Защитное решение Microsoft Defender в настоящее время классифицирует популярную программу оптимизации и очистки реестра CCleaner для Windows как потенциально нежелательное приложение. CCleaner представляет собой утилиту для удаления нежелательных файлов, очистки реестра и оптимизации производительности Windows, разработанную компанией Piriform. В 2017 году Avast приобрела Piriform, а в 2018 в программу была добавлена функция «мониторинга и сбора данных». Проблема заключалась в том, что данная функция отправляла на серверы Avast различную информацию пользователя, такую как данные об использовании системы, а также постоянно проверяла компьютер на предмет ненужных файлов. Однако даже после отключения функции активного мониторинга из меню CCleaner она автоматически включалась после перезагрузки компьютера или закрытия программного обеспечения. В 2019 году Microsoft временно запретила CCleaner на форумах сообщества Microsoft, в результате чего ссылки на программу подвергались цензуре при публикации. Запрет был обусловлен общей позицией Microsoft, согласно которой очистители реестра и оптимизаторы системы могут принести больше вреда, чем пользы в системах Windows. Теперь же корпорация Microsoft классифицирует CCleaner как угрозу. Изменение затрагивает только бесплатные версии, содержащие в себе другое программное обеспечение. «Некоторые продукты, такие как утилиты очистки реестра, предполагают, что реестр нуждается в регулярном обслуживании или очистке. Однако при неправильном изменении реестра с использованием этих типов утилит могут возникнуть серьезные проблемы. Эти проблемы могут потребовать от пользователей переустановки операционной системы из-за нестабильности», — говорилось в сообщении Microsoft за 2018 год. Как сообщили представители Piriform изданию BleepingComputer, они считают это ошибочным срабатыванием и ведут переговоры с Microsoft, чтобы решить данную ситуацию.

Источник: https://www.securitylab.ru/news/510648.php

Времена, когда вредоносного ПО для Linux практически не существовало, давно канули в Лету. В настоящее время сообщения об угрозах для Linux появляются почти каждую неделю. К примеру, недавно специалисты ИБ-компании Intezer Labs представили подробный анализ нового трояна Doki, которым обзавелась хорошо известная киберпреступная группировка Ngrok, специализирующаяся на майнинге криптовалюты. Группировка, активная с 2018 года, получила свое название из-за первоначального использования сервиса Ngrok для хостинга своих C&C-серверов. Однако, по данным Intezer Labs, в нынешнем году она изменила тактику и теперь атакует установки Docker, где хранятся незащищенные API. В изученных исследователями атаках с помощью Docker API киберпреступники развертывали новые серверы внутри облачной инфраструктуры атакуемой компании. Эти серверы работали на Alpine Linux и были заражены вредоносным ПО для майнинга криптовалюты и трояном Doki. Doki предоставляет атакующим контроль над вновь развернутыми серверами Alpine Linux и тем самым позволяет им следить, чтобы операция по добыче криптовалюты проходила как положено. Хотя в таком функционале нет ничего необычного, по словам исследователей, Doki все же сильно отличается от других подобных троянов. В частности, исследователей заинтересовало, как Doki определяет URL-адрес C&C-сервера, к которому нужно подключиться для получения инструкций. В отличие от других подобных троянов, подключающихся к вшитым в исходный код IP- или URL-адресам, Doki использует динамический алгоритм DGA (domain generation algorithm). DGA позволяет трояну определять адрес C&C-сервера с помощью Dogecoin API. То есть, операторы трояна могут менять сервер, с которого он получает команды, осуществив всего одну транзакцию из подконтрольного им Dogecoin-кошелька. Если DynDNS (ddns.net) получает отчет о злоупотреблении текущим URL-адресом C&C-сервера Doki и отключает его, операторам Ngrok достаточно лишь осуществить новую транзакцию, определить значение поддомена, настроить новую учетную запись DynDNS и получить поддомен. Этот механизм является эффективным способом защиты от отключения бэкэнд-инфраструктуры Doki правоохранительными органами. Для того чтобы это сделать, правоохранителям необходимо захватить контроль над принадлежащим Ngrok кошельком Dogecoin, а это невозможно без криптографического ключа.

Источник: https://www.securitylab.ru/news/510608.php

Две недели назад специалист компании Cyber R&D Lab Ли-Энн Голлуэй (Leigh-Anne Galloway) представила результаты исследования, посвященного реализации банками карт с чипами EMV. Исследовательница получила 11 EMV-карт от ряда европейских, британских и американских банков и с помощью инструментов, близких к тем, которыми пользуются кардеры, скопировала данные с магнитных лент и без труда создала версии этих карт, но без чипа. Дело в том, что EMV-карты также имеют магнитную ленту на случай, если ее держатель окажется в стране, где банковские карты с чипами не поддерживаются. О возможности создания оснащенных магнитными лентами «клонов» EMV-карт известно еще с 2008 года, однако данная проблема перестала считаться актуальной, так как предполагалось, что банки перейдут на карты только с чипами, без магнитных лент. До того, как карты с магнитными лентами будут полностью выведены из эксплуатации, банки должны проводить целый ряд проверок безопасности, прежде чем одобрять межтехнологические транзакции. Поскольку многие банки такую проверку не проводят, известная с 2008 года проблема по-прежнему остается актуальной. По словам Голлуэй, ей удалось осуществить законные транзакции с использованием четырех оснащенных магнитными лентами «клонов» настоящих EMV-карт. Хотя исследовательница упрекнула банки в несоблюдении проверок безопасности при утверждении транзакций, две недели назад эта проблема еще считалась только теоретической. Все изменилось в четверг, 30 июля, с выходом отчета компании Gemini Advisory. По словам экспертов, они обнаружили на киберпреступных форумах объявления о продаже данных EMV-карт, похищенных, в частности, у клиентов американской сети супермаркетов Key Food Stores Co-Operative и магазина алкогольной продукции Mega Package Store. Более того, опубликованное в этом месяце уведомление компании Visa подтверждает, что киберпреступники используют данные EMV-карт. Согласно уведомлению, вредоносное ПО для PoS-терминалов Alina POS, Dexter POS и TinyLoader получили новые функции похищения данных EMV-карт. Ранее эти вредоносные программы не собирали такую информацию, поскольку ее нельзя было монетизировать. Однако теперь, похоже, дела обстоят иначе. По мнению специалистов Gemini Advisory, оба эти факта (появление данных EMV-карт в продаже на хакерских форумах и уведомление Visa) свидетельствуют о том, что кардеры нашли способ использования данных EMV-карт. Вероятно, киберпреступники вооружились описанным 12 назад методом, использовавшимся в исследовании Голлуэй и получившим название EMV-Bypass Cloning. Блокировать подобный тип мошенничества легко, так как банкам нужно только проводить более тщательные проверки при обработке транзакций с магнитных полос с карт, в которых также есть чип EMV. Как показало исследование Cyber R&D Labs, некоторые банки это делают, а некоторые нет.

Источник: https://www.securitylab.ru/news/510684.php

Киберепреступники в рамках фишинговой кампании использовали рекламный сервис Google Ads для обхода шлюзов безопасности электронной почты (Secure Email Gateways, SEG), перенаправляя сотрудников целевых организаций на фишинговые страницы с целью похитить их учетные данные Microsoft Office 365. Как сообщили специалисты из Центра фишинговой защиты Phishing Defense Center (PDC) компании Cofense, домены, используемые рекламной платформой Google, игнорируются SEG, что позволяет злоумышленникам доставлять фишинговые сообщения своим жертвам, минуя почтовые фильтры. Технология SEG была разработана с целью заблокировать попытки спама и фишинг с помощью стеков фильтрации, проверяющих все входящие электронные письма на наличие вредоносного содержимого. Фишинговые электронные письма были отправлены сотрудникам нескольких организаций со скомпрометированных учетных записей. Потенциальных жертв информируют о последних изменениях в Условиях использования и Политике конфиденциальности и просят принять изменения, чтобы иметь возможность продолжать пользоваться услугами. Однако кнопка «Принять», встроенная в фишинговые электронные письма, перенаправляет пользователей на фишинговые страницы с помощью переадресации Google Ads. Предположительно, мошенники заплатили за рекламное объявление Google, а затем использовали его URL-адрес для перенаправления жертв на фишинговые страницы. Фишинговые страницы имитируют легитимные web-сайты авторизации в сервисе Microsoft Office 365.

Источник: https://www.securitylab.ru/news/510700.php

Во Владимирской области возбуждено уголовное дело в отношении местного хакера. Мужчина через интернет проник в охраняемую законом компьютерную информацию и удалил ее. По информации пресс-службы УФСБ по Владимирской области, ковровчанин 1982 года рождения залез в информационные ресурсы акционерного общества «Всероссийский научно-исследовательский институт «Сигнал» (входящий в состав холдинга «Высокоточные комплексы» госкорпорации «Ростех», содержащие охраняемую законом компьютерную информацию.
— По версии следствия, в феврале 2020г. указанный гражданин, находясь по месту жительства в г.Коврове, посредством подключенной к информационно-телекоммуникационной сети «Интернет» личной ЭВМ, используя персональные логин и пароль сотрудников АО «Сигнал», осуществил неправомерный доступ к информационным ресурсам предприятия и произвел удаление (уничтожение) ограниченной в доступе и охраняемой законом информации, — сообщили в пресс-службе УФСБ. В отношении мужчины возбуждено уголовное дело по ч. 1 ст. 272 УК РФ (неправомерный доступ к компьютерной информации). В пресс-службе регионального УФСБ воздержались от комментариев о том, как ковровчанин получил доступ к паролям сотрудников института.

Источник: https://www.securitylab.ru/news/510672.php