Незвичайний майнер LoudMiner, який здатний добувати криптовалюта на різних операційних системах, виявили експерти компанії ESET. Існують дві версії загрози для macOS і одна для Windows.

Завантаження майнера на пристрій жертви відбувається під час установки піратських копій програм для роботи зі звуком. У якості приманки виступали популярні програми Ableton Live, Nexus, Reaktor 6, Propellerhead Reason та інші.

Перший шкідливий зразок такої програми – Kontakt Native Instruments – був завантажений у серпні 2018 року. Піратські копії програмного забезпечення розміщувалися на 29 серверах і регулярно оновлювалися. Всього було виявлено 137 версій аудіозастосувань з прихованим майнінгом.

Використання таких програм як наживка викликано тим, що користувач може довгий час не помічати присутність майнера, адже програми для обробки звуку значно збільшують навантаження на процесор, тому жертва не запідозрить, що насправді процесор майнить криптовалюту.

LoudMiner працює за допомогою програмного забезпечення для віртуалізації QEMU на комп’ютерах macOS і через VirtualBox на пристроях під управлінням Windows. Для майнінгу використовується віртуальна машина Tiny Core Linux, що дозволяє добувати криптовалюту Monero на різних операційних системах.

Фахівці рекомендують не завантажувати піратські програми, а також звертати увагу на незвичайну поведінку комп’ютера – наприклад, на збільшення споживання електроенергії або зростання навантаження на процесор.

Нагадаємо, у втручанні у роботу Державних реєстрів Міністерства юстиції України затримали 24 річного киянина, який маючи у користуванні ключі доступу до реєстрів, за гроші проводив незаконну перереєстрацію майна на підставних осіб.

Також компанія, яка виробляє розумну платформу управління будинком, пропускала дані про своїх клієнтів і паролі пристроїв через сервер ElasticSearch, який залишився в Інтернеті без пароля.

YouTube, Chrome, Play Music/YouTube Music та Play Store є винуватцями швидкого витрачання трафіку. На щастя, Android має ряд інструментів, які допомагають зберігати трафік кожного місяця.

Ця стаття Піратські програми для звуку на macOS і Windows майнять криптовалюту раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

На початку 2019 року компанія Samsung додала до своїх телевізорів антивірусне програмне забезпечення McAfee, а ось кілька днів тому з офіційного екаунту технічної підтримки Samsung у Twitter надійшло повідомлення щодо обов’язкової ручної антивірусної перевірки телевізорів, підключених до Wi-Fi мережі.

Тож чи потрібно запускати сканування на віруси на Вашому телевізорі?

Як пише портал How-To Geek, проводити антивірусне сканування на телевізорах Smart TV не потрібно. Якщо Samsung вважає, що Вам потрібно регулярно запускати ручні сканування на телевізорі, щоб залишатися в безпеці, то це вагомий аргумент відмовитися від придбання пристроїв Samsung Smart TV.

Якщо ж Ви вже є власником “розумного” телевізора даної компанії, то це вагомий аргумент, щоб розірвати з’єднання бездротової мережі і скористатися цифровими медіаплеєрами, такими як Roku, Apple TV, Fire TV або Chromecast.

Якщо Samsung захоче реалізувати автоматичне фонові перевірки на наявність шкідливих програм, яке буде опціональним, то це абсолютно нормально. Але просити користувачів вручну запускати сканування на своїх телевізорах – це повний абсурд, і компанія явно чинить неправильно, вважають фахівці.

Цікаво, що через певний час неоднозначний твіт в офіційному екаунті Samsung Support був видалений, але він доступний в сервісі Internet Archive.

Крім того, в Samsung QLED TV зберігається антивірусне програмне забезпечення. Запустити антивірусну перевірку можна в Меню> Загальні> Система> Smart Security.

Чи може телевізор підчепити вірус?

Існує ймовірність зламу смарт-телевізорів, але швидше за все, це буде результатом атаки нульового дня, яку не зможе виявити антивірусне програмне забезпечення.

Як і більшість пристроїв Інтернету речей, підключені до Мережі пристрої отримують патчі безпеки відносно нещодавно. Програмне забезпечення Вашого телевізора може також дуже швидко зістаритись і стати уразливим для атаки.

Якщо Ви використовуєте стару модель Smart TV зі старим неоновленим програмним забезпеченням на базі Android TV, то проблема безпеки для Вас актуальна. Фахівці рекомендують відмовитися від використання антивірусу на телевізорі, адже на більшості телевізорів це просто неможливо!

Якщо Ви турбуєтеся про безпеку телевізора, просто відключіть його від Wi-Fi мережі і використовуйте замість нього Apple TV, Google Chromecast або подібний пристрій для потокового відтворення контенту. Якщо Ваш телевізор не підключений до Інтернету, то приводів для занепокоєння практично немає.

Нагадаємо, засновник компанії Nitro-Team і фахівець з кібербезпеки з Казахстану Батиржан Тютеєв запустив Telegram-бота, за допомогою якого користувач може перевірити, чи витікали паролі від його електронної пошти до будь-яких баз. За даними творця бота, за годину ним встигли скористатися 10 тисяч осіб.

Також працівники кіберполіції викрили двох 33-річних чоловіків, причетних до викрадення майже 420 тисяч гривень з рахунку одного з мешканці Київщини. Знаючи про вразливості онлайн-ресурсу потерпілого, зловмисник використав їх для викрадення коштів.

Окрім цього, у Google Maps виявили корисну функцію – стежити за тим, щоб Ваше таксі або громадський транспорт дотримувалися прокладеного маршруту. Функція оповіщення про відхилення від заданого маршруту буде попереджати користувача в той момент, коли транспорт відхилиться від курсу на 500 метрів.

Ця стаття Samsung просить користувачів сканувати телевізори на віруси раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Застаріле шкідливе програмне забезпечення ICEFOG (інша назва Fucobha), яке вважали таким, що зникло, знову з’явилося в арсеналі кіберзлочинців.

Спочатку ICEFOG використовувався однойменною китайської APT-групою, діяльність якої описали ще в 2013 році. Після публікації звіту угруповання згорнуло свої операції, і ICEFOG зник з кіберзлочинної арени. Однак, як виявилося, робота над шкідливим ПЗ не припинялася.

На конференції з кібербезпеки, що відбулася в Польщі минулого тижня, дослідниця компанії FireEye Чи-Ень Шень повідомила про виявлення оновлених версій ICEFOG. Головні з них, ICEFOG-P і ICEFOG-M, використовувалися в атаках з 2014-го і 2018 го року відповідно. Обидві версії є прямими “нащадками” оригінального ICEFOG, а значить, насправді робота над шкідливим ПЗ не припинялася. Більш того, Шень виявила раніше невідому версію ICEFOG для Mac.

Примітно, що угрупування, що використовують нові версії ICEFOG, ніяк не пов’язані з однойменною APT-групою. Шкідливе ПЗ було виявлене у величезних кількостях операцій, що проводяться різними угрупованнями.

“Операції, що проводяться в 2011-2014 роках, відрізнялися послідовністю, що вказувало на ексклюзивне використання шкідливого ПЗ однією групою. Нові варіанти стали використовуватися різними групами вже після кампанії 2013 року. Я порівняла інфраструктуру, що використовувалася в кампанії 2013 року, з кампаніями після 2014 року і не змогла виявити зв’язок”, – повідомила дослідниця виданню ZDNet.

Яким чином шкідник опинився в арсеналі багатьох угруповань, Шень важко сказати. Проте, раніше ІБ-експерти вже стикалися з використанням одних і тих же інструментів різними китайськими угрупованнями.

Нові варіанти ICEFOG були виявлені в атаках на європейську сільськогосподарську компанію, урядові та фінансові організації, а також ЗМІ, урядові установи пострадянських країн (Roaming Tiger), казахських посадових осіб (APPER) тощо. У 2018-2019 роках шкідник використовувався в атаках на турецькі і казахські організації (операція SKYLINE).

До речі, аби незаконно зняти кошти з банківських рахунків, зловмисники вдаються до нових видів шахрайства. Наприклад, шляхом перевипуску абонентського номеру, пов’язаного з банківською карткою користувача, у довірливих жертв знімають кошти з рахунків.

Також за останні кілька років майже 440 мільйонів користувачів Android встановили додатки з Google Play Store, що містять нав’язливу рекламу.

Нагадаємо, що спільна команда дослідників з Віргінського політехнічного інституту, аналітичного центру RAND і компанії Cyentia Institute опублікувала результати цікавого дослідження, з’ясувавши, яка кількість уразливостей, виявлених за останній десяток років, насправді використовувалася у реальних атаках.

Окрім цього, незважаючи на безліч шахрайських схем – від нав’язливої реклами і до майнінгу криптовалют за Ваш рахунок – існує кілька простих порад, які вбережуть Ваш браузер і комп’ютер від зовнішніх загроз.

Ця стаття Модернізоване старе ПЗ здатне зламати Mac і використовується у безлічі кібератак раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Нове шкідливе програмне забезпечення Plead виявили фахівці з кібербезпеки. Бекдор Plead був створений та виконувався легітимним процесом під назвою AsusWSPanel.exe, який належить клієнту для служби хмарних сховищ ASUS WebStorage. Виконуваний файл був підписаний компанією ASUS Cloud Corporation в цифровій формі.

Про це йдеться у повідомленні компанії ESET.

У квітні 2019 дослідники ESET за допомогою телеметрії зафіксували багаторазові спроби розгортання даного шкідливого програмного забезпечення незвичайним способом. Найбільша активність шкідливої ​​програми була виявлена ​​на території острова Тайвань. Раніше повідомлялося, що бекдор Plead використовувався групою BlackTech в атаках, які спрямовані на користувачів Азії.

“Програмне забезпечення ASUS WebStorage є уразливим до такого типу атаки. Користувачеві пропонується виконати оновлення програмного забезпечення, яке передається за допомогою протоколу HTTP; після того, як оновлення завантажено, програма не перевіряє його достовірність перед виконанням. Таким чином, якщо процес оновлення перехоплений кіберзлочинцями, вони можуть використовувати його в зловмисних цілях”, — розповідають спеціалісти компанії ESET.

Бекдор також інфікує уразливі роутери і навіть використовує їх як командні сервери для шкідливого програмного забезпечення.

“Дослідження показало, що більшість інфікованих користувачів використовували роутери одного виробника; більше того, адмін-панелі цих маршрутизаторів доступні в Інтернет-мережі. З чого випливає, що найбільш ймовірним сценарієм є атака MITM на рівні роутера”, — додають спеціалісти компанії ESET.

Можливий й інший, проте менш ймовірний сценарій інфікування користувачів — це атака на ланцюг постачання, яка відкриває необмежені можливості для зловмисників.

Кіберзлочинці постійно шукають нові способи прихованого інфікування шкідливими програмами. Саме тому для розробників ПЗ дуже важливо не тільки ретельно захищати своє середовище від можливих вторгнень, але й впроваджувати відповідні механізми оновлення в своїх продуктах від атак виду MITM.

Рекомендації із захисту роутера

• Використовуйте унікальний пароль для доступу до роутера, уникайте стандартних фраз та комбінацій з наявністю реєстраційних даних користувача.
• Важливим елементом захисту WiFi-роутера є контроль підключених пристроїв, які можуть поширювати трояни, програми-вимагачі та інші шкідливі програми.
• Здійснюйте регулярне оновлення Вашого роутера для виправлення уразливостей.
• Використовуйте рішення ESET Internet Security та ESET Smart Security Premium з функцією Захист домашньої мережі. Ця функція дозволяє блокувати загрози, які розповсюджуються через WiFi-мережу, сканує Ваш роутер та підключені до нього девайси на наявність уразливостей, а також надає список підключених пристроїв до Вашого роутер.

Нагадаємо, нову фішингову атаку у месенджері WhatsApp виявили фахівці. Приманкою виступає річна преміум-підписка на популярний музичний сервіс Spotify.

Також попри на сформовану думку комп’ютери Mac далеко не завжди працюють ідеально. Найчастіше у користувачів виникають проблеми з мережею або Wi-Fi підключенням. Пропонуємо кілька способів вирішення проблеми на актуальній версії macOS Mojave.

Окрім цього, у Windows 10 знайшли баг, через який Ваш комп’ютер не зможе виконати завантаження. Це пов’язано зі створенням точки відновлення і подальшим оновленням операційної системи. На щастя, проблема має вирішення.

Ця стаття Роутери ASUS уразливі до нового бекдору: як захистити пристрій? раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Експерти з інформаційної безпеки попередили про кібератаки на сервери Microsoft SharePoint, які тривають протягом вже більше двох тижнів. Під час атак зловмисники експлуатують відому уразливість CVE-2019-0604.

Згідно з повідомленням безпеки Microsoft, уразливість дозволяє виконати довільний код у контексті пулу додатки SharePoint і облікового запису сервера SharePoint. Компанія виправила CVE-2019-0604 з виходом патчів у лютому, березні і квітні нинішнього року.

Демо-експлоїт для уразливості був опублікований дослідником із безпеки Маркусом Вульфтанге (Markus Wulftange) в березні, але незабаром на GitHub і Pastebin стали з’являтися PoC-коди і від інших розробників.

Атаки не змусили себе довго чекати – перші з них були зафіксовані вже в кінці квітня. Центр кібербезпеки Канади (Canadian Centre for Cyber Security) опублікував своє попередження в минулому місяці, а минулого тижня з’явилося ще одне, на цей раз від Національного центру кібербезпеки Саудівської Аравії (NCSC).

Згідно з повідомленнями обох організацій, кіберзлочинці зламують сервери SharePoint і встановлюють на них варіант шкідливого ПЗ China Chopper. Програма представляє собою web-оболонку, що дозволяє зловмисникам підключатися до серверів і запускати різні команди.

Експертам важко сказати, хто стоїть за атаками. Як повідомляє Центр кібербезпеки Канади, “довірені дослідники виявили скомпрометовані системи, що належать науковим організаціям, а також підприємствам комунального господарства, важкої промисловості, виробничого і технологічного секторів”. NCSC не повідомляє, хто став жертвою атак.

На перший погляд атаки можуть здатися пов’язаними між собою, але це не обов’язково так. China Chopper – дуже поширене шкідливе ПЗ і, незважаючи на назву, активно використовується кіберзлочинцями по всьому світу. За словами дослідника з безпеки Кріса Домана (Chris Doman), одна з IP-адрес атакуючих раніше вже була помічена в арсеналі угруповання FIN7.

Щоб уникнути атак рекомендується встановити на сервери SharePoint останні оновлення безпеки. Якщо встановлення патчів неможливе, сервери потрібно захистити за допомогою брандмауера.

Зверніть увагу, кіберзлочинне угрупування, імовірно російського походження, виставило на продаж інформацію, викрадену у трьох американських виробників антивірусного програмного забезпечення. Йдеться про угрупування під назвою Fxmsp, довгий час спеціалізується на продажу справжніх корпоративних даних.

До речі, останні версії браузерів UC Browser і UC Browser Mini для Android-пристроїв, що налічують понад 600 мільйонів завантажень, уразливі до URL-спуфінга. Уразливість була виявлена дослідником безпеки Аріфом Ханом (Arif Khan), який повідомив про неї розробника UC Web минулого місяця.

Нагадаємо, компанія WhatsApp, яка належить Facebook, оновила свою сторінку підтримки операційних систем. Компанія додала нову операційну систему до списку ОС, для якої буде припинено оновлення.

Також новий Android Q буде наділений можливістю, яка дозволить смартфону автоматично зрозуміти, якщо його власник потрапить у автокатастрофу.

Ця стаття Хакери продовжують атакувати сервери Microsoft SharePoint раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Шкідливе програмне забезпечення для викрадення банківських даних знайшли фахівці з кібербезпеки у фірмовому магазині додатків Google Play Маркет. Про це повідомив співробітник компанії ESET Лукас Стефанко у своєму Twitter.

Android banking malware found on Google Play with 10K+ installs

Trojan impersonated Word Translator and targeted banking apps in Czech republic 🇨🇿 and Poland 🇵🇱
To gain control over infected device, it abused accessibility service. #ESETMalwareStats pic.twitter.com/F3wIKC6Nav

— Lukas Stefanko (@LukasStefanko) February 18, 2019

Тоянська програма ховалася у додатку Word Translator та була націлена на викрадення даних мобільного банкінгу у Чехії та Польщі. “Шкідника” завантажили користувачі Android-пристроїв понад 10 тисяч разів.

Як зазаначає Стефанко, щоб отримати контроль над інфікованим пристроєм, додаток зловживав дозволами та використовував методи ухилення від динамічного аналізу, який не можливо було здійснити в емуляторі чи на root-девайсі.

Нагадаємо, нещодавно виявили “шкідника” Trojan.DownLoad4.11892, який при запуску вивантажує іншу шкідливу програму з метою крадіжки персональних даних власників криптовалют.

Також компанія ESET виявила шкідливе програмне забезпечення для Android, яке маскується під оптимізатор роботи батареї. Троян у лічені секунди знімає кошти з рахунку PayPal і переказує їх шахраям.

Ця стаття У Google Play знайшли банківський троян, який маскувався під перекладача раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Шкідливу програму, яка викрадає дані жертв для доступу до їх криптовалютних гаманців, виявили у офіційному магазині додатків Google Play Маркет. Про це повідомляє компанія ESET.

Шкідливе програмне забезпечення може замінювати адреси онлайн-гаманців Bitcoin або Ethereum, скопійованих у буфер обміну, на адреси зловмисників.

Загроза Android/Clipper.C з’явилася у Google Play Маркет в лютому 2019 року та поширювалася в магазині під виглядом мобільного додатка MetaMask. Кіберзлочинці скористалися відсутністю мобільної версії програми, а їх метою стали користувачі, які звикли використовувати мобільні версії різних додатків.

Після виявлення спеціалістами ESET шкідливий додаток видалили  з Google Play Маркет.

Вперше шкідлива програма під назвою Android/Clipper.C була зафіксована в 2017 році на пристроях Windows, а в 2018 році була виявлена ​​в неофіційних магазинах для програм Android.

Щоб захистити Ваші пристрої від подібних шкідливих програм дотримуйтесь таких правил:

• здійснюйте регулярне оновлення програмного забезпечення;
• використовуйте надійні рішення з безпеки для мобільних пристроїв;
• завантажуйте програми з офіційних магазинів;
• перевіряйте наявність додатка на офіційному сайті розробника програми;
• будьте обережні з наданням дозволу додаткам на доступ до конфіденційних даних пристрою;
• при використанні буфера обміну завжди перевіряйте правильність інформації, яку вставляєте.

Нагадаємо, нещодавно у магазині Google Play Маркет знайшли 19 шкідливих GPS-додатків, які показували рекламу.

Також Cybercalm писав, що Apple пригрозила виробникам видаленням з App Store додатків, які шпигують за користувачами.

Ця стаття Фейковий додаток на Android викрадав дані до криптовалютних гаманців раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Дослідники з Франції виявили, яким чином незаконні веб-додатки взаємодіють з плагінами браузерів, а потім викрадають приватну інформацію та дають можливість хакерам перехоплювати управління комп’ютером, пише Threatpost.

Кількість плагінів для браузерів Chrome, Opera, Mozilla Firefox та інших зростає, але не всі вони однаково корисні. Веб-додатки — це програми, які запускаються з сервера на комп’ютері чи смартфоні-клієнті (наприклад, редактор документів Google Docs). Тоді як плагін для браузера — це програма, яка інтегрується у браузер для розширення його функцій (наприклад, для збереження відео з Youtube).

Плагіни часто мають доступ до приватної інформації, якою оперує користувач у браузері (зокрема, історія пошуку, закладки тощо). Також у них є свій простір для зберігання інформації, який існує до тих пір, поки вони інстальовані у браузері.

А деякі веб-додатки здатні взаємодіяти з плагінами та обмінюватися даними користувача, якщо вони якимось чином обходять політику безпеки SOP (Same Origin Policy).

Якщо спеціально написати веб-додаток, щоб він обходив обмеження з обміну даними, тоді атака на користувача здійснюється через скрипт, дію якого користувач не бачить. До речі, скрипт може не належати авторам додатку, а бути комп’ютерним вірусом, який заразив цей додаток.

Скрипт взаємодіє з плагінами браузера, шукаючи та викрадаючи різну приватну інформацію, якою оперують плагіни “з привілеями”. Мало того, потенційно плагіни та додатки можуть обмінюватися інформацією між собою, якщо вони написані в рамках одного API.

Дослідники звертають увагу на WebExtensions API, який є кросплатформенним і в рамках якого написано більшість розповсюджених додатків. У таблиці видно, що з більш ніж 78 тисяч різних додатків більш ніж 3 тисячі виявилися шкідливими або підозрілими.

Ця стаття Як веб-додатки перетворюються на бекдори, дослідили французи раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим