Брифинг выступления. Всякий раз, когда обнаруживается новый образец вредоносного ПО для macOS, он предоставляет нам возможность оценить новые возможности взлома, которые можно использовать с пользой для себя. Я имею в виду то, что жизнь коротка, зачем же тратить её на написание собственного вредоносного ПО?
Мы начнем этот разговор с обсуждения методологии приспособления для «личного использования» существующих вредоносных программ, подчеркивая как недостатки, так и преимущества такого подхода. Затем мы пройдем через вепонизацию различных образцов вредоносных программ для macOS, включая интерактивный бэкдор, имплантат для эксфильтрации файлов, вымогателей и да, даже рекламное ПО. Наши настройки включают в себя различные бинарные модификации среды выполнения, которые заставляют эти вредоносные программы принимать задачи от наших собственных серверов C&C и/или автоматически выполнять действия от нашего имени.
Конечно, сейчас в своем первозданном состоянии эти образцы обнаруживаются антивирусными продуктами. Поэтому мы рассмотрим модификации, которые обеспечат незаметность наших «хакерских» инструментов для традиционных антивирусных программ.
В заключение мы рассмотрим новые эвристические методы, которые все же смогут обнаруживать такие угрозы, чтобы обеспечить защиту пользователей Mac даже от таких модифицированных угроз. Зачем это нужно? Потому что это нормальный цикл развития человечества, и мы просто не осознаем, что видимое нами разрушение означает внедрение новой технологии, которая, прежде чем создать новые рабочие места, уничтожает старые.
Рубрика «Malware» - 2
Конференция DEFCON 27. Извлечение пользы из хакерских продуктов для macOS. Часть 1
2019-11-04 в 11:17, admin, рубрики: CreativeUpdate, FruitFly, KeRanger, MacOS, Malware, Objective-See, ransomware, Windtall, Блог компании ua-hosting.company, информационная безопасность, конференции, Программирование, реверс-инжиниринг
Кибербезопасность для 1 сентября: в школах Флагстаффа занятия отменили из-за атаки злоумышленников
2019-09-05 в 22:25, admin, рубрики: Malware, зловредное ПО, информационная безопасность, США, школы
Сентябрь для школьников большинства стран означает начало нового учебного года. Кто-то этому рад, кто-то нет, но ничего не поделать — таковы правила. Правда, в некоторых случаях вмешиваются сторонние факторы, которые нарушают давно отлаженные процессы, включая учебу.
Сейчас речь идет о кибератаках в отношении учебных заведений разных стран, нападения киберпреступников на которые исчисляются десятками. Поскольку многие школы обзавелись технической инфраструктурой, без которой работать они уже не могут, то атака на серверы, которые обслуживают учебные заведения определенного региона во многих случаях оказывается критической. Так, в школах Флагстаффа, Аризона, США, пришлось отменить все занятия 4 сентября.
Читать полностью »
Вирус Agent Smith заразил 25 миллионов устройств под управлением ОС Android
2019-07-14 в 13:00, admin, рубрики: agent smith, Malware, вирусы, зловреды, информационная безопасность, Софт
На днях специалисты по информационной безопасности из организации Check Point обнаружили вредоносное программное обеспечение, которое получило название Agent Smith. Это ПО незаметно для пользователя заражает устройство и заменяет обычное ПО вредоносными клонами, которые показывают большое количество рекламы.
Сообщается, что большая часть жертв этого ПО находится в Индии, Бангладеш и Пакистане. Есть жертвы и из других стран, включая Россию. Эксперты отследили место создания вредоноса. Как оказалось, разработчиком является некая компания из Китая. Это вполне официальная организация, которая помогает китайским разработчикам продвигать свои приложения. Но, похоже, организация занимается и другими видами деятельности, не совсем «белыми».
Читать полностью »
Иследование современного Malware Cerberus под Android
2019-07-13 в 9:13, admin, рубрики: android, apk, Cerberus, java, Malware, Банк бот, вирус, малварь, Разработка под android, реверс-инжиниринг
На носу уже 2020 год и сегодня мы имеем уже версию Android 9.0 Pie, где компания Google бьет себе в грудь и говорит что их продукт защищен. Но злодеи не дремлют и создают свои вредоносы для Android.
Случайным образом мне попался на руки обфусцированный apk файл, который является банковской малварью под названием «Cerberus», и появился он в 2019 году.
APK файл данного ботнета попал ко мне с недействительным адресом соединения с сервером, по этому часть логики работы и функционала осталась неизученной, так как данный ботнет использует «модульную» систему, и подгружает функционал напрямую со своего сервера.
Читать полностью »
«Лаборатория Касперского» обнаружила шпионское приложение, читающее секретные чаты в Telegram, WhatsApp и Signal
2019-07-11 в 15:14, admin, рубрики: Finspy, Malware, вирусы, информационная безопасность, лаборатория касперского, СофтНа днях «Лаборатория Касперского» обнаружила обновленную версию malware приложения FinSpy. Его разработчики добавили серьезную функциональность, благодаря чему шпионское приложение научилось читать сообщения пользователей как в обычных, так и защищенных чатах разных мессенджеров.
Новый «шпион» получил возможность собирать данные из таких защищенных мессенджеров, как Telegram, WhatsApp, Signal и Threema. Правда, для этого нужно одно условие — у взломщиков должен быть либо физический доступ к устройству, либо же телефон должен быть с джейлбрейком. Что касается устройств на Android, то версия этой ОС должна быть старой (какой именно, специалисты не сообщили.
Читать полностью »
Незаметная выдача прав администратора
2019-06-21 в 11:21, admin, рубрики: Malware, programming, uac elevation, Блог компании OTUS. Онлайн-образование, реверс-инжинирингВсех с пятницей, друзья. Сегодня делимся с вами еще одним материалом, переведенным в преддверии запуска курса «Реверс-инжиниринг».
У меня была классная идея, как заставить пользователя запустить ваше приложение без социальной инженерии или применения сторонних эксплойтов. Дальше вы сможете просто двигаться вперед и инициировать массовое заражение исполняемых файлов, но это может вызвать множество непредвиденных проблем, а также будет означать, что приложения с цифровой подписью от доверенных поставщиков будут отображаться как ненадежные файлы. Хорошей идеей будет «захват» всего одной dll. Я не буду называть этот метод обходом UAC(User account Control), поскольку все равно потребуется получить разрешение на запуск приложения (только не вашего).
Читать полностью »
Follow the money: как группировка RTM стала прятать адреса C&C-серверов в криптокошельке
2019-06-19 в 17:27, admin, рубрики: Bi.Zone, bitcoin, Malware, reverse engineering, rtm, банковский троян, биткойн, Блог компании BI.ZONE, вредоносное ПО, информационная безопасность, кибербезопасность, криптовалюта, реверс-инжинирингГруппировка киберпреступников RTM похищает деньги у банковских клиентов с 2015 г. Большинство ее жертв — российские компании. Вредоносное ПО, которое используют злоумышленники, в ИБ-сообществе так же принято называть RTM.
Об этой программе написано довольно много технических отчетов, которые подробно описывают общий механизм работы ВПО. В этой статье мы сосредоточимся на методах получения адресов управляющих (C&C) серверов RTM. В каждой итерации программы злоумышленники изобретательно подходят к этой задаче: они распространяют адрес через блоги, используют систему альтернативных DNS-серверов и сеть Tor. На днях же мы обнаружили, что RTM стала скрывать IP в транзакциях на биткойн-кошелек.
Мутные воды: как хакеры из MuddyWater атаковали турецкого производителя военной электроники
2019-05-29 в 9:12, admin, рубрики: criminalistics, cybercrime, cybersecurity, hack, hacker, hacking, Malware, research, вредоносное ПО, информационная безопасность, исследование, Исследования и прогнозы в IT, кибербезопасность, киберпреступность, расследование, хакеры
У иранских прогосударственных хакеров — большие проблемы. Всю весну неизвестные публиковали в Telegram «секретные сливы» — информацию о связанных с правительством Ирана APT-группах — OilRig и MuddyWater — их инструментах, жертвах, связях. Но не о всех. В апреле специалисты Group-IB обнаружили утечку почтовых адресов турецкой корпорации ASELSAN A.Ş, занимающуюся производством тактических военных радиостанций и электронных систем обороны для вооруженных сил Турции. Анастасия Тихонова, руководитель группы исследования сложных угроз Group-IB, и Никита Ростовцев, младший аналитик Group-IB, описали ход атаки на ASELSAN A.Ş и нашли возможного участника MuddyWater.
Читать полностью »
Бэкдор и шифратор Buhtrap распространялись с помощью Яндекс.Директ
2019-04-30 в 9:43, admin, рубрики: buhtrap, Malware, rtm, антивирусная защита, Блог компании ESET NOD32Чтобы нацелить кибератаку на бухгалтеров, можно использовать рабочие документы, которые они ищут в сети. Примерно так в последние несколько месяцев действовала кибергруппа, распространяющая известные бэкдоры Buhtrap и RTM, а также шифраторы и ПО для кражи криптовалют. Большинство целей расположены в России. Атака реализована путем размещения вредоносной рекламы в Яндекс.Директ. Потенциальные жертвы переходили на сайт, где им предлагалось скачать вредоносный файл, замаскированный под шаблон документа. Яндекс удалил вредоносную рекламу после нашего предупреждения.
Исходный код Buhtrap в прошлом был слит в сеть, поэтому его может использовать кто угодно. Мы не располагаем информацией относительно доступности кода RTM.
В посте расскажем, как атакующие распространяли вредоносное ПО с помощью Яндекс.Директ и хостили его на GitHub. Завершит пост технический анализ малвари.
Winnti: атака на цепочки поставок – под прицелом азиатские разработчики игр
2019-03-12 в 10:33, admin, рубрики: Malware, winnti, антивирусная защита, Блог компании ESET NOD32Не впервые злоумышленники атакуют игровую индустрию, компрометируют разработчиков, добавляют бэкдоры в среду сборки игр, а затем распространяют вредоносное ПО под видом легитимного. В апреле 2013 года «Лаборатория Касперского» сообщала о подобном инциденте. Эта атака приписана кибергруппе, названной Winnti.
Недавно внимание специалистов ESET привлекли новые атаки на цепочки поставок. Две игры и одна игровая платформа были скомпрометированы для внедрения бэкдора. Эти атаки нацелены на Азию и игровую индустрию, за ними снова стоит группа Winnti.
