Специалист по безопасности мобильного сервиса Lookout обнаружил представителей нового семейства Android-троянцев в 32 приложениях, выложенных четырьмя разными разработчиками на Google Play. Согласно статистике онлайн-магазина, зараженные продукты были скачаны от 2 до 9 млн. раз.

BadNews (дословно «плохие новости») маскируется под безобидный, хотя и несколько агрессивный SDK-пакет для рекламной сети. Чтобы обойти защиту Google Play, авторы зловреда создали подставную рекламную сеть, через которую осуществляется загрузка вредоносного кода на зараженные устройства. При запуске BadNews отсылает на командный сервер информацию о зараженном устройстве (номер телефона, IMEI), а затем обращается к нему раз в четыре часа для получения дальнейших инструкций. Функционал нового троянца позволяет ему отображать на экране поддельные сообщения от имени легальных веб-сервисов (Skype, ВКонтакте), провоцируя пользователя на установку других вредоносных программ. Так, при анализе одного из образцов BadNews исследователи обнаружили, что он продвигает хорошо известного троянца, отсылающего текстовые сообщения на российские премиум-номера. Анализ также показал, что новый зловред по коду схож со многими SMS троянцами восточноевропейского происхождения.

Новые итерации программ-блокировщиков сканируют журнал браузера на зараженной машине и демонстрируют порно с участием несовершеннолетних, чтобы придать убедительность ложным обвинениям и заставить жертву заплатить выкуп.

Сразу оговоримся, что речь идет о той разновидности программ-вымогателей, которая блокирует доступ к системе, отображая поверх всех окон окно с сообщением о блокировке. Злоумышленники от имени правоохранительных органов обвиняют жертву в просмотре или скачивании нелегального контента и требуют незамедлительной уплаты «штрафа» в обмен на разблокировку. Некоторые из таких вредоносных программ могут использовать веб-камеру, установленную на зараженном компьютере, и внедряют снимки жертвы в обвинительное сообщение, чтобы сделать его более правдоподобным. С той же целью жертве могут назвать ее IP-адрес и имя интернет-провайдера; современные блокеры используют также геопривязку, чтобы отобразить фальшивку на языке, понятном жертве, с правильным именем национального органа правопорядка.

Независимый исследователь Kafeine обнаружил вариант блокера, функционал которого позволяет просматривать историю посещений веб-сайтов, сохраненную в браузере, и подставлять подходящие имена в обвинительный текст в качестве источника противозаконного контента. Таким «источником» может оказаться порносайт, содержимое которого необязательно противозаконно, важен сам факт захода жертвы на данный ресурс. Зловред, получивший наименование Kovter, сравнивает записи в журнале посещений со списком, хранящимся на удаленном сервере, и в случае отсутствия совпадений подставляет в сообщение произвольное имя порносайта.

Другой вариант блокера, попавший на радары Sophos, вместе с обвинительным текстом демонстрирует пользователю шокирующие сцены насилия над детьми, которые тот якобы просматривал на своем ПК. Для пущей убедительности в сообщении называются имя, дата рождения и страна проживания жертвы насилия. Примечательно, что данный зловред активируется не на старте системы, а лишь после подключения пользователя к интернету. Все случаи заражения, связанные с этой версией, обнаружены на территории Германии, однако анализ вредоносного кода показал, что при запуске с британского IP-адреса новоявленный блокер меняет шаблон: обвинительный текст воспроизводится уже на английском языке, а вместо Bundeskriminalamt — федерального ведомства по уголовным делам Германии — в нем появляется имя лондонской полиции.

Согласно статистике «Лаборатории Касперского», за первые месяцы текущего года количество программ-вымогателей увеличилось в два раза. Эту цифру зарубежные СМИ озвучили со слов эксперта ЛК Сергея Голованова, который подчеркнул, что уступать требованиям вымогателей ни в коем случае нельзя. В интернете есть множество бесплатных утилит и инструкций по разблокировке компьютеров, зараженных тем или иным вымогателем. Решение для особо устойчивого зловреда можно отыскать на специализированных форумах антивирусных компаний или получить, обратившись в службу техподдержки. Уж лучше потратить время на поиск выхода из неприятного положения, чем потакать шантажистам без какой-либо гарантии положительного исхода.

Эксперты компании FireEye обнаружили itw новый вариант бэкдора Sanny, замаскированный под doc-файл и предназначенный для использования в целевых кибератаках против русскоязычных пользователей.

Данный зловред, как и его предыдущая итерация, использует в качестве приманки все тот же русскоязычный документ АСЕАН и проникает в систему через ту же уязвимость CVE-2012-0158. Он по-прежнему направляет украденную у жертвы информацию в C&C хранилище, используя веб-форму корейской доски объявлений nboard.net, но использует при этом другой URL. По-видимому, оператор Sanny решил разнести свои пункты сбора награбленного по разным серверам, чтобы уменьшить возможные потери.

FireEye связалась с корейским агентством по информационной безопасности (Korea Information Security Agency, KISA) и с его помощью заблокировала оба C&C коллектора, используемых Sanny. В настоящее время при попытке обращения соответствующие адреса выдают ошибку.

Судя по обилию жалоб на форумах Virusinfo и Kaspersky Lab Forum, корпоративный Рунет атакует особо результативный троян-блокер, распространяемый как вложение в целевом спаме. Он шифрует пользовательские файлы данных, используя функционал Windows PowerShell, и требует 10 тыс. рублей за дешифратор.

Эксперты Seculert обнаружили специализированную вредоносную программу, ворующую реквизиты банковских карт из торговых терминалов под ОС Windows.

Зловред, нареченный Dexter, внедряется в системный процесс iexplore.exe, обеспечивая его повторный запуск при отключении вручную, составляет перечень активных процессов, для каждого определяет доступные пространства памяти, производит считывание в локальный буфер, используя функцию ReadProcessMemory, и подвергает дампы разбору (парсингу), отыскивая информацию, подлежащую копированию и отсылке. По свидетельству экспертов, Dexter интересуют данные треков 1 и 2 пластиковой карты: имя владельца, срок годности и номер карты, включающий код эмитента, класс и тип карты, номер счета, иногда ― код страны. Этой информации достаточно, чтобы изготовить подделку.

Эксперты FireEye обнаружили вредоносный Word-документ, предназначенный для использования в целевых атаках против русскоязычных пользователей.

Данный doc-файл содержит дроппер, который устанавливает в систему многокомпонентного зловреда, ворующего персональные данные. Эксперты нарекли его Sanny, воспользовавшись именем одного из email-адресов, используемых в данной схеме атаки. Для отвода глаз воспроизводится легальный документ ― русскоязычный справочный материал о форуме АСЕАН по безопасности.

По свидетельству экспертов, Sanny собирает идентификаторы к учетным записям из MS Outlook, Internet Account Manager; пароли к онлайн-сервисам, сохраненные в Firefox, а также параметры локали, региона и другую информацию, определяющую профиль пользователя. Краденые данные затем отсылаются через HTTP POST на C&C сервер. Любопытная деталь: зловред при этом обращается к веб-форме, размещенной на легальной странице корейской доски объявлений. Поскольку этот ресурс не требует авторизации, весь перечень жертв Sanny хранится на сервере в открытом виде. Инициатор атаки регулярно изымает эту информацию ― примерно раз в 2 дня ― и стирает ее из базы. Если доска объявлений недоступна, зловред пытается связаться с почтовым сервером Yahoo, также размещенным в Южной Корее, и отослать краденые данные на какой-либо из заданных почтовых адресов. FireEye обнаружила 2 таких адреса, и один из логинов ― jbaksanny ― вдохновил экспертов при выборе имени для данного зловреда.

Как определила FireEye, список жертв Sanny включает, в основном, российских пользователей, в частности, Университет дружбы народов и ИТАР-ТАСС. Эксперты нашли в нем также несколько антивирусных компаний и специалистов по компьютерной безопасности, изучающих эту угрозу. Корейский C&C сервер пока активен. По последним данным, многие антивирусы списка Virus Total уже детектируют зловредного дроппера как Win32.Daws.

В английском графстве Стаффордшир задержаны двое мужчин и женщина, подозреваемые в вымогательстве с использованием вредоносной программы-блокировщика.

По свидетельству киберкопов, данный зловред блокирует экран заставкой с логотипом MPS (Metropolitan Police Service, лондонской полиции) или PCeU (Police Central e-Crime Unit, Центральное полицейское подразделение по борьбе с электронными преступлениями). Данная страница содержит фальшивое извещение от блюстителей порядка, якобы следивших за действиями пользователя в Сети и обнаруживших правонарушения. Чтобы разблокировать компьютер, жертве предлагается уплатить «штраф» в размере 100 фунтов стерлингов (161 долл.), воспользовавшись системой электронных платежей.

Задержанные заключены под стражу; им инкриминируются преступный сговор с целью совершения мошеннических действий, отмывание денег и хранение инструментов, используемых в мошеннических схемах. Полиция напоминает интернет-пользователям, что штрафы никогда не взыскиваются столь странными методами, и не рекомендует вводить персональные данные на поддельных страницах.

В ноябре Microsoft пополнила базу MRST (Malicious Software Removal Tool, средство удаления вредоносных программ) сигнатурами Win32/Weelsof ― обширного семейства троянских блокировщиков, обосновавшихся в Западной Европе и США.

Weelsof распространяется путем drive-by загрузок с зараженного сайта или с помощью эксплойт-паков и вредоносных iframe. При запуске он определяет версию ОС и создает свою копию с произвольным именем в папке %APPDATA% или %windir%. Затем производит модификации записей в системном реестре в обеспечение запуска этой копии при каждом старте Windows (включая безопасный режим). Наконец, подключается к стороннему узлу на порту 80 и загружает страницу-заставку с требованием выкупа, данные о географическом местоположении и IP-адрес зараженного компьютера.

В конце ноября многие эксперты зафиксировали значительный рост числа детектов VBNA ― семейства полиморфных червей, использующих функцию автозапуска Windows для сменных носителей.

В Windows 7 эта функция отключена по умолчанию с апреля 2009 г., в XP и Vista ― с февраля 2011 г. Хотя выпуск долгожданного патча не замедлил дать хорошие результаты, многие пользователи до сих пор не удосужились его установить, оставляя открытой лазейку, активно используемую autorun-зловредами.

Червь VBNA, известный также под именами Changeup и VOBFUS, ― угроза отнюдь не новая. Он создает свои копии на локальных и доступных для записи съемных дисках, способен загружать из Сети других зловредов, а некоторые варианты VBNA к тому же блокируют Windows Update, препятствуя обновлению системы. По свидетельству экспертов, новейшая версия червя именует свои копии Porn.exe, Sexy.exe, Passwords.exe и Secret.exe. Кроме того, она создает свои копии с именами всех папок и файлов на диске, снабжая зловредных дублеров иконками стандарта Windows 7. При этом оригиналам присваивается атрибут «скрытый», а в реестре устанавливается запрет на отображение скрытых файлов и папок. Если у пользователя к тому же включена опция «скрывать расширения для зарегистрированных типов файлов» (дефолтная настройка для всех версий Windows), активация вредоносного кода вместо полезного файла практически неизбежна.

После запуска червь подключается к C&C серверу на порту 9003 (как вариант 9004) для получения команды на загрузку и URL источника. Ассортимент этих загрузок весьма широк, от TDSS и фальшивых антивирусов до троянских бэкдоров и даунлоудеров. С конца минувшего месяца обновленный VBNA усердно работает на распространителей р2р-версии ZeuS, известной как Gameover. Установлено, что троянец, загружаемый червем, сохраняется в каталоге профиля текущего пользователя под именем google.exe. Некоторые сайты, которые используются злоумышленниками для дополнительных загрузок, уже недоступны.

Замечено, что новый VBNA распространяется через Facebook или подгружается тем же Gameover. Последний в настоящее время агрессивно раздается через спам, исходящий с ботнета Cutwail. Спам-письма с вредоносным вложением рассылаются от имени американских банков и повествуют о новом защищенном канале, якобы открытом для пересылки конфиденциальной информации. Вместо «шифрованного сообщения», якобы присланного на пробу, вложенный файл с двойным расширением содержит программу-даунлоудер, которую операторы ZeuS обычно используют для его загрузки. В данном случае ZeuS/Gameover, в свою очередь, загружает и запускает VBNA, поддерживая опасный симбиоз. По мнению экспертов, наблюдаемый рост популяции autorun-червя вполне может быть следствием масштабной кампании по засеву Gameover.

Наибольшее количество новых заражений VBNA обнаружено компанией Symantec в Индии и Мексике, немногим менее ― в США, Канаде, ЮАР и на Филиппинах.

RSA опубликовала результаты анализа новой версии банковского троянца Citadel. Ее отличительной чертой является возможность динамической реконфигурации, позволяющая операторам менять параметры веб-инъекций в реальном времени и закачивать изменения на конкретные боты или группы ботов, не прибегая к стандартной процедуре обновления конфигурационного файла.

Модификация ZeuS, известная как Citadel, позиционируется на черном рынке как SaaS-продукт с полноценной системой сопровождения. Зловред быстро совершенствуется при активном участии всего Citadel-сообщества. v1.3.5.1 Rain Edition, попавший на радары RSA, ― уже шестой релиз в рамках краудсорсинг-проекта, запущенного в начале текущего года.