Кто-то удаляет вредоносное ПО Phorpiex с зараженных компьютеров
Неизвестные лица (или лицо) удаляют вредоносное ПО Phorpiex (Trik) с зараженных систем. На системах пользователей также появляется окно с рекомендацией установить антивирусное ПО и обновить компьютер.
Первоначально многие пользователи подумали, что это была шутка, закодированная внутри вредоносной программы командой Phorpiex с целью троллинга ИБ-экспертов. Однако вскоре оказалось, что вредоносное ПО в самом деле удаляется с пользовательских систем.
«Это действительно происходит. Мы внимательно следили за данным семейством вредоносных программ и недавно зафиксировали подобное поведение», — сказал руководитель отдела кибер-исследований в Check Point Янив Балмас (Yaniv Balmas) изданию ZDNet.
Балмас также поделился своими теориями касательно данной ситуации: операторы вредоноса могли собственноручно отключить ботнет, это может быть дело рук правоохранительных органов, неизвестного исследователя безопасности или же операторов конкурирующих вредоносных программ, саботирующих команду Phorpiex.
Вредоносный пакет npm похищает данные с UNIX-подобных систем
Команда безопасности пакетного менеджера npm (Node Package Manager) для экосистемы JavaScript удалила вредоносный пакет, похищавший данные с UNIX-подобных систем. Речь идет о пакете 1337qq-js, загруженном в репозиторий npm 30 декабря 2019 года. Вредонос находился в репозитории до 13 января, и к тому времени, как его обнаружили специалисты из Microsoft Vulnerability Research, был загружен по крайней мере 32 раза.
Как показал проведенный командой npm анализ 1337qq-js, пакет похищает чувствительные данные с помощью установки скриптов и нацелен исключительно на UNIX-подобные системы. Вредонос похищает такие данные, как переменные среды, запущенные процессы, содержимое /etc/hosts, функция uname –a и файл npmrc.
Похищение переменных среды представляет большую угрозу безопасности, поскольку в некоторых JavaScript web- и мобильных приложениях неизменяемые пароли и токены доступа API хранятся в виде переменных среды.
Команда npm рекомендует разработчикам, загрузившим или использовавшим пакет 1337qq-js в своих проектах, удалить его с систем и осуществить ротацию скомпрометированных учетных данных.
За последние несколько лет из репозитория npm вредоносные пакеты удалялись несколько раз. К примеру, в августе прошлого года был обнаружен пакет bb-builder, похищавший учетные данные с систем, на которых он был установлен. Вредонос находился в репозитории в течение года.
В Google Play Store обнаружен новый тип мошеннических приложений
Специалисты компании Sophos обнаружили в Google Play Store очередную «порцию» мошеннических приложений (fleeceware), в общей сложности загруженных из магазина более 600 млн раз.
Термин fleeceware появился в профессиональном жаргоне экспертов по информационной безопасности совсем недавно. Его ввели эксперты Sophos в сентябре прошлого года, когда обнаружили в Google Play Store новый тип мошеннического ПО. Под fleeceware (английское слово «fleece» означает «овечье руно», но также переводится как «выманивание денег») специалисты понимают приложения, пользующиеся возможностью предоставлять пробный период пользования до списания средств со счета пользователя.
По умолчанию пользователи, подписавшиеся на пробную версию приложения, по истечении пробного периода должны вручную отменить подписку, чтобы избежать списания средств. Тем не менее, многие предпочитают просто деинсталлировать приложение, если оно им не понравилось. Большинство разработчиков рассматривают удаление приложения как нежелание пользователя его покупать и не взимают за него плату.
Тем не менее, в прошлом году эксперты Sophos обнаружили, что некоторые разработчики не отменяют подписку, если пользователь удалил приложение, и по окончании пробного периода списывают средства. Тогда исследователи выявили 24 Android-приложения, снимающие со счетов пользователей довольно крупные суммы (от $100 до $240) в качестве оплаты за годовую подписку на очень простые приложение, такие как сканеры QR-кодов и калькуляторы.
Теперь исследователи обнаружили еще 25 таких приложений, загруженные из Google Play Store несколько сотен миллионов раз. Однако в Sophos считают, что число загрузок является «накрученным» через сервисы «плати-за-установку», а положительные отзывы были проплачены.
Модератору подпольной торговой площадки AlphaBay грозит 20 лет тюрьмы
25-летний Брайан Коннор Херрелл (Bryan Connor Herrell) признал себя виновным в рэкете, связанном с торговой интернет-площадкой даркнета AlphaBay. Прежде чем AlphaBay была закрыта правоохранительными органами в июле 2017 года, Херрелл был модератором площадки и работал под псевдонимами Penissmith и Botah, сообщили в пресс-службе Министерства юстиции США.
По словам обвиняемого, он получал оплату биткойнами за «разрешение споров между продавцами и покупателями, в общей сложности урегулировав более 20 тыс. разногласий».
AlphaBay являлась одной из крупнейший торговых площадок в даркнете. По масштабам AlphaBay в десять раз превосходила подпольную площадку Silk Road, прекратившую существование в ноябре 2013 года. На сайте размещались предложения по продаже более 350 тыс. товаров — от наркотиков и фальшивых документов до вредоносного ПО и другого хакерского инструментария.
Приговор Херреллу назначен на 18 мая 2020 года, ему грозит максимальное установленное законом наказание в виде 20 лет лишения свободы.
Напомним, в 2017 году сотрудники правоохранительных органов США и Европы заблокировали две крупнейшие в даркнете торговые площадки AlphaBay и Hansa, предлагавшие огромное число нелегальных товаров. В начале июля в рамках отдельной операции правоохранительные органы США и Канады изъяли серверы AlphaBay. Также в Таиланде был арестован один из администраторов сайта Александр Казес (Alexander Cazes), известный под псевдонимом Alpha02.
Интерпол арестовал 3 преступников, осуществлявших атаки наподобие Magecart
Национальная полиция Индонезии на совместной пресс-конференции с Интерполом сообщила об аресте трех индонезийских киберпреступников, которые наподобие группировок Magecart взломали сотни международных интернет-магазинов и похитили данные платежных карт покупателей.
Трое преступников из городов Джакарты и Джокьякарты (Индонезия) были арестованы в декабре прошлого года по обвинению в хищении данных, мошенничестве и несанкционированном доступе. Как и в случаях с группировками Magecart, злоумышленники эксплуатировали уязвимости в сайтах интернет-магазинов, работающих на платформах управления контентом Magento и WordPress.
Преступники внедряли на скомпрометированные web-сайты JavaScript-код для скимминга цифровых кредитных карт, похищения учетных данных пользователей в режиме реального времени, номеров их платежных карт, а также имен и адресов.
Хотя представители индонезийской полиции сообщили о взломе 12 web-сайтов интернет-магазинов, ИБ-эксперты из компании Sanguine Security утверждают , что та же самая группа стоит за кражей данных кредитных карт в более чем 571 интернет-магазине.
«Взломы могут быть приписаны данным преступникам из-за странного сообщения, которое содержалось во всем скимминговом коде. Фраза «Success gan» уже много лет присутствует во всех их скимминг-инфраструктурах», — пояснили эксперты.
Злоумышленники использовали украденные кредитные карты для покупки электронных товаров и других предметов роскоши, а затем также попытались перепродать некоторые из них по относительно низкой цене через местные интернет-магазины в Индонезии.
Один из обвиняемых признал свою вину во взломе сайтов интернет-магазинов и внедрении скиммеров с 2017 года, сообщил индонезийским новостной канал Metro TV.
