За даними AV-TEST Institute, станом на початок 2025 року загальна кількість відомих зразків шкідливого програмного забезпечення перевищила 1,56 мільярда — і щодня фіксується ще близько 450–560 тисяч нових загроз. Розробка шкідливого ПЗ перетворилася на прибутковий кримінальний бізнес: у 2024 році середня сума викупу за ransomware-атаку досягла 2 мільйонів доларів, а збитки від кіберзлочинності у світі перевищили 10 трильйонів доларів на рік. Розуміти типи загроз і знати базові правила цифрової гігієни — перший і найважливіший крок до захисту.

Класифікація шкідливого програмного забезпечення

Традиційні (файлові) віруси

Найстаріший і найпростіший різновид шкідливого ПЗ — програми, що заражають виконувані файли або видаляють дані з комп’ютера. Прямої фінансової вигоди своїм авторам не приносять, якщо не розроблялися як кіберзброя. Переважна більшість сучасних антивірусів виявляє та нейтралізує файлові віруси автоматично.

Троянські програми (трояни)

Шкідливе ПЗ, що маскується під корисні або безпечні програми — ігри, утиліти, плагіни, оновлення. Функціонал варіюється від прихованого стеження за системою до знищення файлів за командою з віддаленого сервера. Окремий підвид — банківські трояни, що перехоплюють облікові дані для доступу до фінансових рахунків. В Україні найбільш активними традиційно є трояни сімейства Trojan.Agent.Win32, націлені на паролі та дані платіжних карток.

Програми-вимагачі (ransomware)

Найнебезпечніша і найприбутковіша категорія сучасних загроз. Шифрує файли на комп’ютері жертви та вимагає викуп за ключ розшифрування. У 2024 році 59% організацій у світі зазнали ransomware-атаки, а середня вартість відновлення після неї склала 2,73 мільйона доларів. В Україні добре відомий вірус-шифрувальник Petya (NotPetya), який у червні 2017 року паралізував роботу сотень підприємств. Сучасні вимагачі, зокрема STOP/Djvu, активно поширюються через «зламані» ігри та піратське ПЗ на торент-трекерах. Єдиний надійний захист від повної втрати даних — регулярне резервне копіювання на ізольований носій.

Мережеві черв’яки

Шкідливе ПЗ, що самостійно поширюється мережею, не потребуючи участі користувача. Використовується для розсилання спаму, формування ботнетів (мереж із заражених комп’ютерів, керованих зловмисниками) та проведення DDoS-атак. Можуть проникати в систему через вразливості операційної системи або застарілого програмного забезпечення. Приклад: ботнет Kimwolf, що у 2025 році атакував пристрої на Android, зокрема смарт-телевізори.

Сніфери та руткіти

Сніфери фіксують усі дії на комп’ютері — введення паролів, листування, відвідані сайти — і передають зібрані дані зловмисникам. Руткіти надають зловмисникам повний прихований доступ до системи: вони не лише стежать, а й дозволяють дистанційно керувати комп’ютером. Обидва типи відносяться до категорії шпигунського ПЗ (spyware) і є складними програмами, що зазвичай потрапляють у систему через фішингові посилання в електронних листах та месенджерах.

Безфайлове шкідливе ПЗ (fileless malware)

Відносно новий і надзвичайно небезпечний тип загроз, що не залишає файлів на диску — шкідливий код виконується безпосередньо в оперативній пам’яті, використовуючи легітимні системні інструменти (наприклад, PowerShell у Windows). Через відсутність фізичних файлів традиційні антивіруси часто не виявляють таке ПЗ. Захист потребує сучасних рішень з поведінковим аналізом.

Крипто-майнери

Програми або скрипти, що використовують обчислювальні ресурси комп’ютера для видобутку криптовалюти без відома користувача. Бувають двох видів: ті, що заражають систему (діючи як черв’яки), і браузерні, що активуються лише під час перегляду певних сайтів. Не завжди руйнівні, але суттєво уповільнюють роботу системи та скорочують ресурс обладнання через постійне перевантаження. На ноутбуках зі слабким охолодженням можуть призводити до перегрівання та виходу з ладу.

Макровіруси

Шкідливий код, вбудований у документи Microsoft Office (Word, Excel) у вигляді макросів. Активується при відкритті документа з «сюрпризом» і заражає всі подальші документи, що відкриваються в цій програмі. Поширюється переважно через вкладення в електронній пошті та корпоративні файлообмінники. Захист: вимкнути автозапуск макросів у параметрах Office.

Бекдори

Приховані «входи» в операційну систему або програму, що дозволяють стороннім особам отримати доступ до комп’ютера в обхід стандартних механізмів захисту. На відміну від руткіта, бекдор може бути закладений ще на етапі розробки програмного забезпечення. Особливу небезпеку становлять бекдори в ПЗ від виробників із зв’язками з ворожими державними структурами.

Псевдоантивіруси та scareware

Програми, що видають себе за антивіруси або системні утиліти, але насправді засмічують комп’ютер рекламою, вимагають гроші за «лікування» або приховують справжнє шкідливе ПЗ. Часто поширюються через спливаючі банери на сайтах з піратським контентом та неліцензійним ПЗ. Практичне правило: легітимний антивірус не вимагає оплати безпосередньо у спливаючому вікні.

Мобільне шкідливе ПЗ

Загрози для смартфонів і планшетів зростають стрімко. У 2024 році зафіксовано 45-відсоткове збільшення кількості пристроїв, що підключаються до небезпечних мереж. Найпоширеніші типи мобільних загроз — банківські трояни та рекламне ПЗ (adware). Шкідливі застосунки проникають на пристрої переважно через неофіційні магазини APK-файлів, а також через підроблені версії популярних застосунків.

Як захистити себе: практичні поради

Встановіть надійний антивірус. Сучасні версії Windows 10/11 мають вбудований Microsoft Defender — повноцінний антивірусний захист, який у тестах AV-Comparatives та AV-TEST стабільно показує рівень виявлення загроз понад 99%. Для додаткового захисту варто розглянути Bitdefender, ESET, Malwarebytes або інші продукти з топ-рейтингів AV-TEST та AV-Comparatives. Kaspersky та інші продукти виробників із задокументованими зв’язками з російськими спецслужбами використовувати категорично не рекомендується — відповідне попередження діє як в Україні, так і в більшості країн ЄС та США, де у 2024 році продаж Kaspersky офіційно заборонено.

Регулярно оновлюйте систему та програми. Більшість успішних атак — зокрема сумнозвісний NotPetya — стали можливими через вразливості в застарілому ПЗ. Увімкніть автоматичне оновлення Windows та інших програм. Одразу встановлюйте оновлення безпеки.

Робіть резервні копії за правилом 3-2-1. Зберігайте три копії важливих даних на двох різних носіях, одна з яких знаходиться офлайн або в іншому місці. Хмарні сервіси (Google Drive, Microsoft OneDrive) зручні, але не замінюють автономного резервного носія — у разі ransomware-атаки синхронізовані хмарні файли також можуть бути зашифровані.

Перевіряйте посилання та вкладення в листах і месенджерах. Майже 90% кіберзагроз розповсюджується через фішинг та методи соціальної інженерії. Не відкривайте вкладення та не переходьте за посиланнями з незнайомих адрес. Навіть якщо повідомлення надійшло від знайомої людини, але виглядає незвично — зв’яжіться з відправником іншим каналом перед тим, як відкривати файл. Уважно перевіряйте адресний рядок браузера: фішинговий сайт може виглядати точно як сторінка банку чи соціальної мережі.

Увімкніть двофакторну автентифікацію (2FA). Навіть якщо зловмисники отримали ваш пароль, другий фактор (код з SMS або застосунку-автентифікатора) не дасть їм увійти до облікових записів. Особливо важливо захистити так електронну пошту, банківські додатки та месенджери.

Використовуйте тільки ліцензійне програмне забезпечення. «Кряки», генератори серійних номерів і піратські дистрибутиви — одне з найпоширеніших джерел зараження. Зловмисники навмисно вбудовують шкідливе ПЗ у такі файли, розраховуючи на те, що жертва сама запустить їх із правами адміністратора.

Перевіряйте флеш-носії перед відкриттям. Сканируйте антивірусом будь-який зовнішній носій перед використанням. Вимкніть автозапуск для портативних носіїв у налаштуваннях Windows.

Не працюйте з правами адміністратора постійно. Для виконання більшості повсякденних завдань достатньо прав звичайного користувача. Це суттєво обмежує можливості шкідливого ПЗ у разі зараження.

Для смартфонів: встановлюйте застосунки тільки з офіційних магазинів (Google Play, Apple App Store). Уникайте APK-файлів з неофіційних джерел. Регулярно оновлюйте операційну систему та застосунки.

Ця стаття Які бувають типи шкідливого ПЗ і як від них захиститися раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Зараз відомий вимагач MountLocker почав використовувати корпоративні API Windows Active Directory для проникнення через мережі та зараження нових систем, про що повідомляє BleepingComputer.

MountLocker почав діяти з липня 2020 року як Ransomware-as-a-a-service (RaaS), де розробники відповідають за створення програмного забезпечення, сервера управління, рахунків,  куди мають перерахувати викуп, а філії  відповідають  за проникнення на комп’ютери та шифрування даних на пристроях (причому користуватися послугами філії може група, яка не має відношення до розробників).

В рамках цієї домовленості основна команда MountLocker отримує 20-30% викупного платежу, тоді як філія отримує решту .У березні 2021 року виникла нова група подібних програм під назвою AstroLocker, яка почала використовувати спеціальну версію програми-вимагача  MountLocker з посиланнями, що вказують на власні сайти платежів та шляхи витоку даних.

“Це не ребрендинг – ймовірно, ми можемо визначити це як союз”, – кажуть особи, які представляють AstroLocker , у відповідь на запитання про зв’язок з авторами MountLocker.

Нарешті, у травні 2021 року виникла третя група під назвою ‘XingLocker’, яка також використовує спеціально модифікований виконуваний файл програми MountLocker.

MountLocker прокладає шлях до інших пристроїв

Цього тижня MalwareHunterTeam поділилася зразком того, що вважалося новим виконуваним файлом MountLocker, який містить нову функцію черв’яка, яка дозволяє йому поширюватися та шифруватися на інших пристроях у мережі. Після встановлення зразка команда BleepingComputer підтвердила, що це спеціальний зразок, написаний для команди XingLocker.

Короткий аналіз визначив, що замовник може увімкнути функцію хробака, запустивши зразок шкідливого програмного забезпечення за допомогою аргументу командного рядка /NETWORK. Оскільки для цієї функції потрібен домен Windows, їхні тести швидко провалились, як показано нижче.

Повідомлення про налагодження для функції MountLocker Worm

Поділившись зразком програми із генеральним директором Advanced Intel Віталієм Кремезом, редакція BleepingComputer виявила, що MountLocker зараз використовує API інтерфейсів служб Windows Active Directory як частину своєї функції черв’яків. Спочатку програма-вимагач використовує функцію NetGetDCName () для отримання імені контролера домену. Потім він виконує запити LDAP щодо ADS контролера домену, використовуючи функцію ADsOpenObject () з обліковими даними, переданими в командному рядку.

Використання API інтерфейсів служб Active Directory

Після підключення до служб Active Directory він буде переглядати базу даних для об’єктів ‘objectclass = computer’, як показано на зображенні вище. Для кожного виявленого об’єкта MountLocker спробує скопіювати виконуваний файл програми-вимагача  папку \\C$\ProgramData віддаленого пристрою. Потім програма-вимагач віддалено створить службу Windows, яка завантажує виконуваний файл, щоб він міг продовжити шифрування пристрою.

Використовуючи цей API, програма-вимагач може знайти всі пристрої, які є частиною зламаного домену Windows, і зашифрувати їх, використовуючи вкрадені облікові дані домену.

“Багато корпоративних середовищ покладаються на складні системи активних каталогів і на комп’ютер користувача у той же самий час. Зараз MountLocker – це перше відоме програмне забезпечення,  яке використовує унікальну корпоративну архітектурну інформацію для переваги визначення додаткових цілей для шифрування за межами звичайної мережі та спільного сканування”, – сказав Кремез у розмові про шкідливе програмне забезпечення. “Це квантовий зсув професіоналізації розробки програм-вимагачів для експлуатації корпоративних мереж” .

Оскільки мережеві адміністратори Windows зазвичай використовують цей API,  Кремез вважає, що група розробників, яка додала цей код до оригінальної програми, мабуть, має певний досвід адміністрування домену Windows.

Хоча цей API бачили і в інших шкідливих програмах, таких як TrickBot, це може бути першим “корпоративним вимагачем для професіоналів”, який використовує ці API для здійснення розвідки та розповсюдження на інші пристрої.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як завантажити дані Google Maps? ІНСТРУКЦІЯ

Психічне здоров’я у дітей від соцмереж і смартфонів не страждає – ДОСЛІДЖЕННЯ

Як створити надійний пароль? ПОРАДИ

Як вберегти свої банківські рахунки від кіберзлочинців? ПОРАДИ

Що таке FLoC Google і як він буде відстежувати Вас в Інтернеті?

До речі, пандемія спричинила нову хвилю цифрової трансформації у всьому світі. І державні установи не залишилися осторонь цього процесу. Завдяки розширенню цифрової інфраструктури, зокрема створенню нових додатків та сервісів, віддалених робочих місць та переходу в хмарне середовище, кількість потенційних векторів атак збільшилася.

Також повністю модульний ноутбук з ОС Windows від Framework тепер готовий до попереднього замовлення за базовою ціною у $999. Клієнти можуть розміщувати замовлення на веб-сайті Framework. 13,5-дюймовий ноутбук складається повністю з модульних деталей, включаючи материнську плату, яку ви можете легко поміняти та замінити.

Кілька редакцій Windows 10 версій 1803, 1809 та 1909 досягли кінця обслуговування (EOS), починаючи з травня , про що Microsoft нагадала нещодавно. Пристрої з випусками Windows 10, які досягли EoS, більше не отримуватимуть технічну підтримку, а також щомісячні виправлення помилок та безпеки, щоб захистити їх від останніх виявлених загроз безпеки.

Окрім цього, після вступу в силу нової політики Google в описі додатків з’явиться додатковий розділ з інформацією про те, до яких даними має доступ продукт. У розробників буде можливість розповісти користувачам про те, для чого додаткам потрібен доступ до тих або інших даних і як їх обробка впливає на загальну функціональність.

Ця стаття Вимагач MountLocker використовує API Windows для зараження корпоративних мереж раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Дослідник безпеки з компанії ESET Lukas Stefanko повідомив про нову шкідливу програму для Android-пристроїв, яка автоматично поширюється через повідомлення в WhatsApp. Головне призначення шкідливого ПЗ полягає в тому, щоб змусити користувачів попастися на шахрайство з рекламним ПЗ або підпискою.

“Шкідливе ПЗ поширюється через додаток WhatsApp жертви шляхом автоматичної відправки відповідей на будь-які повідомлення в WhatsApp, що містять посилання на шкідливий мобільний додаток Huawei Mobile”, – повідомив Стефанко.

Посилання на підроблений додаток Huawei Mobile переадресовує користувачів на сайт, дуже схожий на Google Play Store. Після встановлення на пристрої шкідливий додаток запитує доступ до повідомлень, який потім використовує для здійснення атаки. Зокрема, його цікавить функція швидкої відповіді в WhatsApp, що використовується для відповіді на вхідні повідомлення безпосередньо з повідомлень.

Крім читання повідомлень, додаток також запитує дозволи на роботу у фоновому режимі та перекриття будь-якого іншого працюючого на пристрої додатка своїм власним вікном, яке може використовуватися для крадіжки облікових даних.

У своїй поточній версії шкідливий код здатний відправляти автоматичні відповіді тільки контактам жертви в WhatsApp, але в майбутніх версіях може з’явитися можливість відправки відповідей і в інших додатках, що підтримують функцію швидких відповідей в Android.

Хоча повідомлення відправляється одному і тому ж контакту тільки один раз на годину, вміст повідомлення і посилання на додаток витягуються з віддаленого сервера, а значить, шкідливе ПЗ може бути використано для поширення і інших шкідливих сайтів і додатків.

https://youtu.be/XXi29noe2NE

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як дізнатися, які дані Google знає про Вас і видалити їх? – ІНСТРУКЦІЯ

Як не стати жертвою кібератаки? ПОРАДИ

Чи варто користуватися WhatsApp? П’ять правил безпеки від найбільш розшукуваного хакера світу

П’ять небезпечних типів файлів, що можуть містити шкідливе ПЗ

Що таке Google Assistant та що він може робити?

Нагадаємо, Apple займається розробкою, яка буде розрізняти користувачів смартфонів за новою технологією. Йдеться про так звану теплову карту особи, яка, як і відбитки пальців, є унікальною. Обдурити цю систему захисту буде практично неможливо.

Також корпорація Microsoft випускає вбудований генератор паролів та функцію моніторингу витоків облікових даних у системах Windows та macOS, що працюють з останньою версією Microsoft Edge.

Окрім цього, багатофункціональний “шкідник” VPNFilter, якому вдалося інфікувати 500 тисяч роутерів у 54 країнах, хоч і був дезактивований два роки тому, однак досі не вичищений із сотень мереж. Такі невтішні результати чергової перевірки, яку провели дослідники з Trend Micro.

До речі, викрадена база даних, яка містить імена, адреси електронної пошти та паролі користувачів Nitro PDF, безкоштовно розповсюджується в Мережі. Загалом база даних налічує понад 77 мільйонів записів.

Ця стаття Через WhatsApp поширюється небезпечний “черв’як” для Android раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Команда з п’яти дослідників безпеки протягом трьох місяців проаналізувала кілька онлайн-сервісів Apple і виявила 55 уразливих місць, 11 з яких є критичними за ступенем серйозності, повідомляє TheHackerNews.

Список містить 29 уразливостей високого ступеня тяжкості, 13 уразливостей середнього ступеня тяжкості та 2 уразливості низького ступеня тяжкості, які могли дозволити зловмисникові повністю скомпрометувати як програми клієнтів, так і співробітників, запустити “черв’яка”, здатного автоматично захопити обліковий запис iCloud жертви, або навіть отримати вихідний код внутрішніх проектів Apple, повністю компрометувати програмне забезпечення для промислового контролю Apple, та навіть імітувати дії співробітників Apple завдяки можливості доступу до інструментів управління та чутливих ресурсів.

Щонайменше зловмисник міг легко захопити обліковий запис користувача iCloud та викрасти всі фотографії, інформацію календаря, відео та документи, крім того, ще пересилав той самий експлойт усім контактам жертви.

Про відкриті уразливості повідомляв незалежний дослідник Сем Каррі разом із Бреттом Бургаузом, Беном Садегіпуром, Самуелем Ербом та Таннером Барнсом протягом трьох місяців між липнем і вереснем. Після того, як про це дослідники легально повідомили компанію Apple, виробник iPhone вжив заходів, щоб виправити недоліки протягом 1-2 робочих днів, а кілька інших було виправлено протягом короткого періоду 4-6 годин. На сьогоднішній день Apple  виправила 28 із 55 уразливостей, виплативши дослідникам  288500 доларів у рамках своєї програми пошуку помилок.

Критичні помилки, на які звернули увагу Сем Каррі та команда, такі:

• Віддалене виконання коду за допомогою обходу авторизації та автентифікації;
• Обхід автентифікації через неправильно налаштовані дозволи, який дозволяє доступ до глобального адміністратора;
• Віддалене виконання коду за допомогою інструменту адміністратора. щодо екаунти якого може бути витік;
• Витік пам’яті призводить до плутанини між обліковими засобами працівників фірми та обліковими записами користувачів, що дозволяє отримати доступ до різних внутрішніх програм;
• Wormable Stored XSS дозволяє зловмисникові повністю компрометувати екаунт жертви на iCloud;
• SSRF з повною реакцією дозволяє зловмиснику читати внутрішній вихідний код та отримувати доступ до захищених ресурсів;
• Blind XSS дозволяє зловмисникові отримати доступ до внутрішнього порталу підтримки для відстеження проблем клієнтів та співробітників;
• Виконання PhantomJS на стороні сервера дозволяє зловмиснику отримати доступ до внутрішніх ресурсів та отримати ключі AWS IAM тощо.

Одним із доменів Apple, де були уразливості, був сайт Apple Distinguished Educators (“ade.apple.com”),  і ці  вразливості дозволяли здійснювати обхід автентифікації за допомогою пароля за замовчуванням (“### INvALID #%! 3”), дозволяючи зловмиснику отримати доступ до консолі адміністратора та виконати довільний код. Подібним чином, баг у процесі скидання пароля, пов’язаний із додатком DELMIA Apriso, системою управління складом продукції, дав змогу створювати та модифікувати поставки, інформацію про запаси, перевіряти значки співробітників і навіть повністю контролювати програмне забезпечення, створюючи користувачів з адміністаторськими повноваженнями.

Окрему уразливість виявили також у службі Apple Books for Authors, яка використовується авторами для написання та публікації своїх книг на платформі Apple Books. Зокрема, використовуючи інструмент завантаження файлів ePub, дослідники змогли маніпулювати HTTP-запитами з метою запуску довільних команд на сервері “author.apple.com”.

Серед інших критичних ризиків, виявлених дослідниками, були ризики, пов’язані з уразливістю міжсайтових сценаріїв (XSS) у домені “www.icloud.com”, який діє, просто надіславши жертві із адресою iCloud.com або Mac.com спеціальний електронний лист, яка при відкритті через Apple Mail у браузері дозволяв зловмисникові викрасти всі фотографії та контакти. Більше того, вразливість XSS можна було використовувати як “черв’яка”, тобто вона могла легко поширюватися після активації, надсилаючи подібний електронний лист на кожну адресу iCloud.com або Mac.com, що зберігається в контактах жертви.

“Коли ми вперше починали цей проект, ми навіть не підозрювали, що витратимо трохи більше трьох місяців на його завершення”, – зазначив Сем Каррі у своєму дописі в блозі. “Це спочатку задумувалося як допоміжний проект, над яким ми працювали час від часу,  але з урахуванням всього додаткового вільного часу завдяки пандемії, кожен з нас витратив  кілька сотень годин на це”.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Шахрайство, оманливий дизайн, або як торгові сайти змушують Вас витрачати більше?

Найпоширеніші схеми кіберзлочинців та способи захисту від них. Поради

Як користуватися спеціальними піктограмами програм на Вашому iPhone та iPad? – ІНСТРУКЦІЯ

Як перемістити програми з бібліотеки додатків на головний екран на iPhone?– ІНСТРУКЦІЯ

Чим Вам загрожує підключення невідомих USB? Поради із захисту

Як зробити Chrome веб-браузером за замовчуванням на iPhone та iPad? – ІНСТРУКЦІЯ

Кібератаки та шкідливі програми – одна з найбільших загроз в Інтернеті. Дізнайтеся з підбірки статей, як виникло шкідливе програмне забезпечення та які є його види, що таке комп’ютерний вірус, про усі види шкідливого ПЗ тощо.

До речі, дослідники розкрили подробиці про критичну уразливість в додатку Instagram для Android, експлуатація якої дозволяла віддаленим зловмисникам перехопити контроль над цільовим пристроєм шляхом відправки спеціально створеного зображення.

Цікаво знати, що кіберполіція затримала злочинну групу, яка за допомогою скімінгових пристроїв виготовляла дублікати банківських карток. Далі з цих карток знімали готівку. За це зловмисникам загрожує до 12 років ув’язнення.

Також після додавання до свого функціоналу аудіо-твітів для iOS у червні, Twitter зараз експериментує з ідеєю дозволити людям записувати та надсилати голосові повідомлення за допомогою прямих повідомлень.

Важливо знати, що хакерам вдалося обійти захист iOS 14 на пристроях, що базуються на процесорі Apple A9.

Ця стаття В програмному забезпеченні Apple знайдено 55 нових уразливостей раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Щойно виявлений зразок зловмисного програмного забезпечення Emotet здатен поширюватися незахищеними мережами Wi-Fi, які розташовані поруч із зараженим пристроєм, діючи за принципом “черв’яка”.

Якщо зловмисне програмне забезпечення може поширюватись на довколишні мережі Wi-Fi, то через них заражаються підключені до них пристрої – це тактика, яка може швидко перерости власне спосіб поширення Emotet, зазначають незалежні дослідники. Нова розробка особливо небезпечна для вже розповсюдженого зловмисного програмного забезпечення Emotet, яке з моменту повернення у вересні отримало нові тактики ухилення та соціальної інженерії з метою викрадення облікових даних та розповсюдження троянів жертвам (на зразок трояна під назвою “United Nations)”, повідомляє на Threatpost.

“З цим нещодавно відкритим типом завантажувача, який використовує Emotet, новий потенціал загрози підвищує можливості Emotet”, – сказав Джеймс Квін, дослідник загроз і аналітик зловмисного програмного забезпечення для Binary Defense, під час презентації результатів аналізу в минулу п’ятницю. – Раніше вважалося, що  шкідник поширюється лише через спам та заражені мережі, але Emotet може використовувати цей тип завантажувача для поширення по довколишніх бездротових мережах, якщо мережі використовують незахищені паролі або взагалі без пароля.”

У той час як дослідники помітили, що бінарний файл розповсюдження за допомогою Wi-Fi вперше зафіксований 23 січня 2020 року, вони заявили, що виконуваний файл має часову позначку 16.04.2018, натякаючи на те, що розповсюдження шкідника за допомогою Wi-Fi працює непомітно майже два років. Частково це може бути пов’язано з тим, що  бінарний файл як такий, розповсюджується по мережах нечасто. як вважають дослідники, оскільки це вперше вони бачили це, незважаючи на тривале відстеження Emotet після його повернення у 2019 році.

Зразок Emotet спочатку заражає початкову систему саморозпаковується файлом RAR, що містить два бінарні файли (worm.exe та service.exe), які використовуються для поширення Wi-Fi. Після того, як файл RAR розпакується, Worm.exe виконується автоматично.

Бінарний файл worm.exe негайно починає сканувати та аналізувати бездротові мережі, щоб спробувати поширитись на інші мережі Wi-Fi. Для цього Emotet використовує інтерфейс wlanAPI. wlanAPI – одна з бібліотек, що використовується вбудованим інтерфейсом програмування Wi-Fi (API) для управління профілями бездротової мережі та бездротовими мережевими з’єднаннями.

Після отримання контролю за Wi-Fi зловмисне програмне забезпечення викликає WlanEnumInterfaces – функцію, яка перераховує всі мережі Wi-Fi, які зараз доступні в системі жертв. Функція повертає перелічені бездротові мережі в ряд структур, які містять всю пов’язану з ними інформацію (включаючи їх SSID, сигнал, шифрування та метод автентифікації мережі).

Як тільки дані для кожної мережі були отримані, зловмисне програмне забезпечення переходить до з’єднання з “грубими циклами”. Зловмисники використовують пароль, отриманий із “внутрішніх списків паролів” (незрозуміло, як воно отримує внутрішній список паролів) для спроби встановити з’єднання. Якщо з’єднання не вдалося, функція закінчується і переходить до наступного пароля зі списку паролів.

Якщо пароль правильний, а з’єднання успішне, зловмисне програмне середовище робить паузу протягом 14 секунд перед тим, як надіслати HTTP POST на його сервер команд і управління (C2) на порт 8080, і встановить з’єднання з мережею Wi-Fi.

Потім бінарний файл починає підбирати та вводити паролі для всіх користувачів (включаючи будь-які облікові записи адміністратора) у щойно зараженій мережі. Якщо будь-яка з цих спроб виявляється успішною, worm.exe встановлює інший бінарний файл – service.exe, на заражені пристрої. Для маскування під системні програми бінарний файл встановлюється під виглядом “Windows Defender System Service” (WinDefService).

“За допомогою буферів, що містять або список усіх імен користувачів, які успішно застосовуються, і їхні паролі, або обліковий запис адміністратора та його пароль, worm.exe тепер може розпочати поширення service.exe на інші системи”, – заявили дослідники. “Service.exe – це заражене корисне навантаження, встановлене на віддалених системах програмою worm.exe. Цей бінарний файл має часову позначку PE 23.01.2020 р., яка була датою, коли його вперше було знайдено Binary Defense. “

Після того, як service.exe встановлений і передає дані  на C2, він починає скидати вбудований виконуваний файл Emotet. Таким чином зловмисне програмне забезпечення намагається заразити якомога більше пристроїв.

Emotet, який стартував як банківський троян у 2014 році та постійно розвивався, перетворюючись на механізм доставки  для шкідників “повного обслуговування”, може встановити цілий ряд зловмисних програм на машини жертв, включаючи інформаційні крадіжки, стеження за електронною поштою, механізми саморозповсюдження та викупні програми.

Зі свого боку, дослідники рекомендують блокувати цю нову методику розповсюдження Emotet , встановлюючи надійні паролів для захисту бездротових мереж.

“Стратегії виявлення цієї загрози включають активний моніторинг кінцевих точок встановлення нових служб та розслідування підозрілих служб або будь-яких процесів, що працюють із тимчасових папок та папок даних додатків профілю користувача”, – сказали вони. “Моніторинг мережі також є ефективним способом виявлення шкідника, оскільки комунікації незашифровані та є впізнавані зразки, які ідентифікують вміст повідомлення зловмисного програмного забезпечення.”

Нагадаємо, популярні поштові додатки для iOS і Android “обробляють” дані з поштових скриньок користувачів і потім продають створені на основі цієї інформації продукти клієнтам у сфері фінансів, туризму та електронної комерції.

Також фішинговий механізм створили двоє правопорушників для заволодіння криптовалютою. Під час виконання користувачем переказу криптовалюти відбувалася підміна криптогаманця отримувача, і гроші направлялись зловмисникам.

Окрім цього, зловмисник за допомогою системи онлайн-платежів банківських установ, які не є резидентами України, заволодів грошовими коштами українського банку.

Зверніть увагу, найбільш привабливою для хакерів мобільною операційною системою є Android. Так, 99% мобільних шкідливих програм виявляюють саме на пристроях під управлінням цієї ОС, йдеться у звіті з кібербезпеки мобільних пристроїв за 2019 рік компанії ESET.

До речі, образливі та провокативні повідомлення, знущання в коментарях, навмисне створення конфліктних ситуацій — все це типові прояви тролінгу в Інтернеті. Часто юні користувачі не в змозі боротися з цим самостійно, а батьки не розуміють що це та як захистити власну дитину. Як знизити тиск на підлітка, який вже став жертвою тролінгу в Мережі, а також уникнути цього, читатйте у статті.

Ця стаття Шкідник Emotet розповсюджують незахищеними Wi-Fi-мережами раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Незахищені пристрої, підключені до Інтернету, протягом багатьох років допомагають різним типам кіберзлочинності –  найбільш поширеними є DDoS та спам-кампанії. Але кіберзлочинці зараз перейшли до вигідної схеми, де ботнети не просто запускають DDoS-атаки або спам – вони також видобувають криптовалюти.

Smominru – сумнозвісний ботнет, який майнить криптовалюти та краде дані – став одним із комп’ютерних вірусів, які швидко поширюється та щомісяця заражають понад 90 тисяч машин у всьому світі. Незважаючи на те, що кампанії, які зламують комп’ютери за допомогою Smominru, не були розроблені для досягнення цілей з будь-яким конкретним інтересом, останній звіт дослідників лабораторій Guardicore проливає світло на характер жертв та інфраструктуру нападу, пише TheHackerNews.

За даними дослідників, лише минулого місяця цим “черв’яком” було заражено понад 4900 мереж без будь-якої відмінності в цілях, і в багатьох з цих мереж було заражено десятки внутрішніх машин. До заражених мереж належать американські вищі навчальні заклади, медичні фірми та навіть компанії з кібербезпеки, до того ж найбільша мережа належить постачальнику медичних послуг в Італії із загальною кількістю 65 заражених хостів.

Активний з 2017 року ботнет Smominru зламує машини  на Windows в основному за допомогою EternalBlue –  експлойта, створеного Агентством національної безпеки США. Цей експлойт пізніше був опублікований хакерською групою Shadow Brokers, а потім використовувався у вірусі-вимагачі WannaCry у 2016 році. Ботнет був розроблений для отримання початкового доступу до вразливих систем шляхом простого примусового використання слабких даних для різних служб Windows, включаючи MS-SQL, RDP та Telnet.

Отримавши початковий доступ до цільових систем, Smominru встановлює троянський модуль і майнер криптовалюти та розповсюджується всередині мережі, щоб використати потужності центрального процесора ПК жертв для видобутку Monero та відправити намайнену криптовалюту в гаманець, що належить оператору зловмисного програмного забезпечення.

Місяць тому було також виявлено, що оператори, що стояли за ботнетною мережею, модернізували Smominru, щоб додати модуль збирання даних та троян віддаленого доступу (RAT) до коду видобутку криптовалют свого ботнету. Останній варіант Smominru завантажує та виконує щонайменше 20 різних шкідливих сценаріїв та бінарних корисних навантажень, включаючи завантажувач черв’яків, троян та руткіт MBR.

“Зловмисники створюють багато віртуальних машин- бекдорів в різних фазах атаки. До них належать новостворені користувачі, заплановані завдання, WMI-об’єкти та сервіси, встановлені для запуску під час завантаження”, – кажуть дослідники.

Згідно з новим звітом, дослідники Guardicore Labs заявили, що їм вдалося отримати доступ до одного з основних серверів зловмисників, який зберігає інформацію про жертви та їх викрадені облікові дані, і детальніше ознайомилися з природою жертв.

“Журнали зловмисників описують кожен заражений хост, вони містять його зовнішні та внутрішні IP-адреси, операційну систему, яку він запускає, і навіть навантаження на процесори (системи) системи. Крім того, зловмисники намагаються збирати запущені процеси та крадуть дані, використовуючи Mimikatz, – кажуть дослідники.

Ботнет заражає вразливі машини, більшість з яких працює під керуванням Windows 7 та Windows Server 2008 – зі швидкістю 4700 машин на день із кількома тисячами “інфекцій”, виявлених у країнах, включно з Китаєм, Тайванем, Росією, Бразилією та США. Більшість виявлених інфікованих машин були насамперед невеликими серверами з 1-4 ядрами процесора, що залишало більшість із них непридатними для роботи через надмірне використання їх процесорів під час процесу майнінгу криптовалют.

Дослідники Guardicore також випустили повний список IoC (індикаторів компрометації) та безкоштовний скрипт ддя Powershell на GitHub, який можна запустити з інтерфейсу командного рядка Windows, щоб перевірити, заражена Ваша система “черв’яком” Smominru чи ні.

Оскільки черв’як Smominru використовує експлойт EternalBlue та слабкі паролі, користувачам рекомендується постійно оновлювати свої операційні системи, програмне забезпечення та дотримуватися сильних, складних та унікальних паролів, щоб не стати жертвою таких загроз.

Крім цього, для організації також важливо вживати додаткових заходів безпеки, таких як “застосування мережевої сегментації та мінімізація кількості серверів, орієнтованих на Інтернет”.

До речі, Google представила можливість автоматичного створення резервних копій на Android, якою зможуть скористатися передплатники хмарного сервісу Google One.

Нагадаємо, Apple часто називала свою мобільну операційну систему однією з найбільш захищених і безпечних, але хакерам вже вдалося знайти серйозну уразливість в одній з останніх бета-версій iOS 13.

Також багато людей вважають, ніби програмні продукти Apple безпечніші, ніж інші, однак, як показують дані телеметрії за перше півріччя 2019 року, “яблучна” екосистема все більше цікавить кіберзлочинців.

Стало відомо, що зловмисники можуть використовувати справжні файли Microsoft Teams для виконання шкідливого ​​навантаження за допомогою підробленої папки встановлення.

У “пісочниць” від VMware, Comodo та Microsoft, схоже, з’явилася альтернатива від Sophos – Sandboxie. Тепер вона безкоштовна – виробник виклав код у загальний доступ.

Нещодавно дослідники з кібербезпеки виявили існування нової та раніше не виявленої критичної вразливості на SIM-картах, яка могла б давати можливість віддаленим зловмисникам компрометувати цільові мобільні телефони та шпигувати за жертвами, лише надсилаючи SMS.

Зверніть увагу, кількість шкідливих програм і виявлених вразливостей на платформі iOS значно зросла. Про це свідчать дані звіту компанії ESET щодо актуальні загрози для власників мобільних пристроїв Apple.

Функція в WhatsApp “Видалити для всіх” не видаляє мультимедійні файли, відправлені користувачам iPhone (з встановленими налаштуваннями за замовчуванням), залишаючи їх збереженими на iOS-пристрої одержувача, навіть якщо в месенджері відображається повідомлення “Це повідомлення було видалено”.

Ця стаття Ботнет Smominru знову інфікує комп’ютери раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Про початок масового розповсюдження нового шкідливого програмного забезпечення заявила лабораторія Trend Micro, повідомляє Security Week.

“Черв’як” базується на алгоритмі AutoIt та є носієм для іншої шкідливої програми — бекдора njRAT.

Вірус останнього типу відомий з 2013 року як Bladabindi. Це – троян з віддаленим доступом, який дозволяє зловмисникам керувати Вашим комп’ютером, наприклад, “зчитувати” дані про паролі, красти криптовалюту, блокувати комп’ютер або робити частиною ботнету. Через свою гнучкість згадані віруси стали одним із знарядь кібервійни.

Як працює вірус?

Вірус “запакованиий” в інший вірус — AutoIt. Специфікою програм на базі AutoIt є моментальне включення самих себе в автоматично завантажувані програми операційної системи та розсилання своїх копій усіма носіями інформації, які можна вставити в комп’ютер — флешки, карти пам’яті тощо.

Далі вірус змінює системний реєстр та вносить себе в налаштування фаєрвола. Після цього розпаковується згаданий троян.

Що робити?

Задля безпеки необхідно як мінімум перевіряти антивірусами усі переносні носії з автоматичним скануванням під час вставляння в порт USB чи кардридер.

Ця стаття Обережно! Масове розповсюдження нового трояна: він краде дані та паролі раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим