Угрозы дня: вредоносные программы в Google Play, 3 новые модификации Dharma, открытая уязвимость Windows

2018-09-22 | Автор | комментарии
Вредоносные программы в Google Play Маркет похищают данные кредитных карт. Три новые модификации шифровальщика Dharma были выпущены за одну неделю. В Windows присутствует открытая уязвимость

Угрозы дня: вредоносные программы в Google Play, 3 новые модификации Dharma, открытая уязвимость Windows

Вредоносные программы в Google Play Маркет похищают данные кредитных карт

В Google Play Маркет были обнаружены вредоносные поддельные приложения (Fake Apps), выдающие себя за банковские приложения. Вредоносные программы похищали данные кредитных карт и учетные данные для входа в онлайн-банк. По сообщению исследователей безопасности компании ESET, вредоносные программы были загружены в Google Play в июне 2018 года и были установлены более тысячи раз, прежде чем Google удалил их. Приложения были загружены в Google Play Store под разными именами разработчиков.

Вредоносные программы в Google Play Маркет похищают данные кредитных карт

Однако, сходство с кодом указывает на то, что приложения являются работой одного злоумышленника. Данные вредоносные программы использовали обфускацию, что, усложнило обнаружение со стороны проверки Google Play Store. Принцип работы вредоносных приложений: при запуске они отображали формы, запрашивающие данные кредитной карты и / или учетных данных для входа в банк. После того как пользователи заполняли данную форму, представленные данные отправлялись на сервер злоумышленника. Затем приложения в отдельном сообщении благодарили пользователей за регистрацию, на этом заканчивалась их функциональность. Злоумышленники подделывали свои приложения под следующие банки: Commonwealth Bank of Australia (CommBank), The Australia and New Zealand Banking Group Limited (ANZ), ASB Bank, TSB Bank, PostFinance, Bank Zachodni WBK , Bitpanda.

60 млн долларов криптовалюты было похищено с японской онлайн-биржи

С японской криптобиржи Zaif злоумышленники похитили криптовалюту стоимостью 60 млн долларов, получив на два часа доступ к "горячему кошельку" биржи. Похищенная криптовалюта включала в себя разные типы криптовалют: Bitcoin, Monacoin и Bitcoin Cash. Группа Tech Bureau, которой принадлежит криптобиржа Zaif, сообщает, что криптовалюта на сумму 19,6 млн долларов принадлежала бирже, а остальная часть принадлежала клиентам биржи. Компания подписала соглашение с Fisco Ltd о получении 5 миллиардов иен в качестве инвестиций для выплаты компенсации пострадавшим клиентам.

Три новые модификации шифровальщика Dharma были выпущены за одну неделю

На этой неделе были обнаружены три новые модификации шифровальщика Dharma, которые к зашифрованным файлам добавляли расширения .Gamma, .Bkp, и .Monro.

Для шифровальщиков считается очень необычным выпускать так много модификаций за короткий промежуток времени. Как правило, один вариант используется в течение месяца, если не больше, а затем выпускается новая модификация. Однако в течение одной недели было выпущено сразу же три новых модификаций шифровальщика. Все три варианта были обнаружены исследователем безопасности Якубом Крустэком , который разместил информацию в социальной сети Twitter.

Анализ данных шифровальщиков на сервисе Virustotal:

  • https://www.virustotal.com/#/file/cfe361dbf996d6badb73c2873ae2d68beacc11c633b224276ad77f5eb7e87c3c/detection
  • https://www.virustotal.com/#/file/1d2cf0948b25486fb1b4d93e4a35e3615f0c492e22dc13a6a96e146e314accc9/detection
  • https://www.virustotal.com/#/file/d981e96ffbc7a18c28abf4c1cb18f48235f1e72b43c4b48b9a17be5926c98d03/detection

В зависимости от модификации, файлы зашифровываются и происходит их переименование в разные названия и расширения файлов. В качестве примера шифрование файла test.jpg: test.jpg.id-%ID%.[bebenrowan@aol.com].gamma, test.jpg.id-%ID%.[icrypt@cock.li].monro, or test.jpg.id-%ID%.[bkp@cock.li].bkp

В Windows присутствует открытая уязвимость

Исследовательская группа Zero Day Initiative компании TrendMicro обнаружила уязвимость в Windows, актуальную для версий Windows 10, 8.1, 7 и Windows Server 2008-2016. На данный момент отсутствует обновление безопасности для закрытия уязвимости. Данная уязвимость была обнаружена специалистом Лукасом Леонг из Trend MicroSecurity Research и позволяет злоумышленникам выполнять удаленное выполнение кода на уязвимой машине. Эксплуатация уязвимости требует взаимодействия с пользователем: для инициализации атаки необходимо открыть специально созданный файл базы данных Jet, который затем выполнит запись за пределы буфера памяти программы, что приведет к удаленному выполнению кода на целевом компьютере под управлением Windows. Компания Microsoft подтвердила наличие уязвимости, но за четыре месяца не выпустила исправление. Это означает, что спустя четыре месяца как было сообщено разработчику, группа Zero Day Initiative получила полное право на публикацию информации об уязвимости. График работы над исправлением уязвимости показывает, что Microsoft во время создания патча исправления столкнулась с техническими проблемами по его созданию и по этой причине патч не попал в сентябрьские обновления

Компания 0Patch, разрабатывающая микропатчи для закрытия уязвимости в программном обеспечении, выпустила патч закрывающий данную уязвимость. Компания так же подтвердила, что эта уязвимость затрагивает операционные системы Windows 10, Windows 8.1, Windows 7 и Windows Server 2008-2016.

Скачать 0patch agent for Windows

Нашли опечатку? Нажмите Ctrl+Enter

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества