Новый поддельный антивирус, SFX Fake AV, пугает пользователей сообщением о том, что они обвиняются в нарушении SOPA (Stop Online Piracy Act). Однако заведённое на них дело якобы можно замять, если купить особую антивирусную программу, а это значит, что SFX Fake AV – ещё и инструмент карточного фрода.

Зловред выводит на экран уведомление о присутствующих в системе нелегальных торрент-ссылках и предлагает решить проблему с помощью активации неизвестного протокола передачи данных. Этот протокол – отличительная черта SFX Fake AV. Обычно поддельные антивирусы (scareware) «находят» в системе нелегальный контент и требуют заплатить штраф полиции, а этот, наоборот, предлагает скрыться от правоохранительных органов.

Предварительно вирус также отключает procexp.exe (Process Explorer), останавливает все загрузки в браузерах, идентифицирует regedit.exe (редактор реестра Windows) как «порнографическую утилиту» и запускает фальшивое сканирование системы. А как только компьютер полностью переходит под контроль вируса, тот убеждает пользователя ввести данные своей платёжной карты, чтобы «решить проблему с безопасностью».

Брюс Харрисон (Bruce Harrison) из Malwarebytes, компании, которая первой обнаружила новый зловред, говорит, что SFX Fake AV эволюционирует с огромной скоростью.

Как сообщает компания Trusteer, киберпреступники продают вредоносное программное обеспечение, которое позволяет похищать информацию кредитных карт с POS-терминалов, расположенных в гостиницах.

Обнаруженное Trusteer ПО также внедряется в корпоративные компьютерные системы для сбора финансовой информации и заражает ПК пользователей банковскими вредоносными программами.

Вредоносная программа, жертвами которой становятся клиенты гостиничной индустрии, являет собой код, заражающий системы, которые используются на ресепшн. Программа состоит из шпионских компонентов, которые помогают осуществлять хищение данных карт и другой информации о клиентах при помощи скриншотов с POS-терминалов. Вредоносное ПО, которое анализировалось специалистами Trusteer, способно похищать номера кредитных карт и срок их действия, но не CVV2-номера.

На форумах в Интернете этот вредоносный код с инструкцией по установке предлагают купить за 280 долл. США. Злоумышленники также дают советы по поводу того, как использовать телефонные методы социального инжиниринга через VoIP-технологию, чтобы заставить сотрудников отеля установить код обманным путем.

По заявлениям экспертов из Trusteer, антивирусные программы не обнаруживают данную версию вредоносного ПО.

Корпорация Symantec сообщает об угрозе, связанной с банковским трояном Trojan.Neloweg. Вредоносная программа способна украсть данные пользователей, в том числе банковские реквизиты.

Trojan.Neloweg работает таким же образом, как и другой банковский троян, Zeus. Обе вредоносные программы определяют, на каком сайте находится пользователь и добавляют туда специальный JavaScript. Но если Zeus использует свой файл конфигурации, то Trojan.Neloweg хранит данные на вредоносном сервере.

При переходе на известную страницу банка, Trojan.Neloweg маскирует часть страницы белым цветом, используя скрытый тег DIV, и запускает свой код JavaScript, расположенный на специальном сервере.

Наиболее популярными из используемых браузеров являются Firefox и Internet Explorer, которые используются большинством (более 50%) пользователей. Неудивительно, что Trojan.Neloweg атакует через них. Интересно, что он также атакует браузеры, использующие движки Trident (Internet Explorer), Gecko (Firefox), и WebKit (Chrome/Safari). Существует не так много причин для атаки через другие, не такие распространенные браузеры. Очевидно то, что злоумышленники хотят охватить как может больше целей. Вторая причина состоит в том, что некоторые люди специально используют не самые известные браузеры для онлайн банкинга, чтобы обеспечить дополнительную безопасность. Атаки на эти менее популярные браузеры повышает вероятность того, что именно они используются для работы с банковскими системами.

Следует отметить, что троян стремится украсть не только банковские реквизиты, но также другие логины и пароли. Чтобы добиться этого, авторы кода придали браузерам функции ботов.

Браузер (в данном случае Firefox) теперь может работать как бот и выполнять команды. Он может обработать контент страницы, на которой находится, перенаправить пользователя на другую страницу, украсть пароли, запустить приложение или даже уничтожить себя. К сожалению, функция самоуничтожения несколько избыточна, так как она удаляет критически важные системные файлы и не дает пользователю войти в систему.

Способ интеграции в Firefox также уникален. Ранее можно было наблюдать угрозы, которые создают вредоносные дополнения браузеров. Поэтому пользователи, отключившие плагины, могли чувствовать себя в безопасности. Но с Trojan.Neloweg такие меры бесполезны. Являясь компонентом, он не отображается на панели расширений Firefox, в отличие от других дополнений и плагинов. Более того, используя архитектуру Firefox, Neloweg заново себя создает или устанавливает при каждом подключении Firefox к сети Интернет.

Очередная конфигурация зловреда Ice IX пытается выудить у жертвы данные о кредитной карте, когда она заходит на свой аккаунт, сообщает Trusteer.

Зловред выводит форму во всплывающем окне, когда пользователь заходит на Facebook. Внешне форма имитирует дизайн этой социальной сети. Она запрашивает у пользователя имя, адрес, номер кредитной или дебетной карты, срок действия карты и её идентификационный номер.

«Злоумышленники убеждают пользователя, что эта информация необходима для удостоверения личности пользователя и повышения безопасности аккаунта в Facebook», – пояснил в своём блоге технический директор Trusteer Амит Кляйн (Amit Klein).

Полученную информацию зловред пересылает своим хозяевам через протокол обмена мгновенными сообщениями. Подобная схема – внедрение вредоносных форм в легитимные сайты, хранящие данные о платёжных картах – обычна для таких троянских коней, как Ice IX, ZeuS и SpyEye.

Facebook, разумеется, не запрашивает и никогда не стал бы запрашивать у своих пользователей никакую критичную персональную информацию, кроме, конечно, логина и пароля.

Мобильный банкинг набирает все большую популярность. Все больше и больше людей используют смартфоны для доступа к своим счетам. Сегодня практически любое финансовое учреждение предоставляет своим пользователям услуги мобильного банкинга. Однако во всех положительных начинаниях всегда найдется негативный момент. Анализ последних «новинок» в мире вредоносного ПО обнаружил новую и весьма опасную разновидность вирусов.

Компания McAfee заявила об обнаружении нового вируса, атакующего систему Android. Этот вирус, проникая в смартфон, передает данные обо всех финансовых операциях пользователя, причем антивирусные программы не обнаруживают этот вирус.

Карлос Кастильо из McAfee раскрывает схему работы нового вируса. Вредоносное ПО генерирует интерфейс используемого банковского приложения-клиента, куда владелец вводит личные данные. При входе пользователь получает сообщении об ошибке и просьбу выслать информацию о счете на некий номер. Вирус имеет функцию автозагрузки обновлений и автозапуска.

Российские блюстители порядка обезвредили группу хакеров, похитивших 60 млн. руб. у клиентов систем ДБО с помощью банковских троянцев.

Расследование показало, что сообщники занимались массовым распространением зловредов семейств Carberp (Trojan-Spy.Win32.Carberp) и RDP-door (ЛК детектирует их как Backdoor.Win32.Shiz), которых они размещали на популярных и издательских сайтах путем взлома и создания «закладок». Резидентные троянцы обеспечивали им полный доступ к ПК, привязанным к системам «Банк-Клиент». Подключаясь к зараженным компьютерам, злоумышленники проводили несанкционированные платежи и выкачивали деньги жертв на подставные счета. Похищенные суммы затем снимались через московские банкоматы. За полгода участникам ОПГ удалось провести не менее 90 незаконных транзакций на общую сумму свыше 60 млн. руб. От их действий пострадали клиенты десятков российских банков ― юридические лица, прописанные в разных регионах РФ.

В ходе оперативно-розыскных мероприятий было установлено, что в данную ОПГ входило 8 человек. Заправляли всем два брата-москвича, причем главную роль играл младший, который имел богатый криминальный опыт и находился в федеральном розыске за мошенничества с недвижимостью. В качестве прикрытия сообщники использовали арендованный офис, который они выдавали за легальную компьютерную фирму.

Участники ОПГ были задержаны в полном составе, от администратора бот-сети до низовых исполнителей, снимавших краденые деньги в банкоматах. Параллельные аресты и обыски были проведены сотрудниками Управления «К» МВД России, 4-го управления МВД и Центра информационной безопасности ФСБ с участием бойцов отряда «Рысь». У задержанных изъяты компьютерная техника, средства связи, поддельные банковские карты, денежные средства в сумме более 7,5 млн. руб., фальшивые печати.

На время следствия организатор ОПГ взят под стражу, его старшему брату назначен залог в размере 3 млн. руб. Остальные соучастники отпущены под подписку о невыезде. В Замоскворецком суде Москвы принято в производство уголовное дело по ст. 272 («Неправомерный доступ к компьютерной информации»), ст. 273 («Создание, использование и распространение вредоносных программ для ЭВМ») и ст. 158 УК РФ («Кража»). Аферистам грозит до 10 лет лишения свободы.

В заключение ― комментарий главного антивирусного эксперта ЛК Александра Гостева: «Несмотря на заявления о том, что арестованы все участники преступной схемы, остаются открытыми вопросы о судьбе настоящих авторов Carpberp, тех, кто его программировал и продавал на черным рынке, а также о владельцах «партнерских» сетей, которые занимались распространением троянца. Если они остаются на свободе, то в скором времени мы можем увидеть новые преступные группы, использующие новые модификации Carberp».

Компания ESET, международный разработчик антивирусного ПО, эксперт в области защиты от киберпреступности и компьютерных угроз, сообщает о самом распространенном вредоносном ПО, выявленном специалистами Вирусной лаборатории ESET с помощью интеллектуальной облачной технологии ESET Live Grid в феврале 2012 года.

Тройка лидеров российской десятки самого распространенного злонамеренного ПО в прошлом месяце по сравнению с январем не изменилась. Возглавило рейтинг семейство угроз HTML/ScrInject.B.Gen, которое с помощью Java-скриптов перенаправляет пользователя на опасные ресурсы, что позволяет киберпреступникам совершать атаки на компьютер. В феврале показатель присутствия данной угрозы в регионе снизился на 3,2% и достиг отметки в 5,57%. Подобная киберугроза, семейство HTML/Iframe.B.Gen, расположилась на втором месте российской десятки с долей проникновения в 3,40%, что выше показателя прошлого месяца на 1,04%.

Замыкает тройку лидеров вредоносное ПО Win32/Spy.Ursnif.A (доля распространения в России – 2,80%), которое крадет персональную информацию и учетные записи с зараженного компьютера, а затем отправляет их на удаленный сервер мошенников.

Трендом февраля в области киберугроз стало резкое увеличение распространения банковских угроз в России. На 8-10 строчках рейтинга расположились модификации вредоносных программ, направленных на кражу финансовых средств со счетов через систему дистанционного банковского обслуживания (ДБО) – Carberp и Spy.Shiz. Всего насчитывается более 20 видов банковских троянцев, если говорить о первой сотне самого распространенного ПО в российском регионе в целом.

"В этом месяце мы снова наблюдаем увеличение общего количества инцидентов, связанных с банковскими троянскими программами, – комментирует Александр Матросов, директор Центра вирусных исследований и аналитики ESET. – Интересен факт появления в рейтинге семейства Win32/Spy.Shiz. Именно Shiz был первым массовым троянцем для целенаправленных атак на системы ДБО. Кроме того, по-прежнему остается актуальным распространение банковских угроз посредством перенаправления пользователя с легальных веб-ресурсов с высокой посещаемостью на вредоносные сайты".

Доля России от общего количества, обнаруженного в мире вредоносного ПО в январе составила 11,44%. При этом зафиксирован высокий процент уникальных угроз, которые приходятся на регион – 26,79%.

В ИТ-компании Trusteer говорят об обнаружении нового образца финансового вредоносного программного обеспечения, способного вторгаться в чат-сессии между клиентами и банковскими работниками, сопровождающими работу систем онлайн-банкинга. Цель данного троянца - перехват данных, необходимых для входа в системы онлайн-банкинга и осуществления мошеннических транзакций.

Атака базируется на кодах вредоносной платформы Skyhock и представляет собой разновидность атаки типа man-in-the-middle. Обнаруженный образец вредоносного ПО в большей степени ориентировано на бизнес-пользователей, нежели на частных лиц, так как осуществляет перехват данных из нескольких популярных корпоративных банковских приложений.

Во время своей работы в системе вредоносный код приостанавливает сессию, якобы для того, чтобы провести проверку безопасности системы, однако после этого троянец представляется пользователю банковским работником, с которым он только что общался, и в результате непродолжительной беседы пытается выудить у жертвы реквизиты для доступа к системе онлайн-банкинга.

Trusteer отмечает, что большинство паролей в системах онлайн-банкинга одноразовые или имеют ограниченный срок действия, поэтому у троянца должен быть постоянно подключенный оператор, чтобы оперативно подключиться при помощи полученных реквизитов и провести нужные мошенникам транзакции.

С технической точки зрения, вредоносный код использует стандартные технологии, такие как  HTML и JavaScript для подмены содержимого окна чат-сессии.

На прошлой неделе Symantec объявила в своём блоге, что последователи хакерской группировки Anonymous, которые скачивали обновлённую программу Slowloris для DDoS-атак на ФБР и другие организации, участвовавшие в закрытии Megaupload, могли получить вместе с программой троян Zeus, который ворует банковские и почтовые данные.

«Когда хактивист скачивает и запускает завирусованный Slowloris, вместе с ним устанавливается клиент ботнета Zeus (также известный как Zbot). После установки клиента ботнета зловред пытается замести следы и для этого подменяет себя настоящей программой Slowloris», – объяснили Symantec.

«Клиент Zeus активно используется для перехвата и пересылки оператору ботнета банковских аутентификационных данных, а также логинов и паролей от электронной почты. Кроме того, ботнет заставляет пользователей участвовать в DoS-атаках на веб-страницы, атакуемые Anonymous».

«Таким образом, их последователи не только нарушают закон, атакуя жертв Anonymous, но ещё и рискуют подарить ворам свои аутентификационные данные. Союз зловреда, направленного на финансовое и персонального мошенничество, хактивистских целей Anonymous и обмана, жертвами которого стали их последователи – опасная новость для мира Интернет», – заключили Symantec.

Однако Anonymous ответили антивирусной компании через Twitter, обозвав их обвинение «враньём и клеветой». Никакой информации, опровергающей анализ Symantec, однако, они не предоставили.

Symantec обнаружила необычного банковского троянца, который ворует информацию, внедряясь в браузер на правах компонента.

Neloweg, как его нарекли эксперты, интересуют регистрационные данные банковских и ftp-ресурсов, почтовых сервисов, а также информация, вводимая в веб-формы. Как и ZeuS, он оперирует списком банковских сайтов и, находя соответствие, добавляет на страницу специализированный JavaScript. Однако, в отличие от ZeuS, использующего для инъекций штатный конфигурационный файл, Neloweg запрашивает данные с сервера, контролируемого злоумышленниками. Он на лету модифицирует содержимое страницы, используя скрытый тег div, и выполняет JavaScript, хранящийся на удаленном сервере.

По свидетельству Symantec, новый троянец может распространяться через drive-by загрузки, спам, целевые рассылки, а также с помощью других вредоносных программ. Он атакует Firefox, IE и несколько менее популярных браузеров, использующих движки Trident, Gecko и WebKit. Способ интеграции Neloweg в браузер весьма неординарен: зловред не создает лишних расширений и плагинов, высвечиваясь в общем списке надстроек, а устанавливается как полноценный компонент. Даже если его удалить, то в случае с Firefox, например, он будет воссоздаваться и заново инсталлироваться при каждом подключении браузера к интернету.

После установки Neloweg открывает бэкдор, позволяющий зараженному браузеру принимать удаленные команды. Подчиняясь недоброй воле, новоявленный бот сможет обрабатывать содержимое текущей страницы, перенаправлять пользователя на конкретный ресурс, останавливать загрузку страниц, красть пароли, запускать исполняемые файлы, ― даже выполнять команду на самоуничтожение.

Первые единичные заражения Neloweg были обнаружены на территории Великобритании и Голландии. Насколько известно, за пределы Западной Европы он пока не вышел. Информация для пользователей защитных решений ЛК: детект Trojan-Banker.Win32.Neloweg.a будет включен в следующее обновление.

Троян Zeus продолжает становятся все более изощренным, что делает борьбу с этой вредоносной программой все более сложной. Троян Zeus признан одним из самых опасных, при этом вредоносный код продолжает распространяться.

Троян Zeus может находиться в спящем режиме в течение длительного времени, пока пользователь зараженного компьютера не получает доступ к адресной информации, такой как банковские счета. Тогда Zeus собирает пароли и коды аутентификации.

Компания Trusteer сообщает, что недавнее исследование выявило растущее число веб-сайтов, содержащих варианты Zeus.

«Увеличение использования систем автоматизированной регистрации в Интернете означает, что ручной мониторинг систем хостинга стал не так часто использоваться в странах с хорошим доступом в Интернет. Уменьшение стоимости хостинга привело к упрощению регистраций и созданию сайтов, инфицированных Zeus».

Доклад также показывает, что число C&C серверов для ботнетов на основе ZeuS увеличивается.

Еще большее беспокойство вызывают новые варианты Zeus, которые для получения команд и обновлений не зависят от C & C серверов, а вместо этого обмениваются данными друг с другом.

Прошлой осенью швейцарский эксперт по безопасности Роман Чсси обнаружил эти варианты троянов Zeus, имеющие обновленную P2P-функциональность, которая повышает устойчивость вредоносного ПО.

«Каждый пир в ботнете может выступать в качестве C&C сервера, и в то же время ни один из них не является им», – пояснила исследователь Symantec Андреа Лелли в своем блоге.

«Боты теперь могут загружать команды, конфигурационные и исполняемые файлы через другие боты – каждый зараженный компьютер может предоставить данные другим ботам» – сказала Лелли.

Исследователи Symantec пока не знают, как эти варианты Zeus продолжают успешно передавать украдены данные обратно хакерам в отсутствии C & C сети.

«Анализ все еще продолжается, мы работаем над раскрытием этой части для выяснения полной картины», – сказала Лелли.

Эксперт «Лаборатории Касперского» Фабио Ассолини опубликовал в блоге компании сообщение о схеме кражи данных кредитных карт, которая на протяжении последнего года применялась бразильскими злоумышленниками.

На протяжении определенного времени в Бразильских СМИ появлялись видематериалы, на которых показано, как преступники встраивают в банкоматы устройства для похищения банковских данных. Для того чтобы избежать разоблачения местные, кардеры обратились к программистам которые, в свою очередь, разработали вредоносный код для взлома Windows-систем.

Основной целью троянской программы является перехват данных, вводимых с помощью пинпадов – цифровых клавиатур, которые применяются везде, где принимают оплату банковской картой.

Впервые вредоносная программа Spy.Win32.SPSniffer в одной из известных на сегодняшний день четырех модификаций (A, B, C и D) была обнаружена в Бразилии в декабре 2010 года. Сотрудник ЛК заявляет, что антивирусной компании известны случаи использования этой программы в США и скорее всего она применялась в других странах.

При обходе защиты пинпадов вирус использует его слабое место - USB или последовательный порт для сообщения с программным обеспечением EFT (Electronic Funds Transfer), осуществляющим денежные транзакции. Именно данный компонент в старых и морально устаревших устройствах передает информацию в открытом виде. Таким образом, с помощью Spy.Win32.SPSniffer, или «чупакабры», как назвали ее в Бразилии, злоумышленник может похитить абсолютно все данные, необходимые для создания копии банковской карты.

Поразив систему, вирус устанавливает драйвер, слушающий USB или последовательный порт, переделанный из коммерческих решений Eltima или TVicPort. В состав вредоносной программы также входит DLL-модуль кейлоггера. Вся украденная информация сохраняется в файл, содержащий, наряду с информацией о компьютере жертвы, все перехваченные данные, и пересылается киберпреступникам, как правило, по электронной почте.

После того, как проблема стала очевидной, бразильские компании, занимающиеся кредитными картами, стали заменять эти старые пинпады на новые, устойчивые к данной угрозе.

Исследователи в области информационной безопасности из компании Intego предупреждают поклонников Mac OS о появлении нового трояна, нацеленного на аутентификационные данные платежных, банковских и многих других систем.  

По их словам, новая версия трояна Flashback-G может проникнуть в систему несколькими способами. Сначала он пытается эксплуатировать две имеющиеся уязвимости в Java. Однако в случае провала он демонстрирует фальшивый сертификат, якобы выпущенный Apple. Многие пользователи не знают, что означает эта информация, и разрешают установку.

После установки зловред пытается перехватить аутентификационные данные пользователя, используемые для авторизации в онлайн-сервисах банков, платежных систем и прочих ресурсах.

Специалисты отмечают, что наиболее подвержены риску пользователи последней версии операционной системы Snow Leopard, поскольку в ней уже предустановлена платформа Java. А первыми симптомами наличия инфекции в системе могут являться сбой в работе обозревателя и веб-приложений, например Safari и Skype.

Бывший исследователь McAfee, Дмитрий Альперович, продемонстрировал уязвимость нулевого дня в смартфоне Android, установив зловред Nickispy, который может контролировать устройство, записывать звонки, читать сообщения SMS и e-mail, воровать сведения о местоположении.

Исследователь заявил, что ему удалось осуществить реверс-инжиниринг зловреда, а потом провести экспериментальную атаку типа «ловля на гарпун» (spear phishing) – жертве приходила SMS с предложением перейти по ссылке, якобы от другого пользователя мобильной связи.

«Как только вы заходите на зловредный сайт, на ваш телефон скачивается китайская программа удаленного доступа к телефону в реальном времени. Как только она устанавливается, мы начинаем перехватывать ваши звонки. Как только вы начнете набирать номер, включится микрофон», — объяснил Альперович и добавил, что этот зловред не может нейтрализовать ни один антивирус.

Эксперимент был продемонстрирован 29 февраля на конференции RSA в Сан-Франциско.

Г-жа Корронс получила письмо с подробной информацией о ее онлайн-покупке "куртки из винтажной состаренной кожи". Г-жа Корронс сказала г-ну Корронс: "Я не покупала этого..."

По чистой случайности, г-н Корронс оказался техническим директором антивирусной лаборатории PandaLabs. В забавном блоге он рассказывает, что после того, как "она посмотрела на меня так, как может посмотреть только твоя лучшая половина", он более внимательно посмотрел на письмо. Это письмо оказалось особенно опасным, потому что было более профессиональным и сложным, чем большинство сообщений социальной инженерии. Письмо не содержало явных орфографических и грамматических ошибок и было составлено профессионально. В нем не было ничего, что могло бы вызвать подозрения.

Сама афера рассчитана на то, что жертвы не вспомнят, совершали ли они эту покупку. В письме не идет разговора ни о деньгах, ни о персональных данных. Письмо только содержит ссылку, по которой можно посмотреть заказ.

Здесь и кроется опасность. Письмо не текстового формата, а HTML, причем сама ссылка хорошо замаскирована. Ссылка ведет не в интернет-магазин, а на отдельный сайт, который предлагает пользователю загрузить файл с именем CULT78318.exe. При этом имя файла повторяет название интернет-магазина и номер заказа, указанного в письме. Также ссылка содержит иконку Adobe, для того чтобы жертвы думали, что это PDF-файл, а не EXE.

На самом деле, как говорит Луис Корронс, это троян с возможностями бота, который включает в себя кейлоггер для кражи информации, включая пароли и банковские данные. Кроме того вредоносная программа ищет другие троянские программы, такие как Zeus, DarkComet, чтобы удалить их, если они находятся в системе.

Онлайн магазин Cult.co.uk является подлинным интернет-магазином в Великобритании и не имеет никакого отношения к афере.