Обзор инцидентов безопасности за прошлую неделю

Обзор инцидентов безопасности за прошлую неделю

Краткий обзор главных событий в мире ИБ за период с 16 по 22 января 2017 года.

Сезон зимних праздников закончился, и киберпреступники вернулись к привычной активности. Прошедшая неделя ознаменовалась сообщениями о ряде кибератак, утечках данных и мошеннических кампаниях. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 16 по 22 января 2017 года.

В начале прошлой недели стало известно о мошеннической кампании, угрожающей пользователям Facebook. С целью завладеть чужими учетными данными со взломанных аккаунтов злоумышленники рассылают сообщения с темой «You are in this Video?» («Вы на этом видео?») и вредоносной ссылкой, ведущей либо на поддельную форму авторизации, либо на сайт с вредоносным ПО.

Жертвами вредоносной кампании также стали пользователи Chrome. С начала текущего года ИБ-эксперты зафиксировали новый виток операции EITest, проводимой злоумышленниками по крайней мере с 2014 года. В ходе кампании используется цепь скомпрометированных легитимных сайтов, распространяющих различные наборы эксплоитов.

Продолжают свою активность хакеры, ответственные за взломы незащищенных баз данных MongoDB, однако теперь под их прицел попали кластеры Elasticsearch. Злоумышленники удаляют данные из кластеров и требуют выкуп за их восстановление в размере 0,2 биткойна.

Исследователь безопасности MalwareHunterTeam обнаружил новое семейство вредоносного ПО, позволяющее злоумышленникам получить полный контроль над целевой системой при помощи команд по IRC-каналу. Вероятно, GhostAdmin является вариантом активного 3-4 года назад вредоносного ПО CrimeScene.

Специалисты компании «Доктор Веб» предупредили о появлении нового Android-трояна, способного внедряться в активный процесс Play Маркет и накручивать счетчик установок в каталоге Google Play. Android.Skyfin.1.origin загружает приложения и сохраняет их на карту памяти устройства без последующей установки. Тем самым вредонос повышает шансы избежать обнаружения и может продолжать накручивать счетчик установок, искусственно повышая популярность программ в каталоге.

Исследователи «Доктор Веб» также обнаружили на одном из хакерских форумов опубликованный исходный код неизвестного ранее банковского трояна для Android-устройств. BankBot распространяется под видом безобидных приложений и может похищать данные жертв, отправлять и перехватывать SMS-сообщения, запрашивать права администратора, выполнять USSD-запросы, получать из телефонной книги список номеров всех контактов, отслеживать по GPS местоположение устройства, отображать фишинговые окна и т.д.

По данным экспертов компании Forcepoint Security Labs, новые модификации вредоносного ПО Carbanak используют для хостинга своей C&C-инфраструктуры сервисы Google – Google Apps Script, Google Sheets и Google Forms. Как отмечают специалисты, гораздо эффективнее использовать в качестве независимого C&C-канала сервисы Google, чем новые домены или домены без репутации.

Эксперты компании Malwarebytes сообщили о шпионском ПО для Mac. Бэкдор Quimitchin использует устаревший код и атакует медицинские исследовательские лаборатории. Основными функциями вредоноса является похищение снимков экрана и доступ к web-камерам на зараженных Mac. Apple назвала его Fruitfly и пообещала вскоре выпустить решение безопасности для борьбы с ним.

На прошлой неделе не обошлось и без сообщений об утечках информации. К примеру, неизвестные атаковали хакерский форум Darkode и похитили базу данных его пользователей. По признанию одного из администраторов ресурса, отчасти атака оказалась успешной из-за повторного применения пароля, уже использовавшегося им на другом взломанном сайте.

Об утечке данных пользователей своего форума также сообщил разработчик игры Clash of Clans компания Supercell. Из-за уязвимости в движке vBulletin злоумышленникам удалось похитить электронные адреса и зашифрованные пароли порядка 1 млн пользователей.

Завершилась неделя взломом учетной записи в Twitter, принадлежащей авторитетному изданию The New York Times. Со ссылкой на якобы утекшее заявление президента РФ Владимира Путина хакеры опубликовали ложный твит о готовящемся ракетном ударе со стороны России.

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!