Вредоносные программы в Google Play Маркет похищают данные кредитных карт
В Google Play Маркет были обнаружены вредоносные поддельные приложения (Fake Apps), выдающие себя за банковские приложения. Вредоносные программы похищали данные кредитных карт и учетные данные для входа в онлайн-банк. По сообщению исследователей безопасности компании ESET, вредоносные программы были загружены в Google Play в июне 2018 года и были установлены более тысячи раз, прежде чем Google удалил их. Приложения были загружены в Google Play Store под разными именами разработчиков.
Однако, сходство с кодом указывает на то, что приложения являются работой одного злоумышленника. Данные вредоносные программы использовали обфускацию, что, усложнило обнаружение со стороны проверки Google Play Store. Принцип работы вредоносных приложений: при запуске они отображали формы, запрашивающие данные кредитной карты и / или учетных данных для входа в банк. После того как пользователи заполняли данную форму, представленные данные отправлялись на сервер злоумышленника. Затем приложения в отдельном сообщении благодарили пользователей за регистрацию, на этом заканчивалась их функциональность. Злоумышленники подделывали свои приложения под следующие банки: Commonwealth Bank of Australia (CommBank), The Australia and New Zealand Banking Group Limited (ANZ), ASB Bank, TSB Bank, PostFinance, Bank Zachodni WBK , Bitpanda.
60 млн долларов криптовалюты было похищено с японской онлайн-биржи
С японской криптобиржи Zaif злоумышленники похитили криптовалюту стоимостью 60 млн долларов, получив на два часа доступ к "горячему кошельку" биржи. Похищенная криптовалюта включала в себя разные типы криптовалют: Bitcoin, Monacoin и Bitcoin Cash. Группа Tech Bureau, которой принадлежит криптобиржа Zaif, сообщает, что криптовалюта на сумму 19,6 млн долларов принадлежала бирже, а остальная часть принадлежала клиентам биржи. Компания подписала соглашение с Fisco Ltd о получении 5 миллиардов иен в качестве инвестиций для выплаты компенсации пострадавшим клиентам.
Три новые модификации шифровальщика Dharma были выпущены за одну неделю
На этой неделе были обнаружены три новые модификации шифровальщика Dharma, которые к зашифрованным файлам добавляли расширения .Gamma, .Bkp, и .Monro.
Для шифровальщиков считается очень необычным выпускать так много модификаций за короткий промежуток времени. Как правило, один вариант используется в течение месяца, если не больше, а затем выпускается новая модификация. Однако в течение одной недели было выпущено сразу же три новых модификаций шифровальщика. Все три варианта были обнаружены исследователем безопасности Якубом Крустэком , который разместил информацию в социальной сети Twitter.
Another day, another new #CrySiS/#Dharma #ransomware varianta - this time with ".monro" extension and usual "FILES ENCRYPTED.txt" & "Info.hta" ransom notes. Email "[email protected]" (@gexcolo). https://t.co/sUMmNP6KOQ + https://t.co/FXYEndpVKh pic.twitter.com/VuBGB0bfEJ
— Jakub Kroustek (@JakubKroustek) 18 сентября 2018 г.
Анализ данных шифровальщиков на сервисе Virustotal:
- https://www.virustotal.com/#/file/cfe361dbf996d6badb73c2873ae2d68beacc11c633b224276ad77f5eb7e87c3c/detection
- https://www.virustotal.com/#/file/1d2cf0948b25486fb1b4d93e4a35e3615f0c492e22dc13a6a96e146e314accc9/detection
- https://www.virustotal.com/#/file/d981e96ffbc7a18c28abf4c1cb18f48235f1e72b43c4b48b9a17be5926c98d03/detection
В зависимости от модификации, файлы зашифровываются и происходит их переименование в разные названия и расширения файлов. В качестве примера шифрование файла test.jpg: test.jpg.id-%ID%.[[email protected]].gamma, test.jpg.id-%ID%.[[email protected]].monro, or test.jpg.id-%ID%.[[email protected]].bkp
В Windows присутствует открытая уязвимость
Исследовательская группа Zero Day Initiative компании TrendMicro обнаружила уязвимость в Windows, актуальную для версий Windows 10, 8.1, 7 и Windows Server 2008-2016. На данный момент отсутствует обновление безопасности для закрытия уязвимости. Данная уязвимость была обнаружена специалистом Лукасом Леонг из Trend MicroSecurity Research и позволяет злоумышленникам выполнять удаленное выполнение кода на уязвимой машине. Эксплуатация уязвимости требует взаимодействия с пользователем: для инициализации атаки необходимо открыть специально созданный файл базы данных Jet, который затем выполнит запись за пределы буфера памяти программы, что приведет к удаленному выполнению кода на целевом компьютере под управлением Windows. Компания Microsoft подтвердила наличие уязвимости, но за четыре месяца не выпустила исправление. Это означает, что спустя четыре месяца как было сообщено разработчику, группа Zero Day Initiative получила полное право на публикацию информации об уязвимости. График работы над исправлением уязвимости показывает, что Microsoft во время создания патча исправления столкнулась с техническими проблемами по его созданию и по этой причине патч не попал в сентябрьские обновления
Компания 0Patch, разрабатывающая микропатчи для закрытия уязвимости в программном обеспечении, выпустила патч закрывающий данную уязвимость. Компания так же подтвердила, что эта уязвимость затрагивает операционные системы Windows 10, Windows 8.1, Windows 7 и Windows Server 2008-2016.
Скачать 0patch agent for Windows
Угрозы безопасности
• Уязвимость WinRAR позволяет обходить предупреждения безопасности Mark of the Web в Windows
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?