Новости IT-сферы

Немного расскажу про новости IT-сферы.

Эксперты команды Cisco Talos рапортуют о целой новой кампании по распространению инфостилеров (т.е. информационных «крадунов»), в первую очередь Agent Tesla, во вторую — Loki и Gamarue. Эти вредоносы способных воровать вашу информацию из различных приложений, например, Google Chrome, Mozilla Firefox, Microsoft Outlook итд.

Казалось бы, что тут особенного? Новые вирусы, в том числе инфостилеры появляются каждую неделю (хоть я и не пишу об этом). Дело в том, что в нынешней Agent Tesla-кампании хакеры используют модифицированный процесс эксплуатации известных уязвимостей в Microsoft Word (CVE-2017-0199 и CVE-2017-11882). Таким образом они могут легко инфицировать ОС, не привлекая внимания «санитаров», то есть, антивирусов — для этого вам достаточно просто открыть RTF-файл, сам по себе безобидный (RTF - один форматов MS Word).

Этот RTF-файл самостоятельно загрузит конечный вредоносный модуль, не вызывая подозрений со стороны защитных решений. По словам специалистов Cisco Talos , только 2 из 58 антивирусов (!!!) сочли файл подозрительным, да и то при этом они всего лишь предупреждали, что документ «неправильно отформатирован».

Эксперты поясняют, что атака через безобидный вроде бы документ (кстати, это тренд сезона) эксплуатирует особенности формата RT, который поддерживает возможность встраивания объектов с помощью технологии OLE и использует большое количество управляющих слов для определения содержащегося контента. Обычно парсеры RTF игнорируют неизвестное содержимое, и тем самым становится проще простого сокрыть эксплоит в теле самого документа.

По сообщениям специалистов, хакеры применяют еще одну дополнительную меру для защиты вируса от прямого обнаружения: они меняют значения заголовка OLE-объекта, добавляя данные, которые выглядят как тег , но на деле являются эксплоитом для уязвимости CVE-2017-11882 в Microsoft Office.

Я бы порекомендовал тебе ознакомиться с оригинальной статьей в блоге Cisco Talos и узнать для себя много нового о том, каковы они — вирусы XXI века. Но там и для специалистов слишком много информации.

К слову...

Новый инфостилер вышел на киберпреступную сцену, его зовут Raccoon.

По сообщениям экспертов из Cybereason, за последние месяцы он успел широко распространиться и заразить более 100 тысяч машин под управлением Windows в странах Северной Америки, Западной Европы и Азии.

Хотя технически зловред не особенно сложен и не использует инновационных техник, однако бизнес-модель его создателей — MaaS (Monitoring-as-a-service) — позволяет злоумышленникам быстро и с минимальными трудозатратами зарабатывать на краже конфиденциальной информации.

У «енотика» также отличная техподдержка, разработчики постоянно его совершенствуют и быстро откликаются на замечания «клиентов».

Raccoon не брезгует никакими способами распространения: инфостилер передается с помощью эксплойт-паков (в том числе Fallout и RIG), через вредоносные email-рассылки, загрузкой из веба вместе с пиратскими копиями легитимных приложений.

Немедленно после установки зловред приступает к поиску банковских реквизитов, адресов криптокошельков, паролей, учетных данных email, сведений о системе, а также информации, сохраненной в популярных браузерах. Свои находки Raccoon аккумулирует и отправляет своему оператору.

Разработчики нового инфостилера предположительно имеют российские корни и говорят на русском языке. Зловред вначале предлагался к продаже только на русскоязычных форумах, а теперь рекламируется и в англоязычных кругах. Взять его в аренду стоит $200 в месяц.

И еще...

TrickBot возненавидел купивших Windows 10 пользователей.
Любопытную кампанию развернул притихший был троян TrickBot. Он активно атакует полностью оплаченные ОС Windows 10.

Обосновываясь в системе, троян ворует платежные данные состоятельных пользователей.

Для своей цели злоумышленники могут воспользоваться элементами ActiveX в программном пакете Microsoft Word. В 2019 году TrickBot’ом были заражены не менее 250 миллионов устройств. Кроме того, отмечается, что вирус способен отключать механизмы защиты от вирусов, встроенные разработчиком в саму операционную систему.

В новой кампании злоумышленники используют зараженный документ, в котором содержится специальное изображение со скрытым элементом. Как только жертва разрешает выполнение этой составляющей, троян сразу же устанавливается в систему и работает незаметно для пользователя.

➡️ На фоне таких новостей я несказанно рад тому, что практически не использую Windows на своих компьютерах. Linux «защищает» меня от подобных угроз и позволяет спать спокойно. Да, можно не интересоваться новинками разработок вирусописателей и точно так же спать спокойно. Но от угрозы это не спасает. Так что благодарю за внимание и хорошего дня 👍.

Оригинал моего поста