Багатофункціональний “шкідник” VPNFilter, якому вдалося інфікувати 500 тисяч роутерів у 54 країнах, хоч і був дезактивований два роки тому, однак досі не вичищений із сотень мереж і чекає свого часу.

Такі невтішні результати чергової перевірки, яку провели дослідники з Trend Micro. Шкідлива програма VPNFilter з’явилася в Інтернеті в 2018 році. До переліку її мішеней входить широкий спектр мережевих пристроїв – десятки моделей роутерів і мережевих накопичувачів від ASUS, D-Link, Huawei , Linksys, MikroTik, Netgear, QNAP, TP-Link, Ubiquiti, UPVEL і ZTE.

Що вміє шкідливе ПЗ?

“Шкідник” володіє широкими можливостями: він вміє збирати інформацію про заражений пристрій і надсилати її на свій сервер, відкривати віддалений доступ, перенаправляти трафік, який проходить через роутер, блокувати задані адреси, виконувати сканування портів, складати карту мережі, проводити атаки “людина посередині” (MitM), перезаписувати файли прошивки зараженого пристрою.

Свій С2-сервер VPNFilter шукає, запитуючи образ на Photobucket. У разі невдачі він звертається до домену toknowall [.] Сom. Якщо і ця спроба виявилася провальною, “шкідник” починає переглядати вхідні TCP-пакети в очікуванні послання з IP-адресою.

Домен toknowall [.] Com давно нейтралізований спільними зусиллями експертів з кібербезпеки, активістів та ФБР – відповідний сервер був підмінений за методом sinkhole, і спроби з’єднання з ним контролюють фахівці.

5,5 тисяч пристроїв досі заражені

Переглянувши останні дані про підключення, в Trend Micro виявили, що VPNFilter досі присутній намайже на 5,5 тисячах мережевих пристроях. Насправді кількість заражень, за словами експертів, може бути значно вищою: багато заблокували доступ до шкідливого домену на рівні DNS.

Дослідники також вирішили перевірити, скільки заражених пристроїв готові до відновлення шкідливої ​​активності. Вони сформували мережевий пакет з IP-адресою sinkhole-сервера і розіслали його інфікованим адресатам. Позитивний відгук був отриманий з 1,8 тис. мереж, а 363 знову запросили домен toknowall [.] Com, намагаючись встановити з’єднання на порту 443.

Вирішити проблему, яка збереглася, за словами експертів, можна заміною зараженого пристрою або оновленням прошивки – відповідні патчі повинні були вже вийти. Перезавантаження в даному випадку не допоможе, хоча раніше вважалося, що це надійний спосіб позбутися від VPNFilter.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як використовувати “Швидкі команди” на Apple Watch? – ІНСТРУКЦІЯ

Як змінити обліковий запис Google за замовчуванням на комп’ютері? – ІНСТРУКЦІЯ

Як використовувати Google Duo для здійснення відеодзвінків? – ІНСТРУКЦІЯ

Як додавати, редагувати або видаляти збережені паролі в Microsoft Edge? – ІНСТРУКЦІЯ

Як швидко очистити всі сповіщення на Mac? ІНСТРУКЦІЯ

Нагадаємо, американське розвідувальне співтовариство офіційно звинувачує російських хакерів у зламі SolarWinds. Підозрюють, що російські хакери, які фінансуються державою, зламали ІТ-компанію SolarWinds, яку вони потім використали як стартовий майданчик для проникнення в кілька урядових відомств США

Також дослідники з безпеки виявили нову родину програм-вимагачів, яка націлилася на корпоративні мережі, та попередили, що професійні кіберзлочинці вже вдарили по декількох організаціях за допомогою схеми шифрування файлів.

Окрім цього, браузер Edge буде постійно звіряти інформацію з базами даних про розсекречені логіни і паролі – користувачі отримуватимуть інформацію у разі виявлення діяльності з боку кібершахраїв. Також власникам пристроїв надаватимуть поради, що дозволяють змінити конфіденційні дані з метою збереження високого рівня безпеки.

За останніми даними, один із найбезпечніших месенджерів Signal набуває популярності як в Україні, так і в США. Навіть Ілон Маск підтримав хвилю популярності і порадив користуватися Signal у себе в Твіттері. У чому його переваги, читайте у статті.

Ця стаття У сотні мереж досі працюють роутери, інфіковані небезпечним шкідником VPNFilter раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Виявлена ​​нова шкідлива програма для Windows, яка поширюється через цільові email-розсилки. Ланцюжок зараження запускає макрос, вбудований в документ Word. Після активації він завантажує з GitHub сценарій PowerShell, який, в свою чергу, завантажує з Imgur код Cobalt Strike, захований в зображенні за методом стеганографії.

Автор знахідки припустив, що це черговий витвір APT-групи MuddyWater, вона ж SeedWorm і TEMP.Zagros. Ці зловмисники теж використовують багатоступеневі скриптові шкідники і розповсюджують їх через електронну пошту.

Тестування, проведене Bleeping Computer, підтвердило результати, отримані дослідником. Декодування шел-коду Cobalt Strike – легітимного інструменту пентестингу – показало, що зловмисники не тільки ховають його в PNG-картинці, але також намагаються видати за нешкідливий EICAR -файл, який перевіряє статус антивірусу.

Насправді це корисне навантаження забезпечує зв’язок з C2-сервером через інтерфейс WinINet (Win32 Internet Extensions). На момент публікації Bleeping Computer домен, в якому автори атаки підняли свій сервер, був поза доступом.

Цей домен, як з’ясував дослідник, який виявив шкідника, був зареєстрований приблизно 20 грудня 2020 року. Віддача PowerShell-скрипта з GitHub почалася 24 грудня 2020 року, і тоді ж з’явилися перші зразки на VirusTotal.

Легітимні сервіси GitHub і Imgur далеко не перший раз використовуються для зберігання і маскування шкідливого коду. Так, з GitHub зовсім нещодавно завантажував один зі своїх модулів самохідний бот Gitpaste-12, а Imgur в цьому році віддавав картинки з кодом Mimikatz в рамках цільових атак на ланцюжка поставок в Японії і країнах Західної Європи.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як безпечно робити покупки в Інтернеті на новорічні свята? Поради

Як безпечно організовувати і брати участь в онлайн-зустрічах?

Як дізнатися, коли було встановлене основне оновлення Windows 10? ІНСТРУКЦІЯ

Як увімкнути зникаючі повідомлення у WhatsApp? – ІНСТРУКЦІЯ

Топ-15 смартфонів із найшвидшою зарядкою

Зверніть увагу, генеральні прокурори десяти американських штатів подали антимонопольний позов проти Google. Вони звинувачують компанію в змові з Facebook і порушення законодавства про рекламу в Інтернеті.

Окрім цього, три мільйони користувачів стали жертвами шкідливих розширень для браузерів Chrome і Edge. Ці розширення викрадали персональні дані і перенаправляли користувачів на фішингові сайти.

До речі, американська компанія SolarWinds розпочала розслідування кіберінціденту, під час якого зловмисникам вдалося використати продукти SolarWinds в атаках на державні і приватні організації США. Кіберзлочинці змогли скомпрометувати систему збирання софту, яку використовують для моніторингової платформи Orion

Нагадаємо, що iOS 14.3 і iPadOS 14.3 отримали виправлення 11 проблем безпеки, серед яких є настільки серйозні, що зловмисник може виконати код на пристроях iPhone і iPad. Для експлуатації двох найсерйозніших багів хакеру досить використовувати спеціально підготовлений файл шрифту, за допомогою якого можна запустити шкідливий код в системі жертви.

Ця стаття У документи Word вбудовували небезпечні скрипти та розсилали поштою раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Фахівці з кібербезпеки виявили нову загрозу, яка може бути стійкою перед усіма відомими методами боротьби. Новий ботнет настільки швидко розвивається, що вже встиг “поневолити” майже 20 тисяч комп’ютерів.

Він відомий як DDG, але ховається в тіні вже принаймні два роки, пише Forbes.

DDG вперше виявили на початку 2018 року фахівці з мережевої безпеки в китайській Netlab 360. Коли DDG щойно з’явився, він мав під контролем трохи більше 4 тисяч жертв і використовував їх для видобутку криптовалюти Monero, але відтоді все змінилося.

Сьогодні DDG вразив у п’ять разів більше комп’ютерів і ускладнив свої способи атаки. Ботнет розроблений за моделлю клієнт/сервер: заражені машини отримують інструкції з серверів, а потім виконують їх.

Однак DDG має план Б: власна однорангова мережа. Якщо жертви не можуть зв’язатися з серверами, вони автоматично переходять на P2P-канали, щоб продовжувати роботу – обмінюючись інструкціями, ніби нічого не сталося.

Вони навіть використовують вбудовану проксі-систему, щоб призупинити свою діяльність. Фахівці з кібербезпеки часто зупиняють ботнети, за допомогою контролю доменного імені або необхідного сервера. На жаль, це не допоможе проти DDG.

Незважаючи на свою вдалу систему атак, ботнет DDG розповсюджується дуже повільно. Його поширення географічно також досить обмежене – 86% атак відбуваються в Китаї. DDG важко порівняти з такими вірусами як Conficker або Necurs, які вразили десятки мільйонів комп’ютерів. Спеціалісти Netlab 360 вважають, що є просте пояснення.

Той, хто створив DDG, мабуть, дуже задоволений своїм винаходом і не збирається вдосконалювати його. Жертви DDG можуть здобувати достатню кількість криптовалюти, не привертаючи до себе великої уваги.

Також радимо звернути увагу на поради, про які писав Cybercalm, а саме:

На час карантину під час Вашої роботи вдома існує більша загроза бути підданим кіберзламу, ніж би Ви виконували завдання в офісі. Щоб зменшити ризики інфікування шкідливими програмами та підвищити безпеку віддаленого доступу,  дотримуйтесь наступних правил.

Нагадаємо, компанії Apple і Google об’єдналися, щоб створити систему відстеження контактів з хворими коронавірусом на iOS і Android.

Також понад 300 облікових записів Zoom виявили на одному з форумів у Даркнеті, де викладаються та продаються різні особисті дані.

Якщо Ваш смартфон потрапить до чужих рук, уся Ваша конфіденційна інформація може бути використана у зловмисних цілях. Саме тому важливо потурбуватися про безпеку своїх даних задовго до втрати чи викрадення телефону.

Як запевняють в Apple, користувач в масці не може пройти аутентифікацію за допомогою сканера особи Face ID, проте фахівці з Tencent Xuanwu Lab довели зворотне.

Ця стаття Оновлений небезпечний ботнет інфікував у п’ять разів більше комп’ютерів раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Нову активність вже відомої групи кіберзлочинців Winnti зафіксували фахівці з кібербезпеки. Цього разу ціллю зловмисників стали університети Гонконгу.

Про це йдеться у повідомленні антивірусної компанії ESET.

У листопаді 2019 року система машинного навчання ESET зафіксувала унікальний шкідливий зразок на комп’ютерах двох вищих навчальних закладів Гонконгу. Крім підтверджених випадків інфікування, фахівці виявили ознаки компрометації ще щонайменше як трьох університетів.

Відповідно до результатів попередніх досліджень цілеспрямованих атак групи Winnti на геймерів та розробників відеоігор стало відомо, що зловмисники використовували бекдор ShadowPad. Тоді як у атаках на гонконгські університети бекдор ShadowPad було замінено на нову та простішу версію, яку продукти ESET виявляють як Win32/Shadowpad.C.

“Зразки бекдора ShadowPad та шкідливого програмного забезпечення Winnti, зафіксовані в цих університетах у листопаді 2019 року, містять ідентифікатори кампанії та URL-адреси командного сервера (C&C) відповідно до назв вищих навчальних закладів, що свідчить про цілеспрямовану атаку”, — коментують дослідники ESET.

Можливою ціллю зловмисників було викрадення конфіденційних даних з пристроїв жертв. Варто зазначити, що атаки групи Winnti відбувалися під час місцевих протестів в Гонконгу, включаючи території університетів.

“ShadowPad — це багатомодульний бекдор, і за замовчуванням кожне натискання клавіш користувачами записується за допомогою спеціального модуля. Використання цього модуля вказує на те, що зловмисники націлені на викрадення інформації з пристроїв жертв. Варто зазначити, що відповідно до попередніх досліджень діяльності кіберзлочинців цей модуль навіть не був вбудований у бекдор”, — коментують дослідники ESET.

До речі, шкідник-вимагач FTCODE знову проявив активність, але тепер він ще й має нові можливості крадіжки інформації, орієнтовані на браузери та сервіси електронної пошти.

Зверніть увагу, дослідники Google виявили у браузері Apple Safari численні уразливості, що дозволяли стежити за активністю користувачів в Інтернеті.

Цікаво, що поки не вийшло офіційне виправлення від Microsoft, на платформі 0patch став доступний тимчасовий мікропатч для уразливості, яку активно зараз експлуатують, – CVE-2020-0674 з віддаленого виконання коду в браузері Internet Explorer 11.

Також Apple передумала давати користувачам iPhone можливість шифрувати дані, які зберігаються в iCloud.

Окрім цього, фахівці представили зразок здирницького програмного забезпечення, яке шифрує файли за допомогою компонента Windows.

Мобільний телефон генерального директора Amazon Джеффа Безоса зламали за допомогою шкідливого відео, відправленого через повідомлення в месенджері WhatsApp.

Ця стаття Кіберзлочинці атакують університети Гонконгу з метою викрадення даних раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

42 рекламні програми знайшли у Google Play Маркеті, які поряд з наданням обіцяного функціоналу, такого як завантаження відео, гри чи радіо відображають рекламу та збирають інформацію про пристрій жертви. Шкідливі додатки були завантажені понад вісім мільйонів разів.

Загрозу антивірусні продукти виявляють як Android/AdDisplay.Ashas. Також дослідникам вдалося відстежити їх розробника та виявити додаткове програмне забезпечення, завантажене рекламними програмами.

“Ми виявили, що до цієї кампанії належать 42 додатки в Google Play, 21 з них був активний на момент виявлення. Після надання цієї інформації спеціалістам з безпеки Google додатки були видалені з офіційного магазину. Однак вони все ще доступні в сторонніх магазинах”, — розповідає Лукас Штефанко, дослідник ESET.

Для приховування власної діяльності рекламні програми використовують витончені техніки. Наприклад, вони можуть відображати спливаючі оголошення з певною затримкою після розблокування пристрою, щоб уникнути виявлення під час процедур перевірки.

Також ці додатки можуть приховувати свою піктограму та створювати ярлик замість неї. Тому спробувавши видалити шкідливе програмне забезпечення, користувач просто видалить ярлик. Сама ж рекламна програма продовжить працювати у фоновому режимі без відома жертви. Цей прихований прийом часто використовується рекламними програмами, які поширюються через Google Play.

Крім цього, додатки можуть запускати рекламу нібито від імені Facebook або Google.

“Шкідливе рекламне програмне забезпечення імітує ці два додатки, щоб уникнути підозр та залишатися на пристрої жертви якомога довше”, — розповідає Лукас Штефанко.

Іншою особливістю є те, що сімейство рекламних програм Ashas приховує свій код під назвою пакета com.google.xxx.

“Маскування під легітимну службу Google може допомогти уникнути перевірки. Оскільки деякі механізми виявлення та пісочниці можуть створювати «білі» списки таких назв пакетів для економії ресурсів”, — пояснює дослідник.

Під час аналізу загроз фахівці з кібербезпеки змогли відстежити розробника рекламного ПЗ, який також є оператором кампанії та власником командного сервера (C&C). За словами дослідників, встановлення особи розробника було другорядною інформацією, виявленою в процесі дослідження цих додатків.

Хоча рекламне програмне забезпечення не становить значної небезпеки, порівняно з іншими формами шкідливого програмного забезпечення, легкість проникнення його в офіційний магазин додатків викликає занепокоєння. Зокрема після інфікування пристрою жертви такі загрози можуть:

• відображати користувачам нав’язливу рекламу;
• витрачати ресурси акумулятора пристрою;
• генерувати більший мережевий трафік;
• збирати особисту інформацію жертв;
• приховувати свою присутність на інфікованому пристрої;
• отримувати дохід для свого оператора без взаємодії з користувачем.

“Щоб запобігти інфікуванню власних пристроїв подібними загрозами, користувачі повинні дотримуватися основних правил безпеки в мережі Інтернет та використовувати якісне рішення для захисту онлайн”, — рекомендує Лукас Штефанко.

Нагадаємо, ботнет 10-річної давнини Phorpiex знов активізувався. На цей раз ботнет, який в даний час контролює понад 450 000 комп’ютерів у всьому світі, нещодавно змінив тактику з зараження комп’ютерів програмами-вимагачами або майнерами криптовалют, на їх використання для розсилки електронних листів з вимогами шантажу мільйонам невинних людей.

Також кіберзлочинці, які займаються зламом корпоративних мереж, спочатку зламують мережі великих компаній, а потім здають в оренду або продають доступ до них іншим злочинним угрупуванням. Вони пропонують свої послуги у Даркнеті та через захищені месенджери, а згодом співпрацюють з операторами програм-шифрувальників.

Зверніть увагу, що фальшиву версію браузера Tor, який кіберзлочинці використовують для викрадення криптовалюти Bitcoin у покупців Даркнет-ринків та шпигування за користувачами, виявили фахівці з кібербезпеки компанії ESET. Загальна сума отриманих коштів на всі три гаманці становила 4.8 Bitcoin, що відповідає приблизно 40 тисячам доларам США.

Окрім цього,  голосових помічників можуть використовувати зловмисники, щоб підслуховувати розмови або обманом дізнаватися у користувачів конфіденційну інформацію. Дослідники розповіли про ряд проблем в Alexa і Google Home, які розробники Google не можуть усунути вже кілька місяців. Загрозу становлять шкідливі програми, розроблені третіми особами.

Згідно похмурого, але не занадто надуманого сценарію, хакер може атакувати антену 5G, відправивши шкідливі сигнали мільйонам підключених до неї пристроїв. Це призведе до колапсу в роботі транспортної системи та енергосистеми і паралізує міста. Коли уряди все більшої кількості країн розмірковують про ризики роботи із закордонними постачальниками мереж 5G, всі погляди прикуті до Швейцарії, яка однією з перших прийняла на озброєння цю технологію.

Ця стаття Рекламні додатки з Google Play збирали дані про користувачів раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Фахівці з кібербезпеки виявили нові атаки на ланцюг постачання групою кіберзлочинців Winnti. Зокрема зловмисники здійснювали цілеспрямовані атаки на гравців та розробників відеоігор в країнах Азії.

Група Winnti відома своїми шпигунськими можливостями та цілеспрямованими атаками. Раніше спеціалісти ESET вже попереджали про атаки на геймерів в Азії. Після цієї публікації дослідники ESET продовжили аналізувати у двох напрямках — основні етапи інфікування та способи компрометації шкідливим програмним забезпеченням.

“Дуже важко виявити невеликий фрагмент прихованого коду у величезній базі коду. Однак ми покладалися на схожість поведінки раніше виявленого коду групи Winnti. Особливий інтерес у нас викликав унікальний пакувальник, який використовувався в останніх атаках на ігрову індустрію Азії. Ми дослідили, чи застосовувався він ще десь, і знайшли подібність”, — коментують дослідники ESET.

Варто зазначити, що цей пакувальник використовувався в бекдорі під назвою PortReuse. Завдяки скануванню Інтернет-простору дослідники ESET змогли виявити бекдор PortReuse та попередили одного з найбільших виробників програмного та апаратного забезпечення для мобільних пристроїв в Азії.

Крім цього, спеціалісти ESET проаналізували нові варіанти ще одного бекдора ShadowPad групи Winnti, який постійно вдосконалювався та активно використовувався зловмисниками. Зокрема ShadowPad отримував IP-адресу та протокол командного сервера (C&C) для використання під час аналізу веб-контенту розміщеного на популярних загальнодоступних ресурсах, таких як GitHub, Steam, Microsoft TechNet або Google Docs. У конфігурації бекдора також є ідентифікатор кампанії. Варто зазначити, що ShadowPad вперше був зафіксований під час атаки на програмне забезпечення NetSarang, яке поширювалось зі шкідливою програмою.

Нагадаємо, компанія Google додала в Chrome Canary нову експериментальну функцію, яка надає користувачам можливість видалити сторонні файли cookie в браузері.

Також співробітники дослідницького інституту Fraunhofer-Institut für Sichere Informationstechnologie (Німеччина) попередили про уразливість в старому коді API Twitter, який як і раніше використовується популярними мобільними iOS-додатками.

Окрім цього, Facebook додала у Instagram нову функцію безпеки для захисту від фішингових атак. Відтепер, отримавши повідомлення від Instagram, користувачі зможуть перевіряти, чи насправді його прислала компанія, або це приманка фішерів.

Зверніть увагу, що у Opera 64 з’явився блокувальник трекерів, вмикати та вимикати який можна в меню “Просте налаштування” і в налаштуваннях браузера.

До речі, компанія Microsoft випустила чергові щомісячні оновлення безпеки для своїх продуктів. В цілому було виправлено 59 уразливостей в Windows і пов’язаному ПЗ, 9 з яких є критичними, 49 – небезпечними і 1 – середньої небезпеки.

Ця стаття Новий небезпечний бекдор атакує комп’ютери геймерів раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар