Вымогатель JNEC.a использует брешь в WinRAR

Эксперты обнаружили первый зловред-вымогатель, который эксплуатирует обнаруженную в январе RCE-уязвимость WinRAR. По словам аналитиков, платить выкуп бесполезно — из-за ошибки в коде расшифровать пораженные файлы не смогут даже сами организаторы кампании.
Специалисты назвали свою находку JNEC.a. Вымогатель, оказавшийся вайпером, распространяется через зараженный RAR-архив с PNG-файлом внутри. Если жертва распаковывает содержимое, на экране появляется сообщение об ошибке. Сама картинка отредактирована таким образом, что производит впечатление поврежденной. Все это лишь отвлекает внимание пользователя: открытие архива приводит к заражению.
Зловред полностью шифрует файлы на компьютере, и процесс занимает больше времени, чем у других вымогателей. По окончании работы JNEC.a показывает пользователю сообщение с требованием заплатить 0,05 BTC (около $200 по курсу на день публикации).
Эксперты отмечают оригинальный способ контакта, который изобрели операторы кампании. Зловред генерирует последовательность из букв и цифр и просит жертву зарегистрировать соответствующий почтовый адрес в сервисе Gmail. Предполагается, что после получения денег вымогатели отправят на этот ящик ключ для расшифровки.
На самом деле платить преступникам смысла нет, и в данном случае дело не в этической составляющей. Как пояснил эксперт Майкл Гиллеспи (Michael Gillespie), создатели JNEC.a «накосячили с применением ключей», сделав расшифровку невозможной.
Судя по балансу кошелька, который указан в требовании выкупа, на данный момент кампания не принесла организаторам прибыли. Последняя указанная в нем транзакция прошла в октябре 2018 года, а общий объем полученных средств составляет около $220.
Уязвимость CVE-2018-20250, на которой построена атака, позволяет злоумышленникам выгружать вредоносное ПО в произвольные папки на компьютерах жертв. По словам специалистов, которые обнаружили брешь в январе этого года, она присутствовала в коде WinRAR на протяжении 19 лет.
В настоящий момент для уязвимости есть два патча — один подготовили разработчики архиватора, второй выпустили специалисты сторонней ИБ‑компании. Кроме того, проблему устранили в обновленном WinRAR 5.70.
В свою очередь, преступники создали уже более 100 эксплойтов на базе этой бреши. Все они появились в первую неделю после публикации PoC-кода и в большинстве своем применяются против пользователей в США.

Источник: https://threatpost.ru/buggy-ransomware-jneca-uses-winrar-vulnerability/31932/

Мошенники распространяют поддельный криптовалютный кошелек Wasabi

В Сети появился поддельный криптовалютный кошелек Wasabi – wasabibitcoinwallet.org (заходить на сайт не рекомендуется), предназначенный, очевидно, для кражи биткойнов. Об этом в четверг, 21 марта, на своей странице в Twitter предупредил разработчик Wasabi Адам Фичор (Adam Fichor), также известный как nopara73‏.
На мошенническом сайте размещены четыре ссылки якобы для загрузки криптовалютного кошелька на macOS, Windows и Linux (две ссылки). По словам Фичора, вредоносное ПО (MSI-файл) заражает только компьютеры под управлением Windows. «Первое вредоносное ПО под видом Wasabi: wasabibitcoinwallet.org. Обратите внимание, на их сайт ведет только ссылка для Windows, остальные же ведут на наш репозиторий GitHub», – сообщил разработчик.
Фичор загрузил на свой ПК поддельный кошелек, и его антивирусная программа без проблем пропустила вредонос. Похоже, в настоящее время решениями безопасности он не детектируется.
В разговоре с журналистами The Next Web разработчик предположил, что сайт пока еще не является вредоносным ПО как таковым. «Пока что это может быть и не вирус, возможно, они только собирают свою базу данных. Это может быть и вирус, но в таком случае это весьма избирательная афера. Пользователи OSX и Linux будут подтверждать легитимность сайта, потому что их ПО оригинальное, из-за этого может возникнуть путаница на форумах, через которые они будут распространять ссылку», – отметил Фичор.

Источник: https://www.securitylab.ru/news/498455.php

В Корее арестованы четверо мужчин, подглядывавших за постояльцами отелей через видеокамеры

В Республике Корея арестованы четверо мужчин по обвинению в скрытой съемке 1,6 тыс. постояльцев отелей и продаже видеоматериала интимного характера в интернете.
Как сообщает BBC, в августе прошлого года мужчины установили мини-камеры с 1 мм объективами в номерах 30 отелей в 10 различных городах Южной Кореи. Устройства были вмонтированы в телевизоры, розетки и даже в держатели для фенов для волос. В ноябре преступники создали сайт, пользователи которого могли либо бесплатно просматривать 30-секундные видеоролики порнографического характера, либо смотреть полнометражное видео за плату.
Злоумышленники предположительно загрузили на сайт 803 видеоролика. Для обхода местного законодательства (в Южной Корее порнография запрещена) они арендовали сервер за рубежом. В общей сложности сайт принес своим создателям $6,2 тыс. Сервис был отключен в нынешнем месяце и на момент отключения насчитывал 97 платных подписчиков.
Если суд признает арестованных виновными, им грозит наказание в виде 10 лет лишения свободы и 30 миллионов (порядка $26,57 тыс.) штрафа.
В последнее время скрытая съемка обнаженки и сексуальных сцен стала большой проблемой в Республике Корея. Скрытые видеокамеры устанавливаются в туалетах и раздевалках, а в некоторых случаях видео эротического характера из мести выкладывают в Сеть бывшие любовники.
В 2017 году в правоохранительные органы страны поступило более 5 тыс. жалоб на скрытую съемку интимных сцен. Для сравнения, в 2012 году данный показатель был на уровне 2,4 тыс. В 2017 году по обвинению в скрытой съемке и связанных преступлениях было арестовано более 5,4 тыс. человек, но только 2% из них были приговорены к тюремному заключению. Эпидемия скрытой съемки в Южной Корее даже привела к протестам – граждане вышли на улицы Сеула с требованием ужесточить наказание за «подглядывание».

Источник: https://www.securitylab.ru/news/498421.php

В Нидерландах 20-летний организатор DDoS-атак избежал тюрьмы

Нидерландский суд оставил на свободе организатора DDoS-атак, от которых пострадали BBC, Yahoo News, криптобиржа Moneypot и прочие интернет-ресурсы. Злоумышленник, которому на момент суда исполнилось 20 лет, признал вину и попросил о снисхождении, что позволило ему отделаться 120 часами общественных работ.
Следствие не раскрывает имя преступника — в судебных материалах он обозначен как S. Эксперты полагают, что это один из 20 операторов крупнейших IoT-ботнетов 2018 года.
По информации издания ZDNet, преступник построил сеть на базе варианта Mirai. Обвинение оценило ее размер в 2697 хостов, другие источники сообщают о 10 тыс. зараженных устройств. В октябре 2016 года злоумышленник стал атаковать с их помощью различные сайты, требуя с некоторых компаний выкуп. DDoS-атаки с этого ботнета прекратились лишь через год, когда полиция арестовала организатора.
Сам S. объяснил свои действия тем, что родители ограничивали его карманные расходы. Когда злоумышленник узнал, что Mirai принес своему создателю $100 тыс., он решил также воспользоваться ботнетом — зловред к тому времени уже попал в открытый доступ. Как установило следствие, преступная деятельность принесла преступнику $150 тыс. в биткойнах.
Представители обвинения просили назначить молодому человеку два года тюремного заключения вместе со штрафом в €12 тыс., которые он должен заплатить некоторым жертвам. Итоговый приговор оказался мягче — подсудимого ждут 120 часов общественных работ и условный срок в 360 дней. Суд учел тот факт, что S. нарушил закон до совершеннолетия и полностью признал свою вину. Вторую часть наказания, 377 дней заключения в центре для несовершеннолетних, списали в счет времени, которое преступник провел в ожидании приговора.
В своей речи в суде молодой человек сообщил, что в настоящее время зарабатывает на добыче и обмене криптовалют. Судья заметил, что новую деятельность S. нельзя назвать безопасной, и в скором будущем молодому человеку могут вновь понадобиться деньги.
В 2018 году белорусский суд отпустил на свободу администратора ботнета Andromeda, приняв в качестве смягчающего обстоятельства то, что зловред не атаковал пользователей в СНГ. Подсудимый, который за два года обеспечил доставку более 80 типов опасного ПО, отдал государству все полученные незаконным путем средства в размере 11 тыс. белорусских рублей (около ₽360 тыс. на момент приговора).

Источник: https://threatpost.ru/dutch-ddos-mirai-botmaster-evades-jail/31897/

Неизвестные похитили $7,7 млн в криптовалюте EOS

Злоумышленнику удалось похитить $7,7 млн в криптовалюте EOS из-за халатности одного из управляющих черным списком.
О взломе стало известно в субботу, 23 февраля, из Telegram-сообщения в группе EOS42, куда входят владельцы криптовалюты EOS. Как говорилось в сообщении, 22 февраля учетная запись EOS одного из пользователей была скомпрометирована. Обнаружив взлом, пользователь выполнил все требования в соответствии с вшитой в блокчейн стандартной инструкцией по внесению скомпрометированных аккаунтов в черный список.
Данная инструкция подразумевает уведомление 21 «производителя блоков» (термин, обозначающий самых производительных майнеров EOS) о взломанном криптовалютном кошельке. Эти «производители блоков» должны добавить адрес в черный список, для того чтобы криптовалютные биржи могли блокировать перевод средств.
«Каждый из 21 производителя блоков обязан обновлять черный список. Если хотя бы один из них не обновит черный список, взломанные аккаунты могут быть опустошены. Именно это и произошло в течение последних 24 часов, когда новая смена производителей блоков вовремя не обновила черный список. К сожалению, один из взломанных кошельков, содержащий 2 млн EOS, уже начал опустошаться», — сообщили участники EOS42.
Производителем блоков, не обновившим вовремя черный список, оказалась платформа games.eos для разработки блокчейн-игр на базе EOS, недавно вошедшая в топ-21 производителей блоков. Злоумышленникам удалось перевести со взломанного кошелька 2,09 млн EOS на несколько счетов в разных криптовалютных биржах. Платформа Huobi заморозила счета, куда преступники перевели деньги, однако у них по-прежнему осталась кругленькая сумма, поскольку примеру Huobi последовали далеко не все биржи.
В связи с инцидентом EOS42 предлагает изменить инструкции таким образом, чтобы список обновляли только 15 из 21 производителей блоков.

Источник: https://www.securitylab.ru/news/498151.php