Другие новости о NOD32

vladimir59

Модератор
Сообщения
28,289
Баллы
113
Eset: фальшивые антивирусы в Google Play скачали до 7 млн пользователей
10.04.2018, ВТ, 16:12,


Специалисты Eset обнаружили в Google Play 35 рекламных приложений, замаскированных под антивирусы. Подделки скачали в общей сложности до 7 миллионов пользователей.

Чтобы ввести в заблуждение пользователя, рекламные приложения имитируют настоящие мобильные продукты для безопасности. Однако их «механизмы детектирования» примитивны и неполны, что приводит к постоянным ложным срабатываниям, а настоящее вредоносное ПО легко избежит обнаружения.

Изученные приложения имитируют работу антивируса одним из четырех методов. Белые и черные списки приложений: в белые списки входят наиболее популярные программы (Facebook, Instagram, LinkedIn, Skype и др.), в черные – всего несколько приложений.

Черные списки разрешений: все приложения, включая легитимные, помечаются как вредоносные, если для работы им нужны некоторые из перечисленных, потенциально опасных разрешений (например, отправка и получение смс, доступ к данным о местоположении, доступ к камере устройства и др.).

Белые списки ресурсов: все приложения, кроме загружаемых из Google Play, помечаются как вредоносные (даже если они легитимны и безопасны).

Черные списки активностей: все приложения, выполняющие операции из заданного списка (например, показ рекламы), помечаются как вредоносные. В черный список входят и легитимные сервисы.

Несколько фальшивых антивирусов имеют характерные особенности. Один из них не является полностью бесплатным – в нем предусмотрен переход на коммерческую «расширенную версию». Еще одно приложение помечает остальные подделки как вредоносное ПО.

Часть приложений предлагает функцию менеджера паролей. Однако функция не способна обеспечить защиту из-за небезопасного хранения данных – для злоумышленника не составит труда получить к ним доступ.

«В обнаруженных приложениях нет функции шифратора, банкера или других вредоносных возможностей, – отметил Лукас Стефанко, вирусный аналитик Eset. – Они мешают пользователю ложными срабатываниями и показом рекламы, а также создают ощущение безопасности. Проблема в том, что миллионы неосторожных пользователей, загрузивших фальшивые антивирусы, легко могли бы установить настоящее вредоносное ПО, использующее ту же маскировку».

Антивирусные продукты Eset детектируют подделки как Android/Blacklister.A. Нежелательные приложения удалены из Google Play после уведомления специалистов Eset.
 

vladimir59

Модератор
Сообщения
28,289
Баллы
113
ESET: хакеры Lazarus переключились на Центральную Америку
25.04.2018, СР, 13:25,


Специалисты ESET обнаружили новые следы активности кибергруппы Lazarus. Эксперты установили, что хакеры стоят за атаками на онлайн-казино в Центральной Америке и некоторые другие цели.

Группа Lazarus получила известность после кибератаки на Sony Pictures Entertainment в 2014 г. Далее специалисты по информационной безопасности детально изучили и связали с этой группой целый ряд инцидентов: эпидемию Wannacry, атаки на банки в Польше и Мексике, фишинговые атаки на подрядчиков Министерства обороны США и др. В этих кампаниях атакующие использовали схожие вредоносные инструменты, включая деструктивное ПО (вайпер) KillDisk, которое запускалось на зараженных устройствах.

Эксперты ESET изучили инструменты, обнаруженные на серверах и рабочих станциях ИТ-сети онлайн-казино в Центральной Америке, и установили их связь с Lazarus. По оценке специалистов, это была сложная многоэтапная атака с использованием десятков защищенных инструментов.

Один из этих инструментов – бэкдор Win64/NukeSped.W, поддерживающий 20 команд, которые совпадают с функциями ранее изученных образцов Lazarus. Второй – консольное приложение Win64/NukeSped.AB. Анализ подтвердил, что этот файл связан с ПО, используемым в атаках на польские и мексиканские объекты.

Эти инструменты использовались в сочетании с двумя вариантами вайпера Win32/KillDisk.NBO, заразившим больше ста машин в сети. Есть несколько возможных объяснений его появления: хакеры могли скрывать следы после атаки, либо использовать KillDisk для вымогательства или киберсаботажа. В любом случае, это масштабное заражение, указывающее на значительные ресурсы атакующих.

Данные телеметрии ESET, а также одновременное использование Win32/KillDisk.NBO и других известных инструментов Lazarus в зараженной сети указывают на то, что вайпер развернули именно хакеры Lazarus, а не какая-либо другая кибергруппа.

Помимо этого, атакующие использовали как минимум два дополнительных инструмента: модифицированную версию Mimikatz для извлечения учетных данных Windows и Browser Password Dump для восстановления паролей из популярных веб-браузеров.
 

vladimir59

Модератор
Сообщения
28,289
Баллы
113
ESET нашла опасную программу, избегавшую обнаружения с 2013 года
19.06.2018 06:08


Вирус специалисты обнаружили на компьютерах в России и Украине, причем он работает с 2013 года, но обнаружить его смогли только сейчас.
Вирус под названием InvisiMole был замечен компанией ESET, и нацелен он на слежку за пользователем.

Проникая на компьютер вредоносная программа получает доступ ко всем файлам, хранящимся на устройстве, а также отслеживает все действия, которые совершаются пользователем.

Вирус в основном заражал компьютеры, которые использовались на важных объектах, поэтому специалисты так долго не могли заметить его.

В ESET отметили, что InvisiMole способен включать и отключать микрофон и камеры на компьютерах, следить за сетевой информацией и просматривать документы. Как троян попадает на устройство эксперты пока не выяснили.
 

Вложения

vladimir59

Модератор
Сообщения
28,289
Баллы
113
Eset: мошенники в WhatsApp обманом подписывают на премиум-сервис за $50 в месяц
28.06.2018, ЧТ, 15:23,



Специалисты Eset раскрыли детали фишинговой атаки с использованием WhatsApp. Мошенники подписывают пользователей на платный сервис стоимостью $50 в месяц, используя в качестве приманки товары известных брендов «в подарок».

Потенциальная жертва получает в WhatsApp сообщение от пользователя из списка контактов о «бесплатных кроссовках в подарок в честь юбилея adidas». Стоит отметить, что adidas – распространенная, но не единственная приманка в этой кампании, мошенники использовали и другие бренды.

Сообщение содержит ссылку «на страницу акции». Если внимательно к ней присмотреться, можно заметить, что буква i заменена омоглифом – похожим знаком (i без точки) с другим значением. Благодаря использованию омоглифа ссылка выглядит легитимной, хотя таковой не является.

В Eset наблюдали похожие фишинговые атаки и раньше. Однако данная схема привлекла внимание специалистов, благодаря четкой структуре и техническим решениям – например, переадресации на основе данных геолокации.

Когда пользователь переходит по ссылке из WhatsApp, производится проверка ориентации окна и ширины экрана – это позволяет убедиться, что фишинговый сайт открыт со смартфона. Если жертва использует другое устройство, она будет перенаправлена на страницу 404.

Если жертва использует смартфон, фишинговый сайт получает данные геолокации. Далее производится переадресация в зависимости от страны пользователя. В Eset обнаружили «свои» ссылки для Норвегии, Швеции, Пакистана, Нигерии, Кении, Макао, США, Нидерландов, Бельгии и Индии. Если потенциальная жертва из какой-либо другой страны, атака будет завершена.

На следующем этапе пользователю предлагается ответить на четыре вопроса анкеты. Вне зависимости от ответов, он увидит сообщение о том, что «прошел квалификационный отбор». Теперь для «получения подарка» достаточно поделиться сообщением с друзьями на WhatsApp. Пользователь может отправить фишинговую ссылку по списку контактов или имитировать рассылку, в любом случае он перейдет на следующую страницу.

Далее пользователь увидит еще несколько вопросов и кнопку для публикации «акции» на Facebook. Пройдя этот этап, он может «отправить заявку на приз» всего за один доллар.

На последней странице пользователь вводит платежные данные. Вместо обещанной «заявки», он оформит подписку на триальную версию премиум-сервиса. Если не отменить подписку в течение семи дней, полная стоимость услуги – $49,99 в месяц, будет списана с банковской карты.
 

San-Sanich.

Модератор
Сообщения
7,827
Баллы
83
Eset присоединилась к глобальному альянсу по киберзащите

Производитель антивирусного программного обеспечения Eset вошёл в международный альянс по защите пользователей от киберугроз. В него входят более 40 IT-компаний, среди которых — Facebook, Microsoft, SAP, Oracle, Cisco, НР Inc., Dell и VMware.
Вступив в это объединение, Eset будет следовать его основным принципам: равная защита всех пользователей вне зависимости от мотивов атакующих, неприемлемость участия в атаках, организованных правительствами, предотвращение злонамеренного использования продуктов и сервисов, а также развитие технологического сотрудничества и обмен информацией о киберугрозах.
По словам технического директора Eset Юрая Малко, заключенное технологическое соглашение по кибербезопасности (Cybersecurity Tech Accord) соответствует опыту и высокой репутации компании в областях, касающихся защиты людей, данных и устройств.
«Мы уже наблюдали, как вредоносный инструмент, предположительно разработанный правительственной кибергруппой, попал в чужие руки и обусловил глобальную эпидемию. Сегодня, чтобы противостоять злоумышленникам, нужны коллективные усилия», — отметил он.
По оценкам экспертов Symantec, ущерб интернет-пользователей от хакеров в 2017 году составил $172 млрд. В общей сложности от кибермошенников пострадали 978 млн человек из 20 стран мира.
 

vladimir59

Модератор
Сообщения
28,289
Баллы
113
Eset нашла в Google Play приложения для кражи криптовалюты

Eset предупреждает о появлении новых вредоносных приложений в Google Play. Программы были замаскированы под легитимные криптовалютные сервисы и предназначались для кражи учетных данных пользователей.

Новую партию опасных приложений обнаружил специалист по безопасности Eset Лукас Стефанко. Подделки имитировали официальные сервисы NEO, Tether и MetaMask для пользователей криптовалют.

Приложение MetaMask (кошелек для криптовалюты Ethereum) действовало по классической фишинговой схеме. После установки и запуска пользователю предлагалось ввести приватный ключ и пароль от своего криптовалютного кошелька – эти данные затем оказывались в распоряжении злоумышленников.

Вторая схема – подделка кошельков, так действовали приложения NEO и Tether, созданные тем же автором (группой авторов). Настоящие криптовалютные кошельки генерируют для пользователя приватный ключ и публичный адрес для перевода средств. Подделки вместо этого показывали пользователю публичный адрес кошелька атакующих. Криптовалюту, переведенную на такой адрес, невозможно вернуть без приватного ключа, доступ к которому есть только у злоумышленников.

Поддельные приложения созданы с помощью широкодоступного конструктора мобильных приложений, который позволяет «собирать» подобные программы без специальных знаний и навыков.

После обращения специалистов Eset вредоносные приложения были удалены из Google Play.
 

vladimir59

Модератор
Сообщения
28,289
Баллы
113
Eset предупредил об атаке на пользователей Netflix

Эксперты Eset предупреждают о фишинговой атаке, нацеленной на пользователей видеосервиса Netflix. Накануне новогодних праздников была зафиксирована масштабная email-рассылка, в которой мошенники от имени Netflix выманивали у пользователей персональную информацию.

Злоумышленники использовали проверенную стратегию, пугая адресатов блокировкой Netflix-аккаунта из-за некорректной информации о платеже. Если пользователь не перейдет по ссылке и не введет данные банковской карты, его аккаунт может быть потерян.

Подобное давление и упор на срочность — одна из самых распространенных уловок, побуждающих пользователя отбросить разумную осторожность и немедленно отправить мошенникам всю запрошенную информацию.

Немаловажен и выбор периода для данной кампании — в новогодние праздники критическое мышление у многих заметно снижено. Кроме того, перспектива лишиться просмотра любимых сериалов на каникулах может подстегнуть пользователей довериться мошенникам.

В письме к пользователю не обращаются по имени, используя обтекаемый вариант — «Здравствуйте, уважаемый». У внимательного пользователя Netflix такое обращение вызовет вопросы. Кроме того, адрес отправителя не совпадает с адресом настоящего сервиса. йта.

Как и многие глобальные бренды, Netflix регулярно привлекает внимание мошенников. Похожую кампанию эксперты Eset фиксировали менее года назад. Ранее злоумышленники предлагали бесплатный годовой доступ к сервису, отправляя сообщения в WhatsApp.

В подобных кампаниях нажатие на ссылку может привести не только к переходу на фальшивую страницу и потере персональных данных, но и к скрытой загрузке и установке вредоносного ПО, которое будет собирать информацию на устройстве пользователя без его ведома.

Eset рекомендует не переходить по ссылкам в подозрительных письмах и защитить устройства комплексным антивирусным ПО с функциями «Антиспам» и «Антифишинг».
 

vladimir59

Модератор
Сообщения
28,289
Баллы
113
Обнаружена утечка документов через приложение для конвертации файлов

Специалист по безопасности ESET Лукас Стефанко обнаружил в Google Play приложение для конвертации текстовых файлов, которое хранило в свободном доступе сотни тысяч загруженных документов.
Бесплатное приложение PDF to Word, как следует из названия, предназначено для конвертации PDF-документов в формат файлов Microsoft Word, позволяющий редактировать текст.

Как установил специалист ESET Лукас Стефанко, все исходные документы передавались и сохранялись на FTP-сервере в незашифрованном виде, что позволяло скачать их любому желающему.

Кроме того, разработчик вводил пользователей в заблуждение о возможностях приложения — в действительности конвертация происходила на онлайн-портале online-convert.com.

Особую тревогу вызывает тот факт, что приложение активно использовалось для конвертации конфиденциальных файлов: паспортов, школьных аттестатов, медицинских и страховых полисов, юридических документов и др.

Также в ходе расследования на FTP-сервере были обнаружены фотографии, MP3-файлы и сканы документов. Эксперты ESET полагают, что они оказались там после использования других приложений разработчика Ngoc Ha Dev.

С 2016 года приложение PDF to Word скачали более 100 тысяч раз. За этот период на FTP-сервере в открытом виде накопилось более 360 тысяч файлов.

В настоящее время PDF to Word удалено из Google Play.

ESET рекомендует пользоваться официальными приложениями разработчиков и внимательно изучать пользовательские соглашения. Отметим также, что в Google Play есть платное приложение с функциями конвертации PDF-файлов от официального разработчика этого формата.

Для дополнительной защиты ваших данных используйте антивирусные решения ESET. Например, ESET NOD32 Mobile Security для Android блокирует нежелательные или подозрительные приложения.
 


Сверху Снизу