Рубрика «Блог компании ESET NOD32» - 35

CloudFlare представляет из себя популярный CDN-сервис поддержки веб-сайтов и включает в себя различные виды обслуживания, такие как, ускорение загрузки веб-страниц для конечного пользователя, функции обеспечения безопасности, например, anti-DDoS. Мы обнаружили вредоносную программу — Win32/DoS.OutFlare.A, которая нацелена на обход этого сервиса с целью осуществления DoS-атак на сайты, которые находятся под контролем CloudFlare. Наш анализ посвящен Win32/DoS.OutFlare.A.

Читать полностью »

На сегодняшний день социальная сеть Facebook является крупнейшей в мире по количеству пользователей. Мы доверяем ей свои персональные данные и конфиденциальную информацию. Многие пользователи привязывают к своему Facebook-профилю кредитные карты или аккаунты платежных сервисов (например, PayPal) для онлайн-покупок. Именно поэтому данная социальная сеть становится объектом пристального внимания киберпреступников. В этой статье мы хотим дать несколько практических советов, как обеспечить сохранность своих персональных данных, исключив их попадание в чужие руки.

Читать полностью »

В прошлой части нашего материала, посвященного отчету Mandiant о группе APT1, мы говорили об основных выводах, которые были сделаны компанией по завершении расследования. Мы не будем повторять эту информацию еще раз, вы можете ознакомиться с ней здесь. В сегодняшнем посте мы поговорим о внутреннем устройстве этой атаки и схемах, которые были использованы для компрометации и вторжений в сети предприятий. Мы также отметим, что, c точки зрения возможностей вредоносного кода, эти атаки не представляют из себя ничего концептуально нового и схемы, которые были использованы, известны уже давно.

Читать полностью »

Похоже, что начало 2013 года останется у нас в памяти как период времени, на который пришлось большое количество атак, связанных с компрометацией веб-ресурсов крупных изданий. На сей раз речь идет об nbc.com, веб-ресурсе, который является официальным веб-сайтом американской компании NBC. Напомним, что о компрометации своих электронных изданий заявили ранее такие авторитетные издания как The Wall Street Journal, NY Times, Washington Post. Правда в этих случаях, согласно официальным заявлениям, речь шла не про «watering hole», а про компрометацию внутренних сетей компаний и их серверов для получения конфиденциальной информации.

Сегодня мы хотим рассказать об атаке на nbc.com.

Читать полностью »

Компания Mandiant вынесла на суд общественности свой детальный отчет, посвященный расследованию большого количества инцидентов, связанных с несанкционнированными проникновениями во внутренние сети различных организаций и их компьютеры по всему миру. Период времени, за который были собраны эти данные, впечатляет — 7 лет. В отчете указывается, что эти случаи имели целью похищение всевозможной конфиденциальной информации этих скомпрометированных организаций, а также были осуществлены одной и той же группой. Mandiant пришла к выводу, что за серией этих атак стоит крупная организация китайского происхождения и сами эти операции по вторжению в частные сети организаций велись под прикрытием китайского правительства и спецслужб на протяжении семи лет (!). Более того, эта организация, на самом деле, является крылом или подразделением Народно-освободительной армии Китая. В нашем посте мы приводим выводы, которые были сделаны Mandiant за семилетний период анализа деятельности этой теневой организации. Детальную версию отчета, включая технические подробности вы можете найти здесь.
Читать полностью »

Недавно мы обнаружили новую модификацию банковского трояна Win32/Spy.Ranbyus, который уже был предметом исследования наших аналитиков. Одна из его модификаций упоминалась Александром Матросовым в посте, посвященном эксплуатированию смарт-карт в банковских троянах. Описываемая там модификация обладает интересным функционалом, так как показывает возможность обхода операций аутентификации при осуществлении платежных транзакций с помощью устройств смарт-карт. В той же модификации был обнаружен код поиска активных смарт-карт или их ридеров, после нахождения которых бот отсылал информацию о них в командный центр C&C с описанием типа найденных устройств.

Читать полностью »

В конце прошлой недели администрация Facebook объявила о том, что ноутбуки некоторых сотрудников компании были заражены вредоносным кодом. В процессе расследования инцидента выяснилось, что заражение произошло через веб-сайт, посвященный разработе для мобильных устройств, который был скомпрометирован вредоносным содержимым. При посещении этого сайта пользователей перенаправляли на набор эксплойтов, которые устанавливали вредоносное ПО на уязвимые для эксплойтов компьютеры. Команда безопасности Facebook отмечает, что ноутбуки сотрудников были скомпрометированы с использованием незакрытой на тот момент 0day Java уявимости. В компании подчеркивают, что у них нет оснований полагать, что злоумышленникам удалось похитить какую-либо информацию об аккаунтах социальной сети или другую персональную информацию пользователей.

Читать полностью »

Недавно мы опубликовали пресс-релиз по PokerAgent, который вкратце описывал возможности этого вредоносного ПО. Теперь же мы хотим представить его детальное исследование, рассказать о преследуемых им целях, а также описать возможности, которые он открывает злоумышленникам.

Читать полностью »

В этом посте мы хотим рассказать об обнаруженных нами в последнее время угрозах для ОС Linux и об атаках на нее. Известно, что эта операционная система чаще используется на серверах, чем на пользовательских компьютерах. Таким образом, цели, преследуемые киберпреступниками при атаках на Linux, имеют свою специфику, отличную от обычных атак на Windows-системы.

В первой части мы расскажем о Linux/SSHDoor.A – угрозе, которая используется злоумышленниками для получения скрытого доступа на скомпрометированный сервер и для кражи информации. Вторая часть материала посвящена исследованию атаки, проводимой на Linux-серверы, которые используют Apache в качестве веб-сервера.

Читать полностью »

Специалисты компании FireEye обнаружили PDF, эксплуатирующий незакрытую уязвимость в Adobe Reader и Acrobat. Под ударом оказались Adobe PDF Reader и Acrobat версии XI (11.0.1), а также более ранние версии. В процессе расследования инцидента, связанного с 0day, были выявлены две уязвимости CVE-2013-0640 и CVE-2013-0641. Используя их, злоумышленник может выполнить произвольный код. Бюллетень безопасности Adobe доступен здесь.

Читать полностью »