Эксперты компании FireEye обнаружили itw новый вариант бэкдора Sanny, замаскированный под doc-файл и предназначенный для использования в целевых кибератаках против русскоязычных пользователей.

Данный зловред, как и его предыдущая итерация, использует в качестве приманки все тот же русскоязычный документ АСЕАН и проникает в систему через ту же уязвимость CVE-2012-0158. Он по-прежнему направляет украденную у жертвы информацию в C&C хранилище, используя веб-форму корейской доски объявлений nboard.net, но использует при этом другой URL. По-видимому, оператор Sanny решил разнести свои пункты сбора награбленного по разным серверам, чтобы уменьшить возможные потери.

FireEye связалась с корейским агентством по информационной безопасности (Korea Information Security Agency, KISA) и с его помощью заблокировала оба C&C коллектора, используемых Sanny. В настоящее время при попытке обращения соответствующие адреса выдают ошибку.

Эксперты FireEye обнаружили вредоносный Word-документ, предназначенный для использования в целевых атаках против русскоязычных пользователей.

Данный doc-файл содержит дроппер, который устанавливает в систему многокомпонентного зловреда, ворующего персональные данные. Эксперты нарекли его Sanny, воспользовавшись именем одного из email-адресов, используемых в данной схеме атаки. Для отвода глаз воспроизводится легальный документ ― русскоязычный справочный материал о форуме АСЕАН по безопасности.

По свидетельству экспертов, Sanny собирает идентификаторы к учетным записям из MS Outlook, Internet Account Manager; пароли к онлайн-сервисам, сохраненные в Firefox, а также параметры локали, региона и другую информацию, определяющую профиль пользователя. Краденые данные затем отсылаются через HTTP POST на C&C сервер. Любопытная деталь: зловред при этом обращается к веб-форме, размещенной на легальной странице корейской доски объявлений. Поскольку этот ресурс не требует авторизации, весь перечень жертв Sanny хранится на сервере в открытом виде. Инициатор атаки регулярно изымает эту информацию ― примерно раз в 2 дня ― и стирает ее из базы. Если доска объявлений недоступна, зловред пытается связаться с почтовым сервером Yahoo, также размещенным в Южной Корее, и отослать краденые данные на какой-либо из заданных почтовых адресов. FireEye обнаружила 2 таких адреса, и один из логинов ― jbaksanny ― вдохновил экспертов при выборе имени для данного зловреда.

Как определила FireEye, список жертв Sanny включает, в основном, российских пользователей, в частности, Университет дружбы народов и ИТАР-ТАСС. Эксперты нашли в нем также несколько антивирусных компаний и специалистов по компьютерной безопасности, изучающих эту угрозу. Корейский C&C сервер пока активен. По последним данным, многие антивирусы списка Virus Total уже детектируют зловредного дроппера как Win32.Daws.

Рыночная доля! Это очевидный, но не единственный возможный ответ.

По различным оценкам в 2011 году на долю компании Apple приходилось более 5% персональных компьютеров/ноутбуков по всему миру. Это достаточно серьезная доля рынка: ОС Linux установлена менее чем на 2% всех компьютеров, а доля Google ChromeOS и того меньше. Достижение компьютерами на базе Mac OS максимального уровня популярности за последние 15 лет совпало по времени с появлением атак с использованием фальшивых антивирусов, нацеленных на компьютеры Apple. Мы обнаружили атаку и написали о ней в блоге в апреле, а потом снова в мае 2011 года. Теперь это совпадение уже не кажется странным. Кстати, то, что вредоносное ПО для компьютеров Apple стало распространенным именно сейчас, скорее всего, не связано с тем, что раньше не было эксплойтов для Apple или с тем, что в системе Mac OS X уделяется какое-то особенное внимание безопасности. Во время «Месяца багов Apple» (Month of Apple Bugs), прошедшего в 2007 году, было показано, что Mac OS X и код, написанный для этой системы, полны уязвимостей, которые злоумышленники вполне могут использовать. На хакерских конкурсах регулярно создаются эксплойты для Safari, Quicktime и других программ, установленных на устройствах Apple. И все же до прошлого года система не привлекала внимания широких масс киберпреступников.

По окончании голосования россиян компания «Доктор Веб» зафиксировала спам-рассылку, нацеленную на распространение опасного Win-троянца под видом инструкции для участника московской акции протеста, которая состоялась вечером 5 марта на Пушкинской площади.

По свидетельству экспертов, вредоносные письма с заявленной темой «Митинг Честные выборы» или «Все на митинг» содержат короткий призыв изучить некую инструкцию со сценарием этого мероприятия. Непрошеные агитки снабжены doc-вложением; этот документ содержит несколько макросов, которые при его открытии сохраняют на диск и запускают троянскую программу. В «Доктор Веб» ее детектируют как Trojan.KillFiles.9055.

После запуска этот зловред копирует себя во временную папку, прописывается на автозапуск в системном реестре и заменяет содержимое всех обнаруженных на диске С файлов (.msc, .exe .doc, .xls, .rar, .zip, .7z) «цифровым мусором», помечая их на удаление при перезагрузке. В итоге операционная система приходит в нерабочее состояние или начисто «умирает», а троянец отправляет на сервер злоумышленников сообщение об успехе. По словам главного антивирусного эксперта ЛК Александра Гостева, этот сервер расположен на территории Великобритании. На этом же адресе находятся два свежих сайта, зарегистрированных в зоне .ru через «Наунет».

Александр Гостев также отмечает, что объем зловредной спам-рассылки измеряется миллионами. В настоящее время ЛК пытается установить, какие ботнеты принимали в ней участие. В качестве мер предосторожности эксперты рекомендуют не открывать вложения в письмах, полученных от неизвестных отправителей, не включать в Microsoft Word функцию исполнения макросов, которая по умолчанию запрещена, а также поддерживать антивирус в актуальном состоянии.

Как мы сообщали ранее, в последнее время мы вели исследование ряда инцидентов, связанных с заражением троянцем Duqu. Нам удалось значительно продвинуться в понимании истории Duqu и собрать еще несколько отсутствующих компонентов, без которых понимание происходящего было затруднено.

Прежде всего мы бы хотели выразить огромную благодарность специалистам CERT Sudan. Они оказали неоценимую помощь в нашем расследовании и продемонстрировали профессионализм, полностью отвечающий смыслам и целям любого CERT в мире. Наше сотрудничество с суданским CERT продолжается и будет охватывать еще три инцидента, обнаруженных в данной стране.

Наибольшего же успеха нам удалось добиться в расследовании инцидента под порядковым номером #1, описанным в прошлой публикации. Нам удалось не только обнаружить все недостающие файлы этого варианта Duqu, но также обнаружить источник заражения и сам файл-дроппер, содержащий эксплойт уязвимости в win32k.sys (CVE-2011-3402).

Сопоставляя обнаруженные нами данные с данными, полученными другими исследователями и антивирусными компаниями, мы выявили совпадающие общие черты, которые раскрывают приблизительную хронологию событий и общую схему, по которой действовали создатели Duqu.

Компания Microsoft рекомендует использовать текстовый редактор Word в «безопасном режиме», сообщает сайт News.com. Рекомендации связаны с зафиксированной недавно атакой, в ходе которой хакеры использовали брешь популярного офисного приложения.

Использование Word в ограниченном режиме не устранит бреши, однако позволит заблокировать известные режимы атаки, говорится в бюллетене Microsoft. По словам представителей компании, сейчас идет разработка обновления, которое устранит опасную брешь. Предварительная дата выпуска обновления — 13 июня.

Перевод Word в «безопасный режим» предусматривает два этапа. На первом этапе необходимо отключить использование текстового редактора в качестве почтового клиента, а затем поместить команду /safe в командную строку, запускающую Word. Детальные рекомендации приведены в бюллетене Microsoft.

Информация о бреши в Word и атаке с ее использованием появилась на прошлой неделе. Уязвимости подвержены версии Word 2002 и Word 2003. Использование Word 2000 — безопасно, отметили в Microsoft. Компьютер становится открытым для атаки, если пользователь откроет вредоносный файл, который, как правило, распространяется по электронной почте.