вирусы

186 ESET

Компания ESET на своем сайте предупредила пользователей о распространении вредоносного ПО, замаскированного под игру Mortal Kombat X.

Mortal Kombat X от компании NetherRealm Studios адаптирован для ПК и игровых платформ Xbox One, Xbox 360, Playstation 3 и 4. В данной версии игры впервые реализован ряд доработок, ожидаемых поклонниками франшизы. Запуск версий для большинства игровых платформ был запланирован на апрель 2015 г.

Ажиотажем вокруг премьеры воспользовались злоумышленники. Специалисты ESET обнаружили на веб-площадках с неофициальным контентом поддельные версии Mortal Kombat X. На самом же деле, под видом игры распространяется банковское вредоносное ПО Win32/ZBot, также известное как ZeuS.

Троян ZBot позволяет злоумышленникам установить контроль над компьютером жертвы и перехватывать конфиденциальную информацию, в том числе сохраненные файлы, скриншоты, нажатия клавиш, логины и пароли онлайн-банкинга.

В Японии более 82 тысяч персональных компьютеров оказались заражены вирусом нового типа, сообщило подразделение кибербезопасности Токийского управления полиции.

Вредоносная программа при проведении пользователями банковских операций через интернет автоматически переводит их средства на посторонние счета. Половина зараженных вирусом компьютеров находится в Японии, а остальные — в странах Европы и Азии. Часть устройств могла быть заражена из-за границы, и поэтому японская полиция обратилась к Интерполу за помощью в проведении расследования.

В правоохранительных органах уточнили, что всего в прошлом году было зафиксировано 1876 случаев несанкционированного перевода банковских средств пользователей. «Ущерб составил 2,9 млрд иен (около 1,27 млрд рублей), что стало исторически рекордной суммой», — добавили в полиции, сообщает anti-malware.ru.

Специалисты «Лаборатории Касперского» обнаружили новые модификации банковского троянца Emotet. Под прицел вируса, замеченного впервые в 2014 году, попали клиенты нескольких швейцарских банков. Об этом говорится в сообщении «Лаборатории Касперского». 

Киберпреступники используют целый набор современных вредоносных технологий, чтобы добраться до финансовых средств жертвы, и, судя по найденным участкам кода, хорошо владеют русским языком.

Антивирусные эксперты заинтересовались троянцем еще в прошлом году — его отличала сложная модульная архитектура, технологии автоматической кражи денег с банковских счетов, а также избирательность — атаки были нацелены на небольшое число немецких и австрийских банков.

Однако злоумышленники быстро прекратили активность, а командные серверы перестали отвечать зараженным узлам. Тем не менее, очевидная высокая техническая подготовка кампании не оставляла сомнений, что последует новая волна атак, первые из которых были зарегистрированы уже в январе этого года. Обновленная версия банкера не только расширила список жертв, но и стала тщательнее маскировать свою деятельность.

218 DrWeb

Компания «Доктор Веб» представила обзор вирусной активности за март. Об этом говорится на сайте компании.

Месяц оказался отнюдь не самым спокойным с точки зрения информационной безопасности: заметно участились почтовые спам-рассылки, с использованием которых злоумышленники распространяли опасных троянцев-шифровальщиков. Кроме того, вирусная база Dr.Web пополнилась новыми записями для вредоносных программ, угрожающих пользователям мобильной платформы Google Android.

В  марте владельцам компьютеров под управлением Windows снова угрожали многочисленные троянцы-энкодеры, рассылаемые киберпреступниками по электронной почте: в течение месяца число пострадавших от их действий пользователей, обратившихся за помощью в службу технической поддержки компании «Доктор Веб», выросло более чем на 20%.

Продолжают функционировать многочисленные ботнеты, за деятельностью которых внимательно следят специалисты по информационной безопасности.

В России активизировались хакеры, взламывающие банкоматы с помощью вредоносной программы под названием Tyupkin.

Данный вирус уже привлек пристальное внимание правоохранительных органов, которые предупредили местные банки о возникшей угрозе. Уточняется, что ограбления проводятся хорошо подготовленными группировками с четким распределением ролей и обязанностей.

«Одна группа вскрывает сервисный блок банкомата, который обычно защищен слабо и на нем не стоит сигнализация. В зависимости от модели банкомата злоумышленники загружают вирус с компакт-диска или флешки в систему BIOS, закрывают банкомат и уходят», — рассказал «Известиям» официальный представитель Управления «К» МВД Александр Вураско.

После загрузки вируса злоумышленники получают полный контроль над функциями банкомата. Вирус Tyupkin имеет несколько модификаций. Некоторые из них также занимаются скиммингом и умеют красть данные с магнитных полос пластиковых карт и запоминают PIN-коды, другие позволяют стирать следы Tyupkin и видеозаписи. Учитывая, что в одном банкомате помещается около 10 млн рублей, ущерб для банков может быть существенным.

Сотрудникам правоохранительных органов уже удалось задержать в Москве одну преступную группировку, которая использовала Tyupkin для похищения средств с банкоматов. Трое уроженцев Ленинградской области были пойманы при попытке кражи из банкомата «Альфа-банка» 5 млн рублей.

Через социальную сеть «ВКонтакте» распространяется новый троянский вирус Podec, целью которого является кража денег у владельцев устройств на платформе Android. Об этом сообщила «Лаборатория Касперского».

Новый вирус отмечается функциональностью: он может отправлять сообщения на короткие номера, при этом корректно отвечая на запросы подтверждения оплаты услуги, а также способен подписывать владельца гаджета на платные сервисы. При этом новый вирус обходит механизм САРТСНА, который призван отличать реального пользователя от бота.

Представитель «ВКонтакте» Георгий Лобушкин прокомментировал ситуацию.«Вирус, который описывается в СМИ, известен нашим специалистам по безопасности уже более двух месяцев. После обнаружения опасной активности они сразу же приняли меры по предотвращению распространения вредоносного ПО. Пользователям, которые подверглись атакам, было предложено установить антивирусное программное обеспечение для своих мобильных устройств Android», — говорится в заявлении Лобушкина.

Компания AdaptiveMobile заявила о всплеске активности вируса для Android, получившего название Gazon.

Вирус рассылает всем контактам жертвы сообщение со ссылкой на приложение, якобы предоставляющее купоны в Amazon. Главная цель программы — генерирование кликов, которые используются для обогащения ее авторов, а также самораспространение.

Атака началась в США и к 25 февраля вирус все еще активно распространялся, успев заразить несколько тысяч смартфонов в 30 странах мира. Вредоносная программа сгенерировала более 16 000 кликов и продолжает распространятся, заражая все новые смартфоны.

Специалисты утверждают, что пока пользователи «скачут» со страницы на страницу, авторы вредоносного вируса зарабатывают на кликах большие деньги, пишет anti-malware.ru.

196 Linux

Специалисты компании «Доктор Веб» исследовали сложного многофункционального троянца, предназначенного для заражения ОС Linux.

Данная вредоносная программа обладает возможностью выполнять различные команды, поступающие от злоумышленников, в том числе организовывать DDoS-атаки, а также реализует широкий спектр других функциональных возможностей.

Новая вредоносная программа, получившая наименование Linux.BackDoor.Xnote.1, распространяется аналогично некоторым другим троянцам для данной ОС: подбирая необходимый пароль, злоумышленники взламывают учетные записи для доступа к атакуемой системе по протоколу SSH. У вирусных аналитиков компании «Доктор Веб» имеются основания полагать, что к созданию бэкдора приложили руку китайские злоумышленники из хакерской группы ChinaZ.

Около 11% из всех доступных Android-приложений для осуществления платежей содержат вирусы. Так, согласно данным компании RiskIQ, 40 тысяч программ из проверенных 350 тысяч имели опасные уязвимости, а еще 40 тысяч — требовали «опасные разрешения».

По утверждениям гендиректора компании Элиаса Манусоса, приложения мобильного банкинга предоставляют злоумышленникам уникальную возможность перехвата важных банковских данных. Последние они могут использовать для дальнейшего осуществления мошенничества, пишет securitylab.ru.

173 МТС

Компания МТС запустила специальную платформу автоматического информирования пользователей мобильного интернета для ликвидации вредоносных программ со смартфонов на базе Android.

Абоненты, смартфоны которых могут быть заражены вирусом, при выходе в интернет автоматически перенаправляются на страницу с информацией о возможной угрозе и предложением установить на гаджет бесплатный антивирус. Клиенты оператора могут бесплатно скачать установить одно из трех популярных решений для борьбы с мобильным мошенничеством — от «Лаборатории Касперского», Dr. Web или AVAST, пишет CNews.

269 facebook

В социальной сети Facebook появился новый вирус. В хронике пользователей соцсети появляется ссылка на новость с польского сайта Wiadomoci.pl. После перехода по ссылке вирус начинает рассылать такие же сообщения от зараженного аккаунта, пишет «Газета.Ru».

Напомним, 16 декабря пользователи российского сегмента Facebook сообщали о массовых вирусных рассылках, в которых предлагалось установить неизвестную программу.

155 facebook

Пользователи российского сегмента соцсети Facebook 16 декабря сообщают о массовых вирусных рассылках.

Зараженные письма начали приходить как на электронные почтовые ящики, привязанные к аккаунту, так и в личные сообщения. В письмах содержится ссылка на фотографию, якобы размещенную в Facebook одним из знакомых пользователя. Однако, пройдя по ссылке, человек видит другую ссылку, которая, в свою очередь, ведет на страницу с видеороликом. При попытке его посмотреть пользователю предлагается установить неизвестную программу, пишет ТАСС.

В список блокировки Google попало около 11 тысяч хостов, работающих на платформе WordPress. Причиной блокировки стало появление на данных сайтах вредоносного JavaScript-кода, поражающего клиентские браузеры посетителей. Дополнительное сканирование сети показало, что число проблемных сайтов превышает сто тысяч.

Распознать поражение сайта вредоносным ПО можно оценив наличие файла wp-includes/js/swobject.js и появление в загрузчике шаблонов wp-includes/template-loader.php новой функции «FuncQueueObject». Данные изменения приводят к тому, что при открытии любой страницы файла выполняется JavaScript-код, которые загружает, декодирует и запускает вредоносное ПО с сайта SoakSoack.ru, пишет opennet.ru.

Метод, который используется для помещения вредоносной вставки на сайты, пока не ясен. Наиболее вероятно, что атака совершается через применения эксплоита для плагинов Slider Revolution и Showbiz Pro, в которых в сентябре были найдены критические уязвимости.

В 2014 году продукты «Лаборатории Касперского» заблокировали более 6 млрд вредоносных атак на компьютеры и мобильные устройства пользователей по всему миру.

При этом число атак на владельцев смартфонов и планшетов на базе Android выросло в 4 раза, а общее количество мобильных банковских троянцев, нацеленных на кражу денег пользователей, увеличилось в 9 раз по сравнению с 2013 годом. Россия же по итогам года по многим показателям возглавила рейтинг стран, чьи пользователи наиболее часто подвергались киберугрозам. В уходящем году злоумышленники сконцентрировали немалые усилия на попытках украсть деньги пользователей.

Эксперты «Лаборатории Касперского» зафиксировали более 16 млн попыток заражения компьютеров Windows вредоносным банковским ПО. Кроме того, в 2014 году специалисты обнаружили свыше 12 тысяч мобильных банковских троянцев, при помощи которых были атакованы десятки тысяч пользователей Android из 90 стран мира.

«Лаборатория Касперского» обнаружила, что вредоносная платформа Regin оказалась первым зловредом, способным проникать в сотовые сети стандарта GSM и вести слежку за пользователями мобильной связи.

Эта платформа использовалась в кибератаках по меньшей мере в 14 странах, в том числе и в России. В зоне риска оказались телекоммуникационные операторы, правительства, финансовые учреждения, исследовательские организации, а также лица, занимающиеся сложными математическими и криптографическими исследованиями.

Первые следы активности Regin были замечены экспертами еще весной 2012 года. На протяжении последних трех лет образцы этого вредоносного ПО периодически встречались, но не имели прямой связи между собой. Вместе с тем специалисты получили в свое распоряжение ряд образцов Regin в ходе расследования кибератак на правительственные учреждения и телекоммуникационные компании – и именно это позволило получить достаточно данных для глубокого исследования вредоносной платформы. 

Вредоносная шпионская программа Regin, которая появилась в этом году, возможно, была создана западными спецслужбами для атак на телекоммуникационные компании в России и Саудовской Аравии, передает Financial Times.

Данная система была применена в отношении интернет-провайдеров и телекоммуникационных компаний, в основном в России и Саудовской Аравии, а также Мексике, Ирландии и Иране. В публикации говорится, что Regin очень напоминает компьютерного червя Stuxnet и считается одной из самых сложных в мире вирусных программ. В некоторых смысле она более продвинутая в техническом отношении, чем Stuxnet, который был разработан в 2010 году работающими на правительства США и Израилем хакерами для атак на иранскую ядерную программу.

«Нет ничего, что приближалось бы к ней... Мы не можем ее ни с чем сравнить», – описывает свое впечатление Орл Кокс, директор по безопасности компании Symantec. Он охарактеризовал Regin, как одну из самых «экстраординарных» средств взлома программного обеспечения, которое, возможно, разрабатывалось несколько месяцев или лет, пишет РБК.

В глобальном рейтинге угроз, составленном специалистами ESET Live Grid, отмечен спад активности большинства вредоносных программ.

Первое место занимает троян HTML/Refresh, который используется злоумышленниками для перенаправления пользователей на потенциально опасные ресурсы.

В октябре обнаружено несколько крупных 0day уязвимостей для Windows. Наиболее известная из них — CVE-2014-4114 — использовалась злоумышленниками для удаленной установки вредоносного ПО BlackEnergy. Эксплойт к этой уязвимости обнаруживается антивирусными продуктами ESET NOD32 как Win32/Exploit.CVE-2014-4114. Другая уязвимость — CVE-2014-4113 — использовалась для несанкционированного повышения привилегий в Windows. Она детектируется ESET NOD32 как Win64/Dianti.A и Win32/Dianti.A.

Российский рейтинг угроз также возглавляет вредоносная программа HTML/Refresh. Вторую строку списка по-прежнему занимает троян Win32/Qhost, динамика которой продолжает снижаться. Падение динамики испытал и червь Win32/Dorkbot, распространяющийся через съемные носители.

Внесенная в вирусную базу Dr.Web под именем Android.Wormle.1.origin, новая Android-угроза представляет собой многофункционального бота, обладающего широкими возможностями.

После установки троянец не создает ярлык на главном экране операционной системы и функционирует на зараженном устройстве в качестве системного сервиса с именем com.driver.system. Android.Wormle.1.origin устанавливает соединение с командным центром, после чего ожидает поступления дальнейших указаний злоумышленников.

Примечательно, что управление ботом может выполняться киберпреступниками как напрямую с контролирующего сервера, так и при помощи протокола Google Cloud Messaging – сервиса, позволяющего разработчикам поддерживать связь со своими приложениями при наличии на целевом устройстве активной учетной записи Google.

172 iOS

Компания Palo Alto Networks сообщила о распространении вируса для мобильной операционной системы Apple.

Отмечается, что заражению подвержены смартфоны без джейлбрейка и вирусы могут попасть на аппарат с зараженного компьютера Mac при подключении к нему посредством USB. Вредоносное ПО распространяется сторонним китайским магазином приложений для OS X, поэтому жертвами вируса стали в основном жители именно этой страны. По данным Palo Alto Networks, речь идет о 467 зараженных программах, загруженных в общей сложности более 350 тыс. раз, передает onliner.by.

«WireLurker отслеживает подключение к зараженному компьютеру под управлением OS X мобильных устройств, а затем устанавливает на них вредоносные приложения», — пояснили в Palo Alto Networks.

Хакеры рассылают электронные письма с банковским трояном Dridex. Чаще всего злоумышленники выбирают жертв в Австралии, Великобритании и США. Dridex считается наследником вредоносного программного обеспечения Cridex, которое распространяли через спам-письма с сомнительными ссылками.

Новый троян ворует банковские данные. Для этого Dridex заражает веб-страницы финансовых организаций, указанных в конфигурации программного обеспечения. Исследователи компании Trend Micro обнаружили кампанию, которая распространяет троян через макрос, вложенный в документ для Microsoft Word. Файл маскируется под счёт или другой вид финансового документа, который с большой вероятностью откроет пользователь. Как только это происходит, запускается макрос и начинается взлом компьютера посредством вредоносного софта Dridex, пишет anti-malware.ru.