Новости малвари

Форум Сообщества Практиков Конкурентной разведки (СПКР)

Конкурентная разведка, Бизнес-разведка, Корпоративная разведка,
Деловая разведка по открытым источникам в бизнесе.
Работаем строго в рамках закона.

Дезинформация и активные мероприятия в бизнесе
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Шпионские программы »   Новости малвари
RSS

Новости малвари

<<Назад  Вперед>>Страницы: 1 2 3 4 5 ... 8 9 10 11 12 13 14 15 16
Печать
 
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
а вот интересные технические детали трояна Win32/Georbot - _ttp://blog.eset.com/wp-content/media_files/ESET_win32georbot_analysis_final.pdf
вот какое оно - кибероружие пиндостана :laugh:

[q]

...
At the beginning of the year, a curious piece of malware came to our attention. An analyst in our virus laboratory
noticed that it was communicating with a domain belonging to the government of Georgia1 to retrieve updates.
Analysis revealed that this malware is an information stealing trojan and is being used to target Georgian
nationals in particular. We were also able to gain access to the control panel of the threat, revealing the extent and
the intent of this operation.
...
The Win32/Georbot malware has the following functionalities for stealing information from an infected system:
• Send any file from the local hard drive to the remote server.
• Steal certificates
• Search the hard drive for Microsoft Word documents
• Search the hard drive for remote desktop configuration files
• Take screenshots
• Record audio using the microphone
• Record video using the webcam
• Scan the local network to identify other hosts on the same network
• Execute arbitrary commands on the infected system
...
If an infected system is unable to connect to its command and control server, it will fall back on querying a web page hosted on a Georgian
government domain name. It is this fallback domain name that first attracted our attention and caused us to start our investigation.
...
Of all the infected hosts, 70% were located in Georgia followed by the United States, Germany and Russia.
...
While the functionality to record video via the webcam, take screenshots and launch DDoS attacks was used a couple of times,
most of the commands issued were to obtain directory listings, searching and downloading files and scanning the network.
Above all, the most interesting information we could gather from the panel was the list of keywords used to search documents. The following
lists were used to find documents containing at least one of the words, leaving no ambiguity about the intent of the operators of this botnet.
...
[ministr,service,secret,top,agent,contact,army,USA, Russia,Georgia,major,colonel,FBI,CIA,phone,number,
east,program]
[ministr service secret Russia Geo Euro weapon USA Americ top colonel major serg soldie contact telephone
Cauca FBI CIA FSB KGB army name surname important]
[ministry,secret,plan,scheme,fsb,fbi,cia,kgb,captain, colonel,leutenant,plan,phone,contact,number,russia,
georgia,usa,europe,major,general,top,interest,photo, build,sphere]
...
The characteristics of Win32/Georbot indicate that it was created to gather information from infected hosts. This threat has all the
capabilities necessary to infect systems and steal information from them. The fact that it uses a Georgian website to update its command
and control information, and that it probably used the same website to spread, suggests that people in Georgia might be a primary target.
On the other hand, the level of sophistication for this threat is low. We think that if this operation was sponsored by a state, it would be
more professional and stealthy.
The most likely hypothesis is that Win32/Georbot was created by a group of cyber criminals trying to find sensitive information in
order to sell it to other organizations. They might be operating from Georgia or any country nearby and have been “lucky” enough to gain
control of a government website and are now using it as part of their operation.
...
[/q]

Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://blog.eset.com/2012/04/05/blackhole-exploit-kit-plays-with-smart-redirection

[q]

...
We have tracked some interesting activity through the injected code block with iFrame redirection: Javascript code is used to capture mouse activity with the onmousemove event and only after that does malicious activity continue with the redirection. This activity enabled us to identify a simple method being used to bypass crawlers used by AV companies and others. These are the first steps towards the criminal’s proactive detection of real user activity for tracking detections and bypassing malware collecting by whitehat crawlers.
...
[/q]

Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://www.securitylab.ru/news/423521.php

[q]

Как сообщают эксперты по информационной безопасности из компании Zscaler, наиболее актуальным в настоящее время методом взлома правительственных порталов является заражение отдельных web-страниц вредоносным кодом, перенаправляющим пользователей на подконтрольные хакерам порталы.

По словам экспертов, в ходе одного из последних исследований был обнаружен факт взлома нескольких ресурсов, принадлежащих правительству Франции. Неизвестным злоумышленникам удалось разместить на нескольких порталах вредоносные JavaScript сценарии, которые переадресовывают пользователей на web-сайты, находящиеся под контролем хакеров.

Кроме того, по словам экспертов, за сравнительно непродолжительный промежуток времени был зафиксирован ряд аналогичных атак, в которых были задействованы доменные имена правительственных организаций и ведомств США, Австрии, Малайзии и других стран.

Конечной целью такого взлома является похищение важных данных с компьютеров жертв, а также использование их учетных данных от атакуемого web-ресурса.

Исполнительный директор Zscaler Джей Чодри (Jay Chaudhry), в свою очередь, заявил, что вероятнее всего данная статистика возникает из-за деятельности так называемых «правительственных хакеров» - злоумышленников, которых интересует не финансовая выгода, а государственные тайны. По словам главы компании, в связи со спецификой такой деятельности данные атаки являются чрезвычайно целевыми.

Ознакомиться с исследованием Zscaler можно здесь.
[/q]


Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
неплохой обзор функциональности популярного бота (в том числе для организации ddos) _ttp://blog.eset.com/wp-content/media_files/king-of-spam-festi-botnet-analysis.pdf





RoNin
Долгожитель форума

Откуда: Волгоград
Всего сообщений: 753
Рейтинг пользователя: 3


Ссылка


Дата регистрации на форуме:
2 мар. 2010
В России разоблачили группу хакеров

Хакерская группировка Hodprot работала с 2009 г., когда злоумышленниками была написана одноименная вредоносная программа, предназначенная для взлома банковских счетов. Как правило, жертвами группировки становились юридические лица, но время от времени от их рук страдали и обычные граждане. В 2011 г. хакеры усовершенствовали свое программное обеспечение, в результате чего смогли получать доступ к полной картине финансовых платежей, которые осуществлял клиент банка.

Правоохранительные органы работали в сотрудничестве с компанией Group-IB, занимающейся расследованием компьютерных преступлений и оказавшей содействие полиции в раскрытии этого преступления. По предварительным оценкам, жертвами хакеров стали пользователи 1,6 млн компьютеров в Москве, Подмосковье, Санкт-Петербурге, Сургуте, Калининграде, Перми, Омске и Астрахани, сумма похищенного исчисляется сотнями миллионов рублей. В Следственном департаменте МВД России сообщили, что ежемесячно каждый из преступников зарабатывал примерно по 2 млн руб.

Хакеры «поджидали» бухгалтеров и других сотрудников на популярных сайтах, в том числе СМИ, на которые те заходили с рабочих мест. Следствие подчеркивает, что владельцы интернет-ресурсов не подозревали о том, что их втянули в участие в мошеннической цепи. Попав в компьютер пользователя, заложенные в программу вирусы автоматически находили программное обеспечение дистанционного банковского обслуживания, и хакеры получали доступ к конфиденциальной информации о клиенте. В частности, в распоряжение злоумышленников попадали такие важные данные, как IP-адрес компьютера, номер банковского счета, IP-адрес кредитного учреждения, информацию о произведенных банковских операциях и остатках по счету, логины, пароли, электронные ключи.

Овладев финансовой информацией, преступники направляли в банки поддельные платежные поручения якобы от имени владельцев счетов, но со своими реквизитами. Похищенные деньги перечислялись на пластиковые карты и тут же обналичивались через банкоматы. «Совместными усилиями нам удалось в короткий срок пресечь деятельность опасной и мобильной группы мошенников, использовавшей самые технологичные методы хищений», – прокомментировал заместитель директора управления безопасности Московского банка Михаил Камордин.

Пока арестован один член преступной группы, ведется розыск остальных. По факту хищений возбуждено уголовное дело, члены группировки обвиняются в в мошенничестве с причинением ущерба в крупном размере (ч. 3 ст. 159 УК), неправомерном доступе к охраняемой законом компьютерной информации, осуществлённый группой лиц по предварительному сговору (ч. 3 ст. 272 УК) и создании, использовании и распространении вредоносных программ (ч. 2 ст. 273 УК). Максимальный срок по этим статьям – до 7 лет лишения свободы.

Источник: www.gazeta.ru

---
«А мы ошибаться не должны. Нам разрешается прослыть невеждами, мистиками, суеверными дураками. Нам одного не простят: если мы недооценили опасность.» А. и Б. Стругацкие
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
:sad: @RISK: The Consensus Security Vulnerability Alert Vol. 12, Num. 25

[q]

Title: AV Bypass For Malicious PDFs Using XDP
Description: A controversy over responsible disclosure has erupted over an antivirus evasion technique demonstrated this past weekend by security researcher Brandon Dixon. The technique uses the XDP specification, which allows PDF files to be wrapped in XML, to bypass file type checking and evade multiple antivirus vendors. Dixon discovered the technique while analyzing a live sample from the field, so exploits using it are clearly in use by malicious actors today.
Reference:
blog.9bplus.com/av-bypass-for-malicious-pdfs-using-xdp
Snort SID: 23166
ClamAV: PUA.Script.XDPBypass, PUA.Script.XDPBypass-1, PUA.Script.XDPBypass-2, PUA.Script.XDPBypass-3

[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://uinc.ru/news/sn18271.html

[q]

Антивирусная компания McAfee опубликовала отчет о проведенном ей исследование под названием "High Roller", в рамках которого были раскрыты механизмы работы одной из крупнейших действующих в Интернет мошеннических схем, использующей трояны SpyEye и ZeuS. На текущий момент, мошенники находятся на свободе в виду хорошо продуманной схемы обналичивания украденных средств и автоматизации процесса кражи. Специалисты McAfee признаются, что сталкиваются с таким уровнем автоматизации впервые. Практически все этапы кражи денег автоматизированы и выполняются лишь компьютерными системами, без участия человека. Первая волна атаки, которую относят к этой мошеннической схеме, была зафиксирована в конце 2011 года и была направлена на клиентов итальянского банка. Основой атаки стали модификации троянов SpyEye и ZeuS, которые распространялись через сообщения электронной почты от лица банка. В письме предлагалось сменить пароль к системе дистанционного банковского обслуживания (ДБО), перейдя на поддельный веб-сайт банка. С помощью установленного на этом веб-сайте набора эксплоитов происходило инфицирование системы пользователя трояном. После установки, троян производил мониторинг действий пользователя в момент использования сервисов онлайн-банкинга. Однако, в отличие от многих подобных случаев, троян не отправлял никакие данные злоумышленникам, а скрытно выполнял переводы денег, зачастую подделывая выводимую информацию на веб-странице банка. Вместе с тем, сохранялись все возможности SpyEye и ZeuS по удаленному выполнению команд на скомпрометированных системах. В дальнейшем, обнаруженная мошенническая схема распространилась по всему миру. Так, в январе 2012 года ее жертвами стали клиенты немецких банков, затем в марте - голландских, вместе с тем, атака начала развиваться на территории США и Латинской Америки. Если первоначально, злоумышленники использовали лишь сервера и домены в странах СНГ (Россия и Украина), то после февраля, к распространению и управлению троянами, подключились сервера в США и Бразилии. Эксперты McAfee выделяют три основных механизма работы троянов, которые зависели от типа используемой системы ДБО. Все используемые алгоритмы, позволяли обойти двухуровневую систему авторизации. В первом варианте, троян сохранял логин и пароль системы ДБО и вводил их автоматически с использованием внедренного JavaScript, на втором этапе пользователь лишь указывал проверочный код, получаемый в виде SMS-сообщения от банка. В дальнейшем, пользователю еще несколько раз предлагалось ввести код из SMS при выполнение простейших действий в клиент-банке. С точки зрения пользователя, это выглядело как усиление защиты банковской системы. Однако, в это время, троян выполнял операции по переводу денег на счета злоумышленников, а пользователь свои вводом лишь подтверждал эти операции. Отображение всех отчетов и даже баланс подменялись трояном так, что пользователь не замечал никаких подозрительных действий. Второй способ кражи денег, был ориентирован на менее защищенные системы, после компрометации реквизитов доступа к системе ДБО, данные передавались на сервер злоумышленников, где автоматизированные скрипты выполняли необходимые действия по переводу денег. В этот момент доступ пользователя к клиент-банку блокировался веб-скриптами трояна. Еще одним простым механизмом перевода денег в этом способе стала подмена данных в платежах, производимых пользователем. В момент отправки данных на сервер банка, скрипты трояна производили сохранение реквизитов пользователя и подменяли их на счета злоумышленников в запросе к банку. Затем, введенные пользователем реквизиты использовались для подмены счетов мошенников при отображение отчетов. Третья разновидность атаки обусловлена действующими в некоторых банковских приложениях ограничениях, требующих ручного подтверждения некоторых операций. Для решения этой проблемы применялась функция удаленного управления трояном, которая позволяла выводить для пользователя ДБО различные сообщения с уточнением данных, подтверждающих платеж. Всего, в атаке было задействовано более 426 модификаций троянов SpyEye и ZeuS. Большинство атак были направлены против организаций и частных лиц, имеющих относительно высокий баланс на лицевом счете. По данным аналитиков, организаторам этой мошеннической схемы удалось украсть более $78 млн. у нескольких десятков тысяч клиентов 60 финансовых организаций по всему миру. Обналичивание денег происходило через дружественные мошенникам организации - Western Union и Liberty Reserve.
Отчет
[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
вот как сейчас малварь распространяется - через FB, Skype и MSN - _ttp://www.cert.pl/news/5587/langswitch_lang/en



Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://www.anti-malware.ru/news/2012-08-03/9699
[q]

Полиция Южной Кореи арестовала двух местных хакеров, выкравших и продавших личную информацию 8700000 абонентов мобильной связи компании Korea Telecom (KT). По информации издания The Korea Herald, хакеры создали специальную программу, позволившую им обойти сетевые экраны KT.

Система принимала киберпреступника, работающего с программой, за менеджера регионального представительства KT. Как следует из материалов дела, с февраля по июль текущего года хакеры постепенно скачивали данные абонентов КТ. По словам представителей полиции, именно неторопливость позволила хакерам так долго оставаться непойманными. В противном случае, утечка информации обнаружилась бы сразу.

В руки злоумышленников попали имена, номера мобильных телефонов, членские номера, пин-коды и серийные номера мобильных телефонов абонентов.

Киберпреступники, владевшие компанией, специализирующейся на телемаркетинге, использовали полученную информацию для организации маркетинговых кампаний, а затем продали её вместе с созданной ими программой для обхода сетевых экранов другим компаниям, работающим в сфере телемаркетинга. В результате преступных действий, злоумышленникам удалось получить более 1 миллиарда вон (~$870,000) прибыли.
[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
:laugh: _ttp://www.anti-malware.ru/news/2012-07-26/9648

[q]

В ходе аудита систем безопасности, проведенного в министерстве финансов Японии, специалисты обнаружили вредоносное ПО более чем на сотне компьютеров. По имеющимся данным, проникший в систему троян, оставался незамеченным на протяжении двух лет.

Согласно предоставленному отчету, вирус обнаружен на 123 из 2000 проверенных компьютеров. Представители министерства полностью исключают вероятность утечки конфиденциальных данных, таких как персональная информация о налогоплательщиках. Большинство скомпрометированных компьютеров принадлежат мелким чиновникам, по этой причине добычей хакеров могли оказаться лишь материалы внутренней переписки.

Имена инициаторов вторжения до сих пор неизвестны. Журналисты из газеты Japan Times утверждают, что кибер-атака является делом рук известной хакерской группы Anonymous. Впрочем, по многим косвенным признакам это предположение не соответствует действительности. Вирус попал в министерские системы в январе 2010 года, почти за полтора года до того, как группа Anonymous начала приобретать известность. Кроме того, в рассматриваемом случае для распространения вируса использовались методики «фишинга», не слишком распространенные среди представителей Anonymous (именитые хакеры предпочитают более традиционные и действенные методы, такие как атака с перебором всех возможных вариантов (brute force), SQL-инъекции и др.), пишет soft.mail.ru.
[/q]
<<Назад  Вперед>>Страницы: 1 2 3 4 5 ... 8 9 10 11 12 13 14 15 16
Печать
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Шпионские программы »   Новости малвари
RSS

Последние RSS
Open Source Intelligence (OSINT) Tools and Resources Handbook
Top tips on gathering information about companies by using free online sources
Новое на блоге HRразведка
Безопасность данных в MS Access
Слово как улика
20 Recon and Intel Gathering Tools used by InfoSec Professionals
What’s Changed?
10 альтернативных поисковиков
Ситуационный центр главы Республики Коми
Развёртывание ситуационных центров на базе технологии Avalanche
Как принимать сложные решения. Советы бывшего оперативника ЦРУ.
Открытая информация о "Новичке" из сети интернет.
Ген. директор "ОЗХО" Ахмет Узюмдж о "Новичке" и хим. атаке в Сирии
Онлайн-сервисы для Twitter
Коллекция для Twitter
Приложение Opera VPN закрывается
О работе разведки
Deep web и 11 поисковиков по нему
Об изначальной "лживости" любых документов
Обновление на блоге HRазведка

Самые активные 20 тем RSS
Стандартные источники информации в СайтСпутнике
Слово как улика
Open Source Intelligence (OSINT) Tools and Resources Handbook