Вернуться   Sat-madi.com.ua > Компьютеры,Программное обеспечение > Защита компьютера > Антивирусы

Рекламные ссылки:

Ответ
 
Опции темы
Старый 24.05.2020, 16:19   #1041
Зам.Админ
 
Аватар для vladimir59
 
Регистрация: 06.10.2011
Сообщений: 45,462
Сказал(а) спасибо: 48,526
Поблагодарили 50,410 раз(а) в 31,179 сообщениях
Репутация: 151240
По умолчанию

Хакеры-робингуды ополчились на интернет-мошенников. Их диски шифруют без надежды восстановить


Хакеры-вигиланты написали шифровальщик на базе исходного кода другой аналогичной программы и используют его против тех, кого обвиняют в мошенничестве. Насколько правомерно — вопрос открытый.

Атака на мошенников


Хакерская группа CyberWare объявила «крестовый поход» против предполагаемых мошенников и начала атаковать их с помощью шифровальщиков и DDoS-атак. Кто именно является мошенником, решают сами активисты.

В разговоре с редакторами издания Bleeping Computer представители CyberWare заявили, что их основными целями являются компании, мошенничающие с займами. «Жертвы говорят, что предоставят тебе займ, но сначала тебе самому придется им заплатить, а потом ты не получаешь ничего», — заявили активисты.

Описанная ими схема доподлинно напоминает описанную в фильме «Афера по-американски». Пока известно о двух жертвах: первая — это компания GermanLajunenLoan (она же Banwulaina, Zorgolaina, T-laina) и BDFBank, чьи сайты, по данным издания 2-spyware.com, на данный момент лежат из-за DDoS-атак. Всего же хакеры подвергли атакам 20 фирм, которые, по их мнению, занимаются мошенничеством с займами.

Методика активистов

Помимо DDoS-атак хактивисты используют шифровальщик-вайпер собственной разработки — MilkmanVictory. Он распространяется через спиэр-фишинговые письма, в которых содержатся ссылки на исполняемые файлы, закамуфлированные под документы в формате PDF. Сразу после запуска значительная часть файлов на компьютере шифруется, а жертве выводится сообщение следующего содержания. «Привет! Этот компьютер уничтожен с помощью шифровальщика MilkmanVictory, потому что мы знаем, что вы — мошенник! Хакеры CyberWare». Никаких финансовых требований CyberWare не выдвигают.



Любопытно, что MilkmanVictory написан на базе скандально известного шифровальщика HiddenTear. Его исходники впервые появились на GitHub; их выложил уважаемый турецкий программист Утку Сен (Utku Sen), отметив, что единственное назначение этой программы — служить образовательным целям. Однако исходный код быстро превратили в эффективный шифровальщик-вымогатель, и его распространение вскоре приобрело эпидемические масштабы.

Позднее исследователи Майкл Гиллеспи (Michael Gillespie) и Фабиан Восар (Fabian Wosar) детально исследовали исходники, нашли слабые места и написали инструмент для дешифровки данных, атакованных HiddenTear. Вероятнее всего, этот инструмент сработает и в случае MilkmanVictory.

«Вигилантизм может вызывать симпатии на эмоциональном уровне, но мотивы “хактивистов” совершенно не обязательно настолько чисты и непорочны, как они хотят их представить, — считает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — Речь вполне может идти о банальной войне враждующих кибергруппировок. И даже если речь идет действительно о кибервигилантизме, нет никакой гарантии, что от таких атак не пострадают и невиновные».
vladimir59 вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Mogol (26.05.2020)
Рекламные ссылки:
Старый 24.05.2020, 18:11   #1042
Зам.Админ
 
Аватар для vladimir59
 
Регистрация: 06.10.2011
Сообщений: 45,462
Сказал(а) спасибо: 48,526
Поблагодарили 50,410 раз(а) в 31,179 сообщениях
Репутация: 151240
По умолчанию

Группа хакеров увела 1,1 млн фунтов в ходе атаки на финансовые компании


Компания Check Point Software Technologies опубликовала результаты расследовала киберинцидента, связанного с хищением 1,1 млн фунтов. Ответственной за хищение эксперты считают группу, названную «Флорентийский банкир».

6 декабря 2019 года в службу реагирования на инциденты Check Point’s Incident Response Team (CPIRT) обратились сразу три финансовые компании, попросив провести расследование ряда случаев утечки средств с совместного банковского счета. Оказалось, что злоумышленники при помощи четырех транзакций попытались вывести на сторонние счета сумму в размере 1,1 млн фунтов стерлингов. Из них удалось вернуть только 570 тысяч фунтов.

Ранее группа CPIRT исследовала похожий случай. Хакерам удалось похитить 1 млн долларов со счета китайской венчурной компании, которые предназначались для израильского стартапа.

На кого велась охота

Целью группировки стали четыре крупные компании финансового сектора из Великобритании и Израиля. Эти компании еженедельно проводят значительные суммы денег новым партнерам и сторонним организациям. Кроме того, все они используют почтовый сервис Office 365.

Первый контакт

В качестве метода атаки мошенники выбрали таргетированную фишинговую рассылку. Письма приходили топ-менеджерам компаний — генеральным или финансовым директорам — которые отвечали за денежные операции.

В этом случае злоумышленники выбрали двух сотрудников для отправки им фишинговых писем, один из которых предоставил необходимые данные. Одна фишинговая кампания может длиться неделями или месяцами, пока мошенники не получат полное представление о всей финансовой активности компаний. Для успешной реализации злоумышленники используют различные тактики, чередуют методы и меняют списки получателей.

С помощью фишинговой рассылки мошенники получали доступ к учетной записи электронной почты жертвы, чтобы получить информацию:

Какие каналы жертва использует для осуществления денежных переводов;
Какие отношения связывают жертву с третьими лицами — клиентами, адвокатами, бухгалтерами и банками;
Какие сотрудники в компании занимают ключевые позиции.

Группировка «Флорентийский банкир» может провести дни, недели или даже месяцы, занимаясь разведкой и терпеливо конспектируя бизнес-схемы и процессы.

После тщательного изучения внутриорганизационных процессов мошенники начинали изолировать жертву от коммуникации как с третьими лицами, так и с коллегами, создавая определенные правила для почтового ящика. Эти правила направляют любые электронные письма с интересующими хакеров данными в папку, за которой они следят, реализуя тип атаки «Человек посередине». Так, например, если в письмах упоминались такие слова, как «счет-фактура», «возвращено» или «отказано», они перемещались в папку, которая не используется жертвой.

Следующий шаг злоумышленников — создание фальшивых доменов, которые визуально практически идентичны доменам партнёров и третьих лиц, с которыми жертва ведет коммуникацию по почте. После этого, мошенники рассылали жертвам письма с фальшивых доменов, продолжая либо уже существующую переписку, либо создавая новую. Например, если коммуникация проходит между доменами finance-firm.com и banking-service.com хакеры могут использовать очень похожие на них вариации finance-firms.com и banking-services.com. Злоумышленники начинают отправлять электронные письма, для чего, либо создают новую ветку писем, либо продолжают диалог в прежней. Таким образом им удается обмануть жертву, которая предполагает, что по-прежнему общается с легитимным представителем компании.

Получив высокий уровень контроля над почтой, мошенники начинают отправлять жертвам ложные банковские реквизиты, применяя следующие техники:

Перехват актуальных переводов. Хакеры узнают из писем о том, что планируется перевод денег. Используя информацию и инфраструктуру, подготовленную на третьем этапе, мошенники предоставляют «новые» реквизиты, тем самым направляя средства на свои собственные банковские счета. Так, группировка «Флорентийский банкир» выяснила, что в одной из сделок, третья сторона предложила использовать банковский счет в Великобритании для ускорения процесса, однако получающая сторона сообщила, что у них такой возможности нет. Перехватив письмо жертвы, мошенники воспользовались ситуацией и предоставили стороне-отправителю альтернативный счет в банке Великобритании со своими реквизитами.
Генерация новых запросов на банковский перевод. Изучив на этапе разведки всю цепочку реализации денежного перевода, злоумышленники узнают процедуру, цикл согласования, ключевых игроков скомпрометированной компании и банков, которые проводят транзакции.

В этом случае мошенники просмотрели почтовую переписку между организацией и банком, с помощью которого она переводит деньги. Используя эту информацию, группа хакеров связалась с сотрудником компании, который отвечает за взаимодействие с банком, и оповестила об изменении процедуры перевода денег.

Группа «Флорентийский банкир» ведет беседу, пока третье лицо не утвердит новые банковские реквизиты и не подтвердит транзакцию. Если банк отклоняет транзакцию из-за несоответствия в валюте счета, имени получателя или по любой другой причине, злоумышленники исправляют отклонения, пока деньги не попадут в их собственные руки.

Так произошла и в этот раз. Злоумышленники следили за перепиской с банковским контактом, вносили необходимые исправления и сумели заставить стороны совершить транзакцию на свой мошеннический счет. В ходе этой атки группе хакеров удалось перехватить три операции и безвозвратно перевести себе 600 тысяч фунтов стерлингов.

Потенциальные жертвы

В ходе расследования случая Флорентийских банкиров, командой Check Point была собрана криминалистическая информация и проведено наблюдение различных доменов, вовлеченных в эту операцию. В общей сложности мошенники использовали семь различных доменов. Некоторые из них были имитацией существующих, другие были созданы с использованием сайта для обслуживания фишинговых страниц.

Используя информацию WHOIS сервиса (регистрация доменного имени, email, номер телефона), исследователи Check Point обнаружили еще 39 доменов, зарегистрированных в период с 2018-2020 год. Очевидно, что эти домены также были созданы для проведения подобного рода атак, а значит, у хакеров были планы и на другие компании.

Происхождение группы «Флорентийский банкир»

В ходе расследования были обнаружены улики, которые могут помочь определить местонахождение группировки.

Все письма и транзакции, перехваченные мошенниками, были на английском языке.
В течение двух месяцев, которые хакеры провели в среде компании-жертвы, они работали с понедельника по пятницу.
Банковские счета мошенников находились в Гонконге и Англии.
Некоторые электронные письма на иврите содержали потенциально полезные сведения, которые не были использованы злоумышленниками. Это позволяет сделать вывод, что они не владеют данным языком.
Для осуществления банковских переводов было использовано имя одной из гонконгских компании, которая была либо поддельной, либо ранее зарегистрированной, но не действующей.

Частный акционерный капитал и венчурный капитал стали прибыльной мишенью для BEC-афер. Венчурные инвесторы часто осуществляют переводы больших денежных сумм новым партнерам, что привлекает мошенников.

Группа «Флорентийский банкир», похоже, уже успела отточить навыки на нескольких атаках на протяжении, как минимум, нескольких лет. Злоумышленники доказали свою находчивость, быстро адаптируясь к новым ситуациям.

Методы, которые использовала группировка «Флорентийский банкир», особенно техника двойных доменов, представляют серьезную угрозу не только для скомпрометированной компании, но и для ее партнеров. Даже после обнаружения и удаления хакеров из сети компании-жертвы злоумышленники могут продолжить использовать организации партнеров, клиентов или банков жертвы в своих целях.
vladimir59 вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Mogol (26.05.2020)
Старый 26.05.2020, 21:56   #1043
Зам.Админ
 
Аватар для vladimir59
 
Регистрация: 06.10.2011
Сообщений: 45,462
Сказал(а) спасибо: 48,526
Поблагодарили 50,410 раз(а) в 31,179 сообщениях
Репутация: 151240
По умолчанию

Discord внезапно начал красть пароли игроков
26.05.2020, Вт, 09:31,

Новая версия троянца AnarchyGrabber, распространяемая через геймерский мессенджер Discord, позволяет красть пользовательские пароли и токены сессий, а также атаковать френдов жертвы.

Новый троянец

Через геймерский мессенджер Discord распространяется видоизмененный троянец AnarchyGrabber, крадущий пароли и пользовательские токены, а также распространяющийся дальше по контактному листу. Как пишет издание Bleeping Computer, AnarchyGrabber — популярный троянец, который раздается бесплатно на хакерских форумах.

На Youtube есть немало видео, где описывается, как с помощью этого троянца красть токены пользовательских сессий в Discord. В описаниях под видео встречаются ссылки на этот вредонос. Злоумышленники рассылают его потенциальным жертвам через Discord под видом читов к играм, хакерских инструментов или пиратского ПО.

Сразу после установки в систему жертвы троянец модифицирует файлы JavaScript, относящиеся к клиенту Discord, благодаря чему становится возможным красть токены сессий. Эти токены позволяют посторонним заходить в Discord под именем жертвы атаки.

На днях была выпущена новая модификация вредоноса, способная перехватывать пользовательские пароли в нешифрованном виде, а также заставлять зараженный клиент Discord рассылать копии вредоноса по списку френдов пользователя. Перехваченные пароли потом могут быть использованы для атак на аккаунты в других ресурсах — пользователи довольно часто используют очень похожие пароли в нескольких местах сразу.

JavaScript и никаких процессов

Вредонос видоизменяет файл %AppData%\Discord\[version]\modules\discord_desktop_core\index.js так, чтобы тот подгружал дополнительные файлы JavaScript — в частности inject.js и затем discordmod.js. Эти скрипты разлогинивают пользователя и пытаются отключить двухфакторную авторизацию в клиенте после повторного входа пользователя в свой аккаунт. Далее используется система оповещения Webhook для отправки почтового адреса, IP-адреса, логина, пользовательского токена и пароля в канал Discord под управлением злоумышленников. Плюс к этом модифицированный клиент Discord на компьютере жертвы будет выполнять поступающие команды злоумышленников, в том числе, например, на рассылку всем контактам пользователя копии вредоносов — либо все того же троянца, либо какой-то другой программы.


Злоумышленники превращают клиент Discord во вредоносную программу

Пользователи, скорее всего, даже не поймут, что они заражены. Вредоносный процесс как таковой отсутствует, антивирусы, скорее всего, не среагируют. Проверить, заражен ли пользователь Discord, можно только вручную. Для этого надо открыть файл index.js (%AppData%\Discord\[version]\modules\discord_desktop_core\index.js) и удостовериться, что строка module.exports выглядит следующим образом: module.exports = require('./core.asar').

Если это не так, то клиент Discord скомпрометирован. Проблему относительно легко можно решить путем переустановки клиента Discord, говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. «А чтобы предохраниться от дальнейших случаев заражения, не следует открывать никаких файлов, пересланных через Discord, не удостоверившись в источнике через другие каналы связи (по телефону или электронной почте)», — отмечает она.
vladimir59 вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Mogol (26.05.2020)
Старый 31.05.2020, 19:10   #1044
Зам.Админ
 
Аватар для vladimir59
 
Регистрация: 06.10.2011
Сообщений: 45,462
Сказал(а) спасибо: 48,526
Поблагодарили 50,410 раз(а) в 31,179 сообщениях
Репутация: 151240
По умолчанию

Тысячи израильских сайтов подверглись атакам

Более двух тысяч израильских вебсайтов стали накануне жертвами кибератак. Подавляющее большинство пострадавших от атаки сайтов созданы на платформе WordPress и пользуются услугами местного хостинг-провайдера uPress. Компания сообщила, что злоумышленники воспользовались уязвимостью WordPress для осуществления атаки. Ответственность за акцию взяла на себя ранее неизвестная группировка Hackers of Savior. Судя по информации на ее странице в Facebook, в состав группы входят 9 человек, все они являются уроженцами исламских стран – Турции, Марокко, Египта и Палестины.

В большинстве случае атаки ограничились дефейсом – хакеры подменили изображения на стартовых страницах сайтов. Они загрузили фотографии охваченного огнем Тель-Авива, сопроводив их надписью «Отсчет уничтожения Израиля запущен уже давно». Впрочем, в некоторых случаях киберпреступники также пытались загрузить на страницы скрипт, запрашивавший доступ к камерам устройств посетителей сайтов. В настоящее время практически все атакованные сайты отключены, ущерб от атаки оценивается как незначительный.
vladimir59 вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Mogol (07.06.2020)
Старый 31.05.2020, 19:10   #1045
Зам.Админ
 
Аватар для vladimir59
 
Регистрация: 06.10.2011
Сообщений: 45,462
Сказал(а) спасибо: 48,526
Поблагодарили 50,410 раз(а) в 31,179 сообщениях
Репутация: 151240
По умолчанию

Красный крест призвал мировых лидеров защитить медицину от хакеров

Международное гуманитарное движение Красный Крест опубликовало открытое письмо, адресованное мировым лидерам. В нем содержится призыв защитить медицинские учреждения и организации от хакерских атак. «В последние недели мы стали свидетелями атак, направленных на медицинские учреждения, находящиеся на переднем крае борьбы с пандемией COVID-19, - говорится в документе. – Эти действия ставят под угрозу человеческие жизни, затрудняя возможность медиков оказывать необходимую помощь, осложняя доставку и получение жизненно необходимых препаратов и распространение критически важной информации».

Помимо президента Красного Креста Петера Маурера, письмо подписали руководители нескольких ведущих технологических компаний, в частности, президент Microsoft Брэд Смит и глава «Лаборатории Касперского» Евгений Касперский, а также крупные политические деятели, включая бывших президентов Мексики, Уругвая, Бразилии, Польши, Словении и Либерии. Они отмечают, что мировым лидерам следует объединить усилия со специалистами по кибербезопасности для более активных и решительных действий по защите медицинских и исследовательских центров от хакерских атак в период пандемии.
vladimir59 вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Mogol (07.06.2020)
Старый 01.06.2020, 22:19   #1046
Зам.Админ
 
Аватар для vladimir59
 
Регистрация: 06.10.2011
Сообщений: 45,462
Сказал(а) спасибо: 48,526
Поблагодарили 50,410 раз(а) в 31,179 сообщениях
Репутация: 151240
По умолчанию

Взлом серверов компании Cisco, обслуживающих инфраструктуру VIRL-PE

Компания Cisco раскрыла сведения о взломе 7 серверов, обеспечивающих работу системы моделирования сетей VIRL-PE (Virtual Internet Routing Lab Personal Edition), позволяющей проектировать и тестировать сетевые топологии на базе коммуникационных решений Cisco без реального оборудования. Взлом был выявлен 7 мая.

Контроль над серверами получен через эксплуатацию критической уязвимости в системе централизованного управления конфигурацией SaltStack, которая ранее была использована для взлома инфраструктур LineageOS, Vates (Xen Orchestra), Algolia, Ghost и DigiCert. Уязвимость также проявлялась в сторонних установках продуктов Cisco CML (Cisco Modeling Labs Corporate Edition) и Cisco VIRL-PE 1.5 и 1.6, в случае включения пользователем salt-master.

Напомним, что 29 апреля в Salt были устранены две уязвимости, позволяющие без прохождения аутентификации удалённо выполнить код на управляющем хосте (salt-master) и всех управляемых через него серверах. Для атаки достаточно доступности сетевых портов 4505 и 4506 для внешних запросов.
vladimir59 вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Mogol (07.06.2020)
Старый 06.06.2020, 22:00   #1047
Зам.Админ
 
Аватар для vladimir59
 
Регистрация: 06.10.2011
Сообщений: 45,462
Сказал(а) спасибо: 48,526
Поблагодарили 50,410 раз(а) в 31,179 сообщениях
Репутация: 151240
По умолчанию

Вымогатели объединяются в картель

Операторы зловреда-шифровальщика Maze в очередной раз выступили в роли «трендсеттеров» кибрепреступного бизнеса. Ранее они первыми начали не только зашифровывать данные жертв в ходе атак, но и предварительно похищать эти данные. Также группировка создала сайт Maze News, на котором публиковала фрагменты похищенных данных и угрожала опубликовать их полностью, если жертва откажется уплатить выкуп.

Теперь же операторы Maze представили очередное новшество. На их сайте появились образцы данных, похищенных в ходе атаки с применением вовсе не Maze, а другого шифровальщика, известного как LockBit. Этот зловред активен с сентября прошлого года и, как и Maze, используется исключительно в атаках на крупные компании. Ресурсу Bleeping Computer удалось связаться с представителями группировки, стоящей за Maze, и те подтвердили, что публикация не является случайностью. «Мы рассматриваем такое сотрудничество как выгодное для всех сторон, - заявили они. – Более того, мы не только предоставляем свою платформу для публикации данных, мы делимся опытом и информацией». Хакеры также заявили, что в ближайшие дни предоставят свой сайт для публикации данных еще одной группе, а кроме того ведут переговоры с операторами еще нескольких шифровальщиков. Это может означать возникновение в близком будущем некоего картеля кибервымогателей. Средняя стоимость выкупа, требуемого шифровальщиками с крупных компаний, уже сейчас составляет более 100 тысяч долларов, а объединение их сил почти наверняка приведет к дальнейшему росту этой суммы.
vladimir59 вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Mogol (07.06.2020)
Старый 08.06.2020, 10:15   #1048
Зам.Админ
 
Аватар для vladimir59
 
Регистрация: 06.10.2011
Сообщений: 45,462
Сказал(а) спасибо: 48,526
Поблагодарили 50,410 раз(а) в 31,179 сообщениях
Репутация: 151240
По умолчанию

Операторы вымогателя eCh0raix атаковали сетевые хранилища QNAP
07:54 / 8 Июня, 2020

За расшифровку данных злоумышленники требуют заплатить выкуп в размере около $500.

Операторы вымогательского ПО eCh0raix организовали вредоносную кампанию, нацеленную на сетевые хранилища (NAS) QNAP. Вредонос компрометирует устройства путем брутфорса и эксплуатации известных уязвимостей в сетевых хранилищах (CVE-2018-19943, CVE-2018-19949 и CVE-2018-19953), которые позволяют внедрить или удаленно выполнить код.

Как только злоумышленники получают доступ к устройству, они устанавливают вымогательское ПО, шифрующее файлы на системе жертвы и добавляющее расширение .encrypt к имени файлов. Затем жертва получает сообщение с требованием выкупа README_FOR_DECRYPT.txt, содержащее ссылку на сайт оплаты. За расшифровку данных злоумышленники требуют заплатить выкуп в размере 0,0547 BTC (примерно $500).

По словам пострадавших, после шифрования в AppCenter устройства появляются приложения QNAP со странными названиями. Неизвестно, являются ли они вредоносными пакетами, установленными преступниками, или загруженными пользователем пакетами, которые были зашифрованы.

В настоящее время нет способа восстановить файлы самостоятельно, если сервис моментальных снимков системы (Snapshot) на сетевых хранилищах QNAP был отключен. Данная функция позволяет использовать снимки для восстановления данных.

QNAP исправила уязвимости в версиях операционной системы QTS 4.4.1 (сборка 20190918 и младше) и QTS 4.3.6 (сборка 20190919 и младше).

Напомним, атаки с использованием вредоносного ПО eCh0raix были впервые обнаружены в июле прошлого года. Тогда компании QNAP и Synology предупредили пользователей об атаках с использованием вымогателя eCh0raix на сетевые накопители. В рамках атак злоумышленники похитили учетные данные администратора, с их помощью получили доступ к устройствам и зашифровали хранившуюся на них информацию.
vladimir59 вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Mogol (08.06.2020)
Старый 08.06.2020, 21:14   #1049
Зам.Админ
 
Аватар для vladimir59
 
Регистрация: 06.10.2011
Сообщений: 45,462
Сказал(а) спасибо: 48,526
Поблагодарили 50,410 раз(а) в 31,179 сообщениях
Репутация: 151240
По умолчанию

Началась ковровая атака перебором паролей против WordPress, MySQL и PostgreSQL
08.06.2020, Пн, 11:34, Мск

Вредоносная программа паразитирует на установках WordPress со слабыми паролями и пытается с помощью брутфорс-атак взломать другие системы управления контентом и сетевые службы.

Как пчела в сиропе

Эксперт по информационной безопасности компании Akamai Ларри Кэшдоллар (Larry Cashdollar) опубликовал исследование вредоноса Stealthworker, который активно используется для брутфорс-атак (перебором паролей) на популярные онлайн платформы.

Среди потенциальных объектов атак — WordPress, cPanel, Drupal, Bitrix, OpenCart, Magento и службы MySQL, PostgreSQL, SSH и FTP. Более ранние версии также атаковали phpMyAdmin.

Stealthworker попал в одну из специальных ловушек (Honeypot), которая представляет собой установку WordPress с легко угадываемым административным паролем. Ждать атак долго не пришлось: после успешного взлома злоумышленники установили в систему новую тему WordpressAlternateLite. Кроме нее, обнаружился двоичный процесс, работающий как www-user и резко вырос сетевой трафик.

AlternateLite— одна из множества бесплатных тем WordPress, установленная более чем на 1000 сайтов. «Не до конца понятно, насколько использование этой темы значимо для операций Stealthwoker, но сейчас ее активно скачивают ежедневно, и особый пик скачиваний пришелся на 2 марта», — написал Кэшдоллар, отметив, что злоумышленники зачем-то заменили скрипт customizer.php скриптом загрузки файлов.

Любые нетекстовые файлы подгружаются с расширением .moban. Moban — это название еще одной темы WordPress со встроенной функцией загрузки файлов. Возможно, авторы Stealthworker использовали часть ее кода.

Брутфорсим все, WordPress — в уме

После подгрузки нужных злоумышленникам файлов, вредонос подключается к контрольному серверу, чтобы получить список целей и логинов и начинает производить сканирование. Брутфорс-атаки производятся на любые серверы, кроме тех, где установлен WordPress.

До начала атаки, однако, вредонос собирает основные данные о мишени, чтобы сгенерировать список возможных комбинаций логинов-паролей. Для этого вредонос пытается парсить имена авторов публикаций, почтовые адреса и другие данные, например тэги.

Дальше начинается распределенный брутфорс, где перебор возможных логинов и паролей производится одновременно с разных машин, что позволяет обойти распространенные средства защиты от подобных атак.

«Брутфорс — один из самых распространенных инструментов для взлома CMS и прочих сетевых служб: злоумышленники прекрасно знают, насколько слабыми бывают даже администраторские пароли, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SECConsultServices. — Stealthworker — не первый и явно не последний инструмент подобного рода. Если он продемонстрирует эффективность выше среднего, скорее всего, количество подобных ему вредоносов будет расти».
vladimir59 вне форума   Ответить с цитированием
Старый 13.06.2020, 21:46   #1050
Зам.Админ
 
Аватар для vladimir59
 
Регистрация: 06.10.2011
Сообщений: 45,462
Сказал(а) спасибо: 48,526
Поблагодарили 50,410 раз(а) в 31,179 сообщениях
Репутация: 151240
По умолчанию

Движение Black Lives Matter используется для хакерских атак

Организация Abuse.ch, работающая в сфере обеспечения кибербезопасности, сообщила об очередном случае использования хакерами самых актуальных мировых событий для организации кибератак. На протяжении последних месяцев темой номер один во всем мире оставалась пандемия коронавируса СOVID-19, и злоумышленники активно эксплуатировали ее для самых разных противоправных действий: от распространения спама и вредоносного ПО до торговли фальшивыми лекарствами. Сейчас СМИ уделяют огромное внимание теме протестов под лозунгом Black Lives Matter («Жизни чернокожих имеют значение»), охвативших США после убийства полицейским афроамериканца Джорджа Флойда. И хакерские атаки, использующие этот информационный повод, не заставили себя ждать.

Под видом опроса об отношении к акциям Black Lives Matter неизвестные злоумышленники распространяют вредоносное ПО TrickBot. Этот зловред был создан как банковский троянец, но со временем существенно эволюционировал. В настоящее время он способен похищать файлы, сохраненные пароли и ключи безопасности, распространяться во внутренних сетях, инфицируя другие подключенные к ним устройства. Кроме того его операторы сотрудничают с операторами зловредов-шифровальщиков (в частности, Ryuk), и вслед за инфицированием TrickBot нередко следует и атака кибервымогателей.

Согласно информации Abuse.ch, злоумышленники рассылают от имени «властей страны» сообщения электронной почты с просьбой высказать свое отношение к движению Black Lives Matter. Чтобы сделать это, получателю следует загрузить документ Word, выдаваемый за опросный лист, и нажать кнопки, разрешающие адекватное отображение и редактирование его контента. В действительности нажатие этих кнопок активирует макрокоманду, которая загружает и запускает исполняемый файл TrickBot. Получателям подобных писем следует проявить максимальную осторожность.
vladimir59 вне форума   Ответить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Рекламные ссылки:


Текущее время: 08:52. Часовой пояс GMT +2.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot
Администрация форума не несёт ответственности за содержание сообщений, оставляемых пользователями форума.
При копировании и/или использовании материалов форума прямая гиперссылка на форум обязательна!