Новости безопасности

Шифровальщик Satana подменяет MBR и шифрует файлы на зараженной системе.

Компания Malwarebytes опубликовала в своем блоге исследование нового образца вымогателя, наследующего функционал Petya и Mischa. Вредонос Satana обладает примерно теми же возможностями – умеет шифровать данные и подменяет MBR-запись (Master Boot Record), и точно также работает в двух режимах.
В первом режиме приложение пытается изменить MBR-запись для использования собственного загрузчика. Во втором режиме вредонос ведет себя как обычный шифровальщик. В отличии от ранее известной связки Petya и Mischa, вымогатель Satana использует оба режима совместно, т.е. подменяет MBR-запись и шифрует файлы на диске.
После попадания на систему вредонос шифрует файлы со следующими расширениями на локальных и сетевых дисках:
.bak .doc .jpg .jpe .txt .tex .dbf .db .xls
.cry .xml .vsd .pdf . csv .bmp .tif .1cd .tax
.gif .gbr .png .mdb .mdf .sdf .dwg .dxf .dgn
.stl .gho .v2i .3ds .ma .ppt .acc .vpd .odt
.ods .rar .zip .7z .cpp .pas .asm
Затем шифровальщик подключается к C&C серверу по адресу 185.127.86.186 и передает данные о новом клиенте, а также ключ шифрования. Исследователи не смогли обнаружить место хранения ключа шифрования на зараженной системе. Предположительно, ключ шифрования хранится только на C&C сервере. Таким образом, если C&C сервер будет отключен или недоступен, даже после выплаты выкупа пользователь не сможет расшифровать файлы.
В образце, анализируемом экспертами, был указан некорректный номер биткойн-кошелька. Исследователи не исключают, что в их руки попала предрелизная версия вредоноса.
С подробным анализов вредоноса можно ознакомиться тут

Добавлено спустя 3 минуты 49 секунд:

Троян Adwind RAT по-прежнему не детектируется антивирусами

Эксперты обнаружили новую спам-кампанию по распространению вредоноса.

Исследователи компании Heimdal Security обнаружили спам-кампанию по распространению трояна для удаленного доступа под названием Adwind RAT. Троян представляет собой кроссплатформенное вредоносное ПО, обладающее обширным функционалом. В частности, Adwind RAT способен устанавливать на инфицированные компьютеры бэкдор, похищать данные и предоставлять злоумышленникам возможность удаленно управлять зараженным компьютером.
По данным Heimdal Security, кампания стартовала в прошлые выходные и пока затронула только жителей Дании. Тем не менее, эксперты уверены, что вскоре она распространится и на другие страны. Злоумышленники рассылают троян в электронных письмах, содержащих вредоносное вложение (имя файла Doc-[Number].jar). Как показала проверка с помощью сервиса VirusTotal, в настоящее время Adwind RAT не детектируется ни одним антивирусным решением – довольно странно, ведь впервые он был обнаружен еще четыре года назад.
О вредоносе стало известно в 2012 году, и тогда он назывался Frutas RAT. Позднее троян также идентифицировался как Unrecom RAT (февраль 2014 года), AlienSpy (октябрь 2014 года), и JSocket RAT (июнь 2015 года). Заразив систему, Adwind RAT делает ее частью ботнета, управляемого сервером jmcoru.alcatelupd [.] Xyz, также задействованным в других вредоносных кампаниях по распространению RAT.

Троян Kovter маскируется под обновления для Firefox

Вредоносное ПО распространяется с помощью атак drive-by-download.
Исследователи компании Barkly сообщили о новой разновидности трояна Kovter, маскирующейся под легитимные обновления для Firefox. Вредонос распространяется с помощью атак drive-by-download: когда пользователь посещает зараженный сайт, ему предлагается установить поддельное обновление для браузера.
По словам исследователей, последний вариант Kovter обходится без файлов и, похоже, использует легитимный сертификат, выпущенный Comodo. Эксперты уже уведомили компанию о проблеме, и сертификат вскоре будет отозван.
Вредонос устанавливает на инфицированную систему удаленно обновляемые трояны для доступа к компьютеру, кликает на рекламные ссылки, а также выполняет функции вымогательского ПО. После выполнения на системе жертвы вредонос записывает встроенный зашифрованный скрипт в несколько разных участков реестра Windows и использует PowerShell.exe для вредоносных действий.
Проанализировав ключ реестра, исследователи нашли еще одну зашифрованную программу PowerShell. «В итоге мы обнаружили, что PowerShell используется для внедрения в систему шелл-кода», - сообщили эксперты.
Пользователям рекомендуется воздержаться от установки каких-либо патчей для Firefox, выпущенных не в соответствии со стандартным циклом выпуска обновлений компании Mozilla.

Вымогатель Troldesh

Исследователи подразделения Microsoft Malware Protection Center сообщили о появлении нового представителя семейства вымогателей Troldesh, также известного как Encoder.858 или Shade. Как отмечают специалисты, новый вариант претерпел ряд изменений, самым крупным из которых является взаимодействие с анонимной сетью Tor.
В частности, уведомление о выкупе теперь включает ссылки на адрес в сети Tor, который предлагается использовать в качестве формы обратной связи (ранее вирусописатели использовали только адрес электронной почты). Изменения также коснулись расширений имен файлов. Теперь после зашифровки файла к его имени добавляются расширения .da_vinci_code или .magic_software_syndicate.
Впервые вымогательское ПО Troldesh было замечено ИБ-исследователями в начале 2015 года. Оказавшись на системе троян создает файлы %APPDATA%\windows\csrss.exe (копия вредоносной программы) и %TEMP%\state.tmp (временный файл, используемый для шифрования). Troldesh изменяет некоторые записи в системном реестре с целью запуска при каждом включении компьютера.
Шифровальщик отображает на экране требование о выкупе за восстановление файлов на русском и английском языках, что может говорить о причастности к его созданию русскоязычных вирусописателей.

Вымогатель Ranscam

Исследователи подразделения Cisco Talos обнаружили новый вариант вымогательского ПО, который, в отличие от других подобных вредоносов, не шифрует контент на компьютере жертвы, а просто удаляет его. Причем файлы невозможно восстановить, даже если жертва заплатит требуемый выкуп.
Оказавшись на компьютере, Ranscam демонстрирует пользователю требование, в котором утверждается, что все файлы были зашифрованы и перемещены в скрытый раздел. За восстановление контента жертве предлагается заплатить выкуп в размере 0,2 биткойна (приблизительно $130). Троян обещает вернуть контент, если пользователь отправит деньги и нажмет на кнопку подтверждения платежа.
В действительности после нажатия на кнопку появляется сообщение: "Ваш платеж не подтвержден" с угрозой удаления одного файла при каждой неподтвержденной оплате. Это уведомление получают все жертвы в независимости от того заплатили они или нет. По словам исследователей, Ranscam просто отправляет два запроса HTTP GET для получения PNG-изображений, используемых для имитации верификационного процесса. На самом деле, никакой проверки не происходит, а все файлы уже удалены без возможности восстановления.
Ranscam действует следующим образом: на первом этапе исполняемый файл на .NET запускает пакетный скрипт, который размножается и заполняет систему жертвы. Затем скрипт удаляет ряд важных файлов, в том числе Windows .EXE, отвечающий за восстановление системы, службу теневого копирования, а также ключи в реестре Windows, связанные с загрузкой в безопасном режиме. После выполнения данных действий скрипт инициирует принудительное выключение системы.
Судя по всему, авторы Ranscam - всего лишь аматоры, пытающиеся по-быстрому заработать. Однако эффективность такого способа вызывает вполне определенные сомнения, поскольку после 29 июня кошелек Bitcoin, используемый злоумышленниками, не принял ни одной транзакции.
Ranscam – не единственный вымогатель, удаляющий файлы жертвы. К примеру, шифровальщик Jigsaw удаляет по 1 файлу в час, если требуемый выкуп не был выплачен вовремя.

Вредонос способен удалять файлы каждые шесть часов.

Согласно исследователям из Heimdal Security Software, вредоносное ПО под названием Stampado является уникальным, так как способно удалять файлы каждые шесть часов. Функционал и методы Stampado очень схожи с вымогателем CryptoLocker, использующим технику туннельного перехода (File System Tunneling) для избежания обнаружения.
Пользователям инфицированных Stampado устройств злоумышленники предлагают выплатить один биткойн ($660) в течение 96 часов. В противном случае атакующие угрожают удалять по одному зашифрованному файлу каждые шесть часов.
Еще одним преимуществом Stampado является пожизненная лицензия. Цены на схожие вредоносы варьируются от нескольких сотен до тысяч долларов. Например, CrytpoLocker в 2015 году продавался за $3 тыс., рассказывают ИБ-эксперты. Вымогательское ПО без передачи покупателю вредоносного кода оценивается от $50 за определенный период его использования.
Учитывая низкую стоимость и уникальный функционал, за созданием Stampado стоят неопытные злоумышленники, уверен Лоуренс Абрамс (Lawrence Abrams) из BleepingComputer.
В настоящее время эксперты работают над анализом Stampado. Вредонос использует расширения EXE, BAT, DLL, SCR и CMD для доставки полезной нагрузки. Вымогатель шифрует файлы и изменяет расширения на .locked. Злоумышленники расшифровывают один файл в качестве гарантии, а затем высылают пользователю инструкции по оплате. Исследователи пока не обнаружели использование нового вредоноса в мошеннических кампаниях.


Добавлено спустя 5 часов 15 минут 43 секунды:

CryptXXX для расшифровки предоставляет ключи бесплатно

Вымогательское ПО CryptXXX бесплатно предоставляет ключи для восстановления зашифрованного контента. В этом смогли убедиться несколько пользователей форума Bleeping Computer. Однако «аукцион щедрости» касается только некоторых версий трояна, в частности, добавляющих расширения .Crypz и .Cryp1 к зашифрованным файлам.
По свидетельствам пользователей, при попытке зайти на сервер злоумышленников они получали бесплатный ключ, с помощью которого действительно смогли восстановить зашифрованные файлы. По каким причинам злоумышленники решили предоставить жертвам бесплатный ключ, пока не известно. Не исключено, что это связано с неисправностью платежной системы вирусописателей. В прошлом авторы CryptXXX не раз допускали ошибки в коде.
Впервые о вымогательском ПО CryptXXX стало известно в апреле нынешнего года. Вредонос обладает довольно интересным функционалом – помимо шифрования информации на компьютере жертвы, он способен похищать биткойны, пароли и другие важные данные.

Троян для вербовки инсайдеров

Исследователи израильской компании Diskin Advanced Technologies обнаружили первое вредоносное ПО, использующее методы социальной инженерии и вымогательство для вербовки инсайдеров в компаниях. Вредонос, получивший название Delilah, чаще всего распространяется через игровые сайты и ресурсы с контентом «для взрослых». Оказавшись на системе, троян собирает конфиденциальные данные, в том числе относящиеся к семье и месту работы, позволяющие злоумышленникам шантажировать жертву.
Помимо сбора персональных сведений, троян способен записывать видеоматериал с web-камеры пользователя без его ведома. По словам эксперта компании Gartner Research Авивы Литан (Avivah Litan), в своих инструкциях злоумышленники требуют от жертвы использовать VPN-сервисы и анонимную сеть Tor, а также удалять историю просмотров в браузере. По всей видимости, это нужно для сокрытия следов несанкционированной деятельности в случае проведения аудита.
В настоящее время троян не продается на черном рынке и доступен только на закрытых хакерских форумах. Судя по количеству ошибок, вредоносное ПО пока находится на стадии разработки. Как отмечают исследователи, использование Delilah требует непосредственного участия авторов вредоносного ПО, в частности в том, что касается применения социальной инженерии для идентификации потенциальных жертв.
За последнее время проблема вредоносного инсайдерского ПО стала довольно актуальной. Как утверждается в докладе компании Verizon, в большинстве случаев подобные угрозы обнаруживаются только спустя несколько месяцев, а то и лет, после инфицирования системы. Авива Литан прогнозирует рост числа инцидентов с использованием Delilah и подобных вредоносов в будущем и рекомендует организациям принять меры по предотвращению возможного заражения.

CryptXXX

ИБ-исследователи Proofpoint обнаружили новую мошенническую кампанию, использующую спам-рассылку для распространения вымогателя CryptXXX. Злоумышленники отправляли электронные письма с прикрепленными документами, содержавшими вредоносные макросы для загрузки и установки CryptXXX. Ранее вымогатель распространялся только с помощью набора эксплоитов Angler и Neutrino.
Атакующие использовали методы социальной инженерии с целью заставить пользователя открыть вредоносные документы. Темой подобных сообщений были «Нарушение системы безопасности – отчет о безопасности». По словам экспертов, мошенническая кампания не достигла больших масштабов. Злоумышленники отправили всего несколько тысяч электронных сообщений. Однако, это может быть только тестовым испытанием новой моделью распространения CryptXXX и в ближайшее время стоит ожидать более массивных атак.
На данный момент CryptXXX находится в активной разработке и совсем скоро может появиться новая версия вредоноса, еще не изученная специалистами. Напомним, некоторое время назад пострадавшие от версий вредоноса, добавляющих расширения .Crypz и .Cryp1 к зашифрованным файлам, смогли бесплатно получить ключи для восстановления зашифрованного контента.
Не исключено, что такая "щедрость" может быть результатом ошибки в платежной системе злоумышленников. Также возможно, что операторы CryptXXX решили избавиться от старого кода и предлагать ключи дешифрования, как поступили операторы вымогателя TeslaCrypt в мае текущего года после завершения кампании.

Уязвимости в 15 антивирусах

Исследователи из компании EnSilo обнаружили шесть серьезных проблем с безопасностью в 15 антивирусных решениях от AVG, «Лаборатория Касперского», McAfee, Symantec, Trend Micro, Bitdefender, Citrix, Webroot, Avast, Emsisoft, Microsoft и Vera Security. Все проблемы связаны с методами перехвата вызовов других процессов, используемыми антивирусами средствами виртуализации.
Уди Яво (Udi Yavo) и Томмер Биттон (Tommer Bitton) обнаружили уязвимости в процессе изучения вопроса, каким образом производители ПО используют технологию перехвата (hooking) для внедрения кода с целью перехвата, мониторинга и модификации системных вызовов. По словам исследователей, большая часть уязвимостей позволяет атакующим с легкостью обойти защиту от эксплоитов в Windows или сторонних приложениях и проэксплуатировать проблемы, которые в иных случаях могут быть труднодоступны или вовсе недоступны. Некоторые уязвимости позволяют злоумышленнику внедрить вредоносный код в любой процесс, запущенный на системе.
Метод перехвата используется антивирусами для отслеживания потенциально вредоносного поведения. Кроме того, hooking применяется для защиты от эксплоитов, виртуализации, мониторинга производительности и сэндбоксинга. Некоторые вредоносные программы используют перехват для осуществления MitB-атак.

Обнаружен скрытый бэкдор

ИБ-исследователи из компании Digital Defense обнаружили в ПО Dell шесть уязвимостей с высокой степенью риска. Одна из самых опасных уязвимостей связана с наличием скрытой дефолтной учетной записи в часто используемом ПО Sonicwall Global Management System(GMS), предназначенном для централизованного мониторинга и управления сетевыми устройствами безопасности. По словам экспертов, пароль к скрытой учетной записи является легко угадываемым.
Уязвимость позволяет злоумышленнику получить полный контроль над программным обеспечением и всеми подключенными сервисами, такими как виртуальная частная сеть (VPN) и брандмауэры.
Эксперты Digital Defense также сообщили о двух уязвимостях, позволяющих удаленное выполнение кода, двух XXE-уязвимостях и ошибке, позволяющей вносить неавторизованные изменения в конфигурацию GMS.

Вымогатель CTB-FAKER



Аналитики Bleeping Computer и компании Check Pointобнаружили малварь CTB-Faker, которая маскируется под более известное семейство шифровальщиков CTB-Locker. Это не первый подражатель обнаруженный специалистами, совсем недавно был найден вымогатель PowerWare, который старательно выдавал себя за другого вредоноса (Locky). Как и в случае PowerWare, код CTB-Faker не отличается качеством, похоже авторы малвари вообще решили сэкономить время, так что вместо надежного алгоритма шифрования здесь используются обыкновенные архивы, защищенные паролями.

Специалисты пишут, что на сегодняшний день CTB-Faker распространяется преимущественно через сайты для взрослых, на которых посетителям предлагают заплатить за просмотр приватного танца. Здесь жертву обманом вынуждают скачать ZIP-архив, который содержит исполняемый файл малвари.



Как только пользователь «распакует архив», CTB-Faker начнет медленно и неумолимо перемещать файлы жертвы в защищенный паролем архив Users.zip, лежащий в корневом каталоге диска C. Для этих целей вредонос использует обычный WinRAR. Как только процесс перемещения данных завершен, вымогатель инициирует перезагрузку компьютера, а после перезапуска системы отображает сообщение с требованием выкупа. Это сообщение полностью копирует сообщение вымогателя CTB-Locker, то есть подражатель стремится походить на свой прототип по максимуму, также как и в случае с PowerWare и Locky. Очевидно идея злоумышленников заключается в том, что погуглив «CTB-Locker», пользователь испугается больше, узнав, что он пал жертвой распространенной и опасной угрозы, от которой нельзя спасти данные.

Специалисты Bleeping Computer сумели установить, что такая тактика работает. На данный момент авторы CTB-Faker заработали уже порядка 577 биткоинов, то есть около $381 000. По приблизительным подсчетам экспертов, выкуп заплатили около 7200 пользователей.

Хотя в сообщении с требованием выкупа утверждается, что CTB-Faker использует в работе комбинацию алгоритмов SHA-512 и RSA-4096, на самом деле шифровальщик применяет стандартное шифрование AES-256, которое используется для создания архивов WinRAR.

Исследователи обнаружили, что ключ шифрования (WinRAR пароль) был жестко закодирован в исходном исполняемом файле, который пользователи скачивали с сайта для взрослых. То есть данные можно извлечь и без оплаты выкупа. Эксперт Bleeping Computer Лоренс Абрамс сообщил, что он готов помочь всем жертвам шифровальщика восстановить информацию, если у них на руках остался этот исходный файл.

Добавлено спустя 5 минут 32 секунды:

Новый метод обхода UAC в Windows 10

Исследователи Мэтт Гребер (Matt Graeber) и Мэтт Нелсон (Matt Nelson) обнаружили новый способ обхода функции Контроля учетных записей в Windows, предназначенной для предотвращения несанкционированных изменений в компьютере.
Новая атака работает на устройствах под управлением Windows 10, и в отличие от остальных подобных методов, не детектируется решениями по безопасности, поскольку не предполагает использование копии файла с привилегиями или внедрение кода. Греберу и Нелсону удалось обойти UAC, используя сложный, многоэтапный процесс, в конечном итоге позволяющий подключить вредоносную DLL-библиотеку и запустить ее на системе с повышенными привилегиями.
Проанализировав ряд установленных по умолчанию задач в планировщике Windows 10, исследователи выяснили, что один из процессов (SilentCleanup) может запускаться непривилегированным пользователем, но исполняться с повышенными правами. Как пояснили эксперты, файл SilentCleanup связан с утилитой Disk Cleanup или Cleanmgr.exe. При запуске cleanmgr.exe права процесса автоматически повышаются до максимального уровня, что связано с установленными настройками в конфигурации задачи.
После запуска утилита Disk Cleanup создает новую папку GUID в C:\Users\\AppData\Local\Temp, куда копируется несколько DLL-файлов, а также dismhost.exe. Запустившись dismhost.exe. начинает в определенном порядке выгружать файлы DLL из папки C:\Users\\AppData\Local\Temp\ <guid>. Поскольку текущий пользователь имеет доступ с правом на запись к директории %TEMP%, вполне возможно подменить DLL, используемый процессом dismhost.exe.
Исследователи представили свои наработки специалистам Microsoft, однако в компании отметили, что механизм Контроля учетных записей не относится к функциям безопасности и, соответственно, данная проблема не может рассматриваться как уязвимость.

МВД России закупает ПО для слежки за пользователями в соцсетях

Российская полиция закупает программное обеспечение, позволяющее осуществлять мониторинг активности пользователей в соцсетях, в том числе читать личные сообщения, собирать данные о геолокации и анализировать связь между различными пользователями. О закупке соответствующего ПО объявило ГУ МВД по Свердловской области. Речь идет о программно-аналитическом модуле для информационной системы «Зеус». Аукцион состоится 8 августа нынешнего года, начальная цена лицензии – 1,85 млн рублей.
В техническом задании правоохранители указали требования к ПО. В их числе возможность постоянного автоматического мониторинга любого пользователя: полнотекстовый поиск в архиве сообщений, отслеживание изменений в составе организаторов и членов группы, возможность формирования архива сообщений пользователя по указанному критерию и пр. Иными словами, при помощи нового модуля правоохранители смогут отслеживать круг общения пользователя, тематику сообщений, кого он добавляет в друзья, в какие группы вступает, какие фото и видео публикует или удаляет. Помимо прочего, в функциональные возможности модуля должна входить способность определять на карте РФ, где была сделана та или иная фотография.
По данным издания Znak, вышеуказанный программный модуль уже прошел испытания в семи регионах России – в Новосибирской, Самарской и Тюменской области, Ханты-Мансийском автономном округе, Самаре, на Алтае и в Липецкой области. Журналисты не смогли найти информацию о госзакупках системы для указанных регионов. Вполне возможно, что они проводились в закрытом режиме.

Вымогатель для Drupal

Исследователи компании «Доктор Веб» предупредили о появлении нового Linux-трояна, способного атаковать сайты, работающие под управлением различных CMS, осуществлять DDoS-атаки, рассылать электронные письма и самостоятельно распространяться по сети.
Троян, окрещенный пользователями форума Kernelmode «вымогателем для Drupal», получил наименование Linux.Rex.1 (по классификации «Доктор Веб»). В архитектуре вредоноса реализован собственный протокол, позволяющий обмениваться данными с другими зараженными узлами и создавать децентрализованный P2P-ботнет, при этом инфицированный компьютер служит одним из улов сети.
Вредоносная программа получает от других зараженных компьютеров команды по протоколу HTTPS и при необходимости отправляет их другим узлам ботнета. По команде злоумышленников троян начинает или прекращает атаку на узел с заданным IP-адресом. Linux.Rex.1 обладает модулем, при помощи которого осуществляет поиск ресурсов с установленными CMS-системами Drupal, Wordpress, Magento, JetSpeed и пр. Также в сфере его интересов находится сетевое оборудование под управлением операционной системы AirOS. Троян эксплуатирует уязвимости в данных продуктах с целью получения списка пользователей, закрытых SSH-ключей, а также логинов и паролей, хранящихся на закрытых узлах.
Функционал вредоноса также включает возможность рассылки электронных сообщений. В письмах злоумышленники угрожают DDoS-атакой владельцам сайтов и предлагают выплатить выкуп в биткойнах для ее предотвращения.
Троян эксплуатирует известную уязвимость в Drupal для взлома ресурсов под управлением данной CMS. Осуществив SQL-инъекцию, вредонос авторизуется в системе. В случае успеха Linux.Rex.1 загружает на скомпрометированный сайт собственную копию и запускает ее