Новости малвари

Форум Сообщества Практиков Конкурентной разведки (СПКР)

Конкурентная разведка, Бизнес-разведка, Корпоративная разведка,
Деловая разведка по открытым источникам в бизнесе.
Работаем строго в рамках закона.

Дезинформация и активные мероприятия в бизнесе
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Шпионские программы »   Новости малвари
RSS

Новости малвари

<<Назад  Вперед>>Страницы: 1 2 3 4 5 * 6 7 8 9 ... 11 12 13 14 15 16
Печать
 
Vinni
Администратор

Всего сообщений: 2711
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://www.securitylab.ru/news/395562.php

[q]

В Интернете появилась новая версия банковского трояна ZeuS/Zbot, которая предназначена для кражи паролей в российских системах интернет-банкинга и электронных денег.

Среди целей новой модификации бота - росийские сайты "Ситибанка", МДМ Банка, ВТБ24 (система "Телебанк"), а также платежные системы ОСМП, "Яндекс.Деньги", Webmoney и RBK Money. Список российских целей атаки, опубликованный специалистами TrendMicro, выглядит так:

@*/login.osmp.ru/*

@*/atl.osmp.ru/*

@*/mylk.ru/*

https://www.telebank.ru/web/front/login.x/*TAN* *transactionID=* *

https://i.bank24.ru/confirm/payment.*TAN* *pincode=* *

*citibank.ru*

*citibank.ru*

*agent.e-port.ru/cp/lkan/lka.cp*

*client.mdmbank.ru/retailweb/login.asp

*.osmp.ru/

*rbkmoney.ru*

*light.webmoney.ru*

*money.yandex.ru*

*passport.yandex.ru*

*//mail.yandex.ru/index.xml

*//mail.yandex.ru/

*//money.yandex.ru/index.xml

*//money.yandex.ru/

Аналитик из TrendMicro Лусиф Харуни отмечает, что это первый случай, когда он видит среди целей трояна Zeus российские банки - ведь считается, что интернет-банкинг в России пока не развит, и раньше фишеры не очень интересовались этим регионом. Аналитик полагает, это связано стем, что системы онлайн-банкинга из России развились достаточно, чтобы заинтересовать киберпреступников. Теперь, как прогнозирует представитель TrendMicro, появится больше банковских троянов, нацеленных на Россию.
[/q]
Vinni
Администратор

Всего сообщений: 2711
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
еще статья про Zeus - _ttp://www.avertlabs.com/research/blog/index.php/2010/09/20/zeus-crimeware-toolkit/
новый виток развития банковских троянов...

[q]

...
As banking websites evolved, they have added an extra layer of security to mitigate keystroke-logging attacks. On the other hand, continuously evolving malwares have also come out with new techniques to bypass these security measures and steal login credentials. Password-stealing botnets such as Zeus now use HTML code-injection techniques, whereby a bot on the infected computer injects HTML code into the legitimate web pages of the banking site to request additional personal information not required during the transactions. This lures the users into inputting more credentials than required. They are captured by the bot and posted to the Zeus bot masters command and control server.
...
This shows even forms that are supposed to be HTTPS encrypted can be manipulated by a bot to entice the user into typing arbitrary amounts of personal information, which can be captured (using key logging) and sent off to the C&C master.
...
Banking websites have come up with the virtual keyboard technique to mitigate the keystroke-logging attacks. Zeus counterattacks this security feature by capturing the screenshots on each mouse click. Each click will be intercepted and a screenshot captured that will be sent to the drop server which is then combined sequentially to extract the entered password as shown below.
...

[/q]
Vinni
Администратор

Всего сообщений: 2711
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://www.computerworld.com/s/article/9190239/Zeus_hackers_could_steal_corporate_secrets_too?taxonomyId=17

[q]

Criminals who use the Zeus banking crimeware may be working on an new angle: corporate espionage.

That's what worries Gary Warner, director of research in computer forensics with the University of Alabama at Birmingham, who has been closely monitoring the various criminal groups that use Zeus. Zeus typically steals online banking credentials and then uses that information to move money out of Internet accounts. In the past year, however, Warner has seen some Zeus hackers also try to figure out what companies their victims work for.

In some cases, the criminals will pop up a fake online bank login screen that asks the victim for a phone number and the name of his employer. In online forums, he's seen hackers speculate about how they might be able to sell access to computers associated with certain companies or government agencies.

"They want to know where you work," he said. "Your computer may be worth exploring more deeply because it may provide a gateway to the organization."

That's worrisome because Zeus could be a very powerful tool for stealing corporate secrets. It lets the criminals remotely control their victims' computers, scanning files and logging passwords and keystrokes. With Zeus, hackers can even tunnel through their victim's computer to break into corporate systems.

There are other reasons why Zeus's creators might want to know where you work, however. They could simply be trying to figure out whose data is the most valuable, said Paul Ferguson, a security researcher with Trend Micro. "A welding business might make more money, than say, a Girl Scout troop," he said via instant message.

Still, Ferguson believes that the crooks could make money by selling access to computers belonging to employees of certain companies. "I haven't personally seen that, but these guys are pretty devious."

This type of targeted corporate espionage has become a big problem in recent years, and many companies, including Google and Intel, have been hit with this type of attack.

Police arrested more than 100 alleged members of a Zeus gang last week, but that doesn't put an end to the problem. Zeus is widely sold for criminal use, and security experts say that there are dozens of other Zeus gangs out there. The group responsible for last year's Kneber worm outbreak is thought to be the largest Zeus outfit still in operation.

If Zeus operators really do start promoting their crimeware as corporate back-doors — and Warner believes this is already happening — that could mean new problems for corporate IT.

The biggest issue would be for home computers and laptops that are outside of corporate firewalls that still have access to company data via the Internet. Those systems could suddenly become a risk for IT staffers, Warner said.

nside the firewall, a computer that suddenly starts sending data to Russia should be noticed right away. That might not be the case on a home network. "If you are an employee of a place that gives you access to sensitive data, your company needs to care if you have a malware infection at home," Warner said.

The problem could be solved by either not letting people work from their home PCs or by providing workers with computers that can only be used for work, Warner said.

[/q]
Vinni
Администратор

Всего сообщений: 2711
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
несколько старовато, но статья про хакерский бизнес для начинающих неплохая - _ttp://bankir.ru/publication/article/5219734

Vinni
Администратор

Всего сообщений: 2711
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://news.drweb.com/show/?i=1332&lng=ru&c=9

[q]

Специалисты компании «Доктор Веб» подробно исследовали функционал Trojan.PWS.Multi.201 — он оказался достаточно многообразен. Во-первых, злоумышленники могут управлять зараженными компьютерами, давая команду скачать с вредоносного сайта и запустить какое-либо дополнительное ПО или обновленную версию троянца. Во-вторых, вредоносная программа имеет возможность уничтожения загрузочной области и таблицы разделов жесткого диска компьютера. По-видимому, это делается для того, чтобы запутать следы после того, как злоумышленникам будут отправлены параметры удаленного доступа к банковскому счету жертвы. При этом все действия — от установки в систему до отправки паролей — троянец производит в скрытом режиме, никак не обнаруживая свое присутствие в зараженной системе.

В частности, во время проведения операции в системе интернет-банкинга Trojan.PWS.Multi.201 выявляет окна, заголовок которых содержит буквосочетание «КриптоПро», и имеет возможность отправить введенные в форму данные третьим лицам. Эта возможность ставит под вопрос безопасность использования многих систем ДБО российских банков. Плюс ко всему вредоносная программа имеет возможность считывать и отправлять злоумышленникам информацию, которая вводится с помощью некоторых популярных «виртуальных клавиатур», которые создаются и используются как раз для того, чтобы программы-шпионы не смогли получить и передать злоумышленникам приватные данные.

Распространяется Trojan.PWS.Multi.201 с начала октября 2010 года. С этого момента сервер статистики компании «Доктор Веб» ежедневно фиксирует несколько сотен детектов этой вредоносной программы. Такие относительно небольшие, но достаточно стабильные цифры объясняются тем, что целевая аудитория программы достаточно узка.
[/q]


Vinni
Администратор

Всего сообщений: 2711
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
3000 USD - вот сколько стоит разработка малвари для банкомата :wink:

_ttp://www.theregister.co.uk/2010/12/03/russian_atm_malware_scam/

[q]

Russian cybercrooks contracted a virus writer to develop custom-made malware before launching a plot to loot compromised ATM machines.

Although the gang – mostly from Yakutsk, a mid-sized city close to the Artic Circle in Siberia – were ultimately caught, the sophistication, planning and investment that went into their plot ought to be a wake-up call for the banking industry.

The Moscow-based leader of the gang contacted a virus writer through an underground forum and paid him 100,000 rubles ($3,200) to create malware capable of infecting ATMs, security site Host Exploit reports [1].

A series of corrupt banking industry insiders had already been recruited by the gang. One leading member of the gang worked as a system admin for a bank, a role that gave him the opportunity to distribute the malware on ATMs. He needn't have worried too much about his bosses getting wind of the scheme because one of his cohorts was the bank's head of IT. Once in place, the malware allowed the gang to obtain bank card details and associated PIN codes for later fraud.

Other members of the group were to act as money mules, cashing out funds from compromised accounts, before funds were distributed. Fortunately officers from the Ministry of the Interior got wind of the scam and arrested the gang before the devilish scheme came to fruition. Police mounted a series of raids leading to arrests as well as the seizure of malware samples, credit card records and computer equipment used to carry out the alleged scam. The alleged virus writer was also captured in the round-up.

A Google translation of a Russian Ministry of the Interior statement on the case can be found here
[/q]
Vinni
Администратор

Всего сообщений: 2711
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
Vinni
Администратор

Всего сообщений: 2711
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://habrahabr.ru/blogs/infosecurity/80143/

[q]

Я владелец довольно популярного ресурса. Некоторое время назад было несколько обращений с просьбой разместить «не приносящие никакого вреда iframe». От таких предложений отказывались, ибо карма важнее.)

Вчера обратился человек, с предложением разместить небольшой flash баннер, c рекламой БМВ-клуба. Код оказался с неприятным троянским «бонусом».
UPD!: отписался в поддержку Яндекса. Ответили. Поблагодарили и уведомили, что код отослан на анализ в соответствующий отдел. mini victory?)
...

Обратите внимание на нижнюю часть кода, точнее на функцию banner, именно она и вызвала подозрение. Только не сразу было понятно, кто же должен вызвать эту функцию. Оказалось, сам flash баннер вызывал эту функцию и создавал на странице скрытый iframe, через который пользователям планировалось подгружать троян.
Вот такая история.

Будте бдительны!

[/q]
Vinni
Администратор

Всего сообщений: 2711
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://safe.cnews.ru/news/line/index.shtml?2011/01/17/423578

[q]


...
В процессе расследования инцидента, произошедшего в одном из российских банков, была выявлена вредоносная программа Win32/Sheldor.NAD (по классификации Eset), модификация TeamViewer. При этом был модифицирован один из модулей легальной программы, который используется в процессе сетевого взаимодействия с серверами TeamViewer, сообщили в Eset. Модификация позволяла отправлять аутентификационные данные актуального сеанса TeamViewer на сервер злоумышленников, у которых появлялась возможность в любой момент получить доступ к активной сессии пользователя на зараженном ПК. Это означает, что мошенники имели не только доступ к конфиденциальным данным пользователя, но и могли выполнять ряд действий на инфицированном компьютере, в том числе осуществлять транзакции в системах ДБО, что вело к финансовым потерям пользователя, пояснили в компании.

Так как большинство компонентов модифицированной версии TeamViewer имели легальную цифровую подпись и являлись легальными компонентами, за исключением одного модуля, количество антивирусных продуктов, зафиксировавших угрозу на момент ее обнаружения, было невелико. По данным Eset, модифицированная версия TeamViewer устанавливалась в систему пользователя при помощи специально разработанной троянской программы-инсталлятора, которая создавала все необходимые ключи реестра для работы Win32/Sheldor.NAD: копировала компоненты TeamViewer в системную папку %WINDIR% и добавляла в автозапуск.

«Использование легальных программ удаленного администрирования для различного рода действий злоумышленников мы встречаем уже далеко не первый раз, – рассказал Александр Матросов, директор Центра вирусных исследований и аналитики компании Eset. – Однако в данном инциденте речь идет о модификации функционала популярной программы TeamViewer, что говорит о том, что злоумышленники явно преследовали цель максимальной схожести с легальным ПО. Это и позволило им оставаться незамеченными для большинства антивирусных решений».

[/q]
Vinni
Администратор

Всего сообщений: 2711
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009

_ttp://www.xakep.ru/post/54576/
[q]

Доцент теории вычислительных систем в George Mason University Ангелос Ставроу и учащийся Жаохуи Ванг создали программное обеспечение, которое меняет функции USB-драйвера для того, чтобы возможно было начать тайную атаку, пока кто-то заряжает смартфон или идет обмен информацией между смартфоном и компьютером.

В сущности, эксплойт действует за счет добавления соединению функциональности мыши или клавиатуры, поэтому атакующий может начать печатать команды или пользоваться мышью для кражи файлов, скачивания дополнительных вирусов или совершать другие действия по захвату контроля над компьютером, сказал Ставроу в интервью CNET. Эксплойт начинает действовать, потому что протокол USB может быть использован для соединения с любым устройством без проверки подлинности, сказал он.

Он и его партнёр должны были показать атаку на конференции Black Hat DC вчера.

Программное обеспечение-эксплойт, которое они создали, выявляет, какая операционная система подключена к устройству с помощью кабеля USB. На компьютерах Macintosh и Windows "выскакивает" сообщение о том, что система обнаружила новое устройство, но нет пути остановить процесс, сказал Ставроу. "Всплывающее" сообщение Mac может быть легко удалено атакующим с помощью команды, посланной через смартфон, поэтому владелец ноутбука может даже этого не заметить, "всплывающее" сообщение видимо только в течение двух секунд в нижнем левом углу и тоже не может служить эффективным способом предупреждения, сказал он.

Компьютеры с Linux не предлагают системы предупреждений, поэтому у пользователей не будет и мысли о том, что происходит что-то необычное, частично из-за того, что мышь и клавиатура функционируют нормально во время атаки, сказал Ставроу.

"Операционная система должна вывести сообщение на экран и спросить пользователя, действительно ли он хочет подключить устройство и разъяснить, что за устройство идентифицируется системой", - сказал он.

Исследователи создали эксплойт пока что только для устройств на базе Android. "Атака может быть проведена и с помощью iPhone, но мы пока что не пробовали сделать этого", - сказал Ставроу. "Атака работает на любом компьютере, использующем USB, и она может работать между двумя смартфонами когда они соединены кабелем USB", - продолжил он.

"Допустим ваш домашний компьютер в руках взломщиков и вы отдаете им и ваш телефон на базе Android, соединяя их", - сказал он. "И в этом случае, когда бы вы не подсоединили смартфон к другому ноутбуку или компьютеру – я смогу завладеть и этими компьютерами, а потом взломать и другие компьютеры с помощью этого устройства на базе Android. Это вирусный тип взлома с использованием USB".

Первый взлом может случиться из-за скачивания эксплойта из Интернета или из-за запуска зараженного приложения. Исследователи создали программное обеспечение-эксплоит для запуска на компьютере и эксплойт для запуска на Android, который является модификацией ядра операционной системы Android. Скрипты могут быть использованы для настоящей атаки.

Нет гарантий, что антивирусное программное обеспечение остановит это, потому что оно не может сообщить, что действия эксплойта не контролируются и не санкционированы пользователем, сказал Ставроу. "Сложно отличить хорошее поведение от плохого, когда речь идет о клавиатуре", - сказал он.

В настоящее время нет вариантов того, что может сделать человек, чтобы защититься от этого, согласно Ставроу. Операционные системы должны иметь возможность следить за трафиком USB и предупреждать пользователей о том, что происходит в ходе соединения и должны предоставлять пользователям возможность завершать действия, сказал он.
[/q]
<<Назад  Вперед>>Страницы: 1 2 3 4 5 * 6 7 8 9 ... 11 12 13 14 15 16
Печать
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Шпионские программы »   Новости малвари
RSS

Последние RSS
SiteSputnik-Bot: Боты в программе СайтСпутник
К вопросу о телеграм
SiteSputnik: Автозамены до и после Рубрикации или Перевода
Демо-доступ к ИАС социальных сетей
Лог-файл в программе СайтСпутник
шантаж, угрозы по Интернету
Практически весь интернет становится русскоязычным
SiteSputnik. Об одном подходе к мониторингу Телеграм
Безопасность при работе на ПК
Книги о критическом мышлении
Наказывать за вмешательство в частную жизнь, Верховный суд
CI Academic Materials
CiMi.CON Evolution USA
Поиск в КЭШ поисковиков по запросу и пакету запросов
СайтСпутник: Многоязычность, Юникод, MS ACCESS
Новый курс OSINT от АИС
Год тюрьмы за отказ удалять
Книга "Строим доверие по методикам спецслужб"
аналог "Консультанта" о зарубежном законодательстве
Открытые данные ФНС

Самые активные 20 тем RSS