0 Плохо1
1 1 1 1 1 1 1 1 1 1 Рейтинг 2.50 [1 Голос]

Рейтинг:  0 / 5

Звезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активна

 

195639-kaspersky-1blog-default-featured1_ebcf8.jpg

 

 Американские власти объявили о грядущем запрете, который коснется продажи продуктов «Лаборатории Касперского», а также помешает компании предоставлять обновления для своих продуктов как организациям, так и частным лицам на территории США. Запрет вступит в силу 29 сентября 2024 года.

 Министерство торговли США сообщает, что приняло окончательное решение, запрещающее Kaspersky Lab, Inc. (американской дочерней компании «Лаборатории Касперского») «прямо или косвенно поставлять антивирусное программное обеспечение и другие защитные продукты или услуги в США или американским гражданам».

 Запрет также распространяется на все аффилированные, дочерние и материнские компании Kaspersky Lab, Inc.

 При этом запрет касается не только продажи продуктов, но также лишает компанию возможности предоставлять клиентам обновления антивирусного ПО и патчи. Поэтому пользователям рекомендуется подыскать альтернативу до конца сентября.

 Так, начиная с 20 июля 2024 года «Лаборатории Касперского» запрещено заключать любые новые соглашения с американскими компаниями (это касается любого программного обеспечения или white-labeled продуктов). А с 29 сентября 2024 года компании и любым ее агентам будет запрещено распространять программное обеспечение и антивирусные обновления среди клиентов и использовать Kaspersky Security Network (KSN) на территории США или в системах любых американских граждан.

 Правительство отмечает, что не будет преследовать в судебном порядке тех американцев, которые продолжат использовать софт «Лаборатории Касперского» после окончания указанного срока, однако эти люди будут пользоваться ПО на свой страх и риск.

 Хотя «Лаборатория Касперского» всегда отрицала какие-либо связи с российским правительством, власти США полагают, что российское правительство все равно имеет возможность повлиять на деятельность компании, и этот риск требует полного запрета на работу компании в США.

«Россия неоднократно демонстрировала, что у нее есть возможности и стремление использовать российские компании, такие как “Лаборатория Касперского”, для сбора и использования конфиденциальной американской информации, и мы будем продолжать применять все имеющиеся в нашем распоряжении средства для защиты национальной безопасности США и американского народа», — гласит официальное заявление министра торговли США Джины Раймондо.

 Представители «Лаборатории Касперского» уже сообщили СМИ, что решение американского Министерства торговли было принято «вероятно, основываясь на текущей геополитической ситуации и теоретических опасениях, а не на технической оценке продуктов». При этом отмечается, что компания предлагала провести проверку своих продуктов независимой третьей стороной.

 В компании заявили, что намерены использовать доступные юридические меры, чтобы сохранить текущую деятельность и отношения с партнерами и клиентами даже после запрета.

«”Лаборатория Касперского" знает о решении министерства торговли США запретить использование программного обеспечения компании в стране. Теперь компания сможет продавать и продвигать на территории США только сервисы Threat Intelligence и тренинги по информационной безопасности», — гласит заявление «Лаборатории Касперского».

 Кроме того, в компании отметили, что решение американских властей может способствовать росту киберпреступности, а для эффективного противодействия киберугрозам необходимо международное сотрудничество экспертов по кибербезопасности, которое теперь ограничено.

«Пользователи и бизнес США не смогут защитить свои устройства от вредоносного ПО лучшими в отрасли технологиями, согласно независимым тестам. Нашим текущим клиентам в США предстоит столкнуться с серьезными сложностями, ведь теперь они будут вынуждены срочно искать замену технологиям, на которые полагались в течение многих лет», — говорят в компании.

 В пресс-службе добавили, что за 26 лет решения компании защитили более миллиарда устройств во всем мире, и «Лаборатория Касперского» была первой компанией в области кибербезопасности, которая запустила инициативу по информационной открытости в 2017 году. Она включает в себя масштабный пакет мер для подтверждения прозрачности ведения бизнеса и процессов разработки, а также безопасности и надежности решений. А «решение министерства торговли США игнорирует эти заслуги компании», — считают в «Лаборатории Касперского».

 Напомним, что еще в 2017 году Министерство внутренней безопасности США выпустило директиву, согласно которой, федеральным агентствам и так запрещалось использовать продукты под брендом Kaspersky в своих информационных системах.

 Затем, в 2022 году, Федеральная комиссия по связи США (FCC) внесла «Лабораторию Касперского» в список поставщиков телекоммуникационного оборудования и сервисов, которые представляют угрозу для национальной безопасности США. Тогда же компании запретили покупать запчасти и компоненты у американских компаний без специального одобрения правительства. Запрет был наложен в соответствии с законом, который «запрещает использование федеральных средств для приобретения коммуникационного оборудования или услуг от компаний, которые представляют угрозу национальной безопасности для сетей связи США».

Источник:https://xakep.ru/2024/06/21/kaspersky-usa-ban/

0 Плохо1
1 1 1 1 1 1 1 1 1 1 Рейтинг 2.00 [1 Голос]

Рейтинг:  0 / 5

Звезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активна

 

e92718a10f675b1e6909b942dd8680d54_f5ba0.jpg

 

Аналитики F.A.C.C.T. обнаружили масштабную кампанию по распространению вредоносного ПО.

 В марте 2024 года аналитики Центра кибербезопасности F.A.C.C.T. выявили масштабную кампанию по распространению вредоносного программного обеспечения (ВПО) под видом взломанных программ. Инцидент произошел в одной из российских компаний, когда сотрудник скачал вредоносный файл, который был идентифицирован как Vidar — шпионское ПО, собирающее данные с компьютера жертвы.   Собранные пользовательские данные могут использоваться для угона аккаунтов в мессенджерах, например, Telegram, хищения денежных средств с банковских карт и криптокошельков. Помимо кражи данных, Vidar может применяться в качестве загрузки других модулей вредоносного ПО.

 Аналитики установили, что вредоносный архив был загружен с файлообменника MediaFire, а перед этим пользователь посещал ресурс, на котором предлагались для скачивания популярные утилиты, офисные приложения — как их взломанные версии, так и отдельно активаторы к ним — ПО, предназначенное для обхода встроенных систем защиты программ от неавторизованного использования.

 Исследование зараженного сайта показало, что в кампании участвовало более 1300 уникальных доменов. Доменные имена часто объединялись схожими ключевыми словами, такими как crack, software, key, soft. Часть найденных доменов была недоступна, но продолжала иметь связи с активными ресурсами, что подтверждало их участие в распространении вредоносного ПО.

 Аналитиков поразило не только количество ресурсов, но и методы продвижения сайтов: злоумышленники создали целую сеть поддельных аккаунтов в соцсетях, активно размещая рекламные посты на видеохостингах и образовательных платформах. В LinkedIn было обнаружено более 300 уникальных аккаунтов, рекламирующих сайты со взломанным ПО.

 Ресурсы-приманки были созданы с использованием типовых шаблонов, чаще всего на WordPress. Это объясняется лёгкостью и доступностью этой платформы для создания контента. Примечательно также, что чаще всего на сайте встречаются авторы с ником admin. В начале веб-страницы содержится краткое описание предлагаемого ПО, например различных пакетов Microsoft Office, решений компании Adobe, AutoCad, Nanocad, программ активации офисных приложений и операционных систем KMS. Также присутствует навигация по сайту с поиском, последними публикациями, выбором категорий и ссылками на социальные сети, такие как Facebook*, Twitter**, LinkedIn, Pinterest.

 Злоумышленники старались убедить пользователей в безопасности предлагаемого ПО. Например, в описаниях утверждалось, что программы не наносят вреда системным файлам. В конце статей размещались ссылки для скачивания вредоносного ПО, иногда с альтернативной ссылкой на официальный сайт ПО.

 Во всех случаях вредоносное ПО распространялось в виде запароленных архивов. Структура архивов включала один исполняемый файл и другие необходимые файлы. Большинство вредоносных экземпляров принадлежали семейству Amadey, которое собирает данные и загружает дополнительные модули. Также встречались стилеры, такие как Vidar, RedLine Stealer, CryptBot и Ramnit.

 Особенно интересен тот факт, что злоумышленники нашли новую категорию потенциальных жертв — пользователей, столкнувшихся с проблемой использования легального ПО из-за санкций и ограничений. В текущей геополитической обстановке, когда многие вендоры ушли из России, пользователи стали искать обходные пути для использования нужных программ. Как показал инцидент, предложения установить взломанное ПО могут содержать вредоносную нагрузку, что приводит к компрометации данных пользователя и всей инфраструктуры организации.

Источник: https://www.securitylab.ru/news/549372.php

0 Плохо1
1 1 1 1 1 1 1 1 1 1 Рейтинг 1.50 [4 Голоса (ов)]

Рейтинг:  3 / 5

Звезда активнаЗвезда активнаЗвезда активнаЗвезда не активнаЗвезда не активна

 

ima1112333ge_922c9.jpg

 

 Специалисты ГК «Солар» подсчитали, что в первом квартале 2024 года произошло более 2500 DDoS-атак сферу энергетики. Это в три раза превышает показатель предыдущего квартала и почти в 10 раз – показатель аналогичного периода 2023 года. Исследователи связывают этот рост, например, с увеличением бюджетов на атаки и арендой мощностей дата-центров для усиления DDoS.

 Сообщается, что постепенный рост атак на энергетический сектор начался еще в 2023 году. Так, в первом квартале было совершено более 280 DDoS-атак на предприятия отрасли, а к четвертому кварталу их уже было 755. В компании полагают, что DDoS может служить «дымовой завесой», отвлекающей ИБ-специалистов организаций от более серьезных атак (взлома сервера, кражи конфиденциальных данных и так далее).

 В общей сложности в первом квартале 2024 года эксперты зафиксировали около 119 000 DDoS-атак на российские организации. Это почти в два раза превышает показатель 2023 года за аналогичный период (64 000 атак) и самый высокий квартальный показатель за последний год.

 При этом новых рекордов по ключевым характеристикам атак зафиксировано не было. К примеру, самый продолжительный DDoS длился 11 дней, а максимальная мощность составила 724 Гбит/с. Это ниже предельных показателей прошлого года (9 месяцев и более 1Тбит/с, соответственно).

 Несмотря на всплеск DDoS в энергетике, отрасль находится только на восьмом месте в перечне наиболее атакуемых отраслей. Лидером же является госсектор, доля которого в общем объеме DDoS-атак составила 15%. Традиционно это одна из наиболее атакуемых сфер, наряду с ИТ-компаниями, телеком-провайдерами и финансовыми организациями.

«Всплеск числа DDoS-атак при их скромных характеристиках говорит о том, что злоумышленники продолжают «прощупывать» инфраструктуры в самых разных отраслях слабомощным DDoS, чтобы затем реализовать прицельные массированные киберудары по наименее защищенным организациям. Кроме того, в первом квартале у нас в стране происходили важные общественно-политические события, инфраструктура которых была интересна хакерам. Также очевидно, что хакеры наращивают объемы атак, в том числе и за счет увеличения бюджетов. Теперь они не только привлекают в качестве исполнителей хактивистов (которые готовы и сами организовать атаку, и предоставить свои мощности для усиления DDoS) и активно используют ботнеты из умных устройств, но и арендуют вычислительные мощности в ЦОДах по всему миру», — комментирует заместитель директора по продуктовому развитию в ГК «Солар» Артем Избаенков.

Источник: https://xakep.ru/2024/04/17/power-companies-ddos/

0 Плохо1
1 1 1 1 1 1 1 1 1 1 Рейтинг 1.80 [5 Голоса (ов)]

Рейтинг:  0 / 5

Звезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активна

 

scale_11200_80324.jpg

 

 Защищенный почтовый сервис Proton Mail снова подвергся критике, так как опять раскрыл правоохранителям данные одного из своих пользователей.

 Компания Proton предлагает ряд сервисов, которые позиционируются как защищенные и безопасные, среди которых присутствует и почтовый сервис Proton Mail со сквозным шифрованием. Утверждается, что этот продукт предназначен для людей, заботящихся о своей конфиденциальности, никто не сможет прочитать содержимое писем и вложений пользователя, рекламные трекеры здесь отсутствуют, а также соблюдаются «высочайшие стандарты конфиденциальности».

 Однако у Proton все же имеет доступ к информации о пользователях, которую компания порой передает третьим лицам. Один из таких громких скандалов произошел в 2021 году, когда руководство сервиса было вынуждено сохранить IP-адрес одного из своих клиентов, который человек использовал для входа в свой почтовый ящик на ProtonMail. Дело в том, что компания получила соответствующее распоряжение от швейцарских властей, которое невозможно было обжаловать или отклонить. Позже этот пользователь (французский активист) был арестован, так как Proton поделился этими же данными с французской полицией.

 Вскоре после этого случая компания удалила со своего сайта заявление о том, что она не отслеживает IP-адреса пользователей, и в политику конфиденциальности внесли изменения. Так, вместо формулировки «по умолчанию мы не ведем логи IP-адресов, которые могут быть связаны с вашей анонимной учетной записью электронной почты» появилась фраза: «ProtonMail — это электронная почта, которая уважает конфиденциальность и ставит людей (а не рекламодателей) на первое место».

 Кроме того, ранее компанию Proton обвиняли в том, что она помогает властям и предлагает следить за пользователями в режиме реального времени.

 Теперь же стало известно, что руководство Proton передало испанской полиции информацию об email-адресе для восстановления аккаунта, связанного с человеком, который подозревают в поддержке каталонских сепаратистов. Испанские полицейские якобы передали этот email-адрес Apple, и компания смогла идентифицировать человека, связанного с этим аккаунтом. В итоге подозреваемый был арестован.

 В Proton подтвердили представителям правозащитной организации Restore Privacy, что компании известно об этом деле, однако ее руки были связаны швейцарскими законами о борьбе с терроризмом.

«Proton располагает минимальной информацией о пользователях, о чем свидетельствует тот факт, что в данном случае данные, использованные для идентификации подозреваемого в терроризме, были полученные от Apple, — заявил представитель Proton. — Proton обеспечивает конфиденциальность по умолчанию, а не анонимность по умолчанию, потому что анонимность требует определенных действий со стороны пользователя для обеспечения надлежащей процедурной безопасности, например, не стоит добавлять учетную запись Apple в качестве дополнительного метода для восстановления».

 Как объясняет в X (бывший Twitter) глава ProtonMail Энди Йен (Andy Yen), в случае получения судебного запроса от швейцарского суда, компания попросту не может его проигнорировать.

«Имя/адрес подозреваемого в терроризме на самом деле были предоставлены полиции компанией Apple, а не Proton. Подозреваемый в терроризме добавил реальный адрес своей электронной почты Apple в качестве дополнительного адреса для восстановления в Proton Mail. Proton не может расшифровать данные, но в делах о терроризме швейцарские суды могут узнать резервный адрес электронной почты для восстановления [учетной записи]», — пишет Йен.

Источник:https://xakep.ru/2024/05/14/proton-mail-user-data/

1 Плохо0
1 1 1 1 1 1 1 1 1 1 Рейтинг 2.92 [6 Голоса (ов)]

Рейтинг:  0 / 5

Звезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активна

 

d42d830144fb16deb6894aed99ddbc_06095_d95b5.jpg

 

 Google экстренно выпустил очередное обновление безопасности для своего браузера Chrome. Причиной стало обнаружение критической уязвимости с активной эксплуатацией в реальных атаках.

 Уязвимость получила идентификатор CVE-2024-4671 и классифицируется как ошибка использования памяти после освобождения (use-after-free) в компоненте, ответственном за визуализацию веб-контента. Эта опасная уязвимость позволяет злоумышленникам выполнять произвольный код в контексте браузера и полностью скомпрометировать систему.

 Сведения об уязвимости были переданы в Google анонимным экспертом по кибербезопасности 7 мая 2024 года. Пользователям срочно рекомендуется обновить Chrome до версии 124.0.6367.201/.202 для Windows и macOS и до версии 124.0.6367.201 для Linux.

 Google подтвердил существование эксплойта для этой уязвимости, но не раскрыл детали его использования в атаках или информацию о злоумышленниках.

 С начала года компания уже устранила две активно эксплуатируемые уязвимости в Chrome.

 В январе была исправлена проблема с доступом за пределами массива в движке V8 JavaScript и WebAssembly (CVE-2024-0519, оценка CVSS: 8.8), которая могла раскрыть конфиденциальную информацию.

 В марте, в ходе конкурса Pwn2Own в Ванкувере, были обнаружены ещё три уязвимости:

CVE-2024-2886 - ошибка использования после освобождения в WebCodecs,
CVE-2024-2887 - путаница типов в WebAssembly,
CVE-2024-3159 - доступ за пределами массива в V8.

 Владельцам браузеров на базе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, также советуют установить обновления по мере их появления.

Источник: https://www.securitylab.ru/news/548143.php

0 Плохо1
1 1 1 1 1 1 1 1 1 1 Рейтинг 3.00 [5 Голоса (ов)]

Рейтинг:  0 / 5

Звезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активна

 

scale1_1200_a80e4.png

 

 Компания Microsoft предупреждает, что апрельские обновления для Windows нарушают работу VPN-соединений на клиентских и серверных платформах.

«Мы расследуем сообщения пользователей и предоставим дополнительную информацию в ближайшие дни», — говоря в компании.

Уже известно, что список затронутых версий Windows включает Windows 11, Windows 10 и Windows Server 2008 и более поздние версии:

Windows 11, версия 22H2/23H2 (KB5036893), Windows 11 21H2 (KB5036894) и Windows 10 (KB5036892);
Windows Server 2022 (KB5036909), Windows Server 2019 (KB5036896), Windows Server 2016 (KB5036899), Windows Server 2012 R2 (KB5036960), Windows Server 2012 (KB5036969), Windows Server 2008 R2 (KB5036967), Windows Server 2008 (KB5036932).
По данным Microsoft, проблема связана с обновлением KB5036893, выпущенным 9 апреля 2024 года. Обновление вносит «различные улучшения безопасности во внутреннюю функциональность ОС», а также содержит несколько других незначительных изменений.

 Компания не сообщила никаких подробностей о том, что именно произошло, лишь отметив, что после установки обновлений пользователи «могут столкнуться со сбоями VPN-соединений».

 В качестве временного решения проблемы в Microsoft предлагают пока удалить установленные обновления безопасности. Однако важно помнить о том, что компания включает все исправления безопасности в одно обновление. Таким образом, удаление накопительных обновлений устраняет все исправления уязвимостей, хотя и может решить проблемы с VPN.

Источник:https://xakep.ru/2024/05/06/windows-vpn-kb5036893/

1 Плохо0
1 1 1 1 1 1 1 1 1 1 Рейтинг 2.75 [12 Голоса (ов)]

Рейтинг:  0 / 5

Звезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активна

 

1-1068x601_36cf9.jpg

 

 Компания Google значительно увеличила вознаграждения за сообщения об уязвимостях, позволяющих успешно выполнить удалённый код (RCE) в Android-приложениях, повысив максимальную денежную выплату за выдающиеся отчёты до $450 000.

 Обновления коснулись программы вознаграждений за мобильные уязвимости (Mobile Vulnerability Reward Program или Mobile VRP), которая теперь включает так называемые приложения первого уровня, в том числе сервисы Google Play, поисковое приложение Google Search, Google Cloud и Gmail.

 В рамках программы Mobile VRP компания теперь предлагает $300 000 за уязвимости, позволяющие выполнять код удалённо и без участия пользователя. Примечательно, что раньше сумма за обнаружение такого рода уязвимостей составляла в десять раз меньше — $30 000. Более того, если отчёт о баге будет исключительного качества и будет включать анализ первопричины, предложения по исправлению и прочие рекомендации, исследователи смогут получить до $450 000, упомянутые выше.

 Также было объявлено о вознаграждении в размере $75 000 за эксплойты, выполнение которых делает возможным кражу чувствительных данных без взаимодействия с пользователем. Отчёты низкого качества, которые не предоставляют точное и детальное описание уязвимости, доказательство концепции, простые шаги для воспроизведения уязвимости и ясное демонстрирование воздействий бага, будут оплачены в половинном размере.

 В структуре вознаграждений также произошли изменения: теперь двукратный модификатор для SDK уже включён в стандартные вознаграждения. Это увеличивает общую сумму выплат и упрощает принятие решений экспертными группами.

 В целом, таблица вознаграждений Google сейчас выглядит следующим образом, не включая повышенные вознаграждения за отчёты исключительного качества:

 

1qto5yf1t5vptj63nyv6_beee7.png

 

Кристоффер Блазиак, инженер по информационной безопасности Google, подчеркнул, что программа Mobile VRP, запущенная в мае прошлого года, уже принесла значительные результаты: «Самое главное, что мы получили более 40 действительных отчётов об ошибках безопасности, а вознаграждение исследователям вплотную приблизилось к отметке в 100 тысяч долларов».

Источнки: https://www.securitylab.ru/news/547887.php

0 Плохо1
1 1 1 1 1 1 1 1 1 1 Рейтинг 2.89 [14 Голоса (ов)]

Рейтинг:  0 / 5

Звезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активна

 

PnOSM_ca05e.jpg

 

 Популярное приложение для обмена сообщениями WhatsApp оказалось в центре противостояния с индийским правительством. Компания, принадлежащая Meta*, готова уйти с индийского рынка, если ее обяжут раскрывать данные пользователей и взломать систему сквозного шифрования.

 Конфликт разгорелся после того, как WhatsApp и Meta обратились в Высокий суд Дели с иском, оспаривающим требования Правил для социальных медиа 2021 года. В частности, компании возражают против необходимости идентифицировать первоначальный источник распространяемой информации. Теджас Кария, представляющий WhatsApp, заявил: «Если нам прикажут взломать шифрование, WhatsApp уйдет из Индии».

 Новые правила, принятые индийским правительством в 2021 году, обязывают интернет-платформы назначать ответственных за соблюдение требований, а также ежемесячно публиковать отчеты. Однако наибольшие опасения вызвало положение о необходимости идентификации «первоисточника» распространяемых сообщений, что, по мнению критиков, ставит под угрозу приватность пользователей.

 Защитники прав на конфиденциальность отмечают, что разглашение таких данных может привести к нарушению основополагающих прав граждан. WhatsApp, в свою очередь, настаивает на неприкосновенности сквозного шифрования переписки, гарантирующего, что содержание сообщений и медиафайлы известны только отправителю и получателю.

 Со своей стороны, власти Индии ссылаются на необходимость отслеживать распространение недостоверной информации и противодействовать экстремизму. В период пандемии COVID-19 индийское общество столкнулось с масштабной волной фейков и провокационных материалов, представляющих угрозу безопасности граждан.

 Ключом к решению проблемы может стать внедрение в Индии закона о защите персональных данных. Несмотря на длительные обсуждения, в стране до сих пор отсутствует комплексный закон о конфиденциальности данных, подобный тому, что действует в Европейском Союзе. Закон о защите персональных данных, принятый парламентом в прошлом году, ожидает утверждения окончательных правил после выборов. Вступив в силу, этот закон может создать надежную структуру для защиты пользовательских данных и регулирования деятельности технологических компаний.

Источник: https://www.securitylab.ru/news/547809.php

0 Плохо1
1 1 1 1 1 1 1 1 1 1 Рейтинг 2.88 [13 Голоса (ов)]

Рейтинг:  0 / 5

Звезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активна

 

dfdwaaggb1_bebaf.jpg

 

«Лаборатория Касперского» отметила общий рост количества атак на мобильные устройства в России. Так, Так, в первом квартале 2024 года их число увеличилось в 5,2 раза по сравнению с аналогичным периодом 2023 года и составило более 19 миллионов.

 Исследователи рассказывают, что проанализировали две угрозы для Android, которые нацелены на российских пользователей и остаются активными в апреле 2024 года.

 Так, в конце 2023 года специалисты компании обнаружили трояна Dwphon, который с тех пор постоянно эволюционировал и становился только активнее. Количество атак Dwphon на российских пользователей выросло в марте 2024 года примерно на 25% по сравнению с декабрем прошлого года и насчитывает почти 222 000 случаев.

 Текущие версии малвари собирают информацию о зараженном устройстве и личные данные его владельца, а также сведения об установленных приложениях. Dwphon может без ведома пользователя загружать на смартфон различные приложения, в том числе рекламное и вредоносное ПО.

 Специалисты отмечают, что функциональность и код Dwphon схожи с Triada, одним из самых распространенных в 2023 году мобильных троянов. Однако наибольший интерес у экспертов вызвали обстоятельства, при которых Dwphon оказывается на устройствах: он встраивается в системные приложения смартфонов еще до того, как устройства попадают в руки пользователей.

«Обычно злоумышленники распространяют троянцы под видом легитимного ПО на сторонних площадках. Некоторые разновидности встречаются и во встроенных сторах. Однако в случае с Dwphon жертва получает зараженное устройство прямо из коробки, то есть купив его в магазине. Здесь речь идет о предустановленных зловредах — в таких случаях цепочка поставок девайса на каком-то из этапов оказывается скомпрометирована и в этот момент злоумышленники внедряют вредоносное ПО. Причем производитель и другие участники цепочки, вероятнее всего, об этом даже не знают», — комментирует Дмитрий Галов, руководитель российского исследовательского центра «Лаборатории Касперского».

 Второй угрозой стал банковский троян Mamont. Весной 2023 года специалисты впервые заметили этого вредоноса, однако активность он стал проявлять в ноябре того же года. Эксперты пишут, что с высокой долей вероятности он эволюционировал из программы-вымогателя Rasket, авторы которой угрожали пользователям сливом данных, если им не заплатят выкуп в размере 5000 рублей.

 Отмечается сходство в коде Mamont и Rasket, например название параметров конфигурации. К тому же оба вредоноса используют Telegram-бота для сохранения информации о жертвах. Однако в Mamont злоумышленники развили функциональность банковского троянца, чтобы выманивать платежные данные потенциальных жертв и получать доступ к их SMS-сообщениям.

 Злоумышленники распространяют Mamont на неофициальных площадках, в том числе под видом приложений для взрослых, служб доставок и финансовых организаций.

«Несмотря на то что банковские троянцы не получили значительного распространения в России из-за активного развития антифрод-систем финансовых организаций, отдельные представители этого вида могут быть очень активными. С ноября мы зафиксировали уже почти 185 000 атак Mamont на российских пользователей, — рассказывает Дмитрий Калинин, эксперт по кибербезопасности в «Лаборатории Касперского». — Mamont — это еще и пример того, как злоумышленники ищут наиболее выгодные для себя форматы монетизации усилий. Атакующие могут реализовать какую-либо функцию в зловреде, но если не достигают своих целей, то модифицируют вредоносное ПО, меняя его технические возможности».

Источник:https://xakep.ru/2024/04/24/mobile-malware/

0 Плохо0
1 1 1 1 1 1 1 1 1 1 Рейтинг 2.29 [14 Голоса (ов)]

Рейтинг:  0 / 5

Звезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активна

 

cfe87b8ddde0c4105c9f16ce57651bb8f_a8455.jpg

 

 GitHub позволяет подгружать любые файлы в секцию комментариев и присваивает им ссылки, из-за которых они выглядят так, будто являются частью официального репозитория. Хакеры уже начали этим пользоваться.

Ошибка или особенность

 Злоумышленники начали использовать особенность (или возможную ошибку архитектуры GitHub), чтобы распространять вредоносы под видом легитимных файлов, якобы исходящих из репозиториев Microsoft.

 Эксперты компании McAfee опубликовали на днях исследование нового загрузчика вредоносов, написанного на LUA. Этот вредонос распространялся, на первый взгляд, прямиком из репозиториев Microsoft в GitHub, относящихся к менеджеру библиотек C/С++ под Windows, Linux и MacOS, известному как vcpkg. Другим «источником» были репозитории библиотеки STL.

 Как пишет издание Bleeping Computer, cсылки на инсталляторы вредоносных программ выглядели точно так, будто их источником были означенные репозитории.

 Однако более тщательная проверка показала, что в действительности эти файлы были подгружены в секциях комментариев под обновлениями кода или жалобами на сбои.

Опасная ссылка

 Пользователи GitHub имеют возможность подгружать архивы, документы и прочие файлы в комментарии; эти данные записываются в систему доставки контента GitHub и им присваивается уникальный URL-адрес в следующем формате.

Видео и изображения, в свою очередь, будут сохраняться с подссылкой /assets/ (активы).

 GitHub автоматически генерирует и сохраняет ссылку на скачивание сразу после подгрузки файла в поле комментария, вне зависимости, опубликован этот комментарий или нет. Причём ссылка остаётся рабочей перманентно, файлы не удаляются.

 А поскольку эта ссылка сразу же содержит название репозитория и наименование его владельца, у злоумышленников появляется возможность создавать очень убедительные фальшивки.

 Например, выдавать вредоносы за обновления драйверов к видеокартам или новые версии программных пакетов, подсовывая их в комментарии в репозитории вендоров.

 Самое же неприятное, что в GitHub, по утверждению авторов статьи в Bleeping Computer, отсутствуют инструменты управления файлами, подгруженными таким образом. Единственный способ предотвратить их подгрузку является отключение комментариев, но эта мера может быть лишь временной (максимум на полгода), а кроме того, при отсутствии комментариев другие пользователи не смогут сообщать об ошибках и предлагать новые функции.

 Исследователь киберугроз Сергей Франков (Sergei Frankoff), сотрудник службы автоматизированного анализа вредоносов UNPACME, утверждает, что это уже не первая такая кампания; ранее тот же вредоносный загрузчик выдавался за версию читерской программы Aimmy.

 21 апреля администраторы GitHub поудаляли вредоносные ссылки из репозиториев Microsoft, но не стали трогать репозитории Aimmy и пакета httprouter, в комментарии которого злоумышленники также подсунули архивы с вредоносной ссылкой.

«Этот механизм требует исправления: ситуация, при которой любой вредонос можно выдать за часть вашего легитимного кода - это полнейшая нелепица», - считает Анастасия Мельникова, директор по информационной безопасности компании SEQ.

 По мнению эксперта, Microsoft стоило бы если не предоставить операторам репозиториев полного контроля над комментариями, то хотя бы реализовать механизм проверки подгружаемых файлов на вредоносность. Иначе велик риск «эпидемии» подобных кампаний, особенно сейчас, когда информация о них вышла в публичное поле.

Источник:https://safe.cnews.ru/news/top/2024-04-23_strannaya_osobennost_github

0 Плохо1
1 1 1 1 1 1 1 1 1 1 Рейтинг 3.25 [4 Голоса (ов)]

Рейтинг:  0 / 5

Звезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активна

 

876655587615_43b9d.jpg

 

Отечественную электронику ждет многомесячный коллапс из-за блокировки платежей в Китае.

 Отечественные производители электроники с конца марта получают от китайских партнеров письма о том, что не проходит оплата от российского юрлица через китайские банки, пишет «Коммерсантъ». Как сообщают участники рынка, китайские банки стали блокировать платежи за поставки компонентов и наборов для сборки электроники («кит-наборы», в них входят процессоры, корпуса устройств, экраны и др.), в том числе серверов, систем хранения данных (СХД), ноутбуков и др.

 Причем под блокировку попадают даже организаций, которые заключили долгосрочные контракты на производство и поставку компонентов для сборки электроники с российскими клиентами. Один из источников указывает, что Китай фактически является монополистом в компонентной базе. Почти 100% мирового объема компонентов для сборки электроники находится на их стороне.

 Проблемы с оплатой через китайские банки подтверждают в IT-холдинге Fplus и АО «Суверенная мобильная инициатива Холдинг». Основатель последней компании Александр Калинин отметил, что начиная с декабря 2023 года азиатские финансовые структуры «не пропускали оплату товаров со стороны российских юрлиц на поставки готовой продукции» (компьютеры, СХД, серверы и др.), а с начала апреля возникли проблемы с компонентами и «кит-наборами»: «Отечественные разработчики, которые заказали компоненты из Китая, не могут приступить к финальной сборке своей продукции в РФ». По его мнению, для разрешения ситуации необходимо вмешательство ЦБ РФ и договоренность с китайской стороной.

 Ранее Bloomberg сообщал, что после угроз США ввести санкции против китайских банков за сотрудничество с Россией, они ужесточили контроль операций. Ряд крупных банков, таких как Ping An Bank, Bank of Ningbo, China Guangfa Bank и другие, перестали принимать платежи в юанях из России.

 Председатель Русско-Азиатского Союза промышленников и предпринимателей Виталий Манкевич подтверждает, что проблемы с финансовой логистикой через китайские банки наблюдаются практически во всех сферах товарооборота и услуг. Он связывает это с действиями американского регулятора, который в декабре 2023 года пригрозил руководству китайских банков санкциями в случае сотрудничества с российскими юридическими лицами. Манкеви добавил, что блокировки оплаты коснулись «почти всех азиатских банков».

 По словам президента таможенно-логистического брокера KBT Юлии Шленской, массовые сложности с платежами в Китай начались примерно в феврале и достигли пика в апреле. Более половины импортеров столкнулись с тем, что их платежи не доходят до китайских получателей, независимо от того, подпадает ли товар под санкции, какой банк используется с российской стороны и в какой китайский банк отправляется платеж. Из-за этого отгрузки товаров из Китая упали примерно втрое, и пока не найдено схем оплаты, чтобы платеж доходил наверняка.

 Один из источников среди российских производителей электроники отмечает, что сейчас идет проработка альтернативных сценариев оплаты, однако эта проблема «затягивает производство отечественной электроники примерно на полгода, так как в ближайшие два-три месяца не будет никаких отгрузок компонентов и комплектов для сборки в адрес любого российского производителя».

Источник: https://www.securitylab.ru/news/547450.php

 
Последняя активность