Инциденты в Сети

[Dann]

Microsoft начала войну с бот-сетью Kelihos

Microsoft открыла новый фронт борьбы с операторами бот-сетей. При помощи американских судебных решений софтверный гигант пытается закрыть зарождающуюся бот-сеть Kelihos. Корпорация использует ту же технику, что ранее была отработана на закрытии бот-сетей Rustock и Waledac. Microsoft обратилась в суд с требованием к компании Verisign о закрытии 21 доменного имени, которое обслуживается координационными серверами Kelihos и куда стекаются данные бот-сети.

"Эти домены либо напрямую, либо через поддомены выступают как точки координации для командных и контрольных серверов бот-сети Kelihos", - говорит Ричард Боскович, юрист Microsoft, представляющий компанию в делах, связанных с киберпреступностью.

Согласно данным экспертов, на сегодня Kelihos представляет собой сравнительно небольшой ботнет - примерно 42-45 тысяч компьютеров, однако его масштабы быстро растут, а сама сеть уже сейчас рассылает примерно по 4 млрд спамовых сообщений в сутки. Kelihos специализируется на мошенническом, порнографическом и фармацевтическом спаме, а также на рассылке злонамеренного программного обеспечения. С точки зрения организации он напоминает Waledac, что наводит на мысль о единой группе операторов у двух сетей.

Боскович говорит, что за три минувших года, когда Microsoft активно боролась с бот-сетями и их владельцами, компания пришла к выводу о том, что задушить сеть значительно проще на начальном этапе ее функционирования. "Сейчас мы исходим из того, что как можно раньше нужно сделать как можно больше. Из опыта можно сказать, что начало борьбы с конкретным ботнетом очень важно", - говорит он.

Говоря о доменах, обслуживаемых в интересах бот-сети, Microsoft сообщает, что все они, кроме одного, зарегистрированы на Багамах. Оставшийся домен cz.cc зарегистрирован на некоего Доминика Пиатти, управляющего компанией Dotfree Group из Чехии. Боскович говорит, что первоначально именно Пиатти был назначен ответчиком по иску о Kelihos, хотя в корпорации почти полностью уверены, что некие Пиатти - это подставное лицо. Ранее эта персона уже фигурировала в историях с бот-сетями.

Решение по закрытию доменов было принято в США еще 23 сентября, но формально его можно оспорить в чешском суде, хотя до сих пор этого не было сделано.

Шон Салливан, технический консультант антивирусной компании F-Secure, уверен, что никакого противодействия со стороны "обвиняемого" не произойдет, так как его просто нет. Также он отметил, что многие из закрытых доменов - это бесплатно зарегистрированные домены в зоне .cc, найти операторов которых почти невозможно. "По доменам в зоне .cc уже накопился огромный поток жалоб", - говорит Роэль Шувенберг, антивирусный эксперт "Лаборатории Касперского".

Ранее из зоны .cc злоумышленники вели распространение троянского ПО Mac Defender, а также многочисленных эксплоитов. Google еще летом этого года приняла решение об исключении данной зоны из своего поискового индекса.

Тема

[Dann]

Вирусы маскируются под офисные принтеры

Хакеры изобрели новый приём обмана людей для открытия вредоносных приложений: они рассылают мейлы, которые якобы пришли от офисных принтеров, многие из которых сейчас способны отправлять отсканированные документы на электронную почту.

«Это новая тактика, с которой мы раньше не сталкивались», - говорит Пол Вуд, старший аналитик отдела разведки Symantec.cloud.

Все письма неизменно содержат один из видов утилит, которые используются для загрузки других вредоносных программы или кражи документов с компьютера.

Symantec опубликовал примеры таких недавно полученных писем в последнем отчете, выпущенном во вторник. На первый взгляд сообщения с темой «Fwd: Отсканировано HP Officejet» выглядят весьма убедительно. Далее читаем: «Прикреплённый документ был отсканирован и выслан вам с помощью Hewlett-Packard HP Officejet 05701J», затем - «Отправитель Мортон».

При этом злоумышленники выдумывают имя отправителя и создают впечатление, что письмо пришло с такого же домена, к которому относится получатель. Некоторые из сообщений, перехваченных Symantec, на первый взгляд кажутся внутренней электронной почтой компании. Это значительно повышает вероятность того, что человек, получивший письмо, откроет вложение.

Тема

[Dann]

Зловредные QR-коды

QR Code – это тип матричного штрих-кода (или двухмерный код), который изначально был разработан для автомобильной индустрии. Cейчас они становятся все более и более популярными и используются на баннерах, в журналах, на транспорте, предоставляя быстрый и легкий доступ к определенной информации. QR Code имеет довольно большую вместимость (по сравнению со стандартным штрих кодом), и может хранить 7089 цифровых знаков и 4296 буквенно-цифровых, и этого более чем достаточно, чтобы вместить текст или адрес ссылки.

Но что насчет вредоносных QR-кодов? Да, ты сканируешь такой код с помощью смартфона и он направляет тебя по ссылке, на которой располагается вредоносный файл (APK или JAR). Такие коды существуют и набирают популярность.

Сегодня люди, которые используют смартфоны, часто ищут новое ПО для своих устройств, используя ПК. Если пользователь находит что-то интересное, он должен перепечатать URL приложения в браузер смартфона для скачивания. Это не очень удобно и именно поэтому такие сайты имеют QR-коды, которые можно легко сканировать.

Известно, что в наши дни очень много мобильных вирусов (особенно SMS-троянов) распространяются через левые сайты, на которых все ПО заражено. И киберпреступники начали использовать зловредные QR-коды для "удобства" пользователей. Вот пример такого сайта:

Интересно, что закрашенный QR-код работает, но не содержит файла "jimm.apk", связанного со ссылкой. Но если пользователь просканирует этот код, его перенаправит по другой ссылке, которая, в свою очередь, уже содержит вышеназванный файл. Этот файл был распознан "Лабораторией Касперского" как Trojan-SMS.AndroidOS.Jifake.f:

Зловред сам по себе - это зараженное трояном приложение Jimm (мобильный ICQ-клиент) которое шлет многочисленные SMS на номер 2476 (по $6 за штуку). После установки в меню телефона появляется иконка "JimmRussia".

Использование QR-кодов для распространения вирусов можно было предугадать. И покуда эта технология популярна – преступники будут ее использовать. Этот пример демонстрирует самое начало процесса и в ближайшем будущем мы, скорее всего, увидим больше мобильных зловредов, распространяющихся через QR-коды.

Тема

[Dann]

Мошенники воспользовались смертью Стива Джобса.

Смертью Стива Джобса воспользовались мошенники в сети Facebook. Злоумышленники разместили сообщение о том, что компания Apple якобы раздает 50 планшетов iPad «в память о Стиве». Перейдя по ссылке, пользователи видели страницу, очень похожую на те, что обычно используются мошенниками. Такие сайты могут применяться для привлечения аудитории или заражения компьютеров.

Один из основателей Apple Стив Джобс скончался 6 октября после продолжительной болезни. Ему было 56 лет. Тема.

Ранее мошенники воспользовались смертью Эми Уайнхаус и опубликовали в Facebook множество ссылок, якобы ведущих на видео с записью последних минут жизни певицы.

Тема

[Yezhishe]

Всегда подозревал, что "социальные" сети" - зло.

Утупляющее никак не хуже зомбоящика, а то и похлеще... Сродни "моде".

[Dann]

Мошеннический браузер Yapbrowser

Мошеннический браузер Yapbrowser восстал из небытия через несколько лет после того, как специалисты по безопасности расправились с ним.

Yapbrowser впервые был обнаружен в 2006 году, он выдавал себя за полнофункциональный веб-браузер. В действительности эта программа была начинена рекламой печально известного (ныне недействующего) сайта Zango. Пользователи, которые пользовались браузером, вместо любого нужного им сайта перенаправлялись на порно-домен.

Загрузки браузера были заблокированы сразу же после того, как на сомнительном домене стали появляться фотографии со сценами насилия. Несколькими неделями позже Yapbrowser появился снова, претендуя на "полную защиту от вирусов и атак". Это заявление оказалось необоснованным, а браузер вместе с доменом, исчезли вскоре после того, как их приобрела фирма под названием SearchWebMe в июне 2006 года. SearchWebMe так и не сделала ничего со своим ПО и все домены Yap вскоре либо перестали существовать, либо публиковали ничем не примечательные объявления.

Спустя почти 5 лет домен Yapbrowser появился снова, предлагая, так называемую, винтажную версию Yapbrowser 2006 со все теми же проблемами безопасности, что и несколько лет назад. Возвращение Yapbrowser было обнаружено специалистом безопасности Крисом Бойдом (AKA Paperghost) из GFI Software в то время как он собирал информацию о мошеннических сайтах для создания презентации о вирусах для VirusBulletin Conference. Бойд был шокирован, когда обнаружил, что вредоносное ПО, которое он считал давно мертвым, обрело вторую жизнь.

Мошеннический браузер сопровождается многообещающими заявлениями о том, что "Твой компьютер будет защищен от вирусов, пока ты в онлайне" и "Мы даем 100%-гарантию, того, что твоя система не будет заражена, пока ты с нами", на что некоторые пользователи могут "клюнуть".

Рекомендация: отдавайте предпочтение только авторитетным браузерам.

Тема

[Dann]

Топ DDoS атак 2011 года

Согласно Corero Network Security, в последнее время увеличилось количество новых, умных DDoS атак, действующих на уровне приложений. Их чрезвычайно сложно распознать "в облаке" и очень часто они остаются незамеченными до тех пор, когда не становиться уже слишком поздно. Также наблюдается всплеск атак против корпораций со стороны хактивистов, которые проводят атаки по политическим и идеологическим причинам, нежели по финансовым мотивам. Атаки против Mastercard, Visa, Sony, PayPal и ЦРУ возглавляют список.

1. Анонимные DDoS атаки на "цензоров" WikiLeaks - компании Visa, Mastercard и PayPal

Самые заметные на данный момент DDoS атаки этого года стали первым примером того, что позже было названо в интернете "кибер мятежом", когда простые пользователи присоединяются к атаке на добровольной основе.

2. DDoS атака на Sony PlayStation Network

Тревожный звонок для геймеров, покупателей и инвесторов. Эта атака начала серию других атак и утечек, которые нанесли компании финансовый ущерб и повредили ее репутации.

3. Удар LulzSec по ЦРУ и SOCA

Появление группы LulzSec и проведение ими DDoS атак на ЦРУ и британское Агентсво по Борьбе с Организованной Преступностью (SOCA) заставило даже экспертов серьезно усомниться в том, что в интернете вообще хоть кто-нибудь защищен.

4. DDoS атака на WordPress

Крупномасштабная атака вывела из строя около 18 миллионов сайтов крупнейшего в мире блог хостинга. Атака ударила по дата-центрам компании, через которые проходят миллионы запросов в секунду.

5. Атака на Гонконгскую фондовую биржу

Эта атака очень сильно повлияла на весь финансовый мир, нарушив торговлю акциями в Гонконге. Удар лишь по одной цели мог потенциально повлиять на сотни организаций и физических лиц.

Рекомендации компании Corero по смягчению эффектов DDoS атак.

1. Создайте план противодействия атакам.

Как и в случае всех планов реагирования на инциденты, заблаговременная подготовка – это ключ к быстрым и эффективным действиям, позволяющий избежать авралов в борьбе с DDoS атаками. План противодействия DDoS перечисляет и описывает все шаги, которые следует предпринять организации, если ее IT инфраструктура подверглась атаке.

Все чаще компании Corero приходится наблюдать, что DDoS атаки, нацеленные на крупные компании, очень умны, непреклонны и устойчивы. Этот новый вид хакеров переключается на новые источники атаки и альтернативные методы каждый раз, как только предыдущая попытка терпит неудачу. Поэтому крайне важно, чтобы план противодействия включал в себя указания того, когда и как должны быть вовлечены дополнительные ресурсы смягчения эффективности атак и как должен ужесточаться надзор.

2. Локальная защита от DDoS крайне необходима.

"Чистое" соединения от провайдеров создает ложное чувство защищенности. Локальная DDoS защита, устанавливаемая перед приложениями и серверами баз данных необходима для своевременного реагирования на флуд атаки, а также для выявления и отклонения все более часто встречающихся DDoS атак на уровне приложений. Для оптимальной обороны, локальная защита от DDoS должна работать во взаимодействии с сервисами автоматизированного мониторинга, что позволяет быстро распознавать и реагировать на атаки.

3. Защищайте свои DNS серверы.

Часто целью DDoS атака являются DNS серверы. Если атакующему удастся нарушить работу DNS сервера, то все его службы могут исчезнуть из интернета, и желаемый эффект будет достигнут.

4. Знайте своих реальных клиентов.

Флуд-атаки и брутфорс-атаки относительно легко распознать. Однако требуется высокопроизводительный и утонченный анализ, чтобы блокировать их трафик, одновременно пропуская легальный трафик.

Обнаружение более коварных атак, действующих на прикладном уровне, требует тщательного понимания типичного поведения и действий добросовестных клиентов или работников, получающих доступ к защищаемым приложениям. Практически так же, как система обнаружения мошенничества с кредитными картами, локальная система защиты от DDoS атак устанавливает шаблоны законного использования, чтобы опознавать подозрительный трафик и реагировать должным образом.

5. Сохраняйте постоянную бдительность.

DDoS атаки становятся все более умными и скрытными. Нельзя дожидаться, пока приложение перестанет отвечать, прежде чем предпринимать меры. Для оптимальной защиты, система раннего оповещения о DDoS атаке должна быть частью общей защиты компании. Непрерывный и автоматизированный мониторинг необходим, чтобы вовремя распознать атаку, забить тревогу и начать применять план противодействия.

Тема

[Dann]

Полностью взломана база данных WineHQ

После дискредитации в прошлом месяце репозитория исходников ядра Linux и веб-сайтов инфраструктуры Linux Foundation, стало известно о нападении на другой проект с открытым исходным кодом.

Проект WineHQ, менеджер программного обеспечения, который позволяет пользователям Linux, Mac, FreeBSD и Solaris запускать приложения Windows, извещает о том, что была нарушена безопасность их базы данных. WineHQ аннулировали все пароли и уведомили об этом своих пользователей.

"На данный момент нам известно, что кто-то смог получить неавторизованный доступ к утилите PhpMyAdmin", - пишет разработчик Джереми Уайт. "Мы не знаем точно, как именно он получил доступ; произошло ли это путем компрометации учетной записи администратора или с помощью эксплоита к неисправленной уязвимости PhpMyAdmin".

Он отметил, что они не верят, что нападавшие могли получить доступ к системе каким-либо другим путем, но и этого оказалось достаточно, чтобы они смогли получить полную информацию обо всех учетных записях баз данных Wine Application и Bugzilla.

"Это означает, что они получили доступ ко всем электронным письмам, а также ко всем паролям", - поведал он и добавил, что, несмотря на то, что украденные пароли были зашифрованы, плохо защищенные пароли могут быть взломаны если злоумышленники приложат достаточно усилий. Таким образом в WineHQ аннулировали все пароли и уведомили об этом своих пользователей.

В то же время, проект Fedora объявил, что они просят пользователей сменить пароли и загрузить новый публичный ключ SSH до 30 ноября для того, чтобы их аккаунты продолжали свою работу.

Этот шаг не связан со взломом или обнаружением уязвимости, говорят они. Это меры предосторожности, которые заставят пользователей "пересмотреть свои настройки безопасности и перейти к оптимальной работе с их компьютерами".

"Некоторые из наших пользователей могли иметь учетные записи на недавно скомпрометированных важных сайтах Linux, и мы хотим быть уверены, что какие-либо их SSH-ключи или пароли, используемые в инфраструктуре Fedora, не были украдены, в результате этих инцидентов", - объяснили они, и установили новые правила выбора пароля: не менее 9 символов, если используются строчные и прописные буквы, цифры и различные символы, и не менее 20 символов если используются только строчные буквы.

Тема

[Dann]

Microsoft отмечает высокую активность эксплойтов для платформы Java

Киберпреступники продолжают активно эксплуатировать уязвимости платформы Java, являющейся, как показывают исследования, самым слабым элементом в защите операционных систем, на которых она установлена. Такой вывод содержится в очередном аналитическом отчете Microsoft Security Intelligence Report (SIR), освещающем ситуацию с информационной безопасностью в глобальной сети в первой половине 2011 года.

В опубликованном корпорацией документе отмечается, что во втором квартале текущего года было зафиксировано свыше 6 миллионов случаев применения эксплойтов для упомянутой платформы, интерес злоумышленников к которой обусловлен в первую очередь обилием вычислительных машин c непропатченными либо устаревшими версиями Java. Все это вызывает серьезные опасения у экспертов по информационной безопасности и свидетельствует о необходимости своевременного обновления установленного на ПК программного обеспечения.

Во избежание проблем с информационной безопасностью настоятельно рекомендуется произвести обновление платформы Java, если таковая установлена на компьютере. Соответствующий набор патчей представлен на сайте корпорации Oracle.

Полную версию отчета Security Intelligence Report можно загрузить отсюда. Документ представлен на десяти языках, включая русский.

Тема

[Dann]

Программа для взлома учётной записи GMail

Одному из исследователей компании GFI Labs на глаза попалась чудесная программа, способная осуществить то, что возможно проделать лишь при помощи социальной инженерии. GMail Hacker Pro рекламируется в интернете как программа, позволяющая любому желающему взломать любую учётную запись Gmail за пару кликов. По словам экспертов, приложение рекламируется как бесплатное и может быть загружено с соответствующего сайта, имеющего довольно привлекательный и вызывающий доверие дизайн.

Установка программы довольно стандартна - помимо прочего мастер установки предлагает принять некое лицензионное соглашение и установить некий тулбар. После установки, правда, никакого тулбара в системе не обнаруживается, но не в этом дело.

После запуска программа запрашивает адрес электронной почты, который требуется взломать. После завершения процесса "обработки" пользователю показывается небольшое окно, которое сообщает, что пароль обнаружен, и для его получения необходимо приобрести некий программный ключ. Затем пользователь перенаправляется на некую форму для осуществления платежа. Цена программного ключа, который должен позволить получить доступ к паролю, составляет $29,99.

Если кто-то ещё не догадался, сообщаю: данная программа представляет собой мошенническое ПО, и, естественно, никакого пароля вы не получите, даже если заплатите эти $29,99. На данный момент распознать эту программу способны 16 из 43 антивирусных решений, используемых на сайте VirusTotal.

Для восстановления пароля от учётной записи GMail всегда следует пользоваться только средствами, предлагаемыми компанией Google.

Тема

[Dann]

В социальной сети «В контакте» появилась новая мошенническая схема

Октябрь оказался богат на новые мошеннические схемы, направленные против пользователей социальной сети «В контакте». 18 октября специалисты компании «Доктор Веб» обнаружили еще одну такую схему, жертвой которой уже стали многие пользователи этого популярного портала.

Процесс вовлечения пользователя социальной сети «В контакте» в мошенническую схему начинается с того, что он получает содержащее ссылку сообщение от одного из людей, занесенных в его список друзей. Щелкнув мышью на этой ссылке, пользователь перенаправляется на принадлежащий «Твиттеру» специализированный сервис, предназначенный для сокращения гиперссылок, а уже оттуда — на встроенное приложение, опубликованное на одной из страниц социальной сети «В контакте». Любопытно, но факт: в процессе подобной переадресации пользователь не получает никаких предупреждений.

Созданное злоумышленниками приложение демонстрирует значок учетной записи жертвы и пояснение, сообщающее, что в Интернете опубликован видеоролик с его участием. Интересная особенность данной мошеннической схемы заключается в том, что на этой же странице выводятся комментарии пользователей из списка друзей жертвы, причем комментарии весьма интригующего содержания: «Вот это да!», «Кто это придумал?» и т. д. Комментарии, естественно, генерируются программой автоматически на основе заданного злоумышленниками шаблона. Там же опубликована ссылка на сам «ролик» — она состоит из имени жертвы и расширения .avi.

По щелчку мышью на предложенной злоумышленниками ссылке происходит перенаправление пользователя на принадлежащий мошенникам сайт, при этом на экране появляется диалоговое окно с предложением указать логин и пароль учетной записи социальной сети «В контакте». Если жертва выполняет данное требование, эта информация передается злоумышленникам, а учетная запись оказывается скомпрометированной. Следует отметить, что попытка перехода по внешней ссылке из встроенного приложения, по всей видимости, не фиксируется программным обеспечением социальной сети, поэтому предупреждение не появляется. Вместе с тем сайт злоумышленников выводит на экран поддельное предупреждение, в тексте которого указан адрес популярного видеосервиса youtube, на который якобы переходит пользователь.

После заполнения указанной формы жертва кибермошенников перенаправляется на сайт поддельной файлообменной сети, требующей перед скачиванием файлов указать номер мобильного телефона и подписывающей таким образом доверчивых пользователей на платные услуги, за предоставление которых с их счета будет регулярно взиматься абонентская плата.

Тема

[kvazimoda]

В социальной сети «В контакте» появилась новая мошенническая схема

Прикольно. Народ постарался.

[Dann]

Утечка сведений о 1,6 млн абонентов МТС

В интернете появилась база данных мобильных телефонов МТС, содержащая персональные данные абонентов компании — главным образом из Башкирии, рассказал «Ведомостям» попавший в эту базу уфимец Федор Пономарев. Ссылка на базу данных пришла ему через спам-рассылку в социальной сети «В контакте». Пономарев рассказывает, что нашел в ней свой номер, который он не использует уже несколько лет, и актуальные номера своих друзей. По его словам, в воскресенье он написал жалобу на сайте Роскомнадзора.

Утечка произошла в 2006 г., узнав о ней оператор ужесточил правила работы с данными абонентов, чтобы этого не повторилось, говорит представитель МТС. Утечка произошла по вине спецслужб, а не оператора, утверждает близкий к МТС источник. Имени спецслужбы он уточнять не стал.

По подсчетам корреспондента «Ведомостей», в базе сайта более 1,6 млн телефонов в кодах 917 и 911, принадлежащих жителям и юридическим лицам Башкирии и Петербурга. Всего у МТС около 70 млн абонентов в России.

В опубликованной базе указаны имена, фамилии и отчества частных абонентов, а у некоторых — адрес проживания и иногда паспортные данные. Абоненты по нескольким случайным телефонам из этой базы удивились, но подтвердили корреспонденту «Ведомостей» свои данные, а заместитель руководителя управления Роскомнадзора по Башкирии Азамат Мухамедьяров, чей телефон также был найден в этой базе, даже поблагодарил за звонок и пообещал разобраться.

Информация о краже персональных данных абонентов операторов связи появляется регулярно. Так, в 1998 г. стало известно о краже данных 100 000 абонентов «Вымпелкома», а в 2002 г. были украдены данные почти 40 000 сотовых абонентов «Корбины телеком» — их выложил в интернет уволенный программист компании. На рынок попадали также базы других операторов — МГТС, северо-западного филиала «Мегафона». А в 2003 г. в продаже появились базы данных с информацией о 5,5 млн абонентов МТС. Оператор тогда также подозревал в утечке данных спецслужбы, но в итоге выяснилось, что «слив» был организован изнутри компании.

Тема

[Dann]

Вирусы, замаскированные под обновление мобильного браузера Opera

Специалисты антивирусной компании F-Secure обнаружили троянскую программу, ориентированную, по их мнению, на российских пользователей, маскирующуюся под обновления браузера для мобильных устройств Opera Mini и незаметно отсылающую SMS на платные номера.

Попав в телефон, троян предлагает установить важное обновление. Если пользователь выражает согласие нажатием соответствующей кнопки, ему демонстрируется изображение, отображающее ход установки, но никакой установки не происходит - вместо этого система тайно отсылает SMS на платные номера. Помимо отсылки SMS, программа управляет папкой SMS-сообщений телефона: удаляет входящие сообщения и сообщения из папки "отправленные", - то есть делает все, чтобы владелец телефона максимально долго не знал о том, что с его счета исчезают деньги.

Необычным, по мнению специалистов, является тот факт, что обнаруженные им троянцы используют код мобильного банковского троянца Spitmo. Обычно Spitmo используется хакерами в паре с известным банковским троянцем SpyEye. В этих случаях Spitmo отвечает за обход системы двухфакторной аутентификации, которые используют многие системы дистанционного банковского обслуживания для того, чтобы обезопасить банковские операции своих клиентов, осуществляемые в интернете.

Однако в случае с OpFake, функционал Spitmo, связанный с управлением папками SMS в зараженном смартфоне, используется как основное орудие нечестного заработка хакеров.

Всего специалисты F-Secure обнаружили 54 модификации OpFake, использующие код Spitmo. Вероятно, в будущем их количество возрастет: хакеры создают разные версии своих вредоносных программ, в том числе для того, чтобы затруднить их обнаружение антивирусами.

Чтобы не стать жертвой хакеров, специалисты советуют устанавливать обновления программ только из доверенных источников: например, официальных сайтов производителей ПО.

Тема

[NatM]

Comodo Secure DNS вёл россиян на фишинговые сайты

Игорь Крейн

≡ Безопасность | Новости | 02.11.2011 15:05

Вчера некоторые пользователи жаловались на вирусы, которые пытались загрузиться на их компьютеры при попытке открыть сайт mail.ru. Другие, более продвинутые пользователи обнаружили, что причина такого поведения данного ресурса в том, что он поддельный.

Как выяснилось, "собака порылась" где-то на сайте Comodo. С некоторых пор на страничке сервиса Comodo Secure DNS, предоставляющего, как нетрудно догадаться, услуги по "безопасному" сопоставлению доменных имён и их IP-адресов, в качестве DNS-серверов указаны "левые".

В настоящий момент здесь красуется надпись:

"Switch Now!

It's quick and easy to change to Comodo Secure DNS. No downloads and it's absolutely free.

8.26.56.26

8.20.247.20"

Что означает, что всем, кто хочет воспользоваться услугами Comodo Secure DNS, необходимо прописать в соответствующих настройках приведённые IP-адреса. Между тем, на других страничках ресурса, например в ЧаВО, указаны совсем другие адреса — 156.154.70.22 и 156.154.71.22. Судя по всему, некие злоумышленники сумели взломать сайт Comodo и подменить адреса DNS-серверов своими — но сделали это не везде.

(Не исключено также, что это сам Comodo заменяет свои DNS-сервера. Но тогда это означает, что взлом куда более серьёзный.)

Соответственно, все или часть интернетчиков, которые пользуются сервисом Comodo Secure DNS, обслуживаются сейчас DNS-серверами, находящимися под контролем злоумышленников. Или же находившимися под их контролем. Хорошо если второе, потому что иначе это означает, что нехорошие люди в любой момент вместо реального IP-адреса того или иного сайта могут подсунуть пользователям Comodo IP-адрес своего сервера, на котором будет, например, расположена фишинговая страничка.

Так, похоже, случилось с mail.ru: на одном из форумов уверяют, что вчера главная страница этого ресурса раздавала вирусы. В действительности же, вирусы раздавал сервер 174.129.145.134, IP-адрес которого возвращают поддельные DNS-сервера Comodo. К слову, этот же IP возвращается ими по запросу yandex.ru (желающие могут убедиться в этом сами при помощи команд типа "nslookup yandex.ru 8.26.56.26" или их аналогов в системах, отличных от Windows).

Что там было размещено на 174.129.145.134 вчера, сказать трудно, поскольку в настоящий момент этот сервер не откликается. В действительности он принадлежит "Амазону" ("облачный" сервис Amazon EC2), который, очевидно, прибил размещённые на нём сайты, как только увидел, чем они занимаются.

В любом случае, если злоумышленники до сих пор имеют контроль над DNS-серверами 8.26.56.26 и 8.20.247.20, им ничто не мешает поднять другой вредоносный сервер и перенаправлять пользователей Comodo туда.

Интересно, что на форумах Comodo говорили о перенаправлении пользователей сайта postfinance.ch на всё тот же злополучный 174.129.145.134 ещё 27 октября. На данный момент официальной реакции Comodo на этот инцидент не поступало.

Между тем, глава пресс-службы Mail.Ru Group Валерия Комиссарова распространила посредством своего ЖЖ-аккаунта заявление о том, что её компания не имеет к данному инциденту никакого отношения.

"Произошло следующее - сервис Comodo взломали (по другой версии - произошел внутренний сбой) так, что он стал "думать", что сайты mail.ru, yandex.ru и другие - размещены не в наших дата-центрах, а на неком "левом" сервере. Таким образом, у всех пользователей, на компьютере которых были прописаны DNS Comodo, вместо mail.ru, yandex.ru и других сайтов открывалась левая страница. К счастью, таких пользователей немного (только те, кто установил и использует антивирус и защитные программы от Comodo)", — написала, в частности, она.

Напомним, что Comodo не в первый раз страдает от действий хакеров. Этой весной некий иранский хакер-патриот взломал сеть одного из доверенных партнёров компании и "выписал" для себя несколько поддельных SSL-сертификатов.

(Обновлено) Внимательное изучение форума Comodo выявило, что 8.26.56.26 и 8.20.247.20 — это новые DNS-сервера сервиса Comodo, которые ещё недавно имели статус беты. Иначе говоря, подтверждается вторая гипотеза о том, что взломан не сайт Comodo, а что-то более серьёзное.

Здесь

[kvazimoda]

Я удивлён тем, что только сейчас начали взламывать DNS серверы. Раньше всё больше прописывались в файл hosts. А ведь взлом DNS позволяет гораздо большее число компьютеров заставить ходить на поддельные сайты. При этом никто может даже не заметить подвоха. Большинство пользователей компьютеров даже не знают что такое DNS сервер и зачем он нужен. А те кто знают, врят ли будут постоянно проверять какой IP выдал DNS.

[Dann]

ВКонтакте проверит взломанных пользователей на знание правил безопасности

Социальная сеть "ВКонтакте" обяжет пользователей, личные страницы которых были взломаны, пройти тест на знание основ безопасности в интернете. Об этом сообщается на странице "Обновления ВКонтакте".

Прохождение теста станет обязательным условием для получения доступа к странице.

Тест будет состоять из четырех вопросов: "Как лучше всего защитить свою страницу?", "Что делать, если Вы случайно перешли по подозрительной ссылке?" и так далее. Каждый вопрос предусматривает три варианта ответа, правильным из которых является только один. Если пользователь даст неверный ответ, ему предоставят краткую справку о том, как следует поступать в данной ситуации.

По данным "ВКонтакте", более 90% взломов происходит в результате переходов пользователей по вредоносным ссылкам. Мошенники часто создают веб-страницы, которые имитируют страницы "ВКонтакте" и имеют схожий адрес (например, vkontakle.ru). Когда пользователь вводит на такой странице свой логин и пароль, они попадают к злоумышленникам.

Для восстановления доступа к странице пользователь должен обратиться в службу технической поддержки "ВКонтакте".

Тема

[Dann]

«Билайн» предупреждает о новой мошеннической схеме «Дозвонись всем»

ОАО «ВымпелКом» (ТМ «Билайн») предупреждает о появлении нового вида мобильного мошенничества под условным названием «Дозвонись всем в новогоднюю ночь!». На электронные адреса граждан поступает СПАМ-рассылка с рекламой ресурса "Будь на связи" и услуги «Дозвонись всем», призывающей внести свой номер телефона в некий «белый список», якобы благодаря которому абонент сможет гарантированно дозвониться в Новогоднюю ночь своим родственникам, друзьям и знакомым. Регистрация номеров абонентов, поддавшихся на уловки мошенников, осуществляется через мошеннический сайт путем отправки нескольких SMS-сообщений, каждое из которых стоит от 108 до 130 рублей (в зависимости от оператора сотовой связи). При этом сообщается, что в канун Новогодней ночи 2010 года аналогичным сервисом воспользовались около 8 миллионов абонентов.

Принцип обмана абонентов заключен в утверждении, что все ведущие операторы сотовой связи отключают основное оборудование в Новогоднюю ночь, оставляя только запасное (якобы для «белого списка» номеров, указанного выше). ОАО «ВымпелКом» сообщает о полной несостоятельности и необоснованности такого утверждения. «Необходимо понимать, что в Новогоднюю ночь, равно как и в другие праздники и будние дни отключений оборудования не происходит. Операторы связи заинтересованы в предоставлении своим абонентам гарантированно качественных услуг. Более того, в канун новогодних праздников технические специалисты нашей компании проводят масштабные работы по подготовке сети к значительному росту трафика, так как именно в этот период нагрузка на сеть возрастает в 5-6 раз», - прокомментировал ситуацию технический директор Московского региона ОАО «ВымпелКом» Сергей Лядовой. ОАО «ВымпелКом» сообщает о блокировке всех коротких номеров, через которые велись мошеннические действия.

Служба безопасности Компании намерена передать все имеющиеся в ее распоряжении данные в правоохранительные органы для привлечения мошенников к ответственности. «Билайн» призывает всех абонентов мобильной связи с осторожностью относиться к сообщениям, полученным от неизвестных лиц и перепроверять данные, связанные с информацией об услугах и предложениях операторов, поступающие из неофициальных источников.

[Dann]

Изменена глава 28 УК РФ. "Преступления в сфере компьютерной информации".

Совет Федерации принял третий пакет президентских поправок в Уголовный кодекс, в котором существенно отредактированы статьи главы 28 «Преступления в сфере компьютерной информации». Cтарая редакция, принятая в 1996 году, давно устарела. Благодаря внесенным поправкам можно будет определять составы преступлений, без которых некоторые виды киберпреступности раньше невозможно было преследовать.

источник

[Dann]

В день выборов хакеры атаковали ряд сайтов избиркомов и независимых СМИ

Вчера, 4 декабря, хакеры атаковали сайт избирательной комиссии Свердловской области, из-за чего ресурс ikso.org некоторое время был недоступен.

Также по причине хакерской атаки были недоступны несколько порталов независимых и оппозиционных СМИ, среди которых можно отметить web-сайт радиостанции "Эхо Москвы" (echo.msk.ru).

Также атаке подвергся сайт журнала «Большой город», о чем сообщил в Facebook главный редактор журнала Филипп Дзядко. В комментариях к его записи пользователи сообщили о плохой работе сайтов таких СМИ как Slon.Ru, "Коммерсантъ", The New Times, а также совместного проекта ассоциации "Голос" и "Газеты.Ru" - "Карта нарушений", посвященного нарушениям на выборах.

Отметим, что 1 декабря сайт издательского дома "Коммерсантъ" подвергался хакерской атаке. Тогда на главной странице сайта появился лозунг "Их время вышло" и призыв прийти 4 декабря на "народный сход против фальшивых выборов".

источник

[Dann]

Как пишет в своем блоге Александр Матросов (компания ESET), в последнее время наблюдается учащение случаев заражения троянской программой Carberp через легальные веб-сайты с высокой посещаемостью. К примеру, в прошлом месяце было зафиксировано заражение таких ресурсов, как "Главбух" и РИА Новости. Посетители этих сайтов переадресовывались на страницы, содержащие набор эксплоитов BlackHole последних версий и подвергались заражению:

А. Матросов: "У этих сайтов большой объем целевой аудитории людей, которые имеют доступ к управлению финансами в различных организациях и немаленький процент из этих людей подверглись атаке и последующему заражению троянцем Carberp, который прославился своей ДБО ориентированностью."

По словам Матросова, Carberp вошел в пятерку самых распространенных угроз по российскому региону. Он также приводит график и обращает внимание на рост обнаружения этого вируса в ноябре месяце:

[Dann]

Veracode опубликовала результаты анализа 9,9 тыс. новых программ, представленных к тестированию в течение последних полутора лет. 80% из них показали неприемлемый уровень надежности при первичной проверке.

В предыдущий период этот показатель был значительно лучше ― 58%. Эксперты объясняют ухудшение результатов введением более жестких критериев оценки безопасности ПО на своем «облачном» сервисе. В частности, новая политика диктует недопустимость ошибок, провоцирующих XSS и SQL-инъекции. Согласно новой статистике, такие дефекты все еще широко распространены: XSS-уязвимости были обнаружены в 68% веб-приложений, изъяны, позволяющие применить технику SQL-инъекций, ― в 32%. В целом ситуация с этими категориями ошибок улучшается, однако борьба с ними не теряет своей актуальности: по данным Veracode, 20% современных кибератак осуществляются посредством SQL-инъекций.

Отчет Veracode впервые содержит заключение по продуктам, разработанным для платформы Android. Оказалось, что около трети таких приложений могут отдавать на сторону конфиденциальную информацию. Правда, в некоторых случаях эксперты не смогли точно определить, обусловлено это заложенным функционалом или вызвано программной ошибкой. В 42% Android-приложений криптографический ключ был жестко прописан в коде, тогда как в Java-программах для других мобильных платформ этот показатель составил лишь 17%. Такое упущение позволяет злоумышленникам легко завладеть шифроключом и одним ударом поражать все устройства, на которых установлено соответствующее приложение.

С полной версией отчета Veracode можно ознакомиться на сайте компании (для просмотра требуется регистрация).

[Dann]

Новое поколение вредоносных загрузчиков

В сети обнаружен новый образец вредоносного кода, представляющий собой новое поколение загрузчиков. Новый вредоносный код, обнаруженный в Бразилии, поражает ntldr — загрузчик ОС семейства Windows NT вплоть до Windows XP и Windows Server 2003 включительно. Такой выбор – не совпадение: XP по-прежнему является самой популярной операционной системой в нескольких странах, включая Бразилию, где она установлена почти на 47% всех компьютеров.

Заражение инициирует маленький вредоносный файл размером 10 КБ, детектируемый как Trojan-Downloader.Win32.VB.aoff, рассылаемый в электронном письме. Он загружает в систему 2 новых файла, размещенных на Amazon WS Cloud - xp-msantivirus (1.83 MB) и xp-msclean (7.4 MB), переименовывает легитимный ntldr на ntldr.old, а затем устанавливает в качестве нового загрузчика операционной системы измененную версию GRUB, специально настроенную для запуска файла menu.lst.

Впоследствии файл menu.lst будет отвечать за вызов файла xp-msantivirus в процессе загрузки системы. Файлы xp-msantivirus и xp-msclean представляют собой загрузчики *nix системы, специально подготовленные киберпреступниками для удаления некоторых защитных файлов в процессе загрузки. Неудивительно, что основными мишенями являются файлы в составе весьма популярного защитного плагина, используемого бразильскими банками - GBPlugin, установленного на 23 миллионах компьютеров. Вредоносный загрузчик также предназначен для удаления файлов из Microsoft Security Essentials, Windows Defender и других.

После заражения троянская программа принудительно вызывает перезагрузку системы, а затем происходят все изменения. Вредоносный загрузчик отображает поддельные сообщения, в которых утверждается, что работает средство удаления вредоносных программ Microsoft. Наконец, после завершения процесса загрузки вредоносный загрузчик удаляет себя и устанавливает чистый ntldr в качестве активного – его миссия выполнена, и троянская банковская программа, детектируемая как Trojan-Downloader.Win32.Banload.bqmv, остается работать на зараженном компьютере, готовая украсть данные пользователя, необходимые для осуществления операций онлайн-банкинга.

Разумеется, выполнению всех этих вредоносных операций помогают некоторые факторы, такие как, например, работа в ОС под аккаунтом с привилегиями администратора и.т.д.

тема

[Shadow TH]

Недавно подцепил какую-то заразу, которая при входе в любую соц. сеть выдавала сообщение, что нужна валидация аккаунта, предлагалось указать номер своего сотового телефона. Конечно же, первым делом я полез в C:\WINDOWS\system32\drivers\ets\hosts. Однако, на моё удивление, файл оказался пустым (в смысле, "новых" строк там никаких не было). Сделал проверку через HiJackThis и он нашёл в категории O1 (Hosts) те самые хосты, которые перенаправляли адреса соц. сетей на один и тот же IP (ip злоумышленника). Я снова залез ради интереса в C:\WINDOWS...hosts, однако там файл снова был пуст. Назрел вопрос: а где ещё система хранит список этих хостов? У меня Windows 7 x64.

[Yezhishe]

Включи отображение скрытых и системных файлов, и запусти поиск по слову hosts - оно и выдаст.