Обзор СМИ по тематике Раздела

[Transcendent]

Приплыли... Теперь не только киллеры или набор малвари распространяющие, а еще и своего рода аппаратный кейлогер. Мило...
Интересно будет посмотреть более детально реализацию такой атаки. Если это сравнительно дешево, то сколько же потерянных "флешек" будет найдено. )))
__________________________________________________ __________________
Представлена техника атаки, позволяющая шпионить за соседними USB-устройствами

Цитата:

Группа исследователей из Аделаидского университета (Австралия) разработала метод атаки по сторонним каналам, анализирующей наводки в электрических цепях USB для получения информации об активности соседних USB-устройств. В частности, показана возможность создания вредоносных USB-устройств, которые могут шпионить за USB-устройствами, подключенными в соседние USB-порты. Детали атаки будут опубликованы на следующей неделе, после доклада на конференции USENIX Security Symposium.

В ходе исследования было изучено 50 USB-устройств, из которых более 90% оказались подвержены утечке информации по сторонним каналам. В ходе эксперимента на базе светильника, питающегося через порт USB, был подготовлен прототип вредоносного устройства, которое позволяло собирать данные о клавишах, нажатых на клавиатуре, подключенной в соседний USB-порт. Перехваченная информация о колебаниях напряжения отправлялась через Bluetooth на расположенный неподалёку компьютер атакующих, на котором данные анализировались для воссоздания кодов нажатия клавиш.

В итоге, исследователи смогли перехватить параметры входа в систему и другую конфиденциальную информацию, вводимую с клавиатуры. Представленный метод атаки открывает двери для создания нового поколения кейлоггеров, которые могут быть выполнены в виде потерянных USB Flash или публично доступных зарядок. Например, вредоносное устройство может быть подброшено под видом потерянного USB-накопителя - по материалам другого исследования в 75% случаях брошенный на землю USB-брелок будет подобран и вставлен в компьютер.

Атака применима только к устройствам, подключенным в рамках одного внешнего или встроенного USB Hub. Технология USB была разработана с оглядкой на то, что все подключенные к портам устройства находятся под контролем пользователя, поэтому она не обеспечивает должного уровня защиты от утечки данным. Единственным надёжным способом безопасной передачи информации по USB является шифрование данных перед отправкой.

Источник: http://www.opennet.ru/opennews/art.shtml?num=47013

[Skyment]

Несколько интересных новостей:

Цитата:

Российские хакеры Fancy Bear используют EternalBlue для атак на отели.

У пользователей интернета всегда вызывало опасение использование Wi-Fi в отелях, похоже, что теперь есть новые причины опасаться подключаться к общему Wi-Fi. Российская группа киберпреступников использовала эти сети для слежки за высокопоставленными постояльцами отеля. Также злоумышленники начали использовать для своих атак инструмент Агентства национальной безопасности, недавно просочившийся в сеть. Компания FireEye уже давно отслеживает криминальную деятельность российской хакерской группы, известной как APT28 или Fancy Bear. По сообщениям FireEye, Fancy Bear начали использовать EternalBlue, просочившийся в сеть инструмент взлома АНБ. Благодаря этому киберпреступникам удалось расширить свой контроль над беспроводными сетями, расположенными в отелях. Самое интересное, что хакерам таким образом удается получить доступ к именам пользователей и паролям совершенно незаметно, они используют трюк, который даже не требует от пользователей ввода этих данных. «Это определенно нечто новое в арсенале хакеров Fancy Bear. Эта техника позволяет получать данные пользователей без их активного участия» - говорит Бен Рид, возглавляющий исследовательскую группу FireEye. FireEye заявляет, что впервые отметила тенденцию Fancy Bear атаковать отели осенью прошлого года. В то время компания занималась расследованием инцидента, в котором от несанкционированного проникновения пострадал корпоративный сотрудник. FireEye проанализировала все имеющиеся данные и пришла к выводу, что утечка имела место во время использования сети Wi-Fi отеля. Через 12 часов после того, как пострадавший сотрудник подключился к этой сети, кто-то другой использовал его учетные данные. По словам FireEye, это значит, что хакер сидел в сети того же отеля. После этого, в прошлом месяце, FireEye стало известно о целой серии подобных атак на беспроводные сети в отелях. Как полагает компания, тактика Fancy Bear изначально предполагает использование фишинговых писем с вредоносными вложениями Microsoft Word. Затем они использовали полученный доступ для запуска инструмента взлома АНБ EternalBlue, который просочился в сеть ранее в этом году. После этого злоумышленники использовали инструмент сетевого взлома под названием Responder, который позволял им не только отслеживать трафик в захваченных сетях, но и получать данные пользователей. В возможности Responder входит имитация сервисов вроде принтеров или общих папок. Несмотря на то, что пароль отправляется в криптографически хэшированной форме, FireEye убеждена, что хакерам Fancy Bear удается взламывать хэширование. В основном Fancy Bear берут в прицел довольно приличные отели, с тем расчетом, что там будут останавливаться пользователи, находящиеся в корпоративных поездках, связанных с дипломатически бизнесом.

Источник: https://www.anti-malware.ru/news/2017-08-12/23761

[Skyment]

Цитата:

Хакер Guccifer заявил, что за кибератаками в США стояли Госдеп, ЦРУ, АНБ.

Румынский хакер Марсель Лехел Лазар, известный под псевдонимом Guccifer, в интервью Fox News заявил, что кибератаками в ходе предвыборной кампании в США руководили сами американские власти. По мнению Лазара, за его "тезкой" хакером Guccifer 2.0, предположительно, взломавшим серверы Национального комитета Демократической партии, стояли не российские спецслужбы, как утверждают американские политики и СМИ. "Я думаю, Guccifer 2.0 — дело рук самих американцев. Guccifer 2.0 — это дело рук людей из Госдепартамента, кибернетического командования АНБ и проекта Vault 7 ЦРУ", — сказал Лазар. По его словам, к такому выводу он пришел на основании своего 15-летнего хакерского опыта. Лазар не отрицает, что в прошлом взломал компьютеры более сотни американцев, включая помощника Хиллари Клинтон Сидни Блюменталя, бывшего госсекретаря Колина Пауэлла и членов семьи Бушей. При этом он использовал для кибератак российские прокси-серверы "из-за скорости", пишет ria.ru. Американские спецслужбы считают хакера, известного как Guccifer 2.0, причастным к кибератаке на серверы Национального комитета Демпартии. По их утверждениям, взлом был произведен по указанию Москвы. Сам Guccifer 2.0 опроверг эти обвинения. В конгрессе США идут независимые расследования по поводу якобы имевшего место вмешательства Москвы в выборы президента США в ноябре 2016 года. Этот же вопрос изучает специальный прокурор Роберт Мюллер, который параллельно проверяет связи окружения Дональда Трампа с Россией. Все обвинения базируются на докладе разведывательного сообщества США, в котором, однако, доказательств причастности России к вмешательству не приводилось. Несмотря на то что расследование еще не завершено, администрация Барака Обамы, а затем и конгресс США ввели санкции против Москвы. Российские власти неоднократно опровергали эти обвинения, указывая на их бездоказательность. Глава МИД Сергей Лавров подчеркивал, что нет никаких фактов, подтверждающих предполагаемое "российское вмешательство".

Источник: https://www.anti-malware.ru/news/2017-08-13/23765

[Skyment]

Цитата:

За год с банковских карточек россиян похитили 650 млн рублей.

Объем средств, который хакеры похитили с банковских карт россиян с помощью социальной инженерии — иначе говоря, классического обмана — в прошлом году составил 650 млн рублей. По сравнению с предыдущим годом этот показатель упал на 15%, поскольку россияне изучили наиболее популярные схемы мошенничества и научились не реагировать на них. Это следует из расчетов, которыепровела компания Zecurion. Впрочем, в нынешнем году, по ее прогнозам, объем хищений увеличится до 750 млн рублей. По словам экспертов, кибермошенники совершенствуют свои схемы. Например, они начали представляться сотрудниками налоговой и под предлогом необходимости погашения долга получают необходимые данные. Кибермошенники, использующие методы социальной инженерии для хищений, как правило, звонят гражданам, представляясь сотрудниками банков, и просят сообщить данные карт (номер, CVV, PIN-коды и пр.). Также хакеры программируют интерактивные голосовые системы (IVR) для звонков гражданам. Или высылают на электронную почту клиентов банков письма со ссылками и файлами, ориентированными на их интересы. Открывая эти вложения, клиенты запускают вирус, пишут iz.ru. Одна из схем ориентирована на людей, продающих автомобили на различных интернет-ресурсах. В ней потенциальный покупатель предлагает сразу внести задаток за автомобиль на банковскую карту клиента. При этом «покупатель» просит продавца сообщить полученный на телефон код авторизации, назвав который, владелец не увидит ни задатка, ни своих денег. По данным Zecurion, в 2015 году объем хищений с банковских карт россиян составил 765 млн рублей. В прошлом году показатель снизился на 15% до 650 млн — граждане стали более опытными и уже не поддаются на прямолинейные ходы мошенников. Впрочем, по итогам этого года вновь ожидается увеличение объема хищений — до 750 млн рублей. Мошенники ввели новую схему обмана. Они звонят потенциальным жертвам, представляются сотрудниками Федеральной налоговой службы и под предлогом необходимости погашения задолженности выведывают необходимые данные. Иногда мошенники используют роботизированные обзвоны. По данным Zecurion, пострадавших от этого уже около 4 тыс. Суммарный ущерб от новой схемы — около 550 тыс. рублей, но она только набирает обороты. Руководитель направления противодействия мошенничеству Центра информационной безопасности компании «Инфосистемы джет» Алексей Сизов уверен, что новая мошенническая схема будет актуальна еще минимум месяц. — Количество успешных атак будет зависеть от того, насколько подготовленными будут звонки от имени налоговой, будут ли их проводить по реальным должникам, — пояснил эксперт. — Обычно срок «жизни» мошеннической схемы — месяц или чуть больше, финансовая грамотность россиян растет, продвинутых клиентов банков все больше. По прогнозам Алексея Сизова, злоумышленники будут изобретать новые схемы обмана потребителей. — Нарушители используют как приманку новые сервисы дистанционной оплаты — например, Avito, а также появляющиеся платежные госуслуги — налоги, пошлины, — рассказал Алексей Сизов. — Обычных граждан чуть проще обмануть, представляясь именно сотрудниками госорганов.

Источник: https://www.anti-malware.ru/news/2017-08-14/23766

[Skyment]

Ссылка на дайджест от Царёва: https://www.tsarev.biz/news/interesn...-7-11-avgusta/

[zzz12]

ещё полезные команды.
7 Basic Command Lines Everyone Must Know
https://codingsec.net/2016/06/7-basi...one-must-know/

[Skyment]

Для любителей дорогих девайсов:

Цитата:

Google добавила возможности антифишинга в Gmail для iOS.

Фишинг остается одним из наиболее распространенных и эффективных векторов атаки для злоумышленников. За последнее время фишинг стал гораздо изощреннее, он представляет серьезную угрозу для пользователей. Google решила помочь и обезопасить людей, использующих Gmail от фишинговых техник, применяемых кибепреступниками. Для пользователей приложения Gmail на iOS Google запустила новые антивирусные проверки, которые будут отображать предупреждение о потенциальных попытках фишинга. Уведомления будут приходить в момент нажатия на подозрительную ссылку в приложении на своем iPhone или iPad. Через две недели эта функция станет доступной всем пользователям. По словам компании, при попытке перехода по подозрительной ссылке, приложение будет выдавать уведомление, предупреждающее о том, что этот сайт является ненадежным и подозрительным.
Если пользователь проигнорирует это предупреждение и продолжит работу, приложение Gmail отобразит другое предупреждение с более подробной информацией о фишинговом веб-сайте. Несомненно, новые меры не смогут обнаружить каждую фишинговую кампанию, однако есть все основания полагать, что она в значительной степени снизит риск. Напомним, что аналогичная функция была реализована в приложении Gmail для Android в мае этого года.

Источник: https://www.anti-malware.ru/news/2017-08-14/23773

[Skyment]

Страшные вещи творяться:

Цитата:

Нигерийский хакер взломал ряд нефтегазовых компании.

Сотрудники компании Check Point Software Technologies раскрыли личность хакера, устроившего серию таргетированных кибератак на крупнейшие международные организации нефтегазовой, производственной, финансовой и строительной отраслей. Виновником масштабной кибератаки оказался 25-летний житель Нигерии. Сотрудники Check Point также обнаружили его аккаунт Facebook, где стоял статус «Разбогатей или сдохни, пытаясь». Отмечается, что хакер использовал электронные письма, которые маскировал под сообщения от компании Saudi Aramco — второго по величине поставщика нефти в мире. Злоумышленник рассылал телеграммы финансовым работникам различных организаций, которые сами того не зная, запускали троян NetWire, пишет lenta.ru. Вредонос позволял нигерийцу полностью контролировать зараженное устройство и кейлоггинговую программу Hawkeye. Всего хакер совершил более 14 успешных кибератак, которые принесли ему тысячи долларов. По словам руководитель группы Threat Intelligence Майи Хоровиц (Maya Horowitz), несмотря на некачественные фишинговые письма и легкодоступный троян, нигерийскому кибервзломщику удалось атаковать солидные компании по всему миру. «Это демонстрирует, насколько легко непрофессиональный хакер может начать масштабную атаку, которая успешно обходит защиту даже крупных организаций и позволяет добиваться преступных целей», — отметила она. Хоровиц также добавила, что крупным компаниям необходимо совершенствовать систему безопасности и обучать сотрудников соблюдать осторожность при открытии писем даже от известных им организаций. «Разбогатей или сдохни, пытаясь» — дебютный альбом нью-йоркского рэпера 50 Cent, выпущенный 4 февраля 2003 года. За десять месяцев пластинка разошлась тиражом свыше 6 миллионов экземпляров в США и получила шестикратную «платину» от Американской ассоциации звукозаписывающих компаний. В начале ноября 2005 года состоялась премьера одноименного фильма, посвященного истории 50 Cent, который исполнил в картине главную роль.

Источник: https://www.anti-malware.ru/news/2017-08-16/23787

Цитата:

Эксперты предупреждают о появлении новых образцов вымогателей Mamba и Locky. В прошлом году эти шифровальщики держали пользователей в страхе, а в этом году злоумышленники, стоящие за ними, решили оснастить их более разрушительными возможностями. Diablo6 – новый вариант вымогателя Locky Locky впервые появился в начале 2016 года и быстро стал одним из самых распространенных вымогателей. Он распространялся благодаря вредоносным вложениям и шифровал почти все форматы файлов на компьютере жертвы, требуя выкуп в биткойнах. Недавно исследователям удалось обнаружить вредоносную кампанию, распространяющую новый вариант вымогателя Locky, он стал известнее как Diablo6. Атакует Diablo6 преимущественно пользователей и компании в США, затем идет Австрия. Независимый исследователь по безопасности, использующий онлайн-псевдоним Racco42, наткнулся на новый вариант Locky, который шифрует файлы на зараженных компьютерах и добавляет к ним расширение.diablo6. Как обычно, шифровальщик распространяется в электронных письмах, содержащих файл Microsoft Word в качестве вложения, который при открытии запускается скрипт VBS. Этот скрипт загружает саму вредоносную программу с удаленного сервера на компьютер пользователя.

Источник: https://www.anti-malware.ru/news/2017-08-16/23791

[Skyment]

Цитата:

Компьютерные системы шотландского парламента (Холируда) подверглись кибератаке, схожей на июньскую хакерскую атаку на британский парламент, сообщает газета Guardian. Ранее британские СМИ сообщали, что в июне компьютерная сеть британского парламента подверглась хакерской атаке, которая могла затронуть до 90 почтовых аккаунтов. По данным издания, сотрудники шотландского парламента были предупреждены во вторник, что хакеры пытаются получить доступ ко многим аккаунтам электронной почты посредством систематических попыток взлома паролей. Чиновники в парламенте заявили, что им неизвестно ни о каких взломанных аккаунтах, но, тем не менее, сотрудники были предупреждены, что в результате атаки некоторые аккаунты могут быть временно заблокированы, пишет ria.ru. "Системы мониторинга парламента установили, что в настоящее время мы являемся объектом грубой кибератаки из внешних источников", — приводит газета внутреннее заявление одного из высокопоставленных сотрудников парламента Пола Грайса, распространенное в учреждении. Там отмечается, что кибератака нацелена на аккаунты схожим способом с той, что была проведена на британский парламент. "Надежные меры по кибербезопасности парламента установили эту атаку на раннем этапе, и дополнительные меры безопасности, которые у нас есть в состоянии готовности для таких случаев, уже были применены. Наши информационные системы по-прежнему полностью функционируют", — говорится в заявлении. Грайс также призвал сотрудников обновить и усложнить комбинации паролей. Он отметил, что специалисты провели анализ используемых паролей и выявили слишком много случаев установки слабых вариаций.

Источник: https://www.anti-malware.ru/news/2017-08-16/23789

[Igor Michailov]

Скорая помощь при атаке вируса-вымогателя. Возможна ли расшифровка?

Цитата:

Есть ли у вас план действий на случай, когда вы увидите на экране своего компьютера требование заплатить киберпреступникам деньги за расшифровку ваших файлов? Что предпринять в первую очередь? Какие программы можно использовать для спасения своих данных? Есть ли гарантии расшифровки ваших данных, если заплатить злоумышленникам выкуп? На эти и другие подобные вопросы вы найдете ответы в этой статье.

Источник: https://www.anti-malware.ru/practice...ible-to-decode

[Skyment]

Цитата:

Сообщение от Igor Michailov

Источник: https://www.anti-malware.ru/practice...ible-to-decode

Крутыбл!!!

---------- Ответ добавлен в 18:03 ----------Предыдущий ответ был в 18:02 ----------

Цитата:

Еще шесть расширений для Chrome были модифицированы хакерами.

Согласно исследователям Proofpoint, за последние четыре месяца еще шесть расширений для Chrome были похищены злоумышленниками у их разработчиков. Напомним, что ранее в этом месяце злоумышленники использовали в своих целях два расширения для Chrome - Copyfish и Web Developer. В обоих случаях злоумышленники использовали фишинговые электронные письма, чтобы обмануть разработчиков и заполучить их данные. Эксперт, известный под именем Kafeine, составил список из еще шести расширений для браузера Chrome, которые были захвачены киберпреступниками. Вот этот список: Chrometana 1.1.3 Infinity New Tab 3.12.3 Web Paint 1.2.1 Social Fixer 20.1.1 TouchVPN Betternet VPN Учитывая общую аудиторию всех расширений, злоумышленникам удалось доставить проблемы почти 4,8 миллионам пользователей. Также сообщалось о попытках фишинговой атаки на двух других разработчиков расширений. В связи с этим Google уведомила об этом своих разработчиков, попросив их быть внимательными. Исследователь Kafeine опубликовал подробный анализ вредоносного кода, обнаруженного в некоторых расширениях. Согласно этому анализу, код злоумышленников осуществлял следующие операции: Ожидать не менее десяти минут после установки-обновления. Загрузить JavaScript-файл с определенного домена. Похитить данные Cloudflare из браузера пользователя. Выводить рекламу на сайтах. Перенаправлять пользователя на веб-сайт партнеров.

Источник: https://www.anti-malware.ru/news/2017-08-16/23795

[Skyment]

Новенькое:

Цитата:

Датская судоходная и логистическая компания A.P. Moller-Maersk оценивает потери в результате атаки вируса-вымогателя Petya в $200-300 млн, говорится в опубликованном в среду финансовом отчете компании за II квартал 2017 года. "В последнюю неделю квартала мы стали жертвой кибератаки, которая преимущественно затронула системы [подразделений] Maersk Line, APM Terminals и Damco. В течение нескольких недель июля это отрицательно сказывалось на объемах деятельности и в результате отразится на показателях третьего квартала. Мы ожидаем, что негативное влияние кибератаки на финансовые результаты будет доходить до $200-300 млн", - говорится в распространенном компанией заявлении генерального директора Moller-Maersk Сёрена Скоу.

Источник: https://www.anti-malware.ru/news/2017-08-17/23802

Цитата:

Независимый ИБ-специалист Дэвид Монтенегро (David Montenegro) обнаружил, что на черном рынке в продаже появился новый набор эксплоитов Disdain, чья стоимость начинается от 80 долларов США. Монтенегро и специалисты компании Intsights уже проследили набор эксплоитов до русскоязычных хакерских форумов, где обнаружили, что инструмент рекламирует и продает пользователь, скрывающийся под псевдонимом Cehceny. Покупка Disdain будет стоить от 80 до 1400 долларов.

Источник: https://www.anti-malware.ru/news/2017-08-17/23800

Цитата:

Cerber теперь использует технику, позволяющую обходить файлы-приманки.

Так называемые canary files (файлы-приманки) являются техникой безопасности для раннего обнаружения угроз вроде вымогателей. Однако эксперты выяснили, что новая модификация шифровальщика Cerber способна обходить эту меру. С помощью canary files защитные программы отслеживают любые модификации в системе, при обнаружении попытки шифрования этих файлов, система безопасности сразу принимает контрмеры. Исследователи из Cybereason наткнулись на новые вариации вымогателя Cerber, которые обладают функциями обхода файлов canary, дабы избежать обнаружения процесса шифрования системой безопасности.

Источник: https://www.anti-malware.ru/news/2017-08-17/23799

---------- Ответ добавлен в 12:44 ----------Предыдущий ответ был в 12:42 ----------

Это выделю:

Цитата:

«Ростех» в 2017 году выделила 800 млн руб. на киберзащиту своих оборонных предприятий. Об этом сообщили в пресс-службе госкорпорации. Деньги предназначены в том числе для подключения к единой «антихакерской системе» (корпоративный центр обнаружения, предупреждения и ликвидации последствий компьютерных атак — КЦОПЛ; разработка «Ростеха») предприятий холдинга «Вертолеты России». За 2017 год к системе уже подключили такие предприятия холдингов, как «Росэлектроника» (производство изделий электронной и СВЧ-техники), «Высокоточные комплексы» (производство вооружений, военной и специальной техники), «Техмаш» (производство боеприпасов) и Объединенной двигателестроительной корпорации (производство газотурбинных двигателей), рассказали в «Ростехе». До 2018 года в госкорпорации планируется подключить к системе до 100 предприятий, пишет rbc.ru. Специалисты, работающие в рамках «антихакерской системы», отслеживают аномалии в работе компьютеров оборонных предприятий и сообщают им об этом, отсекают взломщиков от важной информации, передавая их координаты Федеральной службе безопасности (ФСБ), пояснили в «Ростехе». Центр был создан осенью 2016 года на базе «РТ-Информ» (100% акций компании принадлежат «Ростеху») , он взаимодействует с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак («ГосСОПКА»). В 2016 году «Ростех» потратила на обеспечение информационной безопасности своих оборонных предприятий при помощи новой системы более 690 млн руб. Основной этап подключений к системе кибербезопасности госкорпорация планирует завершить к 2020 году, отметили в «Ростехе», не уточнив объем планируемых затрат на кибербезопасность в 2018–2020 годах, так как «эти суммы формируют предприятия в рамках бюджетов компаний, которые в настоящий момент не утверждены». ​В госкорпорации отметили, что «затраты на обеспечение информбезопасности с каждым годом будут только расти». «Такой тренд есть и по стране, и по рынку в целом», — сказали в «Ростехе».

Источник: https://www.anti-malware.ru/news/2017-08-17/23798

[zzz12]

Цитата:

Сообщение от Skyment

Еще шесть расширений для Chrome были модифицированы хакерами
..два расширения для Chrome - Copyfish и Web Developer.
https://www.anti-malware.ru/news/2017-08-16/23795

Web Developer - удобное расширение.. Там можно и cookies быстро включать и выключать и др...

[Skyment]

Вот так вот: https://www.vedomosti.ru/technology/...fsb-blokcheina

Цитата:

ФСБ участвует в разработке международного стандарта блокчейна
Это даст возможность использовать российским госорганам новую технологию в будущем.

Ну и будьте внимательны:

Цитата:

«Лаборатория Касперского» обнаружила новую модификацию широко распространенного банковского троянца Faketoken – в новой версии зловред умеет красть финансовые данные пользователей из приложений для заказа такси и оплаты штрафов за нарушение правил дорожного движения, а также сервисов бронирования авиабилетов и гостиниц. Эксперты полагают, что новая модификация пока носит пробный характер и представляет угрозу в основном для пользователей Android из России и других стран СНГ. Однако поскольку атакуемые приложения обладают большой популярностью и установлены у миллионов людей по всему миру, ущерб от этого троянца может оказаться существенным. В новой версии Faketoken сохранена функция перекрытия окон приложений, с помощью которой злоумышленники и собирают все конфиденциальные данные пользователей. Троянец отслеживает активные приложения, и, как только жертва запускает нужное, перекрывает его интерфейс своим, предлагая пользователю ввести данные банковской карты именно на этой странице. Подмена официального окна фишинговым происходит мгновенно, а цветовая гамма и дизайн соответствуют оригиналу, поэтому пользователь может не заметить обмана. Злоумышленники также предусмотрели возможность обхода такой защитной функции совершения платежей как введение одноразового кода – Faketoken перехватывает все входящие сообщения и направляет их на серверы управления зловредом. Кроме того, троянец следит за теми звонками, которые совершает пользователь: при получении (или инициации) вызова с определенного номера вредонос начинает записывать разговор, а затем также отправляет его злоумышленникам. Предположительно новая модификация Faketoken попадает на смартфоны с помощью SMS-рассылки, в которой пользователям предлагается загрузить некие фотографии. «Киберпреступники активно расширяют функциональность своих инструментов и вредоносного ПО. Тот факт, что создатели банковского троянца теперь интересуются любыми другими приложениями, в которых есть возможность прикрепить карту для оплаты услуг, возможно, заставит разработчиков этих приложений задуматься об обеспечении безопасности пользователей. Банковская индустрия, успевшая в полном объеме оценить всю серьезность рисков, исходящих от мобильных зловредов, уже приняла ряд мер и внедрила защитные технологии в свои сервисы. Вероятно, теперь настала очередь других игроков на рынке мобильных приложений», – отметил Виктор Чебышев, антивирусный эксперт «Лаборатории Касперского».

Источник: https://www.anti-malware.ru/news/2017-08-18/23808

[Transcendent]

Уязвимость в протоколе CAN, затрагивающая почти все современные автомобили(и не только)
Источник: http://www.opennet.ru/opennews/art.shtml?num=47039

Цитата:

В протоколе CAN (Controller Area Network), применяемом во всех современных автомобилях для организации взаимодействия между электронными компонентами, выявлена концептуальная уязвимость, позволяющая деактивировать подключенные к CAN узлы, в том числе отвечающие за безопасность. Например, можно отключить подушки безопасности, ABS, освещение или парковочные датчики.

Уязвимость может быть эксплуатирована как локально, так и удалённо. Локальная атака, которая не лишена смысла в условиях роста популярности каршеринга и аренды автомобилей, осуществляется через подключение к имеющимся в автомобиле штатным диагностическим портам, предоставляющим доступ к шине CAN. Атака требует использования специального оборудования, которое было собрано исследователями на базе платы Arduino и чипа MCP2551 E/P для приёма и передачи данных по шине CAN. Удалённая атака может быть совершена через эксплуатацию возможных уязвимостей в узлах, взаимодействующих с внешним миром, например, в информационно-развлекательных системах.
Суть атаки заключается в инициировании появления в шине большого числа ошибочных кадров, связанных с определённым узлом, после чего в соответствии со стандартом CAN для изоляции источника слишком большого числа ошибок узел переводится в состояние Bus Off, т.е. отключается от общей шины и не может больше принимать и передавать данные. В обычных условиях подобный механизм позволяет блокировать узлы в случае их сбоя и не допустить влияние связанной с ними неисправности на другие узлы. В случае атаки ошибки являются фиктивными и позволяют незаметно деактивировать важные подсистемы. В ходе атаки вместо подстановки своих кадров в шину, использовалась техника замены одного бита в уже передаваемых по шине кадров, что приводило к нарушению их целостности и обработке как ошибочных.
сновная опасность выявленной уязвимости связана с тем, что проблема затрагивает заложенный в протокол штатный механизм обработки ошибок, т.е. уязвимость невозможно устранить через обновление прошивки - требуется переработка спецификаций и утверждение нового стандарта (например, переход к шифрованию кадров или введение сегментированной топологии шины). В качестве метода защиты для автомобилей, выпускаемых на базе существующего стандарта, предлагается только ограничение доступа к диагностическим портам или реализация механизмов определения подключения к шине неавторизированных устройств.

В качестве типовых сценариев применения атаки приводятся отключение подсистем, обеспечивающих безопасность (например, отключение автоматической системы торможения перед препятствием), нарушение контроля за дроссельной заслонкой (автомобиль продолжает ускоряться, несмотря на отпускание педали газа), отключение механизма блокировки дверей, создание мошеннических схем (вывод фиктивных уведомлений об ошибках для стимулирования необоснованного посещения сервиса). Отмечается, что исследование было сосредоточено только на автомобилях, но протокол CAN используется и во многих других областях, которые также может затронуть выявленная уязвимость. Например, CAN применяется от лифтов и автоматически открываемых дверей до систем в поездах, самолётах и судах.

[Skyment]

Рекомендую: http://blog.antiphish.ru/all/digest-29/

Цитата:

Антифишинг-дайджест №29 c 11 по 17 августа 2017 года
Представляем новости об актуальных технологиях фишинга и других атаках на человека c 11 по 17 августа 2017 года.

[Transcendent]

А вот это уже не смешно... -_- В статье упоминается так же про схожее исследование коллег из Лондона, но только WiFi-спектра.
Источник: http://www.opennet.ru/opennews/art.shtml?num=47046

Отслеживание перемещения в соседней комнате при помощи динамика и микрофона обычного ПК

Цитата:

Группа исследователей из Вашингтонского университета разработала метод создания сонара для отслеживания перемещения людей и определения положения предметов при помощи штатных микрофонов и громкоговорителей ноутбуков, ПК, смартфонов и различных потребительских устройств, таких как умные телевизоры, мультимедийные центры или персональные помощники (например, Amazon Alexa). Получив контроль за одним из подобных устройств атакующий может не только записывать разговоры, но и незаметно отслеживать активность людей в помещении при прослушивании ими специально изменённых музыкальных композиций.

Техника атаки получила название CovertBand и основана на подстановке в воспроизводимые в помещении музыкальные композиции специальных высокочастотных периодических всплесков (18-20 kHz), которые не заметны на фоне музыки, но хорошо улавливаются микрофоном. На основании изменения характера отражённых колебаний и задержек их поступления, вычисляется расстояние, размер и пространственная позиция объектов. При этом сканирующий сигнал оказался абсолютно незаметен для слушателя: из 33 добровольцев, ни один не смог распознать посторонний сигнал в предложенных для прослушивания популярных мелодиях.
В ходе эксперимента организация атаки через умный телевизор позволила достаточно точно отслеживать перемещения двух людей на двумерном плане комнаты, а также отличать случайные движения от повторяющихся. Отмечается, что метод также оказался успешно применим для отслеживания движения и определения расположения предметов в соседних помещениях, благодаря прохождению звука через стены, двери и окна. Отслеживание возможно на расстоянии до 6 метров в текущем помещении и до 3 метров за стеной.

В результате сканирования через стену соседнего помещения ошибка в определении неподвижного предмета составила 8 см, а отслеживании движущегося объекта - 18 см (для сравнения, специализированные радары дают точность порядка 11 см, а метод анализа спектра Wi-Fi - 70 см.). Точность метода может быть увеличена при синхронном использовании нескольких микрофонов. Для увеличения дальности отслеживания можно увеличить расстояния между микрофоном и громкоговорителем. В качестве одного из методов противостояния работе сонара предлагается создать мобильное приложение, способное выявлять высокочастотную пульсацию и в ответ генерировать шумы на частоте 18-20 kHz.

Видео(из статьи):

[Skyment]

Для любителей халявы ОСОБО рекомендуется:

Цитата:

ESET зафиксировала 15 млн кибератак на пользователей торрентов.

Специалисты ESET проанализировали кибератаки, нацеленные на пользователей торрентов. С начала 2016 года система телеметрии ESET зафиксировала 15 млн инцидентов, в которых загрузка вредоносного кода была связана с популярными торрент-приложениями и файлообменными сервисами. Хакеры используют файлообменные сети для доставки вредоносного ПО двумя способами: компрометируя доверенные торрент-приложения или маскируя вредоносное содержимое в «раздачах». В частности, в 2016 году злоумышленники атаковали пользователей macOS, взломав сайт торрент-клиента Transmission. Они переработали приложение, включив в его состав вредоносный код. В апреле 2016 года с сайта Transmission загружался под видом легитимного приложения шифратор KeRanger. Разработчики удалили зараженный дистрибутив уже через несколько часов, но от угрозы пострадали тысячи пользователей. Авторы KeRanger использовали стойкий алгоритм шифрования, что свело к минимуму шансы на восстановление данных. В августе 2016 года хакеры повторили атаку на сайт Transmission. На этот раз вместе с торрент-клиентом на компьютер устанавливалась вредоносная программа Keydnap, предназначенная для кражи паролей от «Связки ключей iCloud» и удаленного доступа к системе. Команда Transmission удалила опасное приложение с сайта в течение нескольких минут после обращения специалистов ESET. Не все инциденты связаны с программным обеспечением, существует также риск загрузки вредоносных торрентов. В апреле 2017 года эксперты ESET обнаружили троян Sathurbot, который распространялся таким способом – он скрывался в торрентах с пиратским софтом или фильмом, маскируясь под кодек. Зараженные Sathurbot компьютеры входили в состав ботнета, который на момент исследования насчитывал 20 000 устройств. Ботнет искал в сети сайты на базе WordPress и взламывал их путем перебора паролей. Скомпрометированные сайты использовались для дальнейшего распространения вредоносных торрентов. В феврале 2017 года злоумышленники раздавали через торрент-трекеры новый шифратор, замаскированный под Patcher – приложение для взлома Adobe Premiere Pro, Microsoft Office для Mac и другого платного софта. Восстановить зашифрованные файлы невозможно даже в случае оплаты выкупа – в лже-Patcher не предусмотрена функция связи с командным сервером, поэтому у операторов шифратора нет ключа расшифровки. «На всякий случай напоминаю об ответственности за нарушение авторского права и использование пиратского контента, – комментирует Алексей Оськин, руководитель отдела технического маркетинга ESET Russia. – Тем не менее, экосистема Р2Р – не только и не столько пиратство, у нее есть ряд легитимных путей применения. И, как любая массовая технология, файлообменные сервисы интересны киберпреступникам. Базовые рекомендации: используйте только лицензионное ПО, игнорируйте подозрительные сайты и торренты, защитите компьютер комплексным антивирусным продуктом».

Источник: https://www.anti-malware.ru/news/2017-08-18/23810

[Skyment]

Новенькое и свеженькое:

Цитата:

Группа кибер-шпионов, которую связывают с Россией, известная под именем Turla, использует новую вредоносную программу для атаки организаций, связанных с «Большой двадцаткой». Об этом на прошлой неделе сообщила компания Proofpoint. 23-24 октября состоится мероприятие «Большой двадцатки», известное как «Digital Economy». Судя по всему, хакерская группа Turla использовала оповещающий об этой встрече документ в качестве приманки, пытаясь установить на компьютеры жертв JavaScript-бэкдор, детектируемый как KopiLuwak. Эксперты считают, что документ-приманка является подлинным и приходит из Федерального министерства экономики и энергетики Германии. Все указывает на то, что злоумышленники получили документ от инсайдера. Proofpoint подчеркнула, что метаданные документа-приманки имеют сходство с легитимным файлом PDF, размещенным на веб-сайте Федерального министерства экономики и энергетики, включая имя автора (BE.D4.113.1) и устройство, с помощью которого документ был создан (KONICA MINOLTA bizhub C284e). Новый дроппер, распространяемый вместе с этим документом, хранится в файле Scr.js, который создает запланированную задачу и выполняет различные команды для получения информации о зараженном устройстве. Перед тем как установить бэкдор KopiLuwak, дроппер проверят наличие в системе установленных продуктов Лаборатории Касперского. Это неудивительно, учитывая, что Лаборатория Касперского первой проанализировала и детектировала KopiLuwak. Исследователи отмечают, что код дроппера не обфусцирован и не содержит никаких механизмов анти-анализа. В более старых версиях KopiLuwak сам бэкдор отвечал за «снятие отпечатков пальцев» с системы, теперь же эта функциональность была передана дропперу. Поскольку анализ Proofpoint основан на файлах, полученных из публичного хранилища вредоносных программ, непонятно, на кого была нацелена эта атака. Однако, исходя из темы документа-приманки, наиболее вероятными целями являются лица и организации, заинтересованные в событии «Большой двадцатки». Это могут быть политики и журналисты.

Источник: https://www.anti-malware.ru/news/2017-08-21/23822

Цитата:

Хакеры из Китая обнаружили метод обхода блокировки iOS, позволяющий получить действующий ПИН-код от смартфона. Описание способа взлома разместил на своём канале популярный видеоблогер EverythingApplePro. Уязвимости в iPhone обнаруживались и ранее. Так, злоумышленники могли воспользоваться отдельными функциями заблокированного смартфона при помощи Jailbreak, голосового помощника Siri либо взлома AppleID и iCloud. Однако найденный китайскими хакерами способ позволяет получить полный доступ к устройству при помощи простого перебора паролей, пишет life.ru. Изначально Apple предусмотрела защиту от подобных атак. При каждом неправильном вводе операционная система просит подождать до следующей попытки, а после десятой ошибки и вовсе полностью стирает содержимое смартфона. Энтузиасты заметили, что если войти в служебный режим восстановления, то перед тем, как установить новую прошивку, iPhone потребует ввести ПИН-код. При этом ограничение на число попыток перестаёт действовать, а потому злоумышленник получает возможность задействовать метод брутфорса (перебора паролей). Способ работает на всех последних версиях iOS, включая iOS 11 beta. Китайцы не ограничились простым описанием метода взлома и выпустили специальное устройство, которое автоматически получает доступ к iPhone. Именно его и испытал видеоблогер EverythingApplePro. Брутфорс-машина работает чуть медленнее, чем живой человек, однако позволяет взламывать до трёх смартфонов одновременно. Стоимость устройства составляет $500 (около 30 тыс. руб.).

Источник: https://www.anti-malware.ru/news/2017-08-18/23816

[Skyment]

Цитата:

Недавно обнаруженный вымогатель скрывает свои компоненты внутри легитимных изображений. Таким образом вредоносу удается избежать обнаружения антивирусом. SyncCrypt – вымогатель, распространяющийся через спам-письма, в которых содержатся вложения в виде WSF-файлов, которые маскируются под приказ суда. При запуске этих вложений встроенный JScript извлекает, казалось бы, безобидные изображения, которые однако содержат вредоносные компоненты. Компоненты вымогателя хранятся в виде ZIP-файлов, JScript извлекает их в виде sync.exe, readme.html и readme.png, сообщает Лоуренс Абрамс из BleepingComputer. Файл WSF также создает запланированное задание Windows под названием Sync. Как только файл sync.exe выполняется, он начинает сканирование компьютера жертвы на наличие определенных типов файлов и шифрует их с помощью AES-шифрования. Вредоносная программа шифрует AES-ключ встроенным ключом шифрования RSA-4096. SyncCrypt шифрует более чем 350 типов файлов и добавляет к ним расширение .kk. Вредонос игнорирует файлы в следующих папках: \windows\, \program files (x86)\, \program files\, \programdata\, \winnt\, \system volume information\, \desktop\readme\ и \$recycle.bin\. Злоумышленники требуют 430 долларов за расшифровку файлов, также требуют выслать им файл ключа. Хакеры пользуются следующими адресами электронной почты: getmyfiles@keemail.me (ссылка для отправки email), getmyfiles@scryptmail.com (ссылка для отправки email) и getmyfiles@mail2tor.com (ссылка для отправки email). Способ распространения этого вымогателя оказался очень эффективным, так как позволяет избегать обнаружения антивирусными программами. Согласно Абрамсу, только один из 58 антивирусных вендоров на VirusTotal смог обнаружить вредоносные изображения во время анализа. Однако файл Sync.exe детектируется уже 28 продуктами.

Источник: https://www.anti-malware.ru/news/2017-08-21/23818