Эксперты ESET обнаружили очередную версию модульного трояна DanaBot, атакующую пользователей в Австралии, Италии и Польше. Зловред научился шифровать обмен данными с управляющим сервером и ускорил процесс закрепления на пораженной машине.
Исследователи впервые заметили Danabot в мае 2018 года, когда тот охотился за банковской информацией австралийских пользователей. Всего за несколько месяцев список жертв пополнили граждане Италии, Германии, Австрии и Украины, после чего зловред перекинулся на страны Северной Америки. В его функции входит удаленное подключение к рабочему столу, кража паролей из браузеров, электронной почты и чатов, внедрение кода в просматриваемые интернет-страницы.
Возможности образцов Danabot, обнаруженных в январе этого года, не претерпели существенных изменений — вирусописатели сосредоточились на доработке архитектуры и укреплении коммуникаций с управляющим сервером.
Так, теперь все пересылаемые данные проходят многоэтапное шифрование, которое делает невозможным чтение пересылаемых пакетов и затрудняет обнаружение Danabot антивирусными системами. Для каждой сессии вредоносный клиент создает уникальный RSA-ключ № 1, после чего начинает коммуникацию с удаленным сервером:
Созданный ключ защищается новым, вшитым в код RSA-ключом № 2. Результат передается на удаленный сервер, где он проходит обратное преобразование и сохраняется.
Для дальнейшего обмена данными троян использует AES-шифрование. Новый ключ № 3 защищается кодом № 2 и отправляется для сохранения.
Именно ключ № 3 используется для передачи дальнейших команд клиенту. При хранении ключа № 3 сервер защищает его с помощью ключа № 1.
Создатели нового поколения Danabot также доработали его архитектуру. Раньше троян использовал специальный загрузчик для доставки ядра, после чего переходил к установке необходимых модулей. Теперь же все компоненты — основной файл, дополнительные плагины и конфигурационные данные — распаковываются одновременно. Установщик при этом добавляет себя в список служб, закрепляясь на компьютере.
Очередная версия Danabot распространяется в виде обновлений для предыдущих поколений зловреда и через спам-кампании. По сообщениям экспертов, с 26 января операторы трояна целиком перешли на последнюю сборку. В настоящий момент в Интернете параллельно идут несколько кампаний Danabot, которые можно различить между собой по используемым идентификаторам:

ID=2 — пробный дистрибутив, распространяет ограниченное количество файлов с настройками;
ID=3 — активно заражает компьютеры в Польше и Италии, работает с веб-инжектами и полным набором конфигурационных данных;
ID=5 — отправляет данные с настройками австралийским пользователям;
ID=7 — действует только в Польше, где проводит веб-инжекты;
ID=9 — еще одна пробная версия с ограниченной зоной распространения без четкого таргетинга.

Предыдущие поколения Danabot также распространялись через эксплойт-паки. Злоумышленники собирали жертв через рекламу на сомнительных интернет-ресурсах и устанавливали зловред через уязвимости Windows и Internet Explorer.

Источник: https://threatpost.ru/danabot-gets-all-secret-and-stuff/31000/

Вредоносный скрипт, похищающий пароли для целого спектра ресурсов и приложений, хранящиеся на целевом устройстве, попал в поле зрения ИБ-специалистов.
Атаки зловреда, получившего название Qealler, начались во второй половине января и достигли пика на этой неделе. Вредоносная программа представляет собой обфусцированный Java-загрузчик, который доставляет на зараженный компьютер похититель информации с открытым кодом.
Точкой входа на устройство жертвы является электронное письмо, к которому прикреплен JAR-файл с именем Remittance («денежный перевод»). Дважды кликнув по вложению, пользователь запускает выполнение вредоносного сценария, который в первую очередь проверяет наличие на компьютере ранних версий зловреда, и загружает необходимые файлы с сервера. Программа применяет сложный алгоритм создания целевых каталогов для своих компонентов, формирования имен отдельных объектов и определения адреса файлового хранилища.
В качестве полезной нагрузки Qealler доставляет в инфицированную систему программу для похищения информации LaZagne, дистрибутив которой доступен в репозитории GitHub. Зловред представляет собой скрипт на Python, который извлекает логины и пароли из десятков приложений. В списке его целей основные браузеры, почтовые клиенты, мессенджеры, утилиты для администрирования, а также несколько игр. Он упаковывает полученные сведения в JSON-контейнер, шифрует его и передает на сервер злоумышленников.
Атаки Qealler зафиксировали несколько независимых групп ИБ-специалистов. Зловред использует разные серверы для скачивания полезной нагрузки и передачи данных. Сайт Abuse.ch собрал два десятка ресурсов, связанных с этим штаммом — на момент публикации все они были отключены.
Еще один новый похититель информации аналитики обнаружили в декабре прошлого года. Зловред Vidar нацелен на кражу данных криптокошельков, сообщений мессенджеров и отдельных файлов. Программа является одним из вариантов уже известного скрипта Arkei, но имеет некоторые отличия в исходном коде. Злоумышленники вскоре взяли новинку на вооружение — в начале января исследователи зафиксировали вредоносную кампанию, которая доставляла Vidar вместе с шифровальщиком GandCrab.

Источник: https://threatpost.ru/new-infostealer-qealler/31003/

Киберпреступники придумали интересный метод сокрытия доменов своих фишинговых сайтов с помощью приложения «Google Переводчик». Трюк работает довольно просто: злоумышленники рассылают обычные фишинговые письма, но адрес фишинговой страницы «прогоняется» через переводчик и в сообщение включается URL «Google Переводчика» вместо прямой ссылки на вредоносную страницу.
При нажатии на кнопки или ссылки внутри фишингового письма происходит переадресация на портал переводчика Google, где загружается фишинговая страница. Данный метод не слишком эффективен на ноутбуках и стационарных ПК, поскольку многие пользователи наверняка сочтут подозрительным наличие панели инструментов «Google Переводчика» вверху страницы или отображение его домена при наведении указателя мышки на ссылку. Однако на мобильных устройствах этот трюк может сработать, учитывая компактный вид клиентов электронной почты и браузеров, где пользователи просто не могут «навести» палец на ссылки, а панель инструментов Google-переводчика весьма похожа на адресную строку браузера.
Одну из таких фишинговых кампаний заметил специалист Akamai Лэрри Кэшдоллар (Larry Cashdollar) в минувшем месяце. Злоумышленники пытались за один раз собрать логины/пароли для учетных записей в Google и Facebook, быстро перенаправляя пользователей с формы авторизации Google на страницу входа в Facebook. Хотя данная операция оказалась не слишком продуманной, эксперты рекомендуют владельцам мобильных устройств быть более внимательными и проверять, не ведут ли ссылки на страницу Google-переводчика.

Источник: https://www.securitylab.ru/news/497808.php

Пользователей MyEtherWallet (MEW) атакуют фишеры. Согласно твиту , опубликованному разработчиками криптовалютного кошелька, злоумышленники рассылают жертвам электронные письма и просят у них закрытый ключ или мнемоническую фразу. В письмах мошенники сообщают о якобы произошедшей недавно утечке данных и хитростью выманивают у пользователей конфиденциальные данные.
«Очередные фишинговые письма рассылаются пользователям с целью выманить персональную информацию. Не поддавайтесь на обман! Мы никогда не отправляем электронные письма первыми (только в ответ для предоставления техподдержки). Мы никогда не просим закрытый ключ (или другую конфиденциальную информацию). Будьте скептичны!», — сообщили разработчики.
В случае реальной утечки информации команда MyEtherWallet уведомит пользователей через Twitter, а не через электронную почту. «Однако MEW не хранит никаких пользовательских данных, поэтому у нас и не может быть никакой утечки», — отметили разработчики.

Источник: https://www.securitylab.ru/news/497805.php

Суд в Китае вынес приговор бывшему программисту китайского банка Huaxia Bank, который вывел более чем $1 млн из банкоматов, воспользовавшись уязвимостью в системе.
По данным издания South China Morning Post, в 2016 году 43-летний Цинь Цишен, трудившийся на должности старшего программиста в отделе разработки технологий и программного обеспечения Huaxia Bank, заметил в основной операционной системе банка лазейку, позволившую ему похитить значительную сумму денег. Уязвимость заключалась в том, что в период ближе к полуночи система банка не фиксировала вывод средств. Цинь написал и внедрил в банковское программное обеспечение ряд скриптов, позволивших ему красть деньги, не вызывая подозрений. Деньги переводились на фиктивный счет, используемый банком для тестирования.
На протяжении нескольких лет бывший программист систематически снимал суммы в размере от 5 тыс. ($740) до 20 тыс. юаней ($2 965). В общей сложности ему удалось вывести более 7 млн юаней (более чем $1 млн). Цинь переводил средства с фиктивного счета на свой собственный, часть средств он вложил в акции.
В конечном итоге в Huaxia Bank раскрыли преступную схему. Свои действия Цинь пояснил «внутренним тестированием» и заявил, что средства просто хранятся на его счете и будут переведены обратно банку. Как ни удивительно, руководство финорганизации поверило программисту и устранило уязвимость, однако правоохранительным органам история показалась сомнительной и в декабре 2018 года Цинь был арестован.
Суд приговорил бывшего программиста к 10,5 годам лишения свободы и оставил приговор в силе, несмотря на прошение Huaxia Bank закрыть дело, после того, как Цинь вернул похищенные средства.

Источник: https://www.securitylab.ru/news/497776.php