Вымогатель Megacortex стал блокировать вход в Windows
Новая версия MegaCortex не только шифрует данные, но также меняет пароль пользователя Windows. В случае неуплаты выкупа обновленный зловред также обещает опубликовать файлы жертвы, которые он якобы скопировал в «надежное место», однако реальность этой угрозы пока не подтверждена.
Шифровальщик MegaCortex появился в поле зрения ИБ-экспертов в начале этого года. Он преимущественно атакует корпоративных пользователей и загружается на все доступные компьютеры в результате взлома целевой сети.
Проведенный в Bleeping Computer анализ показал, что очередной вариант вымогательской программы сильно отличается от предыдущих версий. Наиболее очевидным изменением является новое расширение, добавляемое к имени зашифрованных файлов, — теперь зловред использует .m3g4c0rtx. Он также отображает на экране заставку, имитирующую стиль правового уведомления, — Locked by MegaCortex («заблокировано MegaCortex»), с указанием email-контактов.
Модуль запуска MegaCortex подписан сертификатом УЦ Sectigo (ранее Comodo), выданным на имя австралийской компании Mursa Pty Ltd. При исполнении этот компонент распаковывает и загружает в папку временных файлов две динамические библиотеки и три CMD-скрипта.
Библиотеки DLL используются для поиска и шифрования файлов; их запуск осуществляется через утилиту командной строки Rundll32.exe. Файлы .CMD содержат команды, с помощью которых зловред удаляет теневые копии Windows, чистит свободное пространство на диске C, выводит «официальную» заставку и вычищает свои файлы, которые он использовал в ходе шифрования.
Выполнив основную задачу, MegaCortex создает на рабочем столе файл !-!_README_!-!.rtf с развернутым сообщением о случившимся и требованием выкупа в биткойнах. В этом тексте упомянута смена идентификаторов пользователя, и проверка это подтвердила — эксперт Bleeping Computer не смог войти в зараженную систему после перезапуска. Как оказалось, шифровальщик меняет пароль к учетной записи Windows, используя команду net user.
В своем сообщении вымогатели также грозят выложить данные жертвы в открытый доступ, если не получат выкуп. Доказательств копирования информации исследователи не обнаружили, так что эта угроза, похоже, не имеет оснований.
Источник: https://threatpost.ru/megacortex-ransomware-changes-windows-user-password/34743/
Capesand: новый эксплойт-пак со старым кодом
Злоумышленники опробуют пакет эксплойтов Capesand, находящийся в стадии активной разработки. Анализ показал, что новый инструмент заимствует исходные коды схожего проекта, выложенные в открытый доступ на GitHub пять лет назад.
Эксплойт-пак Capesand впервые засветился в ходе недавней malvertising-кампании, нацеленной на распространение троянов DarkRAT и njRAT. По словам наблюдателей из Trend Micro, в середине октября для доставки зловредов использовались эксплойты к Adobe Flash и Internet Explorer из набора RIG, а к концу месяца авторы атак начали экспериментировать с Capesand. В качестве приманки злоумышленники использовали копию некой блог-записи о блокчейне, в которую они внедрили скрытый фрейм для загрузки вредоносной страницы.
Код Capesand оказался весьма примитивным в сравнении с другими эксплойт-паками. Его авторы взяли за основу давний проект с открытым исходным кодом Demon Hunter, из которого позаимствовали почти все технологии, включая встраивание вредоносных кодов, их обфускацию и упаковку. При этом плагиаторы произвели апгрейд, включив в свой пакет новые эксплойты. Исследователи обнаружили в арсенале Capesand два эксплойта к Adobe Flash (CVE-2018-4878 и CVE-2018-15982) и два — к IE (CVE-2018-8174 и CVE-2019-0752). Последний был впервые замечен в реальных атаках минувшим летом — на тот момент злоумышленники использовали новый эксплойт для внедрения бэкдора SLUB через два сайта по методу watering hole.
Дальнейший мониторинг атак Capesand показал, что он также эксплуатирует еще одну уязвимость в IE — CVE-2015-2419, а указанная в исходниках CVE-2019-0752 пока не используется. По всей видимости, авторы нового инструмента еще не успели интегрировать все эксплойты, которые они планируют пустить в ход.
Примечательно, что код Capesand на стороне клиента не содержит эксплойтов, а обращается за ними на свой сервер, используя API. В запросе он указывает имя эксплойта, его URL (из конфигурационного файла), IP-адрес жертвы и данные User Agent. Вся эта информация шифруется заданным AES-ключом, который сервер проверяет перед тем, как отдать полезную нагрузку.
После отработки эксплойта на машину жертвы загружается файл mess.exe; в ходе тестирования также наблюдалась попытка эксплуатации уязвимости CVE-2018-8120 для повышения привилегий на Windows. Вслед за этим следовало исполнение njcrypt.exe — многократно обфусцированного приложения на .NET, отвечающего за доставку целевого зловреда. В случае Trend Micro им оказался njRAT версии 0.7d.
Источник: https://threatpost.ru/capesand-ek-reuses-old-open-source-code/34734/
Мошенническая «техподдержка» использует новую ошибку блокировки в Firefox
Выдающие себя за техподдержку мошенники активно эксплуатируют ошибку в браузере Firefox с целью вынудить жертв обратиться к ним за «помощью».
Речь идет об ошибке в работе браузера, обнаруженной три месяца назад и затрагивающей стабильные сборки Firefox 70.x, бета-версии 71.x и ночные версии 72.x. С ее помощью злоумышленники могут блокировать браузер жертвы и отображать поддельное уведомление о необходимости скорейшего обращения в техподдержку, иначе через 5 минут система будет отключена. Закрыть вкладку с уведомлением жертва не может.
Для блокировки браузера злоумышленники отправляют большое количество запросов на подтверждение авторизации, поскольку ограничений на их количество нет никаких. Жертва может вернуть себе контроль над браузером, завершив связанный с Firefox процесс в «Диспетчере задач» Windows.
Как сообщает исследователь безопасности Жером Сегура (Jérôme Segura), мошенники, использующие данный баг, стараются запугать пользователей. Текст отображаемого ими уведомления гласит: «Не игнорируйте это важное предупреждение. Остановитесь и не выключайте ваш ПК. Ключ реестра вашего компьютера заблокирован. Почему мы заблокировали ваш компьютер? Ключ реестра Windows незаконный. Этот Windows-компьютер использует пиратское ПО. Этот Windows-ПК рассылает вирусы по интернету. Этот Windows-ПК взломан. Мы заблокировали компьютер ради вашей безопасности. Пожалуйста, позвоните нам в течение 5 минут, иначе ваш компьютер будет отключен».
В настоящее время Mozilla работает над исправлением ошибки.
Компания Nikkei потеряла $29 млн из-за мошенников
Американское подразделение компании Nikkei пострадало от крупного мошенничества, в результате которого лишилось около 3,2 млрд. японских иен (примерно $29 млн). Средства были переведены сотрудником компании по указанию мошенника, действовавшего под видом руководителя международной фирмы.
BEC-атаки (Business Email Compromise) представляют собой мошенническую схему, при которой злоумышленники просят сотрудника компании перевести деньги на подконтрольный им банковский счет, отправив просьбу в электронном письме якобы от имени директора компании или доверенного партнера.
Компания уведомила правоохранительные органы в США и Гонконге, поскольку киберпреступники часто перенаправляют украденные деньги на счета в Гонконге.
«Мы проводим расследование, а также проверяем подробности и причины данного инцидента», — сообщила компания в официальном заявлении.
Напомним, в сентябре нынешнего года производитель автомобильных компонентов Toyota Boshoku Corporation (входит в Toyota Group) также сообщил о мошенничестве, в результате которого одна из ее европейских дочерних компаний потеряла более $37 млн. Инцидент произошел 14 августа текущего года.
Китайские власти ополчились на DDoS-сервисы
В Китае проведены многочисленные аресты в целях ограничения деятельности, связанной с созданием ботнетов и сдачей их в аренду для проведения DDoS-атак. Согласно сообщению в блоге ZDNet, среди задержанных числятся два предполагаемых оператора сети, объединяющей 200 тыс. взломанных сайтов.
По словам репортера, рост количества сайтов, предлагающих специнструменты и услуги неискушенным дидосерам, стал особенно заметным в Китае после слива в Сеть исходных кодов IoT-бота Mirai. В 2017 году наблюдатели из Cisco Talos сочли нужным привлечь внимание интернет-сообщества к вредоносной активности, посетовав на бездействие китайских властей.
Время шло, но число теневых DDoS-сервисов в Поднебесной продолжало множиться. Местные ботоводы перестали полагаться только на Mirai и IoT и начали экспериментировать со зловредами, способными атаковать уязвимости в серверах и фреймворках для разработки веб-приложений. Китайская армия DDoS-ботнетов разрослась и стала настолько активной, что властям волей-неволей пришлось принимать крутые меры.
Подготовка к ликвидации самого крупного из известных китайских ботнетов началась в августе 2018 года. По данным местных источников, которые изучил автор записи ZDNet, расследование было запущено после того, как полицию провинции Цзянсу известили о взломе большого количества серверов в сетях провайдера Xuzhou Telecom.
Как оказалось, взломщики открыли на серверах бэкдоры, чтобы обеспечить себе удаленный контроль. Масштабность операции стала очевидной, когда выяснилось, что злоумышленники используют уязвимости для внедрения вредоносного кода и заразили таким образом более 200 тыс. сайтов, среди которых много китайских порталов и правительственных интернет-площадок.
Согласно сообщениям местных СМИ, обнаруженный ботнет использовался в основном для проведения DDoS-атак; мощность некоторых из них на пике достигла 200 Гбит/с. Арендаторы сети также засоряли взломанные сайты спамом, размещали на них вредоносную рекламу и добывали криптовалюту, используя мощности приобщенных к ботнету серверов.
По результатам расследования в 20 городах Китая были проведены полицейские рейды. Арестовано более 40 подозреваемых; у них суммарно конфисковали 10 млн юаней (1,4 млн долларов США).
Источник: https://threatpost.ru/chinese-authorities-crack-down-on-ddos-for-hire-botnets/34748/