У Opera Software украли сертификат и подписали им malware

Неизвестные люди 19 июня взломали серверы Opera Software и проникли во внутреннюю сеть компании.
Личные данные не были скомпрометированы, но был украден как минимум один сертификат Opera Software. Сертификатом с истекшим сроком был подписан вредоносный код, который они засунули в автоапдейт, так что если кто-то обновил браузер между 01:00 и 01:36 UTC 19 июня, проверьте свой компьютер на вирусы!

Новая уязвимость затрагивает 99% Android-устройств.

Уязвимость затрагивает около 900 млн смартфонов и планшетов на базе Android или около 99% от их общего числа, так как содержится во всех версиях начиная с Android 1.6, выпущенной 4 года назад.

Специалисты стартапа Bluebox обнаружили в модели безопасности Android уязвимость, которая позволяет хакеру модифицировать код APK-файла (установочного файла) и превратить в троян любое подлинное приложение, причем это изменение не смогут заметить ни пользователь, ни администраторы каталога, куда это приложение будет загружено, ни само мобильное устройство.

Все Android-приложения содержат криптографические подписи, которые позволяют системе определить подлинность устанавливаемого приложения. Однако данная проверка в различных приложениях выполняется по-разному. Это и лежит в основе уязвимости. Используя ее, хакер может модифицировать приложение без нарушения криптографической подписи.

В зависимости от типа приложения, хакер может использовать уязвимость для любых целей - от кражи данных до создания мобильного ботнета и проникновения в корпоративную систему предприятия.

Более того, хакер может модифицировать приложение, устанавливаемое производителем мобильного устройства, например Samsung или HTC, которое имеет специальные привилегии для работы с системными процессами. Используя эту возможность, злоумышленник может получить полный доступ к системе Android, всем приложениям, учетным записям пользователя, паролям и получить возможность управления любой функцией, включая телефонные звонки, сообщения и камеру.

Уязвимость содержится во всех версиях Android начиная с Android 1.6 под кодовым именем Donut, которая была выпущена 4 года назад, и, таким образом, затрагивает около 900 млн устройств, проданных к текущему дню.

Так как масштаб уязвимости оказался слишком широк, эксперты Bluebox лишь сейчас решили проинформировать общественность, тогда как Google получила сведения об уязвимости еще в феврале 2013 г. О реакции Google на данные сведения не известно.

Владельцам Android-смартфонов и планшетов рекомендуется внимательнее относиться к названию разработчика приложения, которое они планируют установить, а компаниям и организациям, использующими модель «принеси свое собственное устройство» (Bring Your Own Device - BYOD), - регулярно обновлять Android до последней версии, а также внедрять более совершенные механизмы защиты данных.

Ранее уязвимости встречались в Android неоднократно, однако никогда они не имели столь большой масштаб, затрагивающий около 99% устройств, находящихся в эксплуатации. По данным Juniper Networks, пользователи могли бы обезопасить себя более чем от половины вредоносных приложений, если бы использовали последнюю версию Android.

Стартап Bluebox был основан в середине 2012 г. Компания занимается разработкой решения для информационной защиты мобильных устройств. Пока оно не представлено. Объем инвестиций в стартап к настоящему времени составил около $9,5 млн. Среди инвесторов - венчурный фонд Andreessen Horowitz, владеющий акциями Facebook, Groupon и Twitter, и один из основателей Sun Microsystems Андреас фон Бехтольсгейм (Andreas von Bechtolsheim).

Вредоносное ПО для Mac OS X маскирует названия файлов под .doc или .rtf

Вредонос использует спецсимвол Юникода U+202e в названии файла.
Компания F-Secure сообщила о новом вредоносном ПО для Mac OS X, который использует поддельную систему установки в ОС и маскируется под стандартные файлы. Для того, чтобы ассоциировать код с соответствующим типом приложения в Mac OS X, вредоносное ПО использует спецсимволы Юникода в названии файла. Узнать истинное происхождение файла можно в Терминале Mac OS X, тем не менее, 99% пользователей им не пользуются.
Злоумышленники добавляли в названия файлов символ Юникода U+202e (перевод каретки в RLO, right to left override) и маскировали настоящее расширение .app, заменяя его на .doc или .rtf. Таким образом, в Mac OS X новый файл для пользователя детектировался как текстовый или PDF, оставаясь при этом вредоносным.
Эксперты F-Secure назвали этот трюк достаточно оригинальным. Данные о вредоносе уже переданы разработчикам Mac OS для принятия соответствующих мер.

В крупнейшей хакерской атаке в истории США обвиняют четырех россиян и украинца

Прокуратура США выдвинула обвинения против четырех граждан России и гражданина Украины в создании хакерской группы.

В прокуратуре заявили, что члены группы на протяжении семи лет взламывали компьютеры крупных американских и международных компаний.

По данным следствия, россияне Владимир Дринкман, Александр Калинин, Роман Котов, Дмитрий Смиланец и украинец Михаил Рытиков незаконным образом заполучили номера более 160 млн банковских карт и продали их перекупщикам.

Ущерб, нанесенный компаниям и физическим лицам, исчисляется сотнями миллионов долларов.

По данным прокуратуры, обвиняемые организовали крупнейшую хакерскую атаку в истории США.

Троян Trojan.WPCracker.1 взламывает блоги в России и за рубежом

Компания «Доктор Веб» предупреждила о распространении вредоносной программы Trojan.WPCracker.1, предназначенной для взлома блогов и сайтов, работающих под управлением популярных CMS (систем управления контентом), в частности Wordpress. С помощью этого троянца злоумышленники могут поменять контент блогов или же инфицировать их другими вредоносными программами, которые будут угрожать будущим посетителям. Именно с распространением Trojan.WPCracker.1 может быть связан отмечаемый многочисленными экспертами в настоящее время всплеск масштабных атак на веб-сайты.
Попав на инфицированный компьютер, Trojan.WPCracker.1 создает свою копию в одной из системных папок и модифицирует ветвь реестра Windows, отвечающую за автоматический запуск приложений при старте операционной системы. Затем троянец устанавливает соединение со злоумышленниками, обращаясь на их удаленный сервер.

Злоумышленники отсылают троянцу список блогов и сайтов, работающих под управлением популярных CMS, среди которых Wordpress и Joomla, и начинает подбор паролей к ним. В случае если процедура подбора пароля завершилась успехом, полученные данные троянец отправляет на принадлежащий злоумышленникам сервер.

Исследование: половина мошеннических сайтов распространяет вирусы.

В I полугодии в Рунете выявлены 896 опасных сайтов.

Примерно половина принадлежащих мошенникам сайтов с доменными именами второго уровня в зонах .ru и .рф распространяют вредоносное программное обеспечение. К такому выводу пришли сотрудники компании Group-IB.

Они провели исследование, согласно которому в период с января по июнь 2013 года выявлено 896 сайтов, угрожающих безопасности пользователей Рунета. За это время регистраторами по запросу подразделения CERT-GIB компании Group-IB было снято с делегирования 86% доменных имен обнаруженных вирусных сайтов.

Доля доменов, на которых были зарегистрированы фишинговые сайты, копирующие порталы платежных систем, чтобы заполучить личные данные пользователей, составила 31%. Ботнет-контроллеры, управляющие сетями зараженных компьютеров, были выявлены на 19% доменов. Всего в январе-июне этого года в подразделение CERT-GIB было направлено 1,142 тысячи обращений на снятие делегирования доменных имен-нарушителей.

В апреле 2013 года полицейские пресекли крупную аферу киберпреступников. Злоумышленники намеревались вывести с банковских счетов 1 млрд рублей. Житель Тольятти, который оказался разработчиком вредоносного программного обеспечения, получил условный срок и штраф в 100 тысяч рублей.

Новый троянец Hand of Thief охотится на Linux-пользователей!

Пользователи настольных вариантов операционной системы Linux сравнительно редко становятся жертвами вредоносного ПО, однако в компании RSA говорят, что обнаружили троянское программное обеспечение, ориентированное именно на пользователей открытой ОС в ее настольном виде.

Согласно данным в блоге RSA, новый троянец Hand of Thief работает по аналогии со многими Windows-троянцами - после установки в целевой системе он перехватывает данные из веб-форм, даже если они передаются по HTTPS, открывает доступ к бэкдорам и пытается затруднить, либо блокировать работу антивирусного ПО на компьютере.

Также RSA отмечает, что обнаружили на нескольких хакерских площадках попытки продаж Hand of Thief за 2000 долларов, причем продавцы кода предлагают техподдержку по работе троянца, а также подписку на его обновления. За 3000 долларов доступен набор код Hand of Thief и система веб-инъекции. В блоге RSA говорится, что цены на Linux-трроянец в целом соответствуют ценам на аналогичные Windows-разработки, хотя пользовательская база десктопных Linux значительно меньше.

RSA отмечает, что авторы Linux-троянца не предоставляют никаких решений для установки вредоносного решения, то есть авторы атак должны сами разработать и реализовать алгоритм доставки вредоноса на компьютеры жертв. Ввиду этого, ИТ-компания прогнозирует скорое появление атак, связанных с распространением вредоносного ПО Hand of Thief.