http://www.securelist.com/ru/ 19 May 2013 07:13:25 +0400 http://www.securelist.com/ru/rss/klogo.gif http://www.securelist.com/ru/ webmaster@securelist.com (Татьяна Куликова) <p>Письма-подделки под официальные уведомления различных финансовых институтов, в первую очередь банков, являются излюбленным приемом фишеров. В таких письмах получателя под благовидным предлогом просят ввести конфиденциальные данные на «официальном» сайте, который на самом деле является копией настоящего сайта банка, или прислать их «администрации» в ответном письме.</p><p><p>Но иногда злоумышленники используют имена известных финансовых институтов совсем для других целей. Так, 13 мая нами была зафиксирована рассылка, создатели которой выдавали себя за представителей крупнейшего европейского банка HSBC. Под предлогом возникновения проблем с последним банковским платежом, злоумышленники настойчиво рекомендовали получателю письма открыть вложенный архив HSBC_Payment_2839181.zip для получения более подробной информации о транзакции. Увы, распаковка архива и открытие находящегося в нем файла не решали несуществующие банковские проблемы. Вместо этого на компьютер инсталлировалась вредоносная программа Trojan-PSW.Win32.Fareit.beq, предназначенная для кражи cookies браузеров, паролей от FTP-клиентов, данных авторизации на почтовых сервисах и другой информации.</p><p><p class=c><a href="http://www.securelist.com/ru/images/pictures/klblog/207768855.png" target=_blank><img src="http://www.securelist.com/ru/images/pictures/klblog/207768856.png" border=0 alt='' style="margin-bottom:15px;"></a>&nbsp;<img src='http://www.securelist.com/ru/images/vlill/enlarge.gif' border=0 ></p> http://www.securelist.com/ru/blog/207768854/Bespokoishsya_o_finansakh_Raspakuy_arkhiv http://www.securelist.com/ru/blog/207768854/Bespokoishsya_o_finansakh_Raspakuy_arkhiv 17 May 2013 15:45:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Согласно статистике ProlexicTechnologies, в январе-марте 2013 года средняя мощность DDoS-атак <a href="http://www.prolexic.com/news-events-pr-giant-ddos-attacks-overwheliming-appliances-isps-carriers-content-delivery-networks-q1-2013-report.html">повысилась</a> на 718% и составила 48,25 Гб/с. Более того, эксперты отметили тенденцию к росту pps-показателя: в минувшем квартале он достиг 32,4 млн. пакетов в секунду. Этот показатель обычно не учитывается в статистических отчетах, однако атаки с высоким ppsнацелены, в первую очередь, на вывод из строя таких элементов инфраструктуры, как сетевые карты и граничные маршрутизаторы. Справиться с многомиллионным pps-потоком способны лишь самые дорогие устройства, порог остальных заведомо ниже.</p> <p>Около 25% DDoS-атак, заблокированных Prolexic, составили инциденты мощностью менее 1 Гб/с, в 11% случаев этот показатель превысил 60 Гб/с. Самая мощная DDoS-атака была зафиксирована в марте - 130 Гб/с. Пытаясь противостоять атакам большой мощности, многие операторы сетей и интернет-провайдеры вынуждены зафильтровывать весь трафик на атакуемом IP-адресе, чтобы сохранить работоспособность остальных хостов в сети. Этот способ известен как nullrouting, или blackholing, и весьма неприятен для заблокированного клиента. Что касается, pps-показателя, в 22% случаев он превысил 20 млн., в 26% - опустился ниже 1 млн., что характерно для атак прикладного уровня. Самым «урожайным» месяцем оказался март, на который пришлось 44% квартальных DDoS&#8209;атак.</p> <p>По данным Prolexic, 76,54% DDoS&#8209;атак были проведены с использованием протоколов 3-го и 4-го уровня, остальные - на прикладном уровне. Наибольшее распространение получили такие типы атак, как SYN flood (25,83%), HTTP GET flood (19,33%), UDP flood (16,32%) и ICMP flood (15,53%). &nbsp;&nbsp;</p> http://www.securelist.com/ru/blog/207764632/Eksperty_fiksiruyut_vosmikratnyy_rost_moshchnosti_DDoS_atak http://www.securelist.com/ru/blog/207764632/Eksperty_fiksiruyut_vosmikratnyy_rost_moshchnosti_DDoS_atak 30 Apr 2013 18:47:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Веб-сервис VirusTotal отныне <a href="http://blog.virustotal.com/2013/04/virustotal-pcap-analyzer.html">будет проверять</a> на зловредность не только документы и исполняемые файлы, но и сохраненные в формате PCAP сетевые пакеты.</p> <p>PCAP-файлы создаются в процессе захвата трафика и содержат сетевые данные, которые впоследствии подвергаются анализу. Этот формат поддерживают многие сниферы, а также программы мониторинга и тестирования сети. Исследователи вредоносных объектов обычно используют PCAP для записи сетевой активности вредоносного кода, исполняемого в песочнице; попыток эксплуатации уязвимостей в браузере клиента-ловушки, для регистрации трафика на сетевых устройствах и в системах обнаружения вторжений (IDS), и т.п.</p> <p>Ранее сервис уже неоднократно получал от пользователей PCAP-файлы на экспертизу, и специалисты VirusTotal рассчитывают, что нововведение поможет таким пользователям в их исследованиях. Анализ PCAP-файлов будет производиться в несколько этапов:</p> <ul> <li>проверка файла с помощью IDS&nbsp;- на данный момент Snort и Suricata;</li> <li>извлечение метаданных с помощью Wireshark;</li> <li>регистрация DNS-запросов;</li> <li>регистрация http-активности;</li> <li>извлечение файлов, передаваемых в сетевых потоках, с последующей их проверкой антивирусами из списка VirusTotal. Копии этих файлов будут предоставляться зарегистрированному пользователю, первым приславшему данный PCAP на проверку.</li> </ul> http://www.securelist.com/ru/blog/207764631/Analiz_PCAP_teper_na_VirusTotal http://www.securelist.com/ru/blog/207764631/Analiz_PCAP_teper_na_VirusTotal 29 Apr 2013 18:58:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>В Испании по запросу голландских властей <a href="http://www.bbc.co.uk/news/technology-22314938">задержан</a> предполагаемый инициатор недавней DDoS-атаки на антиспамерскую организацию Spamhaus, создавшей большие проблемы в европейском сегменте интернета.</p> <p>В пресс-релизе прокураторы Нидерландов задержанный <a href="http://www.om.nl/actueel/nieuws-persberichten/@160856/nederlander/">значится</a> как «35-летний голландец S.K.». Не исключено, что речь идет о <a href="http://www.thedailybeast.com/articles/2013/03/28/yeah-we-broke-the-internet-the-inside-story-of-the-biggest-attack-ever.html">Свене Камфёйсе</a> (Sven Olaf Kamphuis), проживающем в Барселоне владельце голландской хостинг-компании Cyberbunker, чье имя часто фигурирует в черных списках от Spamhaus. Активисты вновь заклеймили Cyberbunker в минувшем марте, после чего на Spamhaus, ее хостера и канальных провайдеров обрушилась <a href="http://www.securelist.com/ru/blog/207764559/Mest_tsenoy_v_300_Gb_s_porazivshaya_Evropu">мощнейшая в истории DDoS-атака</a>. Ответственность за нее взяла на себя оппозиционерская группа Stophaus, заявление которой озвучил в прессе Камфёйс.</p> <p>На барселонской квартире задержанного проведен обыск, в ходе которого изъяты компьютерная техника и мобильные телефоны. Ожидается, что в скором времени «S.K.» будет препровожден в Нидерланды. В расследовании данного дела, помимо голландской полиции, принимают участие правоохранительные органы США и Великобритании.</p> http://www.securelist.com/ru/blog/207764630/Arest_v_ramkakh_rassledovaniya_bespretsedentnoy_DDoS_ataki http://www.securelist.com/ru/blog/207764630/Arest_v_ramkakh_rassledovaniya_bespretsedentnoy_DDoS_ataki 29 Apr 2013 18:50:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Компания Trusteer, специализирующаяся в области корпоративной защиты, <a href="http://www.trusteer.com/blog/gozi-puts-the-boots-on">обнаружила</a> новую модификацию банковского троянца Gozi, включающую функционал руткита.</p> <p>Руткиты считаются эффективным средством сокрытия вредоносного кода в системе, однако они редко используются зловредами, ориентированными на кражу финансовой информации. Исключения составляют печально известный <a href="http://www.securelist.com/ru/analysis/204007635/Butkit_vyzov_2008">Torpig/Sinowal</a> и, пожалуй, Carberp, буткит-компонент которого был обнаружен ESET два года назад и с тех пор иногда <a href="http://blogs.rsa.com/got-an-extra-40000-lying-around-carberp-is-back-on-the-market/">всплывает</a> на теневых форумах.</p> <p>По свидетельству Trusteer, руткит-вариант Gozi заражает MBRи дожидается запуска Internet Explorer для реализации своего основного функционала. Как и прочие банкеры, Gozi осуществляет перехват трафика и способен на лету подменять веб-страницы банковских ресурсов. Эксперты отмечают, что сама программа-шпион видимых изменений не претерпела. Возможно, на черном рынке появился новый руткит, которым и воспользовались разработчики Gozi.</p> <p>Модульный троянец Gozi, он же Papras, досаждает клиентам банков с 2006 года. По оценкам экспертов, его глобальная популяция превышает 1 миллион, включая 40 тыс. зараженных компьютеров в США, а также инфекции в Германии, Польше, Великобритании, Франции, Италии, Финляндии и Турции. Убытки от шпионской деятельности Goziизмеряются десятками млн. долларов.</p> <p>В настоящее время в США <a href="http://www.justice.gov/usao/nys/pressreleases/January13/GoziVirusPR.php">запущен</a> судебный процесс в отношении трех иностранцев, подозреваемых в создании и распространении этого троянца. Согласно исковому заявлению, идеологом Goziявляется россиянин Никита Кузьмин, который в свое время составил подобие ТЗ и нанял опытного программиста для написания исходного кода. Вначале Кузьмин предоставлял Gozi как SaaS через свой веб-сайт 76 Service, а в 2008 году запустил его в продажу, время от времени нанимая вирусописателей для совершенствования своего детища. Кузьмин был арестован в конце 2010 года и уже сознался в неправомерном вмешательстве в работу компьютерных систем.</p> <p>Одним из наемников, помогавших Кузьмину дорабатывать Gozi, предположительно является латыш Денис Чаловский, бывший студент Рижского технического университета, а ныне мелкий бизнесмен. По запросу властей США он был задержан латышской полицией и недавно <a href="http://rus.apollo.lv/novosti/zaderzhannogo-v-imante-khakera-poka-ne-budut-vydavat-ssha/550828">обжаловал</a> решение местных властей об экстрадиции. Предполагаемый хостер C&C серверов Gozi Михай Паунеску (MihaiIonutPaunescu) был арестован в Румынии в конце 2012 года и ожидает решения о выдаче американским властям. По данным ФБР, он предоставлял bulletproof хостинг не только операторам Gozi, но также ботоводам ZeuS, SpyEye и прочих известных зловредов.</p> http://www.securelist.com/ru/blog/207764629/Gozi_obzavelsya_butkitom http://www.securelist.com/ru/blog/207764629/Gozi_obzavelsya_butkitom 29 Apr 2013 18:44:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Из-за DDoS-атаки на государственный сервис многие голландцы <a href="http://m.news24.com/news24/Technology/News/DDOS-kills-millions-of-Dutch-online-IDs-20130424">не смогли воспользоваться</a> гражданским ID для оплаты счетов и налоговых сборов.</p> <p>23 и 24 апреля неизвестные злоумышленники атаковали DigiD - единую систему авторизации в инфраструктуре, обеспечивающей голландским гражданам доступ к государственным сервисам. Простой этого веб-портала обескуражил многих налогоплательщиков: все налоговые декларации в стране уже несколько лет принимаются лишь в электронной форме. По официальным данным, DigiDв настоящее время используют свыше 10 млн. голландцев (численность населения Нидерландов составляет 17 млн.) и <a href="http://www.telecompaper.com/news/digid-brought-down-by-ddos-attack--939770">более 500</a> правительственных структур.</p> <p>Министерство внутренних дел Нидерландов <a href="http://www.rijksoverheid.nl/ministeries/bzk/nieuws/2013/04/24/digid-tijdelijk-niet-toegankelijk-door-ddos-aanval.html">заявило</a>, что в ходе инцидента персональные данные пользователей не пострадали. Полиция и национальный центр кибербезопасности уже проводят расследование.</p> <p>Апрель для голландцев стал урожайным на DDoS-атаки. В начале месяца варварскому нападению <a href="http://news.softpedia.com/news/Online-Services-of-Dutch-Banks-Disrupted-by-DDOS-Attacks-343468.shtml">подверглись</a> крупнейший банк Нидерландов ING, авиакомпания KLM и популярная платежная система iDeal. Их веб-сервисы были недоступны по нескольку часов, утечки пользовательских данных не зафиксировано.</p> http://www.securelist.com/ru/blog/207764628/Niderlandy_pod_DDoS_obstrelom http://www.securelist.com/ru/blog/207764628/Niderlandy_pod_DDoS_obstrelom 29 Apr 2013 18:39:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Австралийская федеральная полиция <a href='http://www.afp.gov.au/media-centre/news/afp/2013/april/afp-arrests-first-lulzsec-hacker.aspx' target=_blank>обвинила</a> сотрудника IT-компании в проведении хакерской атаки на правительственный сайт. По данным полиции, 24-летний житель Нового Южного Уэльса является самопровозглашенным главарем хактивистской группировки LulzSec. Занимая ответственный пост в компании, специализирующейся в области информационных технологий, он имел доступ к конфиденциальной информации ее клиентов, в том числе правительственных ведомств. </p><p><p>По факту взлома и дефейса сайта возбуждено уголовное дело. Австралийцу придется отвечать по статьям «несанкционированное изменение данных с целью нанесения вреда» и «несанкционированный доступ к защищенным данным либо внесение несанкционированных изменений». В Австралии максимальное наказание за эти правонарушения составляет 10 и 2 года лишения свободы соответственно. Подозреваемый пока отпущен под залог и предстанет перед судом в середине мая. </p><p><p>Судебные процессы в отношении участников LulzSec проходят также в США и Великобритании. Неделю назад в Лос-Анджелесе был <a href='http://www.justice.gov/usao/cac/Pressroom/2013/054.html' target=_blank>оглашен приговор</a> 25-летнему Коди Кретсингеру (Cody Andrew Kretsinger), атаковавшему веб-сайт Sony Pictures Entertainment <a href='http://www.securelist.com/ru/blog/40457/Pokhishcheny_personalnye_dannye_polzovateley_geymerskoy_seti_Playstation'>весной 2011 года</a>. Получив посредством SQL-инъекции доступ к инфраструктуре компании, хакер украл персональные данные десятков тысяч клиентов Sony, которые были впоследствии опубликованы в Сети. Взломщик осужден на 1 год с выплатой пострадавшей стороне компенсации в размере около 606 млн. долларов. Судьба автора последующего, <a href='http://www.securelist.com/ru/blog/40789/Khakery_vozvrashchayutsya_akkaunty_Playstation_snova_vzlomany'>октябрьского</a> взлома сервисов Sony решится в мае.</p><p><p>В том же месяце <a href='http://www.guardian.co.uk/technology/2013/apr/09/lulzec-hacktivists-plead-guilty-cyberattacks' target=_blank>завершится</a> лондонский процесс о хакерских атаках LulzSec на медиасервисы Sony, 20th Century Fox, News International, а также сайты ЦРУ и британской спецслужбы SOCA. Четверо фигурантов данного дела уже сознались в своих преступлениях.</p> http://www.securelist.com/ru/blog/207764627/LulzSec_na_skame_podsudimykh http://www.securelist.com/ru/blog/207764627/LulzSec_na_skame_podsudimykh 26 Apr 2013 16:56:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Из-за DDoS-атаки на DNS-серверы группы компаний Hosting Community (часть медиахолдинга РБК) многие сайты Рунета <a href="http://www.vedomosti.ru/tech/news/11486591/ataka_na_domeny">оказались недоступны</a> для пользователей.</p> <p>В понедельник, 22 апреля, был атакован российский регистратор доменных имен Ru-Center, на следующий день - крупнейший хостинг-провайдер «Хостинг-центр». Клиентская база обеих компаний совокупно составляет около 2,5 млн. веб-сайтов. Инцидент затронул большинство онлайн-сервисов крупных федеральных банков, новостные порталы и <a href="http://altapress.ru/story/106490">агентства</a>, сайты многих <a href="http://www.tourprom.ru/news/20781/">туроператоров</a>, почтовые службы. По некоторым оценкам, проблемы испытали <a href="http://fedpress.ru/news/society/reviews/1366814308-internet-slomalsya-kak-khakery-atakovali-sluzhby-dns-khostinga">до 60 %</a> российских сетевых ресурсов.</p> <p>23 апреля Ru-Center публично <a href="http://www.nic.ru/unavailable.html?date=23.04.2013">заявил</a> о проблемах с доступом к своим DNS-серверам, пояснив, что затруднения связаны с текущей DDoS-атакой. Зарубежные канальные провайдеры начали фильтровать вредоносный трафик, блокируя его источники. По этой причине зарубежный NS-сервер Ru-Center <a href="http://forum.nic.ru/showpost.php?s=ef9afa9771ba218b60f7f63212202117&p=54393&postcount=19">практически недоступен</a> из России, а два отечественных - из-за границы. &nbsp;</p> <p>В тот же день представитель Hosting Community <a href="http://roem.ru/2013/04/23/hcdown70274/">признал</a>, что нейтрализовать DDoS-атаку удалось лишь частично. Очевидно, ее мощность превышает пропускную способность каналов и NS-серверов, используемых хостинг-провайдерами, хотя конкретных цифр никто пока не называл. По данным Hosting Community, злоумышленники атакуют DNS-службы и других российских компаний.</p> http://www.securelist.com/ru/blog/207764626/K_probleme_dostupa_v_Runete http://www.securelist.com/ru/blog/207764626/K_probleme_dostupa_v_Runete 25 Apr 2013 19:24:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Специалист по безопасности мобильного сервиса Lookout <a href='https://blog.lookout.com/blog/2013/04/19/the-bearer-of-badnews-malware-google-play/'>обнаружил</a> представителей нового семейства Android-троянцев в 32 приложениях, выложенных четырьмя разными разработчиками на Google Play. Согласно статистике онлайн-магазина, зараженные продукты были скачаны от 2 до 9 млн. раз.</p><p><p>BadNews (дословно «плохие новости») маскируется под безобидный, хотя и несколько агрессивный SDK-пакет для рекламной сети. Чтобы обойти защиту Google Play, авторы зловреда создали подставную рекламную сеть, через которую осуществляется загрузка вредоносного кода на зараженные устройства. При запуске BadNews отсылает на командный сервер информацию о зараженном устройстве (номер телефона, IMEI), а затем обращается к нему раз в четыре часа для получения дальнейших инструкций. Функционал нового троянца позволяет ему отображать на экране поддельные сообщения от имени легальных веб-сервисов (Skype, ВКонтакте), провоцируя пользователя на установку других вредоносных программ. Так, при анализе одного из образцов BadNews исследователи обнаружили, что он продвигает хорошо известного троянца, отсылающего текстовые сообщения на российские премиум-номера. Анализ также показал, что новый зловред по коду схож со многими SMS троянцами восточноевропейского происхождения.</p> http://www.securelist.com/ru/blog/207764625/Plokhie_novosti_dlya_Android http://www.securelist.com/ru/blog/207764625/Plokhie_novosti_dlya_Android 24 Apr 2013 17:44:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Согласно статистике ОАО «АльфаСтрахование», за прошедший год количество случаев незаконного снятия денежных средств со счетов россиян <a href='http://www.alfastrah.ru/news/index.php?ELEMENT_ID=500380' target=_blank>увеличилось</a> в 2 раза. По итогам 2012 года доля таких страховых инцидентов возросла в 1,5 раза, составив 54,8% обращений.</p><p><p>В 2011 году самой частой причиной финансовых потерь для владельцев банковских счетов являлась утрата карты (потеря, хищение или повреждение) - 62,6% от общего количества страховых случаев. На долю несанкционированного вывода средств пришлось 36,8% обращений. В 2012 году эти позиции рейтинга рисков поменялись местами, доля страховых случаев, связанных с утерей пластиковой карты, снизилась до 43,3%. Риски, связанные с получением наличности в банкомате (ограбление в момент снятия денег или в течение 12 часов после снятия), увеличились почти в четыре раза - с 0,6 до 2,1%. </p><p><p>По размеру убытков, понесенных держателями банковских карт в результате страхового инцидента, мошеннические транзакции являются абсолютным лидером. В 2011 году на их долю пришлось 87,8% компенсаций, выплаченных компанией «АльфаСтрахование», в 2012 году - 90,7%. Выплаты по утрате банковской карты в 2011 году составили 11,8%, в 2012-м - 5,4%. Меньше прочих теряют клиенты банков, ограбленные у банкомата (0,4% и 3,9% соответственно). </p><p><p>По данным Института социологии РАН и Ассоциации российских банков (АРБ), пластиковыми картами уже пользуются 66,1% россиян, и этот показатель растет. Аналитики «АльфаСтрахование» относят к группе повышенного риска тех клиентов, которые часто проводят платежи с помощью карты, в том числе за границей и через интернет. Эксперты также отмечают, что процесс возврата утраченных денег может оказаться длительным и трудоемким, причем без гарантии положительного исхода.</p> http://www.securelist.com/ru/blog/207764624/Moshennicheskie_tranzaktsii_glavnaya_ugroza_dlya_rossiyskikh_schetov http://www.securelist.com/ru/blog/207764624/Moshennicheskie_tranzaktsii_glavnaya_ugroza_dlya_rossiyskikh_schetov 24 Apr 2013 14:22:00 +0400 webmaster@securelist.com (Висенте Диас) <p>В тот самый день, когда в Бостоне произошел взрыв, я как раз направлялся на SourceConference. Трудно описать свои чувства по прибытии в город. Как сказал президент Обама в своем обращении к жителям Бостона: «Вы будете бегать снова». Мои искренние соболезнования, друзья.</p><p><p class=c><img src="http://www.securelist.com/ru/images/vlweblog/208194238.png" border="1" alt="" title="" height=400 weight=400></p><p><p>В своей презентации на конференции Source я рассказывал о мошенничестве в Твиттере. В последнее время мы встречаем в этой социальной сети довольно много спам-ботов - как тех, которые наугад рассылают незапрошенные сообщения другим пользователям, так и тех, что проводят предварительный семантический анализ ваших твитов, чтобы затем осуществить целенаправленную атаку.</p> http://www.securelist.com/ru/blog/207764623/Tsifrovoy_marketing_novyy_spam http://www.securelist.com/ru/blog/207764623/Tsifrovoy_marketing_novyy_spam 24 Apr 2013 14:06:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Программист из Тольятти, писавший на заказ веб-инжекты для троянской программы-банкера Carberp, <a href='http://mvd.ru/news/item/944785/'>осужден условно</a>.</p><p><p>Согласно материалам дела, Александр Пакичев, 1971 года рождения, публиковал в интернете объявления, предлагая свои услуги по созданию модификаций Carberp, ориентированных на конкретные банки. За полгода он продал более десятка таких программ, получая с заказчиков в среднем по 9 тыс. рублей (<a href='http://63.mvd.ru/news/item/945618/'>по другим данным</a>, от 400 до 1500 долларов). После запуска на зараженной машине Carberp воровал персональные данные жертвы и ее идентификаторы к аккаунту в системе ДБО, а для обхода двухфакторной аутентификации троянец на лету изменял страницу регистрации (веб-инжектирование) и запрашивал у жертвы номер мобильного телефона. Украденная зловредом информация позволяла злоумышленникам клонировать SIM-карты в салонах сотовой связи и проводить мошеннические транзакции от имени своих жертв.</p> http://www.securelist.com/ru/blog/207764622/Uslovnyy_srok_za_posobnichestvo_onlayn_grabezham http://www.securelist.com/ru/blog/207764622/Uslovnyy_srok_za_posobnichestvo_onlayn_grabezham 23 Apr 2013 20:09:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>В минувшем квартале Cloudmark <a href='http://blog.cloudmark.com/2013/04/17/2013s-first-quarter-at-a-glance/'>зафиксировала</a> резкое сокращение потоков мошеннических SMS-сообщений, предлагающих абонентам «бесплатные» призы и подарочные карты от ведущих ритейлеров. По мнению экспертов, главной причиной этого спада являются коллективные иски, поданные Федеральной комиссией США (ФТК) против распространителей такого спама.</p><p><p>ФТК подала в суд на SMS-мошенников <a href='http://www.securelist.com/ru/blog/207764501/FTK_obyavila_voynu_SMS_moshennikam'>в начале марта</a>. Сразу после публикации этой новости Cloudmark отметила, что дневная норма жалоб на «подарочный» SMS-спам снизилась до 10% от общего объема. В 2012 году на его долю пришлось 44% текстовых спам-сообщений, в январе-феврале нового года на пике эксперты получали до 78% жалоб в сутки, а в марте этот показатель сократился до 6%.</p> http://www.securelist.com/ru/blog/207764621/Cloudmark_o_spame_v_pervom_kvartale_2013_goda http://www.securelist.com/ru/blog/207764621/Cloudmark_o_spame_v_pervom_kvartale_2013_goda 23 Apr 2013 13:27:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>«Яндекс» предупреждает: на российских веб-сайтах расплодилось большое количество мошеннических объявлений, в которых посетителей просят ввести номер мобильного телефона, а затем - код, присланный в SMS. Согласно данным компании, такие сайты <a href='http://www.interfax.ru/russia/news.asp?id=302156' target=_blank>посещает</a> 21% месячной аудитории Рунета и около 2% суточной, в сутки на них приходится в среднем свыше 10 млн. визитов, в результате которых жертвы теряют десятки миллионов рублей. </p><p><p>Эти цифры прозвучали в докладе «Мошеннические интернет сайты, опыт противодействия», представленном на конференции РИФ+КИБ 2013 руководителем группы антивирусных проектов «Яндекс» Александром Сидоровым. По его словам, поисковая система «Яндекс» опознает мошеннические сайты, ограничивает число их показов в выдаче, предупреждая пользователей об опасности, а также отправляет списки этих сайтов партнерам.</p><p><p>В марте текущего года компании «Яндекс», Mail.ru Group, Google, «ВКонтакте», «Лаборатория Касперского», Group-IB и «Доктор Веб» опубликовали <a href='http://company.yandex.ru/rules/fraud/' target=_blank>совместное заявление</a>, в котором отметили рост случаев сбора телефонных номеров для принудительной подписки абонентов на платные услуги. Злоумышленники создают имитации популярных ресурсов и размещают на них объявления типа «Вы выиграли приз», «Ваш аккаунт заблокирован» и т.п. Созданные страницы содержат поле для ввода номера телефона, на который впоследствии высылается SMS с кодом подтверждения. После ввода этого кода на мошенническом веб-сайте жертва в качестве «приза» получает SMS-подписку, за которую с ее счета ежедневно списываются деньги.</p><p><p>Чтобы обезопасить пользователей от этого вида мошенничества, названные компании наладят взаимный обмен данными об угрозах и оповещение телеоператоров о коротких номерах, используемых злоумышленниками. Потенциальным жертвам напоминают о бдительности, рекомендуют тщательно проверять адреса страниц с заманчивыми объявлениями и использовать специализированную программную защиту. Избавиться от навязанного сервиса можно, обратившись к своему сотовому оператору.</p> http://www.securelist.com/ru/blog/207764620/Moshenniki_Runeta_zarabatyvayut_desyatki_millionov http://www.securelist.com/ru/blog/207764620/Moshenniki_Runeta_zarabatyvayut_desyatki_millionov 22 Apr 2013 17:43:00 +0400 webmaster@securelist.com (Кирилл Круглов) <p>Опыт многих офицеров информационной безопасности показывает, что лишь малая доля инцидентов происходит в результате тщательно спланированных и очень сложных таргетированных атак, большая же часть инцидентов является результатом отсутствия эффективных мер защиты и контроля. Мы начинаем серию публикаций, посвященных угрозам информационной безопасности, которые связанны с использованием легитимного ПО.</p> <h2>TeamViewer</h2> <p>Чрезвычайно популярные, удобные и полезные инструменты для организации удаленного доступа по достоинству оценили не только системные администраторы и разработчики, но и все, кому хоть раз приходилось срочно подключаться к рабочему компьютеру в ходе деловой поездки, отпуска или из дома. Однако бесконтрольное использование такого ПО создает угрозу безопасности компании и может привести к возникновению инцидентов.</p> <p>Так, очень распространенное и часто используемое ПО для удаленного доступа - TeamViewer - было <a href="http://www.securelist.com/ru/blog/207764533/Ataki_TeamSpy_Crew_nezakonnoe_ispolzovanie_TeamViewer_v_tselyakh_kibershpionazha">использовано для шпионажа</a> в восточной Европе, направленного против как государственных, так и частных компаний. Однако проникновение в корпоративную сеть через ПО для удаленного доступа может быть не только внешней угрозой (хакеры и вредоносное ПО). Не менее опасны в этом случае и внутренние угрозы - бесконтрольное использование удаленного доступа сотрудниками, злонамеренная установка и использование такого ПО инсайдером. Рассмотрим возможные угрозы на примере реальной истории, свидетелями которой стали сотрудники нашей компании.</p> http://www.securelist.com/ru/blog/207764618/Politiki_bezopasnosti_programmy_dlya_udalennogo_dostupa http://www.securelist.com/ru/blog/207764618/Politiki_bezopasnosti_programmy_dlya_udalennogo_dostupa 19 Apr 2013 16:48:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Федеральная торговая комиссия США (ФТК) <a href='http://www.ftc.gov/opa/2013/04/wisemedia.shtm' target=_blank>подала иск</a> против двух компаний, которые, по данным комиссии, заработали миллионы долларов, обманом подписывая владельцев мобильных устройств на премиум-услуги и взимая с них плату за навязанный сервис.</p><p><p>Согласно исковому заявлению ФТК, Wise Media, LLC распространяла текстовые сообщения с предложениями платных услуг по составлению гороскопов, поиску новых знакомств, предоставлению информации по разным вопросам и т.п. Многие получатели этих SMS удаляли их как спам или просто игнорировали, некоторые отвечали отказом. Но независимо от ответной реакции адресатов автоматически подписывали на премиум-сервис и взимали ежемесячную плату в размере $9,99 без ведома и согласия «подписчика». </p><p><p>Примечательно, что в итоговом счете за мобильные услуги подписка от Wise Media обозначалась аббревиатурой, поэтому потребителю было нелегко понять имя получателя платежа. Чаще всего абоненты и не пытались вникнуть в содержание счета, а просто оплачивали итоговую сумму. Кроме того, по утверждению ФТК, Wise Media старалась всячески скрыть свои координаты от потребителей. Если кому-то из обманутых удавалось раздобыть ее контактный телефон, ему сулили компенсацию, но денег так и не возвращали. </p><p><p>ФТК сочла вышеперечисленную деятельность противоречащей правилам добросовестной торговли и обратилась в суд. Американский регулятор ходатайствует о замораживании счетов ответчиков, пресечении порочных методов ведения бизнеса, а также конфискации обманом нажитых доходов в пользу потерпевших. В числе ответчиков фигурирует еще одна компания, Concrete Marketing Research, LLC, которая, по мнению ФТК, тоже получала доход от реализации данной мошеннической схемы.</p><p><p>В мае ФТК проводит круглый стол по проблеме навязчивого сервиса, в котором примут участие защитники прав потребителей, ведущие представители сферы премиум-услуг и органы правительственного надзора.</p> http://www.securelist.com/ru/blog/207764617/FTK_navyazchivyy_SMS_servis_narushaet_prava_potrebiteley http://www.securelist.com/ru/blog/207764617/FTK_navyazchivyy_SMS_servis_narushaet_prava_potrebiteley 19 Apr 2013 16:31:00 +0400 webmaster@securelist.com (Мария Рубинштейн) <p>Как только в мире случается какое-то громкое событие, спамеры и кибермошенники немедленно используют его для привлечения внимания пользователей к своим рассылкам. Не стали исключением и последние трагические события в США: теракт на марафоне Бостоне и взрыв на химическом заводе в Техасе послужили поводом для создания новых рассылок вредоносного спама.</p> <p>Уже 17 апреля мы <a href="http://www.securelist.com/ru/blog/207764611/Ekho_sobytiy_v_Bostone">зафиксировали</a> первую рассылку писем, использующую происшествие в Бостоне для привлечения внимания получателей. Спам-сообщения содержали ссылки на взломанные страницы, на которых злоумышленники разместили вредоносные объекты.</p> <p>На следующий день, 18 апреля, вновь мы зафиксировали рассылки, спекулирующие на трагедии в Бостоне. Темы рассылаемых сообщений имитировали заголовки новостей на сайте CNN (Opinion: Osama death was Faked by CIA - Boston Marathon Explosions Worse News. - CNN.com, Opinion: Updates on the Aftermath of Boston Marathon Explosions - CNN.com, Opinion: Boston Marathon Explosions - Obama Benefits? - CNN.com), но при этом имели абсолютно произвольные и, естественно, поддельные поля «From». Такие «новости» с шокирующими заголовками рассылались также от имени социальной сети LinkedIn и других респектабельных источников. Размещенные в сообщениях ссылки вели на взломанные сайты с эксплойт-паком BlackHole 2. В случае успешной атаки эксплойт загружал шпионскую программу, предназначенную для передачи данных с пользовательского компьютера: информацию из защищенных соединений браузера (HTTPS); cookies браузеров; скриншоты; список контактов, информацию о компьютере (установленные программы, конфигурация системы). «Лаборатория Касперского» детектирует эту программу как Backdoor.Win32.Papras.ppk.</p> http://www.securelist.com/ru/blog/207764613/Chem_bolshe_sensatsiy_tem_bolshe_zlovredov http://www.securelist.com/ru/blog/207764613/Chem_bolshe_sensatsiy_tem_bolshe_zlovredov 19 Apr 2013 14:23:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Хостинг-провайдеры и специалисты по сетевой безопасности <a href='http://blog.hostgator.com/2013/04/11/global-wordpress-brute-force-flood/' target=_blank>регистрируют</a> резкий рост трафика на веб-сайтах, работающих на движке WordPress. Используя <a href='http://blog.cloudflare.com/patching-the-internet-fixing-the-wordpress-br' target=_blank>десятки тысяч</a> IP-адресов, неизвестные злоумышленники пытаются получить доступ к административной панели сайтов перебором логин-паролей по словарю (метод brute force). В случае успеха взломанный ресурс становится частью ботнета и подключается к текущей серии атак. </p><p><p>Попытки массового взлома WordPress нередки, однако на сей раз хакеры действуют с небывалым размахом. По данным мониторинговой компании Sucuri, число заблокированных брут-форс атак на платформу WordPress в апреле <a href='http://blog.sucuri.net/2013/04/mass-wordpress-brute-force-attacks-myth-or-reality.html' target=_blank>утроилось</a> и в среднем составляет 77,4 тыс. атак в сутки, а на пике превышает 100 тысяч. Боты <a href='http://www.inmotionhosting.com/support/news/general/wp-login-brute-force-attack' target=_blank>запрашивают /wp-login.php</a> и пытаются осуществить вход, оперируя списком из 1 тыс. популярных комбинаций логин-пароль. Чаще всего они авторизуются под именем admin, а из паролей отдают предпочтение admin, 123456, 666666, 111111, 12345678 и qwerty. На взломанный сайт <a href='http://krebsonsecurity.com/2013/04/brute-force-attacks-build-wordpress-botnet/' target=_blank>внедряется бэкдор</a>, обеспечивающий злоумышленникам удаленный контроль над ресурсом. </p><p><p>По оценке компании HostGator, которая первым из хостинг-провайдеров обнародовала информацию о глобальном инциденте, в хакерскую кампанию <a href='http://blog.hostgator.com/2013/04/11/global-wordpress-brute-force-flood/' target=_blank>вовлечены</a> свыше 90 тыс. разноплеменных IP адресов. Их мишенью является не только WordPress, но и <a href='http://www.melbourne.co.uk/blog/2013/04/12/brute-force-attack-on-wordpress-and-joomla-powered-sites/' target=_blank>Joomla</a>, хотя и в значительно меньшем объеме. Оператор крупнейшей CDN сети CloudFlare, который обслуживает, по собственным оценкам, около 3% подаваемых по Сети запросов, за час <a href='http://thenextweb.com/insider/2013/04/13/brute-force-attacks-on-wordpress-continue-as-cloudflare-fends-off-60m-requests-in-1-hour/' target=_blank>заблокировал</a> 60 млн. обращений к своим клиентам, использующим WordPress. При этом с каждого атакующего IP-адреса за раз подается всего лишь один запрос. </p><p><p>CloudFlare полагает, что атакующие оперируют небольшим ботнетом, составленным из домашних ПК, и намереваются создать более солидную сеть на базе веб-серверов. Последние доступны круглосуточно и способны генерировать мощный трафик, к тому же их не так-то легко заблокировать. Построенный на серверах ботнет может причинить большой ущерб, работая на фишеров, распространяя зловредов или участвуя в DDoS-атаках - например, с использованием эффективного набора скриптов <a href='http://www.securelist.com/ru/blog/207764411/Proverte_vash_server_ne_bot'>itsoknoproblembro</a>.</p><p><p>В этом печальном событии есть своя ложка меда: его масштабность подвигла хостинг-провайдеров на совместный поиск решений. В Сети стала появляться информация «из первых рук», предложения и рекомендации для многочисленных пользователей WordPress. Компания CloudFlare, как всегда, готова играть в открытую и поделиться с коллегами своей базой IP-адресов, участвующих в хакерском нападении. Ее эксперты загрузили на CDN-сеть сигнатуру атаки и блокируют все вредоносные запросы. Разработчик WordPress выложил в своем блоге <a href='http://ma.tt/2013/04/passwords-and-brute-force/' target=_blank>предупреждение</a>, отметив, что при таких масштабах атаки ограничение по IP-адресу или искусственное замедление процедуры авторизации не имеют большого смысла. По его мнению - и в этом с ним согласны все хостеры, все пользователи атакуемой платформы должны незамедлительно усилить пароли, включить опцию двухфакторной аутентификации, недавно введенную в обиход, а также удостовериться в актуальности установленной версии WordPress и плагинов. </p><p><p>Для справки: в декабре прошлого года в интернете <a href='http://royal.pingdom.com/2013/01/16/internet-2012-in-numbers/' target=_blank>насчитывалось</a> 634 млн. веб-сайтов, в том числе 59,4 миллиона, построенных на WordPress. В настоящее время эту CMS используют <a href='http://en.wordpress.com/stats/' target=_blank>более 64,2 млн.</a> сайтов с совокупным числом просмотров 371 млн. в месяц. </p> http://www.securelist.com/ru/blog/207764612/Platforma_WordPress_podverglas_masshtabnoy_brut_fors_atake http://www.securelist.com/ru/blog/207764612/Platforma_WordPress_podverglas_masshtabnoy_brut_fors_atake 18 Apr 2013 18:28:00 +0400 webmaster@securelist.com (Майкл Молснер) <p>В то время как многие люди по всему миру ещё пребывают в состоянии шока из-за произошедшего 16 апреля теракта в Бостоне, киберпреступники уже используют эту трагедию в своих грязных целях. </p><p><p class=c><img src="http://www.securelist.com/en/images/pictures/klblog/208194229.png" border=0 alt=''></p><p><p>Сегодня к нам уже начали приходить подозрительные письма, содержащие вредоносные ссылки на веб-страницы с названием вида "news.html". Кликнув по такой ссылке, пользователь попадает на страницу со ссылками на легитимные видеоролики на YouTube, повествующие о трагическом событии в Бостоне. Но после 60-секундной задержки на странице активируется другая ссылка, ведущая на исполняемый файл.</p><p><p class=c><img src="http://www.securelist.com/en/images/pictures/klblog/208194230.jpg" border=0 alt=''></p><p><p>После запуска на заражённой машине, зловред пытается установить соединение с несколькими IP-адресами, расположенными на Украине, в Аргентине и Тайване. Продукты «Лаборатории Касперского» распознают эту угрозу как Trojan-PSW.Win32.Tepfer.*.</p> <p>MD5-суммы некоторых образцов зловреда:</p> <p> 5EA646FFDC1E9BC7759FDFC926DE7660</p> <p> 959E2DCAD471C86B4FDCF824A6A502DC</p> http://www.securelist.com/ru/blog/207764611/Ekho_sobytiy_v_Bostone http://www.securelist.com/ru/blog/207764611/Ekho_sobytiy_v_Bostone 18 Apr 2013 18:10:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Российская компания Mail.ru Group <a href='http://corp.mail.ru/press/news/1712' target=_blank>объявила</a> о расширении партнерства с международной системой оценки репутации сайтов WOT (Web of Trust). Отныне пользователи мобильной версии почты Mail.ru наравне с остальными клиентами этой почтовой службы будут получать предупреждение о возможной угрозе в момент перехода по присланной в письме подозрительной ссылке.</p><p><p>Рейтинг WOT составляется по принципу краудсорсинга, при активном участии интернет-добровольцев. Ссылки, которые пытаются активировать подписчики WOT, автоматически проверяются по общей базе. Если ссылка ведет на мошеннический/фишинговый сайт или содержит опасный контент, пользователю выводится соответствующее предупреждение. В настоящее время база WOT насчитывает свыше 41 млн. сайтов, в ее пополнении принимают участие 73 млн. пользователей интернета.</p><p><p>По данным Mail.ru, за последний год число пользователей ее мобильной почты выросло в несколько раз. Провайдер надеется, что запуск репутационных оценок для этой быстро растущей аудитории позволит снизить риски и защитить ее от угроз, неподвластных почтовому антивирусу. Mail.ru сотрудничает с WOT уже несколько лет; базу WOT используют также некоторые крупные социальные сети и веб-порталы. </p> http://www.securelist.com/ru/blog/207764610/Mail_ru_zashchitit_smartfon_ot_opasnykh_ssylok http://www.securelist.com/ru/blog/207764610/Mail_ru_zashchitit_smartfon_ot_opasnykh_ssylok 18 Apr 2013 18:03:00 +0400 webmaster@securelist.com (Сергей Голованов) <p>Прошло уже три года со времени публикации у нас в блоге статьи &#171;<a href='http://www.securelist.com/ru/blog/32480/V_stade_bankerov_pribylo'>В стаде банкеров прибыло</a>&#187;, описывающей первую вредоносную программу, которая атакует пользователей программного обеспечения для электронного банкинга компании &#171;<a href='http://www.bifit.com/ru/company/index.html' target=_blank>БИФИТ</a>&#187;. В настоящее время аналогичным функционалом обладает несколько вредоносных программ, в том числе:</p> <ul> <li>Trojan-Spy.Win32.Lurk <li>Trojan-Banker.Win32.iBank <li>Trojan-Banker.Win32.Oris <li>Trojan-Spy.Win32.Carberp <li>Trojan-Banker.Win32.BifiBank <li>Trojan-Banker.Win32.BifitAgent </ul> <p>Несмотря на уже не уникальный функционал, последняя программа из этого списка все-таки привлекла наше внимание. </p><p><p class=c><img src="images/pictures/klblog/207764602.png" border=0 width=539 height=295 alt=''><br/><br/><em>Слова и строки, используемые во время работы программы Trojan-Banker.Win32.BifitAgent</em></p><p><p>Данный зловред обладает рядом особенностей, которые отличают его от остальных подобных программ.</p> http://www.securelist.com/ru/blog/207764601/V_stade_bankerov_pribylo_2 http://www.securelist.com/ru/blog/207764601/V_stade_bankerov_pribylo_2 18 Apr 2013 12:19:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Крупнейший российский телеоператор МТС планирует до конца апреля запустить бесплатный сервис SMS Pro, позволяющий абонентам блокировать нежелательные SMS-сообщения.</p><p><p>Данная услуга будет доступна на всех тарифных планах, кроме "Классный", «Коннект», «Онлайнер», «МТС iPad» и их производных. Фильтр заработает для SMS, отправленных с номеров любых операторов Москвы и Центрального федерального округа. Кроме того, абоненты смогут блокировать текстовые сообщения с коротких номеров (до 7 цифр), от отправителей, использующих буквенные обозначения источников отправки (например, MAGAZIN), а также сервисные SMS самого оператора.</p><p><p>Новая услуга, очевидно, вводится в связи с грядущим обновлением российского законодательства. Как мы уже <a href='http://www.securelist.com/ru/blog/207764595/V_Rossii_khotyat_uzakonit_ponyatie_spam'>писали</a>, Минкомсвязь России подготовила ряд поправок в закон «О связи», предложив предоставить операторам право фильтровать SMS-сообщения. </p> http://www.securelist.com/ru/blog/207764600/Abonenty_MTS_poluchat_spam_filtr http://www.securelist.com/ru/blog/207764600/Abonenty_MTS_poluchat_spam_filtr 18 Apr 2013 11:55:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Эксперты немецкой компании AV-TEST проанализировали около 550 тыс. спамовых писем, осевших на ловушках лаборатории за полтора года. Как оказалось, 2,5% от общего количества сообщений <a href='http://www.theregister.co.uk/2013/04/11/spam_more_dangerous_than_ever/' target=_blank>содержат</a> вредоносное вложение. </p><p><p>Подавляющее большинство спам-сообщений, обнаруженных AV-TEST в период с августа 2011 по февраль 2013 гг., рекламировали контрафактные товары, в том числе медицинские препараты. Около 30 тыс. нелегитимных писем были снабжены вложением, содержимое которого более чем в трети случаев эксперты определили как вредоносное. Вредоносными оказались практически все разосланные в спаме исполняемые файлы, включая EXE, COM, SCR, BAT и PIF. Также опасными были признаны порядка 97% zip- и 80% html-вложений. Спам-сообщения со ссылками на зараженные сайты составили около 1% URL-спама, однако эксперты отметили, что этот тип вредоносных писем стало труднее различать в общей массе почтового мусора.</p><p><p>Согласно статистике AV-TEST, большинство нелегитимных писем с вложениями распространяются с американских компьютеров, однако вредоносными при этом являются лишь 15% вложенных файлов. Наиболее опасным был признан спам индийского и вьетнамского происхождения - его вложения оказались вредоносными в 78% и 77% случаев соответственно. Высокие показатели демонстрируют также Украина и Южная Корея (более 50%), умеренно высокие - Россия (чуть ниже 50%).</p><p><p>Почти все подвергнутые анализу спам-письма распространялись автоматизированными средствами, что вполне предсказуемо. В выходные дни поток мусорной почты сокращался на 20-25% - видимо, из-за отключения спамботов, осевших на офисных ПК. </p> http://www.securelist.com/ru/blog/207764599/Laboratoriya_AV_TEST_o_vredonosnom_spame http://www.securelist.com/ru/blog/207764599/Laboratoriya_AV_TEST_o_vredonosnom_spame 16 Apr 2013 19:32:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Новые итерации программ-блокировщиков <a href='http://www.computerworld.com/s/article/9238040/Ransomware_leverages_victims_39_browser_histories_for_increased_credibility' target=_blank>сканируют журнал браузера</a> на зараженной машине и <a href='http://www.theregister.co.uk/2013/04/05/iwf_warning_smut_ransomware/' target=_blank>демонстрируют порно</a> с участием несовершеннолетних, чтобы придать убедительность ложным обвинениям и заставить жертву заплатить выкуп. </p><p><p>Сразу оговоримся, что речь идет о той разновидности программ-вымогателей, которая блокирует доступ к системе, отображая поверх всех окон окно с сообщением о блокировке. Злоумышленники от имени правоохранительных органов обвиняют жертву в просмотре или скачивании нелегального контента и требуют незамедлительной уплаты «штрафа» в обмен на разблокировку. Некоторые из таких вредоносных программ могут использовать веб-камеру, установленную на зараженном компьютере, и внедряют снимки жертвы в обвинительное сообщение, чтобы сделать его более правдоподобным. С той же целью жертве могут назвать ее IP-адрес и имя интернет-провайдера; современные блокеры используют также геопривязку, чтобы отобразить фальшивку на языке, понятном жертве, с правильным именем национального органа правопорядка.</p><p><p>Независимый исследователь Kafeine <a href='http://malware.dontneedcoffee.com/2013/03/ransomware-kovter-looking-at-your.html#!/2013/03/ransomware-kovter-looking-at-your.html' target=_blank>обнаружил</a> вариант блокера, функционал которого позволяет просматривать историю посещений веб-сайтов, сохраненную в браузере, и подставлять подходящие имена в обвинительный текст в качестве источника противозаконного контента. Таким «источником» может оказаться порносайт, содержимое которого необязательно противозаконно, важен сам факт захода жертвы на данный ресурс. Зловред, получивший наименование Kovter, сравнивает записи в журнале посещений со списком, хранящимся на удаленном сервере, и в случае отсутствия совпадений подставляет в сообщение произвольное имя порносайта.</p><p><p>Другой вариант блокера, попавший на радары Sophos, вместе с обвинительным текстом демонстрирует пользователю шокирующие сцены насилия над детьми, которые тот якобы просматривал на своем ПК. Для пущей убедительности в сообщении называются имя, дата рождения и страна проживания жертвы насилия. Примечательно, что данный зловред активируется не на старте системы, а лишь после подключения пользователя к интернету. Все случаи заражения, связанные с этой версией, обнаружены на территории Германии, однако анализ вредоносного кода показал, что при запуске с британского IP-адреса новоявленный блокер меняет шаблон: обвинительный текст воспроизводится уже на английском языке, а вместо Bundeskriminalamt - федерального ведомства по уголовным делам Германии - в нем появляется имя лондонской полиции.</p><p><p>Согласно статистике «Лаборатории Касперского», за первые месяцы текущего года количество программ-вымогателей увеличилось в два раза. Эту цифру зарубежные СМИ озвучили со слов эксперта ЛК Сергея Голованова, который подчеркнул, что уступать требованиям вымогателей ни в коем случае нельзя. В интернете есть множество бесплатных утилит и инструкций по разблокировке компьютеров, зараженных тем или иным вымогателем. Решение для особо устойчивого зловреда можно отыскать на специализированных форумах антивирусных компаний или получить, обратившись в службу техподдержки. Уж лучше потратить время на поиск выхода из неприятного положения, чем потакать шантажистам без какой-либо гарантии положительного исхода. </p> http://www.securelist.com/ru/blog/207764598/Vymogateli_osvaivayut_novye_tryuki http://www.securelist.com/ru/blog/207764598/Vymogateli_osvaivayut_novye_tryuki 16 Apr 2013 15:26:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>По данным NBC News, за минувшие полтора месяца веб-сайты 15-ти крупнейших американских банков были <a href='http://redtape.nbcnews.com/_news/2013/04/03/17575854-bank-website-attacks-reach-new-high-249-hours-offline-in-past-six-weeks' target=_blank>недоступны</a> совокупно 249 часов. Для сравнения: год назад суммарный простой тех же объектов за тот же период составил 140 часов. Замеры по просьбе новостного портала проводили эксперты Keynote Systems, которые в ухудшении ситуации винят, главным образом, DDoS-атаки, проводимые злоумышленниками в рамках «операции Абабиль».</p><p><p>Это мощнейшее DDoS-наступление на сферу банковских услуг началось <a href='http://www.securelist.com/ru/blog/207764370/Arbor_osennie_DDoS_prepodali_khoroshiy_urok'>больше полугода назад</a> и все еще продолжают досаждать клиентам и службам безопасности банков. В феврале атакующие взяли тайм-аут, а затем вновь пошли на приступ. 12 марта DDoS-атаке <a href='http://www.reuters.com/article/2013/03/13/us-jpmorgan-cyberattack-idUSBRE92C02520130313' target=_blank>подвергся</a> веб-сервис JPMorgan Chase, в результате чего у некоторых клиентов возникли проблемы с доступом. В конце марта аналогичные нападения были совершены на сайты <a href='http://www.reuters.com/article/2013/03/26/wellsfargo-website-attacks-idUSL2N0CI1RO20130326' target=_blank>Wells Fargo</a> и <a href='http://www.nytimes.com/2013/03/29/technology/corporate-cyberattackers-possibly-state-backed-now-seek-to-destroy-data.html?ref=technology&pagewanted=all&_r=2&' target=_blank>American Express</a>, а в начале апреля злоумышленники <a href='http://redtape.nbcnews.com/_news/2013/04/04/17599510-cyberattackers-more-powerful-getting-upper-hand-experts-warn' target=_blank>вновь попытались</a> вывести из строя онлайн-ресурс Wells Fargo. К сожалению, ни одна из пострадавших организаций не раскрыла подробности пережитой атаки.</p><p><p>Ассоциация американских банкиров (АВА) <a href='http://www.nbcnews.com/technology/technolog/cyberattacks-banks-signal-urgent-need-security-bill-lawmakers-say-1C9202532' target=_blank>отметила</a> интенсификацию DDoS-атак на финансовые учреждения и готовится к их дальнейшей экспансии. Дуг Джонсон (Doug Johnson), вице-президент АВА по управлению рисками, подчеркнул, что злоумышленники ни разу не воспользовались временным превосходством, чтобы украсть информацию. По его мнению, эти атаки имеют целью дестабилизацию интернет-сервиса, а не вторжение - «все равно как стучаться в закрытую дверь, не пробуя войти».</p><p><p>Никто из экспертов, прокомментировавших для NBC News последние DDoS-атаки, не верит, что атакующие до сих пор мстят за публикацию оскорбительного для мусульман видео на YouTube, хотя «кибервоины Изз ад-Дин аль-Кассама» утверждают обратное. Кстати, эта группа хактивистов, взявшая на себя ответственность за «операцию Абабиль», почти перестала именовать свои жертвы перед нападением. Как бы то ни было, любые борцы за идею давно бы сложили оружие, исчерпав свои ресурсы, или переключились на другие цели.</p><p><p>В данном же случае атакующие демонстрируют не только высокий технический уровень и хорошее знание способов защиты от DDoS, но также наличие большого потенциала. Применяемая ими техника позволяет в разы увеличивать мощность атаки при весьма ограниченной базе, однако эксперты сходятся во мнении, что злоумышленники пускают в ход лишь часть своих резервов. Наблюдаемые DDoS пока сводятся, в основном, к временным перебоям в работе веб-сервисов, и в экстренных случаях клиенты банков всегда могут воспользоваться телефоном или мобильным приложением, пока сайт недоступен. Эксперты Keynote отмечают, что даже во время <a href='http://www.securelist.com/ru/blog/207764559/Mest_tsenoy_v_300_Gb_s_porazivshaya_Evropu'>мощнейшей DDoS-атаки</a>, предпринятой в пику Spamhaus, трафик пришел в норму за несколько часов, ибо вовлеченные в разборку интернет-провайдеры быстро нашли обходные пути для своих пакетов. </p><p><p>Безусловно, такие серьезные киберинциденты дорого обходятся жертвам. По оценке Solutionary, поставщика управляемых систем безопасности, на ликвидацию последствий современной DDoS атаки организации <a href='http://www.solutionary.com/index/intelligence-center/press-releases/Global-Threat-Intelligence-2013.php' target=_blank>тратят</a> до 6,5 тыс. долларов в час - без учета упущенной выгоды за время простоя. </p> http://www.securelist.com/ru/blog/207764597/Operatsiya_Ababil_vtoroy_sezon http://www.securelist.com/ru/blog/207764597/Operatsiya_Ababil_vtoroy_sezon 15 Apr 2013 17:40:00 +0400 webmaster@securelist.com (Дмитрий Тараканов) <p>Продолжая тему Winnti, мы расскажем о том, как и чем эта группа попыталась повторно заразить некую игровую компанию. После того как обнаружилось, что серверы этой компании заражены вредоносным ПО, мы, вместе с системным администратором этой компании, занялись ликвидацией заражения, очищая корпоративную сеть от вредоносных файлов. Это заняло какое-то время, потому как сначала не было понятно, каким образом злоумышленники проникли в компанию, полностью закрыть для них доступ не получалось, и вредоносные файлы все появлялись и появлялись. Результаты анализа, проведенного самой игровой компанией, навели на мысль, что заражение началось после установления рабочих контактов с одной южнокорейской игровой компанией. Это подтвердили и наши исследования: <a href=/ru/analysis/208050795/Winnti_Eto_vam_ne_igrushki>как мы уже писали</a>, группа Winnti работает наиболее активно в восточноазиатском регионе, и как раз в Южной Корее мы зафиксировали 14 зараженных игровых компаний.</p> <p>В ходе мероприятий по ликвидации заражения игровая компания высылала нам подозрительные файлы, появляющиеся на их компьютерах. Многие из них являлись вредоносными программами Winnti. Как только информация о вредоносных файлах добавлялась в антивирусные базы, в корпоративной сети игровой компании с помощью наших продуктов проходила ликвидация зловредов Winnti. Но злоумышленники действовали очень быстро: казалось бы, только вчера на компьютерах компании были задетектированы и удалены вредоносные программы, а сегодня уже новые образцы зловредов появлялись мистическим образом там же, где накануне только избавились от заражения. Но в итоге наши усилия принесли плоды, и злоумышленникам был перекрыт доступ к компьютерам игровой компании.</p> <p>Но, как мы и ожидали, радоваться было рано. Ровно через месяц после очищения сети игровой компании, группа Winnti проявилась вновь. Системный администратор прислал нам подозрительные файлы, которые пришли в письмах к их сотрудникам. Это был банальный spearphishing. Злоумышленники представлялись некими разработчиками компьютерных игр и, якобы, искали сотрудничества с крупными издательствами. </p> <p class=c><img src="images/pictures/klblog/207767110.jpg" border="1" alt="" title=""></p> http://www.securelist.com/ru/blog/207767109/Winnti_prikhodit_s_PlugX http://www.securelist.com/ru/blog/207767109/Winnti_prikhodit_s_PlugX 15 Apr 2013 16:30:29 +0400 webmaster@securelist.com (Дмитрий Тараканов) <p>В ходе <a href='http://www.securelist.com/ru/analysis/208050795/Eto_vam_ne_igrushki_Chast_1'>расследования деятельности группы Winnti</a> нам удалось обнаружить достаточно много самплов Winnti, нацеленных на различные игровые компании. Используя эту <a href="http://www.securelist.com/ru/analysis/208050796/Eto_vam_ne_igrushki_Chast_2">сложную вредоносную программу</a>, злоумышленники получали удаленный доступ к зараженным машинам, после чего действовали уже вручную. </p> <p>Нам, конечно же, было важно узнать, каким образом вредоносная библиотека распространялась по локальной сети. Для этого мы последили за тем, что делают злоумышленники на зараженном компьютере. </p> <h2>Первая попытка: виртуальная машина 1</h2> <p>На раннем этапе исследования мы запускали вредоносные программы на виртуальной машине, и они нормально работали. Мы даже зафиксировали кое-какую активность со стороны злоумышленников. Но они быстро поняли, что это не тот компьютер, который они хотели бы поймать в свои сети, поэтому серверы злоумышленников перестали отвечать на запросы ботов с виртуальной машины. </p> <p>Вот, что нам удалось узнать на этом этапе мониторинга. </p> <p>Сначала, злоумышленники посмотрели, что происходит на рабочем столе жертвы. Потом, используя командную строку, атакующие вышли в корневой каталог текущего диска, просмотрели содержимое, поискали файл winmm.dll, уточнили версию операционной системы. После этого включился в работу плагин ListFileManager.dll, с помощью которого удобно просматривать содержимое каталогов, и анализу подверглись папки C:\Windows и C:\Work. Далее злоумышленники хотели перезагрузить компьютер (он должен был бы перезагрузиться через 1 секунду), но ошиблись в параметрах команды shutdown, введя 'shutdown /t /r 1'. Через некоторое время они уже в правильном формате вообще выключили компьютер командой 'shutdown /s /t 1'. </p> http://www.securelist.com/ru/blog/207764562/Lovlya_na_zhivtsa http://www.securelist.com/ru/blog/207764562/Lovlya_na_zhivtsa 11 Apr 2013 17:23:24 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Согласно <a href='http://www.secureworks.com/cyber-threat-intelligence/threats/stels-android-trojan-malware-analysis'>данным SecureWorks</a>, многофункциональный троянец Stels, работающий на платформе Android, ныне распространяется вместе с р2р-модификацией ZeuS в рамках единой спам-кампании с участием ботнета Cutwail.</p><p><p>Обнаруженные экспертами вредоносные письма имитируют уведомление Налоговой службы США (IRS) и приурочены к заключительному этапу подачи налоговых деклараций в этой стране. От имени этого органа злоумышленники сообщают получателю об ошибках, якобы допущенных в поданном им документе, и предлагают кликнуть по указанной ссылке, чтобы воспользоваться другой формой. </p><p><p>Пройдя по ссылке, пользователь попадает на взломанный ресурс, который определяет версию ОС визитера и используемый им веб-браузер. Если заход осуществлен с мобильного устройства на базе Google Android, посетителю демонстрируется страница с предложением обновить Flash Player для корректного отображения контента. Под видом апдейта на смартфон загружается исполняемый файл flashplayer.android.update.apk, содержащий троянца Stels. Для его установки требуется разрешение пользователя, а кроме того, поскольку программа загружена не с официального сайта Google Play, жертва должна задействовать опцию "Unknown Sources" в настройках безопасности, т.е. разрешить установку приложения из стороннего источника.</p><p><p>Если получатель фальшивого письма использует Microsoft IE, Mozilla Firefox или Opera, то после перехода по спамерской ссылке ему будет продемонстрирована поддельная страница IRS с вредоносным iframe, перенаправляющим браузер на эксплойт-площадку Blackhole. Мало того, все ссылки на данной странице запускают вредоносный pdf-файл, который атакует уязвимость <a href='http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0188' target=_blank>CVE-2010-0188</a> в Adobe Reader/Acrobat. В случае успешной эксплуатации на машину жертвы загружается <a href='http://www.securelist.com/ru/blog/40786/Zevs_detsentralizuet_svoi_vladeniya'>р2р-версия ZeuS</a>, известная как Gameover. Если визитер не использует ни Android, ни названные браузеры, его перенаправляют на мошеннический сайт по трудоустройству. </p><p><p>Эксперты SecureWorks проанализировали образцы Stels и установили, что данный Android-троянец способен воровать информацию из списка контактов жертвы, отправлять и перехватывать SMS-сообщения, осуществлять звонки на премиум-номера, а также загружать и запускать на исполнение другие вредоносные файлы. Он работает в фоновом режиме, общается с центром управления по HTTP и, судя по всему, умеет также рассылать почтовый спам, используя анонимный прокси-сервис anonymouse.org. Эксперты обнаружили других похитителей SMS, схожих по кодовой базе со Stels, и полагают, что все они происходят из одного источника или созданы на основе одного и того же тулкита. </p><p><p>Следует отметить, что спам-рассылки - довольно необычный способ распространения Android-зловредов, которые, как правило, скачиваются жертвами из неофициальных магазинов приложений. Так, более ранние варианты Stels, обнаруженные экспертами F-Secure в конце прошлого года, <a href='http://www.f-secure.com/weblog/archives/00002539.html' target=_blank>раздавались</a> с веб-портала spaces.ru под видом бесплатных версий игр и вспомогательного ПО для Android. </p> http://www.securelist.com/ru/blog/207764596/Android_troyantsy_prikhodyat_s_pochtovym_spamom http://www.securelist.com/ru/blog/207764596/Android_troyantsy_prikhodyat_s_pochtovym_spamom 10 Apr 2013 18:11:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Министерство связи и массовых коммуникаций РФ подготовило поправки к федеральному закону «О связи», касающиеся регулирования контентных услуг, рекламных SMS-рассылок и спама.</p><p><p>Первый законопроект, предложенный Минкомсвязи, призван обеспечить дополнительные гарантии соблюдения прав абонентов при оказании контент-услуг. Согласно этой поправке, предоставление такого рода услуг и списание денег с абонентского счета в их оплату возможно лишь с прямого согласия абонента. Сервис-провайдеров обяжут предоставлять абонентам информацию о стоимости и содержании услуг до получения такого согласия.</p><p><p>В связи с ростом жалоб на непрошеную рекламу, распространяемую в виде текстовых сообщений, Минкомсвязи предлагает закрепить в законе «О связи» понятие спама, предоставив телеоператорам правовую основу для противодействия массовым рассылкам. В настоящее время российский оператор не имеет права фильтровать SMS-сообщения и отказываться от их доставки, даже если есть уверенность, что это спам. </p><p><p>Второй законопроект трактует спам как массовую рассылку рекламного характера, которая не согласована с абонентом и не исходит непосредственно от оператора. Авторы законопроекта подчеркивают, что предлагаемые ими ограничения не распространяются на рекламу, рассылка которой согласована с абонентами. Новая поправка позволит оградить россиян от спама, не лишая добросовестных рекламодателей возможности проводить коммерческие рассылки в адрес своих подписчиков.</p> http://www.securelist.com/ru/blog/207764595/V_Rossii_khotyat_uzakonit_ponyatie_spam http://www.securelist.com/ru/blog/207764595/V_Rossii_khotyat_uzakonit_ponyatie_spam 10 Apr 2013 18:07:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>В США осужден участник интернациональной группировки, за сутки укравшей 9,5 млн. долларов с клиентских счетов платежной системы RBS WorldPay. За соучастие в данном ограблении и торговлю ворованными банковскими реквизитами Владислав Хорохорин <a href="http://www.justice.gov/opa/pr/2013/April/13-crm-386.html">получил</a> 7 лет и 4 месяца. Ему также предстоит уплатить свыше $125 тысяч в возмещение причиненного ущерба.</p> <p>По данным Секретной службы США, сей житель российской столицы с двойным гражданством - Израиля и Украины - основал кардерский форум CarderPlanet и долгое время занимался продажей краденых идентификаторов к банковским аккаунтам, используя ник BadB. В ходе следствия также выяснилось, что Хорохорин в числе прочих &nbsp;участвовал в обналичивании краденых денег в памятный день 2008 года, когда организаторы <a href="http://www.securelist.com/ru/blog/32304/Amerika_khochet_vernut_9_millionov">взлома WorldPay</a> подали сигнал «банкоматчикам», действовавшим в разных странах. На суде кардер признал, что в рамках преступной схемы вербовал таких исполнителей и сам снял через московский банкомат более 125 тыс. долларов по поддельной кредитке.</p> <p>Обвинения против участников дерзкой кражи со взломом были выдвинуты в двух американских штатах. Хорохорин был <a href="http://www.securelist.com/ru/blog/32918/Moskvich_otvetit_po_amerikanskim_zakonam">задержан</a> в 2010 году на территории Франции и позднее препровожден в США. При аресте у него были обнаружены свыше 2,5 млн. номеров кредитных и дебетовых карт. Осенью того же года предприимчивый кардер признался в махинациях со средствами доступа и в преступном сговоре с целью мошенничества с использованием средств электронной связи. После выхода на свободу Хорохорину предстоит провести 2 года под надзором.</p> <p>Приговоры «банкоматчикам», помогавшим грабить клиентов WorldPay, вынесены и в других странах. В 2009 году были осуждены четверо эстонцев, <a href="http://www.baltinfo.ru/2009/11/11/Osuzhdeny-estonskie-moshenniki-opustoshavshie-scheta-amerikanskogo-banka-114528">получившие</a> от двух до пяти лет условно с конфискацией нетрудовых доходов. Через пять месяцев в Гонконге <a href="http://www.securelist.com/ru/blog/32720/Byvshiy_politseyskiy_poluchil_4_goda_za_nalet_na_bankomaty">был вынесен приговор</a> местному жителю, и назначенный ему тюремный срок - 4 года - был реальным. Сибиряк Артем Тогочаков, как и его эстонские «коллеги», <a href="http://www.securelist.com/ru/blog/40350/Druzhba_druzhboy_a_denezhki_vroz">отделался</a> условным сроком с конфискацией.&nbsp;</p> <p>Возмездие настигло и большинство организаторов преступной схемы. Эстонец Сергей Цуриков <a href="http://ria.ru/international_justice/20091111/192991680.html">приговорен</a> к 6 годам тюремного заключения с конфискацией незаконно присвоенных 350 тысяч долларов и впоследствии <a href="http://www.fbi.gov/atlanta/press-releases/2010/at080610.htm">выдан</a> американским властям как подельник Хорохорина. Российский хакер Виктор Плещук <a href="http://www.securelist.com/ru/blog/32929/Uslovnyy_srok_za_bolshoy_khak">осужден</a> на родине и получил 6 лет условно с испытательным сроком 4 года. Его подельник Евгений Аникин тоже <a href="http://www.securelist.com/ru/blog/40271/Pyat_let_za_vzlom_i_vnov_uslovno">получил</a> условный срок. О гражданине Молдовы Олеге Ковелине сведений пока нет.</p> http://www.securelist.com/ru/blog/207764594/Karder_BadB_poluchil_po_zaslugam http://www.securelist.com/ru/blog/207764594/Karder_BadB_poluchil_po_zaslugam 09 Apr 2013 17:17:00 +0400