Хакеры взломали учетные записи нескольких американских информагентств

Используя скомпрометированные аккаунты, злоумышленники объявили о начале Третьей мировой войны.

В пятницу, 16 января, неизвестные злоумышленники взломали учетные записи американской газеты New York Post и информагентства United Press International в Twitter и опубликовали несколько неправдивых материалов от их имени. Об этом сообщает ТАСС.

От имени New York Post хакеры сообщили, что американский авианосец USS George Washington был подбит китайской противокорабельной ракеты. Также злоумышленники разместили сообщение о том, что Центробанк США ввел отрицательную процентную ставку в связи с результатами экстренного заседания Федеральной резервной системы. В настоящее время оба сообщения удалены.

От имени UPI были размещены аналогичные новости. Вместе с этим злоумышленники опубликовали «заявление» Папы Римского Франциска о грядущем начале Третьей мировой войны.

Отметим, что кибератаки состоялись сразу после совместного заявления президента США Барака Обамы и премьер-министра Великобритании Дэвида Кэмерона о создании специальной группы по обеспечению безопасности в киберпространстве.

Злоумышленники похитили данные 20 млн пользователей сервиса знакомств Topface

На подпольных форумах появились объявления о продаже имен и электронных адресов пользователей, 10 млн из которых – россияне.
Злоумышленники выставили на продажу имена и электронные адреса 20 млн пользователей сервиса знакомств Topface, 10 млн из которых принадлежат россиянам. Об этом в понедельник, 26 января, сообщило издание Bloomberg со ссылкой на главного технического директора ИБ-компании Easy Solutions Дэниела Ингевальдсона (Daniel Ingevaldson).

40% жертв злоумышленников являются жителями стран ЕС. 20 млн похищенных электронных адресов относятся к 345 тыс. различных доменов. Из них 7 млн зарегистрированы на Hotmail.com, 2,5 млн – на Yahoo.com и 2,3 млн – на Gmail.com.
Ингевальдсон отметил, что хотя финансовая информация скомпрометирована не была, инцидент является «взломом первого уровня». «Эти данные - золотая жила в киберпреступной сфере», - заявил эксперт. Ингевальдсон подчеркнул, что подобная информация продается очень быстро и пользуется большим спросом у мошенников, использующих ПО для автоматического поиска сайтов, на которых жертвы используют те же данные.
Эксперт сообщил о появлении на черном рынке информации пользователей Topface после того, как обнаружил на одном из подпольных форумов объявление о продаже, опубликованное неким Mastermind. По данным Ингевальдсона, пока неизвестно, были ли также похищены пароли пользователей.

Dyreza-спам с серверным полиморфизмом.

ИБ-компания Bitdefender предупреждает о новой мощной волне спама, нацеленного на засев банковского троянца Dyreza, он же Dyre. За один день румынские исследователи зафиксировали 30 тыс. вредоносных сообщений, рассылаемых с территории США, России, Турции, Франции, Канады и Великобритании.

Судя по наименованию спам-кампании, присвоенному злоумышленниками, — 2201us, она была запущена 22 января и ориентирована в первую очередь на американских пользователей. Вредоносные письма имитируют уведомление о входящем факсе и снабжены ссылкой на HTML-файл.

Как показал анализ, этот файл содержит редирект на страницу с сильно обфусцированным JavaScript, который при отработке автоматически загружает zip-архив со стороннего сайта. Примечательно, что имя этого архивного файла изменяется при каждой загрузке, то есть злоумышленники применяют полиморфизм на уровне сервера для обхода антивирусной защиты.

После загрузки вредоносного кода тот же JavaScript перенаправляет браузер пользователя на локализованную страницу службы факсов — видимо, для отвода глаз. Заархивированный исполняемый файл с той же целью снабжен иконкой PDF, его содержимым является даунлоудер, который, в свою очередь, загружает и запускает Dyreza.

Аналитикам Bitdefender удалось также выявить список мишеней банкера, раздаваемого через спам. Ими оказались клиенты финансовых организаций США, Великобритании, Ирландии, Австралии, Румынии и Италии. Исследователи не преминули отметить, что, несмотря на довольно сложную технику атаки, успех невозможен без участия пользователя, который должен открыть вредоносный zip-архив и запустить содержимое на исполнение.

Грозный троян для Android-устройств стал еще опаснее.

Головная боль владельцев устройств под управлением Android — троян Simplocker получает новую версию, сообщает TechWorld.

Надо сказать, что изначально этот мобильный вымогатель был рассчитан на русскоговорящих пользователей Android-девайсов, но потом переключился и на тех, для кого родной язык — английский. Просочившись на гаджет, вредоносная программа объявляла, что девайс заблокирован за просмотр пользователем запрещенных порнографических материалов и за восстановление данных на гаджете придется заплатить штраф.

Троян попадал на устройство под видом проигрывателя видеофайлов, игр или полезных программ для Android. Например, он прикидывается обновлением Flash или даже приложением Flash Player.

Хакеры прибегают к методам социальной инженерии, чтобы заставить пользователя снять с его гаджета ограничение на установку программ, полученных от третьих лиц, и активировать зловреда с правами администратора.

Теперь вредоносное ПО эволюционировало и получило свойство, которое делает его еще более опасным. Simplocker начал генерировать уникальный симметричный ключ шифрования для каждого устройства, которое он сумел взять под свой контроль.

Для разблокировки устройства злоумышленники не просят присылать им биткоины, а требуют осуществить денежный перевод, что актуально для американских пользователей.

Нередко, чтобы сильнее запугать пользователя, зловред использует снимки со встроенной камеры и сообщается, что гаджет заблокирован ФБР после обнаружения на нем незаконного контента — детской порнографии.

К подобным методам запугивания прибегали создатели вымогателя CryptoLocker, который поначалу требовал от пользователей ПК выплаты сотен долларов в обмен на ключ для дешифрования их заблокированных жестких дисков. Затем этот зловред расширил ареал обитания, добавив Android-платформы к списку своих целей.

Эксперты создали эксплоит для уязвимости в Windows
​
Эксплоит позволяет обойти все меры безопасности Windows, модифицировав в ОС один единственный бит.

ИБ-эксперт Уди Яво (Udi Yavo) из компании enSilo сообщил о создании рабочего эксплоита для уязвимости в Windows ( CVE-2015-0057 ), исправленной Microsoft во вторник, 10 февраля. Эта брешь существовала из-за некорректной обработки данных в памяти в Win32k.sys и позволяла локальному авторизованному пользователю повысить привилегии.

По словам Яво, исследователям удалось создать эксплоит для этой уязвимости, с помощью которого можно обойти все меры безопасности Windows, модифицировав в ОС один единственный бит. «Злоумышленники, получившие доступ к устройству на базе Windows (скажем, с помощью фишинга), могут эксплуатировать эту уязвимость для обхода мер безопасности, таких как песочница, сегрегация ядра и рандомизация памяти», - пояснил Яво.

Эксплоит работает на всех версиях ОС, начиная от Windows XP и заканчивая 64-битной Windows 10 Technical Preview (с активированной защитой), и позволяет обойти защиту ядра, в том числе функцию предотвращение выполнения данных (DEP), технологию Address space layout randomization (ASLR), обязательный контроль целостности (MIC) и механизм Supervisor Mode Execution Protection (SMEP).

Яво сообщил, что разработанный enSilo эксплоит подтверждает тот факт, что даже незначительная брешь может позволить злоумышленникам получить полный контроль над Windows. Отметим, что исследователи предоставили технические подробности и опубликовали видео с демонстрацией эксплуатации бреши, однако не выпустили сам эксплоит во избежание злоупотребления.

Масштабная уязвимость угрожает миллионам пользователей

В последнее время мы привыкли к неутешительным новостям в сфере компьютерной безопасности, но новое известие поразило даже видавших виды экспертов. Исследователи крупнейших американских университетов обнаружили опасную уязвимость, которая на протяжении десятилетий подвергала риску хакерских атак миллионы пользователей.

Уязвимость получила название FREAK. Она подвергает риску взлома устройства при посещении предположительно безопасных сайтов, среди них сайты Белого дома, ФБР и даже всесильного Агентства национальной безопасности (АНБ). Исследователи отмечают, что особому риску подвергаются пользователи продукции Apple и Google.

Такое положение дел стало возможным благодаря недальновидной политике властей США. Вплоть до 1999 года, регуляторы запрещали экспорт устройств с сильной криптографической защитой. Компаниям приходилось встраивать более слабый «экспортный» вариант защиты в свою продукцию. После отмены ограничений слабая защита по неизвестной причине продолжила оставаться частью многих устройств.

Эксплуатируя FREAK, эксперты заставили браузеры использовать слабую защиту. Её последующий взлом — вопрос нескольких часов. Дело в том, что «экспортный» вариант криптозащиты основан на ключах шифрования в 512 бит, в 1999 году это был весьма надёжный вариант защиты, но сегодня, учитывая падение цен на вычислительные мощности, она может быть взломана в очень короткое время. Учёные из Университета Пенсильвании смогли взломать «экспортную» защиту за семь часов, используя платформу Amazon Web Services.

FREAK позволяет хакерам организовывать атаки типа «человек посередине» (man-in-the-middle). Суть такого нападения проста: злоумышленник, используя уязвимость, ставит себя в цепь между пользователем и ресурсом и таким образом может перехватывать любые сообщения.

Опасности подвержены в том числе сайты, использующие технологию SSL (Security Socket Layer). Из 14 млн ресурсов, использующих SSL, 5 млн являются уязвимыми, сообщают исследователи.

Ответить на вопрос как часто FREAK эксплуатировался взломщиками, вряд ли возможно. Стоит лишь отметить, что атаки «человек посередине» — популярный инструмент не только среди хакеров, но также среди государств, которые практикуют этот метод для слежки за своими гражданами.

Исследователи, обнаружившие уязвимость, уведомили частные корпорации и органы государственной власти об угрожающей опасности. Apple обещает исправить проблему на следующей неделе. Компания работает над патчем для компьютеров и мобильных устройств. Google также работает над апдейтом безопасности для ОС Android.

Мошенники распространяют вредоносное ПО под видом компьютерных игр или пиратских программ

Загружая файлы с ненадежных источников, пользователь подвергает свой ПК риску заражения.

Как следует из отчета компании Microsoft, в настоящее время в Бразилии и странах Восточной Европы проходит кампания по распространению вредоносного ПО. Злоумышленники под видом компьютерных игр или пиратских программ пытаются распространить шпионское ПО.

Вредоносные файлы размещены на легитимных файлообменниках, в связи с чем рядовому пользователю оказывается довольно затруднительно отличить подлинную загрузку от вредосной. К тому же, в данном случае типичное правило «не доверять сторонним исполняемым файлам» оказывается бесполезным.

«Ничего не подозревающий пользователь может загрузить и запустить внешне безвредную программу, но на самом деле его конфиденциальность уже скомпрометирована, - заявляют специалисты Microsoft. – Оперирующие кампанией злоумышленники передают похищенные личные данные через электронную почту. Мы с партнерами делаем все возможное, чтобы удалить размещенные вредоносные файлы и закрыть учетные записи хакеров».

Пользователи могут защититься от атаки, с осторожностью переходя по ссылкам в сообщениях электронной почты или в соцсетях, а также не скачивать подозрительные файлы. Не стоит забывать, что единственно допустимым источником для загрузки приложений являются официальные сайты их производителей.

uTorrent тайком устанавливает на ПК майнер биткоинов

Последняя версия приложения uTorrent для загрузки торрентов содержит скрытое ПО, предназначенное для добычи виртуальной валюты — биткоинов, — используя процессоры компьютеров пользователей. Владельцы ПК возмущены: приложение появляется в системе без их ведома и его нельзя удалить.
Пользователи Windows-приложения uTorrent, предназначенного для загрузки торрентов и выпускаемого известной американской компанией BitTorrent, возмутились наличием в последней версии дистрибутива скрытой программы, устанавливаемой в систему в процессе инсталляции uTorrent без разрешения и каких-либо уведомлений.
«В ходе установки uTorrent 3.4.2 build 28913 инсталлятор незаметно поместил в мою систему дополнительную программу под названием EpicScale. Причем я не увидел никакой информации об этом приложении. Потом я заметил высокую нагрузку на процессор моего ПК в период простоя. Время появления этой программы в системе точно совпало со временем обновления uTorrent, поэтому источником может быть только этот установщик», — рассказал автор темы на официальном интернет-форуме uTorrent Groundrunner.
Как оказалось, EpicScale — приложение для добычи биткоинов. Оно использует процессор ПК для решения математических уравнений. В результате этих вычислений образуются биткоины — единицы виртуальной валюты, которые можно обменять на реальные деньги (на момент публикации статьи один биткоин стоил около $275). Для единичного ПК задача производства даже одного биткоина непосильна. Но при использовании большого числа компьютеров, можно добыть ощутимое количество виртуальной валюты.
На сайте создателей EpicScale говорится, что это приложение (пока доступное лишь для Windows, но находящееся в разработке для OS X) трудится в пользу благотворительных организаций, поэтому, установив его, пользователь вместе с другими может «сделать мир лучше», просто предоставляя мощности своего ПК.
На сайте EpicScale говорится, что их биткойн-майнеры делают мир лучше​
Представитель команды разработчиков uTorrent N4TE_B заявил на интернет-форуме, что Groundrunner, по всей видимости, ошибся, и что они не добавляли в инсталлятор эту программу скрыто. Пользователь во время установки обязательно должен видеть разрешение на добавление EpicScale, заявил он.
Тем не менее, и другие пользователи, присоединившиеся к ней, заявили, что тоже не видели никаких предупреждений. Они попросили N4TE_B показать им скриншоты, где есть это сообщение. N4TE_B пока не ответил на эту просьбу.
Пользователи также возмущены тем фактом, что полного удаления EpicScale при попытке деинсталляции программы в Windows не происходит — в папке приложения сохраняются и исполняемый файл, и библиотеки. Один из участников беседы сообщил, что ему пришлось воспользоваться программами CCleaner и ADWcleaner, чтобы удалить это приложение.