Киберпреступники создали новый канал распространения трояна AZORult. Как выяснили ИБ-специалисты, под видом легитимной утилиты G-Cleaner, предназначенной для очистки дискового пространства в среде Windows, раздается установщик вредоносной программы. Сайт, предлагающий фальшивое приложение, был обнаружен в конце марта, однако в настоящий момент он по-прежнему доступен онлайн.
Криминальная площадка выглядит как обычный ресурс разработчиков и содержит описание утилиты, а также лицензионное соглашение и другую информацию. Создатели программы утверждают, что она предназначена для удаления временных файлов, испорченных ссылок и очистки истории браузера. Тем не менее, после установки на компьютер G-Cleaner загружает в папку %Temp% ряд исполняемых объектов, которые являются компонентами трояна AZORult.
Вредоносные элементы создают в памяти целевой системы несколько процессов и устанавливают соединение с командным сервером. По его команде троян пытается скопировать пароли пользователя, данные криптовалютных кошельков, файлы cookie и другую конфиденциальную информацию. Собранные сведения он упаковывает в архив Encrypted.zip и передает в центр управления. По завершении работы AZORult удаляет свою копию с диска и старается уничтожить другие следы своего пребывания на компьютере.
Код трояна уплыл в Сеть в середине прошлого года и с тех пор активно используется криминальным сообществом. В дарквебе создан специальный сервис, который позволяет генерировать исполняемые модули AZORult в автоматическом режиме. Злоумышленнику достаточно лишь указать адрес своего командного сервера, который будет внедрен в дистрибутив вредоноса.
Чаще всего для распространения похитителя данных используются спам-рассылки, эксплойт-паки и возможности других троянов. Однако иногда киберпреступники изобретают необычные способы доставки полезной нагрузки. Так, в январе 2019 года ИБ-специалисты нашли AZORult в фальшивом файле службы обновления сервисов Google. Вредоносный объект заменял собой легитимный модуль, что позволяло ему автоматически запускаться как минимум дважды в день, не внося изменений в системный реестр.

Источник: https://threatpost.ru/azorult-trojan-pushed-from-website-advertising-new-windows-cleaner/32522/

Специалисты FireEye смогли изучить исходный код бэкдора Carbanak, после того как обнаружили материалы на сайте VirusTotal. Исследователям понадобилось два года, чтобы погрузиться в код и разобраться во всех особенностях зловреда.
Первыми о группировке, известной как Carbanak, Anunak и Cobalt, рассказали в 2015 году эксперты «Лаборатории Касперского». По их оценкам, на тот момент ущерб от действий киберпреступников уже составил миллиард долларов. В основном злоумышленники атаковали финансовые организации, однако среди их жертв появились и компании из других сфер.
В 2018 году в результате международной операции правоохранительные органы смогли арестовать главаря Carbanak и нескольких его сообщников. К сожалению, преступникам понадобилось всего два месяца, чтобы возобновить атаки.
В своих кампаниях Carbanak использует уникальный бэкдор, который открывает доступ к платежным системам целевых организаций. До недавней находки антивирусные аналитики были вынуждены изучать его устройство по бинарным файлам, что затрудняло противодействие зловреду. Исходный код позволит экспертам познакомиться со внутренним устройством программы.
Находка представляет собой два архива общим весом 20 Мб, внутри которых содержатся почти 800 файлов. Чтобы разобраться в механике бэкдора, исследователям пришлось изучить 100 тыс. строк кода и пройти экспресс-курс русского языка — именно на нем написан интерфейс устройства и комментарии для оператора.
Специалисты создали словарь, объединивший около 3,4 тыс. русских слов, и специальный Python-скрипт, который автоматизировал перевод материалов. В результате они смогли разобраться в том, какие эксплойты использует Carbanak, как избегает обнаружения и обрабатывает команды с управляющего сервера.
Как выяснилось, вирусописатели применили множество нетривиальных приемов, которые и обеспечили зловреду его впечатляющие способности. Так, при коммуникации с сервером Carbanak использует не традиционные HEX-команды, а технологию именованных каналов Windows (named pipes). Это обеспечивает бэкдору дополнительный уровень скрытности при проведении операций и избавляет от необходимости лишний раз обращаться к сети пораженного хоста.
Эксперты также отметили высокий уровень обфускации зловреда — они насчитали в коде несколько сотен случаев применения этой технологии. В сочетании с именованными каналами это помогает Carbanak эффективно скрываться от защитных систем.
Исследователи уже передали полученную информацию разработчикам программного обеспечения, чтобы те доработали защиту своих продуктов. Находка также позволила определить множество дополнительных индикаторов заражения, что позволяет надеяться на сокращение ущерба от будущих атак Carbanak.

Источник: https://threatpost.ru/researchers-analyzed-carbanak-source-code/32474/

Жительница графства Большой Манчестер в Англии потеряла сотни тысяч фунтов в результате онлайн-аферы. Она добровольно перевела деньги мошеннику, который выдавал себя за актера Джейсона Стейтема и несколько месяцев переписывался с ней.
Она рассказала журналистам BBC, что злоумышленник завязал с ней разговор в Facebook на фанатской странице, посвященной знаменитости. Женщина решила, что актер лично общается с поклонниками и что это очень мило с его стороны.
Через некоторое время якобы Стейтем попросил добавить себя в контакты в WhatsApp, после чего начал активную переписку. Общение продолжалось несколько месяцев: самозванец сначала убедил жертву, что влюблен в нее и мечтает о встрече, а потом начал упоминать о финансовых трудностях. Ссылаясь на то, что ему якобы задержали выплату за участие в последнем фильме, он попросил взаймы 20 тыс. фунтов стерлингов (более 25 тыс. долларов).
В итоге женщина несколькими платежами перевела мошеннику несколько сотен тысяч фунтов стерлингов. Она отказалась назвать точную сумму, однако заметила, что эти деньги могли бы изменить к лучшему ее жизнь и жизнь ее семьи.
Полиция сообщает, что это не единственная пострадавшая от аферистов такого рода. Только в Большом Манчестере в правоохранительные органы ежемесячно поступает около тысячи заявлений о мошенничестве. Однако следователи полагают, что реальные цифры могут быть в десять раз выше, поскольку далеко не все жертвы обращаются в полицию.
По данным американского Центра приема сообщений об интернет-преступлениях (IC3), на злоупотребление доверием в 2018 году пожаловались почти 18,5 тыс. человек. Официальная сумма потерь при этом составила 350 млн долларов.
В июле 2018 года в США возбудили уголовное дело против семерых выходцев из Нигерии, которые обманом выманили у пользователей сайтов знакомств 1,5 млн долларов. Они несколько недель разыгрывали роман со своими жертвами, а потом просили перевести деньги.

Источник: https://threatpost.ru/fake-jason-statham-cheats-english-woman-for-tons-of-money/32535/

По данным Центра приема жалоб на интернет-преступления (IC3), работающего под эгидой ФБР, в 2018 году потери от действий злоумышленников в Сети составили более $2,7 млрд. Об этом свидетельствуют более 350 тыс. заявлений о мошенничестве, принятых к рассмотрению.
Ежедневно в прошлом году в IC3 поступало около 900 жалоб. Чаще всего в них сообщалось о махинациях с оплатой и доставкой, а также о вымогательстве и утечке личных данных. К самым крупным убыткам привели компрометация деловой переписки (BEC-атаки), инвестиционные или торговые аферы и случаи злоупотребления доверием завсегдатаев сайтов знакомств.
За 2018 год специалисты IC3 получили более 20 тыс. заявлений о BEC-мошенничестве. Общие убытки заявителей при этом превысили $1,2 млрд. Целями злоумышленников становились не только корпоративные, но и обычные пользователи, осуществляющие платежи по безналичному расчету.
Чаще всего преступники получали доступ к электронной почте с помощью методов социальной инженерии или через проникновение в сеть, а затем от имени владельца аккаунта сообщали намеченной жертве об изменении платежных реквизитов. Также в прошлом году получила распространение схема BEC-мошенничества с подарочными картами, о покупке которых злоумышленники просили сотрудников компаний от лица руководства по email или телефону.
На злоупотребление доверием за год пожаловались почти 18,5 тыс. человек. Этот вид мошенничества в 2018-м обернулся потерями в $350 млн. Преступники устанавливали доверительные отношения с жертвами и убеждали их отправлять денежные средства, личные данные или ценные предметы, а также отмывать деньги, полученные преступным путем.
Про инвестиционные аферы сообщили только 3 тыс. человек, однако общий ущерб от них составил более $250 млн. Злоумышленники побуждали жертв вкладывать деньги в сомнительные проекты, обещая высокую прибыль и минимальные риски. К числу таких афер специалисты IC3 причислили финансовые пирамиды и проекты, работающие по схеме Понци.
Также в IC3 поступило почти 15 тыс. заявлений по поводу обмана с технической поддержкой. По данным экспертов, ущерб от этого вида мошенничества становится все ощутимее: в 2017 году он составил $15 млн, а в этом превысил $35 млн.

Источник: https://threatpost.ru/us-fraud-victim-losses-total-2-7-bln-in-2018/32455/

Власти США предъявили обвинения гражданину РФ Антону Б. в связи с «мошенничеством с использованием электронных средств связи, кражей личных данных при отягчающих обстоятельствах и взломом компьютеров». В рамках мошеннической схемы Антон Б. и его сообщники, используя похищенную информацию, подавали фальшивые налоговые декларации и обманным способом заработали более $1,5 млн.
Антон Б. был арестован в Таиланде в ноябре минувшего года по запросу ФБР. В марте 2019 года он был экстрадирован в США.
Согласно заявлению Минюста США, в период с июня 14 года по ноябрь 2016 года обвиняемый и его сообщники взломали компьютерные системы ряда частных компаний, предоставляющих услуги по подготовке налоговых деклараций, и похитили персональную информацию их клиентов, включая номера социального страхования и даты рождения. Далее они подменяли информацию в налоговых декларациях и перенаправляли налоговые возвраты на фальшивые банковские карты.
В случае признания виновным Антону Б. грозит до 27 лет лишения свободы.

Источник: https://www.securitylab.ru/news/498961.php