляется в файл info.plist веб-браузера. В результате удаление кода бэкдора не спасет положения: не найдя его при запуске, Safari просто завершит сеанс.

Одним из распространенных способов заражения мобильных устройств являются вредоносные загрузки со специализированных веб-сайтов или из файлообменных сетей, которые введенный в заблуждение пользователь осуществляет со своего ПК. Большинство мобильных зловредов, обнаруженных Microsoft в январе-августе на компьютерах пользователей, были ориентированы на платформы Symbian и Java ME.

Вредоносные программы для мобильных устройств нередко позиционируются как разлоченные или новые версии легальных приложений, но на самом деле представляют собой репак со зловредным довеском. Поскольку многие портативные устройства до сих пор не имеют антивирусной защиты, определить истинные масштабы распространения зловредов, ориентированных на эти платформы, очень трудно. Статистика, представленная Microsoft, позволяет хотя бы примерно оценить предпочтения злоумышленников на настоящий момент.

Лидером мобильных угроз, обнаруженных экспертами на индивидуальных ПК, являются Symbian-зловреды: на их долю приходится три четверти всех детектов, зафиксированных за 8 месяцев. Наиболее яркими представителями этой группы являются ZitMo и SpitMo ― мобильные версии Zeus и SpyEye, работающие в одной упряжке с Win32-сородичами. Второе место в рейтинге, составленном Microsoft, занимают зловреды, атакующие Java Micro Edition (20% всех детектов). Их основное назначение ― рассылка SMS на премиум-номера. Весьма вероятно, что популярность Java ME у злоумышленников обусловлена гибкостью этой платформы: она функционирует как под ОС Symbian, так и под Windows CE.

Детектов, связанных с Android и Windows CE, оказалось на порядок меньше, хотя присутствие первой заметно возрастает. В первом полугодии эксперты также зафиксировали большое число инцидентов, связанных с семейством Exploit:Unix/Lotoor. Эти эксплойты используются злоумышленниками для распространения троянцев, заточенных под ОС Android версий 2.2 и ниже. Их «коллега», Exploit:Unix/GingerMaster, заточенный под Android 2.3 (Gingerbread), пока не получил столь же широкого распространения. Что касается Windows CE, ее популярность у киберкриминала заметно падает. Microsoft обнаружила лишь 3 новых угрозы, ориентированных на эту платформу: две из них ― SMS-троянцы, третья Zitmo.

Из-за недавней шумихи по поводу Duqu прошел незамеченным выпуск Oracle множества критических обновлений (см. раздел «Ссылки по теме» в правом верхнем углу страницы). Самое интересное, хотя, пожалуй, не самое важное с практической точки зрения – это обновление Java SE BEAST. Oracle утверждает, что закрыла 57 различных уязвимостей в своей продуктовой линейке, включая патчи для Java и Sun Ray – решение на основе виртуализации. Но самый интересный повод для обсуждения – это выпуск патча, закрывающего уязвимость CVE-2011-3389, т.е. бреши в JSSE.

На конференции Ekoparty в Аргентине, о которой мы писали в прошлом месяце, группа исследователей BEAST показала новый эксплойт для взлома SSL/TLS-сессий с использованием методики, описанной почти десять лет назад. Понятно, что интерес представляет не описание идеи, а ее реализация, так что эта демонстрация на многих произвела впечатление, а крупным производителям ПО прибавила работы. Среди этих производителей был и Oracle, поскольку продемонстрированный эксплойт использовал уязвимости в Java-коде (исследователи утверждали, что в коде Microsoft Silverlight и Javascript также имеются уязвимости, но эксплойты для них в этот раз не были представлены. К сожалению, код разработанного BEAST эксплойта для уязвимости Silverlight опубликован в сети). Эксплойт чуть не привел к еще более печальным последствиям, когда Mozilla заговорила о возможности блокировать в своих браузерах использование любых Java-надстроек: «В данный момент мы рассматриваем возможность полностью заблокировать Java во всех установках Firefox на компьютерах пользователей. Если мы примем такое решение, то сообщим об этом дополнительно». Несколько странно то, что Oracle довольно низко оценила важность этого обновления, оценив его на 4,3 балла по десятибалльной шкале, где 10 баллов соответствуют уязвимостям, представляющим наибольшую опасность.

В то же время Oracle выпустила шесть разных патчей для Java, оцененных на 10 баллов каждый; из них четыре для недавно выпущенной Java 7. Патчи затрагивают архитектуру самой JRE, AWT, десериализацию и скриптовые компоненты JRE.

По моему опыту, Sun Ray, решение Oracle на основе виртуализации, широко используется в корпоративных облачных сервисах, и администраторам «облака» нужно знать, что производитель выпустил для этой платформы патч, закрывающий уязвимость CVE-2011-3538 и устраняющий связанные с ней проблемы с аутентификацией.

Около двух недель назад немецкое общество хакеров Chaos Computer Club (CCC) опубликовало аналитический отчет о троянце-бэкдоре, который, как они утверждают, использовался немецкой полицией в ходе расследований для перехвата голосового трафика и сообщений с компьютеров подозреваемых. Наши коллеги из F-Secure на прошлой неделе опубликовали блогпост, в котором описали другой файл, который, по их словам, является дроппер-компонентом троянца. Они любезно поделились с нами MD5-хэшем файла, так что мы смогли найти его в нашей коллекции. Мы со Стефаном (Stefan Ortloff) исследовали этот вредоносный компонент.

Дроппер несет в своей ресурсной таблице пять других файлов, так что всего компонентов шесть, и каждый решает свои задачи, каждую из которых мы внимательно изучили. Помимо прочего, мы обнаружили две интересные вещи. Во-первых, эта версия зловреда способна выполняться не только на 32-битных системах – она поддерживает и 64-битные версии Windows. Во-вторых, список процессов-мишеней, которые подвергаются мониторингу, оказался длиннее списка, указанного в отчете ССС. Всего различными компонентами заражается 15 приложений.

Приложения-мишени

В предыдущих обсуждениях R2D2 говорится, что приложением-мишенью, которое подвергается мониторингу со стороны троянца, является Skype. Рассмотренная нами версия нацелена не только на Skype, но и на все распространенные браузеры, различные приложения для мгновенного обмена сообщениями и программы IP-телефонии (VoIP): ICQ, MSN Messenger, Low-Rate Voip, paltalk, SimpPro, sipgate X-Lite, VoipBuster и Yahoo! Messenger. Вот список процессов-мишеней:

• explorer.exe
• firefox.exe
• icqlite.exe
• lowratevoip.exe
• msnmsgr.exe
• opera.exe
• paltalk.exe
• simplite-icq-aim.exe
• simppro.exe
• sipgatexlite.exe
• skype.exe
• skypepm.exe
• voipbuster.exe
• x-lite.exe
• yahoomessenger.exe

Инъекция кода в процессы-мишени выполняется дроппером, двумя компонентами, выполняемыми в режиме пользователя, а также 32-битным драйвером режима ядра; у последнего расширен набор функциональных возможностей по сравнению с предыдущей версией, которая предоставляла лишь интерфейс для внесения изменений в реестр и файловую систему. Новый же драйвер запускает дополнительный поток, который в бесконечном цикле просматривает текущий список выполняемых процессов и внедряет вредоносный DLL в каждый процесс, имя образа которого совпадает с какой-либо записью в следующем списке:

Все процессы-мишени, которые мы обнаружили в компонентах, выполняемых в пользовательском режиме, также охвачены драйвером. Используются два разных метода инъекции вредоносного DLL. Один метод регистрирует библиотеку режима пользователя в реестре Windows под именем AppInit DLL, в результате чего библиотека загружается во время создания процесса. Второй метод создает удаленный поток в уже запущенных процессах и внедряет блок позиционно-независимого кода, который вносит файл mfc42ul.dll – один из модулей режима пользователя – в память процесса-мишени. На скриншоте видна первая пара инструкций кода, который выполняет инъекцию:

64-битный драйвер режима ядра

После того как дроппер устанавливает компонент режима ядра, он формирует имя ресурса в зависимости от архитектуры системы (32- или 64 бит) и устанавливает соответствующий драйвер:

В отличие от 32-битной версии, 64-битный драйвер не содержит никакого функционала, обеспечивающего заражение процессов, и предоставляет лишь примитивный интерфейс повышения привилегий через доступ к файловой системе и реестру. Как и 32-битная версия, он создает устройство и внедряет простой протокол для обмена данными с приложениями режима пользователя.

Широко известно, что 64-битные модули режима ядра должны иметь действительную цифровую подпись, которую операционная система может проверить; в противном случае в загрузке драйвера будет отказано. Драйвер, который идет в комплекте с руткитом, содержит 1024-битный RSA-ключ (контрольная сумма e5445e4a 9c7d24c8 43f0c669 e2a8d3a1 78cf7fa8), выданный Goose Cert 11 апреля 2010 г. Однако для загрузки драйвера ключ должен быть установлен, а его достоверность должна быть подтверждена.

Все вредоносные компоненты детектируются продуктами «Лаборатории Касперского» как варианты троянца/руткита R2D2. Дроппер-компонент до этого детектировался и блокировался нашими продуктами при помощи эвристических методов.

Согласно результатам опроса, проведенного университетскими исследователями, каждый десятый житель Великобритании включает в завещание список паролей к сетевым репозиториям с мультимедийными архивами .

В опросе, запущенном Лондонским университетом с инициативы поставщика «облачных» решений Rackspace, приняли участие 2 тыс. британцев. Как оказалось, больше половины из них являются владельцами оцифрованной собственности, хранящейся в Сети, ― фильмотек, фотоальбомов, библиотек, музыкальных коллекций.

Расширение использования мобильных устройств, бурный рост цифровых медиа и распространение соответствующих сервисов создают благоприятные условия для сбора и архивации результатов персональных увлечений в удобной и доступной форме. Около четверти участников опроса заявили, что больше никогда не будут отдавать фотоснимки в печать; 15% полагают, что собранной на интернет-ресурсах литературы им хватит лет на десять.

Меломаны, графоманы, поклонники кинематографа получили отличную возможность составлять подборки по своему вкусу, не выходя из дома. Нередко плоды их усилий представляют большую ценность. Если экстраполировать данные, полученные в ходе опроса, общая стоимость медийных «сокровищ» британцев в настоящее время превышает 3,16 млрд. долларов. Тем не менее, оказалось, что стремление передать наследникам ключи к интернет-архивам продиктовано, прежде всего, желанием сберечь для грядущих поколений семейные фото, традиции и воспоминания.

Прежде всего мы считаем необходимым внести ясность в некоторую путаницу с именами файлов и с самими файлами, относящимися к данному инциденту. Для полного понимания ситуации необходимо знать, что на самом деле речь идет о двух (как минимум) разных вредоносных программах. Все, что было сказано в прошедшие сутки о связи Duqu со Stuxnet, в большинстве случаев относится только к первой из этих программ.

Ее основной модуль по сути состоит из трех компонентов:

• драйвер, который осуществляет внедрение dll в системные процессы;
• dll, которая содержит дополнительный модуль и взаимодействует с центром управления;
• файл конфигурации.

Именно этот комплекс и имеет максимальное сходство со Stuxnet, как по внутренней структуре, так и поведению в системе. Однако название Duqu не имеет к основному модулю практически никакого отношения — оно исходит из имен файлов, которые создает в системе совершенно другая вредоносная программа–шпион!

Эта вторая программа в основном является кейлоггером, но также может собирать разнообразную дополнительную информацию. Она была обнаружена у одной из пострадавших компаний вместе с описанным выше основным модулем. С учетом возможностей основного модуля по загрузке дополнительных компонент, на основании этого было сделано предположение о связи этих двух вредоносных программ. В ходе своей работы троянец-шпион сохраняет собранные данные в файлы с именами вида ~DQx.tmp. По этим названиям и было дано имя, под которым теперь подразумевается и основной модуль.

На самом деле код троянца-шпиона свидетельствует о том, что кейлоггер в какой-то степени связан с основным модулем, и вероятней всего он действительно был когда-то им загружен. Что же касается функционала, то это совершенно самостоятельная вредоносная программа, которая может работать и без основного модуля. Точно так же, как и основной модуль может работать без наличия в системе троянца-шпиона. Однако связи между кейлоггером и Stuxnet не столь очевидны, так что его с очень большой натяжкой можно назвать в лучшем случае «внуком», но уж точно никак не «сыном» Stuxnet :)

Symantec и социальная сеть Профессионалы.ru опросили свыше 5 тыс. российских пользователей, пытаясь выяснить, насколько их заботит безопасность личных данных при совершении покупок онлайн.

86% участников опроса выразили определенные опасения по поводу сохранности конфиденциальной информации, доверяемой интернет-магазинам. Тем не менее, больше половины респондентов готовы пойти на риск, а четверть не принимают никаких мер предосторожности, оформляя покупки в интернете.

При посещении интернет-магазина у пользователя обычно запрашивают контактный телефон и адрес (81 и 58% опрошенных соответственно), иногда ― дату рождения (43%), семейное положение (16%) и паспортные данные (16%). 27% респондентов заявили, что не видят ничего предосудительного в том, что продавцу требуются, к примеру, сведения о возрасте или семейном положении. Как оказалось, большой объем дополнительной информации, которую необходимо сообщить при покупке, способен отпугнуть лишь 21% пользователей.

Понятно, что запросы на предоставление разнообразных персональных данных в большинстве случаев обусловлены спецификой покупки. Тем не менее, не стоит забывать, что далеко не все веб-сервисы способны гарантировать адекватную защиту доверяемой им информации. В подтверждение надежности торговой точки 41% потенциальных покупателей изучают отзывы, проводя поиск в интернете; 36% довольствуются оценками, опубликованными на сайте магазина; 28% проверяют актуальность контактной информации. Лишь 24% ищут на сайте признаки криптографии и шифрования данных ― зеленую подсветку адресной строки, букву «s» в указанном протоколе передачи данных (https://), значок закрытого замка.

77% участников опроса признались, что никогда не читают соглашение о конфиденциальности, 16% его не замечают, а 8% даже не знают, что это такое. В процессе шоппинга 47% респондентов используют одноразовые пароли и SMS-каналы для подтверждения покупки. Около 15% онлайн-покупателей взяли за правило производить оплату со счетов, на которых слишком мало средств, чтобы сожалеть об их потере. 38% предпочитают воздержаться от использования банковской карты на малознакомом ресурсе.

Организаторы опроса напоминают, что небрежное отношение к персональным данным чревато печальными последствиями не только для самого пользователя, но и для его работодателей. Как показывает практика, злоумышленники не преминут воспользоваться любой информацией, способной открыть доступ к корпоративной сети.

- Что представляет собой Duqu и какое отношение он имеет к Stuxnet?

Duqu - сложная троянская программа, которая, похоже, была написана создателями скандально известного червя Stuxnet. Её основная цель - действовать в качестве бэкдора в системе, упрощая кражу частной информации. Это его основное отличие от Stuxnet, главной целью которого были диверсии на промышленных объектах. Также важно отметить, что если Stuxnet способен распространтсья с одного компьютера на другой при помощи различных механизмов, Duqu - это троянская программа, которая, судя по всему, не размножается самостоятельно.

- Направлена ли эта программа на оборудование PLC/SCADA? Известно ли, кто или что именно является мишенью программы?

В отличие от Stuxnet, Duqu не нацелен на оборудование PLC/SCADA напрямую, хотя некоторые из его подпрограмм могли бы использоваться для кражи информации, имеющей отношение к промышленным объектам. Duqu, похоже, предназначен для сбора конфиденциальной информации о его мишенях, что может включать практически любые данные, хранящиеся в цифровом формате на ПК жертвы.

- Каким образом Duqu заражает компьютеры? Может ли он распространяться через USB-устройства?

На данный момент мы наблюдаем только его следы в зараженных системах, а не его основной компонент. По-видимому, существует «материнский» дроппер для Duqu, который заражает компьютеры, однако мы пока не располагаем его самплом.

- Есть ли в составе Duqu эксплойт, особенно эксплойт нулевого дня?

Пока мы не обнаружили такового, однако продолжаем анализ. Вредоносный код достаточно сложен, и его анализ требует значительного количества времени.

- Каким образом производители антивирусных решений узнали об этой угрозе? Кто сообщил о ней?

Первое публичное упоминание, о котором нам известно, содержалось в блогпосте некоего венгерского блоггера, который, по-видимому, стал жертвой этой атаки. Позднее он опубликовал больше информации о сертификате, используемом для подписи драйвера Duqu, однако, в конечном счете, удалил все посты, имеющие отношения к этой атаке.

- Когда эта угроза была впервые обнаружена?

Нашими продуктами шпионский компонент (infostealer) детектируется с 14 сентября как Trojan.Win32.Inject.bjyg.

- Сколько существует вариантов Duqu? Есть ли между ними принципиальные отличия?

По-видимому, существует по крайней мере три варианта драйверов Duqu, а также несколько других компонентов. Все они детектируются разными антивирусными компаниями под разными названиями, что создает впечатление существования множества различных вариантов. На момент написания нам было известно об одном компоненте, крадущем конфиденциальную информацию, и трех различных драйверах.

- Говорят, что эта программа направлена именно на центры сертификации. Соответствует ли это действительности? Откуда это известно?

Действительно, существует информация, которая указывает на то, что основной целью Duqu является кража данных с CA, однако на данный момент мы не располагаем информацией, которая однозначно это бы подтверждала.

- По заявлениям Symantec, троянская программа нацелена на определенные организации, возможно, с целью сбора особой информации, которая может использоваться при проведении атак в будущем. Какая информация нужна злоумышленникам, и какие атаки возможны в будущем?

Одно из предположений - Duqu использовался для кражи у центров сертификации сертификатов, которые могут применяться для подписи вредоносного кода, чтобы затруднить его детектирование. На самом деле, backdoor-функционал в Duqu достаточно сложен и может использоваться для гораздо более разнообразных целей. По сути, он может красть все, что угодно.

- C&C-сервер, используемый Duqu, до сих пор активен? Что происходит при обращении зараженной машины к C&C?

C&C-сервер Duqu, раположенный в Индии, более неактивен. Как и в случае с Stuxnet, он был отключен достаточно быстро после распространения новостей о Duqu.

- Почему Duqu работает в течение 36 дней?

Может быть, его автору нравились круглые значения, как, например, 6x6?

- Кто стоит за этой атакой?

Та же группировка, которая создала Stuxnet. Любопытно то, что они, похоже, заинтересовались астрономией; в составе исполняемого файла-шпиона, есть часть JPEG-файла — изображение, полученное с телескопа Hubble (“Interacting Galaxy System NGC 6745”):

На картинке запечатлены последствия прямого столкновения двух галактик (!), которое произошло несколько миллионов лет назад. Об этом можно прочитать здесь.

Продолжение следует...

Голландский транзит-провайдер A2B Internet обратился в местную полицию с жалобой на антиспамерскую организацию Spamhaus, которая, по утверждению заявителей, использует незаконные методы воздействия, а именно ― шантаж и «DoS-атаки».

Яблоком раздора в начавшейся тяжбе является голландский хостинг-провайдер Cyberbunker (AS34109), он же CB3ROB, который использует серверы датацентра, выходящего в Сеть через A2B (AS51088). По словам активистов, Cyberbunker предоставляет своим клиентам «пуленепробиваемые» площадки, которые исправно служат спамерам, фишерам и распространителям зловредов. Его услугами в свое время пользовались The Pirate Bay и RBN (Russian Business Network).

По свидетельству Spamhaus, в текущем году криминальная активность в сетях Cyberbunker усилилась, однако хостер упрямо отказывался прекратить обслуживание веб-сайтов, продвигаемых через спам-рассылки. Борцы за чистоту интернета пытались заручиться поддержкой вышестоящего провайдера, A2B, но тот, по их словам, долгое время игнорировал их призывы. Проблемы начались, когда активисты вознамерились напрочь лишить Cyberbunker доступа к интернету. Уступив их напору, A2B заблокировал блок IP-адресов, засветившийся в черных списках Spamhaus, однако этого оказалось мало. В начале октября антиспамеры занесли в блок-лист весь диапазон A2B, и компании ничего не оставалось, как отлучить сомнительного клиента от Сети.

Доброе имя A2B было сразу же восстановлено, однако интернет-провайдера возмутили неучтивое поведение и нецивилизованный modus operandi, который, по его словам, избрала некоммерческая организация. В действиях борцов со спамом пострадавший усмотрел стремление навязать собственное мнение, пренебрежение к национальным законам и чужим политикам в отношении абьюзов. Глава компании намерен предать широкой гласности этот конфликт и обсудить его на ближайшем совещании участников RIPE.

Spamhaus, со своей стороны, пытается доказать свою правоту, намекая на нечистоплотность самого транзит-провайдера . По данным антиспамеров, до A2B виновник междоусобицы выходил в Сеть через Ecatel.net, затем Grafix.nl и Datahouse.nl. Последние два канала контролирует A2B, а репутация Ecatel давно подмочена связями с киберкриминалом. Тем временем, оставшись без связи, Cyberbunker нашел альтернативный канал, но так и не избавился от сомнительных клиентов. Расследованием его деятельности с подачи Spamhaus займутся голландские борцы с преступлениями в сфере высоких технологий, которым активисты передали всю соответствующую документацию.

По данным Microsoft, количество новых уязвимостей в ПО за полгода уменьшилось на 5,5%. Вклад продуктов компании в эти публикации сократился с 8,2 до 6,9%, веб-приложений ― с 80,3 до 71,5%.

На долю ошибок, обнаруженных в операционных системах и браузерах, в минувшем полугодии пришлось 12,7 и 15,7% публикаций соответственно. Во втором квартале число эксплойтов, ориентированных на уязвимости ОС, резко возросло ― в основном, за счет освоения злоумышленниками лазейки CVE-2010-2568, открытой червем Stuxnet. С начала года наблюдается также значительный рост кибератак, использующих бреши в ОС Android. Большинство таких инцидентов связаны с семейством Unix/Lotoor (в классификации ЛК Exploit.Linux.Lotoor) При отработке эксплойта Lotoor на машину пользователя устанавливается троянец AndroidOS/DroidDream (Backdoor.AndroidOS.Rooter).

Наибольшей популярностью у злоумышленников пользуются уязвимости в Java Runtime Environment (JRE), Java Virtual Machine (JVM) и Java SE в Java Development Kit (JDK). На их долю приходилось от трети до половины эксплойтов, регистрируемых с середины прошлого года. Число проникновений через Adobe Flash во втором квартале выросло более чем в 40 раз ― из-за двух уязвимостей 0-day, обнаруженных в апреле и июне (CVE-2011-0611 и CVE-2011-2110).

Основным источником зловредных загрузок является Сеть. В отчетный период около 0,25% URL, индексированных поисковой системой Bing, были привязаны к страницам, осуществляющим drive-by загрузки. Большое количество страниц с эксплойтами обнаружено на территории Кореи (2,77% местных URL), Китая (0,8%) и Румынии (0,66%).

Среди локальных заражений, зафиксированных Microsoft с января по июнь, наиболее часто встречаются программы, демонстрирующие рекламу (adware). Количество червей и троянских даунлоудеров/дропперов уменьшилось на 10,9 и 9,3% соответственно. По мнению экспертов, этому в значительной мере способствовал выпуск обновления, позволившего заблокировать функцию автозапуска под Windows XP и Vista. Список зловредов, обнаруженных Microsoft на компьютерах пользователей, возглавляет Conficker/Kido (17% заражений), популяция которого постепенно уменьшается и за 2-й квартал сократилась на 2 пункта. Второе место пока занимают autorun-зловреды (11%), третье ― Rimecud/Palevo (7%). Sality, который отсутствовал в прошлогоднем списке лидеров по локальным заражениям, поднялся на 10-ю позицию (3%).

По данным Microsoft, 45% зловредов пользователь закачивает сам, 43% используют включенную функцию автозапуска, около 6% проникают в систему посредством эксплуатации непропатченной уязвимости. На долю угроз нулевого дня приходится менее 1% заражений.

Чтобы определить, какими путями вредоносные программы попадают на компьютеры пользователей, эксперты проанализировали информацию о заражениях, собранную с помощью MSRT (Malicious Software Removal Tool – средство удаления вредоносных программ Microsoft) за первую половину текущего года. Выборка была ограничена 27 семействами, наиболее широко (не менее 25 тыс. инцидентов) представленными в показаниях MSRT. На долю этих семейств приходится 83% детектов, зафиксированных в отчетный период по всей пользовательской базе, охват которой составляет свыше 600 млн. индивидуальных ПК. Поскольку многие из зловредов распространяются разными способами, данные по каждому семейству были равномерно распределены по всем активно используемым каналам.

Методики первичного заражения исследователи разделили на 3 основные категории: загрузки с инициативы пользователя (обман, социальная инженерия), эксплойты уязвимостей и абьюзы легального функционала. Последнюю представляли, в основном, AutoRun-черви и троянцы, хотя в Windows 7 функция автозапуска отключена по умолчанию, а соответствующее исправление для XP и Vista было выпущено в 1-м квартале. В классификации Microsoft отсутствуют некоторые общеупотребительные термины, в частности «drive-by загрузки». Эксплойты уязвимостей рассматриваются в зависимости от срока давности соответствующей заплатки: 0-day, брешь закрыта недавно или более года назад.

Как оказалось, больше половины зловредов, проникающих на ПК путем эксплойта уязвимостей, атакуют давно известные лазейки, которые по вине пользователя остались открытыми. Поскольку ни одна из угроз, зафиксированных MSRT в рамках исследования, не использовала уязвимости 0-day, эксперты обратились к результатам, полученным с помощью других защитных решений. Дополнительное исследование показало, что в первом полугодии на долю угроз нулевого дня приходилось лишь 0,12 % случаев успешной эксплуатации уязвимостей. На пике этот показатель составил 0,37%. Большинство угроз 0-day использовали новые бреши в Adobe Flash Player ― CVE-2011-0611 и CVE-2011-2110.

Компания Sony сообщила о ряде попыток взлома аккаунтов пользователей некоторых своих сетей. В заявлении на сайте компании говорится: «Sony Network Entertainment International LLC и Sony Online Entertainment (SOE) зарегистрировали большое количество попыток неавторизованного доступа к сервисам PlayStation®Network (PSN), Sony Entertainment Network (SEN) и Sony Online Entertainment (SOE)».

Всего было взломано почти 93000 аккаунтов. В качестве ответной меры Sony эти аккаунты заблокировала. Позже компания сообщила, что в зоне риска не находятся данные ни одной из кредитных карт, а также о том, что «в этих хакерских атаках, по-видимому, использовались данные, полученные из одной или более взломанных баз других компаний, сайтов или ресурсов».

Примечательно, что Sony стала более открыто и быстро уведомлять общество и своих пользователей о попытках хакерских атак. Напомним, что в апреле компания реагировала на действия злоумышленников слишком медленно, в результате чего пострадали более 70 миллионов пользователей. Различные сети и базы данных Sony взламывали уже как минимум 19 раз, и каждый из этих взломов негативно влиял на репутацию компании. Судя по всему, в этот раз Sony пытается свою репутацию сохранить.

О том, что их аккаунты заблокированы, и им необходимо сменить пароль, Sony будет сообщать владельцам атакованных аккаунтов по электронной почте. Пользователей сети Playstation мы просим быть внимательными, отвечая на уведомления от Sony, поскольку мошенники могут воспользоваться ситуацией для сбора логинов и паролей, чтобы затем получить доступ к аккаунтам. Если у вас есть хоть малейшие подозрения в том, что ваш аккаунт был взломан, немедленно смените пароль.

Пользователям программных продуктов Microsoft нужно установить большую порцию срочных обновлений безопасности. Для Internet Explorer вышло всего одно обновление MS11-081; однако, этот кумулятивный патч устраняет восемь разных уязвимостей, причем эти уязвимости имеют отношение ко всем версиям Windows – от Windows 7 x64 до Windows Server 2008 x64 Service Pack 2.

Хорошая новость заключается в том, что Microsoft разработала утилиту обновления, которая берет на себя большую часть принятия решений, до этого ложившихся на плечи пользователя. Что касается корпоративных продуктов, то у всех системных администраторов есть свой подход к установке обновлений, что может потребовать проведения важных тестов на совместимость и качество.

И пользователям, и корпоративным клиентам в дополнение к патчу, закрывающему восемь критических уязвимостей в Internet Explorer, нужно срочно установить патч MS11-078 Silverlight. При этом гарантий, что его получится установить на вашей системе, нет. Silverlight – это плагин Microsoft к веб-браузеру, обеспечивающий поддержку интерактивного медиаконтента. Установив его, разработчики могут писать приложения Silverlight на любом .NET-языке (C# и т.д.). Иными словами, это конкурент Adobe Flash, только пока не настолько популярный. В любом случае, Internet Explorer и Silverlight – это два широко используемых программных клиента, успешная эксплуатация которых приведет к удаленному выполнению кода под многими версиями Windows. Будет странно, если в ближайшие месяцы в связки эксплойтов не будут добавлены соответствующие эксплойты, которые станут широко использоваться при попытках взлома. Если взломщик загрузит ASP.NET страницу на IIS-сервер, обрабатывающий ASP.NET страницы, и затем исполнит эту страницу, вредоносный код окажется выполненным на сервере. Так что срочно установите обновление.

Из восьми бюллетеней по безопасности, два являются критическими и шесть – важными; они закрывают 23 уязвимости в Internet Explorer, .NET Framework & Silverlight, Microsoft Windows, Microsoft Forefront UAG и Microsoft Host Integration Server. Патч MS11-077 исправляет пару любопытных багов в драйверах ядра Windows, которые потенциально могут использоваться злоумышленниками для атак на все поддерживаемые версии Windows: начиная от Windows Xp SP3 и заканчивая Windows Server 2008 x64 SP2. Среди багов есть и уязвимость типа user-after-free в win32k.sys, приводящая к EoP (Escalation of Priveleges, повышение привилегий), а также переполнение буфера в файле библиотеки шрифтов, приводящие к исполнению произвольного кода.

В Санкт-Петербурге по подозрению в интернет-мошенничестве задержан 30-летний гражданин Нигерии.

По имеющимся сведениям, Илори Эванс Джонсон обосновался на берегах Невы 7 лет назад и вместе с сообщниками зарабатывал на жизнь, распространяя в Сети «нигерийские» письма. Мошенники использовали текст, ставший уже хрестоматийным: автор письма получил большое наследство, адресату предлагается войти в долю и оплатить оформление и вывод денег с территории иностранного государства. В ходе переговоров аппетиты «благодетелей» растут, и взносы в счет мифической прибыли растут, как снежный ком, ― пока пострадавший не заподозрит обман.

На настоящий момент известны лишь несколько жертв мошеннической схемы, которую практиковали Джонсон и Ко. Одна местная жительница, поверив аферистам, перевела Western Union совокупно свыше 1 млн. руб. и 2560 долл. на три зарубежных счета. Другой случай и вовсе закончился трагедией. Супруги перечислили аферистам более 100 тыс. долл., а когда обнаружили, что их водят за нос, крепко повздорили, и жена нанесла мужу смертельный удар ножом.

При обыске у Джонсона обнаружили поддельный паспорт, 10 сотовых телефонов с SIM-картами разных операторов, 2 банковские карты, 3 сберкнижки, поддельные чеки, ноутбук с сохраненной перепиской и адресами сообщников, массу бланков и заготовок для имитации бурной деятельности по оформлению «наследства».

По факту мошенничества возбуждено уголовное дело, Джонсон заключен под стражу, а питерская полиция проводит мероприятия по выявлению соучастников данной аферы и остальных пострадавших.

Эксперты ZeusTracker обнаружили многотысячный р2р-ботнет, сформированный на основе ZeuS.

Как показал анализ, новый бот, распространяемый в спаме, ― не что иное, как заказная сборка на базе версии ZeuS, снабженной генератором доменов. В ZeusTracker определили ее как доработанную модификацию Murofet. Следует отметить, что наличие алгоритма генерации доменов в арсенале зловреда сильно осложняет работу исследователей, пытающихся отследить его центры управления в Сети. Однако на сей раз создатели ботнета решили усилить защиту командной инфраструктуры путем реорганизации и вынесли канал обновлений на уровень р2р-сети.

После инсталляции новый ZeuS пытается связаться с пирами, используя список IP-адресов, жестко прописанный в коде. Поиск активного рабочего узла осуществляется путем отсылки UDP-пакетов на портах с многозначным номером. В случае успеха новичок получает текущие адреса участников р2р-сети и информацию о версии кода и конфигурационного файла. Если они окажутся более актуальными, чем собственные, троянец закачивает обновление, соединяясь с удаленным узлом через TCP-порт. После этого он по http-каналу подключается к командному серверу, используя текущий домен, прописанный в конфигурационном файле.

Протокол http используется лишь для отправки украденных данных на коллектор и/или получения команд от ботмастера. Что касается генератора доменов, модифицированный ZeuS задействует его лишь в том случае, когда прочие C&C каналы недоступны. По словам экспертов, новая структура ботнета, безусловно, затруднит мониторинг деятельности троянца, но и этот метод самозащиты имеет свои недостатки. Поскольку в конкретный период времени в сети активен лишь один C&C домен, в случае его блокировки ботоводам придется срочно обновлять конфигурационный файл.

ZeusTracker удалось подменить несколько контроллеров нового ботнета, что позволило оценить масштабы заражения и определить ареал обитания новой модификации ZeuS. К настоящему времени исследователи насчитали порядка 80 тыс. уникальных IP-адресов, активно участвующих в р2р-обмене. Наибольшее количество заражений обнаружено в Индии (свыше 70 тыс.), немногим меньше ― в Италии и США (67 и 63 тыс. соответственно). Результаты наблюдений позволили также заключить, что ботоводы сдают свою сеть в аренду.

Как известно, разработчик банковского троянца-шпиона SpyEye реализовал поддержку плагинов в своем детище. По задумке автора с помощью этих плагинов сторонние разработчики могут вносить в базовый бот произвольный функционал.

Плагины представляют собой библиотеки DLL, которые хранятся в файле конфигурации бота. Среди базовых плагинов, созданных самим раработчиком SpyEye, имеется плагин под названием customconnector. Как можно догадаться из названия, этот плагин отвечает за коммуникацию бота с центром управления ботнета или же с коллектором (сервер злоумышленников, на который бот отправляет украденные с зараженного компьютера данные пользователя; может отличаться от сервера – центра управления).

Поскольку автор SpyEye вынес коммуникацию бота с центром управления на стороннюю разработку, у различных операторов ботнетов SpyEye появилась возможность создания уникальных протоколов общения бота и сервера управления. Использование таких протоколов, безусловно, могло бы усложнить слежение за активностью ботнетов, построенных на базе SpyEye. Но воспользоваться этой возможностью злоумышленники не спешат: старый протокол общения SpyEye, реализованный в базовой поставке customconnector.dll, используется по сей день. Недавно мы все-таки обнаружили кое-какие изменения, связанные с этим плагином.

Как известно, в России 4 декабря 2011 года состоятся выборы в Государственную Думу. Многие жители нашей страны, несмотря на близость этой даты, еще не определились с тем, какой же политической партии отдать свой голос. Некоторые из неопределившихся ждут активной избирательной кампании, чтобы выбрать наиболее яркого и запоминающегося кандидата. Другие активно читают разнообразную аналитику, силясь понять, какие проекты будут реализовывать партии в случае победы. А спамеры придумали инновационный подход к голосованию.

Вчера мы зафиксировали массовую рассылку, в ней вниманию пользователя предлагается проект «Партия судьбы», которому «нет аналога в мире и врядли когда-нибудь будет». В письме пользователю предлагают сыграть во flash игру и сделать свой выбор 4 декабря 2011 года, исходя из ее результата.

Многие пользователи знают, что социальные сети могут использоваться злоумышленниками для распространения вредоносного ПО или мошеннического контента. Российская сеть ВКонтакте не стала исключением, ведь чем популярнее сеть у пользователей, тем активнее эксплуатируют ее злоумышленники. Всего за неделю при попытках пользователей перейти по ссылкам, размещенным на сайте vkontakte.ru, было зафиксировано около 32 000 срабатываний нашего антивируса.

Все вредоносные объекты, на которые ведут сомнительные ссылки в социальной сети, можно поделить на три основные категории:

1. мошеннические сайты;
2. зараженные архивы;
3. зловреды, модифицирующие файлы hosts;
4. интернет-черви.

Ниже представлен ТОP 20 вердиктов нашего антивируса:

Эксперты Trusteer обнаружили новый трюк в арсенале троянской программы SpyEye. Комбинация MitB-атаки (man in the browser injection) и элементов социального инжиниринга позволяет злоумышленнику подменить номер телефона, привязанный к учетной записи жертвы в системе онлайн-банкинга, и беспрепятственно проводить финансовые операции от ее имени.

При использовании банком двухуровневой системы аутентификации на мобильный телефон регистранта высылается SMS с кодом, который надлежит ввести в веб-форму, чтобы подтвердить законность транзакции. Дополнительный маневр, взятый на вооружение SpyEye, гарантирует пересылку этих кодов на номер, контролируемый злоумышленниками. Легализовать этот номер в системе онлайн-банкинга помогает, сам того не ведая, владелец зараженной машины.

В соответствии с новым сценарием троянская атака проводится в два этапа. Вначале резидентный SpyEye, реализуя стандартный функционал, крадет регистрационные данные к целевому аккаунту. Затем при первом же заходе пользователя на сайт банка он на лету подменяет страницу, запрашивая от имени администрации текущий персональный код, якобы для завершения регистрации на новом бесплатном сервисе безопасности. В случае положительного отклика злоумышленники получают идентификатор, необходимый для авторизации изменений (замены номера телефона) в учетной записи клиента. Клиенту же сообщают, что в целях усиления защиты от мошенничества ему будет выделен особый телефонный номер, а соответствующая SIM-карта выслана по почте.

Судя по оформлению фальшивой страницы, оказавшейся в распоряжении исследователей, данная атака ориентирована на испаноязычную аудиторию. Во избежание неприятностей клиентам системы онлайн-банкинга рекомендуется, помимо надежного антивируса, использовать специальную защиту от MitB-атак.

Согласно статистике IBM, с января по июнь доля критических уязвимостей в общем объеме найденных брешей увеличилась в 3 раза. Вклад веб-приложений в новые публикации, напротив, сократился с 49% до 37%. По наблюдениям экспертов, это первый положительный сдвиг за последние 5 лет.

Число опасных и критических уязвимостей, обнаруженных в веб-браузерах, тоже пошло на убыль. Если тенденция сохранится, к концу года их наберется от силы 130, что будет самым низким показателем за последние 4 года. Исследователи отметили также, что поставщики ПО стали уделять больше внимания латанию дыр в своих продуктах. Если в прошлом году незакрытыми остались 44% уязвимостей, преданных огласке, то в текущем ― рекордные 37%. Для 58% новых брешей патч был выпущен в день публикации.

Тем не менее, почивать на лаврах пока рано. С начала года в Сети идет активная охота за ценной информацией, почти каждый день интернет-сообщество узнает о новых изощренных адресных атаках, дерзких взломах и катастрофических утечках. Оживились и «хактивисты», учиняющие акты вандализма на чужих сайтах в знак протеста. Согласно статистике IBM, приоритетным объектом хакерских атак в первом полугодии являются базы данных, а основными методами взлома ― подбор паролей и SQL-инъекции. Исследователи протестировали около 700 популярных веб-сайтов, включая сетевые ресурсы организаций из списка Fortune 500, и обнаружили, что 40% из них уязвимы к XSS-атакам.

Расширение использования мобильного доступа к корпоративным сетям, большой выбор и доступность сторонних приложений, а также отсутствие надлежащих политик в отношении безопасности рабочих смартфонов и планшетных ПК создают благоприятную почву для проведения кибератак в новом пространстве. Последние пару лет IBM наблюдает устойчивый рост числа уязвимостей, выявляемых на мобильных платформах. По прогнозам экспертов, в этом году их окажется вдвое больше, чем в предыдущем.

По оценке Британской ассоциации эмитентов пластиковых карт (UK Cards Association), в первой половине текущего года потери британцев от мошенничества в системе интернет-банкинга составили 16,9 млн. фунтов стерлингов (26 млн. долл.). Прошлогодний показатель за январь-июнь был на 32% выше [PDF 114 Кб].

Положительные сдвиги в этом направлении эксперты объясняют как повышением общего уровня грамотности в отношении безопасного использования интернета, так и эффективностью технологий, применяемых банками для защиты своей клиентуры. Что касается самих охотников за чужими капиталами, их активность пока не идет на убыль. За год число фишинговых сайтов, имитирующих ресурсы британских банков, выросло на 18%.

Получив отпор в системе интернет-банкинга, злоумышленники обратились к более примитивным способам обмана. Они теперь предпочитают атаковать держателей банковских карт по телефону, представляясь стражами порядка или работниками банков. Их задача ― под любым предлогом (мнимый отзыв транзакции, замена карты) узнать идентификаторы и ПИН-код, дающие ключ к заветному счету. С января по июнь телефонные обманщики украли у британцев 8,6 млн. фунтов (13,2 млн. долл.) ― на 48% больше, чем за тот же период 2010 г.

Лондонский уголовный суд вынес 13-й и последний обвинительный вердикт по делу о хищении £3 млн. (4,6 млн. долл.) у британских граждан с помощью троянца ZeuS. Уроженка Латвии Карина Костромина признана виновной в отмывании денег и приговорена к 2-м годам тюремного заключения.

Подельники, занимавшиеся выводом краденых денег за пределы Соединенного Королевства, были задержаны местной полицией год назад. Аресты и обыски производились по итогам совместного расследования, начатого с инициативы ФБР. Состав криминальной группировки, действовавшей на территории Великобритании, оказался вполне интернациональным: 6 украинцев, 3 белоруса, 3 латыша, 1 грузин. «Дропы» действовали по уже известной схеме: используя фальшивые документы, открывали в разных банках подставные счета, в назначенные сроки снимали начисления (деньги, украденные ZeuS) и сдавали их в «казначею». Тот делил награбленные капиталы «по труду», отправляя львиную долю за рубеж.

В соответствии с британскими законами преступников обвинили в преступном сговоре, мошенничестве, отмывании денег и использовании поддельных удостоверений личности. 11 из них, включая Костромину, получили тюремные сроки, максимальный из которых превышает 3 года. Приговор Евгению Кулибабе и Юрию Коноваленко ― главарю и его «правой руке» ― будет оглашен позднее.

5 октября 2011 года ушел из жизни Стив Джобс – основатель и идейный вдохновитель компании Apple. Многие признают, что этот человек перевернул мир. Как верно отметил президент Америки Барак Обама, многие прочитали о смерти Джобса с экранов устройств, которые он сам изобрел.

Это событие было очень заметно в мире, и спамеры, для которых нет ничего святого, разумеется, воспользовались им для своих целей. Интересно отметить, что им понадобились почти сутки, чтобы начать первые рассылки, эксплуатирующие тему смерти Джобса.

С позднего вечера 6 октября мы регистрируем рассылку, утверждающую, что Стив Джобс жив.

На прошлой неделе компания Microsoft сообщила о прекращении работы опасного ботнета, который был ответственен за рассылку спама, кражу конфиденциальной финансовой информации, биржевые мошенничества типа «накачка и сброс» и DDoS-атаки.

«Лаборатория Касперского» сыграла решающую роль в операции по обезвреживанию ботнета. Специалисты «Лаборатории» провели работу по анализу вредоносного кода, используемого в боте, вскрыли его протокол обмена данными и разработали инструменты для воздействия на его пиринговую инфраструктуру. Мы тесно струдничали с Группой по борьбе с киберпреступлениями Microsoft (DCU), обмениваясь информацией и предоставляя им доступ к нашей системе оперативного отслеживания ботнетов.

Главным элементом в этой операции явилось использование sinkhole-маршрутизатора — один из компьютеров «Лаборатории Касперского» стал частью ботнета с целью получения контроля над ним. Важно понимать, что ботнет по-прежнему существует, но в настоящее время контролируется «Лабораторией Касперского». Параллельно с обращением Microsoft в судебную систему США с требованием отключить домены, используемые ботнетом, мы начали свою операцию по внедрению в ботнет sinkhole-маршрутизатора. В данное время к внедренному маршрутизатору ежеминутно обращается 3000 хостов. В данном блогпосте описывается внутренния работа ботнета, а также операция, проведенная нами для предотвращения его дальнейшего функционирования.

В минувшем сентябре Интерпол при поддержке национальных правоохранительных органов и интернет-провайдеров предпринял очередную попытку ослабить теневой фармабизнес. Совместными усилиями удалось закрыть 13,5 тыс. нелицензированных интернет-аптек, произвести 55 задержаний, изъять 2,4 млн. контрафактных и вредных для здоровья препаратов общей стоимостью 6,3 млн. долл..

В международной акции приняли участие полицейские подразделения, работники таможни и служб меднадзора из 81 страны. Выявить онлайн-ресурсы теневых бизнесменов, проследить денежные потоки и источники поставок помогали интернет-провайдеры, платежные сервисы и службы доставки. Целую неделю 165 разных организаций в реальном времени обменивались информацией через штаб-квартиру Интерпола в Лионе.

Согласно Википедии QR-код (Quick Response) — это матричный код (двухмерный штрихкод), изначально разработанный для применения в автомобильной промышленности. Сегодня QR-коды становятся все более популярными и широко используются в рекламных баннерах, журналах, транспорте и бейджах для обеспечения быстрого и простого доступа к определенной информации. У QR-кода довольно большая емкость по сравнению с обычным штрихкодом: в нем может помещаться 7089 цифровых или 4296 буквенно-цифровых символов. И этого более чем достаточно, чтобы сохранить текст или URL.

А как насчет вредоносных QR-кодов? Да, вы можете с помощью вашего смартфона сосканировать QR-код, а он перенаправит вас на URL с вредоносным файлом (APK или JAR). Такие QR-коды существуют и пользуются все большим спросом.

Сегодня люди, которые пользуются смартфонами, часто ищут программное обеспечение для своих устройств с помощью обычного компьютера. Если пользователь находит что-то интересное, то для того, чтобы загрузить это в смартфон, он должен вручную ввести URL в браузер своего телефона. Это не очень удобно, поэтому такие веб-сайты имеют QR-коды, которые легко сканируются.

По оценке исследователей из Лестерского университета, сетевые мошенники, выдающие себя за перспективных женихов и невест, сумели обмануть и ограбить свыше 200 британцев ― намного больше, чем принято считать.

Участники мошеннической схемы обычно промышляют на сайтах знакомств и в социальных сетях. Они создают поддельные профили, снабжая их привлекательными фото, и вступают с намеченной жертвой в переписку от имени своего персонажа. На определенном этапе развития романтических отношений они сообщают корреспонденту о финансовых затруднениях и просят помочь. Если речь идет о небольшой сумме, увлеченная жертва, как правило, не может ответить отказом. Аналогичные просьбы начинают возникать с завидной регулярностью, и к тому моменту, когда незадачливый романтик заподозрит подлог, мошенники нередко успевают обобрать его дочиста. По данным британской спецслужбы SOCA (Serious Organised Crime Agency), потери жертв собственной доверчивости в Великобритании составляют от 50 до 240 тыс. фунтов стерлингов (0,078-375 тыс. долл.).

Согласно результатам онлайн-опроса, проведенного YouGov в рамках университетского исследования, этот вид мошенничества известен 52% британцев. 2% взрослых пользователей лично знакомы с пострадавшими. Анкетирование состоялось в минувшем июле, в нем приняли участие свыше 2 тыс. интернет-пользователей старше 18 лет.

Такие случаи, как правило, не предаются огласке, о них редко сообщают в правоохранительные органы. Жертвам собственной доверчивости подчас трудно признаться даже своим близким, что их обвели вокруг пальца. Многие испытывают при этом чувство тяжелой утраты и, как правило, просто не в состоянии поделиться своими переживаниями с кем бы то ни было. В 2010-11 гг. в британский национальный центр приема жалоб на мошенничество поступило лишь 592 заявления от искателей романтических приключений в Сети. 203 из них понесли финансовые потери, отдав аферистам совокупно 5 тыс. фунтов (7,8 тыс. долл.).

Окружной суд штата Калифорния удовлетворил ходатайство Федеральной торговой комиссии США (ФТК) и запретил Филипу Флоре (Phillip Flora) распространять несанкционированные SMS-сообщения, а также не соответствующие действительности оценки каких бы то ни было товаров или услуг.

По свидетельству ФТК, сей ловкий предприниматель брал заказы на проведение рекламных акций по SMS-каналам, но осуществлял их незаконными методами [PDF 2,5 Мб]. Коммерческие SMS-сообщения распространялись по абонентским базам ведущих телеоператоров без согласия получателей. К тому же некоторым владельцам мобильных телефонов приходилось платить за этот текстовый спам. Получая возмущенные отклики, Флора заносил соответствующие номера в отдельный список и впоследствии продавал как контакты потенциальных клиентов. Свои услуги он рекламировал через почтовый спам, утверждая, что владеет базой на 100 млн. подписчиков и способен рассылать 200 тыс. SMS в сутки.

Суд обязал Флору прекратить противозаконную деятельность и заплатить ФТК 58,9 тыс. долларов в урегулирование конфликта [PDF 810 Кб]. Однако, принимая во внимание неплатежеспособность ответчика, о которой тот поспешил заявить, судья уменьшил сумму штрафа до 32 тысяч. Если выяснится, что финансовый отчет, представленный Флорой, не соответствует действительности, ему придется уплатить штраф в полном размере.

Представляем новые антивирусные обои:

1280x800 | 1680x1050 | 1920x1200 | 2560x1600