Записи с меткой «вредоносные»

Маски сорваны: «Лаборатория Касперского» раскрывает сложнейшую глобальную кампанию кибершпионажа

Posted: Февраль 12, 2014 in Антивирус, Известность, Касперский, Новости, антивирусы, атака, вирусы, компьютеры, поиск, пользователи, программы, Linux, софт, срочно, техника, угрозы, Trojan
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

новости от «Лаборатории Касперского»

https://i2.wp.com/www.e-media66.ru/img/small/kaspersky.jpg

«Лаборатория Касперского» объявила о раскрытии глобальной сети кибершпионажа «Маска», за которой стоят испаноговорящие злоумышленники. Обнаруженные следы указывают на то, что операция ведется как минимум с 2007 года. Ее выделяет сложность арсенала атакующих, который включает в себя ряд крайне изощренных вредоносных программ, разработанных для различных платформ, включая Mac OS X, Linux и, возможно, iOS.

Действия злоумышленников в первую очередь были направлены на государственные организации, дипломатические офисы и посольства, энергетические и нефтегазовые компании, исследовательские организации и политических активистов. По подсчетам «Лаборатории Касперского» жертвами этой таргетированной атаки стали 380 пользователей из 31 стран по всему миру, включая Ближний Восток, Европу, Африку и Америку.

Главной целью атакующих был сбор ценной информации из зараженных систем, включая различные документы, ключи шифрования, настройки VPN, применяемые для идентификации пользователя на сервере SSH-ключи, а также файлы, используемые программами для обеспечения удаленного доступа к компьютеру.

«Несколько причин заставляют нас думать, что это может быть кампанией, обеспеченной государственной поддержкой. Прежде всего, мы наблюдаем крайне высокий уровень профессионализма в действиях группы, которая обеспечивает мониторинг собственной инфраструктуры, скрывает себя с помощью правил системы разграничения доступа, начисто стирает содержимое журнальных файлов вместо обычного их удаления, а также при необходимости прекращает всякие действия. Такой уровень самозащиты нетипичен для киберпреступников. Все это ставит данную кампанию по уровню сложности даже выше Duqu – можно сказать, это самая сложная угроза такого класса на данный момент», – объяснил Костин Райю, руководитель глобального исследовательского центра «Лаборатории Касперского».

Для жертв заражение может обернуться катастрофическими последствиями. Вредоносное ПО перехватывает все коммуникационные каналы и собирает наиболее важную информацию с компьютера пользователя. Обнаружение заражения чрезвычайно сложно из-за доступных в рутките механизмов скрытия и имеющихся дополнительных модулей кибершпионажа. В дополнение к встроенным функциям, злоумышленники могли закачивать на зараженный компьютер модули, позволяющие выполнить набор любых вредоносных действий.

Тщательное исследование показало, что для авторов этих программ испанский является родным языком – этого ранее не наблюдалось в атаках подобного уровня. Анализ показал, что операция «Маска» активно велась на протяжении 5 лет до января 2014 года (а некоторые образцы вредоносного ПО имели дату сборки 2007 года) – во время проведения исследования управляющие сервера злоумышленников были свернуты.

Заражение пользователей происходило через рассылку фишинговых писем, содержащих ссылки на вредоносные ресурсы. На этих сайтах располагался ряд эксплойтов, которые в зависимости от конфигурации системы посетителя, использовали различные способы атаки его компьютера. В случае успешной попытки заражения, вредоносный сайт перенаправлял пользователя на безвредный ресурс, который упоминался в письме – это мог быть YouTube или новостной портал.

Важно отметить, что сами вредоносные сайты не заражали посетителей автоматически в случае прямого обращения по одному только доменному имени. Злоумышленники хранили эксплойты в отдельных каталогах, ссылки на которые присутствовали только в письмах, – проходя именно по ним, пользователь подвергался атаке. Иногда на этих сайтах злоумышленники использовали поддомены, чтобы полные адреса выглядели более правдоподобными. Эти поддомены имитировали разделы популярных испанских газет, а также несколько международных – «The Guardain» и «Washington Post».

На данный момент продукты «Лаборатории Касперского» распознают и удаляют все известные версии программ «Маска». С подробным отчетом, включающим описание работы механизмов и статистику заражения, можно ознакомиться по адресу http://www.securelist.com/en/blog/208216078/The_Careto_Mask_APT_Frequently_Asked_Questions

Реклама

Dr.Web

16.05.2013

16 мая 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты — обнаружила неизвестный ранее функционал в новой вредоносной программе для Facebook, о которой сообщали многочисленные сетевые СМИ. Trojan.Facebook.311 может не только публиковать от имени пользователя новые статусы, вступать в группы, оставлять комментарии, но и рассылать спам в социальных сетях Twitter и Google Plus.

Троянская программа Trojan.Facebook.311 представляет собой написанные на языке JavaScript надстройки для популярных браузеров Google ЗChrome и Mozilla Firefox. Злоумышленники распространяют троянца с использованием методов социальной инженерии — вредоносные программы попадают в систему при помощи специального приложения-установщика, маскирующегося под «обновление безопасности для просмотра видео». Примечательно, что установщик имеет цифровую подпись компании Updates LTD, принадлежащей Comodo. Надстройки называются Chrome Service Pack и Mozilla Service Pack соответственно. С целью распространения троянца злоумышленники создали специальную страницу на португальском языке, ориентированную, по всей видимости, на бразильских пользователей Facebook.

screen

После завершения установки в момент запуска браузера Trojan.Facebook.311 пытается загрузить с сервера злоумышленников файл с набором команд. Затем встроенные в браузеры вредоносные плагины ожидают момента, когда жертва выполнит авторизацию в социальной сети Facebook. После этого троянец может выполнять от имени пользователя различные действия, обусловленные содержащимися в конфигурационном файле командами злоумышленников: поставить «лайк», опубликовать статус, разместить на стене пользователя сообщение, вступить в группу, прокомментировать сообщение, пригласить пользователей из списка контактов жертвы в группу или отправить им сообщение. Помимо этого троянец может по команде злоумышленников периодически загружать и устанавливать новые версии плагинов, а также взаимодействовать с социальными сетями Twitter и Google Plus, в частности, рассылать спам.

screen

В последнее время Trojan.Facebook.311 был замечен за распространением в сети Facebook сообщений, содержащих изображение, которое имитирует встроенный в браузер медиаплеер. При щелчке мышью по нему пользователь перенаправляется на различные мошеннические ресурсы. Аналогичным образом с помощью личных сообщений и статусов троянец рекламирует мошеннические викторины, в которых якобы можно выиграть различные ценные призы.

screen

Сигнатура данной угрозы добавлена в вирусные базы и потому не представляет опасности для пользователей антивирусных программных продуктов Dr.Web. Несмотря на то, что злоумышленники ориентировали Trojan.Facebook.311 на жителей Бразилии, схожая схема может быть применена и в отношении других пользователей Facebook. Специалисты «Доктор Веб» рекомендуют проявлять бдительность, не загружать и не устанавливать подозрительные приложения или «обновления безопасности» для браузеров.

В рамках образовательного некоммерческого проекта ВебIQметр сегодня на эту тему появился тест. Вам необходимо зарегистрироваться, чтобы пройти его.

14 июн 2012: Спам в мае 2012 года

Доля спама в почтовом трафике по сравнению с апрелем уменьшилась на 3,4%
и составила в среднем 73,8%.

http://www.securelist.com/ru/analysis/208050761/Spam_v_mae_2012_goda

25 май 2012: Анатомия Flashfake. Часть II

В первой части нашего исследования мы рассмотрели механизмы
распространения и заражения вредоносной программы Flashfake…

http://www.securelist.com/ru/analysis/208050759/Anatomiya_Flashfake_Chast_II

21 май 2012: Обзор вирусной активности — апрель 2012

В течение месяца на компьютерах пользователей продуктов
«Лаборатории Касперского»: обнаружено и обезврежено 280 млн
вредоносных программ.

http://www.securelist.com/ru/analysis/208050758/Obzor_virusnoy_aktivnosti_aprel_2012

14 май 2012: Развитие информационных угроз в первом квартале 2012 года

По данным KSN, в Q1 2012 года продукты «ЛК» обнаружили и
обезвредили почти 1 млрд вредоносных объектов…

http://www.securelist.com/ru/analysis/208050757/Razvitie_informatsionnykh_ugroz_v_pervom_kvartale_2012_goda
11 май 2012: Спам в апреле 2012 года

Доля спама в почтовом трафике по сравнению с мартом увеличилась на 2,2%
и составила в среднем 77,2%.

http://www.securelist.com/ru/analysis/208050755/Spam_v_aprele_2012_goda

3 май 2012: Спам в первом квартале 2012

Доля спама составила в среднем 76,6% почтового трафика.

http://www.securelist.com/ru/analysis/208050754/Spam_v_pervom_kvartale_2012

19 апр 2012: Анатомия Flashfake. Часть I

Flashfake — это семейство вредоносных программ для Mac OSX.

http://www.securelist.com/ru/analysis/208050753/Anatomiya_Flashfake_Chast_I

13 апр 2012: Обзор вирусной активности, март 2012

Уже шесть месяцев продолжается наше расследование истории троянской
программы Duqu.

http://www.securelist.com/ru/analysis/208050752/Obzor_virusnoy_aktivnosti_mart_2012
11 апр 2012: Спам в марте 2012 года

Доля спама в почтовом трафике по сравнению с февралем уменьшилась на
3,5% и составила в среднем 75%.

http://www.securelist.com/ru/analysis/208050750/Spam_v_marte_2012_goda

19 мар 2012: Спам в феврале 2012 года

Доля спама в почтовом трафике по сравнению с январем увеличилась на 2,3%
и составила в среднем 78,5%.

http://www.securelist.com/ru/analysis/208050749/Spam_v_fevrale_2012_goda

13 мар 2012: Обзор вирусной активности — февраль 2012

В течение месяца на компьютерах пользователей продуктов
«Лаборатории Касперского»: заблокировано 143 574 335 попыток
заражения через Web

http://www.securelist.com/ru/analysis/208050748/Obzor_virusnoy_aktivnosti_fevral_2012

1 мар 2012: Мобильная вирусология, часть 5

В целом, в 2011 году вредоносные программы перешли на новый качественный
уровень, то есть стали сложнее.

http://www.securelist.com/ru/analysis/208050747/Mobilnaya_virusologiya_chast_5

22 фев 2012: DDoS-атаки второго полугодия 2011 года

Все статистические данные получены с помощью системы мониторинга за
ботнетами «Лаборатории Касперского» и системы Kaspersky DDoS
Prevention.

http://www.securelist.com/ru/analysis/208050745/DDoS_ataki_vtorogo_polugodiya_2011_goda

20 фев 2012: Спам в январе 2012 года

Доля спама в почтовом трафике по сравнению с декабрем не изменилась и
составила в среднем 76,2%.

http://www.securelist.com/ru/analysis/208050742/Spam_v_yanvare_2012_goda

16 фев 2012: Kaspersky Security Bulletin 2011. Развитие угроз в 2011 году

2011 год можно назвать годом «взрывоопасной» безопасности.

http://www.securelist.com/ru/analysis/208050744/Kaspersky_Security_Bulletin_2011_Razvitie_ugroz_v_2011_godu

16 фев 2012: Kaspersky Security Bulletin. Основная статистика за 2011 год

Отчет сформирован на основе данных, полученных и обработанных при помощи
Kaspersky Security Network.

http://www.securelist.com/ru/analysis/208050741/Kaspersky_Security_Bulletin_Osnovnaya_statistika_za_2011_god

16 фев 2012: Kaspersky Security Bulletin. Спам в 2011 году

Почтового мусора меньше, но он становится опаснее.

http://www.securelist.com/ru/analysis/208050743/Kaspersky_Security_Bulletin_Spam_v_2011_godu

23 янв 2012: Поздравляем, вы выиграли! или Что скрывается за лотереями в интернете

Письма с уведомлениями о выигрыше в лотерею с завидной регулярностью
появляются в наших почтовых ящиках.

http://www.securelist.com/ru/analysis/208050739/Pozdravlyaem_vy_vyigrali_ili_Chto_skryvaetsya_za_lotereyami_v_internete

16 янв 2012: Спам в декабре 2011 года

Доля спама в почтовом трафике по сравнению с ноябрем уменьшилась на 4,4%
и составила в среднем 76,2%.

http://www.securelist.com/ru/analysis/208050733/Spam_v_dekabre_2011_goda

28 дек 2011: Stuxnet/Duqu: эволюция драйверов

Два месяца продолжается наше исследование троянца Duqu — истории
его появления, ареала распространения и схем работы.

http://www.securelist.com/ru/analysis/208050731/Stuxnet_Duqu_evolyutsiya_drayverov

20 дек 2011: Спам в ноябре 2011 года

Доля спама в почтовом трафике по сравнению с октябрем увеличилась на
1,4% и составила в среднем 80,6%.

http://www.securelist.com/ru/analysis/208050730/Spam_v_noyabre_2011_goda

12 дек 2011: Троянцы-вымогатели

Троянцы-вымогатели (Trojan-Ransom) — вредоносное ПО, нарушающее
работоспособность компьютера…

http://www.securelist.com/ru/analysis/208050728/Troyantsy_vymogateli

12 дек 2011: Обзор вирусной активности — ноябрь 2011

Ноябрь оказался относительно спокойным месяцем в отношении традиционных
угроз.

http://www.securelist.com/ru/analysis/208050729/Obzor_virusnoy_aktivnosti_noyabr_2011

8 дек 2011: Онлайн-платежи — удобно и безопасно

В цивилизованных странах пластиковые карты очень популярны. Оценили
преимущества пластиковых карт и пользователи интернета.

http://www.securelist.com/ru/analysis/208050727/Onlayn_platezhi_udobno_i_bezopasno

28 ноя 2011: Легальные буткиты

Насколько оправдано использование руткит-технологий в легальном
программном обеспечении?

http://www.securelist.com/ru/analysis/208050726/Legalnye_butkity

24 ноя 2011: Головы Гидры. Вредоносное ПО для сетевых устройств

Сетевые устройства часто плохо настроены и имеют уязвимости, что делает
их мишенью для сетевых атак и позволяет киберпреступникам получить
контроль над сетью.

http://www.securelist.com/ru/analysis/208050725/Golovy_Gidry_Vredonosnoe_PO_dlya_setevykh_ustroystv

17 ноя 2011: Спам в октябре 2011 года

Доля спама в почтовом трафике по сравнению с сентябрем увеличилась на
1,4% и составила в среднем 79,9%.

http://www.securelist.com/ru/analysis/208050724/Spam_v_oktyabre_2011_goda

15 ноя 2011: Развитие информационных угроз в третьем квартале 2011 года

Количество кибератакатак на корпорации растет, Android лидирует по
количеству зловредов, а вирусописатели вспомнили старые методы.

http://www.securelist.com/ru/analysis/208050723/Razvitie_informatsionnykh_ugroz_v_tretem_kvartale_2011_goda

7 ноя 2011: Обзор вирусной активности — октябрь 2011

В течение месяца на компьютерах пользователей продуктов
«Лаборатории Касперского»: отражено 161 003 697 сетевых
атак.

http://www.securelist.com/ru/analysis/208050722/Obzor_virusnoy_aktivnosti_oktyabr_2011

31 окт 2011: Спам в третьем квартале 2011

Доля спама уменьшилась на 2,7% и составила 79,8% почтового трафика.

http://www.securelist.com/ru/analysis/208050721/Spam_v_tretem_kvartale_2011

«Лаборатория Касперского» объявляет о результатах
исследования инфраструктуры командных серверов вредоносной программы
Flame, которая, по мнению экспертов, в настоящее время активно
применяется в качестве кибероружия в ряде ближневосточных государств.
Анализ вредоносной программы, показал, что на момент обнаружения Flame
использовалась для осуществления кибершпионажа, а конфиденциальные
данные, украденные с зараженных компьютеров, пересылались на один из
командных серверов.

Совместно с компаниями GoDaddy и OpenDNS эксперты «Лаборатории
Касперского» смогли перехватить управление большинством
вредоносных доменов, используемых командными серверами Flame. В
результате детального анализа полученной таким образом информации,
эксперты пришли к следующим выводам:
* Командные серверы Flame,
действовавшие в течение нескольких лет, были отключены сразу же после
того, как на прошлой неделе «Лаборатория Касперского»
раскрыла существование вредоносной программы.
* На данный момент
известно более 80 доменов, задействовавшихся для передачи данных на
командные серверы Flame, которые были зарегистрированы в период с 2008
по 2012 гг.
* За последние 4 года командные серверы Flame попеременно
располагались в различных странах мира, включая Гонконг, Турцию,
Германию, Польшу, Малайзию, Латвию, Великобританию и Швейцарию.
* Для
регистрации доменов командных серверов Flame использовались фальшивые
регистрационные данные и различные компании-регистраторы, причем данная
активность началась еще в 2008 году.
* Злоумышленников, использующих
Flame для кражи информации, особенно интересовали офисные документы,
файлы PDF и чертежи AutoCAD.
* Данные, загружаемые на командные
серверы Flame, шифровались с использованием относительно простых
алгоритмов. Украденные документы сжимались при помощи библиотеки Zlib с
открытым исходным кодом и модифицированного алгоритма PPDM-сжатия.

* По предварительным данным, 64-разрядная версия операционной системы
Windows 7, которая ранее уже была рекомендована «Лабораторией
Касперского» как одна из самых безопасных, оказалась не подвержена
заражению Flame.

«Лаборатория Касперского» выражает благодарность Уильяму
МакАртуру (William MacArthur), отделу по борьбе с сетевыми
злоупотреблениями регистратора доменных имен GoDaddy, а также группе
OpenDNS Security Research за оперативный отклик и неоценимую помощь в
проведении расследования.

На прошлой неделе «Лаборатория Касперского» связалась с
центрами реагирования на компьютерные угрозы (CERT) во многих странах и
предоставила им сведения о доменах, используемых командными серверами
Flame, и IP-адресах вредоносных серверов. Руководство «Лаборатории
Касперского» выражает благодарность всем тем, кто принимал участие
в расследовании.

Если вы представляете правительственный CERT и хотите получить больше
информации о серверах Flame, пожалуйста, обращайтесь на адрес
theflame@kaspersky.com.

Полный анализ инфраструктуры командных серверов Flame и технические
детали исследования размещены на сайте http://www.securelist.com/ru/blog.