В 2012 году Secunia зафиксировала 9776 уязвимостей в 2503 программных продуктах от 421 вендора. 18,3% этих брешей были оценены экспертами как очень критичные (highly critical), 0,5% - как в высшей степени критичные (extremely critical).

Общее количество уязвимостей на выборке из 50 наиболее популярных программ (29 от Microsoft, включая ОС, 21 от других авторов) составило 1137 - вдвое больше, чем 5 лет назад. 78,8% из них были признаны highly critical, 5,3% - extremely critical. При этом 86% брешей, обнаруженных в рамках Тор 50 программ, пришлись на сторонние приложения для Windows - против 78% в 2011 году и 57% в 2007-м.

Эти 1137 уязвимостей были найдены в 18 программах от 8 вендоров, в том числе в Windows 7 и в семи других продуктах Microsoft. Чемпионами по количеству брешей оказались Google Chrome, Mozilla Firefox и Apple iTunes: по каждому из этих продуктов за год набралось свыше 200 публикаций. Adobe Flash Player и Java в этом рейтинге следуют за лидерами с большим отрывом.

Число уязвимостей, обнаруженных в популярных веб-браузерах (Chrome, Firefox, IE, Opera, Safari), составило 739 против 629 в 2011 году. Тем не менее, как отмечают эксперты, латаются эти бреши очень быстро, т.е. производители данных продуктов ответственно относятся к проблеме безопасности.

В целом выпуск патчей постепенно ускоряется, и это весьма устойчивая тенденция. По данным Secunia, в минувшем году 84% уязвимостей закрывались разработчиком в день их публикации, тогда как в 2011 году этот показатель составил 72%, а в 2010-м - лишь 50%.

Полный текст отчета Secunia можно посмотреть на сайте компании (требуется регистрация).

Судя по обилию жалоб на форумах Virusinfo и Kaspersky Lab Forum, корпоративный Рунет атакует особо результативный троян-блокер, распространяемый как вложение в целевом спаме. Он шифрует пользовательские файлы данных, используя функционал Windows PowerShell, и требует 10 тыс. рублей за дешифратор.

Эксперты Seculert обнаружили специализированную вредоносную программу, ворующую реквизиты банковских карт из торговых терминалов под ОС Windows.

Зловред, нареченный Dexter, внедряется в системный процесс iexplore.exe, обеспечивая его повторный запуск при отключении вручную, составляет перечень активных процессов, для каждого определяет доступные пространства памяти, производит считывание в локальный буфер, используя функцию ReadProcessMemory, и подвергает дампы разбору (парсингу), отыскивая информацию, подлежащую копированию и отсылке. По свидетельству экспертов, Dexter интересуют данные треков 1 и 2 пластиковой карты: имя владельца, срок годности и номер карты, включающий код эмитента, класс и тип карты, номер счета, иногда ― код страны. Этой информации достаточно, чтобы изготовить подделку.

В конце ноября многие эксперты зафиксировали значительный рост числа детектов VBNA ― семейства полиморфных червей, использующих функцию автозапуска Windows для сменных носителей.

В Windows 7 эта функция отключена по умолчанию с апреля 2009 г., в XP и Vista ― с февраля 2011 г. Хотя выпуск долгожданного патча не замедлил дать хорошие результаты, многие пользователи до сих пор не удосужились его установить, оставляя открытой лазейку, активно используемую autorun-зловредами.

Червь VBNA, известный также под именами Changeup и VOBFUS, ― угроза отнюдь не новая. Он создает свои копии на локальных и доступных для записи съемных дисках, способен загружать из Сети других зловредов, а некоторые варианты VBNA к тому же блокируют Windows Update, препятствуя обновлению системы. По свидетельству экспертов, новейшая версия червя именует свои копии Porn.exe, Sexy.exe, Passwords.exe и Secret.exe. Кроме того, она создает свои копии с именами всех папок и файлов на диске, снабжая зловредных дублеров иконками стандарта Windows 7. При этом оригиналам присваивается атрибут «скрытый», а в реестре устанавливается запрет на отображение скрытых файлов и папок. Если у пользователя к тому же включена опция «скрывать расширения для зарегистрированных типов файлов» (дефолтная настройка для всех версий Windows), активация вредоносного кода вместо полезного файла практически неизбежна.

После запуска червь подключается к C&C серверу на порту 9003 (как вариант 9004) для получения команды на загрузку и URL источника. Ассортимент этих загрузок весьма широк, от TDSS и фальшивых антивирусов до троянских бэкдоров и даунлоудеров. С конца минувшего месяца обновленный VBNA усердно работает на распространителей р2р-версии ZeuS, известной как Gameover. Установлено, что троянец, загружаемый червем, сохраняется в каталоге профиля текущего пользователя под именем google.exe. Некоторые сайты, которые используются злоумышленниками для дополнительных загрузок, уже недоступны.

Замечено, что новый VBNA распространяется через Facebook или подгружается тем же Gameover. Последний в настоящее время агрессивно раздается через спам, исходящий с ботнета Cutwail. Спам-письма с вредоносным вложением рассылаются от имени американских банков и повествуют о новом защищенном канале, якобы открытом для пересылки конфиденциальной информации. Вместо «шифрованного сообщения», якобы присланного на пробу, вложенный файл с двойным расширением содержит программу-даунлоудер, которую операторы ZeuS обычно используют для его загрузки. В данном случае ZeuS/Gameover, в свою очередь, загружает и запускает VBNA, поддерживая опасный симбиоз. По мнению экспертов, наблюдаемый рост популяции autorun-червя вполне может быть следствием масштабной кампании по засеву Gameover.

Наибольшее количество новых заражений VBNA обнаружено компанией Symantec в Индии и Мексике, немногим менее ― в США, Канаде, ЮАР и на Филиппинах.

В предыдущем блогпосте мы писали о вредоносной кампании Madi, обнаруженной в ходе совместного расследования с нашим партнером Seculert.

В этом блогпосте мы расскажем об инфраструктуре Madi, коммуникациях, сборе данных и жертвах.

Слежка за жертвами и коммуникации реализованы в инфраструктуре Madi достаточно просто. В настоящее время действуют пять командных веб-серверов, на которых установлен веб-сервер Microsoft IIS v7.0, а также Microsoft Terminal Services для RDP-доступа. Кроме того, на всех серверах используются одинаковые копии нестандартного ПО для управления сервером, написанного на C#. Эти же серверы используются для сбора украденных данных. Судя по всему, обработка украденных данных на стороне сервера организована не особенно хорошо: для изучения данных, полученных с каждой из взломанных систем, в разное время на сервер приходится заходить разным операторам.

Операторы по неизвестной пока причине осуществляли ротацию сервисов, доступных по этим IP-адресам: на данный момент не удалось определить закономерность, определяющую, какими экземплярами вредоносных программ управляет какой сервер. Согласно данным, полученным с sinkhole-марштуризатора и из других надежных источников, которые позволили определить примерное местонахождение жертв Madi, они преимущественно распределены территориально по Ближнему Востоку, однако некоторые из них находятся в США и ЕС. Похоже, что среди жертв есть специалисты и представители университетской среды (как студенты, так и преподаватели), которые путешествуют по всему миру с ноутбуками, зараженными шпионским ПО Madi:

Вчера вечером мы получили новую версию зловреда #Madi , о котором ранее писали в блоге (https://www.securelist.com/ru/blog/207764094/Kampaniya_Madi_Chast_I).

После отключения командных серверов Madi на прошлой неделе нам казалось, что операция закончена. Но, похоже, мы ошибались.

Как видно из заголовка, новая версия была скомпилирована 25 июля:

Она включает множество интересных доработок и новый функционал. Теперь она способна следить за сайтом VKontakte и диалогами в Jabber. Зловред также ищет посетителей страниц, содержащих в названии элементы «USA» и «gov». В этих случаях зловред делает скриншоты, загружая их на C2.

Полный список отслеживаемых ключевых слов таков:

"gmail", "hotmail", "yahoo! mail" , "google+", "msn messenger", "blogger", "massenger", "profile", "icq" , "paltalk", "yahoo! messenger for the web","skype", "facebook" ,"imo", "meebo", "state" , "usa" , "u.s","contact" ,"chat" ,"gov", "aol","hush","live","oovoo","aim","msn","talk","steam","vkontakte","hyves", "myspace","jabber","share","outlook","lotus","career"

Почти на протяжении года на всей территории Ближнего Востока продолжалась кампания по проникновению в компьютерные системы, направленная на пользователей в Иране, Израиле, Афганистане и других странах по всему миру.

Совместно с нашим партнером — израильской компанией Seculert — мы провели подробное расследование данной операции, присвоив ей название «Madi», исходя из того, какие строки и идентификаторы использовали киберпреступники. С аналитическим постом Seculert можно ознакомиться здесь.

В ходе этой кампании использовался набор хорошо известных несложных технологий проведения атак для доставки вредоносных компонентов, что говорит о невысоком уровне осведомленности жертв об интернет-безопасности. Большие объемы собираемых данных показывают, что данная кампания была нацелена на критически важную инфраструктуру инженерных фирм, правительственных организаций, банков и университетов на Ближнем Востоке. А в качестве жертв выбирались причастные к этим организациям пользователи, коммуникации которых находились под пристальным наблюдением в течение продолжительных периодов времени.

Данный пост представляет собой исследование используемых технологий для распространения зловреда Madi на системы жертв, инструментах шпионского ПО и их особенностях. В некоторых случаях атакованные организации не желают предоставлять более подробную информацию о произошедшей атаке, поэтому сведения о некоторых аспектах кампании могут быть ограниченными.

Попадание в систему

Схемы социальной инженерии для установки и запуска шпионского ПО

При атаках Madi для распространения шпионского ПО используются преимущественно технологии социальной инженерии:

Нет, он ещё жив, особенно в Латинской Америке. Каждый день мы фиксируем множество подобных атак, которые проводятся с использованием локальных DNS-настроек. На самом деле эти атаки немного другие: они вносят изменения в локальный HOST-файл, но принцип тот же — перенаправление жертвы на вредоносный хост через вредоносные DNS-записи.

Латиноамериканские киберпреступники обычно используют повторно старые технологии, которые в прошлом уже использовались в других регионах, и сейчас идет рост количества атак, которые проводятся с использованием локальных DNS-настроек. Примером является последняя вредоносная атака, в которой были задействованы приёмы социальной инженерии, когда злоумышленники выдавали себя за сотрудников налоговой службы Мексики.

Недавно мы писали о том, что Далай-лама часто пользуется компьютерами Mac. Но хотя Его Святейшество использует компьютеры Apple, пока еще не все его сторонники перешли на Маки.

Вы спросите, какое это имеет значение? Дело в том, что 6 июля Его Святейшеству исполняется 77 лет. Круглое число, в каком-то смысле. Неудивительно, что уже вовсю идут атаки, эксплуатирующие тему дня рождения Далай-ламы.

Третьего июля мы обнаружили новую APT-кампанию, озаглавленную «Dalai Lama’s birthday on July 6 to be low-key affair» (день рождения Далай-ламы 6 июля пройдет тихо):

Глубоко в одном из конфигурационных блоков Stuxnet заложена 8-байтовая переменная, которая содержит некое число, и если это число прочитать как дату, оно указывает на 24 июня 2012 года. А в действительности это день, когда подпрограммы распространения Stuxnet посредством LNK-файлов прекратили работу и перестали заражать USB-носители.