Правоохоронні органи Нідерландів, Німеччини, США, Великобританії, Франції, Литви, Канади та України перехопили контроль над кількома сотнями серверів ботнету, відключили всю його інфраструктуру і припинили шкідливу активність.

Фахівці голландської поліції, які захопили контроль над двома центральними серверами шкідливого ПЗ у країні, розгорнули оновлення програмного забезпечення для усунення кіберзагрози Emotet. Процес включав відправку 32-бітної корисного навантаження EmotetLoader.dll тими ж каналами, які використовувалися для поширення вихідного шкідливого ПЗ на пристрої. В рамках процедури очищення 25 квітня 2021 року шкідливе ПЗ було видалено з пристроїв, включаючи ключ реєстру автозапуску і завершення процесу.

Експерти компанії Malwarebytes підтвердили успішне завершення процедури видалення. Як показали результати пошукових запитів Feodo Tracker Abuse.ch, в цей час жоден з серверів Emotet не перебуває у online-режимі.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як увімкнути записування відео HDR на iPhone? ІНСТРУКЦІЯ

Онлайн-шопінг у соцмережах: як не бути ошуканим?

Як правильно вибрати ноутбук? ПОРАДИ

Як безкоштовно надсилати захищені паролем електронні листи? ПОРАДИ

Нагадаємо, дослідники безпеки опублікували в Мережі PoC-експлойт для запуску шкідливого коду в Chrome, Edge, Vivaldi, Opera і інших браузерах на базі Chromium. Уразливість зачіпає JavaScript-движок V8 і вже виправлена в його вихідному коді, але виправлення поки ще не інтегровано ні з кодовою базою Chromium, ні з заснованими на ньому проектами.

Також дослідники виявили безліч уразливостей в популярних додатках, що допускають виконання довільного коду в системах користувачів всього лише за допомогою одного кліка. Саме тому такі баги отримали неформальне ім’я “уразливості одного кліка” (one-click vulnerabilities).

Розробники WhatsApp усунули дві небезпечні уразливості в Android-версії месенджера. Якщо зловмисник задіє ці дві уразливості в атаці, у нього з’явиться можливість виконати шкідливий код і віддалено зламати мобільний пристрій жертви.

Окрім цього, кіберзлочинці атакують уразливі сервери Microsoft Exchange з метою встановлення програмного забезпечення для майнінгу криптовалют у рамках шкідливої ​​кампанії, спрямованої на використання обчислювальних потужностей скомпрометованих систем для заробітку.

Ця стаття Шкідливе ПЗ Emotet знищено повністю раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

У рамках міжнародної спецоперації кіберполіцією  України із залученням колег з правоохоронних органів Німеччини, США, Великобританії та Нідерландів було викрито та заблоковано діяльність транснаціонального хакерського злочинного угруповання, яке розповсюджувало найнебезпечніше та найстійкіше вірусне програмне забезпечення.

Як поширювалось шкідливе ПЗ?

Інфраструктура Emotet включала сервери, розташовані у всьому світі. “Вірус” поширювався шляхом спам-розсилок, через документи Word, Excel тощо. Електронні листи виглядали як попередження про безпеку облікового запису, запрошення на вечірку і навіть як застереження від поширення COVID-19, йдеться у повідомленні Департаменту кіберполіції Національної поліції України.

Проникнувши у програмне забезпечення, вірус використовував “інфіковану” техніку для подальшої розсилки, а також встановлював на пристрій додаткові віруси. У результаті шкідливе програмне забезпечення викрадало персональні дані користувачів, зокрема паролі, логіни, історію браузера, платіжні та банківські дані тощо. У подальшому зловмисники перераховували гроші на свої підконтрольні рахунки.

Ботнет завдав збитків на 2,5 млрд доларів

Під час слідчих дій встановлено двох громадян України, які забезпечували належну роботу інфраструктури розповсюдження вірусу та підтримували його безперебійну діяльність.

“Локомотивом проведення операції виступають українські правоохоронці, а роль координаторів виконують Європол та Євроюст. На даний час підтверджено, що вірус завдав збитків банкам і фінансовим установам США та Європи на  2,5 мільярда доларів”, – зазначив перший заступник начальника Департаменту кіберполіції Національної поліції України Сергій Кропива.

Мережа налічувала понад 90 серверів

Кіберполіцейські спільно з правоохоронцями іноземних держав одночасно провели обшуки на території України, Нідерландів, Німеччини, Франції, Литви, Канади, США та Великобританії.

За результатами вилучено серверне обладнання, комп’ютерну техніку, носії інформації, що містять відомості про компанії, на які здійснювалися кібератаки.

Також вилучено банківські картки, гроші, “чорнові” записи з паролями, логінами та ключами до закриптованих сервісів. Наразі повністю заблоковано діяльність ботмережі Emotet, яка розташовувалася на понад 90 серверах у різних країнах світу.

Що загрожує хакерам?

Розслідується кримінальне провадження за ст. 361 (Несанкціоноване втручання в роботу комп’ютерів, автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку), ст. 361-1 (Створення з метою використання, розповсюдження або збуту шкідливих програмних чи технічних засобів),  та за  ст. 190 (Шахрайство) Кримінального кодексу України. Зловмисникам загрожує позбавлення волі на строк до дванадцяти років з конфіскацією майна.

Також встановлено інших учасників міжнародного хакерського угруповання, які використовували інфраструктуру ботмережі Emotet для проведення кібератак. Проводяться заходи для їх затримання.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як дізнатися, які дані Google знає про Вас і видалити їх? – ІНСТРУКЦІЯ

Як не стати жертвою кібератаки? ПОРАДИ

Чи варто користуватися WhatsApp? П’ять правил безпеки від найбільш розшукуваного хакера світу

П’ять небезпечних типів файлів, що можуть містити шкідливе ПЗ

Що таке Google Assistant та що він може робити?

Нагадаємо, Apple займається розробкою, яка буде розрізняти користувачів смартфонів за новою технологією. Йдеться про так звану теплову карту особи, яка, як і відбитки пальців, є унікальною. Обдурити цю систему захисту буде практично неможливо.

Також корпорація Microsoft випускає вбудований генератор паролів та функцію моніторингу витоків облікових даних у системах Windows та macOS, що працюють з останньою версією Microsoft Edge.

Окрім цього, багатофункціональний “шкідник” VPNFilter, якому вдалося інфікувати 500 тисяч роутерів у 54 країнах, хоч і був дезактивований два роки тому, однак досі не вичищений із сотень мереж. Такі невтішні результати чергової перевірки, яку провели дослідники з Trend Micro.

До речі, викрадена база даних, яка містить імена, адреси електронної пошти та паролі користувачів Nitro PDF, безкоштовно розповсюджується в Мережі. Загалом база даних налічує понад 77 мільйонів записів.

Ця стаття Кіберполіція допомогла знищити ботнет, який поширював найнебезпечніший у світі вірус раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

TrickBot, один із найвідоміших та найадаптованіших ботнетів у світі, розширює свій набір інструментів, щоб визначити вразливості у прошивках  BIOS цільових комп’ютерів для потенційного розгортання завантажувача та отримання повного контролю над зараженою системою.

Нова функціональність, яка отримала назву “TrickBoot” від дослідників з Advanced Intelligence (AdvIntel) та Eclypsium, використовує легко доступні інструменти для перевірки пристроїв на відомі вразливості, які можуть дозволити зловмисникам вводити зловмисний код в прошивку пристрою UEFI/BIOS, надаючи зловмисникам ефективний механізм постійного зберігання шкідливих програм, повідомляє TheHackerNews.

“Це знаменний крок в еволюції TrickBot, оскільки імплантація на рівні прошивки UEFI є найглибшою, найбільш потужною та прихованою формою завантажувачів шкідливих програм”, – заявили дослідники. “Додавши можливість виявляти пристрої жертв для конкретних вразливостей прошивки UEFI/BIOS, оператори TrickBot можуть атакувати конкретних жертв на рівні прошивки, яка виживає при перевстановленні ОС або навіть при переформатуванні носіїв”.

UEFI – це інтерфейс мікропрограми та заміна BIOS, що покращує безпеку, гарантуючи, що жодне шкідливе програмне забезпечення не втручалося в процес завантаження. Оскільки UEFI полегшує завантаження самої операційної системи, такі інфекції стійкі до перевстановлення ОС або заміни жорсткого диска.

TrickBot з’явився у 2016 році як банківський троян, але з тих пір перетворився на багатоцільове “зловмисне програмне забезпечення як сервіс” (MaaS), яке заражає системи іншими шкідливими корисними навантаженнями, призначеними для викрадення облікових даних, електронної пошти, фінансових даних та розповсюдження програм-шифрувальників, що шифрують файли. такі як Conti або Ryuk.

Його модульність та універсальність зробили його ідеальним інструментом для різноманітних зловмисних дій, незважаючи на спроби компаній-виробників ПЗ та спеціалістів з кібербезпеки зруйнувати інфраструктуру ботнета. Це також спостерігалося у поєднанні з кампаніями Emotet щодо розгортання програми-вимогателя Ryuk.

“Найбільш розповсюджений ланцюг атак в основному починається з кампанії Emotet, яка потім завантажує TrickBot та/або інші навантажувачі та рухається до інструментів атаки, таких як PowerShell Empire або Cobalt Strike, для досягнення цілей щодо жертви організації, яка зазнає атаки”, – сказали дослідники. – Часто, в кінці ланцюга дій, розгортається програма-вимагач Conti або Ryuk”.

На сьогодні ботнет заразив понад мільйон комп’ютерів, за даними Microsoft та її партнерів із Symantec, ESET, FS-ISAC та Lumen. Найновіше доповнення до їхнього арсеналу дає уявлення про те, що TrickBot можна не тільки масово націлювати на системи за допомогою програми-вимогателя та атаки UEFI, але й надавати злочинним суб’єктам ще більше ваги під час переговорів про викуп, залишаючи приховану “зак” UEFI в системі для подальшого використання.

Розробка також є ще одним знаком того, що противники розширюють свою увагу за межі операційної системи пристрою на нижчі шари, щоб уникнути виявлення та проводити руйнівні кампанії чи кампанії, спрямовані на шпигунство.

Розвідувальний компонент TrickBot, який вперше спостерігався в жовтні 2020 року відразу після спроб зняття, організованих Американським кіберкомандуванням та Microsoft, націлений на системи на базі Intel від Skylake через набори мікросхем Comet Lake для виявлення вразливостей в прошивці UEFI заражених машини. Зокрема, дослідники виявили, що TrickBoot націлюється на флеш-мікросхему SPI, в якій розміщено прошивку UEFI/BIOS, використовуючи заражену копію драйвера RwDrv.sys інструменту RWEverything, щоб перевірити, чи не розблокований регістр керування BIOS і чи вміст області BIOS може бути модифікованим.

Незважаючи на те, що діяльність шкідника до цього часу обмежена розвідкою, розширення цієї можливості записування шкідливого коду в прошивку системи, забезпечує тим самим, що код зловмисника виконується перед завантаженням операційної системою, і відкриває шлях для встановлення бекдорів, або навіть знищення цільового пристрою. Більше того, враховуючи розмір і обсяг TrickBot, атака такого роду може мати серйозні наслідки.

“TrickBoot – це лише один рядок коду, який не дозволяє знешкодити будь-який пристрій, який виявиться вразливим, – відзначили дослідники. – Ризики для національної безпеки, що виникають внаслідок широкомасштабної кампанії зловмисного програмного забезпечення, здатної “мінувати” пристрої, величезні”.

Завдяки приорітетам  та особливостям UEFI, “оператори TrickBot можуть відключити будь-який контроль рівня безпеки ОС, який їм потрібен, що потім дозволяє їм повернутися до модифікованої ОС із кастрованим захистом кінцевих точок і виконувати пізніше свої задачі”.

Для пом’якшення таких загроз рекомендується постійно оновлювати прошивки, увімкнути захист від запису BIOS та перевірити цілісність мікропрограми для захисту від несанкціонованих модифікацій.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як увімкнути новий зчитувач PDF від Google Chrome? – ІНСТРУКЦІЯ

Як надавати дозволи, зокрема, тимчасові для програм на Android? – ІНСТРУКЦІЯ

Нова macOS Big Sur: 10 порад щодо налаштування та використання ОС

Як заборонити друзям із Facebook надсилати Вам повідомлення в Instagram? – ІНСТРУКЦІЯ

Як захисти свої пристрої під час віддаленої роботи з дому? ПОРАДИ

До речі, кібершахраям в черговий раз вдалося обійти захист офіційного магазину додатків для Android – Google Play Store, у результаті чого понад мільйон користувачів постраждали від фейковий модів для популярної гри Minecraft.

Зверніть увагу, що оператори відеосервісу TikTok усунули дві уразливості, які в комбінації дозволяють без особливих зусиль отримати контроль над чужим екаунтом. Одна з уразливостей була присутня на сайті, інша з’явилася в клієнтському додатку.

Також дослідники з кібербезпеки повідомили про зростання кількості кібератак, що використовують сервіси Google в якості зброї для обходу засобів захисту і крадіжки облікових даних, даних кредитних карт та іншої особистої інформації.

У мобільній версії додатка Facebook Messenger усунули уразливість, за допомогою якої можна було прослуховувати оточення абонента. За свідченням експерта, який знайшов баг, таємне підключення до цільового Android-пристрою у даному випадку виконується за кілька секунд.

П’ятеро фігурантів видавали себе за IT-спеціалістів фінансової установи. Під виглядом “тестування платіжної системи” вони здійснили незаконні перекази грошей на підконтрольні рахунки. У результаті таких дій вони незаконно привласнили 1,4 мільйона гривень банківської установи.

Ця стаття Шкідник TrickBot “навчили” ховатися в областях завантаження та у прошивках комп’ютерів раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Фірма з кібербезпеки Sophos виявила нову версію клієнт-серверного завантажувача шкідників, що забезпечує альтернативу іншим відомим завантажувачам шкідливих програм, таким як Emotet та BazarLoader. Як було названо нову шкідливу програму, Buer вперше була виявлена ​​в серпні 2019 року, коли вона використовувалася для компрометації ПК з ОС Windows, виступаючи шлюзом для подальших атак. Про це пише Techradar.

Про програму вперше заявили у дописі на форумі 20 серпня 2019 року під назвою“ Modular Buer Loader ”, описаний розробниками як“ новий модульний бот…, написаний на чистому C ”із кодом сервера управління та керування (C&C) .NET Core MVC (який можна запустити на серверах Linux) 2, – пояснив Шон Галлахер, старший дослідник загроз у Sophos. “За 350 доларів США (плюс будь-яку плату, яку бере сторонній гарант), кіберзлочинець може придбати власний завантажувач та доступ до панелі управління і техніки з однієї IP-адреси – зміна адреси коштує 25 доларів США. Розробники Buer обмежують користувачів двома адресами для кожного облікового запису “.

Buer поставляється з функціоналом бота, специфічним для кожного завантаження. Ботів можна налаштувати залежно від різноманітних фільтрів, включаючи, чи заражена машина є 32- або 64-бітною, країни, де відбувається експлойт, і які конкретні завдання потрібно виконати.

У вересні фахівці Sophos виявили, що Buer є засобом доставки шкідника Ryuk, оскільки шкідливе програмне забезпечення доставлялося через Документи Google і вимагало від жертви ввімкнення скриптового вмісту для роботи. У цьому відношенні Buer імітує Emotet та інші варіанти завантажувачів шкідливих програм.  Buer використовує викрадений сертифікат, виданий колись польським розробником програмного забезпечення, щоб уникнути виявлення та перевіряє наявність налагоджувача, щоб уникнути криміналістичного аналізу.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Фішингові листи: розпізнаємо шахрайство на реальному прикладі

Як вимкнути веб-камеру та мікрофон у Zoom? – ІНСТРУКЦІЯ

Як змінити ім’я користувача у Twitter? – ІНСТРУКЦІЯ

Як виявити шахрайство з технічною підтримкою та уникнути його? Поради

Як виміряти рівень кисню у крові за допомогою Apple Watch? – ІНСТРУКЦІЯ

Як увімкнути нову функцію відстеження миття рук на Apple Watch? – ІНСТРУКЦІЯ

Нагадаємо, оператор платіжної системи Mastercard готує до пробних випробувань банківську карту F.CODE Easy, що використовує відбитки пальців для підтвердження прав на транзакцію в платіжних терміналах магазинів.

Також з’явився мобільний додаток доповненої реальності #PrisonersVoice, який привертає увагу міжнародної спільноти до українських бранців Кремля та до системного порушення Російською Федерацією прав людини загалом.

До речі, експерт з інтернет-безпеки, “білий хакер” із Нідерландів Віктор Геверс, відомий тим, що зміг зайти на екаунт президента США Дональда Трампа в 2016 році, повторив свій “успіх” в 2020 році.

Окрім цього, кіберзлочинне угруповання викрало понад 3 Тб приватних відео та розмістило їх на сайтах для дорослих. Серед викладених матеріалів були як відверто інтимні, так і цілком буденні. Зловмисники отримали доступ до понад 50 тисяч особистих IP-камер, що дозволило зібрати колекцію відеоматеріалів.

А 30-річний житель Івано-Франківщини створив веб-сайти, де на платній основі надавав доступ до перегляду фільмів. Засновник онлайн-кінотеатрів не мав дозволів від правовласників на розповсюдження їхніх творів та порушив авторські права двох іноземних кінокомпаній.

Ця стаття Ідентифіковано програму, яку використовували для створення небезпечного ботнета раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Невідомий хакер знешкодив ботнет мережу Emotet – за допомогою GIF-картинок.

Emotet раніше був відомий як банківський троян, але потім змінив курс і перетворився в ботмережу, поширюючи різні види здирницькі ПЗ. Зараз Emotet є однією з найнебезпечніших загроз в Інтернеті. Мережа використовується для поширення банківського трояна Trickbot і здирників Ryuk. Така комбінація отримала назву “потрійна загроза” і використовувалася в рамках атак на державні адміністрації в США в липні 2019 року.

Emotet розсилає мільйони електронних листів, що містять шкідливий документ Microsoft Word, файли PDF або URL-адреси. Шкідливі вкладення містять макроси, які при активації встановлюють бекдор. Хакери зазвичай чекають кілька днів, перш ніж встановлювати наступне шкідливе ПЗ, таке як банківський троян TrickBot або вимагач Ryuk.

Невідомий хакер замінив “корисне навантаження” Emotet анімованими GIF-файлами. Тобто коли користувач отримує небезпечну розсилку і відкриває файл, він бачить анімовану картинку і залишається незараженим. Все це призвело до серйозного зниження активності Emotet.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

ЯК ОЧИСТИТИ КЕШ ТА ФАЙЛИ COOKIES У БРАУЗЕРІ FIREFOX? – ІНСТРУКЦІЯ

ПОРАДИ ЩОДО ОРГАНІЗАЦІЇ СВОЇХ ДОДАТКІВ ДЛЯ IPHONE АБО IPAD

ЯК ЗАПОБІГТИ ДЕФРАГМЕНТАЦІЇ ТВЕРДОТІЛОГО НАКОПИЧУВАЧА SSD? ІНСТРУКЦІЯ

НАВІЩО ПОТРІБЕН МЕНЕДЖЕР ПАРОЛІВ ТА ЯК ПРАВИЛЬНО ЙОГО ОБРАТИ?

ЯК ЗАБОРОНИТИ GOOGLE ЗБИРАТИ ВАШІ ДАНІ ТА НАЛАШТУВАТИ ЇХНЄ АВТОВИДАЛЕННЯ? ІНСТРУКЦІЯ

Ноутбук та рідина – це погана комбінація, але трапляються випадки, коли вони все ж таки “об’єднуються”. Про те, що робити, якщо це сталося, читайте у статті.

Також після тестування стало відомо, що надзвичайно популярний сьогодні додаток – TikTok, зберігає вміст буфера обміну кожні кілька натискань клавіш. Цей факт насторожив багатьох користувачів, але TikTok лише один із 53 додатків, які зберігають інформацію про користувачів таким чином.

Стало відомо, що мешканець Житомирщини підмінив міжнародного мобільного трафіку на понад півмільйона гривень. Крім цього, встановлено інші злочинні осередки які здійснюють підміну міжнародного трафіку в різних регіонах країни.

До речі, хакери використовували шкідливе програмне забезпечення, через яке викрадали реквізити банківських електронних рахунків громадян США, Європи, України та їхні персональні дані. Зокрема, через електронні платіжні сервіси, у тому числі заборонені в Україні російські, вони переводили викрадені гроші на власні рахунки у вітчизняних та банках РФ і привласнювали.

Хакери зараз користуються сервісом Google Analytics для крадіжки інформації про кредитні картки із заражених сайтів електронної комерції. Відповідно до звітів PerimeterX та Sansec, хакери зараз вводять шкідливий код, призначений для крадіжки даних на компрометованих веб-сайтах.

Ця стаття Невідомий хакер “переміг” одну з найнебезпечніших загроз у Мережі раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Оператори ботнету протягом дня відправили близько 250 тис. повідомлень користувачам у всьому світі.

Один з найбільших і найбільш небезпечних шкідливих ботнетів Emotet повернувся після п’ятимісячної перерви з масштабною кампанією з розсилки шкідливого спаму з метою встановлення здирницького ПЗ, банківських троянів і інших шкідників, пише Malwarebytes.

Оператори ботнету відправили 250 тис. повідомлень протягом дня, в основному користувачам у США, Великобританії, на Близькому Сході, в Південній Америці та Африці.

Як і в попередніх шкідливих кампаніях, електронні листи містили шкідливий документ Microsoft Word, файли PDF або URL-адреси. Шкідливі вкладення містять макроси, які під час активації встановлюють бекдор. Оператори шкідливого ПЗ зазвичай чекають кілька днів, перш ніж встановлювати наступне шкідливе ПЗ, таке як банківський троян TrickBot або вимагач Ryuk.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

ЯК ДІЯТИ ВІЙСЬКОВОСЛУЖБОВЦЯМ У СОЦМЕРЕЖАХ? ПОРАДИ

ЯК ОЧИСТИТИ КЕШ ТА ФАЙЛИ COOKIES У БРАУЗЕРІ FIREFOX? – ІНСТРУКЦІЯ

ЯК ЗАПОБІГТИ ДЕФРАГМЕНТАЦІЇ ТВЕРДОТІЛОГО НАКОПИЧУВАЧА SSD? ІНСТРУКЦІЯ

НАВІЩО ПОТРІБЕН МЕНЕДЖЕР ПАРОЛІВ ТА ЯК ПРАВИЛЬНО ЙОГО ОБРАТИ?

ЯК ЗАБОРОНИТИ GOOGLE ЗБИРАТИ ВАШІ ДАНІ ТА НАЛАШТУВАТИ ЇХНЄ АВТОВИДАЛЕННЯ? ІНСТРУКЦІЯ

Нагадаємо, Apple оголосила на WWDC, що вироблятиме комп’ютери на власних чипах, відмовившись від процесорів Intel, якими компанія користується у своїх ноутбуках та настільних комп’ютерах з 2005 року.

Також Twitter із міркувань безпеки заблокувала всі облікові записи, власники яких намагалися змінити пароль в останні 30 днів. Таким чином соціальна мережа відреагувала на злам сторінок користувачів.

Окрім цього, фахівці з компанії CheckPoint повідомили про виявлені уразливості в Zoom. Уразливість дозволяє зловмисникам видавати себе за легітимні організації, обманюючи їх співробітників або ділових партнерів з метою розкрадання персональної або іншої конфіденційної інформації шляхом соціальної інженерії.

Зверніть увагу, експерти виявили нову шкідливу кампанію з використанням шпигунського програмного забезпечення на Близькому Сході. Інструмент зловмисників — додаток Welcome Chat для Android, який є шпигунським програмним забезпеченням та має функціонал чату.

До речі, у Firefox для Android виявлена ​​проблема, через яку камера смартфона продовжує працювати навіть після того, як користувач перемикає браузер у фоновий режим або блокує екран телефону.

Ця стаття Ботнет Emotet відновив активність раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Щойно виявлений зразок зловмисного програмного забезпечення Emotet здатен поширюватися незахищеними мережами Wi-Fi, які розташовані поруч із зараженим пристроєм, діючи за принципом “черв’яка”.

Якщо зловмисне програмне забезпечення може поширюватись на довколишні мережі Wi-Fi, то через них заражаються підключені до них пристрої – це тактика, яка може швидко перерости власне спосіб поширення Emotet, зазначають незалежні дослідники. Нова розробка особливо небезпечна для вже розповсюдженого зловмисного програмного забезпечення Emotet, яке з моменту повернення у вересні отримало нові тактики ухилення та соціальної інженерії з метою викрадення облікових даних та розповсюдження троянів жертвам (на зразок трояна під назвою “United Nations)”, повідомляє на Threatpost.

“З цим нещодавно відкритим типом завантажувача, який використовує Emotet, новий потенціал загрози підвищує можливості Emotet”, – сказав Джеймс Квін, дослідник загроз і аналітик зловмисного програмного забезпечення для Binary Defense, під час презентації результатів аналізу в минулу п’ятницю. – Раніше вважалося, що  шкідник поширюється лише через спам та заражені мережі, але Emotet може використовувати цей тип завантажувача для поширення по довколишніх бездротових мережах, якщо мережі використовують незахищені паролі або взагалі без пароля.”

У той час як дослідники помітили, що бінарний файл розповсюдження за допомогою Wi-Fi вперше зафіксований 23 січня 2020 року, вони заявили, що виконуваний файл має часову позначку 16.04.2018, натякаючи на те, що розповсюдження шкідника за допомогою Wi-Fi працює непомітно майже два років. Частково це може бути пов’язано з тим, що  бінарний файл як такий, розповсюджується по мережах нечасто. як вважають дослідники, оскільки це вперше вони бачили це, незважаючи на тривале відстеження Emotet після його повернення у 2019 році.

Зразок Emotet спочатку заражає початкову систему саморозпаковується файлом RAR, що містить два бінарні файли (worm.exe та service.exe), які використовуються для поширення Wi-Fi. Після того, як файл RAR розпакується, Worm.exe виконується автоматично.

Бінарний файл worm.exe негайно починає сканувати та аналізувати бездротові мережі, щоб спробувати поширитись на інші мережі Wi-Fi. Для цього Emotet використовує інтерфейс wlanAPI. wlanAPI – одна з бібліотек, що використовується вбудованим інтерфейсом програмування Wi-Fi (API) для управління профілями бездротової мережі та бездротовими мережевими з’єднаннями.

Після отримання контролю за Wi-Fi зловмисне програмне забезпечення викликає WlanEnumInterfaces – функцію, яка перераховує всі мережі Wi-Fi, які зараз доступні в системі жертв. Функція повертає перелічені бездротові мережі в ряд структур, які містять всю пов’язану з ними інформацію (включаючи їх SSID, сигнал, шифрування та метод автентифікації мережі).

Як тільки дані для кожної мережі були отримані, зловмисне програмне забезпечення переходить до з’єднання з “грубими циклами”. Зловмисники використовують пароль, отриманий із “внутрішніх списків паролів” (незрозуміло, як воно отримує внутрішній список паролів) для спроби встановити з’єднання. Якщо з’єднання не вдалося, функція закінчується і переходить до наступного пароля зі списку паролів.

Якщо пароль правильний, а з’єднання успішне, зловмисне програмне середовище робить паузу протягом 14 секунд перед тим, як надіслати HTTP POST на його сервер команд і управління (C2) на порт 8080, і встановить з’єднання з мережею Wi-Fi.

Потім бінарний файл починає підбирати та вводити паролі для всіх користувачів (включаючи будь-які облікові записи адміністратора) у щойно зараженій мережі. Якщо будь-яка з цих спроб виявляється успішною, worm.exe встановлює інший бінарний файл – service.exe, на заражені пристрої. Для маскування під системні програми бінарний файл встановлюється під виглядом “Windows Defender System Service” (WinDefService).

“За допомогою буферів, що містять або список усіх імен користувачів, які успішно застосовуються, і їхні паролі, або обліковий запис адміністратора та його пароль, worm.exe тепер може розпочати поширення service.exe на інші системи”, – заявили дослідники. “Service.exe – це заражене корисне навантаження, встановлене на віддалених системах програмою worm.exe. Цей бінарний файл має часову позначку PE 23.01.2020 р., яка була датою, коли його вперше було знайдено Binary Defense. “

Після того, як service.exe встановлений і передає дані  на C2, він починає скидати вбудований виконуваний файл Emotet. Таким чином зловмисне програмне забезпечення намагається заразити якомога більше пристроїв.

Emotet, який стартував як банківський троян у 2014 році та постійно розвивався, перетворюючись на механізм доставки  для шкідників “повного обслуговування”, може встановити цілий ряд зловмисних програм на машини жертв, включаючи інформаційні крадіжки, стеження за електронною поштою, механізми саморозповсюдження та викупні програми.

Зі свого боку, дослідники рекомендують блокувати цю нову методику розповсюдження Emotet , встановлюючи надійні паролів для захисту бездротових мереж.

“Стратегії виявлення цієї загрози включають активний моніторинг кінцевих точок встановлення нових служб та розслідування підозрілих служб або будь-яких процесів, що працюють із тимчасових папок та папок даних додатків профілю користувача”, – сказали вони. “Моніторинг мережі також є ефективним способом виявлення шкідника, оскільки комунікації незашифровані та є впізнавані зразки, які ідентифікують вміст повідомлення зловмисного програмного забезпечення.”

Нагадаємо, популярні поштові додатки для iOS і Android “обробляють” дані з поштових скриньок користувачів і потім продають створені на основі цієї інформації продукти клієнтам у сфері фінансів, туризму та електронної комерції.

Також фішинговий механізм створили двоє правопорушників для заволодіння криптовалютою. Під час виконання користувачем переказу криптовалюти відбувалася підміна криптогаманця отримувача, і гроші направлялись зловмисникам.

Окрім цього, зловмисник за допомогою системи онлайн-платежів банківських установ, які не є резидентами України, заволодів грошовими коштами українського банку.

Зверніть увагу, найбільш привабливою для хакерів мобільною операційною системою є Android. Так, 99% мобільних шкідливих програм виявляюють саме на пристроях під управлінням цієї ОС, йдеться у звіті з кібербезпеки мобільних пристроїв за 2019 рік компанії ESET.

До речі, образливі та провокативні повідомлення, знущання в коментарях, навмисне створення конфліктних ситуацій — все це типові прояви тролінгу в Інтернеті. Часто юні користувачі не в змозі боротися з цим самостійно, а батьки не розуміють що це та як захистити власну дитину. Як знизити тиск на підлітка, який вже став жертвою тролінгу в Мережі, а також уникнути цього, читатйте у статті.

Ця стаття Шкідник Emotet розповсюджують незахищеними Wi-Fi-мережами раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим