Исследователи из компании Lookout обнаружили iOS-версию трояна Exodus, снабженную легитимным сертификатом разработчика Apple. Согласно их докладу в преддверии конференции SAS-2019, зловред распространялся через фишинговые страницы, имитировавшие сайты мобильных провайдеров Италии и Туркменистана.
Впервые об Android-шпионе Exodus рассказали эксперты Security Without Borders. Его создатели за нескольких лет загрузили в Google Play в общей сложности 25 версий программы, маскируя ее под приложения итальянских сотовых компаний. По мнению специалистов, троян использовался для целенаправленных заражений и не предназначался для массовых кампаний.
Приложения в Google Play выполняли роль загрузчика, который скачивал на аппараты жертв основной компонент.

Список вредоносных функций Exodus включал:
Отслеживание телефонных разговоров и коммуникаций жертвы в соцсетях;
Создание снимков экрана;
Взлом устройства через вариант эксплойта Dirty COW;
Скрытый удаленный доступ через оригинальный сценарий командной строки.

Версия Exodus для iOS-устройств работает по схожему принципу, но с меньшим размахом. В частности, ее возможности для шпионажа ограничены чтением календаря, контактов и системных данных, доступом к «Фото», геолокации и голосовым заметкам. Исследователи также нашли в коде функцию скрытой аудиозаписи, которая запускается, если пользователь откроет отправленное преступником push-уведомление.
Собранные данные зловред отправляет на командный узел через HTTP-запросы PUT. Именно по совпадению коммуникационной инфраструктуры исследователи и установили родство этого трояна с Android-версией Exodus.
Как отмечалось выше, злоумышленники заражали жертв через фишинговые страницы. Они воспользовались программой Apple Developer Enterprise, позволяющей организациям распространять собственные iOS-приложения для внутреннего использования. Все программы на таких площадках заверяются специальным сертификатом с указанием юридического лица, на которое он выпущен. В случае iOS-Exodus в этих данных значится Connexxa S.R.L. — один из аффилиатов компании eSurv, подозреваемой в разработке Android-шпиона.
Специалисты поделились своими открытиями с сотрудниками компании Apple, которые отозвали соответствующие сертификаты. Таким образом было заблокировано вредоносное приложение на пораженных устройствах и запрещены новые загрузки.

Источник: https://threatpost.ru/exodus-comes-to-ios-oh-god-oh-no-users-are-wearing-airpods/32191/

Спам-кампанию c необычной техникой доставки трояна LokiBot зафиксировали исследователи из Trustwave SpiderLabs. Как выяснили аналитики, вредоносные письма содержали архив в формате ZIPX, скрытый внутри PNG-файла. Специалисты отмечают, что такая уловка может обмануть фильтры некоторых почтовых сервисов.
Экспертов заинтересовало одно из писем, попавшее в спам-ловушку. В качестве вложения послание содержало архив с расширением ZIPX, который идентифицировался как PNG-файл с иконкой изображения JPG. Изучив код необычного объекта, ИБ-специалисты выяснили, что он действительно содержит графические данные, но ими дело не ограничилось. Структура файла PNG предполагает, что изображение заканчивается маркером IEND. Однако подозрительное вложение содержало еще несколько мегабайт данных после него.
Исследователи определили, что, несмотря на наличие графического содержимого, внедренный в PNG-файл архив легко распаковать при помощи утилиты WinRAR. При этом программа 7-Zip, обычно применяемая для работы с объектами формата ZIPX, извлекает содержимое вредоносного вложения, только если изменить его расширение. Ее аналог WinZip вообще не смог распаковать зловред.
В архиве находился исполняемый файл RFQ -5600005870.exe, запуск которого после нескольких итераций приводил к установке трояна LokiBot. Зловред, ориентированный на кражу паролей и другой конфиденциальной информации, продается в дарквебе по цене около $300 и достаточно хорошо изучен ИБ-специалистами, однако подобный способ его доставки на целевое устройство встречается впервые.
«Спецификация формата PNG, по-видимому, допускает включение в него посторонних данных, и каждое конкретное приложение должно решить, интерпретировать или игнорировать их», — отмечают исследователи.
В июле прошлого года стало известно, что LokiBot угнали у его разработчика. Хакеры снизили цену на модифицированный вариант зловреда, выставив его на продажу всего по $80. За эти деньги любой желающий мог получить исполняемый файл программы и при помощи HEX-редактора прописать в нем свои собственные серверы для отправки украденной информации.

Источник: https://threatpost.ru/lokibot-hidden-inside-png-image/32160/

Взломщики сайтов изобрели новый прием для принудительной переадресации интернет-посетителей на свои площадки. Методика основана на легитимных возможностях CSS, поэтому защитные системы оказываются не способны помочь пользователям.
По данным Malwarebytes, атака построена на всплывающих баннерах, маскирующихся под рекламу Google. Эти объявления можно закрыть кликом по крестику в углу, но когда пользователь подводит к нему курсор, объявление перемещается, так что нажатие попадает на ссылку.
Помимо мошенничества с маркетинговыми кампаниями, преступники могут таким образом привлекать трафик на собственные площадки. По словам специалистов, подобные сайты зачастую направлены на кражу платежных данных или продвижение услуг «ложной техподдержки». В последнем случае пользователь рискует заразить свой компьютер шпионским ПО или даже лишиться доступа к системе.
Эксперты уже обнаружили реальные кампании с применением описанной технологии. В частности, новый прием взяла на вооружение группировка, которая ранее отметилась XSS-атаками на WordPress-сайты. Злоумышленники встроили незакрываемый баннер в тысячи взломанных ресурсов, при этом переадресации подвергается небольшая часть посетителей — это помогает преступникам избегать блокировки. По оценкам экспертов, подобная кампания может приносить по $20 тыс. в месяц только за счет рекламных показов на сайтах, куда попадает пользователь.
Специалисты заключают, что использование CSS позволяет мошенникам обманывать веб-антивирусы, пока жертва не попадет на вредоносный сайт. Таким образом, защита от таких атак лежит на плечах веб-администраторов, которые должны найти чужой код на своих страницах. Единственное, что могут сделать интернет-посетители, — это использовать блокировщик рекламы, который разом отключит показ вообще всех баннеров.

Источник: https://threatpost.ru/hackers-use-css-to-trick-website-visitors-into-clicking-popup-ads/32086/

Различные киберпреступные группировки и интернет-мошенники эксплуатируют online-магазины на Magento с поддержкой PayPal Payflow Pro для проверки действительности украденных платежных карт, предупреждает команда Magento.
Схема заключается в следующем: преступники пытаются осуществить транзакции на сумму $0 и, смотрят возвращаются ли ошибки, таким образом проверяя актуальность карт.
На многих сайтах Magento реализована интеграция с PayPal Payflow Pro – опция для обработки транзакций с помощью бизнес-аккаунта PayPal. Таким образом пользователи могут оплачивать покупки на сайте без необходимости перехода на портал PayPal.
Согласно сообщению, проблема затрагивает версии Magento 2.1.x и 2.2.x, предположительно, уязвимыми могут быть и версии Magento 2.3.x, однако команда Magento пока не заметила атак на сайты, использующие данные релизы CMS.
Для предотвращения подобных атак разработчики рекомендуют владельцам сайтов установить защитные экраны уровня приложений (WAF) или реализовать прочие системы детектирования ботов и защиты от брутфорс-атак.

Источник: https://www.securitylab.ru/news/498522.php

В США организатор мошеннических кампаний получил более семи лет тюрьмы за кражу $4,2 млн у компаний и частных лиц. Подсудимый Нкенг Амин (Nkeng Amin) также должен заплатить компенсацию в размере свыше $1 млн.
Как установило следствие, в 2016–2017 годах Амин с пятью сообщниками организовали серию масштабных BEC-атак (Business Email Compromise, мошенничество с корпоративной перепиской). Они связывались с намеченными жертвами от лица их партнеров по бизнесу и сообщали об изменении номера счета для денежных переводов. В результате они получили свыше $4,2 млн и попытались украсть еще около $11 млн.
Правоохранители предпочли оставить в секрете подробности реализованных схем — кем притворялись мошенники, под каким предлогом они требовали переводы и т. д. Известно лишь, что преступники распоряжались полученными с помощью дропов средствами самым разным образом: распределяли по собственным счетам, снимали наличные, выписывали чеки третьим лицам и организациям.
В судебных материалах упоминаются некие зарубежные руководители преступной группировки, с которыми общался только Амин. Его ближайшими сообщниками в США были Олдрин Фомуконг (Aldrin Fomukong), Яник Эйонг (Yanick Eyong) и Ишмаил Ганда (Ishmail Ganda). Эти четверо действовали в штате Мэриленд, еще два участника, Карлсон Чо (Carlson Cho) и Изу Эре Диджифа (Izou Ere Digifa), принимали похищенные деньги в Массачусетсе и Вирджинии.
Все они признали свою вину, однако в тюрьму пока отправятся только Амин (87 месяцев заключения и три года надзора), Эйонг (57 месяцев заключения), Чо (48 месяцев) и Ганда (90 дней тюрьмы, которые будут включены в 18 месяцев надзора). Фомуконг и Диджифа остаются под стражей в ожидании приговора.
В последние годы случаи BEC-мошенничества становятся все более частыми и изощренными, от них страдают крупнейшие компании в десятках стран по всему миру. Эксперты отмечают, что в таких атаках решающее значение имеет человеческий фактор, поэтому защитные системы зачастую оказываются бессильны, а страховые организации отказывают в компенсации ущерба.

Источник: https://threatpost.ru/us-judge-sentenced-bec-scammer-to-87-months-in-prison/32101/