• Операция Windigo: обновление Linux/Ebury

      В феврале 2014 года вирусная лаборатория ESET представила исследование OpenSSH бэкдора и вредоносной программы Linux/Ebury для кражи учетных данных. Дальнейшее исследование показало, что этот компонент является ядром набора из нескольких семейств вредоносных программ, задействованных в «Операции Windigo». Открытие легло в основу отчета, описывающего эту киберкампанию.


      В феврале 2017 года мы обнаружили образец Ebury с поддержкой новых функций. Номер новой версии – 1.6.2а. На момент обнаружения этого образца последней известной нам версией была 1.5.х, выявленная несколькими месяцами ранее. В ходе дальнейшего расследования мы поняли, что инфраструктура, отвечающая за кражу учетных данных, все еще функционирует, и Ebury активно используется кибергруппой Windigo.

      Первоначально мы перечисляли индикаторы компрометации (IoC) для версии 1.4 Ebury. CERT-Bund опубликовал IoC для версии 1.5. В данном посте представлен технический анализ версии 1.6, открытой в феврале 2017 года, а также IoC для версий 1.5 и 1.6.

      Читать дальше →
    • Bad Rabbit: Petya возвращается

        От атаки шифратора Diskcoder.D (Bad Rabbit), начавшейся 24 октября, пострадали компании России и Украины, включая Киевский метрополитен. Собрали в посте первые результаты исследования вредоносной программы.



        Читать дальше →
      • Фейковые приложения для торговли криптовалютами из Google Play попались на краже данных

          Пользователи популярной криптовалютной биржи Poloniex стали целью новой мошеннической кампании в Google Play. Под видом легитимного софта биржи в магазине распространялись два приложения для кражи данных. Фейки позволяют перехватывать логины и пароли от учетной записи в Poloniex, а также от аккаунта в Gmail.



          Poloniex — это одна из ведущих бирж с возможностью торговать более чем 100 криптовалютами. Популярность площадки привлекает всевозможных мошенников. В данном инциденте злоумышленники воспользовались отсутствием у биржи официального мобильного приложения.

          Читать дальше →
        • Бэкдор OSX/Proton распространяется с троянизированным приложением Elmedia Player

            19 октября наши специалисты заметили, что Eltima, разработчик популярного бесплатного плеера Elmedia Player, распространяет с официального сайта зараженную OSX/Proton версию приложения. Мы обратились в Eltima, как только наличие проблемы подтвердилось, и сотрудники компании оставались на связи на протяжении инцидента.



            Публикуем пост, несмотря на то, что исследование не завершено. Информация является предварительной и, возможно, будет дополняться по мере поступления новых данных.

            Читать дальше →
          • DoubleLocker: первый шифратор, использующий службу специальных возможностей Android Accessibility Service

              Специалисты ESET обнаружили Android/DoubleLocker – первый шифратор, использующий службу специальных возможностей Android Accessibility Service. Малварь не только шифрует данные, но и блокирует устройство.

              DoubleLocker построен на базе банковского трояна, использующего службу специальных возможностей ОС Android. Тем не менее, DoubleLocker не имеет функций, связанных со сбором банковских данных пользователей и стирания аккаунтов, вместо этого в нем предусмотрены инструменты для вымогательства.



              Читать дальше →
              • +10
              • 4,8k
              • 7
            • Машина по выкачиванию денег: майнер Monero

                Пока мир ждет, где нанесут новый удар знаменитые кибергруппы типа Lazarus или Telebots, вооруженные аналогами WannaCry или Petya, операторы менее резонансных кампаний
                зарабатывают без лишнего шума. Одна из таких операций продолжается как минимум с мая 2017 года. Атакующие заражают веб-серверы Windows вредоносным майнером криптовалюты Monero (XMR).

                Злоумышленники, стоящие за данной кампанией, модифицировали легитимный майнер на базе открытого исходного кода и использовали уязвимость в Microsoft IIS 6.0 CVE-2017-7269 для скрытой установки малвари на непропатченные серверы. За три месяца мошенники создали ботнет из нескольких сотен зараженных серверов и заработали на Monero больше 63 тысяч долларов.

                Пользователи ESET защищены от любых попыток использования уязвимости CVE-2017-7269, даже если их машины пока не пропатчены, как это было с эксплойтом EternalBlue, используемым в распространении WannaCry.



                Читать дальше →
                • +14
                • 16,2k
                • 2
              • Иногда они возвращаются. Мобильный банкер BankBot снова в Google Play

                  Мобильный банкер, о котором мы впервые рассказывали в начале года, приобрел новые возможности и снова распространяется через Google Play.

                  В течение года BankBot эволюционировал, его версии появлялись в Google Play и на неофициальных площадках. Наконец, 4 сентября мы обнаружили в Google Play первый вариант, сочетающий все черты эволюции: улучшенную обфускацию кода, усложненные функции для доставки основных компонентов, сложный механизм заражения, использующий службу специальных возможностей Android Accessibility Service.


                  Читать дальше →
                • Новая операция кибершпионажа FinFisher: атаки MitM на уровне провайдера?

                    ESET выявила новые операции с применением шпионской программы FinFisher, также известной как FinSpy, некогда продаваемой правительственным структурам по всему миру. Помимо технических доработок FinFisher, зафиксирован новый, ранее неизвестный вектор заражения, указывающий на возможное участие в схеме крупного интернет-провайдера (ISP).


                    У FinFisher широкий набор возможностей для слежки через веб-камеру и микрофон, а также функции кейлоггинга и кражи файлов. Что отличает FinFisher от других инструментов слежки, так это противоречивая информация о его внедрении. FinFisher позиционируют как инструмент правоохранительных органов, считается, что он используется диктатурами. Мы обнаружили последние версии FinFisher в семи странах. Назвать их, к сожалению, не сможем, чтобы никого не подвергать опасности.

                    Читать дальше →
                    • +10
                    • 4,4k
                    • 7
                  • В единстве — прибыль. ESET изучает браузерный майнер

                      В последние месяцы мы обнаруживали JavaScript файлы, очевидно предназначенные для майнинга криптовалют напрямую в браузере. Киберпреступники давно освоили майнинг, однако обычно они устанавливают на машины жертв вредоносное ПО, либо потенциально нежелательные приложения (PUA). В данном случае майнинг производится в браузере, когда пользователь посещает определенные сайты. Нет необходимости искать уязвимости и/или заражать компьютер – достаточно браузера с включенным JavaScript (по умолчанию в большинстве браузеров).

                      Читать дальше →
                    • Gazer: бэкдор второго этапа АРТ-группы Turla

                        В ESET выполнили анализ нового, ранее недокументированного бэкдора, который с большой долей вероятности используется АРТ-группой Turla. Бэкдор замечен в атаках на правительственные и дипломатические учреждения в странах Европы. Turla – кибергруппа, которая специализируется на операциях кибершпионажа. Типичные методы хакеров Turla – атаки watering hole и целевой фишинг. Новый бэкдор активно используется как минимум с 2016 года. На основе строк, найденных в изученных образцах, мы назвали его Gazer.



                        Читать дальше →
                      Самое читаемое