Взлом контрагента Microsoft затронул email-сервисы

Злоумышленники взломали аккаунт контрагента Microsoft по клиентской поддержке и получили доступ к содержимому email-ящиков пользователей Outlook, MSN и Hotmail. Корпоративные (платные) учетные записи взлом не затронул, остальным клиентам рекомендуется сменить пароль.
Microsoft начала рассылать уведомления затронутым пользователям. Согласно ее письму, образец которого выложен в Reddit, взломщики получили возможность просматривать списки папок в индивидуальных почтовых ящиках, темы сообщений их владельцев и адреса корреспондентов.
Комментируя инцидент для Motherboard, представитель корпорации также подтвердил, что владелец взломанной учетной записи имел доступ к содержимому писем 6% клиентов. Сколько всего пользователей оказалось под ударом, комментатор не уточнил.
«Мы пресекли эту схему, затронувшую небольшую группу клиентских аккаунтов, деактивировав скомпрометированные учетные данные и заблокировав доступ преступникам», — заявил представитель Microsoft журналистам.
Взлом у контрагента был выявлен в конце марта этого года. В уведомлении, которым получатель поделился с Reddit-сообществом, сказано, что несанкционированный доступ к почтовым ящикам пользователей был возможен в течение трех месяцев — с 1 января по 28 марта 2019 года. Цели злоумышленников пока не установлены, поэтому подписчиков почтовых сервисов Microsoft предупреждают о возможности фишинговых писем и иного спама.
Хотя взломщики не завладели ключами для входа в аккаунты Outlook, MSN и Hotmail, пользователям из предосторожности рекомендуется сменить пароль.

Источник: https://threatpost.ru/microsoft-support-agent-hack-impacted-its-email-customers/32271/

В двух миллионах IoT-устройств обнаружена уязвимость

Независимый ИБ-исследователь Пол Маррапезе (Paul Marrapese) обнаружил уязвимости в IoT-оборудовании десятков китайских производителей, которые можно использовать для MitM-атак и вмешательства в работу устройств. По подсчетам эксперта, угрозе подвержены более 2 млн IP-камер, умных дверных звонков, радионянь и прочих IoT-устройств.
Проблема содержится в P2P-утилите iLnkP2P, которая позволяет удаленно управлять техникой через мобильное приложение, минуя ограничения брандмауэров. Для подключения пользователи сканируют штрихкод на своем устройстве или вводят указанный на нем шестизначный код. Для дальнейшей работы авторизация уже не требуется.
Именно это и стало слабым местом данной технологии. По словам Маррапезе, злоумышленникам не составит труда найти уязвимые устройства и перехватить информацию, которую те отправляют на управляющие серверы. Поскольку разработчики не побеспокоились о шифровании этих данных, взломщики могут узнать пользовательский пароль и установить контроль над гаджетом. Это позволит им не только подглядывать за владельцем взломанной камеры, но и создавать обширные IoT-ботнеты наподобие Mirai и его наследников.
Исследователь также напоминает, что подобные устройства могут подолгу работать с заводскими учетными данными и множеством незакрытых уязвимостей в коде. Это избавит злоумышленников от необходимости перехватывать пароль.
По данным Маррапезе, в мире насчитывается более 2 млн гаджетов с этими уязвимостями. Эксперт подчеркнул, что проблема касается только устройств с iLnkP2P — аналогичные программы других разработчиков угрозе не подвержены. Основная часть небезопасных устройств сосредоточена в Китае (39%), на втором месте оказались страны Европы (19%), за ними следуют США (7%).
Эксперт скептически относится к перспективе появления заплаток к обнаруженным брешам.
«Такие уязвимости по самой их природе нелегко закрыть, — поясняет Маррапезе. — На программном уровне это не получится сделать, поскольку идентификаторы устройств [которые пользователь вводит при начале работы с приложением] невозможно просто так поменять. Даже если бы разработчики выпустили патч, в реальности прошивку обновили бы очень немногие. Физически же отозвать все уязвимое оборудование невозможно из-за логистических трудностей».
Маррапезе передал разработчикам всю информацию еще в январе, однако так и не получил ответа. Китайский Центр кибербезопасности (CNCERT) также не отреагировал на сообщение. Как отметил именитый блогер и исследователь Брайан Кребс, сайт создателей iLnkP2P сейчас не работает — взломщики встроили в его код скрипт для переадресации на китайскую игровую площадку.
В сложившихся условиях владельцам уязвимых устройств стоит прекратить их использование. Другой способ защититься от возможных атак —заблокировать обмен данными по UDP-порту 32100.

Источник: https://threatpost.ru/ilnkp2p-vuln-paves-way-for-new-botnet/32506/

AZORult раздается под видом легитимной утилиты

Киберпреступники создали новый канал распространения трояна AZORult. Как выяснили ИБ-специалисты, под видом легитимной утилиты G-Cleaner, предназначенной для очистки дискового пространства в среде Windows, раздается установщик вредоносной программы. Сайт, предлагающий фальшивое приложение, был обнаружен в конце марта, однако в настоящий момент он по-прежнему доступен онлайн.
Криминальная площадка выглядит как обычный ресурс разработчиков и содержит описание утилиты, а также лицензионное соглашение и другую информацию. Создатели программы утверждают, что она предназначена для удаления временных файлов, испорченных ссылок и очистки истории браузера. Тем не менее, после установки на компьютер G-Cleaner загружает в папку %Temp% ряд исполняемых объектов, которые являются компонентами трояна AZORult.
Вредоносные элементы создают в памяти целевой системы несколько процессов и устанавливают соединение с командным сервером. По его команде троян пытается скопировать пароли пользователя, данные криптовалютных кошельков, файлы cookie и другую конфиденциальную информацию. Собранные сведения он упаковывает в архив Encrypted.zip и передает в центр управления. По завершении работы AZORult удаляет свою копию с диска и старается уничтожить другие следы своего пребывания на компьютере.
Код трояна уплыл в Сеть в середине прошлого года и с тех пор активно используется криминальным сообществом. В дарквебе создан специальный сервис, который позволяет генерировать исполняемые модули AZORult в автоматическом режиме. Злоумышленнику достаточно лишь указать адрес своего командного сервера, который будет внедрен в дистрибутив вредоноса.
Чаще всего для распространения похитителя данных используются спам-рассылки, эксплойт-паки и возможности других троянов. Однако иногда киберпреступники изобретают необычные способы доставки полезной нагрузки. Так, в январе 2019 года ИБ-специалисты нашли AZORult в фальшивом файле службы обновления сервисов Google. Вредоносный объект заменял собой легитимный модуль, что позволяло ему автоматически запускаться как минимум дважды в день, не внося изменений в системный реестр.

Источник: https://threatpost.ru/azorult-trojan-pushed-from-website-advertising-new-windows-cleaner/32522/

Исследователи изучили исходный код бэкдора Carbanak

Специалисты FireEye смогли изучить исходный код бэкдора Carbanak, после того как обнаружили материалы на сайте VirusTotal. Исследователям понадобилось два года, чтобы погрузиться в код и разобраться во всех особенностях зловреда.
Первыми о группировке, известной как Carbanak, Anunak и Cobalt, рассказали в 2015 году эксперты «Лаборатории Касперского». По их оценкам, на тот момент ущерб от действий киберпреступников уже составил миллиард долларов. В основном злоумышленники атаковали финансовые организации, однако среди их жертв появились и компании из других сфер.
В 2018 году в результате международной операции правоохранительные органы смогли арестовать главаря Carbanak и нескольких его сообщников. К сожалению, преступникам понадобилось всего два месяца, чтобы возобновить атаки.
В своих кампаниях Carbanak использует уникальный бэкдор, который открывает доступ к платежным системам целевых организаций. До недавней находки антивирусные аналитики были вынуждены изучать его устройство по бинарным файлам, что затрудняло противодействие зловреду. Исходный код позволит экспертам познакомиться со внутренним устройством программы.
Находка представляет собой два архива общим весом 20 Мб, внутри которых содержатся почти 800 файлов. Чтобы разобраться в механике бэкдора, исследователям пришлось изучить 100 тыс. строк кода и пройти экспресс-курс русского языка — именно на нем написан интерфейс устройства и комментарии для оператора.
Специалисты создали словарь, объединивший около 3,4 тыс. русских слов, и специальный Python-скрипт, который автоматизировал перевод материалов. В результате они смогли разобраться в том, какие эксплойты использует Carbanak, как избегает обнаружения и обрабатывает команды с управляющего сервера.
Как выяснилось, вирусописатели применили множество нетривиальных приемов, которые и обеспечили зловреду его впечатляющие способности. Так, при коммуникации с сервером Carbanak использует не традиционные HEX-команды, а технологию именованных каналов Windows (named pipes). Это обеспечивает бэкдору дополнительный уровень скрытности при проведении операций и избавляет от необходимости лишний раз обращаться к сети пораженного хоста.
Эксперты также отметили высокий уровень обфускации зловреда — они насчитали в коде несколько сотен случаев применения этой технологии. В сочетании с именованными каналами это помогает Carbanak эффективно скрываться от защитных систем.
Исследователи уже передали полученную информацию разработчикам программного обеспечения, чтобы те доработали защиту своих продуктов. Находка также позволила определить множество дополнительных индикаторов заражения, что позволяет надеяться на сокращение ущерба от будущих атак Carbanak.

Источник: https://threatpost.ru/researchers-analyzed-carbanak-source-code/32474/

Мошенник под личиной Джейсона Стейтема обокрал англичанку

Жительница графства Большой Манчестер в Англии потеряла сотни тысяч фунтов в результате онлайн-аферы. Она добровольно перевела деньги мошеннику, который выдавал себя за актера Джейсона Стейтема и несколько месяцев переписывался с ней.
Она рассказала журналистам BBC, что злоумышленник завязал с ней разговор в Facebook на фанатской странице, посвященной знаменитости. Женщина решила, что актер лично общается с поклонниками и что это очень мило с его стороны.
Через некоторое время якобы Стейтем попросил добавить себя в контакты в WhatsApp, после чего начал активную переписку. Общение продолжалось несколько месяцев: самозванец сначала убедил жертву, что влюблен в нее и мечтает о встрече, а потом начал упоминать о финансовых трудностях. Ссылаясь на то, что ему якобы задержали выплату за участие в последнем фильме, он попросил взаймы 20 тыс. фунтов стерлингов (более 25 тыс. долларов).
В итоге женщина несколькими платежами перевела мошеннику несколько сотен тысяч фунтов стерлингов. Она отказалась назвать точную сумму, однако заметила, что эти деньги могли бы изменить к лучшему ее жизнь и жизнь ее семьи.
Полиция сообщает, что это не единственная пострадавшая от аферистов такого рода. Только в Большом Манчестере в правоохранительные органы ежемесячно поступает около тысячи заявлений о мошенничестве. Однако следователи полагают, что реальные цифры могут быть в десять раз выше, поскольку далеко не все жертвы обращаются в полицию.
По данным американского Центра приема сообщений об интернет-преступлениях (IC3), на злоупотребление доверием в 2018 году пожаловались почти 18,5 тыс. человек. Официальная сумма потерь при этом составила 350 млн долларов.
В июле 2018 года в США возбудили уголовное дело против семерых выходцев из Нигерии, которые обманом выманили у пользователей сайтов знакомств 1,5 млн долларов. Они несколько недель разыгрывали роман со своими жертвами, а потом просили перевести деньги.

Источник: https://threatpost.ru/fake-jason-statham-cheats-english-woman-for-tons-of-money/32535/