Популярность продукции Apple растет, а вместе с ней растет и желание мошенников подзаработать на ее владельцах. Целью злоумышленников является кража данных Apple ID, дающих доступ к хранящейся в iCloud   личной информации пользователя (фотографии, контакты, документы, почта и т.д.) и покупкам, которые владелец аккаунта совершил в фирменном магазине iTunes Store. Многие злоумышленники заходят еще дальше и пытаются украсть данные банковской карты, используемой для оплаты покупок.

Инструментом мошенников являются фишинговые сайты, маскирующиеся под известный официальный ресурс apple.com. С начала 2012 года и по сегодняшний день мы наблюдаем заметный рост числа срабатываний веб-антивируса при  переходе пользователей нашего продукта на подобные поддельные сайты, что является следствием возросшей активности злоумышленников. За вышеупомянутый период мы фиксировали в среднем около 200 тысяч срабатываний в день. Для сравнения, в 2011 году аналогичный показатель составлял около 1 тысячи срабатываний.

 
Статистика срабатываний эвристического анализатора с января 2012 года по май 2013 (количество срабатываний в день)

Письма-подделки под официальные уведомления различных финансовых институтов, в первую очередь банков, являются излюбленным приемом фишеров. В таких письмах получателя под благовидным предлогом просят ввести конфиденциальные данные на «официальном» сайте, который на самом деле является копией настоящего сайта банка, или прислать их «администрации» в ответном письме.

Но иногда злоумышленники используют имена известных финансовых институтов совсем для других целей. Так, 13 мая нами была зафиксирована рассылка, создатели которой выдавали себя за представителей крупнейшего европейского банка HSBC. Под предлогом возникновения проблем с последним банковским платежом, злоумышленники настойчиво рекомендовали получателю письма открыть вложенный архив HSBC_Payment_2839181.zip для получения более подробной информации о транзакции. Увы, распаковка архива и открытие находящегося в нем файла не решали несуществующие банковские проблемы. Вместо этого на компьютер инсталлировалась вредоносная программа Trojan-PSW.Win32.Fareit.beq, предназначенная для кражи cookies браузеров, паролей от FTP-клиентов, данных авторизации на почтовых сервисах и другой информации.

В то время как многие люди по всему миру ещё пребывают в состоянии шока из-за произошедшего 16 апреля теракта в Бостоне, киберпреступники уже используют эту трагедию в своих грязных целях.

Сегодня к нам уже начали приходить подозрительные письма, содержащие вредоносные ссылки на веб-страницы с названием вида "news.html". Кликнув по такой ссылке, пользователь попадает на страницу со ссылками на легитимные видеоролики на YouTube, повествующие о трагическом событии в Бостоне. Но после 60-секундной задержки на странице активируется другая ссылка, ведущая на исполняемый файл.

После запуска на заражённой машине, зловред пытается установить соединение с несколькими IP-адресами, расположенными на Украине, в Аргентине и Тайване. Продукты «Лаборатории Касперского» распознают эту угрозу как Trojan-PSW.Win32.Tepfer.*.

MD5-суммы некоторых образцов зловреда:

5EA646FFDC1E9BC7759FDFC926DE7660

959E2DCAD471C86B4FDCF824A6A502DC

В прошлом мы видели целевые атаки против тибетских и уйгурских активистов на платформах Windows и Mac OS X. Мы задокументировали несколько интересных атак (Подарок на день рождения Далай-ламы и Волна кибератак на уйгуров — пользователей MacOSX), в которых использовались ZIP-файлы, а также документы в форматах DOC, XLS и PDF, начиненные эксплойтами.

Несколько дней назад был взломан электронный ящик известного тибетского активиста; с него впоследствии совершались целевые атаки против других активистов и правозащитников. Самое интересное заключается в том, что письма, через которые выполнялись целевые атаки, содержали вложение формата APK — зловред под Android.

Атака

24 марта 2013 года был взломан электронный ящик известного тибетского активиста и использован для целевого фишинга (spear phishing). Фишинговые письма рассылались по списку контактов и выглядели так:

На днях венгерская лаборатория CrySyS Lab (Лаборатория криптографии и системной безопасности) совместно с Управлением национальной безопасности Венгрии (NBF) опубликовала подробную информацию о резонасной целевой атаке против Венгрии. Данные по конкретным целям атаки не сообщаются, а подробности инцидента остаются засекреченными.

Учитывая возможные последствия подобной атаки, Глобальный центр исследований «Лаборатории Касперского» выполнил технический анализ кампании и связанных с ней образцов вредоносного ПО.

Ниже представлен короткий перечень ответов на часто задаваемые вопросы. Вы можете также загрузить документ, в котором представлены данные выполненного нами технического анализа. Ссылка на него дана в конце этой заметки.

Что это такое?

«TeamSpy» — это операция в области кибершпионажа, целями которой являются политические деятели и правозащитники высокого уровня на всей территории СНГ и восточноевропейских стран. В число жертв также входят государственные организации и частные компании. Атаки продолжаются уже почти десять лет. В частности, о них в 2012 году писали белорусские активисты.

Почему было выбрано название TeamSpy?

Злоумышленники удаленно управляют компьютерами жертв, используя легитимное средство удаленного управления TeamViewer. Это приложение, подписанное действительными цифровыми сертификатами, использует более 100 миллионов пользователей по всему миру. Чтобы не позволить пользователю обнаружить слежку, злоумышленники динамически изменяют код TeamViewer в оперативной памяти, чтобы скрыть все признаки своего присутствия в системе.

Вирусописатели всегда старались сбивать детектирование антивирусов. В последнее время в случае с Trojan-SMS под платформу Android для этих целей активно используются Trojan-Downloader: создается маленькое незаметное приложение, весь функционал которого заключен в выкачивании и установке Trojan-SMS, который, в свою очередь, уже будет опустошать счет пользователя. Один из таких троянцев и привлек наше внимание.

При установке он требует минимум разрешений и показывает иконку от легального приложения «WiFi Mouse HD».

Чем же он интересен? Большая часть подобных троянцев обладает минимальным функционалом. В этом же файле достаточно много кода. Соответственно, его поведение не так уж и просто.

20 марта в новостях появились многочисленные сообщения о нескольких кибератаках, нацеленных на различные жертвы в Южной Корее.

Группа преступников, именующая себя «Whois Team», оставила на атакованных сайтах некоторое количество сообщений:

Четвертого марта мы обнаружили, что наш продукт Linux Mail Security блокирует большое число необычных сообщений. Все письма содержали одно и то же вложение в формате PDF (MD5: 97b720519aefa00da58026f03d818251), однако были отправлены с разных электронных адресов.

Электронные письма были написаны по-немецки, причем большая часть из них была отправлена с немецких IP-адресов. На карте ниже показано географическое распределение этих адресов:

В середине февраля 2013 года один из наших пользователя из Малайзии обратился к нам с просьбой проверить приложение «My HRMIS & JPA Demo» от автора «Nur Hazri» из Google Play.

Подозрение пользователя вызвало большое количество разрешений, необходимых для работы этого приложения, хотя заявленный функционал – всего лишь открытие четырех сайтов.

12 февраля 2013 года компания FireEye объявила об обнаружении эксплойта нулевого дня для Adobe Reader, применяемого для установки на компьютер ранее неизвестной сложной вредоносной программы. Мы дали новой вредоносной программе имя ItaDuke, потому что она показалась нам похожей на Duqu и потому что используемый ей шелл-код содержит цитаты из «Божественной комедии» Данте Алигьери на языке оригинала.

После публикации первого сообщения мы обнаружили несколько новых атак с применением того же эксплойта (CVE-2013-0640), в ходе которых на компьютерах жертв устанавливаются другие вредоносные программы. Среди обнаруженных атак наше внимание привлекла пара инцидентов, которые оказались столь необычными в некоторых отношениях, что мы решили проанализировать их глубже.

Вместе с нашим партнером CrySyS Lab мы выполнили подробный анализ этих необычных инцидентов. Результаты анализа указывают на появление новой, ранее неизвестной группы киберпреступников. Отчет CrySyS Lab о проведенном исследовании можно найти здесь. Наш анализ представлен ниже.

Основные результаты исследования:

• Организаторы атак с использованием MiniDuke по-прежнему активно действуют: известны образцы созданного ими вредоносного ПО, датируемые 20 февраля 2013 года. Для заражения компьютеров жертв злоумышленники использовали чрезвычайно эффективные методы социальной инженерии: целям атак отправлялись вредоносные PDF-файлы, содержание которых подбиралось очень тщательно и было чрезвычайно актуальным для потенциальных жертв. Это была сфабрикованная информация о семинарах по правам человека (ASEM), а также о внешней политике Украины и ее планах вступления в НАТО.