ИБ-специалист Денис Синегубко (Denis Sinegubko) обнаружил кампанию по распространению троянов и банкеров через сеть взломанных сайтов. Ее организаторы рассылают посетителям зараженных ресурсов фальшивые оповещения о необходимости обновления браузера.
Сообщения отображаются в Firefox, Chrome, Internet Explorer, Edge и содержат ссылки на разные типы вредоносов: для Windows преступники подготовили шифровальщик, а для Android — банковский троян.
Мошенническое ПО распространяется в виде EXE- и APK-файлов, а также ZIP-архивов. По данным экспертов, оно размещено более чем на 1500 сайтах. Большинство этих ресурсов работают на WordPress, остальные — либо на Data Life Engine, либо не используют CMS вообще.
Злоумышленники задействуют скомпрометированные сайты на разных этапах атаки. Некоторые страницы нужны им для рассылки фальшивых оповещений — для этого преступники внедряют в них JavaScript-сценарий либо ссылку на файл с расширением .js. На других сайтах мошенники размещают непосредственно вредоносное ПО.
Исследователь Питер Грамантик (Peter Gramantik) изучил один из распространяемых злоумышленниками файлов. Для этого он перешел по ссылке в фальшивом оповещении и скачал ZIP-архив. Последний весил около 3 Кб и содержал только один JavaScript-скрипт — Update_2019_02.browser-components .js. Чтобы скрыть расширение, мошенники добавили в конце названия зловреда 100 пробелов.
По словам эксперта, скрипт исполняется через службу Windows Script Host и использует ее для загрузки файла browser.jpg со взломанных сайтов. Несмотря на расширение, последний можно запустить в командной строке по команде cmd.exe /c . Грамантик считает, что в поддельном изображении содержится вымогатель.
Примечательно, что в 2018 году, возможно, те же злоумышленники провели идентичную кампанию. В рамках атаки FakeUpdates они распространяли банковские трояны и другое ПО под видом обновлений для браузеров Firefox, Chrome и Internet Explorer. Для рассылки зловредов использовались скомпрометированные сайты, работающие на WordPress и других CMS.

Источник: https://threatpost.ru/javascripted-browser-updates-propagate-malware/31470/

ИБ-специалисты портала DFIR.it провели расследование, в ходе которого выявили сеть GitHub-хранилищ, распространявших взломанные версии легитимных программ. Вредоносные варианты утилит, игр и других приложений устанавливали бэкдор, добавлявший их в ботнет для участия в онлайн-аукционах редких кроссовок. По результатам исследования администрация репозитория заблокировала все аккаунты, раздававшие взломанное ПО.
Внимание экспертов привлекло необычное поведение установщика кроссплатформенного браузера JXplorer. Аналитики заметили, что программа создает в списке автозагрузки задачу для установки и запуска PowerShell-скрипта с бесплатного хостинга, предоставляющего услуги динамического DNS. Изучив приложение, специалисты предположили, что имеют дело с тестовой версией зловреда, не выполняющей деструктивных действий на зараженном компьютере.
Тем не менее, ссылки и названия файлов, заключенные в коде утилиты, привели аналитиков к другим хранилищам, содержащим модифицированные копии легитимных программ. Проанализировав эти GitHub-аккаунты, профили их подписчиков и размещенные там файлы, эксперты выявили замкнутую сеть репозиториев, нацеленную на распространение вредоносного ПО.
В файловых архивах злоумышленников обнаружились более 300 взломанных игр, утилит и отдельных библиотек, каждая из которых позволяла доставлять на инфицированный компьютер полезную нагрузку. В репозиториях нашлись вредоносные варианты мультимедиа-редактора FFmpeg, компилятора MinGW и других приложений. Как отмечают исследователи, часть аккаунтов не распространяла зловреды, а поднимала рейтинг целевых хранилищ.
По мнению ИБ-специалистов, преступники устанавливали на зараженные компьютеры клиентскую часть Supreme NYC Blaze Bot — специализированного ботнета для участия в онлайн-аукционах по продаже лимитированных версий кроссовок.
Осенью прошлого года разработчики GitHub обновили сервис, проверяющий размещенные в репозитории программы на наличие уязвимостей. Служба GitHub Vulnerability Alert получила поддержку .NET и Java, а также научилась искать вшитые в код приложений логины и пароли. Этот шаг должен повысить безопасность легитимных проектов в хранилищах, но не защищает пользователей от размещенного там вредоносного ПО.

Источник: https://threatpost.ru/300-backdoored-apps-found-on-github/31465/

Эксперты Akamai насчитали за вторую половину 2018 года 28 млрд попыток взлома аккаунтов методом подстановки (credential stuffing, CS). Наибольшая часть атак пришлась на торговые, медийные и финансовые организации — мошенники активно присваивают чужие покупки и крадут персональные данные.
Организаторы CS-кампаний пользуются нежеланием юзеров придумывать оригинальные пароли для нескольких ресурсов. Злоумышленники покупают базы учетных данных на черном рынке и скармливают их ботнетам, которые в автоматическом режиме атакуют интернет-площадки, пытаясь авторизоваться на них по скомпрометированным парам логинов и паролей.
Исследователи отметили, что в последние месяцы преступники все чаще используют мощные многофункциональные All-in-One (AIO, «всё-в-одном») ботнеты. Они могут охватить десятки сайтов различных компаний, оставаясь при этом незамеченными.
В отчетный период всего за один день AIO-сети совершили по 115 млн попыток авторизации на одних только сайтах ритейлеров. Общее же количество атак на интернет-магазины в мае — декабре 2018 года превысило 10 млрд. Больше всего пострадали продавцы одежды — на них пришлось 3,7 млрд инцидентов.
Взломанные аккаунты интересуют преступников по двум причинам: сбыт на черном рынке и обналичивание накопленных бонусов. Мошенники заказывают и перепродают одежду, активируют промокоды, перехватывают персональные предложения, занимают чужие места в очередях за эксклюзивными товарами. Примечательно, что ритейлеры могут долгое время не замечать подобные махинации и оправдывать действия взломщиков успехом маркетинговых кампаний. В реальности же злоумышленники лишают продавца контакта с покупателями и искажают представление о существующем спросе, в то время как клиенты несут прямые убытки.
Второе место по популярности у CS-мошенников заняли стриминговые платформы (более 8,1 млрд атак). Если добавить показатели прочих медийных площадок (3,4 млрд), эта категория вытеснит с первого места интернет-продавцов. Эксперты поясняют, что на подобных ресурсах преступников привлекают платежные и демографические данные.
Остальные отрасли существенно отстают от первых двух. На третьей строчке расположились промышленные предприятия — их сайты преступники атаковали около 1,3 млрд раз. На финансовые сервисы пришлось чуть более 1 млрд атак, примерно такие же показатели аналитики увидели в отельной индустрии.
В области B2B CS-кампании нередко помогают собрать информацию для последующих BEC-атак (business e-mail compromise, мошенничество с корпоративной перепиской) — например, данные сотрудников какой-либо организации или ее контрагентов. По словам исследователей, большинство злоумышленников, которые промышляют такими схемами, хорошо понимают потенциал попадающей к ним информации и способны превратить даже незначительную утечку в источник финансовых проблем.
Большинство CS-кампаний пришлось на США. Именно там разрабатываются многие AIO-боты, здесь же происходит основная часть атак (22,5 млрд в отчетный период). Это в 11 раз больше, чем в Китае, который занял второе место рейтинга. За ним идут Индия (1,2 млрд), Германия (0,8 млрд), Канада (0,4 млрд). В РФ пользователи нечасто страдают от CS, зато по активности ботов Россия заняла второе место после США.
Авторы отчета повторяют выводы своего предыдущего исследования, где говорилось о конфликте безопасности и удобства пользователей. Компании могли бы внедрить защитные механизмы, пресекающие подстановку учетных данных. Однако проблема в том, что для сайта действия злоумышленника не отличаются от поведения клиента, который пытается вспомнить свой пароль. Таким образом, организациям следует просвещать клиентов, предостерегая их от повторного использования учетных данных.

Источник: https://threatpost.ru/credential-stuffing-aimed-at-media-and-retail-in-2nd-half-2018/31447/

20-летний житель штата Иллинойс (США) Сергий Усатюк (Sergiy Usatyuk) признал себя виновным в создании и управлении восемью сервисами по заказу платных DDoS-атак, функционировавших с августа 2015 года по ноябрь 2017 года.
Согласно судебным документам, Усатюк совместно с сообщником в Канаде управлял сайтами ExoStress.in, QuezStresser.com, Betabooter.com, Databooter.com, Instabooter.com, Polystress.com, Zstress.net и Decafestresser. Управление сервисами производилось наряду с ботнетом, состоящем по крайней мере из 31 мощного сервера, арендованного у американских провайдеров облачного хостинга.
Под псевдонимом «Andy» Усатюк рекламировал сервисы на web-форуме для киберпреступников HackForums.net. Как указывается в судебных документах, пользователи, зарегистрированные на сайтах Усатюка, осуществили около 4 млн DDoS-атак против тысяч компаний, что привело к значительному ущербу.
Полиция выследила Усатюка после того, как он авторизовался на арендованных серверах с домашних IP-адресов. После ареста с его счета были изъяты 10,74 биткойна (примерно $542 924 тыс. на то время), которые, предположительно, были им заработаны на сдаче сервисов в аренду. Кроме того, сотрудники полиции получили доступ к журналам online-чата Усатюка, в котором он совместно с сообщником оказывал услуги техподдержки клиентам.
Ранее перед судом в США предстал российский программист Станислав Лисов, известный в Сети под псевдонимами Black и Blackf. Обвиняемый признался в использовании трояна NeverQuest для заражения компьютеров жертв с целью похищения учетных данных для online-банкинга и последующего использования их для незаконного перевода средств.
«Booter» или «Stresser» — сервисы, имеющие простые web-интерфейсы и возможности оплаты через Интернет, использующиеся в качестве инструментов для стресс-тестирования, могут выполнять несанкционированные DDoS-атаки и позволять технически неискушенным злоумышленникам получать доступ к сложным инструментам атаки без необходимости понимания цели их использования.

Источник: https://www.securitylab.ru/news/498164.php

Совместная группа исследователей из Университета Пердью и Университета штата Айова (США) обнаружила ряд новых уязвимостей в технологиях 4G и 5G, которые могут использоваться для перехвата звонков и отслеживания геопозиции пользователей.
Проблемы затрагивают как 4G, так и более защищенный стандарт мобильной связи пятого поколения (5G). Разработанные исследователями методы атак позволяют обойти меры защиты в 5G, призванные усложнить слежку за пользователями мобильных устройств. По их словам, «атаку может провести любой человек с минимальными знаниями о работе протоколов сотовой связи».
Первый метод под названием ToRPEDO (TRacking via Paging mEssage DistributiOn) эксплуатирует недостаток в протоколе, который мобильные операторы используют для уведомления устройства перед входящим вызовом или текстовым сообщением. Как обнаружили специалисты, совершение и отмена нескольких звонков в короткий период времени инициирует отправку пейджингового сообщения без уведомления устройства о входящем звонке, чем может воспользоваться злоумышленник для определения местоположения пользователя. При наличии данной информации атакующий сможет перехватить пейджинговый канал и подменять сообщения либо вообще их заблокировать.
ToRPEDO предоставляет возможность выполнения еще двух атак — Piercer (позволяет определить международный идентификатор IMSI в сети 4G) и IMSI-Cracking, которая может использоваться для брутфорса зашифрованных IMSI в сетях 4G и 5G.
По словам исследователей, уязвимость затрагивает четырех крупнейших операторов связи в США (AT&T, Verizon, Sprint и T-Mobile), а также ряд операторов в Европе и Азии. Как отмечается, для проведения атак не потребуются большие затраты – нужное радиооборудование обойдется примерно в $200. Специалисты не намерены публиковать PoC-код атаки, чтобы не подвергать риску пользователей.
Исследователи уже передали информацию об уязвимостях Международной ассоциации операторов GSM (The GSM Association). В организации признали наличие проблемы, однако не сообщили, когда она будет исправлена.
Напомним, в минувшем июне группа исследователей из Рурского и Нью-Йоркского университетов опубликовала доклад, в котором описала три типа атак, эксплуатирующих уязвимости в стандарте 4G LTE. В декабре 2018 года специалисты Ассоциации криптологических исследований раскрыли информацию об уязвимости в протоколе АКА, позволяющей отслеживать абонентов сетей 3G — 5G.
Международная ассоциация операторов GSM — организация, объединяющая около 700 операторов мобильной связи стандарта GSM из 218 стран. Разрабатывает различные стандарты и рекомендации для операторов GSM. Играет ведущую роль в работе по устранению технических и технологических барьеров к созданию и развитию клиентских сервисов на базе стандарта GSM, а также всемерно содействует распространению сетей стандарта GSM в развивающихся странах.

Источник: https://www.securitylab.ru/news/498100.php