Для тех ,кто решил зарегистрироваться на форуме «Беседка» !
Категорически запрещена регистрация  с одноразового и временного e-mail !Такие пользователи будут отправляться в бан без объяснения причин.
После регистрации необходимо активировать свою учетную запись .Если Вы в почте не обнаружили письмо с активацией рекомендуется проверить папку «Спам».
С уважением
 Администрация форума

Автор Тема: Новости из мира вирусов  (Прочитано 82138 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #480 : 29 Января 2019, 19:58 »
Троян AZORult крадет пароли под видом приложения Google Update
Специалисты компании Minerva Labs заметили вариант трояна AZORult, который маскируется под приложение Google Update и заменяет официальную программу вредоносной версией.

AZORult представляет собой инфостилер, который также может действовать как загрузчик для другого вредоносного ПО. Троян предназначен для кражи как можно большего объема конфиденциальной информации: от файлов, паролей, cookie-файлов и истории посещения в браузере до банковских учетных данных и криптовалютных кошельков пользователей.

Исследователи получили от одного из своих клиентов на первый взгляд легитимный исполняемый файл GoogleUpdate.exe, подписанный действительной цифровой подписью. Как оказалось при ближайшем рассмотрении, на самом деле файл был подписан сертификатом, выданным компании "Singh Agile Content Design Limited" вместо Google. Сертификат был выдан 19 ноября минувшего года и на протяжении прошедшего периода использовался для подписи более чем сотни исполняемых файлов, причем все они были замаскированы под Google Update.

В ходе анализа специалисты смогли идентифицировать вредонос в фальшивом файле Google Update как троян AZORult на основе нескольких признаков: отправка запроса HTTP POST к /index.php с домена в альтернативной зоне .bit и использование Mozilla/4.0 User-Agent.

Помимо основного функционала, новый вариант AZORult обладает дополнительной возможностью маскироваться под программу Google Updater (C:\Program Files\Google\Update\GoogleUpdate.exe). Таким образом вредонос может работать с привилегиями администратора и сохранять присутствие на системе без необходимости модификации реестра Windows или добавления задач в планировщик.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #481 : 08 Февраля 2019, 18:39 »
Банковский троян IcedID переключился на интернет-магазины
Методы распространения IcedID не изменились, как и раньше заражение происходит с помощью трояна EMOTET и вредоносного спама.

Разработчики банковского трояна IcedID начали использовать вредоносное ПО для кражи данных платежных карт клиентов интернет-магазинов. Коме того, с целью расширения сферы деятельности группировка стала предлагать IcedID в рамках модели "вредоносное ПО-как-услуга" ("malware-as-a-service").

Атаки начались в ноябре 2018 года, однако вместо краж банковской информации пользователей, преступники использовали IcedID для сбора данных платежных карт клиентов online-магазинов, отметила специалист подразделения IBM Security Лимор Кессем (Limor Kessem). Собранную информацию злоумышленники использовали для покупок в различных интернет-магазинах.

Эксперты отслеживали деятельность трояна с сентября 2017 года. Методы распространения IcedID с тех пор не изменились, как и раньше заражение происходит с помощью трояна EMOTET и вредоносного спама.

Злоумышленники осуществляют атаки на интернет-магазины в качестве способа побочного заработка, а также предлагают в аренду или продают части ботнета IcedID по аналогии с бизнес-моделью авторов трояна Gozi, заметила Кессем.

В то время как многие киберпреступные группировки расширяют географическую зону своих атак, что требует значительных средств и ресурсов, операторы IcedID не выходят за пределы Северной Америки, ориентируясь на банки и предприятия электронной коммерции в данном регионе.
Поблагодарили: Dovf, topinant, Безумный Макс

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #482 : 26 Февраля 2019, 22:29 »
Вредоносы научились использовать и отключать антивирусы
Эксперты по безопасности выявили сразу два новых вредоноса, так или иначе атакующих или эксплуатирующих антивирусные программы на разных платформах.

В частности, новый вариант многоступенчатой программы Shlayer атакующей macOS, научился отключать защитную систему Gatekeeper, чтобы запускать неподписанный код.

Второй вредонос — это PC-троянец Astaroth, который способен использовать процессы антивируса Avast и продукты бразильской компании GASTecnologia для кражи данных и установки новых вредоносных модулей.

Некоторые подробности
Первый вариант Shlayer был выявлен еще год назад. Как и многие другие вредоносы под macOS, он выдавал себя за обновления AdobeFlash. То же самое делает и новая версия, с той лишь разницей, что если первый вариант распространялся через торренты, то новый — через взломанные домены или клоны легитимных сайтов, выводящих пользователям всплывающие окна с предложением скачать обновление. Также были отмечены случаи, когда ссылки на Shlayer попадались в рекламе, размещенной на легитимных сайтах.
Shlayer атакует все версии macOS, включая последнюю — 10.14.3 Mojave. На компьютеры жертв он попадает в виде файла .DMG, .PKG, .ISO или .ZIP, часть из которых снабжена подписью разработчика Apple, чтобы придать им большую легитимность.

Новая версия Shlayer также использует вредоносные shell-скрипты для скачивания дополнительных компонентов.

Как пишут исследователи группы CarbonBlack, при монтировании образа DMGи запуске мнимого инсталлятора из скрытой папки в смонтированном разделе запускается скрипт .command, который декодирует и дешифрует второй скрипт, содержащий, в свою очередь, другой закодированный скрипт, который позднее также будет запущен.

Последний скрипт из этой «гирлянды» представляет собой финальный этап первой стадии заражения; он собирает данные о версии macOS, установленной на целевой машине, включая уникальный идентификатор платформы, генерирует сессию GUID (используя uuidgen), создает специальную URL-ссылку, используя информацию, сгенерированную на предыдущих двух этапах, и скачивает вредоносный компонент для второй стадии заражения.

Затем он пытается скачать .ZIP-файл, используя curl, создает папку в /tmp и деархивирует в нее скачанное, используя пароли, вшитые в скрипт. Скачанный файл преобразуется в исполняемый и запускается, а окно скрипта закрывается с помощью команды killallTerminal.

После этого вредонос пытается повысить привилегии в sudo, используя /usr/libexec/security_authtrampoline. (Эту методику еще в 2017 г. описал эксперт Патрик Уордл (PatrickWardle).)

После этого Shlayer пытается отключить Gatekeeper, чтобы, с точки зрения операционной системы, все скачанные и запущенные модули выглядели как легитимные.

На случай, если это не получится, некоторые компоненты второй стадии снабжены действующими подписями разработчика Apple.

На данный момент Shlayer распространяет исключительно нежелательную рекламу, но в любой момент он также может начать распространять и более опасные компоненты.

Троянский конь Иштар
Astaroth — троянец, который атакует бразильских и европейских пользователей. Как и прошлые версии, новая эксплуатирует «легитимные системные процессы Windows для осуществления вредоносных операций и скрытной доставки вредоносных модулей», — так гласит описание, приводимое экспертами CybereasonNocturnus. Однако теперь троянец способен использовать в своих целях также «известные [защитные] инструменты и даже анивирусное ПО для расширения собственной функциональности».

Известно, что, как и более ранние версии Astaroth, нынешняя были способна использовать средства, называемые Living-off-the-landBinaries (или LOLbins), такие как интерфейс командной строки WindowsManagementInstrumentationConsole (WMIC) для скрытного скачивания и установки вредоносных модулей. Теперь же он также использует утилиту WindowsBITSAdmin — для скачивания из дополнительных источников (точнее, с командных серверов) новых модулей, которые спрятаны либо в изображениях, либо в файлах без расширений. Все это снабжено весьма эффективной обфускацией (запутыванием).

Что же касается антивирусов, то вредонос способен производить инъекцию вредоносного модуля в процесс aswrundll.exe антивируса Avast. Этот процесс используется и для сбора сведений о зараженной машине, и для подгрузки дополнительных модулей.

Аналогичным образом Astaroth может эксплуатировать процесс unins000.exe, запускаемый антивирусом GASTecnologia для поиска и сбора персональных данных о пользователе системы, если на ней нет антивируса Avast.

Троянец функционирует как кейлоггер, перехватывает вызовы операционной системы и собирает информацию из буфера обмена. Кроме того, он пытается собирать любые логины и пароли пользователей.

Со своей стороны, разработчики Avast так прокомментировали информацию о новом троянце. «Авторы эксплуатируют доверенный двоичный код для запуска вредоноса; в данном случае они использовали процесс Avast, вероятно, по причине большого размера нашей пользовательской базы в Бразилии... Важно понимать, что речь не идет ни об инъекции, ни о повышении привилегий. После установки, двоичные файлы Avast снабжены механизмом самозащиты, предотвращающим инъекции. В нашем случае, злоумышленники используют файл Avast для запуска двоичного кода таким же образом, как это может делать любая DLL, использующая встроенную в Windows программу rundll32.exe.»

Разработчики Avast также отметили, что уже снабдили свой антивирус средствами защиты от Astaroth и прорабатывают изменения в антивирус, которые позволят блокировать попытку использовать процесс подобными троянцами.

«Использование LOLbins, т. н. living-off-the-landbinaries — это действительно не инъекция кода, строго говоря. Троянец Astaroth злоупотребляет особенностью операционной системы, а не слабыми местами конкретных программ, так что ответственности Avast тут действительно никакой нет, — считает Олег Галушкин, директор по информационной безопасности компании SECConsultServices. — Намерение снабдить антивирус защитой от действия подобных вредоносов можно только приветствовать».


Оффлайн Безумный Макс

  • Чтобы найти с человеком общий язык, иногда надо уметь помолчать!
  • *
  • Сообщений: 49520
  • Пол: Мужской

Новости из мира вирусов
« Ответ #483 : 14 Марта 2019, 20:10 »
В Windows нашли серьезную уязвимость

МОСКВА, 14 мар – РИА Новости. "Лаборатория Касперского" обнаружила в Windows ранее неизвестную уязвимость, с помощью которой хакеры могли получить доступ к сети или устройству жертвы. Об этом сообщается на сайте компании.
Для использования данной уязвимости киберпреступники написали эксплойт (программа для проведения сетевых атак. – прим. ред.), нацеленный на операционные системы Windows 8 и Windows 10. Уязвимость позволяла хакерам получить полный доступ к атакуемому компьютеру, подчеркнули в "Лаборатории Касперского".

Предположительно, указанная брешь была использована для проведения целевых атак по крайней мере двумя группировками киберпреступников, отметили в компании.

Информация об уязвимости была передана в Microsoft, после чего та выпустила обновление для своих операционных систем.
Поблагодарили: Dovf, ALENA

Оффлайн Dovf

  • *
  • Сообщений: 135673
  • Пол: Мужской

Новости из мира вирусов
« Ответ #484 : 14 Марта 2019, 20:13 »
В Windows нашли серьезную уязвимость
Наконец то  :)) А то всё не серьезные какие то  :rukalico: :))
Поблагодарили: Безумный Макс, ALENA

Оффлайн Безумный Макс

  • Чтобы найти с человеком общий язык, иногда надо уметь помолчать!
  • *
  • Сообщений: 49520
  • Пол: Мужской

Новости из мира вирусов
« Ответ #485 : 14 Марта 2019, 20:17 »
Наконец то   А то всё не серьезные какие то  
а как ты хотел  ^&^ это такая ненавязчивая реклама фирмы касперского   :-X если не установишь то всё будет очень серьёзно  ruki vver

 ^&^ :jokingl: :)))

Поблагодарили: Dovf, topinant, ALENA

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #486 : 15 Апреля 2019, 20:07 »
Злоумышленники рассылают вредоносное ПО через старую переписку
Киберпреступная группировка, стоящая за вредоносным ПО Emotet, взяла на вооружение тактику, ранее использовавшуюся только «правительственными хакерами».

Злоумышленники внедряются в ветку старой электронной переписки и добавляют ссылки на вредоносные файлы. Один из участников переписки получает письмо якобы от своего прежнего собеседника, но на самом деле его источником является сервер Emotet. В начало сообщения киберпреступники добавляют ссылку на вредоносный файл или прикрепляют вредоносный документ к одному из писем в ветке. Сама переписка при этом остается нетронутой.

Техника внедрения вредоносного ПО в старую переписку была описана еще в октябре 2017 года исследователями компании Palo Alto Networks. Тогда ее использовали киберпреступники, работающие на правительство КНДР. Однако для заражения старой переписки северокорейцы взламывали электронный ящик каждой жертвы по отдельности. В случае с Emotet киберпреступники используют учетные записи, массово взломанные ими еще в октябре прошлого года.

Как сообщают специалисты Minerva Labs, группировка начала экспериментировать с распространением спама через ветки старой переписки в прошлом месяце. Тем не менее, массовые заражения начались на прошлой неделе, отмечают эксперты компаний Cofense и Kryptos Logic и исследователь безопасности Маркус Хатчинс (Marcus Hutchins), также известный как MalwareTech.

В настоящее время киберпреступники используют переписки, похищенные до ноября 2018 года, но в дальнейших атаках они перейдут к более новым веткам, уверены эксперты. Пользователи, недавно получившие ответ на одно из своих старых писем, рискуют стать жертвами Emotet. Более того, их системы или системы собеседников наверняка уже были заражены Emotet раньше.

Поблагодарили: Безумный Макс, Dovf

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #487 : 04 Июля 2019, 21:42 »
Обнаружено первое в мире вредоносное ПО, использующее DoH-запросы
Вредоносное ПО Godlua заражает устаревшие Linux-серверы через уязвимость в Atlassian Confluence Server.

Исследователи подразделения Netlab китайской ИБ-компании Qihoo 360 обнаружили первый в мире образец вредоносного ПО, использующий протокол DNS поверх HTTPS (DoH).

Вредоносное ПО Godlua написано на языке Lua и на зараженной системе играет роль бэкдора. Злоумышленники используют его для заражения устаревших Linux-серверов через уязвимость в Atlassian Confluence Server (CVE-2019-3396).

Загруженные на VirusTotal ранние версии вредоноса были ошибочно классифицированы как майнеры криптовалют, но на самом деле Godlua является DDoS-ботом, уже используемым в реальных атаках. На данный момент исследователи выявили только два образца вредоноса с похожей архитектурой. Обе версии используют DoH-запросы на текстовые записи DNS, содержащие URL-адрес C&C-сервера, к которому Godlua подключается для получения инструкций.

Сама по себе техника получения URL-адреса C&C-сервера из текстовой записи DNS далеко не нова. Новое здесь – использование DoH-запросов вместо стандартных DNS-запросов. Как следует из названия протокола, DNS поверх HTTPS отправляет DNS-запросы по HTTPS. DoH-запросы являются зашифрованными и невидимыми для сторонних наблюдателей, в том числе для решений безопасности, использующих пассивный мониторинг DNS для блокировки запросов к известным вредоносным доменам.

Эксперты обеспокоены тем, что вскоре операторы других вредоносов возьмут на вооружение данную технику, сделав огромное число ИБ-решений бесполезными.


Оффлайн Dovf

  • *
  • Сообщений: 135673
  • Пол: Мужской

Новости из мира вирусов
« Ответ #488 : 10 Июля 2019, 18:35 »
Найден вирус, читающий сообщения во всех мессенджерах
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Этот вирус собирает личные данные, включая сообщения из мессенджеров, защищенные шифрованием.
Специалисты Лаборатории Касперского обнаружили вирус FinSpy в новой версии, который умеет не только собирать личные данные, но даже читать сообщения из всех возможных мессенджеров, включая защищенные шифрованием. Об этом отмечается на сайте компании.

Вирус имеет безграничный доступ к информации и управлению смартфоном. Однако пользователь в случае заражения его устройства даже не заметит опасности. Кроме того, вредоносное ПО может скрывать следы взлома.

Злоумышленники с помощью ПО получают доступ к любым данным. Это и электронная почта, и пароли, и переписка в мессенджерах, и контакты, и месторасположение пользователя, а также многое другое.

Специалисты советуют пользователям регулярно обновлять ПО в смартфоне, поскольку без него гаджеты более уязвимы, и подвержены взлому через SMS, электронную почту, или же с помощью Push-уведомления.

Оффлайн DrLuciffer

  • *
  • Сообщений: 1
  • Пол: Мужской

Новости из мира вирусов
« Ответ #489 : 13 Августа 2019, 15:41 »
это к сожаленью давно не новость (((((( их уже столько модификаций что просто жуть
Поблагодарили: topinant, Василий Алибабаевич

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #490 : 31 Августа 2019, 21:46 »
Компания ESET обнаружила вредоносную активность, направленную на пользователей торрент-сайтов. Злоумышленники распространяют бэкдор GoBotKR под видом пиратских версий фильмов, игр и сериалов.

GoBotKR — модифицированная версия вируса GoBot2, исходный код которого доступен с марта 2017 года. Заражение происходит так: пользователь скачивает торрент-файл фильма или сериала, после чего видит набор безобидных программ и расширений, включая файлы с расширениями PMA («инсталлятор для кодека»), MP4 и LNK. Вредонос проникает в память компьютера после запуска LNK-файла. GoBotKR собирает системную информацию: данные о конфигурации сети, операционной системе, процессоре и установленных антивирусных программах. Эти данные отправляются на командный сервер в Южной Корее.

Список команд, которые способен выполнять бэкдор, многообразен: раздача торрентов через BitTorrent и uTorrent, организация DDoS-атак, изменение фона рабочего стола, копирование бэкдора в папки облачных хранилищ (Dropbox, OneDrive, Google Drive) или на съёмный носитель, запуск прокси или HTTP-сервера, изменение настроек брандмауэра, включение или отключение диспетчера задач.

Эксперты ESET полагают, что злоумышленники планируют объединить зараженные компьютеры в ботнет для совершения DDoS-атак.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #491 : 28 Сентября 2019, 16:59 »
Новый вредонос Nodersok заразил тысячи компьютеров на базе Windows
Вредоносное ПО устанавливает Node.js, чтобы превратить системы в прокси-серверы и совершать мошеннические операции.

Тысячи компьютеров на базе Windows по всему миру за последние несколько недель были заражены новым видом вредоносного ПО. Вредонос под названием Nodersok загружает и устанавливает копию инфраструктуры Node.js для преобразования зараженных систем в прокси-серверы и проведения мошеннических операций.

Вредоносная программа, названная Nodersok (в отчете Microsoft) и Divergent (в отчете Cisco Talos), впервые была обнаружена летом нынешнего года и распространялась с помощью вредоносной рекламы, которая принудительно загружала файлы HTA (HTML Application) на компьютеры пользователей. Запуск HTA-файлов начинал многоэтапный процесс заражения с использованием скриптов Excel, JavaScript и PowerShell, которые в конечном итоге загружали и устанавливали вредоносное ПО Nodersok.

Сама вредоносная программа имеет несколько компонентов, включая PowerShell-модуль, который пытается отключить Защитника Windows и Центр обновления Windows, а также компонент для повышения привилегий вредоносного ПО до уровня SYSTEM. Но есть также два компонента, которые являются легитимными приложениями, а именно: WinDivert и Node.js. Первое представляет собой приложение для захвата и взаимодействия с сетевыми пакетами, а второе — известный инструмент для запуска JavaScript на web-серверах.

Легитимные приложения используются для запуска прокси-сервера SOCKS на зараженных хостах. Исследователи из компании Microsoft утверждают, что вредоносная программа превращает зараженные хосты в прокси-серверы для передачи вредоносного трафика. По словам специалистов из Cisco Talos, с другой стороны, прокси используются для мошеннических операций.

Так или иначе, создатели Nodersok могут в любой момент развернуть другие модули для выполнения дополнительных задач или даже запустить вымогательское ПО или банковские трояны.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #492 : 29 Сентября 2019, 18:46 »
Новое вредоносное ПО «обчищает» криптовалютные кошельки с помощью Telegram
Исследователи обнаружили как минимум 18 активных вредоносных кампаний с использованием Masad Stealer.

Специалисты компании Juniper Threat Labs обнаружили по меньшей мере 18 вредоносных кампаний и киберпреступных группировок, использующих новое вредоносное ПО Masad Stealer. В настоящее время вредонос активно рекламируется на хакерских форумах – желающие могут попробовать бесплатную версию с ограниченным функционалом или за $85 приобрести полнофункциональный вариант.

По словам специалистов, Masad Stealer имеет прямую связь с вредоносным ПО Qulab Stealer и является либо его усовершенствованной версией, либо непосредственным преемником. Вредонос создан с использованием скриптов Autoit и скомпилирован как исполняемый файл Windows.

Masad Stealer представляет собой шпионское ПО, способное похищать данные из браузеров (имена пользователей, пароли и данные банковских карт) и автоматически заменять криптовалютные кошельки из буфера обмена своим собственным. Некоторые варианты Masad Stealer также могут загружать на зараженную систему дополнительное вредоносное ПО (как правило, майнеры криптовалюты).

Примечательно, что в качестве C&C-канала вредонос использует мессенджер Telegram. Все похищенные данные Masad Stealer отправляет своему оператору с помощью Telegram-бота и через него же получает команды.

Вредонос распространяется под видом легитимного инструмента (ProxySwitcher, CCleaner.exe, Utilman.exe и пр.) или встраивается операторами в сторонние программы, предлагаемые на файлообменных сайтах.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #493 : 18 Октября 2019, 19:51 »
Вредоносная версия Tor похищает криптовалюту у пользователей рынков даркнета
Злоумышленники рекламируют вредоносный вариант Tor как «русскоязычную версию» браузера.

Вредоносная версия браузера Tor похищает криптовалюту у пользователей рынков даркнета и отслеживает посещаемые ими web-сайты. Еще в 2017 году злоумышленники зарегистрировали три криптовалютных кошелька, куда были переведены $40 тыс. в биткойнах.

Как сообщают специалисты ESET, злоумышленники рекламируют вредоносный вариант Tor на сайте Pastebin как «русскоязычную версию» браузера. Причем рекламные публикации оптимизированы таким образом, чтобы держались вверху поисковой выдачи по таким запросам, как наркотики, криптовалюта, обход блокировок и российские политики. Потенциальных жертв злоумышленники «подкупают» тем, что рекламируемая версия браузера якобы позволяет обходить CAPTCHA.

Еще один способ распространения вредоноса – спам-рассылка. Под видом «официальной русской версии» вредонос загружается с доменов tor-browser[.]org и torproect[.]org, зарегистрированных в 2014 году. Дизайн сайтов скопирован с настоящего сайта Tor Project. Когда пользователь попадает на эти сайты, независимо от используемой версии Tor, на экране отображается уведомление, будто браузер устарел и требует обновления.

Если пользователь решает «обновить» свой браузер, на его систему загружается скрипт, способный модифицировать страницу. В частности, он похищает контент в формах, скрывает оригинальный контент, показывает поддельные сообщения и добавляет другой контент. Это позволяет вредоносу в режиме реального времени подменять криптовалютный кошелек, на который отправляется криптовалюта. Кроме того, скрипт способен похищать данные кошельков Qiwi.

Когда жертва кладет на свой счет криптовалюту, скрипт меняет адрес ее кошелька на адрес, принадлежащий злоумышленникам. Поскольку криптовалютные адреса представляют собой длинную строку случайных символов, пользователи зачастую не замечают подмену.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Новости из мира вирусов
« Ответ #494 : 27 Октября 2019, 09:25 »
Вредоносная программа Raccoon заразила более 100 тыс. устройств
Новое вредоносное ПО под названием Racoon, созданное для хищения информации быстро завоевывает популярность у киберпреступников. По словам команды исследователей из Cybereason Nocturnus, всего за несколько месяцев вредонос заразил сотни тысяч устройств по всему миру, похищая данные кредитных карт жертв, учетные данные электронной почты и пр.

Вредоносное ПО не является сложным или инновационным, однако распространение по модели «вредоносное-ПО-как- услуга» (MaaS) предоставляет киберпреступникам быстрый и простой способ заработать деньги. Raccoon уже входит в десятку самых упоминаемых вредоносных программ в даркнете.

«Основываясь на логах, выставленных на продажу в подпольном сообществе, Raccoon за несколько месяцев заразил более 100 тыс. конечных точек по всему миру. С ним легко разберется любой преступник, независимо от уровня технических навыков. Более того, команда Raccoon постоянно работает над ее улучшением и предоставлением отзывчивой поддержки. Это дает людям быстрый и простой способ заработать деньги, не вкладывая много средств и не имея глубоких технических знаний», — сообщили исследователи из Cybereason.

Исследователи впервые обнаружили Raccoon в апреле 2019 года. Вредоносное ПО, написанное на языке C++, использует несколько потенциальных методов доставки, включая наборы эксплоитов (в том числе Fallout и RIG), а также фишинговые атаки и вредоносное ПО, распространяемое в составе легитимных программных пакетов с «сомнительных» web-сайтов.

После установки Raccoon проверяет системы на наличие информации о кредитных картах, криптовалютных кошельках, паролях, электронных письмах, cookie-файлах и данных из популярных браузеров (включая сохраненную информацию о кредитной карте, URL-адреса, имена пользователей и пароли), а затем отправляет их оператору.

Предположительно, вредонос разработан русскоговорящими злоумышленниками. Изначально он продавался исключительно на русскоязычных форумах, но теперь предлагается и на англоязычных.