Невідомий зловмисник придбав на торговому майданчику Flippa портфель із понад 30 безкоштовних WordPress-плагінів з багаторічною репутацією — і додав до кожного з них прихований бекдор. Шкідливий код непомітно існував на сайтах вісім місяців, перш ніж був активований у квітні 2026 року. WordPress.org закрив усі 31 плагін в один день.

Купівля репутації: як усе починалося

Портфель плагінів під назвою Essential Plugin (раніше — WP Online Support) будувала індійська команда розробників починаючи з 2015 року. За понад десять років вони створили понад 30 безкоштовних плагінів із преміум-версіями: слайдери, галереї, таймери зворотного відліку, спливаючі вікна, тестимоніали тощо.

Наприкінці 2024 року доходи бізнесу впали на 35–45%, і один із засновників виставив весь портфель на продаж через майданчик Flippa. Покупець, відомий лише як «Kris» із досвідом у SEO, криптовалюті та гемблінг-маркетингу, придбав бізнес за шестизначну суму. Flippa навіть опублікував кейс-стаді про цей правочин у липні 2025 року.

Перший же SVN-коміт нового власника виявився бекдором. Засновник хостингової компанії Anchor Hosting Остін Гіндер опублікував у своєму блозі детальний опис атаки на ланцюг постачання.

Бекдор: вісім місяців очікування

8 серпня 2025 року новий власник випустив версію 2.6.7 плагіна Countdown Timer Ultimate. У журналі змін значилося лише «перевірка сумісності з WordPress 6.8.2». Насправді оновлення додавало прихований модуль, який дозволяв зловмисникові дистанційно керувати сайтом.

Шкідливий код нічого не робив протягом восьми місяців — аж до 5–6 квітня 2026 року, коли атака була активована. Модуль зв’язався із зовнішнім сервером і завантажив файл із назвою, навмисне схожою на стандартний файл WordPress. Далі у файл налаштувань сайту wp-config.php інжектувався масивний блок прихованого коду.

Шкідливе ПЗ показувало спам-посилання та підроблені сторінки лише пошуковим роботам — власники сайтів нічого не бачили. Щоб ускладнити блокування, зловмисники використовували адресу управляючого сервера, закодовану в смарт-контракті Ethereum: традиційне блокування домену не спрацювало б, адже нову адресу можна оновити прямо в блокчейні.

WordPress.org закрив усі плагіни за один день

7 квітня 2026 року команда WordPress.org Plugins Team остаточно закрила всі 31 плагін від автора essentialplugin. 8 квітня платформа примусово оновила плагіни на всіх сайтах до версії 2.6.9.1, яка нейтралізувала механізм зв’язку з сервером зловмисника. Однак примусове оновлення не очистило wp-config.php — якщо сайт вже встиг отримати шкідливий код, той продовжував працювати.

Список уражених плагінів

Перевірте свій сайт на наявність будь-якого з наведених нижче плагінів та негайно видаліть їх:

• Accordion and Accordion Slider
• Album and Image Gallery Plus Lightbox
• Audio Player with Playlist Ultimate
• Blog Designer for Post and Widget
• Countdown Timer Ultimate
• Featured Post Creative
• Footer Mega Grid Columns
• Hero Banner Ultimate
• HTML5 VideoGallery Plus Player
• Meta Slider and Carousel with Lightbox
• Popup Anything on Click
• Portfolio and Projects
• Post Category Image with Grid and Slider
• Post Grid and Filter Ultimate
• Preloader for Website
• Product Categories Designs for WooCommerce
• Responsive WP FAQ with Category (sp-faq)
• SlidersPack — All in One Image Sliders
• SP News And Widget
• Styles for WP PageNavi — Addon
• Ticker Ultimate
• Timeline and History Slider
• Woo Product Slider and Carousel with Category
• WP Blog and Widgets
• WP Featured Content and Slider
• WP Logo Showcase Responsive Slider and Carousel
• WP Responsive Recent Post Slider
• WP Slick Slider and Image Carousel
• WP Team Showcase and Slider
• WP Testimonial with Widget
• WP Trending Post Slider and Widget

Що робити: покроковий алгоритм дій

1. Перевірте список встановлених плагінів. У панелі керування WordPress перейдіть до розділу «Плагіни» і порівняйте з наведеним вище списком.
2. Деактивуйте та видаліть уражені плагіни. Не просто деактивуйте — видаляйте повністю. Шукайте альтернативи від перевірених авторів.
3. Перевірте файл wp-config.php. Відкрийте файл через файловий менеджер хостингу або FTP. Нормальний розмір — близько 3–4 КБ. Якщо файл значно більший (6+ КБ) або ви бачите незрозумілий код у кінці рядка require_once ABSPATH . wp-settings.php — сайт скомпрометований.
4. Якщо wp-config.php заражений — зверніться до фахівця. Просте видалення плагіна не допоможе: необхідне повне очищення сайту, перевірка всіх файлів і, можливо, відновлення з резервної копії, зробленої до 5 квітня 2026 року.
5. Перевірте резервні копії. Порівняйте розмір wp-config.php у резервних копіях за різні дати. Якщо резервні копії зберігаються на хостингу, звернення до служби підтримки допоможе встановити точний момент зараження.
6. Змініть паролі. Після очищення сайту змініть паролі адміністратора WordPress, бази даних та облікового запису хостингу.
7. Встановіть плагін безпеки. Плагіни на кшталт Wordfence або iThemes Security допоможуть виявляти підозрілі зміни файлів у майбутньому.
8. Відстежуйте сповіщення WordPress.org. Коли платформа закриває плагін через безпеку, у панелі адміністратора WordPress з’являється відповідне попередження. Ніколи не ігноруйте ці повідомлення.

Системна проблема: WordPress не перевіряє нових власників плагінів

Це вже не перший подібний випадок. Тижнем раніше аналогічна атака була виявлена з плагіном Widget Logic. У 2017 році покупець плагіна Display Widget (200 000 активних встановлень) так само впровадив спам-код після придбання.

WordPress.org не має жодного механізму для перевірки зміни власника плагіна. Ні сповіщення користувачів, ні додаткової перевірки коду при появі нового коміттера. Команда безпеки платформи відреагувала швидко після виявлення атаки — але між впровадженням бекдора і його виявленням минуло вісім місяців.

Цей інцидент ілюструє ключовий ризик ланцюжка постачання програмного забезпечення: навіть багаторічний надійний інструмент може стати загрозою після зміни власника. Перевіряйте, хто розробляє плагіни, які ви використовуєте, і стежте за змінами в їхньому авторстві.

Ця стаття Хтось купив 31 WordPress-плагін і вбудував бекдор у кожен з них раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Уразливість у безпеці прихованого Android-шпигуна під назвою Catwatchful призвела до викриття тисяч його користувачів, включаючи адміністратора системи.

Дослідник кібербезпеки Ерік Дейгл виявив цю помилку, яка спричинила витік повної бази даних електронних адрес і паролів у відкритому текстовому файлі, які клієнти Catwatchful використовують для доступу до викрадених з телефонів жертв даних, – повідомляє Techcrunch.

Що таке Catwatchful

Catwatchful – це шпигунське програмне забезпечення, яке маскується під додаток для батьківського контролю. Розробники стверджують, що програма “невидима і не може бути виявлена”, водночас завантажуючи приватний контент з телефона жертви на панель керування, доступну особі, яка встановила додаток.

Викрадені дані включають:

• Фотографії жертв
• Повідомлення
• Дані геолокації в реальному часі
• Записи з мікрофона
• Доступ до передньої та задньої камер

Масштаб проблеми

Такі шпигунські додатки, як Catwatchful, заборонені в офіційних магазинах додатків і потребують фізичного доступу до телефона для встановлення. Саме тому їх часто називають “сталкерським ПЗ” через їх використання для незаконного стеження за романтичними партнерами.

За копією бази даних з початку червня, яку переглянув TechCrunch, Catwatchful мав:

• Понад 62,000 облікових записів клієнтів
• Дані з 26,000 пристроїв жертв
• Записи, що датуються починаючи від 2018 року

Найбільша кількість скомпрометованих пристроїв знаходилася в Мексиці, Колумбії, Індії, Перу, Аргентині, Еквадорі та Болівії.

Розкриття особистості адміністратора

База даних Catwatchful також розкрила особистість адміністратора операції – Омара Соки Чаркова, розробника з Уругваю. Помилка в операційній безпеці призвела до викриття його особистих даних.

Чарков не відповів на запити про коментарі, надіслані англійською та іспанською мовами. TechCrunch запитав, чи знає він про витік даних Catwatchful і чи планує повідомити про інцидент своїх клієнтів.

Технічні деталі

Дейгл виявив, що Catwatchful використовує власний API без автентифікації, що дозволяє будь-кому в інтернеті взаємодіяти з базою даних користувачів без входу в систему. Це призвело до викриття всієї бази даних електронних адрес і паролів клієнтів.

Шпигунська програма також використовує Google Firebase для зберігання викрадених даних телефонів жертв, включаючи фотографії та записи навколишнього звуку.

Реакція компаній

Після звернення TechCrunch:

• Веб-компанія, що розміщувала API Catwatchful, призупинила обліковий запис розробника
• Google додав нові захисні заходи для Google Play Protect
• Google розпочав розслідування щодо порушення умов обслуговування Firebase

Як виявити та видалити Catwatchful

Користувачі Android можуть виявити Catwatchful, навіть якщо він прихований, набравши “543210” на клавіатурі телефонного додатка та натиснувши кнопку виклику. Якщо Catwatchful встановлений, додаток має з’явитися на екрані.

Цей код є вбудованою функцією бекдору, яка дозволяє тому, хто встановив програму, відновити доступ до налаштувань, коли програму приховано. Цей код також може використовувати будь-хто, щоб перевірити, чи встановлено програму.

Важливо: Перед видаленням шпигунського ПЗ рекомендується мати план безпеки, оскільки вимкнення може попередити особу, яка його встановила.

Що стосується видалення програми, Cybercalm має загальну інструкцію з видалення шпигунського програмного забезпечення Android, яка може допомогти вам виявити та видалити поширені типи програм для стеження за телефоном, а потім увімкнути різні налаштування, необхідні для захисту вашого пристрою Android.

Висновки

Цей інцидент демонструє, що споживче шпигунське програмне забезпечення продовжує поширюватися, незважаючи на схильність до неякісного кодування та порушень безпеки, які викривають як платних клієнтів, так і нічого не підозрюючих жертв ризику витоку даних.

Catwatchful став принаймні п’ятою шпигунською операцією цього року, яка зазнала витоку даних, що підкреслює системні проблеми в цій галузі.

Ця стаття Витік даних розкрив шпигунське ПЗ Catwatchful, яке стежить за тисячами телефонів раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Кіберзлочинці використовують онлайн-рекламу підроблених версій популярного програмного забезпечення, щоб обманом змусити користувачів завантажити три форми  зловмисного програмного забезпечення  – включаючи зловмисне розширення для браузера з тими ж можливостями, що й  троянське програмне забезпечення  – які надають кіберзлочинцям імена користувачів та паролі, а також віддалений доступ через бекдор до заражених ПК з Windows, – повідомяє ZDNet.

Атаки, які поширюють дві форми, незадокументованих спеціально розроблених шкідливих програм, були  детально описані дослідниками кібербезпеки з Cisco Talos,  які назвали кампанію «magnat». Схоже, що кампанія діє певною мірою з 2018 року, а зловмисне програмне забезпечення постійно розвивається.

Більше половини жертв кампанії знаходиться в Канаді, але є також жертви в усьому світі, включаючи Сполучені Штати, Європу, Австралію та Нігерію.

Дослідники вважають, що жертв обманом змушують встановити зловмисне програмне забезпечення за допомогою шкідливої ​​онлайн-реклами, яка пропонує завантажити підроблені версії популярного програмного забезпечення. Користувачі, швидше за все, будуть шукати законні версії програмного забезпечення, але реклама спрямовує їх на шкідливі копії.

Деякі зі зловмисних програм, які користувачі завантажують, включають підроблені версії програм обміну повідомленнями, таких як Viber і WeChat, а також підроблені інсталятори для популярних відеоігор, таких як Battlefield.

Завантажений інсталятор не встановлює рекламовані програми, а замість цього встановлює три форми зловмисного програмного забезпечення – засіб для крадіжки паролів, бекдор і шкідливе розширення для браузера, що дозволяє вести журнал і робити скріншоти того, що дивиться заражений користувач.

Засіб крадіжки паролів, який поширюється під час атак, відомий як Redline, відносно поширене шкідливе програмне забезпечення, яке краде всі імена користувачів і паролі, знайдені в зараженій системі. Раніше Magnat поширював інший засіб крадіжки паролів Azorult. Перехід на Redline, ймовірно, відбувся тому, що Azorult, як і багато інших видів шкідливих програм, перестав працювати належним чином після випуску Chrome 80 у лютому 2020 року.

У той час як крадіжки паролів є стандартними шкідливими програмами, раніше незадокументований інсталятор бекдора, який дослідники назвали MagnatBackdoor, є більш спеціальною формою зловмисного програмного забезпечення, яке поширюється з 2019 року, хоча іноді розповсюдження припиняється протягом кількох місяців.

MagnatBackdoor налаштовує інфіковану систему Windows, щоб дозволити прихований доступ за протоколом віддаленого робочого столу (RDP), а також додавати нового користувача та планувати систему для перевірки командного та контрольного сервера, який запускають зловмисники через регулярні проміжки часу. Бекдор дозволяє зловмисникам таємно отримати віддалений доступ до ПК, коли це необхідно.

Третє шкідливе завантаження — це зловмисне розширення Google Chrome, яке дослідники назвали MagnatExtension. Розширення постачається зловмисниками і не надходить із магазину розширень Chrome.

Це розширення містить різні засоби крадіжки даних безпосередньо з веб-браузера, включаючи можливість робити знімки екрана, красти файли cookie, красти інформацію, введену у форми, а також кейлоггер, який реєструє все, що користувач вводить у браузері. Уся ця інформація потім надсилається зловмисникам.

Дослідники порівняли можливості розширення з банківським трояном. Вони припускають, що кінцевою метою зловмисного програмного забезпечення є отримання облікових даних користувачів або для продажу в даркнеті, або для подальшої експлуатації зловмисниками. Кіберзлочинці, що стояли за MagnatBackdoor і MagnatExtension, витратили роки на розробку та оновлення зловмисного програмного забезпечення, і це, ймовірно, триватиме й надалі.

«Ці дві форми зловмисного програмного забезпечення постійно розвивалися та вдосконалювались їхніми авторами – це, ймовірно, не останнє, що ми чуємо про них», – сказав Тьяго Перейра, дослідник безпеки в Cisco Talos.

«Ми вважаємо, що ці кампанії використовують онлайн-рекламу як засіб охоплення користувачів, які шукають за ключовими словами популярне програмне забезпечення, і представляти їм підробне посилання на завантаження. Цей тип загроз може бути дуже ефективним і вимагає наявності кількох рівнів контролю безпеки, таких як захист кінцевих точок, фільтрація мережі та сеанси поінформованості про безпеку”, – додав він.

Ця стаття Зловмисні програми для крадіжки паролів поширюються через підроблені завантаження раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

ESET повідомляє про виявлення невідомого раніше бекдора SideWalk. Шкідлива програма використовувалася групою кіберзлочинців SparklingGoblin під час атак на компанію з роздрібної торгівлі комп’ютерами.

Бекдор може збирати інформацію про пристрій жертви та динамічно завантажувати додаткові модулі, надіслані з командного сервера (C&C). Виявлена шкідлива програма дуже подібна за структурою та реалізацією до іншого бекдора цієї групи ― CROSSWALK.

Незважаючи на те, що коди SideWalk та CROSSWALK відрізняються, загрози мають багато спільних архітектурних особливостей, зокрема схожі техніки захисту від аналізу, макети даних, а також способи обробки цих даних під час виконання. Крім цього, обидва бекдори мають модульну структуру та використовують проксі-сервер для з’єднання з C&C.

Варто зазначити, що група кіберзлочинців SparklingGoblin активна з середини 2020 року. Її цілями стають організації у всьому світі, а основнийфокусзловмисників спрямований наосвітню галузь та регіон Східної Азії.

Цілі групи зловмисників SparklingGoblin

У листопаді 2019 року спеціалісти ESET виявили атаку групи кіберзлочинців Winnti на кілька університетів Гонконгу. Тоді зловмисники використовували бекдори ShadowPad та Spyder, а також шкідливе програмне забезпечення Winnti.

Згодом у травні 2020 року дослідники зафіксували нову шкідливу активність, націлену на один із університетів, який раніше був скомпрометований Winnti. Тепер кіберзлочинці використовували бекдор CROSSWALK. Незважаючи на те, що деякі особливості вказували на Winnti, під час цієї атаки були використані зовсім інші техніки.

Після цього спеціалісти виявили численні атаки на організації у всьому світу з використанням подібних наборів інструментів. Цю шкідливу активність дослідники вирішили виокремити в окрему групу, яку було названо SparklingGoblin, і яка пов’язана з Winnti, хоч і має деякі відмінності.

Більш детальну інформацію про особливості нового бекдора можна знайти за посиланням.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Чому три випадкових слова – це найкращий пароль? ІНСТРУКЦІЯ

Як не стати жертвою програм-вимагачів? ПОРАДИ

Якими будуть нові смартфони Galaxy Z Fold 3 та Z Flip 3? ОГЛЯД

Як уникнути шахрайських схем із використанням deepfake-відео? ПОРАДИ

Навіщо інші антивіруси, якщо у Вас є Windows Defender? ПОРАДИ

Як налаштувати режим “Не турбувати” на телефонах Samsung Galaxy? – ІНСТРУКЦІЯ

Нагадаємо, ізраїльський виробник рішень для верифікації та забезпечення прозорості в мобільних та online-екосистемах GeoEdge повідомив про виявлення першої у світі кібератаки на домашні IoT-пристрої з використанням шкідливої реклами.

Також баг на офіційному сайті виробника автомобілів Ford Motor відкривав конфіденційні дані, доступ до яких міг отримати будь-який хакер. Серед інформації були бази даних клієнтів, відомості про співробітників тощо.

Окрім цього, американська трубопровідна компанія Colonial Pipeline виплатила 4,4 мільйона доларів хакерам, які викрали особисті дані майже 6 тисячам нинішніх та колишніх працівників компанії. Colonial Pipeline була вимушена сплатити викуп через ймовірність загрози газової кризи.

І майже анекдотична ситуація трапилася із розробником шкідливих програм, який розпочав їх тестування у своїй системі, щоб випробувати нові функції, а згодом дані потрапили на розвідувальну платформу хакерів. Мова йде про розробника Raccoon – трояна-викрадача інформації, який може збирати дані з десятків програм.

Ця стаття Спеціалісти виявили новий небезпечний бекдор раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Нещодавно виявлений бекдор для систем на Linux залишався непоміченим кілька років, дозволяючи зловмисникам збирати та виводити конфіденційну інформацію з  заражених пристроїв.

Бекдор, який дослідники з лабораторії досліджень мережевої безпеки Qihoo 360 (360 Netlab) назвали RotaJakiro, залишався не виявленим антивірусними механізмами VirusTotal, хоча зразок датований 2018 роком, повідомляє BleepingComputer.

RotaJakiro написаний так, щоб залишитися непомітним, шифруючи свої канали зв’язку за допомогою архівації ZLIB та шифрування AES, XOR, ROTATE.

Він також робить все можливе, щоб заблокувати програми аналізу зловмисного програмного забезпечення, щоб вони не знаходили його, оскільки інформація про ресурси, знайдена у зразку, поміченому системою 360 Netlab BotMon, шифрується за допомогою алгоритму AES.

“На функціональному рівні RotaJakiro спочатку визначає, чи користувач має права root на час виконання, з різними політиками виконання для різних облікових записів, потім розшифровує відповідні чутливі ресурси за допомогою AES & ROTATE для подальшого збереження, захисту процесів та використання одного екземпляра, і нарешті встановлює зв’язок із С2 і чекає виконання команд, виданих С2”, – заявили представники 360 Netlab.

Зловмисники можуть використовувати RotaJakiro для викрадення системної інформації та конфіденційних даних, управління плагінами та файлами та запуску різних плагінів на скомпрометованих 64-розрядних пристроях Linux. Однак експерти 360 Netlab ще не виявили справжні наміри творців шкідливого програмного забезпечення щодо їхнього бекдора через відсутність видимості щодо плагінів, які вони розгортають на заражених системах.

“RotaJakiro підтримує загалом 12 функцій, три з яких пов’язані з виконанням певних плагінів, – додали дослідники. – На жаль, ми не бачимо видимості плагінів і тому не знаємо його справжнього призначення.”

Починаючи з 2018 року, коли перший зразок RotaJakiro потрапив на VirusTotal, 360 Netlab знайшов чотири різні зразки, завантажені в період з травня 2018 року по січень 2021 року, і всі вони мали вражаючу кількість нульових виявлень. Всі командно-адміністративні сервери, які історично використовувались шкідливим програмним забезпеченням, мали домени, зареєстровані шість років тому, у грудні 2015 року.

Експерти 360 Netlab також виявили посилання на ботнет Torii IoT, вперше помічений експертом з шкідливих програм Веселіном Бончевим та проаналізований групою аналітиків Avast Threat Intelligence у вересні 2018 року. Два штами шкідливого програмного забезпечення використовують однакові команди після розгортання на скомпрометованих системах, подібні методи побудови та константи, які використовуються обома розробниками.

RotaJakiro і Torii також мають багато функціональних подібностей, включаючи “використання алгоритмів шифрування для приховування конфіденційних ресурсів, реалізацію досить старовинного стилю атак, структурованого мережевого трафіку”.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як увімкнути записування відео HDR на iPhone? ІНСТРУКЦІЯ

Онлайн-шопінг у соцмережах: як не бути ошуканим?

Як правильно вибрати ноутбук? ПОРАДИ

Як безкоштовно надсилати захищені паролем електронні листи? ПОРАДИ

Нагадаємо, дослідники безпеки опублікували в Мережі PoC-експлойт для запуску шкідливого коду в Chrome, Edge, Vivaldi, Opera і інших браузерах на базі Chromium. Уразливість зачіпає JavaScript-движок V8 і вже виправлена в його вихідному коді, але виправлення поки ще не інтегровано ні з кодовою базою Chromium, ні з заснованими на ньому проектами.

Також дослідники виявили безліч уразливостей в популярних додатках, що допускають виконання довільного коду в системах користувачів всього лише за допомогою одного кліка. Саме тому такі баги отримали неформальне ім’я “уразливості одного кліка” (one-click vulnerabilities).

Розробники WhatsApp усунули дві небезпечні уразливості в Android-версії месенджера. Якщо зловмисник задіє ці дві уразливості в атаці, у нього з’явиться можливість виконати шкідливий код і віддалено зламати мобільний пристрій жертви.

Окрім цього, кіберзлочинці атакують уразливі сервери Microsoft Exchange з метою встановлення програмного забезпечення для майнінгу криптовалют у рамках шкідливої ​​кампанії, спрямованої на використання обчислювальних потужностей скомпрометованих систем для заробітку.

Ця стаття “Новий” шкідник заражав системи на Linux протягом багатьох років раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Непропатчені сервери Microsoft Exchange зараз активно заражаються  ботнетом Prometei, а їхні ресурси використовуються  для видобутку криптовалюти Monero (XMR). Про це повідомляє BleepingComputer.

Вищезгадане модульне шкідливе програмне забезпечення може заражати як системи на Windows, так і на Linux, і вперше воно було виявлено минулого року під час використання експлойта EternalBlue для розповсюдження по скомпрометованих мережах і поневолення вразливих комп’ютерів Windows.

Нещодавно команда Nocturnus з фірми  Cybereason виявила, що ботнет, ймовірно, працює майже півроку, згідно артефактів Prometei, знайдених у базі VirusTotal, починаючи з травня 2016 року. На основі нових зразків шкідливого програмного забезпечення, нещодавно знайдених Cybereason під час останніх реакцій на інциденти, виявилося, що ботнет також оновлений для використання вразливостей Exchange Server, виправлених Microsoft у березні.

Основна увага атак Prometei на сервери Exchange полягає у розгортанні корисного навантаження, яке починає заробляти гроші для своїх операторів та розповсюджуватися на інші пристрої в мережі, використовуючи експлойти EternalBlue та BlueKeep, зібрані облікові дані та модулі розповсюджувача SSH або SQL.

“Коли зловмисники беруть під свій контроль заражені машини, вони не тільки здатні видобувати біткоїни, використовуючи обчислювальну потужність, але також можуть проникати в конфіденційну інформацію”, – сказав Асаф Дахан, старший директор  Cybereason та керівник досліджень загроз. “Якщо зловмисники захочуть це зробити, вони також можуть заразити скомпрометовані кінцеві точки іншим шкідливим програмним забезпеченням і співпрацювати з групами вимагачів для продажу доступу до кінцевих точок”.

Однак шкідливе програмне забезпечення було оновлено – туди додали бекдор з підтримкою великого набору команд. Сюди входять завантаження та виконання файлів, пошук файлів на заражених системах та виконання програм або команд від імені зловмисників.

“Останні версії Prometei тепер забезпечують зловмисників складним та прихованим бекдором, який підтримує широкий спектр завдань, які роблять видобуток монет Monero найменшим з зол, яке може непокоїти жертву”, – заявила команда Cybereason.

Хоча актори (и) загрози, що стоять за цим ботнетом, невідомі, є певні докази, що вони говорять російською мовою – включаючи ім’я ботнета, Prometei (Прометей), а також російський код та назву продукту, що використовуються у старих версіях. Дослідження Cybereason також вказують на те, що оператори ботнетів фінансово мотивовані і, можливо, не працюють на чиїсь державні структури.

“Як спостерігалося під час нещодавніх атак Prometei, хакери використали нещодавно виявлені вразливості Microsoft Exchange і використовували їх для проникнення в цільові мережі”, – додала команда Cybereason. “Ця загроза представляє великий ризик для організацій, оскільки зловмисники мають абсолютний контроль над зараженими машинами, і, якщо вони цього бажають, вони можуть викрадати інформацію, заражати кінцеві точки іншим шкідливим програмним забезпеченням або навіть співпрацювати з вимагачами, продаючи доступ до заражених кінцевих точок “.

Недоліки CVE-2021-27065 та CVE-2021-26858, які використовував Prometei, також були використані кількома хакерськими групами, що підтримуються Китаєм, та іншими хакерськими групами для розгортання веб-оболонок, програм-вимагачів та іншого зловмисного програмного забезпечення.

Згідно зі статистикою, якою Microsoft поділилася минулого місяця, приблизно 92% усіх підключених до Інтернету локальних серверів Exchange, які зазнали впливу цих вразливостей, зараз пропатчені та захищені від атак. Компанія також випустила інструмент локального виправлення (EOMT) Exchange, який допомагає власникам малого бізнесу швидко пом’якшити помилки безпеки, навіть без допомоги спеціальної команди безпеки. До того ж, Microsoft Defender Antivirus автоматично захищає ще не пропатчені сервери Exchange від постійних атак, автоматично пом’якшуючи вразливі місця.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як увімкнути записування відео HDR на iPhone? ІНСТРУКЦІЯ

Онлайн-шопінг у соцмережах: як не бути ошуканим?

Як правильно вибрати ноутбук? ПОРАДИ

Як безкоштовно надсилати захищені паролем електронні листи? ПОРАДИ

Нагадаємо, дослідники безпеки опублікували в Мережі PoC-експлойт для запуску шкідливого коду в Chrome, Edge, Vivaldi, Opera і інших браузерах на базі Chromium. Уразливість зачіпає JavaScript-движок V8 і вже виправлена в його вихідному коді, але виправлення поки ще не інтегровано ні з кодовою базою Chromium, ні з заснованими на ньому проектами.

Також дослідники виявили безліч уразливостей в популярних додатках, що допускають виконання довільного коду в системах користувачів всього лише за допомогою одного кліка. Саме тому такі баги отримали неформальне ім’я “уразливості одного кліка” (one-click vulnerabilities).

Розробники WhatsApp усунули дві небезпечні уразливості в Android-версії месенджера. Якщо зловмисник задіє ці дві уразливості в атаці, у нього з’явиться можливість виконати шкідливий код і віддалено зламати мобільний пристрій жертви.

Окрім цього, кіберзлочинці атакують уразливі сервери Microsoft Exchange з метою встановлення програмного забезпечення для майнінгу криптовалют у рамках шкідливої ​​кампанії, спрямованої на використання обчислювальних потужностей скомпрометованих систем для заробітку.

Ця стаття Сервери Microsoft Exchange знову атакували раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Виявлено раніше незафіксованого бекдора під назвою Vyveva, який використовувався для атаки на логістичну компанію. Шкідлива програма може перехоплювати файли та збирати інформацію про конкретний комп’ютер та його диски.

Під час дослідження виявлено тільки два інфіковані пристрої, які є серверами однієї логістичної компанії, що підтверджує цілеспрямованість атак. При цьому бекдор Vyveva використовувався щонайменше з грудня 2018 року.

Спеціалісти пов’язують це шкідливе програмне забезпечення з відомою групою кіберзлочинців Lazarus через загальні подібності з їх попередніми атаками.

“Шкідливий код Vyveva багато в чому схожий на інші зразки Lazarus. Крім цього, на Lazarus вказують використання фальшивого протоколу TLS під час мережевого з’єднання, порядок виконання командного рядка, а також методи застосування шифрування та служб Tor. Саме тому бекдор Vyveva можна впевнено відносити до інструментарію цієї APT-групи”, — коментує Філіп Юрчацко, дослідник ESET.

Зловмисники можуть дистанційно керувати ПК за допомогою бекдору Vyveva.

Бекдор виконує команди, які надходять від зловмисників, наприклад, операції з файлами та процесами, а також здійснює збір інформації. Для зв’язку з командним сервером (C&C) Vyveva використовує бібліотеку Tor. Зокрема бекдор з’єднується з C&C кожні 3 хвилини, відправляючи інформацію про інфікований комп’ютер та його диски до отримання команд.

“Особливий інтерес викликає система захисту бекдора, яка використовується для моніторингу підключених та відключених дисків. Тоді як таймер безпеки сеансу відслідковує кількість активних сеансів, наприклад, користувачів, які увійшли в систему. Ці компоненти можуть ініціювати з’єднання з командним сервером на додаток до звичайного, попередньо налаштованого інтервалу”, — пояснює дослідник.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як відновити видалені публікації чи історії в Instagram? ІНСТРУКЦІЯ

Як захистити Вашу конфіденційність в Інтернеті, якщо режим анонімного перегляду у Chrome виявився слабким?

Чому у Вас є як мінімум три мільярди причин змінити пароль облікового запису?

Злам веб-сайту: сім ознак, що свідчать про це

Як підвищити захист екаунта в Twitter? ПОРАДИ

Нагадаємо, що майже всі найпопулярніші програми Android використовують компоненти з відкритим вихідним кодом, але багато з цих компонентів застаріли і мають як мінімум одну небезпечну уразливість. Через це вони можуть розкривати персональні дані, включаючи URL-адреси, IP-адреси і адреси електронної пошти, а також більш конфіденційну інформацію, наприклад, OAuth-токени, асиметричні закриті ключі, ключі AWS і web-токени JSON.

Окрім цього, фахівці компанії AdaptiveMobile Security повідомили подробиці про небезпечну проблему в технології поділу мережі 5G. Уразливість потенційно може надати зловмисникові доступ до даних і дозволити здійснювати атаки типу “відмови в обслуговуванні” на різні сегменти мережі 5G оператора мобільного зв’язку.

Також дослідники безпеки виявили в Google Play і Apple App Store сотні так званих fleeceware-додатків, які принесли своїм розробникам сотні мільйонів доларів.

До речі, в даркнеті виявили оголошення про продаж підроблених сертифікатів про вакцинацію і довідок про негативний тест на Covid-19. Крім того, число рекламних оголошень про продаж вакцин від коронавірусу збільшилося на 300% за останні три місяці.

Двох зловмисників з Кривого Рогу викрили у привласненні 600 тисяч гривень шляхом перевипуску сім-карт. Отримавши мобільний номер, зловмисники встановлювали дані про особу, яка раніше його використовувала. Для цього вони авторизувалися у різних мобільних додатках, зокрема поштових служб, державних, комунальних та медичних установ, використовуючи функцію відновлення паролю.

Ця стаття Хакери використовують нову шкідливу програму для кібершпигунства раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Шкідлива програма Vadokrist використовує функціонал бекдора та поширюється через спам-повідомлення, спрямовані на фінансові установи.

На відміну від більшості банківських троянів Vadokrist не збирає інформацію про жертв відразу після проникнення на їх пристрої. Проте відповідно до дослідження ESET шкідлива програма має декілька подібних функцій до вже раніше виявлених троянів Amavaldo, Casbaneiro, Grandoreiro та Mekotio.

“Більшість латиноамериканських банківських троянів збирає інформацію про пристрій жертви під час першого запуску. Шкідлива програма Vadokrist отримує ім’я користувача тільки після початку атаки на певну фінансову установу”,— коментує дослідник Якуб Соучек.

Незважаючи на обмежені можливості збору інформації, Vadokrist може керувати мишею, імітувати введення за допомогою клавіатури, записувати натискання клавіш, робити знімки екрану та перезавантажувати пристрій.

“Також цей троян може блокувати доступ користувачів до банківських веб-сайтів за допомогою втручання у процес браузера, що дозволяє зловмисникам зберегти контроль над системою”, — додає Соучек.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як використовувати “Швидкі команди” на Apple Watch? – ІНСТРУКЦІЯ

Як змінити обліковий запис Google за замовчуванням на комп’ютері? – ІНСТРУКЦІЯ

Як використовувати Google Duo для здійснення відеодзвінків? – ІНСТРУКЦІЯ

Як додавати, редагувати або видаляти збережені паролі в Microsoft Edge? – ІНСТРУКЦІЯ

Як швидко очистити всі сповіщення на Mac? ІНСТРУКЦІЯ

Нагадаємо, американське розвідувальне співтовариство офіційно звинувачує російських хакерів у зламі SolarWinds. Підозрюють, що російські хакери, які фінансуються державою, зламали ІТ-компанію SolarWinds, яку вони потім використали як стартовий майданчик для проникнення в кілька урядових відомств США

Також дослідники з безпеки виявили нову родину програм-вимагачів, яка націлилася на корпоративні мережі, та попередили, що професійні кіберзлочинці вже вдарили по декількох організаціях за допомогою схеми шифрування файлів.

Окрім цього, браузер Edge буде постійно звіряти інформацію з базами даних про розсекречені логіни і паролі – користувачі отримуватимуть інформацію у разі виявлення діяльності з боку кібершахраїв. Також власникам пристроїв надаватимуть поради, що дозволяють змінити конфіденційні дані з метою збереження високого рівня безпеки.

За останніми даними, один із найбезпечніших месенджерів Signal набуває популярності як в Україні, так і в США. Навіть Ілон Маск підтримав хвилю популярності і порадив користуватися Signal у себе в Твіттері. У чому його переваги, читайте у статті.

Ця стаття Небезпечний троян атакує фінансові установи раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Компанії Microsoft, FireEye та GoDaddy об’єдналися у створенні перемикача-кіллера для бекдора SolarWinds Sunburst, який примушує це шкідливе програмне забезпечення згортати свою діяльність.

Минулого тижня стало відомо, що фінансовані Росією хакери зламали компанію SolarWinds та додали шкідливий код до файлу DLL Windows, що використовується їхньою платформою моніторингу Orion, пише Bleeping Computer.

Цей шкідливий файл є бекдор-системою, що відслідковується як Solarigate (Microsoft) або Sunburst (FireEye) і був розповсюджений за допомогою механізму автоматичного оновлення SolarWinds приблизно 18 тисячам клієнтів, включаючи Казначейство США, Національне управління телекомунікацій та інформації США (NTIA) та Міністерство національної безпеки США.

В рамках узгодженого розкриття інформації з Microsoft та SolarWinds FireEye опублікувала звіт з аналізом атаки ланцюга поставок та того, як працює бекдор Sunburst. Це дослідження показало, що бекдор Sunburst підключатиметься до командного та контрольного сервера (C2) на піддомені avsvmcloud[.]сom, щоб отримувати “завдання” або команди для виконання.

У звіті FireEye також виявлено, що якщо сервер C2 вирішить проблему з IP-адресою в одному з наступних діапазонів:

• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16
• 224.0.0.0/3
• fc00:: – fe00::
• fec0:: – ffc0::
• ff00:: – ff00::
• 20.140.0.0/15
• 96.31.172.0/24
• 131.228.12.0/22
• 144.86.226.0/24

Після цього шкідливе програмне забезпечення завершить роботу та оновить налаштування, тому шкідливе програмне забезпечення більше ніколи не запускатиметься.

Вчора домен контрольного та командного avsvmcloud[.]сom був вилучений і тепер переходить на IP-адресу 20.140.0.1, яка належить корпорації Microsoft. Це поглинання домену дозволяє корпорації Microsoft та її партнерам виявити зловмисний трафік та проаналізувати його для виявлення подальших жертв.

У заяві, надісланій Bleeping Computer, FireEye пояснює, що вони використовували поглинання avsvmcloud[.]com для створення перемикача-кіллера, який вивантажує шкідливе програмне забезпечення Sunburst на заражені машини.

“SUNBURST – це шкідливе програмне забезпечення, яке поширювалося через програмне забезпечення SolarWinds. В рамках аналізу SUNBURST FireEye ми виявили кіллера, який заважав SUNBURST продовжувати працювати. Цей убивчий ключ вплине на нові та попередні зараження SUNBURST, вимкнувши розгортання SUNBURST”, – заявила FireEye.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Онлайн-шопінг перед святами: п’ять правил безпеки

Як переказати кошти за допомогою Google Pay? – ІНСТРУКЦІЯ

Як шукати відкриті вкладки у Google Chrome? – ІНСТРУКЦІЯ

Чим відеочат відрізняється від особистого спілкування?

Як захистити онлайн-платежі на Вашому смартфоні від зазіхань хакерів? ПОРАДИ

Як вимкнути надокучливий звук сповіщень у WhatsApp? – ІНСТРУКЦІЯ

Зверніть увагу, що у 2021 році продовжать удосконалюватися програми-вимагачі та складні загрози без використання файлів. Крім цього, у центрі уваги знову опиняться проблеми безпеки Інтернету речей, зокрема численні уразливості у “розумних” інтимних іграшках.

До речі, цифрові помічники – це чудові інструменти для отримання інформації, швидких розрахунків, придбання рецептів продуктів харчування, пошуку місць розташування, управління своїми розумними домашніми пристроями тощо. Однак з точки зору безпеки та конфіденційності Ви можете здивуватися, наскільки ці чудові служби знають багато про Вас інформації.

Також сьогодні практично у кожного в кишені лежить смартфон, тому є сенс використовувати його для безконтактної оплати речей. Ось тут з’являються мобільні платіжні платформи, такі як Google Pay. Однак за допомогою Google Pay можна робити набагато більше, ніж просто платежі. Нещодавно Google cуттєво оновила Google Pay – там з’явилася купа нових функцій.

Ця стаття Створили перемикача-кіллера для бекдора, який поширювався через заражений софт SolarWinds раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Виявили раніше невідомий бекдор під назвою Crutch та програми для викрадення документів. Ці шкідливі інструменти для кібершпигунства, які використовувались з 2015 року принаймні до початку 2020 року, дослідники пов’язують з відомою групою кіберзлочинців Turla.

Дослідники ESET виявили бекдор Crutch у мережі Міністерства закордонних справ у країні Європейського Союзу, що дозволяє припустити зосередженість кіберзлочинців на конкретних цілях. Ці інструменти були розроблені для завантаження викрадених конфіденційних документів та інших файлів до облікових записів Dropbox, які контролювалися операторами Turla.

“Основна шкідлива діяльність групи Turla — це викрадення документів та інших конфіденційних файлів. Витонченість атак та виявлені технічні деталі підтверджують наявність значних ресурсів у групи Turla для роботи з таким великим та різноманітним арсеналом, — коментує Матьє Фау, дослідник ESET. — Крім того, Crutch може обійти деякі рівні безпеки, несанкціоновано використовуючи легітимну інфраструктуру, в даному випадку Dropbox, з метою проникнення в звичайний мережевий трафік та викрадення документів”.

Для приблизного визначення годин роботи кіберзлочинців дослідники експортували час завантаження ZIP-файлів в облікові записи Dropbox. Для цього було зібрано 506 різних часових міток в період з жовтня 2018 року до липня 2019 року, які вказують на години активності зловмисників, а не роботи пристроїв жертв. Відповідно оператори, швидше за все, працюють у часовому поясі UTC+3.

Під час дослідження спеціалісти виявили зв’язок між завантажувачем Crutch 2016 року та Gazer. Останній, також відомий як WhiteBear, є додатковим бекдором, який використовувався кіберзлочинцями Turla в 2016-2017 роках.

Варто нагадати, що група кіберзлочинців Turla активна більше десяти років та займається кібершпигунством. Зокрема зловмисники атакують урядові установи у всьому світі, особливо дипломатичні організації, використовуючи великий набір шкідливих програм.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як увімкнути новий зчитувач PDF від Google Chrome? – ІНСТРУКЦІЯ

Як надавати дозволи, зокрема, тимчасові для програм на Android? – ІНСТРУКЦІЯ

Нова macOS Big Sur: 10 порад щодо налаштування та використання ОС

Як заборонити друзям із Facebook надсилати Вам повідомлення в Instagram? – ІНСТРУКЦІЯ

Як захисти свої пристрої під час віддаленої роботи з дому? ПОРАДИ

До речі, кібершахраям в черговий раз вдалося обійти захист офіційного магазину додатків для Android – Google Play Store, у результаті чого понад мільйон користувачів постраждали від фейковий модів для популярної гри Minecraft.

Зверніть увагу, що оператори відеосервісу TikTok усунули дві уразливості, які в комбінації дозволяють без особливих зусиль отримати контроль над чужим екаунтом. Одна з уразливостей була присутня на сайті, інша з’явилася в клієнтському додатку.

Також дослідники з кібербезпеки повідомили про зростання кількості кібератак, що використовують сервіси Google в якості зброї для обходу засобів захисту і крадіжки облікових даних, даних кредитних карт та іншої особистої інформації.

У мобільній версії додатка Facebook Messenger усунули уразливість, за допомогою якої можна було прослуховувати оточення абонента. За свідченням експерта, який знайшов баг, таємне підключення до цільового Android-пристрою у даному випадку виконується за кілька секунд.

П’ятеро фігурантів видавали себе за IT-спеціалістів фінансової установи. Під виглядом “тестування платіжної системи” вони здійснили незаконні перекази грошей на підконтрольні рахунки. У результаті таких дій вони незаконно привласнили 1,4 мільйона гривень банківської установи.

Ця стаття Dropbox використовують у схемах кібершпигунства раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Компанія з кібербезпеки Bitdefender виявила нову групу хакерів, яка наразі атакує різні компанії по всьому світу за допомогою зловмисного програмного забезпечення, прихованого всередині плагінів для 3Ds Max.

3Ds Max – це програма для комп’ютерної графіки в 3D, розроблена програмним гігантом Autodesk і вона зазвичай встановлюється та використовується інженерними, архітектурними, ігровими або програмними компаніями.

Раніше цього місяця, 10 серпня, Autodesk опублікував попередження про небезпеку зловмисного плагіна під назвою “PhysXPluginMfx”, який зловживав MAXScript – утилітою сценаріїв, яка постачається із програмним забезпеченням 3Ds Max, повідомляє ZDNet.

Компанія попередила користувачів, що, після установки на 3Ds Max, плагін PhysXPluginMfx виконуватиме зловмисні операції MAXScript для пошкодження параметрів 3Ds Max – а саме запускає шкідливий код, а також розповсюджує та заражає інші файли MAX (* .max) у системі Windows та робить так, щоб зловмисне програмне забезпечення поширилося на комп’ютери інших користувачів, які отримували та відкривали файли проектів 3Ds Max.

Bitdefender, співробітники якого вивчали цей шкідник, заявили що метою цього плагіна в дійсності є розгортання трояна-бекдора, який хакери могли використовувати для сканування заражених  комп’ютерів на чутливі файли та згодом крадіжки важливих документів.

Румунська фірма з питань кібербезпеки також заявила, що вона проводила розслідування та змогла підтвердити атаки принаймні на одну ціль – міжнародну компанію з архітектурної та відеопродукції, яка зараз займається архітектурними проектами з забудовниками. що спеціалізуються на розкішній нерухомості та мають свої підрозділи на чотирьох континентах. Інформація, зібрана під час цього розслідування, показала, що хакери використовували сервер команд та контролю (C&C), який знаходився в Південній Кореї.

“Дивлячись на власну телеметрію, ми виявили інші зразки, які надсилали дані на той же сервер C&C. Це означає, що група не обмежувалася лише розробкою зразків для жертви, яку ми досліджували”, пише Ліві Арсен, старший дослідник загроз з компанії Bitdefender в електронному листі.

Згідно з Bitdefender, ці додаткові зразки зловмисного програмного забезпечення так само ініціювали з’єднання з сервером C&C з таких країн, як Південна Корея, США, Японія та Південна Африка, що дозволяє припустити, що група хакерів також могла атакувати інших непідтверджених жертв у цих країнах. Ці з’єднання зразків програми з сервером були помічені ще в липні, але це не означає, що хакерська група почала діяти ще місяць тому, і хакери могли  легко використовувати інший сервер для старих операцій.

“Якщо витонченість цього розслідуваного нападу є єдиною характеристикою групи, вони, здається, мають чітке розуміння того, що вони роблять, і вони могли деякий час уникати уваги спецслужб”, – сказав Арсен.

Хоча деталі про цілі та операції цієї групи залишаються багато в чому  таємницею, схоже, дослідники Bitdefender вважають, що ця група є ще одним прикладом витонченої групи найманців, яка надає послуги різним акторам, промислового шпигунства.

Хоча звіт Bitdefender не містить інформації, яка підтверджує цю оцінку, якщо це правда, це зробило б цю групу третьою групою хакерів-найманців, яку викрили в цьому році після Dark Basin (серед жертв -індійська компанія BellTrox та інші інвестиційні компанії ) та DeathStalker (раніше названа Deceptikons, атакувала європейські юридичні фірми).

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як швидко знайти системні налаштування у Windows 10? – ІНСТРУКЦІЯ

Як допомогти Gmail розпізнавати спам та заблокувати небажані листи?

10 кращих додатків для обміну повідомленнями на Android

Як поділитися своїм місцезнаходженням з друзями на iOS і Android? ІНСТРУКЦІЯ

Як відформатувати текст у Google Таблицях? ІНСТРУКЦІЯ

Фішингову кампанію з використанням бренду Netflix виявили фахівці з кібербезпеки. Зловмисники розсилають користувачам листи з повідомленням про заборгованість і вимогою змінити платіжні дані для продовження підписки.

Також сервіс “Карти” від Google зараз активно удосконалюють, щоб полегшити розрізнення природних особливостей навколишнього середовища – щоб люди могли побачити з великою точністю, де розташовані гірські крижані шапки, пустелі, пляжі чи густі ліси. За даними Google, нові “Карти” будуть доступні у 220 країнах та окремих територіях, які зараз підтримуються програмою – “від найбільших мегаполісів до малих селищ”.

Зверніть увагу, щойно відкритий дослідниками P2P-ботнет уразив щонайменше 500 урядових та корпоративних серверів SSH протягом 2020 року.  Фірма з кібербезпеки Guardicore опублікувала дослідження FritzFrog, однорангового (P2P) ботнету, який було виявлено за допомогою устаткування компанії з січня цього року.

До речі, Huawei підтвердила, що Android-пристрої її виробництва як і раніше будуть отримувати оновлення функціоналу та патчі безпеки. Як повідомили представники Huawei порталу Huawei Central, компанія продовжить оновлювати свої смартфони (в тому числі Honor) з передвстановленим магазином додатків Google Play і Huawei Mobile Services.

Microsoft випустила позапланове оновлення KB4578013, що виправляє дві уразливості підвищення привілеїв в сервісі віддаленого доступу (Windows Remote Access).

Ця стаття В плагінах для програм 3D-моделювання знайдене зловмисне ПЗ раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Обережно! Бекдор під виглядом Gmail отримує доступ до Ваших даних

Нова версія бекдора ComRAT відомої групи кіберзлочинців Turla (також відома як Snake), яка активна понад десять років, використовує веб-інтерфейс Gmail для отримання команд та викрадення даних.

Бекдор дозволяє викрадати конфіденційні документи, і з 2017 року він використовувався для атак щонайменше на три урядові установи. Фахівці з кібербезпеки компанії ESET знайшли ознаки використання останньої версії ComRAT на початку 2020 року, що підтверджує високу активність групи Turla до сьогодні. Оновлений бекдор використовує абсолютно новий код і має набагато складніший функціонал, ніж його попередні версії.

Як правило, ComRAT використовується для викрадення конфіденційних даних. В деяких випадках кіберзлочинці навіть розгортали виконуваний файл .NET для взаємодії з центральною базою даних MS SQL Server жертви, що містить документи організації. Оператори шкідливих програм використовували загальнодоступні хмарні сервіси, такі як OneDrive та 4shared для викрадення даних. Остання версія бекдора Turla може виконувати багато інших дій на інфікованих комп’ютерах, наприклад, завантажувати додаткові програми.

“Високий рівень складності функціоналу шкідливого програмного забезпечення групи кіберзлочинців дозволяє уникати виявлення програмами з безпеки та тривалий час залишатися на одних і тих же пристроях,— пояснює Матьє Фау, дослідник компанії ESET. — Крім того, остання версія бекдора ComRAT здатна обійти деякі заходи контролю безпеки за допомогою використання веб-інтерфейсу Gmail, оскільки вона не залежить від будь-якого шкідливого домену”.

Варто зазначити, що бекдор ComRAT, також відомий під назвою Agent. BTZ, став відомим після його використання для зламу систем збройних сил США у 2008 році. Перша версія цього шкідливого ПЗ, ймовірно випущена у 2007 році, продемонструвала можливості комп’ютерного черв’яка, поширюючись через змінні диски.

Також радимо звернути увагу на поради, про які писав Cybercalm, а саме:

“БАТЬКІВСЬКИЙ КОНТРОЛЬ” У WINDOWS 10: ЯК НАЛАШТУВАТИ?

ЯК ОБМЕЖИТИ ЕКРАННИЙ ЧАС У WINDOWS 10? – ІНСТРУКЦІЯ

ЯК ЗАХИСТИТИ GOOGLE ДИСК ЗА ДОПОМОГОЮ TOUCH ID АБО FACE ID?

ЯК ОЧИСТИТИ ІСТОРІЮ В УСІХ МОБІЛЬНИХ БРАУЗЕРАХ? ІНСТРУКЦІЯ

Нагадаємо, з’явився новий модульний бекдор, який використовує група кіберзлочинців Winnti для атак на розробників масових мережевих онлайн-ігор (ММО). Щонайменше в одній із компаній-розробників ігор зловмисники скомпрометували сервер управління збіркою, що дозволило їм отримати контроль над автоматизованими системами збірки.

Також група німецьких і італійських вчених розробили нову атаку, що дозволяє обійти поділ між технологіями Wi-Fi і Bluetooth, використовуваними на одному пристрої (смартфоні, ноутбуках і планшетах). Атака, що отримала назву Spectra, працює на “комбінованих” чипах, що обробляють різні види бездротового зв’язку, в тому числі Wi-Fi, Bluetooth, LTE тощо.

Окрім цього, зловмисники постійно удосконалюють свій інструментарій та знаходять нові способи інфікування великої кількості пристроїв. Одним із розповсюджених методів проникнення шкідливих програм на комп’ютери жертв стало використання експлойтів, які забезпечують швидке поширення загрози.

Зверніть увагу, компанія Microsoft дещо вдосконалить набір своїх функцій доступності для Windows 10.  Зокрема, розробники спеціально зосередилися на тому, щоб текстовий курсор було легше бачити та слідкувати за ним за допомогою вбудованої функції лупи.

До речі, у фірмовому месенджері від Google може з’явитися наскрізне шифрування. Принаймні користувачі сайту 9to5Google виявили у месенджері Google Messages кілька рядків відповідного коду.

Ця стаття Обережно! Бекдор під виглядом Gmail отримує доступ до Ваших даних раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар