INFO Антивирус / безопасность

[OVV]

Троян може цілий рік прикидатися корисною програмою, перш ніж почати викрадати ваші дані.

Google опублікувала свіжий звіт про шкідливі програми в Play Store.

Зловмисники все частіше використовують метод, званий керуванням версіями, щоб уникнути виявлення шкідливих програм в Google Play і дістатися до користувачів Android, які нічого не підозрюють.

«Кампанії, які використовують керування версіями, зазвичай націлені на облікові та персональні дані користувачів, а також на їхні фінанси», - йдеться у нещодавньому звіті Google Cybersecurity Action Team (GCAT).

Хоча керування версіями не є новою технікою, вона задоволена підступною, так її вкрай важко виявити. Для експлуатації даного методу Android-розробник спочатку викладає в Play Market невинну версію програми, яка легко проходить всі необхідні перевірки Google. Однак пізніше ця версія оновлюється і отримує шкідливий компонент із сервера зловмисників, фактично перетворюючи програму на бекдор.

Так, у травні цього року ми повідомляли про шкідливий додаток iRecorder, який залишався нешкідливим майже рік після публікації в Play Market. А потім у ньому таємно з'явилися шкідливі зміни для шпигунства за користувачами.

Інший приклад - знаменитий банківський троян SharkBot, який неодноразово проникав у Play Market під виглядом антивірусів та різних системних утиліт. SharkBot ініціював несанкціоновані грошові перекази зі скомпрометованих пристроїв, тим самим безсовісно обкрадаючи своїх жертв.

"Загроза управління версіями демонструє необхідність застосування принципів глибокого захисту для корпоративних клієнтів, включаючи, крім іншого, обмеження джерел встановлення додатків тільки надійними джерелами, такими як Google Play, або управління корпоративними пристроями за допомогою платформи управління мобільними пристроями", - заявили в Google.

«У зловмисників може бути одразу кілька додатків, опублікованих у Google Play одночасно під різними обліковими записами розробників, проте лише одна діятиме як шкідлива. А коли його помітять і видалять, на зміну прийде резервна копія з іншого облікового запису», - зазначила в червні цього року голландська компанія ThreatFabric.

На думку експертів, користувачам варто виявляти пильність та обережність при встановленні оновлень, оскільки вони можуть перетворити раніше безпечний додаток на бекдор для зловмисників.

Для зниження ризиків рекомендується взагалі не завантажувати маловідомі програми від сумнівних видавців, щоб унеможливити ризик, що в майбутньому вони перетворяться на троян. А якщо дуже потрібно, то спочатку необхідно уважно вивчити останні відгуки, а лише потім встановлювати.

Крім того, обов'язково переконайтеся, що функція Google Play Protect активна на пристрої, адже з більшою ймовірністю вона зафіксує шкідливий вміст.

 

[Prince]

«Лаборатория Касперского» обнаружила вирус-вымогатель ShrinkLocker — он использует BitLocker​

Функция Windows BitLocker снова стала оружием в руках киберпреступников. Специалисты из «Лаборатории Касперского» обнаружили новый вирус-вымогатель под названием ShrinkLocker, который задействует для шифрования данных на атакуемых устройствах BitLocker. Злоумышленники использовали этот вымогатель для атак на IT-инфраструктуру компаний и государственных учреждений в Мексике, Индонезии и Иордании.

​

Спойлер

Злоумышленники используют вредоносный скрипт на VBScript, языке сценариев, который используется для автоматизации задач на устройствах с Windows. Скрипт проверяет версию используемой ОС и запускает BitLocker, причём сделать это он может на ПК с разными версиями программной платформы, начиная от Vista или Windows Server 2008. Если скрипт обнаруживает более старую версию ОС, то он попросту удаляется с устройства.

Затем вредонос уменьшает все разделы хранилища на 100 Мбайт и задействует высвобожденное пространство для создания нового загрузочного раздела. Из-за этого вымогатель и получил название ShrinkLocker. Далее происходит шифрование хранящихся на устройстве данных с помощью BitLocker и создание нового 64-символьного ключа шифрования, который вместе с другой информацией о ПК жертвы отправляется злоумышленникам. После завершения шифрования компьютер перезагружается и ОС грузится из вновь созданного раздела, а доступ к хранящейся информации для жертвы полностью блокируется. Название нового загрузочного раздела меняется на адрес электронной почты хакера, вероятно, чтобы жертвы могли договориться о выкупе и восстановлении работоспособности устройств.

В сообщении отмечается, что автор ShrinkLocker должен обладать обширными познаниями о работе внутренних функций и утилит Windows. Экспертам «Лаборатории Касперского» не удалось установить, откуда проводятся атаки с использованием нового вредоноса или куда пересылаются данные жертв. Скрипт ShrinkLocker удалось обнаружить всего на одном ПК, где не был установлен BitLocker. Эксперты считают, что характер атак указывает на то, что цель злоумышленников скорее в том, чтобы нарушить работоспособность и уничтожить данные, а не получить выкуп.

Для защиты от атак такого типа рекомендуется чаще делать резервные копии. Кроме того, следует ограничить права пользователей на редактирование, чтобы из их учётных записей было нельзя изменять настройки BitLocker или реестра. В дополнение к этому рекомендуется использовать продвинутые решения для ИБ-защиты, способные отслеживать подозрительную активность и защищать IT-инфраструктуру.

 

[Prince]

«Лаборатория Касперского» рассказала, как защититься от вируса-вымогателя ShrinkLocker​

Недавно «Лаборатория Касперского» обнаружила новый тип вируса-вымогателя ShrinkLocker, которая использует функцию безопасности BitLocker в Windows. Вредоносный скрипт блокирует доступ к данным владельца устройства и требует за разблокировку выкуп. Специалисты «Касперского» дали рекомендации, как избежать блокировки своих данных.

​

Спойлер

BitLocker является средством шифрования дисков, которое впервые появилось в Windows Vista в 2007 году. Функция используется для шифрования целых томов, чтобы предотвратить несанкционированный доступ к данным в случае физического доступа к диску. Начиная с Windows 10, BitLocker по умолчанию работает с 128-битным и 256-битным алгоритмом шифрования XTS-AES, который обеспечивает дополнительную защиту от атак, основанных на манипулировании зашифрованными данными.

Случаи использования ShrinkLocker для шифрования систем были зафиксированы в Мексике, Индонезии и Иордании. Смысл атаки заключается в уменьшении размера каждого логического диска на 100 Мбайт с последующим созданием новых разделов такого же размера из высвободившегося пространства — отсюда и название ShrinkLocker.

По словам специалистов, злоумышленники постоянно совершенствуют свои методы, чтобы избежать обнаружения. В данном случае они воспользовались легитимной функцией шифрования для блокировки доступа к файлам пользователей. К слову, это не первый случай использования BitLocker вредоносными программами. Как пишет издание Arstechnica, в 2022 году сообщалось об иранских вымогателях, которые также применяли этот инструмент для шифрования. В том же году российская компания «Мираторг» подверглась атаке локера, зашифровавшего все файлы при помощи BitLocker.

После запуска на устройстве ShrinkLocker выполняет скрипт на VisualBasic, который с помощью WMI собирает информацию об операционной системе и аппаратной платформе. Если обнаруживаются устаревшие Windows XP, 2000, 2003 или Vista — скрипт автоматически завершается. Далее выполняются операции по изменению размеров дисков с учетом версии Windows. При этом сетевые диски игнорируются, чтобы не спровоцировать реакцию систем защиты.

Заключительным этапом атаки является отключение встроенных в BitLocker средств восстановления ключа шифрования и установка числового пароля. Это делается для того, чтобы заблокировать доступ законного владельца к зашифрованным данным. Далее генерируется уникальный 64-значный пароль при помощи случайного алгоритма на основе цифр, букв и специальных символов. После перезагрузки пользователь видит требование ввести этот пароль для расшифровки дисков.

Восстановление данных без ключа шифрования крайне затруднительно, так как алгоритм генерации пароля уникален для каждой атакованной системы. Специфических средств защиты от ShrinkLocker пока не разработано. «Лаборатория Касперского» советует следующее:

• Включить регистрацию и мониторинг сетевого трафика, настроить ведение журнала запросов GET и POST, так как в случае заражения, запросы к домену злоумышленника могут содержать пароли или ключи.
• Отслеживать события, связанные с выполнением VBS и PowerShell, затем сохранять зарегистрированные сценарии и команды во внешнем репозитории.
• Использовать надежные пароли и двухфакторную аутентификацию там, где это возможно.
• Регулярно делать резервные копии важных данных.

Кроме того, антивирусное программное обеспечение может помочь в обнаружении и блокировке подобных атак на ранних стадиях.

 

[Prince]

Microsoft Defender определяет текстовый файл с одной строкой как троянца​

Штатное антивирусное решение Microsoft Defender, используемый в операционных системах Windows, считается достаточно надёжным, но и оно может чрезмерно усердствовать в процессе работы. Оказалось, что антивирус определяет текстовый файл всего с одной строкой как троянскую программу Trojan:Win32/Casdet!rfn.

​

Спойлер

На эту особенность обратил внимание пользователь социальной сети X с ником yappy. Если ввести в блокноте фразу «This content is no longer available» (Этот контент больше недоступен) или «This content is no longer available!», и сохранить его в виде текстового файла на компьютере, то Microsoft Defender незамедлительно пометит его как троянскую программу и удалит с устройства, независимо от того, под каким именем файл был сохранён.

Заинтересовавшиеся подобным поведением антивируса пользователи изучили вопрос более детально и пришли к выводу, что причиной ложного срабатывания Microsoft Defender могла стать коллизия SHA-256. Они предполагают, что антивирус распознаёт обычный текстовый файл как вредоносный из-за того, что упомянутая фраза неоднократно использовалась злоумышленниками в различном вредоносном ПО.

Вероятно, в скором времени Microsoft исправит ошибку, из-за которой антивирус распознаёт текстовый файл как троян. Что именно стало причиной такого поведения Microsoft Defender, пока неизвестно.

 

[Prince]

«Лаборатория Касперского» запустила собственный магазин приложений​

«Лаборатория Касперского» запустила магазин приложений для KasperskyOS — он получил название Kaspersky Appicenter, пишут «Ведомости» со ссылкой на представителя компании. Создавать ПО для операционной системы смогут любые сторонние разработчики, которым потребуется пройти регистрацию; пользователями KasperskyOS являются корпоративные заказчики и промышленные предприятия.

​

Спойлер

О разработке магазина приложений для KasperskyOS стало известно в феврале прошлого года, а в апреле этого компания продемонстрировала прототип Kaspersky Appicenter. К настоящему моменту объём инвестиций в проект составил около $2 млн. На начальном этапе создание приложений можно будет вести на компьютерах под Linux, но запускаться они станут только на KasperskyOS; в перспективе разработчикам придётся полностью перейти на целевую систему. После регистрации разработчику Appicenter потребуется приобрести специальное устройство и скачать инструментарий для написания кода — сейчас это средства для создания приложений под шлюзы интернета вещей (IoT).

Доход от магазина приложений «Лаборатория Касперского» намеревается получать за счёт реализации лицензий на Kaspersky Security Center — консоль для управления и мониторинга, позволяющая администрировать корпоративные устройства под управлением KasperskyOS, включая мобильные, физические и виртуальные. Первый продукт в Kaspersky Appicenter — киберимунный шлюз Kaspersky IoT Secure Gateway 3.0 (KISG) на российской аппаратной платформе Kraftway «Рубеж Н»; программную часть для него разработала компания «Адаптивные промышленные технологии» (принадлежит «Лаборатории Касперского»).

Шлюзом называется сетевое оборудование, которое собирает показатели со включённых в сеть датчиков в единую систему. С его помощью можно подключать промышленное оборудование, комплексы автоматизации и мониторинга объектов к системам обработки и хранения данных. Такое оборудование может быть востребовано в отраслях, где к кибербезопасности и надёжности IT-систем предъявляются повышенные требования: в промышленности и энергетике, на транспорте и в системах умного города. Разработчик уже подал заявку на сертификацию во ФСТЭК России.

Технически KasperskyOS можно адаптировать под любые устройства, но сейчас это преимущественно IoT-шлюзы и тонкие клиенты. Чтобы магазин приложений был востребован со стороны корпоративных клиентов, необходимо присутствие в нём минимального набора ПО, которое покроет 70–80 % базовых потребностей предприятий при условии совместимости приложений друг с другом, говорят опрошенные «Ведомостями» эксперты. Необходимы офисные приложения и браузер, а промышленным предприятиям также нужны системы диспетчерского управления и сбора данных (SCADA).

 

[Prince]

«Лаборатория Касперского» постепенно сократит свой бизнес в США​

Российская компания из сферы кибербезопасности «Лаборатория Касперского» с 20 июля начнет постепенно сокращать свою деятельность в Соединенных Штатах, сообщили в компании.

Спойлер

Как пишет «ТАСС», это решение последовало за санкциями США, запретившими применять в стране ее программное обеспечение. С 20 июля компании запрещено вступать в какие-либо новые договоренности с американцами. Эти меры не распространяются на работу ее подразделений, имеющую информационный или образовательный характер.

«Компания тщательно изучила и оценила последствия законодательных требований США и приняла печальное и трудное решение прекратить свою активную деятельность в США, поскольку сейчас не видит перспектив для ведения бизнеса в этой стране», — сообщили в «Лаборатории Касперского».

 

[Alex]

«Лаборатория Касперского» нашла троян Necro в модификации WhatsApp

Спойлер

Речь идет о модифицированной версии сервиса для Android

«Лаборатория Касперского» нашла троян Necro в нескольких приложениях и играх, загруженных как с неофициальных площадок, так и из Google Play.

Специалисты обнаружили вредоносную программу в модифицированном приложении WhatsApp для Android. Также троян был найден в неофициальном приложении Spotify Plus, в модификациях игр Minecraft, Stumble Guys и Car Parking Multiplayer. В Google Play Necro обнаружили в приложении для улучшения снимков Wuta Camera и в браузере Max Browser. Вирус попал в приложения внутри непроверенного рекламного модуля, пояснили эксперты. Google удалила вредоносный код из Wuta Camera, а сам Max Browser — из магазина. При этом в сторонних приложениях с Necro все еще можно столкнуться, предупредили в «Лаборатории Касперского».

Necro скачивает и запускает на зараженном смартфоне другие вредоносные компоненты в зависимости от команд создателей троянца. Вирус может загружать на телефон модули со скрытой рекламой и автоматическими ее кликами, а также пересылающие интернет-трафик. Троян также может скачивать сторонние приложения, оформлять платные подписки. Зараженный смартфон может быть использован для посещения запрещенных ресурсов и как часть прокси-ботнета.

Специалисты «Лаборатории Касперского» зафиксировали атаки Necro на пользователей в России, Бразилии, Вьетнаме, Эквадоре и Мексике. Жертвами новой версии троянца могли стать миллионы владельцев устройств на Android.