Хакерская группировка Fancy Bear усовершенствовала свое вредоносное ПО

11:48 / 22 Декабря, 2017

ХАКЕРСКАЯ ГРУППИРОВКА FANCY BEAR УСОВЕРШЕНСТВОВАЛА СВОЕ ВРЕДОНОСНОЕ ПО

Исследователи безопасности из компании ESET сообщили о появлении нового функционала во вредоносном ПО Xagent - одном из основных инструментом хакерской группировки Fancy Bear.

Бэкдор с модульной структурой Xagent уже несколько лет является одним из основных инструментов, использующихся в кампаниях Fancy Bear. Первоначальные версии инструмента были разработаны для взлома систем под управлением ОС Windows и Linux, однако за последние два года вредоносное ПО было несколько раз обновлено, и теперь поддерживвает iOS, Android и macOS.

Последняя версия вредоносного ПО использует новые методы обфускации данных. По словам исследователей, во вредоносе значительно улучшились способы шифрования. Помимо этого, Fancy Bear обновила часть кода, используемого для связи с C&C-серверами и добавила новый алгоритм генерации домена (DGA) для быстрого создания резервных C&C-серверов.

Как пояснили эксперты, новый алгоритм шифрования позволяет значительно усложнить процесс анализа бэкдора, а реализация DGA сильно мешает отключению вредоносного серверов, из-за их большого количества.

Хакеры также добавили в бэкдор новые команды, которые могут использоваться для сокрытия данных конфигурации вредоноса и другой информации на целевой системе. Авторы вредоносного ПО переработали ряд старых компонентов, усложнив таким образом задачу по распознаванию уже известных механизмов. Помимо этого, Xagent теперь имеет функцию создания скриншотов рабочего стола.

Изменения в Xagent позволяют Fancy Bear в первую очередь избежать обнаружения, отметили исследователи. В остальном тактика группировки осталась неизменной. Хакеры по-прежнему полагаются на использование фишинговых писем, содержащих ссылки на вредоносные ресурсы. Также хакеры стали чаще использовать набор эксплоитов DeralersChoice, эксплуатирующий уязвимости в Adobe Flash. Как и предыдущий набор эксплойтов Sedkit, DealersChoice предназначен для анализа международных новостных публикаций и упоминания наиболее популярных тем во вредоносных письмах, которые программа генерирует и отправляет потенциальным жертвам. Исследователи также отметили, что основными объектами атак группировки все еще остаются государственные учреждения и посольства по всему миру и особенно в Восточной Европе.

Подробнее: https://www.securitylab.ru/news/490484.php?R=1

Мужчина требовал от компании уволить сотрудницу и взять его на ее место, угрожая кибератаками

08:01 / 25 Декабря, 2017

МУЖЧИНА ТРЕБОВАЛ ОТ КОМПАНИИ УВОЛИТЬ СОТРУДНИЦУ И ВЗЯТЬ ЕГО НА ЕЕ МЕСТО, УГРОЖАЯ КИБЕРАТАКАМИ

Житель Вашингтона получил 37 месяцев тюрьмы и три года условно за то, что угрожал уничтожить компанию с помощью кибератак, если она не уволит свою сотрудницу и не возьмет вымогателя на ее место.

Согласно судебным документам, полученным Каталином Кимпану (Catalin Cimpanu) из Bleeping Computer, 18 апреля 2016 года 28-летний Тодд Майкл Гори (Todd Michael Gori) отправил электронное письмо производителю ПО для медучреждений TSI Healthcare в Чапел-Хилле (Калифорния, США). В письме Гори угрожал компании мощной кибератакой, если она не уволит одного из своих сотрудников и возьмет его на освободившееся место.

«У вас есть выбор: либо вы увольняете [имя сотрудницы] и берете на ее место меня, в сто раз лучшего оператора, чем она, либо мы с товарищами уничтожим компанию с помощью кибератак», - говорилось в письме.

Судя по содержимому письма, Гори действовал из соображений личной мести. Сотрудница, о которой идет речь, в прошлом несколько раз отклоняла его резюме.

«Я подавал прошение о работе с вами, ребята, через нее. Я являюсь преступником с компьютерными навыками и нуждаюсь в помощи при получении работы, поскольку технически у меня нет “опыта работы”. Каждый раз она отклоняла прошение, закапывая меня еще глубже», - жаловался преступник.

По словам Гори, ему удалось найти недостатки в безопасности сайта TSI Healthcare. Вымогатель дал компании 72 часа на выполнение своих требований, угрожая в противном случае обрушить на нее кибератаку. Каким образом он планировал атаковать TSI Healthcare, Гори не уточнил.

Получив письмо с требованиями, TSI Healthcare обратилась в ФБР, и в августе 2017 года злоумышленник был арестован. Гори также были предъявлены более серьезные обвинения, поскольку в своем письме он также угрожал купить оружие и перестрелять сотрудников компании. Вскоре после ареста преступник заключил сделку с правосудием, и прокурор снял с него дополнительные обвинения.

Подробнее: https://www.securitylab.ru/news/490506.php?R=1

ХАКЕРЫ МАСКИРУЮТ ВРЕДОНОСНОЕ ПО ПОД ДОКУМЕНТЫ, ОТПРАВЛЕННЫЕ ПРИНТЕРАМИ HP, CANON И EPSON

09:51 / 25 Декабря, 2017

ХАКЕРЫ МАСКИРУЮТ ВРЕДОНОСНОЕ ПО ПОД ДОКУМЕНТЫ, ОТПРАВЛЕННЫЕ ПРИНТЕРАМИ HP, CANON И EPSON

Исследователи безопасности из компании Barracuda сообщили о новой мошеннической кампании, в ходе которой злоумышленники рассылают вредоносные письма, замаскированные под PDF-документы, якобы отправленные принтерами и сканерами HP, Epson и Canon. Специалисты обнаружили кампанию в ноябре 2017 года. Эксперты зафиксировали несколько миллионов попыток заражения.

Как пояснили эксперты, большинство современных принтеров имеют функцию отправки отсканированного документа на электронную почту. Поскольку данная практика довольно распространена, множество пользователей считают отправленные принтером электронные письма с вложением в виде PDF-документа полностью безопасными, чем и пользуются злоумышленники.

В ходе новой вредоносной кампании мошенники рассылают сообщения, замаскированные под электронные письма якобы от принтеров и сканеров крупных производителей, таких как Canon, Epson и HP. В теме таких писем указано "Scanned from HP," "Scanned from Epson," или "Scanned from Canon". Сами же сообщения содержат вложение в виде вредоносного PDF-документа.

По словам исследователей, чтобы избежать обнаружения антивирусными решениями, вредоносное ПО использует различные методы, в том числе эксплуатирует уязвимость в WinRAR, позволяющую изменить расширение файлов. Таким образом программа может успешно маскироваться под файлы с расширением .txt, .jpg и пр.

Вредонос позволяет злоумышленникам следить за пользователем, а также получить контроль над устройством жертвы, в том числе изменять настройки компьютера, просматривать и копировать файлы, получить доступ к подключенным системам и пр.

Подробнее: https://www.securitylab.ru/news/490509.php?R=1

Facebook запустила новую функцию защиты от фишинга

14:00 / 21 Декабря, 2017

FACEBOOK ЗАПУСТИЛА НОВУЮ ФУНКЦИЮ ЗАЩИТЫ ОТ ФИШИНГА

Компания Facebook объявила о запуске новой функции безопасности, призванной помочь пользователям защититься от фишинговых электронных писем.

Когда социальная сеть Facebook фиксирует подозрительную активность или смену пароля, она уведомляет пользователей, отправив им электронное письмо с домена facebookmail.com. Киберпреступники часто рассылают фишинговые письма, содержащие вредоносные ссылки, под видом сообщений от Facebook.

Теперь пользователи могут проверить, действительно ли сообщение электронной почты в папке «Входящие» было отправлено Facebook. Для этого нужно выбрать «Настройки» -> «Безопасность и вход» -> «Просмотреть последние письма от Facebook». Таким образом можно увидеть последние электронные письма, в том числе связанные с безопасностью и входом, и если сообщение из почтового ящика отсутствует в списке, то оно, скорее всего, является подделкой.

«Если вы воспользовались этим инструментом и выявили, что полученное вами письмо является поддельным, мы рекомендуем сообщить об этом по адресу phish@facebook[.]com. Если ваша учетная запись была скомпрометирована фишерами, вы можете попытаться восстановить доступ к ней на странице facebook.com/hacked», - пояснил представитель Facebook Скотт Диккенс (Scott Dickens).

На момент написания новости данная функция доступна не для всех пользователей Facebook.

Подробнее: https://www.securitylab.ru/news/490467.php?R=1