Эксплойты заражающие компьютер через FaceBook

Эксплойты заражающие компьютер через FaceBook

Специалистам из известной компании «Symantec» удалось обнаружить дополнительные угрозы, которые распространяет цепь эксплоитов под именем «Nuclear Exploit Kit». Как выяснилось, данная группа еще более опасна, так как производит передачу троянского программного обеспечения «Trojan.Ascesso.A».Как помнят знающие пользователи, данный Троян ранее практиковал рассылку спама по почтовым ящикам и загрузку определенных файлов из удаленных сетей компьютеров.

Данное открытие было сделано в ходе тщательной проработки и исследовании мошеннической операции под одноименным названием — «Как мама зарабатывает 8 500 долларов США за один месяц?» Напомним, что данная атака производилась на международную социальную сеть «FaceBook», в которой и участвовала легендарная цепь эксплоитов данной версии.
После того, как пользователь кликал по ссылке, он незаметно перенаправлялся на вирусную страницу фейсбука. Данная страница так же имеет несколько зашифрованных Линков, которые и приведут пользователей на зараженный веб-ресурс тело которого покрыто дополнительными линками ведущими на сторонний сайт с эксплойтами данного типа. Получается адский круг, который в любом случае заведет пользователя в мышеловку. Вся данная кольцевая гонка позволяет скомпрометировать клиентский компьютер без надобности его глубокого заражения и подвержения себя опасности.

Кроме всего, данная операция содержит в себе еще некоторые бонусы. При нажатии посетителем некоторых лайков, а в дополнении ко всему еще и когда он поделился интересной ссылкой с другом, то злоумышленники заработают деньги. Второй бонус позволит заставить жертву произвести любые действия и все это без компрометаций со стороны мошенников. Таким образом хакеры заставляют делать спам-рассылку по всей сети, а если пользователь отказывается и не ставит лайк, то рассылка производится в автоматическом скрытом режиме.

Следует напомнить, что в прошлом данная сборка эксплойтов «Trojan.Ascesso.A» применяла ряд уязвимостей, которые были способны произвести удаленной машине сделать удаленный запуск, который базировался на системе «Oracle Java SE ( CVE-2011-3544 )» и в программах компании Adobe. Настоящая модификация эксплоитов прибегает к уязвимостям находящимся в коде браузера «Интернет Эксплорер» и определенных частях «Оракл Джава».

После всех удачных манипуляций и успешном использовании всех качеств уязвимости, сеть вредоносных эксплойтов начинает распространение и размножение троянской программы.

В ходе исследования были установлены регионы распространения и заражения после атак хакеров. Это города Европы и Северной Америки.

Эксплойты заражающие компьютер через FaceBook

Специалистам из известной компании «Symantec» удалось обнаружить дополнительные угрозы, которые распространяет цепь эксплоитов под именем «Nuclear Exploit Kit». Как выяснилось, данная группа еще более опасна, так как производит передачу троянского программного обеспечения «Trojan.Ascesso.A».Как помнят знающие пользователи, данный Троян ранее практиковал рассылку спама по почтовым ящикам и загрузку определенных файлов из удаленных сетей компьютеров.

Данное открытие было сделано в ходе тщательной проработки и исследовании мошеннической операции под одноименным названием — «Как мама зарабатывает 8 500 долларов США за один месяц?» Напомним, что данная атака производилась на международную социальную сеть «FaceBook», в которой и участвовала легендарная цепь эксплоитов данной версии.

После того, как пользователь кликал по ссылке, он незаметно перенаправлялся на вирусную страницу фейсбука. Данная страница так же имеет несколько зашифрованных Линков, которые и приведут пользователей на зараженный веб-ресурс тело которого покрыто дополнительными линками ведущими на сторонний сайт с эксплойтами данного типа. Получается адский круг, который в любом случае заведет пользователя в мышеловку. Вся данная кольцевая гонка позволяет скомпрометировать клиентский компьютер без надобности его глубокого заражения и подвержения себя опасности.

Кроме всего, данная операция содержит в себе еще некоторые бонусы. При нажатии посетителем некоторых лайков, а в дополнении ко всему еще и когда он поделился интересной ссылкой с другом, то злоумышленники заработают деньги. Второй бонус позволит заставить жертву произвести любые действия и все это без компрометаций со стороны мошенников. Таким образом хакеры заставляют делать спам-рассылку по всей сети, а если пользователь отказывается и не ставит лайк, то рассылка производится в автоматическом скрытом режиме.

Следует напомнить, что в прошлом данная сборка эксплойтов «Trojan.Ascesso.A» применяла ряд уязвимостей, которые были способны произвести удаленной машине сделать удаленный запуск, который базировался на системе «Oracle Java SE ( CVE-2011-3544 )» и в программах компании Adobe. Настоящая модификация эксплоитов прибегает к уязвимостям находящимся в коде браузера «Интернет Эксплорер» и определенных частях «Оракл Джава».

После всех удачных манипуляций и успешном использовании всех качеств уязвимости, сеть вредоносных эксплойтов начинает распространение и размножение троянской программы.

В ходе исследования были установлены регионы распространения и заражения после атак хакеров. Это города Европы и Северной Америки.

Всплеск заражений Nemucod через Facebook Messenger

Исследователь Барт Пэрис (Bart Parys) обнаружил новую киберкампанию, нацеленную на распространение даунлоудера Nemucod. Пользователи мессенджера Facebook получают изображения в формате SVG, содержащие JavaScript-редирект на поддельную страницу YouTube, где им предлагается установить некое расширение Chrome для просмотра контента.

На поверку оказалось, что вместо обещанного фото этот «плагин» доставляет полезную нагрузку. Образцы svg-файлов, протестированные Петером Крусе (Peter Kruse) из датской ИБ-компании CSIS, загружали шифровальщика Locky, недавно получившего обновление. Однако Пэрис не смог подтвердить эту информацию. «Некоторые говорят, что целевая нагрузка – вымогатель Locky, однако мне пока не удалось получить такой результат, – заявил исследователь журналистам Threatpost. – В тех случаях, которые я расследовал, инсталлировались лишь расширения Chrome, но они, полагаю, служат платформой для загрузки дополнительных зловредов».

В Twitter представитель CSIS отметил, что полезная нагрузка может быть различной, и один из вариантов – Chrome-плагин, о котором говорит Пэрис. Шифровальщик Locky тоже грузится, и его уровень детектирования средствами VirusTotal невысок, его, по свидетельству Крусе, распознают лишь 11 из 55 антивирусов этой коллекции.

Представитель Facebook в ответ на запрос Threatpost заявил следующее: «У нас работают несколько автоматизированных систем, помогающих пресечь публикацию вредоносных ссылок и файлов на Facebook, и эти мы уже блокируем. Наше расследование показало, что в данном случае целью публикаций не является установка Locky, они, скорее, ассоциируются с расширениями Chrome. Мы уже сообщили о вредоносных расширениях браузера в надлежащие инстанции».

Как бы то ни было, важен, прежде всего, тот факт, что svg-редиректам удается обходить защитные фильтры Facebook. Даунлоудер Nemucod и ранее активно использовался для доставки Locky, однако авторы этой схемы обычно использовали вложения ZIP со скрытым расширением .wsf.

«Думаю, им попросту еще не доводилось фильтровать такой тип файлов [SVG], – говорит Пэрис. – Истинное положение дел неизвестно, и сомнительно, что Facebook огласит такие тонкости (оно и к лучшему, зачем киберпреступникам знать, как работают эти фильтры)».

После установки вредоносного плагина жертва, по словам Пэриса, перенаправляется обратно на Facebook. «Не исключено, что он также крадет учетные данные Facebook (и с их помощью распространяется через сообщения друзьям жертвы)», – предполагает исследователь.

Авторы новой киберкампании сделали ставку на SVG-формат, так как он позволяет внедрять любые двумерные объекты, открываемые в браузере. Пэрис рекомендует пользователям не доверять файлам, содержащим лишь изображение. По свидетельству Пэриса, скрипт-редиректор хорошо обфусцирован и перенаправляет на поддельную страницу YouTube с диалоговым окном, предлагающим посетителю установить расширение браузера для просмотра.

«Оно выглядит, как даунлоудер, по крайней мере, способно многое изменять и делать в браузере, – комментирует Пэрис. – Как бы то ни было, JavaScript в изначальном файле сильно обфусцирован, как и все JS-скрипты в самом расширении Chrome».

О своей находке исследователь сообщил и в Facebook, и в Google. В качестве временной защиты он советует отключить JavaScript в браузере, активировать опцию click-to-play, заблокировать Wscript или внести изменения в опцию Open With для .svg, .js и .jse, чтобы такие файлы открывались лишь в Notepad. «Это поможет эффективно заблокировать исполнение вредоносного ПО, – поясняет исследователь. – Хотя Facebook тоже надлежит принять превентивные меры».

Эксплойты, зеродеи, их опасность и её профилактика.

Интернет, конечно, штука интересная и мега-полезная. Но обратная сторона его открытости и неконтролируемости – зоопарк всякой гадости, нечисти и подлости, поджидающей пользователей не только на сомнительных «порно-варезных» ресурсах, но и вполне себе легитимных «бело-пушистых» сайтах. Действительно, уже много лет как Интернет прочно и безальтернативно оккупировал место в списке главных источников кибер-заразы: по нашим данным в 2012г. на 33% пользователей хотя бы раз совершалась атака через веб.

Если копнуть глубже в состав этой сетевой «гадости, нечисти и подлости», то всплывает три основных группы угроз. По данным нашей облачной системы KSN (видео, подробности) угрозы эти распределяются следующим образом:

В этом «пирожке» больше всего привлекают с первого взгляда малозаметные 10% атак через т.н. эксплойты (на самом деле их доля будет побольше, т.к. зачастую многие трояны тоже питают слабость к использованию этих угроз). Довольно специфическое явление для непрофессионалов и реальная головная боль для секюрити-специалистов. Кто в курсе – можно сразу сюда. Остальным – ниже микро-ликбез.

Софт делается людьми, а людям свойственно забывать и ошибаться, плюс до сих пор не изобретено абсолютной, идеальной методики программирования. В итоге практически любая программа содержит уязвимости – ошибки в коде, из-за которых атакующий может получить управление над системой, нарушить её работу и т.д. Код, который атакует уязвимости в программах и называется эксплойтом.

Какие программы чаще всего атакуют эксплойты? Наша статистика за 2011г.:

Уязвимости могут иметь, а могут и не иметь эксплойты – это зависит от распространённости и функциональности программы и, соответственно, уровня внимания к ней со стороны кибер-негодяев. Типичный пример – недавняя эпидемия Мак-трояна Flashback. Уязвимость в Java, которую атаковал этот зловред нашли аж в начале года, но эксплойт для Мака появился только спустя месяц. Важно: если уязвимостей в конкретной программе не обнаружено – это не значит, что их нет. Это лишь значит, что а) ею пользуется слишком малое количество людей, чтобы случайно «нарваться» на ошибку или б) она нафиг никому не нужна, чтобы в ней специально копались в поиске таких ошибок.

Самая неприятная разновидность эксплойтов – т.н. зеродеи (эксплойт «нулевого дня», 0-day exploit). Обычно сначала находят уязвимость, потом разработчик срочно латает её специальной «заплаткой» («патч», patch), а уже потом подтягивается кибер-андерграунд, делает эксплойт и пытается атаковать пользователей, которые не успели установить «заплатку». Точнее это сценарий, по которому мы бы хотели, чтобы развивались события. На самом деле иногда случается, что эксплойт появляется вместе с информацией об уязвимости или разработчик (например, Apple в случае с Flashback) тянет с выпуском «заплатки» и, в итоге, эксплойт опережает её появление. Эксплойт, для которого нет «заплатки» и называется зеродеем.

А вот интересные данные по географии источников веб-атак, большинство из которых как раз и используют эксплойты:

Впрочем, вы догадываетесь, что расположение атакующего сайта отнюдь не свидетельствует о национальности автора атаки. У кибер-негодяев всегда есть возможность зарегистрировать сайт на подставную компанию/лицо за рубежом и оттуда уже вести вредоносную деятельность.

Два самых распространённых метода атаки через эксплойты:

  • Drive-by загрузка (85% всех атак через Интернет) вас завлекают на некий сайт, откуда при помощи эксплойт-кита сканируют браузер на предмет уязвимостей и, в случае нахождения оных незаметно заражают компьютер. Этот метод широко применяется при массовых атаках для достижения максимального эффекта поражения. Примерно в трети случаев атакующий сайт оказывается легитимным вебсайтом какой-нибудь уважаемой организации, который взломали и внедрили специальный вредоносный код.
  • Пользователь запускает зараженный файл (например, PDF), который сканирует установленное ПО (в данном случае Adobe Reader) на предмет уязвимостей и заражает через них компьютер. Сам файл может быть доставлен самыми разными путями – e-mail, файловый архив на сайте, флэшки и т.д. Этот метод чаще всего применяется для т.н. «целевых атак» (они же APT) на конкретных людей и организации и отличается применением продвинутой социальной инженерии.

В общем, 10% эксплойтов в статистике сетевых угроз на самом деле представляют собой никак не меньшую угрозу, чем 83% троянов. К примеру, самый распространённый на данный момент эксплойт-кит Blackhole по статистике пробивает до 30% систем (в зависимости от трафика, установленного софта и системы защиты). Да никакому трояну такого не снилось!

Но волков бояться – в лес не ходить. С эксплойтами мы тоже боремся давно и тоже успешно. Уже давно в наших продуктах есть выделенная база данных, которая содержит описания известных эксплойтов и вредоносные URLы, с которых эта зараза загружается, а также специальные эвристические и проактивные технологии обнаружения этого вида угроз. В случае обнаружения такого кода программа блокируется, пользователю и сисадмину поступает предупреждение, действия атаки откатываются. Плюс есть сканирование системы на наличие уязвимостей:

А теперь немного инсайда, так сказать по секрету всему свету – спойлер одной очень вкусной фичи грядущей версии KIS/KAV. С релизом новой версии нашего Endpoint Security в 1кв. следующего года она также будет доступной и корпоративным заказчикам. Как вы догадались, фича эта тоже имеет отношение к защите против эксплойтов. Точнее – против неизвестных эксплойтов, т.е. тех самых зеродеев!

Вообще, мне часто задают вопрос – а как вообще можно защититься от того, что неизвестно? Ну, во-первых, мы тут не в носу ковыряем. У нас около тысячи человек в R&D по всему миру только и делает, что моделирует угрозы, исследует тенденции и всячески думает о завтрашнем дне вашего компьютера. У нас один из самых продвинутых многоуровневых арсеналов для борьбы с будущими угрозами – эмулятор, эвристика, HIPS,поведенческие блокираторы, репутационные облачные сервисы, вайтлистинг, application control, целый спектр проактивных технологий… А во-вторых, «неизвестное» в компьютерной вирусологии не так иррационально как в реальной жизни.

Да, разумеется, всегда остаётся вероятность появления какой-то абсолютно новой заразы, которую и предугадать сложно и тем более проактивно защититься. Но в большинстве случаев вредоносы действуют в рамках неких шаблонов поведения и используют определённый инструментарий. И вот за это самое их и можно ловить! И как показывает практика довольно успешно.

Итак, что же будет такого вкусного для защиты против неизвестных эксплойтов в KIS/KAV 2013?

А вот что: мы существенно «прокачаем» модуль мониторинга активности программ System Watcher за счёт новой технологии Automatic Exploit Prevention (AEP, «Автоматическая защита от экслойтов»). Её суть понятна, но реализация требует подробностей.

На самом деле AEP – «зонтичный бренд» для целого спектра анти-эксплойтовых фичей. Во-первых, мы добавили в базу данных специальные шаблоны поведения эксплойтов. System Watcher использует эти шаблоны для контроля над действиями приложений (например, браузеров), выявления подозрительной активности и её блокировки. Во-вторых, система отслеживает источники файлов и противодействует drive-by загрузкам. В дополнение к этому мы интегрируемся с сервисом Attachment Execution Service (AES) и отличаем файлы, созданные с и без ведома пользователя. В-третьих, для наиболее критичных программ и дополнительных модулей (например, плагинов для браузеров) мы будем принудительно использовать технологию ASLR, которая каждый раз случайным образом изменяет структуру адресного пространства атакуемой программы. В результате, даже если эксплойт «пробьёт» уязвимость, он не сможет запустить вредоносный код на выполнение, поскольку не будет знать его точного местонахождения!

Сейчас AEP проходит тестовые испытания и показывает впечатляющие результаты. Мы прогнали через неё целую кучу эксплойтов для Flash Player, QuickTime, Adobe Reader, Java и других программ – 100% результат детекта! Особенно порадовал успешный детект эксплойта для недавно нашумевшей уязвимости в Windows Media Player — эксплойт позволял заражать компьютер через специально созданный MIDI-файл и работал на всех версиях Windows, начиная с XP. И, что важно, благодаря AEP мы ловим 100% эксплойтов эксплойт-кита Blackhole, при том, что средний показатель среди десятки лучших антивирусов мира – около 94% (sic!).

Ну и в заключение ещё к вопросу о профилактике – в дополнение к описанной выше технологии.
Как говорится, на антивирус надейся, да сам не плошай. И тут как нельзя кстати правило — «мой руки перед едой». Вероятность получить атаку малварой или эксплойтом на порядок выше на всяких сомнительных сайтах. Подумайте несколько раз, прежде чем зайти на какой-нибудь «порно-варезный» ресурс – стоит ли овчинка выделки? Ну и конечно, одно из главных правил компьютерной гигиены – ни в коем случае не открывать подозрительных аттачей!

Опасный заражающий браузер через Facebook “червь” может и перехватывать, и майнить криптовалюту

Чтобы заразить компьютер этим вирусом, нужно обладать учётной записью в Facebook. Личное сообщение со ссылкой на “крутое видео” на самом деле может быть FaceX Worm – вирусом, который использует функции заражённого компьютера для майнинга криптовалюты для хакеров.

В таких вирусах нет ничего нового, и этот тип был несколько раз описан на Bitnewstoday, но сравнительно уникальным его делает ориентированность на Facebook. При этом всё же и до него существовали некоторые образцы вирусов на этой платформе. Вирус принимает форму расширения для браузера Chrome и потом делает всё возможное, чтобы навредить пользователю и обогатить хакеров: подменяет страницы на вредоносные сайты, крадёт персональные данные, включая и имена пользователей с паролями, что, в свою очередь, может потенциально повлечь за собой кражи с криптовалютных кошельков и обычных банковских счетов жертвы. Кроме того, вирус делает так, чтобы учётная запись жертвы в Facebook самостоятельно отправила вредоносную ссылку новым людям.

Для криптовалютных энтузиастов наибольшая опасность вируса, возможно, таится в функции обнаружения соответствующих финансовых транзакций в браузере и подмены кошелька на тот, которым владеют хакеры. Пострадавшие таким образом, сами того не желая, финансируют хакеров.

Один из самых надёжных способов узнать, заражён ли компьютер вирусом, – в правом верхнем углу нажать на значок «Настройка и управление Google Chrome”, затем “Дополнительные инструменты”⇒“Расширения”. Если вкладка с ними закрылась сама собой без каких-либо действий со стороны пользователя, возможно, этот вирус или его ближайший родственник уже поставили работу в браузере под угрозу.

Помимо рекомендации не открывать любые странные ссылки, присланные друзьями в Facebook и в других соцсетях, стоит иметь и установленную антивирусную программу. Они обновляются вслед за изобретениями хакеров и во многих случаях могут обнаружить и прекратить работу киберпреступников.

Изображение принадлежит Pieter Dirkx

Нашли ошибку в тексте? Выделите ее, и нажмите CTRL+ENTER

Атака на Facebook с помощью эксплойта Zero-Day в браузерных плагинах Java 08.09.2013

Хакерские атаки на крупный бизнес продолжились и в 2013 году. Достаточно серьёзные атаки были предприняты против New York Times, Twitter, и Wall Street Journal. А в феврале этого года целью стала и крупнейшая социальная сеть Facebook.

В начале февраля внутренние системы безопасности Facebook обнаружили заражение вредоносным ПО компьютеров компании, которое базировалось на так называемом эксплойте zero-day браузерного плагина Java. До этого момента эксплойт был неизвестен и определение такого типа вредоносных программ не существовало. Большинство этих абсолютно новых эксплойтов «нулевого дня» в Java, было обнаружено по их поведению и созданию вредоносного ПО.

Первоначальным доказательством вторжения во внутренние системы Facebook была только запись в журнале DNS, которая указывала на возможность проникновения вредоносного кода. Дальнейшее исследование привело компанию к ноутбуку, который вызвал эту запись, этот ноутбук использовался сотрудниками подразделения мобильных разработок, также как и другие ноутбуки на которых было найдено вредоносное ПО.

Оказалось, что браузеры, установленные на этих ноутбуках, были доступны всем посетителям сайта. Было неясно, использовалось это вредоносное ПО для заражения посетителей или сайт использовался для распространения.

Oracle, владелец платформы Java, был немедленно проинформирован об угрозе. Как всегда, в этих случаях, Oracle объявила, что новый набор патчей для устранения этой проблемы, а также некоторых других, выйдут в течение недели и выпустила обновления в качестве плановых 19 февраля этого года. В них исправлялись пять проблем безопасности. Вышедшие до этого планового обновления аварийные закрывали полсотни уязвимостей, из-за которых были скомпрометированы машины крупных компаний, в том числе и Facebook. Для атаки на сайты часмто использовались анонимные прокси, в том числе платные прокси листы, которые можно купить в интернете абсолютно легально.

Поскольку до сих пор отсутствуют средства защиты от новых эксплойтов, можно воспользоваться только очевидным способом решения любой уязвимости Java – это отключение выполнения плагинов Java в браузере, соответственно это приведёт к некорректному отображению информации любого сайта, который зависит от Java.

Несмотря на обширные знания и использование всяческой защиты, для сетевых поставщиков хостинга это означает, что они уязвимы для вирусных инфекций, как никто другой.

Прокомментировать эту статью:

Пожалуйста, зарегистрируйтесь для комментирования.

Разработчики защитных решений часто упоминают в своих публикациях эксплойты как одну из самых серьезных проблем безопасности данных и систем, хотя и не всегда ясно, какова разница между эксплойтами и вредоносными программами в целом. Попробуем разобраться с этим вопросом.

Эксплойты — это специальные программы, созданные для эксплуатации уязвимостей в программном обеспечении, которым пользуются миллионы людей по всему миру. Использование уязвимостей в легитимном программном обеспечении для атак на компьютеры пользователей – одна из самых острых проблем индустрии информационной безопасности.

Эксплойты работают незаметно: чтобы стать жертвой преступников, пользователю достаточно случайно зайти на сайт, содержащий вредоносный код эксплойта, на взломанный сайт или открыть легитимный с виду файл с вредоносным кодом.

Эксплойты фактически предназначены для выполнения несанкционированных пользователем действий на уязвимой системе и могут быть подразделены по использованию уязвимостей:

  • Эксплойты для операционных систем (Windows, Linux, Unix, Mac OS, iOS, Android и др.)
  • Эксплойты для прикладного ПО (музыкальные проигрыватели, офисные пакеты и др.)
  • Эксплойты для браузеров (Internet Explorer, Mozilla Firefox, Opera и др.)
  • Эксплойты для интернет-продуктов (IPB, WordPress, VBulletin, phpBB и др.)
  • Эксплойты для интернет-сайтов (facebook.com, hi5.com, livejournal.com и др.)

Эксплойт может распространяться в виде исходных кодов, исполняемых модулей и даже словесного описания использования уязвимости. Он может быть написан на любом языке программирования (наиболее часто используются: C/C++, Perl, Python, PHP, HTML+JavaScript).

Уязвимости позволяют заражать компьютер вредоносным ПО незаметно для пользователя, а зачастую – и для защитного решения, установленного на компьютере.

Если на компьютере пользователя в этот момент установлена необновленная уязвимая версия программного обеспечения, эксплойт сработает и незаметно загрузит с сервера злоумышленников дополнительное вредоносное ПО, которое, в зависимости от преследуемой цели, будет осуществлять нелегитимные действия: похищать персональные данные, использовать компьютер пользователя в качестве элемента бот-сети для рассылки спама, проведения DDoS-атак и т.д.

Проблема уязвимостей опасна еще и тем, что даже если пользователь опытен и следит за актуальностью версий программного обеспечения, установленного на его ПК, это не гарантирует ему защищенность от эксплойтов. Проблема в том, что между обнаружением уязвимости и выпуском патча, который ее закрывает, могут пройти часы, а иногда и недели, в течение которых эксплойты будут сохранять работоспособность и, соответственно, угрожать безопасности пользователей интернета.

Риск в данной ситуации может быть существенно снижен, но лишь в том случае, если пользователь работает с компьютером, защищенным качественным защитным решением, включающим технологии предотвращения атак через эксплойты.

Как технология SD-WAN изменила сетевую безопасность

Зарегистрируйтесь, чтобы скачать бесплатно электронную книгу прямо сейчас.

  • Количество ИВ-устройств достигнет 55 млрд к 2025 г.
  • В 53% компаний за последний год увеличилось число зараженных конечных точек
  • 63% компаний не могут контролировать мобильные устройства вне корпоративной сети
  • Численность BYOD-работников достигла 1,76 млрд

Зарегистрируйтесь, чтобы скачать бесплатно электронную книгу прямо сейчас.

Эксплойты для Microsoft Word научились проникать через антивирусы

DOCX, RTF, далее везде

Киберпреступники развернули целую инфраструктуру для распространения нескольких видов вредоносного ПО, используя два широко известных эксплойта для Microsoft Word — CVE-2017-0199 и CVE-2017-11882. На данный момент она используется для заражения пользовательских систем вредоносными программами Agent Tesla, Loki и Gamarue. Все три вредоносных семейства способны красть информацию и лишь у Loki отсутствуют функции удалённого управления.

Атака начинается с электронного письма со вложенным документом Microsoft Word (DOCX), в котором содержатся функции скачивания и открытия ещё одного файла — на этот раз, RTF, вместе с которым в систему загружаются вредоносные копоненты. RTF-файл антивирусы в основном игнорируют: только два из 58 антивирусных продуктов пометили его как вредоносный или подозрительный, — AhnLab-V3 и Zoner.

Причина такой «скрытности» лежит в особенностях формата RTF и его поддержки встраиваемых объектов через протокол Object Linking and Embedding (OLE). RTF использует большое количество контрольных слов для описания содержания контента.

Обычные парсеры RTF обычно игнорируют всё, что не могут опознать. В результате получается почти идеальная комбинация, чтобы скрывать код эксплойта. Для ее применения никаких настроек в Microsoft Word пользователю менять не надо — то есть даже активировать макросы не понадобится.

Что касается распространяемого таким методом вредоносного ПО, то Agent Tesla и Loki представляют собой инструменты для кражи данных с пользовательского компьютера. Причём Agent Tesla рекламируется как легальный инструмент, хотя у экспертов его легальность вызывает большие сомнения.

Gamarue же представляет собой червь, используемый для формирования ботнетов, который также может красть конфиденциальные данные с пользовательских систем.

Скрипт вместо тэга

Чтобы застраховаться от детектирования антивирусами, злоумышленники также применили некоторые методы обфускации, а кроме того, поменяли значения заголовка объекта OLE: как выяснили эксперты фирмы Talos, сразу после заголовка была добавлена строка, которая выглядела как тэг шрифта, однако на деле оказалась эксплойтом для уязвимости CVE-2017-11882, вызывающей нарушения содержимого памяти в Microsoft Office.

Тот же код использовался в других кампаниях.

«Интересный и очень опасный метод, использующий особенности легального ПО, которые даже нельзя назвать в строгом смысле уязвимостями, — говорит Георгий Лагода, генеральный директор компании SEC Consult Services. — Пока разработчики антивирусов не разберутся, как бороться с этим методом обхода детектирования, потребуется вручную, всеми доступными способами проверять источник документов в электронной почте. Кроме того, документы обычно не требуют загрузки внешних ресурсов, поэтому, частью решения может быть запрет сетевой активности данным программам, либо открытие документов в изолированной среде без доступа в интернет».

Заражение аккаунта Facebook на примере вируса Koobface

Каким образом происходит заражение

Вредоносное программное обеспечение можно загрузить, пытаясь просмотреть «шокирующий фильм», предлагаемый другом в виде изменения статуса или посетив веб-сайт, который якобы предлагает специальные функции на Facebook.

Если, например, сайт утверждает, что он может показать Вам, кто смотрел вашу личную страницу, изменить цвет ленты или поможет Вам полностью удалить ваш профиль. Помните, такие функции не существуют.

На моем компьютере установлено вредоносная программа

Если вы думаете, что ваш компьютер заражен вредоносными программами, следующие советы помогут Вам очистить его.

  1. Измените пароль Facebook;
  2. Проверьте компьютер:
    • Facebook сотрудничает с компанией McAffee, благодаря чему может предложить Вам возможность одноразово просканировать компьютер на наличие вирусов;
    • Если вам необходима антивирусная программа, мы можете загрузить Microsoft Security Essentials.
  3. Обновите свой браузер – версии Firefox и Internet Explorer имеют встроенные средства обеспечения безопасности.

Как защитить свой аккаунт Facebook

  • Подумайте, прежде чем нажать. Никогда не переходите по подозрительным ссылкам, даже если они были отправлены от человека или компании, которых вы знаете. Это касается и ссылок, передаваемых на Facebook (например, в чате или в постах) и ссылок в сообщениях электронной почты. Если Ваш друг случайно нажимает на спам, он может быть отправлен для всех его друзей на Facebook. Помните, чтобы никогда не вводить повторно свой пароль для социальной сети, и не загружать любые файлы (например, в формате .exe), которые вызывают сомнения. Если вы увидите запрос на повторный ввод пароля Facebook (например, во время изменения настроек учетной записи), убедитесь, что ваш сайт содержит фразу facebook.com/ в URL-адресе.
  • Если вы не знаете, что это такое, не вставляйте этого в адресную строку браузера. Вставка неизвестного текста в адресной строке, может привести к созданию из Вашей учетной записи событий и страниц, а также рассылке спама в другой форме.
  • Выберите уникальный, надежный пароль. Используйте комбинации, по крайней мере, из шести букв, цифр и знаков препинания. Не используйте слова, которые можно найти в словаре. В случае сомнений, рекомендуем вам сменить пароль. Вы можете сбросить пароль на странице «Настройки аккаунта», доступной из раскрывающегося меню в верхней части каждой страницы на Facebook.
  • Никогда не сообщайте свой логин и пароль. Никогда не сообщайте свои данные для входа в систему (например, адрес электронной почты и пароль), независимо от причины. Лица, страницы или группы обращающиеся к Вам с просьбой предоставить данные для входа в обмен на скидки (например, бесплатные покерные фишки), не заслуживают доверия. Предложения этого типа исходят от злоумышленников и несовместимы с Условиями Facebook.
  • Входите через веб-сайт www.facebook.com. Некоторые мошенники создают фальшивые сайты, которые имитируют страницу входа на Facebook, считая, что пользователи сообщат им адрес электронной почты и пароль. Помните о проверке интернет-адреса (URL) перед вводом регистрационных данных. Если вы сомневаетесь, всегда можно набрать в браузере „facebook.com” и перейти на официальный сайт Facebook.
  • Обновите свой браузер (напр. Internet Explorer). Последние версии браузеров Firefox и Internet Explorer имеют встроенные средства обеспечения безопасности, например, предупреждения о подозрительном содержимом веб-сайта.
  • Используйте антивирусные программы для того, чтобы защитить себя от вирусов и вредоносных программ.

Вирус Koobface

Что такое вирус Koobface

Это компьютерный червь, который нападает на Facebook и другие социальные сети. Распространяется в Facebook через отправку сообщений со спамом от имени пользователей.

Эти сообщения содержат ссылку, которую можно нажать, и будет предложено загрузить и установить новую версию Adobe Flash Player. На самом деле загружается вредоносный файл, который при открытии начинает использовать учетную запись пользователя на Facebook для дальнейшей публикации вредоносной ссылки, и таким образом, вирус распространяется.

В настоящее время Koobface атакует только пользователей Windows. Так что, если вы используете OS Mac или Linux, вы не подвержены этому типу атак.

Как работает Koobface

Когда компьютер будет заражен:

  • Могут отображаться вспомогательные окна, предлагающие установить программное обеспечение „для обеспечения безопасности”;
  • Сайты поиска Google могут быть подменены;
  • Если вы создаете веб-страницу, вирус может украсть пароли к ней.

Что делать, если мне кажется, что мой компьютер заражен вирусом:

  1. Чтобы обнаружить и удалить Koobface или другое вредоносное программное обеспечение, которое может быть установлено на Вашем компьютере, выполните полную проверку системы с помощью текущего антивирусного программного обеспечения;
  2. Сбросьте все пароли, которые вы используете в Интернете.

Каким образом защитить аккаунт от вируса Koobface

Вот несколько простых советов, которые помогут вам увеличить безопасность учетной записи:

  • Загружайте программное обеспечение только от известных и надежных веб-сайтов. Всегда тщательно проверяйте URL-адрес;
  • Используйте брандмауэр в компьютере;
  • Помните, чтобы использовать последнюю версию браузера с обновленным черным списком, обеспечивающим защиту от фишинга;
  • Используйте текущую версию антивирусного программного обеспечения;
  • Установите последнюю версию всех установленных программ;
  • Соблюдайте осторожность при открытии ссылки от друзей, которых вы плохо знаете;
  • Помните об установке контрольного вопроса для всех своих учетных записей. Это полезно в случае потери доступа и необходимости подтверждения личности. Контрольный вопрос к учетной записи на Facebook, вы можете задать на странице Настройки учетной записи.

Новый вирус ломает ВСЕ компьютеры через Facebook! Не открывайте эти сообщения…

Если вам в фейсбуке пришло сообщение со ссылкой на видео — неважно от кого, пусть даже и от друга, — не переходите по ней, предупреждает The Hacker News.

Специалисты по безопасности из лаборатории Касперского выявили кроссплатформенную кампанию в мессенджере фейсбука, в ходе которой пользователи получают ссылку на видео, которая перенаправляет их на фейковый сайт и устанавливает вредоносное ПО.

Хотя точный механизм распространения вредоносных программ неизвестен, специалисты предполагают, что хакеры используют взломанные аккаунты, захваченные браузеры или кликджекинг.

Хакеры присылают пользователю ссылку на видео якобы от одного из его фейсбук-друзей с подписью « видео» и ссылкой, которая начинается на bit.ly, как на фото.

Как работает кроссплатформенный вирус?

Гиперссылка выводит жертву на Гугл-документ, содержащий динамически генерируемый эскиз видеофайла (ролик) на основе фотографий отправителя. При нажатии на видео пользователь перенаправляется на другую целевую страницу — в зависимости от браузера и операционной системы.

Например, пользователи Mozilla Firefox под Windows попадают на сайт с фейковым уведомлением про обновление Flash Player, после чего им предлагают EXE-файл Windiws, помечаемый как рекламное ПО.

Пользователи Google Chrome перенаправляются на сайт, замаскированный

под YouTube с привычным логотипом, где выскакивает фейковое сообщение об ошибке, обманом вынуждающее пользователей скачать вредоносное расширение для Chrome из Google Web Store.

На самом деле это загрузчик, который скачивает на компьютер жертвы файлы по выбору хакера.

Дэвид Джакоби, старший специалист по безопасности в лаборатории Касперского, пишет в своём сегодняшнем блоге:

«На момент написания файл, который должен был загружаться, был недоступен. Интересно, что в расширении для Chrome имеются лог-файлы с именами пользователей. Непонятно, связано ли это с вирусной кампанией, но деталь забавная».

Пользователи браузера Apple Mac OS X Safari попадают на страницу, аналогичную странице для Firefox, но адаптированную для Мака. Там тоже выскакивает сообщение о необходимости обновить Flash Media Player, при клике на которое загружается исполняемый файл .dmg — тоже рекламное ПО.

Точно так же пользователи Linux попадают на страницу, адаптированную под Linux.

В данном случае хакеры не заражают компьютеры троянами и вирусами-вымогателями, а лишь устанавливают рекламное ПО, чтобы повысить доходы от рекламы.

Спам в фейсбуке — привычное дело. Пару лет назад специалисты выявили преступников, которые рассылали «заминированные» файлы .jpg, содержащие вредоносное ПО, которое блокировало компьютер и требовало заплатить выкуп за разблокировку.

Чтобы не попасть впросак, советуем вам не смотреть видео и не переходить по ссылкам, даже если их присылают друзья, предварительно не удостоверившись, что это действительно они прислали.

И поделитесь этой статьёй с друзьями — не стоит делать соцсети уязвимыми для злоумышленников!

Ссылка на основную публикацию