Выдающие себя за техподдержку мошенники активно эксплуатируют ошибку в браузере Firefox с целью вынудить жертв обратиться к ним за «помощью».
Речь идет об ошибке в работе браузера, обнаруженной три месяца назад и затрагивающей стабильные сборки Firefox 70.x, бета-версии 71.x и ночные версии 72.x. С ее помощью злоумышленники могут блокировать браузер жертвы и отображать поддельное уведомление о необходимости скорейшего обращения в техподдержку, иначе через 5 минут система будет отключена. Закрыть вкладку с уведомлением жертва не может.
Для блокировки браузера злоумышленники отправляют большое количество запросов на подтверждение авторизации, поскольку ограничений на их количество нет никаких. Жертва может вернуть себе контроль над браузером, завершив связанный с Firefox процесс в «Диспетчере задач» Windows.
Как сообщает исследователь безопасности Жером Сегура (Jérôme Segura), мошенники, использующие данный баг, стараются запугать пользователей. Текст отображаемого ими уведомления гласит: «Не игнорируйте это важное предупреждение. Остановитесь и не выключайте ваш ПК. Ключ реестра вашего компьютера заблокирован. Почему мы заблокировали ваш компьютер? Ключ реестра Windows незаконный. Этот Windows-компьютер использует пиратское ПО. Этот Windows-ПК рассылает вирусы по интернету. Этот Windows-ПК взломан. Мы заблокировали компьютер ради вашей безопасности. Пожалуйста, позвоните нам в течение 5 минут, иначе ваш компьютер будет отключен».
В настоящее время Mozilla работает над исправлением ошибки.

Источник: https://www.securitylab.ru/news/502368.php

Американское подразделение компании Nikkei пострадало от крупного мошенничества, в результате которого лишилось около 3,2 млрд. японских иен (примерно $29 млн). Средства были переведены сотрудником компании по указанию мошенника, действовавшего под видом руководителя международной фирмы.
BEC-атаки (Business Email Compromise) представляют собой мошенническую схему, при которой злоумышленники просят сотрудника компании перевести деньги на подконтрольный им банковский счет, отправив просьбу в электронном письме якобы от имени директора компании или доверенного партнера.
Компания уведомила правоохранительные органы в США и Гонконге, поскольку киберпреступники часто перенаправляют украденные деньги на счета в Гонконге.
«Мы проводим расследование, а также проверяем подробности и причины данного инцидента», — сообщила компания в официальном заявлении.
Напомним, в сентябре нынешнего года производитель автомобильных компонентов Toyota Boshoku Corporation (входит в Toyota Group) также сообщил о мошенничестве, в результате которого одна из ее европейских дочерних компаний потеряла более $37 млн. Инцидент произошел 14 августа текущего года.

Источник: https://www.securitylab.ru/news/502297.php

В Китае проведены многочисленные аресты в целях ограничения деятельности, связанной с созданием ботнетов и сдачей их в аренду для проведения DDoS-атак. Согласно сообщению в блоге ZDNet, среди задержанных числятся два предполагаемых оператора сети, объединяющей 200 тыс. взломанных сайтов.
По словам репортера, рост количества сайтов, предлагающих специнструменты и услуги неискушенным дидосерам, стал особенно заметным в Китае после слива в Сеть исходных кодов IoT-бота Mirai. В 2017 году наблюдатели из Cisco Talos сочли нужным привлечь внимание интернет-сообщества к вредоносной активности, посетовав на бездействие китайских властей.
Время шло, но число теневых DDoS-сервисов в Поднебесной продолжало множиться. Местные ботоводы перестали полагаться только на Mirai и IoT и начали экспериментировать со зловредами, способными атаковать уязвимости в серверах и фреймворках для разработки веб-приложений. Китайская армия DDoS-ботнетов разрослась и стала настолько активной, что властям волей-неволей пришлось принимать крутые меры.
Подготовка к ликвидации самого крупного из известных китайских ботнетов началась в августе 2018 года. По данным местных источников, которые изучил автор записи ZDNet, расследование было запущено после того, как полицию провинции Цзянсу известили о взломе большого количества серверов в сетях провайдера Xuzhou Telecom.
Как оказалось, взломщики открыли на серверах бэкдоры, чтобы обеспечить себе удаленный контроль. Масштабность операции стала очевидной, когда выяснилось, что злоумышленники используют уязвимости для внедрения вредоносного кода и заразили таким образом более 200 тыс. сайтов, среди которых много китайских порталов и правительственных интернет-площадок.
Согласно сообщениям местных СМИ, обнаруженный ботнет использовался в основном для проведения DDoS-атак; мощность некоторых из них на пике достигла 200 Гбит/с. Арендаторы сети также засоряли взломанные сайты спамом, размещали на них вредоносную рекламу и добывали криптовалюту, используя мощности приобщенных к ботнету серверов.
По результатам расследования в 20 городах Китая были проведены полицейские рейды. Арестовано более 40 подозреваемых; у них суммарно конфисковали 10 млн юаней (1,4 млн долларов США).

Источник: https://threatpost.ru/chinese-authorities-crack-down-on-ddos-for-hire-botnets/34748/

Выступая на конференции Virus Bulletin в Лондоне, исследователи из Чешского технического университета, Национального университета Куйо (Аргентина) и компании Avast рассказали, как им удалось обнаружить один из крупнейших Android-ботнетов, созданный на основе банковского трояна. Как оказалось, в состав вредоносной сети, получившей кодовое имя Geost, входят как минимум 800 тыс. зараженных устройств, расположенных преимущественно в России, а ее операторы суммарно контролируют несколько миллионов евро на счетах своих жертв в пяти российских банках.
Командный сервер нового ботнета был найден по чистой случайности в ходе анализа трафика другого зловреда, HtBot. Эта вредоносная программа устанавливает прокси-сервер на зараженных устройствах, позволяя своим хозяевам зарабатывать на продаже услуг по анонимизации трафика. Как выяснилось, этим прикрытием пользуются также ботоводы Geost.
По всей видимости, качество прокси-сервиса на основе HtBot оставляло желать лучшего, так как исследователям удалось отследить обращение зараженного зловредом устройства к C&C-серверу нового ботнета. Получить представление о деятельности операторов Geost помогла еще одна их ошибка: сообщники вели переговоры в чате, не используя шифрование. Это позволило наблюдателям узнать, каким образом злоумышленники заходят на свои серверы, заражают Android-устройства, обходят антивирусную защиту, получают доступ к банковским счетам.
Оказалось, что новый троян распространяется под видом легитимных банковских приложений и клиентов социальных сетей. По набору функций он мало отличается от других мобильных зловредов — разве что их разнообразием. «Авторы атак, по всей видимости, имеют возможность читать SMS-сообщения, отправлять их, взаимодействовать с банками и перенаправлять трафик телефона на другие сайты, — рассказывают докладчики. — Ботоводы также получают доступ к большому количеству личной информации пользователя». После заражения все SMS-сообщения жертвы отсылаются на C&C-сервер для хранения.
Инфраструктура нового ботнета довольно сложна. «В распоряжении ботоводов Geost имеются сотни созданных по DGA вредоносных доменов, как минимум 13 IP-адресов C&C в шести странах, не менее 800 тыс. жертв из России и доступ к нескольким млн евро на счетах жертв, — пишут авторы исследования в аннотации. — Мы видели снимки панелей управления, списки жертв и их SMS-сообщения. Ботнет может напрямую подключаться к пяти топовым банкам в России для проведения транзакций, он развернул более 200 APK-файлов, имитирующих десятки Android-приложений».
Объединенная команда исследователей связалась с затронутыми российскими банками и вместе с ними пытается остановить вредоносную кампанию. Два из этих банков ведут деловые операции в Западной и Восточной Европе, один входит в состав холдинга с филиалами в 15 странах. «Тот факт, что список [целей] включает лишь пять позиций, наводит на мысль об особых операциях, возможных только в этих банках, — заключают исследователи. — Не исключено, что вредоносные APK или код C&C способны получать доступ к аккаунтам и совершать переводы только в этих банках, однако это лишь предположение».

Источник: https://threatpost.ru/virus-bulletin-geost-android-botnet/34338/

Эксперты «Лаборатории Касперского» предупредили о волне фишинговых атак, направленных против корпоративных пользователей сервисов Microsoft. Злоумышленники охотятся за учетными данными, оформляя вредоносные письма как уведомления о голосовых сообщениях или предупреждения о проблемах с доставкой электронной почты.
Как сообщили аналитики, жертвы получают письмо со временем отправки ложного аудиосообщения и превью Just checking to remind you in regards to our… За полной версией послания пользователей приглашают на сторонний ресурс, который копирует оформление одного из сервисов Microsoft. Если посетитель поддается на уловку и вводит свои данные, его перебрасывают на легитимный сайт с описанием настоящего сервиса голосовых сообщений для бизнеса.
Помимо этих писем исследователи обнаружили фишинговые сообщения, замаскированные под уведомления о застрявших на сервере письмах. Для их получения также необходимо пройти по приложенной ссылке, далее повторяется первый сценарий.
«Фишеры рассчитывают, что сотрудники побоятся пропустить важное рабочее письмо или голосовое сообщение в большом потоке входящих и потому поведутся на правдоподобные уловки, — комментирует Мария Вергелис, старший спам-аналитик «Лаборатории Касперского». — Злоумышленники активно совершенствуют свои методы, поэтому компаниям нужно быть настороже и использовать надежное защитное решение, включающее в себя качественные технологии антифишинга».
Эксперты Kaspersky также сообщили, что за прошлый год среднемесячное количество фишинговых атак выросло более чем в 4,5 раза. По их данным, это самая быстрорастущая киберугроза на данный момент.
Главную роль в защите компаний от подобных атак играют тренинги сотрудников. Пользователи должны уметь распознать угрозу, чтобы не пройти по опасной ссылке, не открыть подозрительный файл и не отправить важную информацию на сторонний сайт. Кроме того, администраторам рекомендуется внедрить системы многофакторной аутентификации для доступа к корпоративным ресурсам. При этом лучше не отправлять коды в SMS-сообщениях, поскольку их можно перехватить, а использовать токены в мобильном приложении-аутентификаторе.
Ранее исследователи выяснили, что корпоративные пользователи зачастую не соблюдают установленные правила безопасности. Сотрудники копируют ценные данные на съемные носители и во внешние хранилища, устанавливают на рабочие компьютеры стороннее ПО. За прошедший год частота таких нарушений выросла с 60% до 95–100%.

Источник: https://threatpost.ru/kaspersky-on-microsoft-spam-wave-2019/34308/