Рождественские и новогодние праздники, увы, не стали поводом для сколько-нибудь ощутимого снижения количества инцидентов в сфере информационной безопасности. Специалистам и рядовым пользователям снова приходится сталкиваться со множеством вредоносных программ самого разного уровня исполнения.
Браузерный ботнет
В середине декабря появились публикации, посвящённые ботнету Advanced Power, построенному на браузерных аддонах. В состав зомби-сети входят примерно 12 500 машин под управлением ОС Windows. Боты распространяются под видом аддона Microsoft .NET Framework Assistant для Firefox.
Ботоводы Advanced Power используют зараженные ПК как распределенную платформу для сканирования сайтов на предмет SQL-уязвимостей. Наличие ботнета в данном случае позволяет автоматизировать процесс, который обычно выполняется вручную и отнимает много времени.
Белый флаг
За день до католического Рождества день Microsoft объявила о победе над крупным ботнетом ZeroAccess/Sirefef. Основными функциями этого ботнета являлись подмена результатов поисковой выдачи с целью перенаправления пользователей на угодные ботоводам сайты и накрутка кликов (Click Fraud). Ботнет также мог распространять по заражённым машинам генератор биткойнов. Ботнет был весьма крупным и насчитывал до 2 млн заражённых машин.
Microsoft совместно с Европолом, ФБР и американской компанией А10 Networks удалось захватить контроль над ботнетом, точнее, над его инфраструктурой накруток. Но, поскольку внутренние коммуникации не пострадали, через сутки владельцы ботета загрузили на сеть другой конфигурационный файл и возобновили операции. Однако тут вмешалась ещё и полиция Германии, благодаря которой удалось оперативно заблокировать новые IP-адреса ботнета.
В результате, владельцы ботнета раздали на заражённые компьютеры ещё одно обновление, содержавшее фразу WHITE FLAG («белый флаг»), и прекратили попытки обновлять ПО в своей сети. В Microsoft считают это победой, но другие эксперты склонны полагать, что операторы ботнета просто решили залечь на дно, пока не утихнет шумиха, чтобы затем возобновить свою деятельность.
Реклама с обременением
С новогодней ночи посетители Yahoo.com начали сталкиваться с пренеприятнейшим сюрпризом: рекламные баннеры «раздавали» вредоносное ПО тем, кто на них кликал.
Как оказалось, некоторые баннеры в рекламной сети ads.yahoo.com были «заряжены» вредоносными скриптами, спрятанными с помощью iFrame. Пользователи перенаправлялись на сайт, на котором располагался Magnitude, — набор эксплойтов для уязвимостей Java. Если в системе у пользователя обнаруживалась какая-либо из этих уязвимостей, на компьютер устанавливались вредоносные программы, в том числе злополучные троянцы ZeuS, Dorkbot/Ngrbot, Andromeda и несколько других программ подобного рода.
Точное количество пострадавших установить не удалось, но счёт, определённо, идёт на десятки тысяч. Больше всего пострадали жители Румынии, Великобритании и Франции.
Подробности доступны здесь
Поголовье вымогателей растёт
Прибавилось полку вымогателей-блокеров: программа, рекламируемая под именами Prison Locker и Power Locker, появилась в конце прошлого года. В настоящее время ее автор и его партнер дорабатывают пользовательский интерфейс тулкита и активно привлекают участников хакерских форумов к процессу тестирования. Вирусописатель уже назначил лицензионную плату за свое детище в размере 100 долларов и планирует взимать ее в биткойнах.
Новый блокер написан на С/C++ и загружается в папку временных файлов жертвы с помощью троянского дроппера. После инсталляции Prison Locker шифрует на жестких и общедоступных дисках все данные, кроме системных файлов (.exe, .dll, .sys и др.).
Как и CryptoLocker, новоявленный вымогатель требует уплаты выкупа в указанный срок, после чего ключ для дешифрации якобы будет уничтожен. Оператору зловреда при этом предоставляется возможность изменять этот срок, останавливать или сбрасывать таймер и самостоятельно определять сумму выкупа.
Подробности доступны здесь…
Ледяной туман с кофейным привкусом
«Лаборатория Касперского» объявила об обнаружении нового «ответвления» кибершпионской кампании Icefog. Речь идёт о появлении новых шпионских инструментов, получивших собирательное название Javafog: злоумышленники используют вредоносный JAR-файл для заражения жертв. Среди попавшихся присутствует даже крупная независимая нефтегазовая компания США.
Подробности, в том числе технические, доступны здесь.
Критическая заплатка для изношенной ОС
Корпорация Microsoft выпустила на прошлой неделе четыре бюллетеня по безопасности. Особое внимание к себе вызывает обновление MS14-002, которое закрывает уязвимость нулевого дня в Windows XP и Windows Server 2003.
Уязвимости в «антикварных», но до сих пор активно используемых программных продуктах Microsoft были выявлены только в ноябре прошлого года. Одновременно обнаружились эксплойты для них, использовавшиеся для таргетированных атак.
Эксплойт распространялся через зараженные PDF-вложения. Он способен работать только в связке с эксплойтом к уже закрытой уязвимости в Adobe Reader.
Скорее всего, это последнее или одно из последних обновлений Windows XP, которые планирует провести Microsoft. В апреле корпорация, наконец, окончательно прекращает поддержку устаревшей операционной системы, которой в этом году исполнится 13 лет.
Вопросы памяти
Adobe выпустила новую порцию обновлений, закрывающих пять критических брешей в Flash Player, AIR, Reader и Acrobat. Все эти уязвимости могли приводить к «падению» системы или потере контроля над ней.
В Adobe Flash и AIR закрываются уязвимости CVE-2014-0491 (обход защиты) и CVE-2014-0492 (утечка памяти в обход рандомизации адресного пространства). В Adobe Reader и Acrobat вычищены ошибки CVE-2014-0493, CVE-2014-0495 и CVE-2014-0496. Первые две могут приводить к повреждению памяти; последняя представляет собой уязвимость типа use-after-free (использование освобожденной памяти).
Эксплойтов к данным уязвимостям пока не встречалось.
Как вы туда попали?
Хакерские группировки, именующие себя European Cyber Army и 1775Sec, заявили о взломе базы данных Apple и в качестве подтверждения своим словам выложили в Сеть данные сотен зарегистрированных пользователей продукции Apple. Довольно быстро, однако, появились сомнения в подлинности и/или актуальности данных: многие номера телефонов, встречающиеся в документе, как выяснилось, не обслуживаются, что наталкивает на мысль о возможной фабрикации данных.
Если же данные действительно добыты на серверах Apple, то возникает вопрос, каким образом туда кому-либо удалось проникнуть.
Подробности доступны здесь.
И снова Сирийская электронная армия
«Сирийская электронная армия» снова отличилась. Первого января они взломали официальные аккаунты сервиса Skype в Facebook и Twitter, не забыв вскрыть и блог на официальном сайте. Всё для того, чтобы оставить там призывы не использовать сервис Microsoft Outlook (бывший почтовый сервис Hotmail), поскольку, дескать, Microsoft продаёт информацию о пользователях властям США.
Затем был совершён «кавалерийский наскок» на твиттер @XboxSupport, пользователи которого перенаправлялись на официальный сайт SEA.
За этим последовал подтверждённый Microsoft взлом нескольких почтовых ящиков сотрудников корпорации и их аккаунтов в социальных сетях. Представители компании утверждают, что количество пострадавших аккаунтов незначительно. Их обладатели стали жертвами банального фишинга.
В официальном твиттере SEA было прямо заявлено, что атака на Microsoft ещё не завершена, и в скором времени «Сирийская электронная армия» опубликовала скриншоты взломанной административной панели официальных блогов Microsoft Office. Как нетрудно заметить из иллюстрации, Microsoft использует CMS WordPress.