@Umnik

Тег malware в блоге Umnik

Umnik

Да, действительно, несколько раз собирался написать, но всё забывал. В общем, новость уже не новая: https://www.kaspersky.ru/ab...eases/2018_slingshot

Исследователи «Лаборатории Касперского» обнаружили сложную киберугрозу, которая используется для шпионажа в странах Ближнего Востока и Африки по меньшей мере с 2012 года. Вредоносное ПО получило название Slingshot («Рогатка» или «Праща»).

Одна из самых примечательных особенностей Slingshot — необычный вектор атак. Эксперты выяснили, что многие жертвы зловреда были заражены через роутер. В ходе атак группировка, стоящая за Slingshot, взламывает устройство и помещает в него компоненты вредоносного ПО, в том числе динамически загружаемую библиотеку ipv4.dll. Когда администратор подключается к роутеру для его настройки или диагностики, прошивка устройства загружает и запускает на компьютере администратора этот модуль, который, в свою очередь, скачивает остальные модули этой вредоносной программы с роутера. Один из этих компонентов может работать в режиме ядра (kernel mode), что даёт ему полный контроль над компьютером жертвы.

Программа собирает и передаёт злоумышленникам скриншоты, вводимые с клавиатуры символы, сетевую информацию, пароли, подключения к USB, данные из буфера обмена и многое другое. Slingshot включает и ряд техник, помогающих ему оставаться незамеченным. Среди них шифрование всех модулей, вызов системных служб напрямую, минуя защитные решения, ряд антиотладочных приёмов, а также гибкие сценарии поведения в зависимости от того, какое защитное решение используется в устройстве.

Ещё при анализе Лаборатория Касперского сделала предположение об источнике этой угрозы:

Для разработки ПО такой сложности действительно требуется много времени и ресурсов, а также высокий уровень подготовки исполнителей. В совокупности эти улики позволяют сделать вывод, что группировка, стоящая за Slingshot, высокоорганизована, профессиональна и, возможно, спонсируется государством. Текстовые артефакты в коде говорят о предположительно англоязычном происхождении разработчиков.

И, конечно, Лаборатория не ошиблась. Эта малварь была создана по заказу США. Они (штаты) утверждают, что из-за раскрытия информации коту под хвост пошла многолетняя анти-джихад кампания. Но позиция Лаборатории не меняется. Для нас не имеет значения, кто и для чего создавал вредоносное ПО. Детект всё равно будет, защита всё равно будет, договориться нельзя. Это не первый случай, когда ЛК публикует информацию о вредоносах, созданных по заказам правительств стран.

#mbjee 25
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Umnik

Лаборатория обнаружила троян, который, кроме прочего, майнит Monero: https://securelist.com/jack-of-all-trades/83470/ Само-собой, устройства от этого адово разогреваются и разряжаются. Вот что стало с нашим тестовым аппаратом через 2 дня:

#okvsg 9
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Umnik

Сервис защиты пользователей от МаКафе заражал своих клиентов: http://www.zdnet.com/articl...-to-banking-malware/ Сейчас троян детектируют все https://www.virustotal.com/...1dde23192d/detection Но на тот момент МаКафе его не знал, бггг

#ojqsq 1
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Umnik

Викиликс выложили новую порцию малвари от ЦРУ. Из интересного — в ЦРУ пытались маскировать малварь под продукты Лаборатории Касперского. Они даже подпись сделали типа ЛК.
Наши уже проверили Vault 8 и убедились, что это не наша подпись. Наша настоящая не скомпрометирована.

#owtdr
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Umnik

IoT_Reaper — бот под Линукс, нацеленный на устройства типа камер и роутеров. Основан на исходниках Mirai, но вместо запроса кредитов у юзера, он пытается использовать разные уязвимости (2013-2017 годов). Так вот у него в коде есть такой кусок:


Вот этот ролик:

#okcxe 1
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Umnik

Здесь матчасть про шифровальщик Bad Rabbit: https://securelist.ru/bad-rabbit-ransomware/87771/

Загруженный файл install_flash_player.exe жертва должна запустить вручную. Для правильной работы файлу требуются права администратора, которые он запрашивает через стандартное уведомление UAC.

И это, блядь, продолжает работать успешно!

По всей видимости, библиотека infpub.dat «брутфорсит» ученые данные NTLM к Windows-машинам с псевдослучайными IP-адресами.

В ходе анализа образцов этой угрозы мы отметили интересную деталь: по всей видимости, авторы вредоносной программы являются поклонниками «Игры престолов». Некоторые строки в коде представляют собой имена персонажей из этой вселенной.

Исполняемый файл dispci.exe, похоже, основан на коде легальной утилиты DiskCryptor.

Разделы на жестком диске жертвы шифруются с помощью драйвера dcrypt.sys программы DiskCryptor

#ozbiv 3
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Umnik

Для пояснения. Каспера он установил уже по факту, а не заране.

Всем привет.Пришла смс с отсылкой на авито с предложением обмена с доплатой,и с просмотром фото ммс.Я открыл эту ссылку..,не чего не произошло (пока)На следующий день вошёл в сбербанк онлайн,оппа нету 7 000р.,хотя мне смс уведомления не приходили по работе с моей картой! Просканировал kaspersky internet security для android смартфон,был обнаружен троян банкинг в гугл браузере хром,до этого при помощи титаниум удалил вирус под видом приложения смс-ммс.Мои ошибки,не хер было открывать ссылку странной смс,рут права,сбербанк онлайн - Patched.Не повторяйте мои ошибки,в противном случае и касперский не поможет.PS сбербанк деньги вернул по истечение двух суток,за что большое ему спасибо!

#ozkih 10
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Umnik

Пушка: http://www.piriform.com/new...32-bit-windows-users
Популярная программа CCleaner, которой владеет Avast (https://blog.avast.com/welcome-piriform-to-avast) была скомпроментирована.
При этом подпись была валидной:

что означает, что малварь заражала не исталлятор, а проникала ещё на этапе сборки дистрибутива.

#owldk 2
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Umnik

Как раз для Veresk https://news.drweb.ru/show/?i=11366&lng=ru&c=5 Троян-Даунлоадер. Приложение типа "чистое", но оно качает малварные dex'ы и исполняет их код от себя. То есть если пользователь дал пермишены любимой игре, то вообще нет никой гарантии, что она уже не прёт его данные. При этом без всяких переустановок и прочего.

#ojerw 5
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Umnik

По миру сейчас идёт атака шифровальщиком Petya. Нагнули уже Россию, Украину, Испанию, Францию, Индию. В новостях ещё пишут про ВаннаКрай, но нет, это Петя.

#ceaav 48
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Umnik

https://securelist.ru/dvmap...inekciej-koda/30877/ Первый вредонос под Android, который патчит системные библиотеки, внедряя в них свой код.

Для версий Android 4.4.4 и более ранних троянец патчит метод _Z30dvmHeapSourceStartupBeforeForkv из библиотеки libdvm.so, для Android 5 и более поздних патчит метод nativeForkAndSpecialize из libandroid_runtime.so. Обе библиотеки – это библиотеки среды выполнения, связанные с рабочими средами Dalvik и ART.

#okbxh
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Umnik

https://twitter.com/m0rb/status/864179109206904833

Total Transactions: 224
Total BTC Received: 33.20891173BTC
Total Est. USD: $55703.96435766

#ojlux 5
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Umnik

https://forum.kasperskyclub...wtopic=55543&page=11 Ну вы уже знаете, наверное.

#okieh 49
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Umnik

https://threatpost.ru/sjudg...e-is-a-search/18184/ Суд встал на сторону ФБР и постановил, что использование троянского ПО для деанонимизации посетителей сайта с CP в Tor не является нарушением т.к. является частью обыска.

#oowcmx 3
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Umnik

Экран работы малвари, пока она шифрует данные пользователя:

#oowvwd 6
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Umnik

Хотите интересные новости? Их есть у меня.
Вчера ко мне в ленту попал вот этот пост: http://atomlib.point.im/ootbhh "Ну, фолса", — подумал я и оформил запрос в AMR (anti-malware research) лучшей в мире антивирусной фирмы. Сегодня утром читаю переписку аналитиков. Как оказалось, есть вот такая малварь: https://www.virustotal.com/...54b5b4a25cbf13107033 Наш автодятел1 обнаружил, что малварь, кроме прочего, обращалась по адресу 'ugnich.point.im/olwx'. Автодятел "предположил", что малварь так получала команды и сделал детект на ugnich.point.im.
Зачем она реально обращалась по этому адресу — ХЗ. Но посмотрите сюда: https://www.virustotal.com/...f13107033/analysis/. Промотайте в самый низ, к разделу Interesting strings. Реально, не исключено, что автор использовал Point и Juick для управления малварью. Это не ново, Твиттер так вообще уже считается стандартным методом доставки команд. Но наши задротобложики я вижу впервые :)

  1. Дятлами Евгений Касперский прозвал вирусных аналитиков из-за того, что у них в комнате (тогда ещё комната) был постоянный стук клавиш клавиатур. Автодятел — это бот, который автоматически обрабатывает огромную массу малвари, разгружая живых дятлов, иначе бы они захлебнулись в обработке тысяч семплов ежедневно. Автодятел у нас, понятное дело, не один. 

#oowzwd 32
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Umnik

Из тви: @coderobe: pic.twitter.com/zoquH3eK7X

https://twitter.com/coderob...s/760332105918316545

#oowfqq 1
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Umnik

https://blog.lookout.com/bl...card-banking-trojan/ В GPlay обнаружили троянов. Никогда такого не было и вот опять.

#oozrqw
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Umnik

Nomi i401 продаётся с предустановленным вредоносом. Причём вредонос — ланчер, а не какое-то левое ПО: https://www.virustotal.com/...analysis/1462978061/

https://forum.kaspersky.com...php?showtopic=350857

#oowtxi 4
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Umnik

Мейл.ру блокирует мог блог, на который люди ссылаются, когда пытаются помочь другим решить проблему с троянами-вымогателями под Android
https://otvet.mail.ru/question/183849496
"Ссылка заблокирована по решению администрации". Во как! Администрация заблочила мой бложик, а не тупой бот. Успех! https://myachinqa.blogspot....0/trojan-ransom.html — сама статья.

Написал знакомому из мейла, чтобы поправили. Посмотрим...

#ipiam 1
Вы можете выбрать до 10 файлов общим размером не более 10 МБ.

Добавить пост

Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Для форматирования текста используется Markdown.