Записи с меткой «blog»

Россия и США — возможные новые цели Madi

Несмотря на отключение командных серверов вредоносной программы Madi
(http://www.securelist.com/ru/blog/207764094/Kampaniya_Madi_Chast_I),
предназначенной для совершения целенаправленных атак на пользователей в
ближневосточном регионе и кражи у них конфиденциальных данных, ее
история пока не закончена. Эксперты «Лаборатории
Касперского» обнаружили
(http://www.securelist.com/ru/blog/207764120/Madi_vozvrashchaetsya_novye_ulovki_i_novyy_komandnyy_server)
новую версию троянца, обладающую расширенным функционалом. В частности
она следит за сайтом VKontakte, а также ищет посетителей страниц,
содержащих в названии элементы «USA» и «gov»,
что может говорить о переориентации злоумышленников на Россию и США.

«Одним из важных изменений также является то, что теперь зловред
не ожидает «команд» от сервера управления, а сразу загружает
на него все украденные данные», — говорит эксперт
«Лаборатории Касперского» Николя Брюле (Nicolas Brulez).
Предыдущие версии Madi управлялись из Ирана и Канады. Новый командный
сервер троянца также находится в Канаде.

Эксперты «Лаборатории Касперского» провели подробный
технический анализ
(http://www.securelist.com/en/analysis/204792237/The_Madi_infostealers_a_detailed_analysis)
Madi, в котором детально описали функционал троянца, механизм его
установки, перехвата нажатия клавиш, взаимодействия с командными
серверами, кражи данных, мониторинга коммуникаций, записи аудио-файлов и
снятия скриншотов с рабочего слота жертвы. Ниже представлены обобщенные
результаты исследования:
* Несмотря на простоту вредоносной самой
программы, а также используемых методов социальной инженерии,
злоумышленникам удалось заразить компьютеры более 800 жертв, в том числе
обладающих конфиденциальной информацией.
* Madi является ярким
примером того, как легкомысленное отношение пользователей к получаемым
сообщениям может привести к утере важных данных.
* В ходе проведения
атаки не были использованы ни эксплойты, ни уязвимости нулевого дня, что
сделало ее результаты еще более неожиданным для экспертов.

Подробный технический анализ Madi доступен на сайте
www.securelist.com/en
(http://www.securelist.com/en/analysis/204792237/The_Madi_infostealers_a_detailed_analysis).

Реклама

«Лаборатория Касперского» и компания Seculert обнаружили очередного кибершпиона на Ближнем Востоке
17 июл 2012
******************************************************************

1. «Лаборатория Касперского» и компания Seculert обнаружили очередного кибершпиона на Ближнем Востоке
2. Как подписаться на новостные блоки и отписаться от них
3. Правила безопасности

******************************************************************

1. «Лаборатория Касперского» и компания Seculert обнаружили очередного кибершпиона на Ближнем Востоке

«Лаборатория Касперского» и компания Seculert
(http://www.seculert.com/) представили результаты исследования
(http://www.securelist.com/en/blog/208193677/The_Madi_Campaign_Part_I)
вредоносной программы Madi, предназначенной для совершения
целенаправленных атак на ряд пользователей в ближневосточном регионе с
целью кражи конфиденциальной информации. Для распространения троянца и
заражения компьютеров жертв использовались методы социальной
инженерии.

Эксперты «Лаборатории Касперского» и Seculert установили
контроль над серверами управления Madi за счет внедрения
sinkhole-маршрутизатора. Это позволило определить более 800 жертв,
находящихся в Иране, Израиле и ряде других стран мира, которые были
подключены к командным серверам злоумышленников в течение последних
восьми месяцев. Полученные данные позволили сделать вывод, что основной
целью атак были люди, имеющие отношение к разработке критически важных
инфраструктурных проектов Ирана и Израиля, израильским финансовым
организациям, студенты инженерных специальностей, а также различные
правительственные структуры, действующие на территории Ближнего
Востока.

Кроме того, в ходе детального исследования вредоносной программы было
выявлено большое количество «отвлекающих» религиозных и
политических документов и фотографий, которые были использованы в ходе
заражения компьютеров пользователей.

«Несмотря на то, что используемая вредоносная программа и
инфраструктура преступников были далеко не самыми сложными,
злоумышленникам удалось в течение достаточно продолжительного времени
вести наблюдение за жертвами, — прокомментировал результаты
исследования Николя Бруле (Nicolas Brulez), ведущий антивирусный эксперт
«Лаборатории Касперского». — Возможно, именно из-за
непрофессионализма организаторов их атаки долгое время оставались
необнаруженными».

«Стоит отметить, что в ходе нашего совместного с
«Лабораторией Касперского» расследования мы выявили
множество персидских «ниточек» как в самом троянце, так и в
системе управления им. Наличие подобной информации во вредоносном коде
— большая редкость. Нет никаких сомнений в том, что злоумышленники
владеют языком фарси на уровне носителей», — уверен Авиф
Рафф (Aviv Raff), технический директор компании Seculert.

Троянец Madi предоставляет злоумышленникам удаленный доступ к файлам,
расположенным на зараженных компьютерах, работающих под управлением ОС
Windows. Преступники получают возможность перехватывать электронную
почту и мгновенные сообщения, включать микрофон и делать аудио-записи
разговоров, следить за нажатием клавиш на клавиатуре, а также делать
скриншоты рабочего стола жертвы. По данным экспертов, объем данных,
переданных с компьютеров жертв, исчисляется
гигабайтами.

Среди приложений и Веб-сайтов, которые использовались для слежения за
жертвами, Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ и Facebook.
Кроме того, для получения дополнительной информации были задействованы
ERP/CRM-системы, базы деловых контактов и системы управление финансовой
деятельностью.

В антивирусной базе «Лаборатории Касперского» различные
модификации троянца Madi, а также связанные с ним модули, в том числе
загрузочные, детектируются как Trojan.Win32.Madi.

Отчеты об исследовании доступны на сайтах:

«Лаборатории Касперского»  www.securelist.com/en/blog
(http://www.securelist.com/en/blog/208193677/The_Madi_Campaign_Part_I) и
компании Seculert blog.seculert.com (http://blog.seculert.com/).

*****

2. Как подписаться на новостные блоки и отписаться от них

Если вы хотите подписаться на другие новостные блоки «Лаборатории
Касперского» или отменить подписку на данный новостной блок, то вам
необходимо посетить сайт компании по следующему адресу:
http://www.kaspersky.ru/subscribe

3. Правила безопасности

Для предотвращения попыток рассылки фальшивых писем, маскирующихся
под новости «Лаборатории Касперского», сообщаем, что оригинальные
сообщения поставляются исключительно в формате plain text и никогда не
содержат вложенных файлов. Если вы получили письмо, не
удовлетворяющее этим условиям, пожалуйста, ни в коем случае не
открывайте его и перешлите в антивирусную лабораторию компании (newvirus@kaspersky.com) на экспертизу.

В случае возникновения трудностей с получением новостей
вы можете связаться с нами по адресу webmaster@kaspersky.com.

Для получения консультации по вопросам технической поддержки продуктов «Лаборатории Касперского» воспользуйтесь, пожалуйста, веб-формой http://www.kaspersky.ru/helpdesk.html . Перед отправкой запроса в службу техподдержки рекомендуем просмотреть наши ответы на часто задаваемые вопросы в Базе знаний: http://support.kaspersky.ru/ .