Дослідники з компанії ESET виявили, що механізм оновлення NoxPlayer, емулятора Android для Windows і macOS, виготовленого гонконгською компанією BigNox, був скомпрометований невідомим зловмисником і використовувався для зараження комп’ютерів геймерів шкідливим програмним забезпеченням.

За даними BigNox, NoxPlayer використовується геймерами у понад 150 країнах у всьому світі, але, як виявила ESET у січні 2021 року, кампанія була зосереджена на зараженні лише азіатських геймерів – принаймні трьома різними шкідливими програмами, пише Bleeping Computer.

Щоб забезпечити проникнення “шкідника” в системи своїх цілей, група хакерів, яка називається NightScout, скомпрометувала інфраструктуру сховища res06.bignox.com BigNox для зберігання шкідливого програмного забезпечення та інфраструктуру API api.bignox.com для розгортання корисних навантажень.

“Ми маємо достатньо доказів, щоб стверджувати, що інфраструктура BigNox була скомпрометована для розміщення шкідливого програмного забезпечення, а також припустити, що інфраструктура API могла бути скомпрометована. У деяких випадках оновлення BigNox завантажувало додаткові корисні навантаження з контрольованих зловмисниками серверів”,  – пояснив дослідник компанії ESET Ігнаціо Санміллан.

Шкідливі оновлення, доставлені через скомпрометований механізм оновлення NoxPlayer, включали невідоме шкідливе програмне забезпечення з можливостями моніторингу та троян віддаленого доступу (RAT) Gh0st, який часто використовується. Третє шкідливе програмне забезпечення PoisonIvy RAT також було виявлено ESET під час розслідування атаки на ланцюг поставок, але воно було доставлено як корисне навантаження другого ступеня з власної інфраструктури зловмисників, не шляхом розгортання шкідливих оновлень NoxPlayer.

Незважаючи на величезну кількість жертв, які могли бути заражені між вереснем 2020 року, коли почалася атака на ланцюг поставок, і січнем 2021 року, коли її було виявлено, група хакерів  NightScout замість цього вирішила заразити п’ять великих цілей з Тайваню, Гонконгу та Шрі-Ланки. Це виявило цілеспрямований характер цієї операції.

Минулого року ESET розкрила інші атаки у ланцюгах поставок, такі як операція StealthyTrident, націлена на користувачів Able Desktop, банківські та урядові цілі WIZVERA VeraPort та операція SignSight, що призвело до зламу в’єтнамського програмного забезпечення для електронних підписів. Але Nightscout – зовсім інша загроза.  Це пояснюється тим, що діяльність групи NightScout натомість зосередилася на цілях ігрового співтовариства, та характеризується використанням своєрідного і рідкісного способу збору інформації у високоцільовій кібершпигунській операції.

“Щоб бути в безпеці, у випадку підозри на зараження, виконайте стандартне перевстановлення емудяторів з чистого носія, – додав Санміллан. – Для неінфікованих користувачів NoxPlayer – не завантажуйте жодних оновлень, поки BigNox не надішле повідомлення про те, що вони ліквідували загрозу, крім того, найкращою практикою буде видалення програмного забезпечення.”

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як дізнатися, які дані Google знає про Вас і видалити їх? – ІНСТРУКЦІЯ

Як не стати жертвою кібератаки? ПОРАДИ

Чи варто користуватися WhatsApp? П’ять правил безпеки від найбільш розшукуваного хакера світу

П’ять небезпечних типів файлів, що можуть містити шкідливе ПЗ

Що таке Google Assistant та що він може робити?

Нагадаємо, Apple займається розробкою, яка буде розрізняти користувачів смартфонів за новою технологією. Йдеться про так звану теплову карту особи, яка, як і відбитки пальців, є унікальною. Обдурити цю систему захисту буде практично неможливо.

Також корпорація Microsoft випускає вбудований генератор паролів та функцію моніторингу витоків облікових даних у системах Windows та macOS, що працюють з останньою версією Microsoft Edge.

Окрім цього, багатофункціональний “шкідник” VPNFilter, якому вдалося інфікувати 500 тисяч роутерів у 54 країнах, хоч і був дезактивований два роки тому, однак досі не вичищений із сотень мереж. Такі невтішні результати чергової перевірки, яку провели дослідники з Trend Micro.

До речі, викрадена база даних, яка містить імена, адреси електронної пошти та паролі користувачів Nitro PDF, безкоштовно розповсюджується в Мережі. Загалом база даних налічує понад 77 мільйонів записів.

Ця стаття В популярному емуляторі Android для MacOS та Windows знайшли “шкідник” раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Більшість людей, як правило, відразу думають про WordPress, коли виникає потреба створити свій блог, але це не єдина платформа для цього. Самопроголошена “найпопулярніша у світі сучасна платформа для ведення блогу із відкритим кодом”, Ghost, налічує близько 750 000 зареєстрованих користувачів, серед яких Mozilla, NASA та DuckDuckGo. Лише за останній тиждень користувачі Ghost створили 6 920 нових публікацій.

О 3:24 ранку, 3 травня на сайті було розміщено повідомлення, в якому йшлося про причини відключення. О 10:15 ранку причина стала зрозуміла: Ghost зламано, пише Forbes.

“Зловмисник застосував CVE у нашому майстрі програм, SaltStack, щоб отримати доступ до інфраструктури платформи”, – заявила команда, підтверджуючи злам.

Основні уразливості, на які посилалися хакери, знаходяться в SaltStack, інструменті управління інфраструктурою з відкритим кодом, побудованому за допомогою мови Python. CVE-2020-11651 надає віддаленому користувачеві доступ без автентифікації, який може бути використаний для отримання даних користувачів, так само і CVE-2020-11652 дозволяє довільно отримувати доступ до каталогів.

Зловмисна атака вплинула як на сайти Ghost Pro, так і на рахунки Ghost.org. Але за даними розслідування, інформація про кредитні картки була недоступна, а також облікові дані користувачів були зашифровані.

“Немає прямих доказів того, що дані наших клієнтів, паролі чи інша інформація були порушені”, – зазначає Ghost.

Як з’ясувалось, уразливості SaltStack вже використовувались при спробі вилучити криптовалюту із серверів Ghost.

Також радимо звернути увагу на поради, про які писав Cybercalm, а саме:

ЯК ОЧИСТИТИ ІСТОРІЮ В УСІХ МОБІЛЬНИХ БРАУЗЕРАХ? ІНСТРУКЦІЯ

ЯК БЕЗПЕЧНО КУПУВАТИ ВЖИВАНУ ТЕХНІКУ? ПОРАДИ

ЯК НАЛАШТУВАТИ СПІЛЬНЕ ВИКОРИСТАННЯ ФАЙЛІВ В ICLOUD? – ІНСТРУКЦІЯ

ЯК ВИМКНУТИ “ШПИГУНСЬКЕ ПЗ” У БРАУЗЕРІ FIREFOX?

До речі, представники кіберзлочинної спільноти розповіли виданню CyberNews про шахрайську схему з Facebook і PayPal, що приносить $1,6 млн доходу на місяць. Відмінною рисою цієї схеми є те, що жертва сама добровільно переводить гроші шахраям.

Стало відомо, що  на базі Android 10 на честь 10-річчя від дня заснування свого бренду. Нова версія MIUI отримала візуальні зміни, а також безліч нових анімацій, покращений темний режим і більш детальні налаштування конфіденційності тощо.

Зверніть увагу, що більшість користувачів вважають, що використання складного PIN-коду та біометричних даних забезпечує всебічний захист месенджерів. Однак після інфікування телефона Джеффа Безоса, засновника інтернет-компанії Amazon, за допомогою шкідливого відео, яке було надіслане через WhatsApp, серед користувачів постало питання безпеки смартфона та захисту цього додатку.

Facebook випустила додаток для відеодзвінків Messenger Rooms, що дозволяє додавати в віртуальну кімнату до 50 осіб. У своєму блозі компанія особливо підкреслила безпеку Messenger Rooms. Але це не зовсім так.

Дезінформація про коронавірус “затоплює” Інтернет. Експерти закликають громадськість практикувати “гігієну інформації”. Ми зібрали поради того, що Ви можете зробити, щоб зупинити поширення фейків і паніки в Мережі.

В глобальній Мережі з’явилася інформація про нову операційну систему Windows 20, реліз якої може статися вже в кінці цього року, або ж на початку наступного. Новітня платформа містить у собі масу відмінностей від доступної зараз, тому вона гарантовано всіх порадує.

Ця стаття Популярна платформа для блогів з відкритим кодом підтвердила, що її зламали раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

ESET повідомляє про виявлення атак групи хакерів Dukes (APT29 або Cozy Bear) на урядові установи в Європі. Нова операція кіберзлочинців, яка отримала назву “Ghost”, розпочалася ще у 2013 році та триває до цього часу.

Зокрема хакери Dukes здійснили втручання в інформаційні системи міністерств закордонних справ щонайменше у трьох країнах Європи та посольства держави-члена ЄС у Вашингтоні.

Варто зазначити, що ця група опинилися в центрі уваги громадськості після підозри у причетності Dukes до кібератаки на Національний комітет Демократичної партії перед виборами у США у 2016 році. Після фішингової кампанії, спрямованої на уряд Норвегії, в січні 2017 року, кіберзлочинці, здавалося б, припинили свою шпигунську діяльність.

Однак під час нового дослідження спеціалісти ESET виявили три нових сімейства шкідливих програм, пов’язаних із Dukes — PolyglotDuke, RegDuke та FatDuke.

“Одну з перших публічних вказівок на цю кампанію можна знайти на Reddit у липні 2014 року, — розповідає Матьє Фау, дослідник ESET. — Ми можемо з високою впевненістю підтвердити, що одна і та ж група стоїть за операцією “Ghost” та атакою на Національний комітет Демократичної партії”.

Причетність групи до цих атак базується на декількох схожих елементах тактики цієї та попередніх кампаній групи. Зокрема, група використовувала Twitter та Reddit для розповсюдження URL-адрес командного сервера та застосовувала стеганографію в картинках, щоб приховати шкідливі компоненти чи команди. Крім цього, два із трьох атакованих міністерств були попередньо скомпрометовані. Принаймні, на одній машині був інсталятор від групи Dukes, який було встановлено ще кілька місяців тому. Ще одним доказом причетності групи є велика схожість коду між виявленими раніше зразками та операцією “Ghost”.

“Перша компіляція PolyglotDuke – це вірус MiniDuke, який був зафіксований в 2013 році. Таким чином, ми вважаємо, що операція “Ghost” проводилася одночасно з іншими кампаніями і до цього часу залишалася непоміченою”, — пояснює Фау.

В цій операції група Dukes використовувала обмежену кількість інструментів, покладаючись на різноманітні тактики для уникнення виявлення. Зокрема, кіберзлочинці систематично викрадали дані та використовували їх для прихованого поширення в мережі жертв. Наприклад, спеціалісти ESET зафіксували використання облікових даних адміністратора для компрометації або повторної компрометації машин у локальній мережі.

Група Dukes використовує складний механізм розповсюдження шкідливого програмного забезпечення, який розділений на чотири етапи. Спочатку кіберзлочинці поширюють URL-адресу командного сервера через Twitter або інші соціальні мережі та веб-сайти. Потім шкідливе програмне забезпечення використовує Dropbox для отримання команд від зловмисників. Згодом механізм відкриває простий бекдор, який, в свою чергу, завантажує більш складний бекдор із великою кількістю функціональних можливостей та гнучкою конфігурацією.

Детальнішу інформацію про загрозу та ідентифікатори компрометації можна знайти за посиланням.

До речі, комп’ютери, що використовують операційну систему Windows 7, в два рази частіше схильні до зараження, ніж комп’ютери на базі Windows 10.

Зверніть увагу, що останнє оновлення операційної системи для Mac, MacOS Catalina, було випущено на початку цього тижня, і разом із цим з’явився цілий список проблем – як незначних, так і великих.

Також компанія Microsoft оголосила, що розширена підтримка для Office 2010 буде діяти до 13 жовтня 2020 року. Після цієї дати офісний пакет версії 2010 більше не буде отримувати оновлення безпеки.

Дослідники з кібербезпеки з компанії Fortinet виявили декілька вразливостей в роутерах D-Link. Багато з цих маршрутизаторів досі знаходяться у вільному продажі в інтернет-магазинах, хоча D-Link вже припинила їх виробництво і підтримку. Як перевірити, чи Ваш роутер досі підтримується виробником і для нього доступні оновлення безпеки, дізнайтесь зі статті.

Не всі загрози для дитини в Інтернет-просторі є результатом дій кіберзлочинців. Часто проблеми юних користувачів можуть бути спричинені знущаннями товаришів. Вже давно цькування (буллінг) серед підлітків вийшло за межі школи та поширилося на кіберпростір.

Ця стаття Група хакерів атакує урядові установи ЄС раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин