Угрозы дня: Шифровальщик Virobot с функциями ботнета и кейлоггера

Шифровальщик Virobot с функциями ботнета и кейлоггера

Исследователи из компании Trend Micro обнаружили новый шифровальщик с названием Virobot (обнаруживается антивирусной линейкой Trend Micro как шифровальщик RANSOM_VIBOROT.THIAHAH). Вредоносная программа преимущественно распространяется в Соединенных Штатах и впервые была замечена 17 сентября. Сразу же после установки Virobot проверяет присутствие ключей реестра (GUID машины и ключа Windows) для того, чтобы определить, следует ли выполнять шифрование системы. Затем шифровальщик генерирует ключ шифрования и дешифрования с помощью криптографического генератора случайных чисел и отправляет эти данные на свой сервер. После получения ответа от сервера злоумышленников, начинается шифрование с помощью алгоритма шифрования RSA. Несмотря на то, что шифровальщик распространяется в США, уведомление на рабочем столе с информацией о выкупе написано на французском языке. Шифровальщик так же имеет функцию кейлоггера и может отправлять данные на свой командный сервер. Кроме того у Virobot обнаружены функции ботнета по осуществлению спам атак посредством Microsoft Outlook и возможность загрузки файлов и их выполнения с помощью встроенной системной утилиты PowerShell.

Ошибка в Apple Store позволила купить 500 iPhone всего за 0,03 доллара

Тайваньский ИТ-инженер по имени Чан Чи Юань обнаружил ошибку в платежной системе Apple, которая позволила ему купить 500 iPhone 8 Plus 256 ГБ за один тайваньский доллар, что эквивалентно 0,03 доллара США. Судя по скриншотам, размещенных исследователем на Facebook, он успешно оплатил один тайваньский доллар за 500 iPhone 8 Plus 256 ГБ, а также приобрел 2 iPhone XS Max 512 ГБ, за сумму в 16.655 миллионов тайваньских долларов, которая эквивалента 540354,47 долларов США. Как только сделка по оплате была принята, исследователю удалось отменить покупку. Чан Чи привлек свое внимание в 2013 году, когда смог удалить несколько сообщений в социальной сети Facebook, написанных основателем Facebook Марком Цукерберг. Сообщения он удалил для того, чтобы обратить внимание на обнаруженную им ошибку, которую проигнорировала техническая поддержка.

Тысячи взломанных сайтов WordPress перенаправляли на страницы "заморозки" браузера

Тысячи сайтов WordPress были скомпрометированы с помощью вредоносного JavaScript кода, который перенаправлял пользователей на мошеннические страницы с использованием Browlock - страницы с дополнительными окнами для так называемой "заморозки" браузера, т.е использование фишинговой страницы с открытым окном. При этом закрыть окно или браузер можно только принудительно, воспользовавшись дополнительными инструментами. Исследователи безопасности обнаружили, что атаки начались в начале сентября и использовали уязвимости в устаревших плагинах WordPress. Исследователь из Malwarebytes сообщает, что на стороне клиента он наблюдал большой закодированный рекламный ролик, как правило, в заголовке HTML, или одну строку кода, указывающую на внешний код JavaScript. В некоторых случаях ссылка на вредоносный скрипт присутствует в таблице «wp_posts» WordPress базы данных, в которой хранятся все сообщения, страницы и их изменения, а также пункт меню навигации, мультимедийные файлы и контент, используемый плагинами.