Горячая лента угроз
19.06 Обнаружен уникальный троянец на Node.js
19 июня 2019 года
Компания «Яндекс» передала на исследование в вирусную лабораторию «Доктор Веб» образец редкого Node.js-троянца. Эта вредоносная программа, которая распространяется через сайты с читами для видеоигр, имеет несколько версий и компонентов.
При попытке скачать чит пользователь загружает на свой компьютер архив, защищенный паролем. Внутри находится исполняемый файл, который при запуске скачивает нужные читы вместе с другими компонентами троянца.
Запустившись на устройстве жертвы, Trojan.MonsterInstall загружает и устанавливает необходимые для своей работы модули, собирает информацию о системе и отправляет ее на сервер разработчика. После получения ответа устанавливается в автозагрузку и начинает добычу (майнинг) криптовалюты TurtleCoin.
Разработчики вредоносного ПО используют для распространения собственные ресурсы с читами к популярным играм, а также заражают файлы на других подобных сайтах. Согласно статистике SimilarWeb, пользователи просматривают эти сайты примерно 127 400 раз в месяц.
Ресурсы, принадлежащие разработчику троянца:
- румайнкрафт[.]рф;
- clearcheats[.]ru;
- mmotalks[.]com;
- minecraft-chiter[.]ru;
- torrent-igri[.]com;
- worldcodes[.]ru;
- cheatfiles[.]ru.
Кроме того, троянцем заражены некоторые файлы на сайте proplaying[.]ru.
Специалисты «Доктор Веб» рекомендуют пользователям вовремя обновлять антивирус и не загружать сомнительное ПО.
Компания «Доктор Веб» также благодарит специалистов компании «Яндекс» за предоставленный образец и дополнительную информацию об источниках распространения вредоносной программы.
#JavaScript #игры #майнинг
14.06 «Доктор Веб»: пользователям Android-устройств угрожают мошеннические веб-уведомления
14 июня 2019 года
Технология Web Push позволяет сайтам с согласия пользователя отправлять ему уведомления даже когда соответствующие веб-страницы не открыты в браузере. При работе с безобидными ресурсами эта функция полезна и удобна. Например, социальные сети таким образом могут информировать о новых сообщениях, а новостные агентства ― о свежих публикациях. Однако злоумышленники и недобросовестные рекламодатели злоупотребляют ей, распространяя с ее помощью рекламу и мошеннические уведомления, которые поступают со взломанных или вредоносных сайтов.
Эти уведомления поддерживаются в браузерах как ПК и ноутбуков, так и мобильных устройств. Обычно жертва попадает на сомнительный ресурс-спамер, перейдя по специально сформированной ссылке или рекламному баннеру.
При запуске троянец загружает в браузере Google Chrome веб-сайт, адрес которого указан в настройках вредоносного приложения. С этого сайта в соответствии с его параметрами поочередно выполняется несколько перенаправлений на страницы различных партнерских программ. На каждой из них пользователю предлагается разрешить получение уведомлений. Для убедительности жертве сообщается, что выполняется некая проверка (например, что пользователь — не робот), либо просто дается подсказка, какую кнопку диалогового окна необходимо нажать. Это делается для увеличения числа успешных подписок. Примеры таких запросов показаны на изображениях ниже:
После активации подписки сайты начинают отправлять пользователю многочисленные уведомления сомнительного содержания. Они приходят даже если браузер закрыт, а сам троянец уже был удален, и отображаются в панели состояния операционной системы. Их содержимое может быть любым. Например, ложные уведомления о поступлении неких денежных бонусов или переводов, о новых сообщениях в соцсетях, реклама гороскопов, казино, товаров и услуг и даже различные «новости».
Многие из них выглядят как настоящие уведомления реальных онлайн-сервисов и приложений, которые могут быть установлены на устройстве. Например, в них отображается логотип того или иного банка, сайта знакомств, новостного агентства или социальной сети, а также привлекательный баннер. Владельцы Android-устройств могут получать десятки таких спам-сообщений в день.
Несмотря на то, что в этих уведомлениях указан и адрес сайта, с которого оно пришло, неподготовленный пользователь может просто его не заметить, либо не придать этому особого значения. Примеры мошеннических уведомлений:
При нажатии на такое уведомление пользователь перенаправляется на сайт с сомнительным контентом. Это может быть реклама казино, букмекерских контор и различных приложений в Google Play, предложение скидок и купонов, поддельные онлайн-опросы и фиктивные розыгрыши призов, сайт-агрегатор партнерских ссылок и другие онлайн-ресурсы, которые разнятся в зависимости от страны пребывания пользователя. Примеры таких сайтов представлены ниже:
Многие из этих ресурсов замешаны в известных мошеннических схемах кражи денег, однако злоумышленники способны в любое время организовать атаку для похищения конфиденциальных данных. Например, отправив через браузер «важное» уведомление от имени банка или социальной сети. Потенциальная жертва может принять поддельное уведомление за настоящее, нажмет на него и перейдет на фишинговый сайт, где у нее попросят указать имя, логин, пароль, адрес электронной почты, номер банковской карты и другие конфиденциальные сведения.
Специалисты «Доктор Веб» полагают, что злоумышленники будут активнее использовать этот метод продвижения сомнительных услуг, поэтому пользователям мобильных устройств при посещении веб-сайтов следует внимательно ознакомиться с их содержимым и не подписываться на уведомления, если ресурс незнаком или выглядит подозрительным. Если же подписка на нежелательные спам-уведомления уже произошла, нужно выполнить следующие действия:
- зайти в настройки Google Chrome, выбрать опцию «Настройки сайтов» и далее — «Уведомления»;
- в появившемся списке веб-сайтов и уведомлений найти адрес интересующего ресурса, нажать на него и выбрать опцию «Очистить и сбросить».
Антивирусные продукты Dr.Web для Android детектируют и удаляют все известные модификации
Подробнее об Android.FakeApp.174
Ваш Android нуждается в защите.
Используйте Dr.Web
- Первый российский антивирус для Android
- Более 140 миллионов скачиваний только с Google Play
- Бесплатный для пользователей домашних продуктов Dr.Web
08.05 Новая угроза для macOS распространяется под видом WhatsApp
8 мая 2019 года
Новая угроза для устройств под управлением macOS была обнаружена нашими специалистами 29 апреля. Это вредоносное ПО получило название
При посещении этих ресурсов встроенный код определяет операционную систему пользователя и в зависимости от нее загружает бэкдор или троянца. Если посетитель использует macOS, его устройство заражается
По нашим данным, сайт, распространяющий
12 апреля 2019 года
Злоумышленники встраивают троянца в изначально безобидное ПО, модифицированные копии которого затем распространяются через популярные сторонние каталоги Android-приложений – например, Nine Store и Apkpure. Наши специалисты обнаружили Android.InfectionAds.1 в таких играх и программах как HD Camera, ORG 2018_19 \Tabla Piano Guitar Robab Guitar, Euro Farming Simulator 2018 и Touch on Girls. Некоторые из них установили по меньшей мере несколько тысяч владельцев смартфонов и планшетов. Однако число зараженных приложений и пострадавших пользователей может оказаться намного больше.
При запуске программы, в которую внедрен троянец, тот извлекает из своих файловых ресурсов вспомогательные модули, после чего расшифровывает их и запускает. Один из них предназначен для показа надоедливой рекламы, а другие используются для заражения приложений и автоматической установки ПО.
Android.InfectionAds.1 перекрывает рекламными баннерами интерфейс системы и работающих приложений, мешая нормальной работе с устройствами. Кроме того, по команде управляющего сервера троянец может модифицировать код популярных рекламных платформ Admob, Facebook и Mopub, которые используются во многих программах и играх. Он подменяет уникальные рекламные идентификаторы собственным идентификатором, в результате чего вся прибыль от показа рекламы в зараженных приложениях поступает вирусописателям.
Android.InfectionAds.1 эксплуатирует критическую уязвимость CVE-2017-13315 в ОС Android, которая позволяет троянцу запускать системные активности. В результате он может автоматически устанавливать и удалять программы без вмешательства владельца мобильного устройства. При создании троянца использован демонстрационный код (PoC — Proof of Concept) китайских исследователей, который те создали для доказательства возможности эксплуатации этой системной бреши.
CVE-2017-13315 относится к классу уязвимостей, которые получили общее название EvilParcel. Их суть заключается в том, что ряд системных компонентов содержит ошибку, из-за которой при обмене данными между приложениями и операционной системой возможно их видоизменение. Конечное значение специально сформированного фрагмента передаваемых данных будет отличаться от первоначального. Таким образом, программы способны обходить проверки операционной системы, получать более высокие полномочия и выполнять действия, которые ранее были им недоступны. На данный момент известно о 7 уязвимостях такого типа, однако их число со временем может возрасти.
Используя EvilParcel, Android.InfectionAds.1 устанавливает скрытый внутри него apk-файл, который содержит все компоненты троянца. Кроме того, аналогичным образом Android.InfectionAds.1 способен инсталлировать собственные обновления, которые он загружает с управляющего сервера, а также любые другие программы, в том числе и вредоносные. Например, при анализе троянец скачал с сервера и установил вредоносную программу Android.InfectionAds.4, которая является одной из его модификаций.
Пример того, как троянец без разрешения устанавливает приложения, показан ниже:
Наряду с EvilParcel троянец эксплуатирует и другую уязвимость ОС Android, известную под названием Janus (CVE-2017-13156). C использованием этой системной бреши он заражает уже установленные приложения, внедряя в них свою копию. Android.InfectionAds.1 подключается к управляющему серверу и получает от него список программ, которые ему необходимо заразить. Если же соединиться с удаленным центром ему не удалось, он инфицирует приложения, которые указаны в его первоначальных настройках. В зависимости от модификации троянца этот список может содержать различные позиции. Вот пример такого перечня в одной из исследованных версий Android.InfectionAds.1:
- com.whatsapp (WhatsApp Messenger);
- com.lenovo.anyshare.gps (SHAREit - Transfer & Share);
- com.mxtech.videoplayer.ad (MX Player);
- com.jio.jioplay.tv (JioTV - Live TV & Catch-Up);
- com.jio.media.jiobeats (JioSaavn Music & Radio – including JioMusic);
- com.jiochat.jiochatapp (JioChat: HD Video Call);
- com.jio.join (Jio4GVoice);
- com.good.gamecollection;
- com.opera.mini.native (Opera Mini - fast web browser);
- in.startv.hotstar (Hotstar);
- com.meitu.beautyplusme (PlusMe Camera - Previously BeautyPlus Me);
- com.domobile.applock (AppLock);
- com.touchtype.swiftkey (SwiftKey Keyboard);
- com.flipkart.android (Flipkart Online Shopping App);
- cn.xender (Share Music & Transfer Files – Xender);
- com.eterno (Dailyhunt (Newshunt) - Latest News, LIVE Cricket);
- com.truecaller (Truecaller: Caller ID, spam blocking & call record);
- com.ludo.king (Ludo King™).
При заражении программ троянец добавляет свои компоненты в структуру apk-файлов, не изменяя их цифровую подпись. Затем он устанавливает модифицированные версии приложений вместо оригиналов. Поскольку из-за уязвимости цифровая подпись инфицированных файлов остается прежней, программы инсталлируются как их собственные обновления. При этом установка также выполняется с использованием уязвимости EvilParcel без участия пользователя. В результате атакованные программы продолжают нормально работать, но содержат в себе копию Android.InfectionAds.1, которая незаметно функционирует вместе с ними. При заражении приложений троянцу становятся доступны их данные. Например, при инфицировании WhatsApp ― переписка пользователя, а при инфицировании браузера ― сохраненные в нем логины и пароли.
Единственный способ избавиться от троянца и восстановить безопасность зараженных программ — удалить содержащие его приложения и вновь установить их заведомо чистые версии из надежных источников, таких как Google Play. В обновленной версии Dr.Web Security Space для Android появилась возможность обнаруживать уязвимости класса EvilParcel. Эта функция доступна в Аудиторе безопасности. Скачать новый дистрибутив программы можно с официального сайта «Доктор Веб», в ближайшее время он будет доступен и в Google Play.
Все антивирусные продукты Dr.Web для Android успешно детектируют и удаляют известные модификации Android.InfectionAds.1, поэтому для наших пользователей троянец опасности не представляет.
[Подробнее об Android.InfectionAds.1]
#Android, #троянец, #вредоносное_ПО
11.04 Официальный сайт известной программы для редактирования видео инфицирован банковским троянцем
11 апреля 2019
VSDC – популярное бесплатное ПО для обработки видео и звука. Согласно данным SimilarWeb, ежемесячная посещаемость официального сайта, с которого можно загрузить этот редактор, составляет около 1.3 миллиона пользователей. Однако меры безопасности, предпринимаемые владельцами ресурса, часто оказываются недостаточными для сайта с такой посещаемостью, что подвергает риску множество пользователей.
В прошлом году неизвестные хакеры получили доступ к административной части сайта VSDC и заменили ссылки на скачивание файлов. Вместо редактора видео пользователи скачивали JavaScript-файл, который затем загружал AZORult Stealer, X-Key Keylogger и DarkVNC backdoor. Компания VSDC сообщила о закрытии уязвимости, но не так давно нам стало известно о других случаях заражения.
По данным наших специалистов, с момента последнего заражения компьютер разработчика VSDC был скомпрометирован еще несколько раз. Один из взломов привел к компрометации сайта в период с 21.02.2019 по 23.03.2019. На этот раз хакеры использовали другой метод распространения вредоносного ПО: на сайт VSDC они встроили вредоносный JavaScript-код. Его задача заключалась в определении геолокации посетителей сайта и замене ссылки на скачивание для пользователей из Великобритании, США, Канады и Австралии. Вместо стандартных ссылок VSDC использовались ссылки на другой скомпрометированный ресурс:
- https://thedoctorwithin[.]com/video_editor_x64.exe
- https://thedoctorwithin[.]com/video_editor_x32.exe
- https://thedoctorwithin[.]com/video_converter.exe
Пользователи, загрузившие программу с этого ресурса, также скачали опасного банковского троянца – Win32.Bolik.2. Как и его аналог
Кроме того, 22.03.2019 хакеры заменили Win32.Bolik.2 на другое вредоносное ПО – один из вариантов Trojan.PWS.Stealer (KPOT Stealer). Этот троянец крадет информацию из браузеров, аккаунта Microsoft, различных мессенджеров и других программ. За один день его загрузили на свои устройства 83 пользователя.
Разработчики VSDC уведомлены о компрометации сайта, и на данный момент ссылки на скачивание файлов восстановлены. Тем не менее, специалисты «Доктор Веб» рекомендуют всем пользователям продуктов VSDC проверить свои устройства с помощью нашего антивируса.
#банкер #банковский_троянец #вирус
08.04 Официальные рассылки известных компаний используются для кражи денег с банковских карт
8 апреля 2019 года
На электронную почту российских пользователей начали поступать фишинговые письма от известных иностранных компаний, таких как Audi, Austrian Airlines и S-Bahn Berlin. Письма отправляются с официальных почтовых адресов и, на первый взгляд, не вызывают подозрений. Заголовок и само письмо написаны на английском или немецком языке, но среди текста выделяются слова на русском: «ВАМ ДЕНЬГИ».
В начале письма размещена ссылка, при переходе по которой пользователь перенаправляется на страницу на сайте знакомств. Затем, за счет вредоносного кода, встроенного в страницу-заглушку сайта, через цепочку редиректов попадает на фишинговый ресурс.
Там пользователь видит сообщение о том, что его электронный почтовый адрес выиграл возможность участвовать в международной акции «Счастливый e-mail». После чего предлагается пройти опрос и получить денежное вознаграждение в размере от 10 до 3000 EUR. Для убедительности на сайт добавлены отзывы людей, якобы уже получивших деньги, в том числе и отзывы недовольных низкой суммой выигрыша.
После нескольких заданных вопросов отображается информация об акции, сумма выигрыша и условия вывода средств. Одно из условий – необходимость оплатить комиссию за перевод валюты в рубли.
Для оплаты комиссии пользователя переводят на страницу, где предлагается ввести данные банковской карты. После ввода данных пользователя просят указать также проверочный код из SMS. Когда все указанные действия выполнены, со счета пользователя списываются средства, а данные банковской карты остаются у владельцев мошеннического сайта. При этом никакого выигрыша жертва не получает.
Интересно то, каким образом хакеры отправляют фишинговые письма. Для этого используются официальные формы подписки на рассылки компаний. Благодаря тому, что в полях ввода текста этих форм можно использовать различные символы, хакеры получают возможность отправлять от лица крупных компаний письма с вредоносными ссылками. Для этого в графе «Имя» указывается «ВАМ ДЕНЬГИ», а вместо фамилии указывается ссылка на фишинговый сайт. В результате на e-mail жертвы приходит письмо для подтверждения подписки на рассылку с официальной почты компании.
Специалисты компании «Доктор Веб» рекомендуют пользователям быть осторожными при переходе по подобным ссылкам и не указывать свои личные данные на непроверенных ресурсах.
26.03 Cотни миллионов пользователей UC Browser для Android находятся под угрозой
26 марта 2019 года
На данный момент число загрузок UC Browser из Google Play превысило 500 000 000. Всем установившим эту программу угрожает потенциальная опасность. Специалисты компании «Доктор Веб» обнаружили в ней скрытую возможность загрузки вспомогательных компонентов из Интернета. Браузер принимает от управляющего сервера команды для скачивания новых библиотек и модулей — они добавляют в программу новые функции и могут использоваться для ее обновления.
Например, при анализе UC Browser загрузил с удаленного сервера исполняемую Linux-библиотеку, которая не является вредоносной и предназначена для работы с документами офисного пакета MS Office, а также файлами формата PDF. Изначально эта библиотека отсутствует в составе браузера. После скачивания программа сохранила ее в свой рабочий каталог и запустила на исполнение. Таким образом, фактически приложение получает и выполняет код в обход серверов Google Play. Это нарушает правила корпорации Google для программ, распространяемых через ее каталог ПО. Согласно действующей политике скачанные из Google Play приложения не могут изменять собственный код, а также загружать какие-либо программные компоненты из сторонних источников. Данные правила появились для борьбы с модульными троянцами, которые скачивают и запускают вредоносные плагины. Яркие примеры таких троянцев —
Потенциально опасная функция обновления присутствует в UC Browser как минимум с 2016 года. Несмотря на то, что приложение не было замечено в распространении троянских или нежелательных программ, его способность загружать и запускать новые и непроверенные модули представляет потенциальную угрозу. Нет гарантии, что злоумышленники не получат доступ к серверам разработчика браузера и не используют встроенную в него функцию обновления для заражения сотен миллионов Android-устройств.
Уязвимая функция UC Browser может использоваться для выполнения атак типа «человек посередине» — MITM (Man in the Middle). Для загрузки новых плагинов браузер делает запрос к управляющему серверу и получает от него ссылку на файл. Поскольку программа общается с сервером по незащищенному каналу (протоколу HTTP вместо шифрованного HTTPS), злоумышленники способны перехватывать сетевые запросы приложения. Атакующие могут подменять поступающие команды, указывая в них адрес вредоносного ресурса. В результате программа скачает новые модули с него, а не с настоящего управляющего сервера. Т. к. UC Browser работает с неподписанными плагинами, он запустит вредоносные модули без какой-либо проверки.
Ниже приведен пример такой атаки, смоделированной нашими вирусными аналитиками. На видео показано, как потенциальная жертва скачивает через UC Browser и пытается просмотреть в нем pdf-документ. Для открытия файла браузер пытается скачать с управляющего сервера соответствующий плагин, однако из-за подмены адреса сервера «человеком посередине» UC Browser загружает и запускает другую библиотеку. Эта библиотека создает СМС-сообщение с текстом «PWNED!».
Таким образом, с использованием MITM-атаки злоумышленники могут распространять через UC Browser вредоносные плагины, способные выполнять самые разнообразные действия. Например, показывать фишинговые сообщения для похищения логинов, паролей, информации о банковских картах и других персональных данных. Кроме того, троянские модули смогут получить доступ к защищенным файлам браузера и украсть сохраненные в нем пароли от веб-сайтов, которые находятся в рабочем каталоге программы.
Подробнее об этой уязвимости можно прочитать по ссылке.
Возможность загрузки непроверенных компонентов в обход серверов Google Play есть и у «младшего брата» браузера — приложения UC Browser Mini. Эта функция появилась в нем не позднее декабря 2017 года. К настоящему времени программу загрузили свыше 100 000 000 пользователей Google Play, все они также находятся под угрозой. Однако, в отличие от UC Browser, в UC Browser Mini описанная выше MITM-атака не сработает.
После обнаружения опасной функции в UC Browser и UC Browser Mini специалисты «Доктор Веб» связались с их разработчиком, однако тот отказался от комментариев. Вслед за этим вирусные аналитики сообщили о находке в компанию Google, но на момент выхода этой публикации оба браузера все еще были доступны для загрузки и по-прежнему могли скачивать новые компоненты в обход серверов Google Play. Владельцы Android-устройств должны самостоятельно решить, продолжить ли использовать эти программы или удалить их и подождать выхода их обновления с исправлением потенциальной уязвимости.
Компания «Доктор Веб» продолжает следить за развитием ситуации.
Ваш Android нуждается в защите
Используйте Dr.Web
- Первый российский антивирус для Android
- Более 140 миллионов скачиваний только с Google Play
- Бесплатный для пользователей домашних продуктов Dr.Web
21.03 «Доктор Веб»: Android-банкер Flexnet выводит деньги пользователей через компьютерные игры
21 марта 2019 года
Flexnet создан на основе троянца GM Bot, которого вирусные аналитики «Доктор Веб» исследовали еще в феврале 2015 года. Исходный код этого вредоносного приложения был опубликован в открытом доступе в 2016 году. Вскоре появились и первые версии Flexnet, в которых использовались наработки авторов GM Bot. Атаки на владельцев Android-смартфонов и планшетов с помощью этого троянца продолжаются до сих пор.
Злоумышленники распространяют банкера Flexnet при помощи СМС-спама. В сообщениях потенциальным жертвам предлагается перейти по ссылке и загрузить ту или иную программу или игру. Троянец маскируется под приложения «Друг вокруг», GTA V, инструменты для раскрутки аккаунтов в Instagram и «ВКонтакте», а также другое ПО.
При запуске банкер запрашивает доступ к функциям администратора устройства, показывая стандартное диалоговое окно. Если жертва предоставляет ему нужные полномочия, троянец сообщает о якобы возникшей ошибке и убирает свой значок с экрана приложений. Так он скрывается от пользователя и пытается затруднить свое удаление.
По сравнению с современными Android-банкерами возможности Flexnet весьма ограничены. Троянец способен перехватывать и отправлять СМС-сообщения, а также выполнять USSD-запросы. Однако и этих функций достаточно для кражи денег с использованием различных мошеннических приемов.
Один из них — пополнение внутриигровых счетов популярных компьютерных игр с использованием СМС. Эта схема работает следующим образом. Троянец проверяет баланс банковской карты пользователя, отправляя СМС-запрос в систему обслуживания мобильного банкинга. Затем он перехватывает ответное сообщение с информацией об остатке на счете и передает эти сведения киберпреступникам. Далее злоумышленники формируют запрос на пополнение баланса интересующей их игры. В запросе указывается номер телефона жертвы и сумма для перевода. После этого пользователю приходит СМС с проверочным кодом. Троянец перехватывает это сообщение, передает его содержимое мошенникам, и те отдают банкеру команду на отправку СМС с полученным кодом для подтверждения операции.
Вот примеры того, как происходит кража денег с использованием этого метода:
Аналогичным образом реализуются и другие мошеннические схемы. Например, злоумышленники могут оплачивать услуги хостинг-провайдеров, используя деньги с баланса мобильных номеров своих жертв. Для этого троянец отправляет СМС с необходимыми параметрами на специализированные номера:
Даже если на счету потенциальных жертв недостаточно средств, злоумышленники все равно могут украсть у них деньги. Мошенники используют тарифную опцию сотовых операторов «Обещанный платеж», которая позволяет оплачивать услуги в долг. Как и в других случаях, киберпреступники дают команду троянцу отправить СМС с нужными параметрами. При этом до определенного времени владельцы зараженных устройств не подозревают о пропаже денег, поскольку банкер скрывает все подозрительные сообщения.
Кроме того, троянец может переводить деньги с банковских карт жертв на счета злоумышленников. Однако кредитные организации при помощи специальных алгоритмов отслеживают подозрительные операции, поэтому вероятность блокировки такого перевода очень высока – в то время как описанные выше схемы позволяют мошенникам в течение длительного времени красть относительно небольшие суммы и оставаться незамеченными.
Другая функция Flexnet — похищение конфиденциальных данных. Киберпреступники могут получать доступ к аккаунтам пользователей социальных сетей, интернет-магазинов, личным кабинетам на сайтах операторов связи и другим онлайн-сервисам. Зная номер мобильного телефона жертвы, злоумышленники пытаются выполнить вход в ее учетную запись. На этот номер поступает одноразовый проверочный код, который троянец перехватывает и отправляет мошенникам.
Если же номер владельца зараженного устройства не привязан к одному из целевых сервисов, киберпреступники могут использовать такой номер для регистрации новой учетной записи. В дальнейшем скомпрометированные и вновь созданные аккаунты могут попасть на черный рынок, применяться для рассылки спама и организации фишинг-атак.
При содействии регистратора REG.ru несколько управляющих серверов Flexnet были заблокированы, и часть зараженных устройств злоумышленники больше не контролируют.
Компания «Доктор Веб» напоминает владельцам Android-смартфонов и планшетов, что устанавливать программы и игры следует лишь из надежных источников, таких как Google Play. Необходимо обращать внимание на отзывы других пользователей и применять ПО от проверенных разработчиков.
Антивирусные программы Dr.Web для Android детектируют все известные модификации троянца Flexnet как представителей семейства
Ваш Android нуждается в защите
Используйте Dr.Web
- Первый российский антивирус для Android
- Более 140 миллионов скачиваний только с Google Play
- Бесплатный для пользователей домашних продуктов Dr.Web
11.03 Исследование троянца Belonard, использующего уязвимости нулевого дня в Counter-Strike 1.6
11 марта 2019 года
Введение
Игра Counter-Strike была выпущена компанией Valve еще в 2000 году. Несмотря на возраст игры, она имеет большую фанатскую базу — количество игроков с официальными клиентами CS 1.6 в среднем достигает 20 000 человек онлайн, а общее число зарегистрированных в Steam игровых серверов превышает 5000. Продажа, аренда и раскрутка серверов стали настоящим бизнесом в виде услуг на различных сайтах. К примеру, поднятие сервера в рейтинге на неделю стоит примерно 200 рублей, но большое количество покупателей при сравнительно небольших расходах делают эту стратегию довольно успешной бизнес-моделью.
Многие владельцы популярных игровых серверов тоже зарабатывают за счет игроков, продавая различные привилегии: защита от бана, доступ к оружию и многое другое. Если одни держатели серверов рекламируются самостоятельно, то некоторые платят за раскрутку сервера поставщикам. Покупая такую услугу, заказчики часто не знают, какие методы используются для продвижения их серверов. Как выяснилось, разработчик под ником Belonard прибегал к нелегальным средствам раскрутки: его сервер заражал устройства игроков троянцем и использовал их для продвижения других игровых серверов.
Держатель вредоносного сервера использует уязвимости клиента игры и созданного им троянца как техническое обеспечение для своего бизнеса. Задача троянца заключается в том, чтобы проникнуть на устройство игрока и скачать вредоносное ПО, которое обеспечит автозапуск троянца в системе и его распространение на устройства других игроков. Для этого используются уязвимости Remote Code Execution (RCE): две такие уязвимости найдены в официальном клиенте игры и четыре в пиратском.
Установившись в системе, Trojan.Belonard меняет список доступных игровых серверов в клиенте игры, а также создает на зараженном компьютере игровые прокси-серверы для распространения троянца. Как правило, на прокси-серверах – невысокий пинг, поэтому другие игроки видят их вверху списка серверов. Выбрав один из них, игрок попадает на вредоносный сервер и заражается Trojan.Belonard.
Благодаря такой схеме разработчику троянца удалось создать ботнет, занимающий значительную часть игровых серверов CS 1.6. По данным наших аналитиков, из порядка 5000 серверов, доступных из официального клиента Steam, 1951 оказались созданными троянцем Belonard. Это составляет 39% процентов игровых серверов. Сеть такого размера позволила разработчику троянца продвигать другие серверы за деньги, добавляя их в списки доступных серверов зараженных игровых клиентов.
Ранее мы уже описывали похожий случай атаки через CS 1.6, где троянец попадал на устройство игрока через вредоносный сервер. Но если в том случае пользователь должен был подтвердить загрузку вредоносных файлов, то на этот раз троянец попадает на устройство незаметно для жертвы. «Доктор Веб» уведомил об этих и других уязвимостях разработчика игры — компанию Valve. Ее представители сообщили о том, что они работают над этой проблемой, но на данный момент нет информации о сроках, в которые уязвимости будут устранены.
Инфицирование
Тrojan.Belonard состоит из 11 компонентов и действует по разным сценариям в зависимости от клиента игры. Если клиент игры лицензионный, троянец попадает на устройство пользователя через RCE-уязвимость, эксплуатируемую вредоносным сервером, после чего обеспечивает себе установку в системе. По такому же сценарию происходит заражение чистого пиратского клиента. Если пользователь скачивает зараженный клиент с сайта владельца вредоносного сервера, установка троянца в системе происходит после первого запуска игры.
Рассмотрим подробнее процесс заражения клиента. Игрок запускает официальный клиент Steam и выбирает сервер для игры. При подключении к вредоносному серверу задействуется одна из RCE-уязвимостей, в результате чего на компьютер игрока будет загружена, а затем выполнена троянская библиотека client.dll (Trojan.Belonard.1) или файл Mssv24.asi (Trojan.Belonard.5).
Попав на устройство, Trojan.Belonard.1 первым делом удаляет любые .dat файлы, находящиеся в одном каталоге с файлом процесса библиотеки. После чего она подключается к управляющему серверу fuztxhus.valve-ms[.]ru:28445 и отправляет ему шифрованный запрос на скачивание файла Mp3enc.asi (Trojan.Belonard.2). Сервер передает запрошенный файл в зашифрованном формате.
Скриншот расшифрованного пакета данных, полученного от сервера:
Установка в клиенте
Автозапуск на официальном или пиратском клиенте происходит за счет особенности клиента Counter-Strike. При запуске игра автоматически загружает любые файлы с расширением .asi из корня игры.
Клиент, скачанный с сайта разработчика троянца, уже заражен Trojan.Belonard.10 (имя файла — Mssv36.asi), но обеспечение автозапуска в клиенте у него происходит иначе, чем на чистом. После установки зараженного клиента, Trojan.Belonard.10 проверяет наличие одного из своих компонентов в ОС пользователя. Если их нет, распаковывает из своего тела и загружает в память своего процесса Trojan.Belonard.5 (имя файла — Mssv24.asi). Как и многие другие модули троянца, Trojan.Belonard.10 подменяет дату и время создания, модификации, а также доступа к файлу. Это делается для того, чтобы нельзя было найти файлы троянца, отсортировав содержимое папки по дате создания.
После установки нового компонента Trojan.Belonard.10 остается в системе и выполняет роль протектора клиента. Его задача — фильтровать запросы, файлы и консольные команды, полученные от других игровых серверов, а также передавать информацию о попытках внесения изменения в клиент на сервер разработчика троянца.
Trojan.Belonard.5 получает в DllMain информацию о запущенном процессе и путях до модуля. Если имя процесса отлично от rundll32.exe, запускает отдельный поток для последующих действий. В запущенном потоке Trojan.Belonard.5 создает ключ [HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers] '<путь до исполняемого файла процесса>', присваивает ему значение «RUNASADMIN» и проверяет имя модуля. Если это не «Mssv24.asi», копирует себя в «Mssv24.asi», удаляет версию с другим названием, скачивает и запускает Trojan.Belonard.3 (имя файла — Mssv16.asi). Если имя совпадает, сразу переходит к скачиванию и запуску троянца.
Автозапуск на чистом клиенте происходит через Trojan.Belonard.2. После загрузки на компьютер он проверяет в DllMain имя процесса, куда загружена client.dll (Trojan.Belonard.1). Если это не rundll32.exe, он создает поток с ключом [HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers] '<путь до исполняемого файла процесса>' и присваивает ему значение «RUNASADMIN». Выполнив эти действия, он собирает данные об устройстве пользователя и извлекает информацию из файла DialogGamePage.res. После чего в зашифрованном виде отправляет полученные данные на сервер разработчика троянца.
Структура собранных данных о системе:
В ответ сервер отправляет файл Mssv16.asi (Trojan.Belonard.3). Метаинформация о новом модуле сохраняется в файле DialogGamePage.res, а Trojan.Belonard.5 удаляется с устройства пользователя.
Установка в системе
Обеспечение автозапуска в системе происходит за счет Trojan.Belonard.3. Оказавшись на устройстве, он удаляет Trojan.Belonard.5 и проверяет процесс, в контексте которого работает. Если это не rundll32.exe, он сохраняет в %WINDIR%\System32\ двух других троянцев: Trojan.Belonard.7 (имя файла — WinDHCP.dll) и Trojan.Belonard.6 (davapi.dll). При этом, в отличие от Trojan.Belonard.5, седьмой и шестой хранятся внутри троянца в «разобранном» виде. Тела этих двух троянцев разбиты на блоки по 0xFFFC байт (последний блок может иметь меньший размер). При сохранении на диск троянец склеивает блоки нужным образом для получения рабочих файлов.
Собрав троянцев, Trojan.Belonard.3 создает сервис WinDHCP для запуска WinDHCP.dll (Trojan.Belonard.7) в контексте svchost.exe. В зависимости от языковых настроек ОС, использует тексты на русском или английском для задания параметров службы.
Параметры службы WinDHCP:
- Название службы: «Windows DHCP Service» или «Служба Windows DHCP»;
- Описание: «Windows Dynamic Host Configuration Protocol Service» или «Служба протокола динамической настройки узла Windows»;
- В параметре ImagePath указано: «%SystemRoot%\System32\svchost.exe -k netsvcs», а в ServiceDll указан путь до троянской библиотеки.
После чего Trojan.Belonard.3 регулярно проверяет, запущен ли сервис WinDHCP. Если не запущен, то заново устанавливает его.
Trojan.Belonard.7 представляет собой WinDHCP.dll с экспортом ServiceMain и устанавливается на зараженном устройстве службой с автоматическим стартом. Его задача состоит в том, чтобы проверять в реестре ключа «HKLM\SYSTEM\CurrentControlSet\Services\WinDHCP» параметр «Tag». Если в нем выставлено значение 0, Trojan.Belonard.7 загружает библиотеку davapi.dll (Trojan.Belonard.6) и вызывает ее экспорт, передавая аргументом указатель на структуру SERVICE_STATUS, характеризующую состояние сервиса WinDHCP. Затем ждет 1 секунду и снова проверяет параметр «Tag». Если значение не равно 0, Trojan.Belonard.7 загружает библиотеку spwinres.dll (Trojan.Belonard.4), которая является более старой версией Trojan.Belonard.6. После чего вызывает ее экспорт, передавая аргументом указатель на структуру SERVICE_STATUS, характеризующую состояние сервиса WinDHCP.
Троянец повторяет эти действия каждую секунду.
Параметры службы WinDHCP, взятые из отчета нашего клиента:
<RegistryKey Name="WinDHCP" Subkeys="1" Values="11">
<RegistryKey Name="Parameters" Subkeys="0" Values="1">
<RegistryValue Name="ServiceDll" Type="REG_EXPAND_SZ" SizeInBytes="68" Value="%SystemRoot%\system32\WinDHCP.dll" />
</RegistryKey>
<RegistryValue Name="Type" Type="REG_DWORD" Value="32" />
<RegistryValue Name="Start" Type="REG_DWORD" Value="2" />
<RegistryValue Name="ErrorControl" Type="REG_DWORD" Value="0" />
<RegistryValue Name="ImagePath" Type="REG_EXPAND_SZ" SizeInBytes="90" Value="%SystemRoot%\System32\svchost.exe -k netsvcs" />
<RegistryValue Name="DisplayName" Type="REG_SZ" Value="Служба Windows DHCP" />
<RegistryValue Name="ObjectName" Type="REG_SZ" Value="LocalSystem" />
<RegistryValue Name="Description" Type="REG_SZ" Value="Служба протокола динамической настройки узла Windows" />
<RegistryValue Name="Tag" Type="REG_DWORD" Value="0" />
<RegistryValue Name="Data" Type="REG_BINARY" SizeInBytes="32" Value="f0dd5c3aeda155767042fa9f58ade24681af5fbd45d5df9f55a759bd65bc0b7e" />
<RegistryValue Name="Scheme" Type="REG_BINARY" SizeInBytes="16" Value="dcef62f71f8564291226d1628278239e" />
<RegistryValue Name="Info" Type="REG_BINARY" SizeInBytes="32" Value="55926164986c6020c60ad81b887c616db85f191fda743d470f392bb45975dfeb" />
</RegistryKey>
Перед запуском всех функций Trojan.Belonard.6 проверяет в реестре службы WinDHCP параметры «Tag» и «Data». В параметре «Data» должен находиться массив байтов, из которых генерируется AES ключ. Если его нет, троянец с помощью библиотеки openssl генерирует 32 случайных байта, которые позднее будут использоваться для генерации ключа шифрования. После этого читает параметры «Info» и «Scheme» службы WinDHCP. В «Scheme» троянец хранит 4 параметра в зашифрованном AES-ом виде. В «Info» хранится SHA256 хэш от списка установленных программ.
Собрав информацию, Trojan.Belonard.6 расшифровывает адрес управляющего сервера — oihcyenw.valve-ms[.]ru — и пытается установить с ним соединение. Если это не удается, троянец использует DGA для генерации доменов в зоне .ru. Однако в коде для генерации доменов допущена ошибка, из-за которой алгоритм создает не те домены, которые хотел получить разработчик троянца.
После отправки зашифрованной информации троянец получает ответ от сервера, расшифровывает его и сохраняет переданные файлы в %WINDIR%\System32\. Среди полученных данных содержатся троянцы wmcodecs.dll (Trojan.Belonard.8) и ssdp32.dll (Trojan.Belonard.9).
Кроме описанных выше действий Trojan.Belonard.6 также вызывает со случайной периодичностью следующие функции:
- поиск запущенных клиентов Counter-Strike 1.6;
- запуск Trojan.Belonard.9;
- обращение к серверу разработчика.
Диапазоны периодов могут быть изменены при получении соответствующей команды от управляющего сервера.
Полезная нагрузка и распространение
Belonard также устанавливается на новых клиентах игры, установленных на устройстве. Эту функцию выполняют Trojan.Belonard.8 и Trojan.Belonard.6.
Trojan.Belonard.8 инициализирует контейнер с информацией об именах файлов клиента Counter-Strike 1.6 и их SHA256-хэшах. Trojan.Belonard.6 начинает искать установленные клиенты игры. Если троянец находит запущенный клиент, он сверяет наличие файлов и их SHA256-хэши с информацией, полученной от Trojan.Belonard.8. Если найдено несоответствие, Trojan.Belonard.8 завершает процесс чистого клиента, после чего добавляет файл hl.exe в директорию игры. Этот файл необходим только для того, чтобы вывести сообщение об ошибочной загрузке игры «Could not load game. Please try again at a later time». Это позволяет троянцу выиграть время, чтобы заменить файлы клиента. Когда это сделано, троянец заменяет hl.exe файл на рабочий, и игра запускается без ошибки.
Троянец удаляет следующие файлы клиента:
<path>\\valve\\dlls\\*
<path>\\cstrike\\dlls\\*
<path>\\valve\\cl_dlls\\*
<path>\\cstrike\\cl_dlls\\*
<path>\\cstrike\\resource\\*.res
<path>\\valve\\resource\\*.res
<path>\\valve\\motd.txt
<path>\\cstrike\\resource\\gameui_english.txt
<path>\\cstrike\\resource\\icon_steam.tga
<path>\\valve\\resource\\icon_steam.tga
<path>\\cstrike\\resource\\icon_steam_disabled.tga
<path>\\valve\\resource\\icon_steam_disabled.tga
<path>\\cstrike\\sound\\weapons\\fiveseven_reload_clipin_sliderelease.dll
<path>\\cstrike_russian\\sound\\weapons\\fiveseven_reload_clipin_sliderelease.dll
<path>\\cstrike_romanian\\sound\\weapons\\fiveseven_reload_clipin_sliderelease.dll
В зависимости от языка ОС загружает файлы русскоязычного или англоязычного игрового меню.
Измененный клиент игры содержит файл троянца Trojan.Belonard.10, а также рекламу ресурсов его разработчика. При входе в игру «ник» игрока изменится на адрес сайта, где можно скачать зараженный клиент игры, а в меню игры появится ссылка на группу сообщества «ВКонтакте», посвященную CS 1.6 и насчитывающую более 11 500 подписчиков.
Полезная нагрузка троянца заключается в эмуляции на устройстве пользователя некоторого количества поддельных игровых серверов. Для этого троянец отправляет на сервер разработчика информацию о клиенте игры и получает в ответ в зашифрованном виде параметры для создания поддельных серверов.
Trojan.Belonard.9 создает игровые прокси-серверы и регистрирует их через Steam API. Порты игровых серверов берутся последовательно от нижнего значения game_srv_low_port, указанного сервером. Сервер также задает fakesrvbatch, от значения которого зависит количество потоков эмулятора протокола. Эмулятор поддерживает базовые запросы к игровому серверу на движке Goldsource - A2S_INFO, A2S_PLAYER, A2A_PING, получение challenge steam/non-steam клиента, а также команду клиента Counter-Strike «connect». После формирования ответа на команду «connect» троянец отслеживает первый и второй пакеты от клиента.
После обмена пакетами троянец отправляет последний пакет - svc_director с сообщением типа DRC_CMD_STUFFTEXT, которое позволяет выполнить произвольные команды клиента Counter-Strike. Эта проблема известна компании Valve с 2014 года и до сих пор не исправлена. Таким образом, при попытке соединиться с игровым прокси-сервером игрок будет перенаправлен на вредоносный сервер. Это позволит разработчику троянца пытаться эксплуатировать уязвимости игрового клиента пользователя для установки Trojan.Belonard.
Стоит отметить, что в Trojan.Belonard.9 существует баг, позволяющий обнаружить созданные троянцем прокси-серверы. Кроме того, часть прокси-серверов можно определить по названию: в графе «Game» у ненастоящего сервера будет строка вида «Counter-Strike n», где n может являться числом от 1 до 3.
Шифрование
Для хранения данных в троянце и общения с сервером в Belonard используется шифрование. В зашифрованном виде хранится имя управляющего сервера, а также некоторые строки кода и имена библиотек. Для этого используется один алгоритм шифрования с разными константами для отдельных модулей троянца. При этом в старых версиях вредоносной программы использовался другой алгоритм для шифрования строк кода.
Алгоритм дешифровки в Trojan.Belonard.2:
def decrypt(d):
s = ''
c = ord(d[0])
for i in range(len(d)-1):
c = (ord(d[i+1]) + 0xe2*c - 0x2f*ord(d[i]) - 0x58) & 0xff
s += chr(c)
return s
Старый алгоритм дешифровки:
def decrypt(data):
s = 'f'
for i in range(0,len(data)-1):
s += chr((ord(s[i]) + ord(data[i]))&0xff)
print s
Для обмена информацией с управляющем сервером Belonard использует более сложное шифрование. Перед отправкой на сервер информация оборачивается в структуру, уникальную для каждого модуля. Полученные данные шифруются RSA с использованием имеющегося в троянце публичного ключа. Важно заметить, что RSA шифруются только первые 342 байта данных. Если модуль отправляет объем данных, превышающий 342 байта, только первая часть данных будет шифроваться с использованием RSA, а остальная часть шифруется AES. Данные для получения AES-ключа содержатся в блоке, зашифрованном RSA-ключом. В нем же содержатся и данные для генерации AES-ключа, с помощью которого управляющий сервер зашифровывает ответ клиенту.
В начало зашифрованных данных дописывается нулевой байт, после чего они отправляются на управляющий сервер. В ответ сервер отдает зашифрованные данные с указанием размера данных и хэша, что необходимо для сверки с AES-ключом.
Пример данных, полученных от управляющего сервера:
#pragma pack(push,1)
struct st_payload
{
_BYTE hash1[32];
_DWORD totalsize;
_BYTE hash2[32];
_DWORD dword44;
_DWORD dword48;
_DWORD dword4c;
_WORD word50;
char payload_name[];
_BYTE payload_sha256[32];
_DWORD payload_size;
_BYTE payload_data[payload_size];
}
#pragma pack(pop)
Для расшифровки используется AES в режиме CFB с размером блока 128 бит и ключ, отправленный раннее на сервер. Сначала расшифровываются первые 36 байт данных, из них последний DWORD – это реальный размер полезной нагрузки с заголовком. К AES-ключу добавляется DWORD и хэшируется SHA256. Полученный хэш должен совпасть с первыми 32 расшифрованными байтами. Только после этого расшифровываются остальные принятые данные.
Закрытие ботнета
Для обезвреживания троянца и прекращения работы ботнета наши специалисты приняли ряд мер. При содействии регистратора REG.ru используемые разработчиком троянца домены были сняты с делегирования. Поскольку перенаправление с игровых прокси-серверов происходило по доменному имени, игроки CS 1.6 больше не будут попадать на вредоносный сервер и заражаться троянцем Belonard. Это также нарушило работу практически всех его модулей.
Кроме того, в вирусную базу Dr.Web были добавлены записи для детектирования всех компонентов троянца, а также ведется мониторинг ботов, переключившихся на использование DGA. После принятия всех мер по обезвреживанию ботнета синкхол-сервер зарегистрировал 127 зараженных клиентов. А по данным нашей телеметрии, антивирусом Dr.Web были обнаружены модули троянца Belonard на устройствах 1004 пользователей.
На данный момент ботнет можно считать обезвреженным, но для обеспечения безопасности клиентов Counter-Strike необходимо закрытие существующих уязвимостей со стороны разработчика игры.
Индикаторы компрометации
Хэши файлов
8bbc0ebc85648bafdba19369dff39dfbd88bc297 - Backdoored Counter-Strike 1.6 client
200f80df85b7c9b47809b83a4a2f2459cae0dd01 - Backdoored Counter-Strike 1.6 client
8579e4efe29cb999aaedad9122e2c10a50154afb - Backdoored Counter-Strike 1.6 client
ce9f0450dafda6c48580970b7f4e8aea23a7512a - client.dll - Trojan.Belonard.1
75ec1a47404193c1a6a0b1fb61a414b7a2269d08 - Mp3enc.asi - Trojan.Belonard.2
4bdb31d4d410fbbc56bd8dd3308e20a05a5fce45 - Mp3enc.asi - Trojan.Belonard.2
a0ea9b06f4cb548b7b2ea88713bd4316c5e89f32 - Mssv36.asi - Trojan.Belonard.10
e6f2f408c8d90cd9ed9446b65f4b74f945ead41b - FileSystem.asi - Trojan.Belonard.11
15879cfa3e5e4463ef15df477ba1717015652497 - Mssv24.asi - Trojan.Belonard.5
4b4da2c0a992d5f7884df6ea9cc0094976c1b4b3 - Mssv24.asi - Trojan.Belonard.5
6813cca586ea1c26cd7e7310985b4b570b920803 - Mssv24.asi - Trojan.Belonard.5
6b03e0dd379965ba76b1c3d2c0a97465329364f2 - Mssv16.asi - Trojan.Belonard.3
2bf76c89467cb7c1b8c0a655609c038ae99368e9 - Mssv16.asi - Trojan.Belonard.3
d37b21fe222237e57bc589542de420fbdaa45804 - Mssv16.asi - Trojan.Belonard.3
72a311bcca1611cf8f5d4d9b4650bc8fead263f1 - Mssv16.asi - Trojan.Belonard.3
73ba54f9272468fbec8b1d0920b3284a197b3915 - davapi.dll - Trojan.Belonard.6
d6f2a7f09d406b4f239efb2d9334551f16b4de16 - davapi.dll - Trojan.Belonard.6
a77d43993ba690fda5c35ebe4ea2770e749de373 - spwinres.dll - Trojan.Belonard.4
8165872f1dbbb04a2eedf7818e16d8e40c17ce5e - WinDHCP.dll - Trojan.Belonard.7
027340983694446b0312abcac72585470bf362da - WinDHCP.dll - Trojan.Belonard.7
93fe587a5a60a380d9a2d5f335d3e17a86c2c0d8 - wmcodecs.dll - Trojan.Belonard.8
89dfc713cdfd4a8cd958f5f744ca7c6af219e4a4 - wmcodecs.dll - Trojan.Belonard.8
2420d5ad17b21bedd55309b6d7ff9e30be1a2de1 - ssdp32.dll - Trojan.Belonard.9
Имена файлов
client.dll - Trojan.Belonard.1
Mp3enc.asi - Trojan.Belonard.2
Mssv16.asi - Trojan.Belonard.3
spwinres.dll - Trojan.Belonard.4
Mssv24.asi - Trojan.Belonard.5
davapi.dll - Trojan.Belonard.6
WinDHCP.dll - Trojan.Belonard.7
wmcodecs.dll - Trojan.Belonard.8
ssdp32.dll - Trojan.Belonard.9
Mssv36.asi - Trojan.Belonard.10
FileSystem.asi - Trojan.Belonard.11
Используемые домены
csgoogle.ru
etmpyuuo.csgoogle.ru
jgutdnqn.csgoogle.ru
hl.csgoogle.ru
half-life.su
play.half-life.su
valve-ms.ru
bmeadaut.valve-ms.ru
fuztxhus.valve-ms.ru
ixtzhunk.valve-ms.ru
oihcyenw.valve-ms.ru
suysfvtm.valve-ms.ru
wcnclfbi.valve-ms.ru
reborn.valve-ms.ru
IP-адреса
37.143.12.3
46.254.17.165
11 марта 2019 года
Trojan.Belonard попадает на устройство при подключении к вредоносному игровому серверу. Троянец использует уязвимости клиента игры и может заражать как Steam-версии, так и пиратские сборки Counter-Strike 1.6 (CS 1.6). Попав на компьютер жертвы, троянец меняет файлы клиента и создает игровые прокси-серверы для заражения других пользователей. Подобная схема используется для раскрутки игровых серверов и позволяет на этом зарабатывать.
Несмотря на возраст игры, количество игроков только с официальными клиентами CS 1.6 в среднем достигает 20 000 человек онлайн, а общее число зарегистрированных в Steam серверов игры превышает 5000. Продажа, аренда и раскрутка игровых серверов стали реальным видом бизнеса и предлагаются как услуги на различных сайтах. Владельцы серверов нередко платят за подобные услуги, не зная, что для раскрутки их сервера может использоваться вредоносное ПО. Именно такими нелегальными методами пользовался разработчик под ником Belonard: его сервер заражал троянцем игроков и использовал их аккаунты для продвижения других серверов.
На данный момент количество вредоносных серверов CS 1.6, созданных троянцем Belonard, достигло 39% от числа всех официальных серверов, зарегистрированных в Steam. Сообщество игроков CS давно столкнулось с этой проблемой, но, к сожалению, до сих пор антивирусы определяли только части троянца Belonard, а не угрозу в целом. Теперь все модули троянца Belonard успешно определяются антивирусом Dr.Web и не угрожают нашим пользователям. О том, как работает троянец Belonard, более подробно рассказано в нашем исследовании.
19.02 «Доктор Веб» предупреждает: мошенники распространяют Android-троянцев при помощи Instagram
19 февраля 2019 года
В течение февраля вирусные аналитики выявили в Google Play 39 новых модификаций троянцев семейства
Основная функция вредоносных приложений
Поскольку троянцы показывают баннеры практически непрерывно, злоумышленники быстро окупают траты на продвижение своих поделок через популярные интернет-сервисы.
Чтобы оставаться на смартфонах и планшетах как можно дольше, троянцы
Почти все представители семейства
Многие из этих вредоносных приложений владельцы Android-смартфонов и планшетов установили после просмотра рекламы в Instagram и YouTube, в которой киберпреступники обещали функциональные и мощные средства обработки фото и видео. На первый взгляд, троянцы соответствуют описанию и не вызывают подозрений у потенциальных жертв. Но на самом деле кроме одной или нескольких базовых функций в них нет ничего из того, о чем говорилось в объявлениях. На это обманутые пользователи жалуются в отзывах к программам:
Активная рекламная кампания злоумышленников привлекает большое число владельцев мобильных устройств и увеличивает количество загрузок вредоносных программ. Некоторые из этих троянцев даже попадают в разделы новинок и набирающих популярность приложений каталога Google Play, что еще больше увеличивает число их установок.
Информация обо всех троянцах, которых наши специалисты нашли на момент выхода этого материала, приведена в сводной таблице. Однако поскольку киберпреступники постоянно создают новые вредоносные приложения семейства
| Имя программного пакета | Число загрузок |
|---|---|
| com.funshionstyle.ledcaller | 1 000 000+ |
| com.uniokan.pipphotoframer | 50 000+ |
| com.flextool.scanner.play | 100 000+ |
| com.flextool.superfastscanner | 100 000+ |
| com.piano.tiles.songs.black.white.game | 10 000+ |
| com.pop.stars.pop.cube | 10 000+ |
| com.mp3audio.musicplayer.fly.fun | 100 000+ |
| com.picsart.photo.editor | 50 000+ |
| com.loopshapes.infinite.puzzle | 100+ |
| com.cdtushudw.brand.logo.expert | 10 000+ |
| com.aardingw.chess.queen | 50 000+ |
| com.particle.sand.box | 100+ |
| checkers.online.classic.board.tactics | 500 000+ |
| com.wind.pics.blur.editor | 1 000 000+ |
| com.draughts.checkersnew | 50 000+ |
| com.watermark.zooms.camera | 10 000+ |
| com.photo.cut.out.studio | 1 000 000+ |
| com.camera.easy.photo.beauty | 100 000+ |
| com.camera.easy.photo.beauty.Pro | 10 000+ |
| com.soon.ygy.photograph.camera | 500 000+ |
| com.music.play.hi.cloud | 500 000+ |
| com.scanfactory.smartscan | 100 000+ |
| com.personalife.hdwallpaper | 10 000+ |
| com.smartmob.minicleaner | 100 000+ |
| com.beautylife.livepipcamera | 100 000+ |
| com.callcolorshow.callflash | 10 000+ |
| com.mobwontools.pixel.blur.cam | 1 000 000+ |
| com.video.nin.cut.face | 100 000+ |
| com.magicvcam.meet.photograph | 100 000+ |
| com.best.blur.editor.photo | 100,000+ |
| com.autocleaner.supercleaner | 10 000+ |
| com.wallpapers.project.hd.hd3d.best.live | 10 000+ |
| com.camera.selfie.beauty.candy.cam | 5+ |
| com.wallpaper.hd3d.hd.lock.screen.best3d.best | 50 000+ |
| com.selfie.beauty.candy.camera.pro | 1 000 000+ |
| com.cam.air.crush | 1 000 000+ |
| com.fancy.photo.blur.editor | 1 000 000+ |
| com.photoeditor.background.change | 100 000+ |
| com.eraser.ygycamera.background | 100 000+ |
Пользователям рекомендуется выполнить полную проверку мобильных устройств антивирусом Dr.Web для Android и удалить найденных троянцев.
Владельцам смартфонов и планшетов необходимо с осторожностью относиться к объявлениям в Интернете и не загружать предлагаемые в них программы, даже если те распространяются через каталог Google Play. Следует устанавливать приложения только от проверенных разработчиков, а также обращать внимание на отзывы других пользователей.
#Android, #мошенничество, #Google_Play, #троянец
22.01 Аналитики «Доктор Веб» обнаружили троянца в программе для отслеживания курса криптовалют
22 января 2019 года
Осенью 2018 года в онлайн-сообществах, посвященных криптовалютам, появились сообщения с предложением установить программу для отслеживания изменения курса цифровых валют. Ее разработчики обещают бесплатный, надежный и сертифицированный виджет. На первый взгляд, приложение не вызывает подозрений: у него есть действительная цифровая подпись и оно показывает актуальную информацию о курсе криптовалют. Но за работоспособностью скрывается вредоносная функциональность.
При установке программа скачивает, компилирует и исполняет исходный код, загруженный с личного аккаунта разработчика на Github. После чего он загружает Trojan.PWS.Stealer.24943, известного также как AZORult. Этот троянец используется для кражи личных данных, включая пароли от кошельков криптовалют.
Преимущественно мошенники предлагают скачать вредоносную программу на русском, английском и польском языках. В русскоязычном сегменте Интернета троянца распространяют в группах майнеров криптовалют на vk.com.
Сейчас троянец все еще доступен на различных файлообменных сервисах, а также на Github. Пользователям продуктов Dr.Web опасность не угрожает, но специалисты Dr.Web настоятельно рекомендуют вовремя продлевать лицензию антивируса и следить за обновлениями.
#bitcoin #криптовалюты #майнинг #троянец
2018
06.12 Мобильные устройства бразильских пользователей атаковал банковский троянец
6 декабря 2018 года
Киберпреступники распространяли
При запуске
Когда пользователь дает банкеру разрешение на работу с функциями специальных возможностей, тот закрывает свое окно, запускает вредоносный сервис и с его помощью продолжает действовать в скрытом режиме. Затем
Кроме того, вредоносное приложение использует функции специальных возможностей и для самозащиты, отслеживая работу ряда антивирусов и различных утилит. При их запуске он пытается закрыть их окна, 4 раза подряд нажимая кнопку «Назад».
При запуске программы Banco Itaú троянец с использованием функции специальных возможностей считывает содержимое ее окна и передает злоумышленникам информацию о балансе банковского счета пользователя. Затем он самостоятельно выполняет навигацию внутри приложения и переходит в раздел управления учетной записью. Там троянец копирует и отправляет вирусописателям ключ iToken – код безопасности, который используется для проверки электронных транзакций.
После запуска приложения Bradesco банкер считывает информацию об аккаунте жертвы и пытается автоматически войти в него, вводя полученный от управляющего сервера PIN-код.
Получив команду на запуск приложения для работы с СМС, банкер открывает его, считывает и сохраняет текст доступных сообщений и отправляет их на сервер. При этом он выделяет СМС, поступившие от банка CaixaBank, S.A., и передает их отдельным запросом.
Кроме того, авторы
Пример таких фишинговых страниц показан на изображениях ниже:
Введенная жертвой конфиденциальная информация передается злоумышленникам, после чего троянец закрывает мошенническое окно и повторно запускает атакуемую программу. Это делается для того, чтобы не вызвать у владельца устройства подозрений при сворачивании или закрытии целевого приложения.
Компания «Доктор Веб» призывает с осторожностью устанавливать Android-программы, даже если они распространяются через Google Play. Злоумышленники могут подделывать известное ПО, а также создавать внешне безобидные приложения. Для снижения риска установки троянца стоит обращать внимание на имя разработчика, дату размешения программы в каталоге, число загрузок и отзывы других пользователей. Кроме того, следует использовать антивирус.
Все известные модификации банкера
#Android, #Google_Play, #банковский_троянец, #фишинг
23.11 Троянец-кликер распространяется под видом программы DynDNS
23 ноября 2018 года
Сам по себе
Целевая аудитория этого троянца — пользователи программы DynDNS, которая позволяет привязать субдомен к компьютеру, не имеющему статического IP-адреса. Вирусописатель создал в Интернете веб-страницу dnsip.ru, с которой якобы можно бесплатно скачать эту программу. Также вирусописателю принадлежит домен dns-free.com, с которого происходит автоматическое перенаправление посетителей на сайт dnsip.ru.
С указанного сайта действительно можно загрузить некий архив. В нем содержится исполняемый файл setup.exe, который на самом деле представляет собой не программу установки DynDNS, а загрузчик. В этом загрузчике хранится имя скачиваемого из Интернета файла, который в исследованном нами образце называется Setup100.arj.
Несмотря на «говорящее» расширение, Setup100.arj — не ARJ-архив, а исполняемый MZPE-файл, в котором вирусописатель изменил три значения таким образом, чтобы он не распознавался в качестве MZPE автоматизированными средствами анализа и другими приложениями.
В первую очередь с использованием PowerShell он отключает Windows Defender и для пущей надежности вносит изменения в записи системного реестра, отвечающие за запуск этой программы.
Затем дроппер сохраняет в папку System32 файлы instsrv.exe, srvany.exe, dnshost.exe и yandexservice.exe. Instsrv.exe, srvany.exe и dnshost.exe — это разработанные Microsoft утилиты для создания в Windows определяемых пользователем служб, а yandexservice.exe — сам троянец
Вирусные аналитики исследовали и другой компонент троянца, выполненный в виде исполняемого файла с именем dnsservice.exe, который также устанавливается на зараженный компьютер в качестве службы Windows с именем «DNS-Service». Вирусописателя выдают характерные отладочные строки, которые он забыл удалить в своих вредоносных программах:
C:\Boris\Программы\BDown\Project1.vbp
C:\Boris\Программы\BarmashSetService\Project1.vbp
C:\Boris\Программы\Barmash.ru.new\Project1.vbp
C:\Boris\Программы\Barmash_ru_Restarter3\Project1.vbp
Этот компонент распространяется в виде маскирующегося под архив файла dnsservice.arj с сайта barmash.ru.
Все известные на сегодняшний день модификации
Согласно информации, которую удалось собрать аналитикам «Доктор Веб», на сегодняшний день от этого троянца пострадали порядка 1400 пользователей, при этом первые случаи заражения датируются 2013 годом. Полный список индикаторов компрометации можно посмотреть здесь.
#кликер #троянец
20.11 Новый троянец-майнер для Linux удаляет антивирусы
20 ноября 2018 года
Троянец, добавленный в вирусные базы Dr.Web под именем
В случае успешной установки на устройство вредоносный сценарий скачивает одну из версий троянца
Установившись в системе,
После этого вредоносная программа пытается отыскать работающие сервисы антивирусных программ с именами safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets и xmirrord. В случае их обнаружения троянец не просто завершает процесс антивируса, но с помощью пакетных менеджеров удаляет его файлы и директорию, в которой был установлен антивирусный продукт.
Затем
Выполнив все эти действия,
Полный список индикаторов компрометации можно посмотреть по ссылке https://github.com/DoctorWebLtd/malware-iocs/tree/master/Linux.BtcMine.174.
#Linux #криптовалюты #майнинг #троянец
16.11 Банковский троянец атакует европейских пользователей Android-устройств
16 ноября 2018 года
Троянец, получивший имя
После запуска пользователем троянец запрашивает доступ к управлению телефонными звонками и совершению вызовов, а также к отправке и получению СМС-сообщений. При этом на устройствах c ОС Android ниже версии 6.0 эти разрешения предоставляются автоматически во время установки вредоносной программы. Пример такого запроса показан на изображениях ниже:
Введенный жертвой номер передается в облачную базу данных, а пользователь видит второе сообщение. В нем говорится о необходимости подождать подтверждения «регистрации». Здесь же отображается кнопка «Submit», при нажатии на которую совершенно неожиданно для жертвы вирусописателей запускается встроенная в
Если ранее троянец успешно загрузил в «облако» информацию о мобильном устройстве, он скрывает свой значок с главного экрана и в дальнейшем запускается в скрытом режиме автоматически при включении зараженного смартфона или планшета.
Все известные модификации
Ваш Android нуждается в защите
Используйте Dr.Web
- Первый российский антивирус для Android
- Более 140 миллионов скачиваний только с Google Play
- Бесплатный для пользователей домашних продуктов Dr.Web
26.10 Специалисты компании «Доктор Веб» предупреждают об активизации мошеннических спам-рассылок
26 октября 2018 года
В письмах, которые получают пользователи сети, говорится о том, что их почтовый аккаунт был взломан, а на компьютер было установлено шпионское программное обеспечение.
Угрожая распространить конфиденциальную информацию, злоумышленники вымогают сумму в биткойнах, эквивалентную в среднем 700-1500 долларам США. На принятие решения жертве отводится 48 часов.
В целях подтверждения своих слов злоумышленники прикладывают к письму пароль от учетной записи пользователя, а в качестве адреса отправителя указывают его адрес электронной почты.
Для выбора жертв злоумышленники предположительно используют размещенные в публичном доступе базы данных, содержащие сведения об утекших в сеть логинах и паролях. Пользователи, столкнувшиеся с подобным мошенничеством, отмечают, что в большинстве случаев полученные ими письма содержали правильные, но устаревшие пароли, а некоторые люди сообщают о том, что получали по нескольку одинаковых писем, содержавших пароли, использованные ими в разное время.
На данный момент зафиксированы рассылки писем на английском и русском языках. Русскоязычные варианты писем могут быть написаны как на хорошем русском языке, так и с использованием электронного переводчика.
Если вы получили подобное письмо, не выполняйте требования злоумышленников. Подобного рода письма являются классическим проявлением социальной инженерии и направлены на то, чтобы спровоцировать пользователя на совершение необдуманных действий.
На настоящий момент не выявлено случаев подтверждения направляемой злоумышленниками информации, что позволяет расценивать данную рассылку как мошенническую.
В то же время некоторые пользователи обнаружили, что с их почтовых ящиков осуществлялась несанкционированная рассылка сообщений. Это предположительно связано с тем, что на протяжении многих лет они использовали одни и те же пароли для доступа к электронной почте и иным ресурсам, что позволило злоумышленникам получить доступ к их аккаунтам, используя базы данных скомпрометированных паролей.
С детальной информацией о данном виде мошенничества вы можете ознакомиться в выпуске нашей рубрики «Антивирусная ПравДА!».
Компания «Доктор Веб» рекомендует:
Запустите антивирусную проверку на своем компьютере и мобильных устройствах.
Поменяйте используемые вами пароли и в дальнейшем делайте это на регулярной основе.
Не используйте одни и те же пароли для доступа к малозначимым ресурсам и местам хранения личных данных.
#мошенническое_письмо #мошенничество #спам
23.10 «Доктор Веб»: троянца-загрузчика из Google Play установили свыше 51 000 пользователей
23 октября 2018 года
Информация о найденных вредоносных приложениях представлена в сводной таблице ниже:
| Имя приложения | Название программного пакета | Версия |
|---|---|---|
| Extreme SUV 4x4 Driving Simulator | com.quoac.extreme.suv.driving | 0.3 |
| Moto Extreme Racer 3D | com.quoac.moto.extreme.racing | 0.3 |
| SUV City Traffic Racer | com.suv.traffic.racer | 0.3 |
| Sports Car Racing | com.quoac.sports.car.racing | 0.3 |
| Crime Traffic Racer | com.quoac.crime.traffic.game | 0.3 |
| Police Car Traffic | com.quoac.police.car.traffic | 0.3 |
| Tank Traffic Racer | com.quoac.tank.traffic.racer | 0.3 |
| Extreme Car Driving Simulator | com.quoac.extreme.car.driving.simulator | 0.3 |
| Russian Cars Retro | com.quoac.russian.car.retro | 0.3 |
| Motocross Beach Jumping - Bike Stund Racing | com.quoac.motocross.beach.jumping | 0.4 |
| Luxury Supercar Simulator | com.quoac.luxury.supercar.simulator | 0.3 |
| Crime Crazy Security | com.quoac.crime.crazy.security | 0.4 |
| Furious Extreme Drift | com.quoac.furious.extreme.drift | 0.3 |
| Drift Car Driving Simulator | com.quoac.car.driving.simulator | 0.5 |
Получив необходимые полномочия, троянец подключается к удаленному серверу и незаметно загружает с него apk-файл, после чего предлагает владельцу зараженного устройства установить его. В случае отказа вредоносная программа вновь пытается выполнить инсталляцию, каждые 20 секунд показывая то же самое диалоговое окно, – до тех пор, пока жертва не согласится установить скачанное приложение. Загружаемый и устанавливаемый троянцем файл является вредоносной программой
Все известные модификации троянца-загрузчика
Ваш Android нуждается в защите
Используйте Dr.Web
- Первый российский антивирус для Android
- Более 135 миллионов скачиваний только с Google Play
- Бесплатный для пользователей домашних продуктов Dr.Web
19.10 «Доктор Веб»: VPN-клиент для Android содержал троянца-загрузчика
19 октября 2018 года
Троянец, получивший имя
При запуске
После того как вредоносная программа скрывалась от пользователя, она незаметно скачивала с удаленного сервера apk-файл и сохраняла его на карту памяти. Затем она предлагала установить загруженное приложение до тех пор, пока пользователь не соглашался это сделать. Пример сообщения, которым
На момент анализа
Специалисты «Доктор Веб» оповестили корпорацию Google о найденной в Google Play опасной программе, после чего она была оперативно удалена из каталога.
Все описанные выше троянцы не представляют опасности для наших пользователей — антивирусные продукты Dr.Web для Android успешно детектируют и удаляют их с мобильных устройств.
#Android, #Google_Play, #вредоносное_ПО, #троянец
Ваш Android нуждается в защите
Используйте Dr.Web
- Первый российский антивирус для Android
- Более 135 миллионов скачиваний только с Google Play
- Бесплатный для пользователей домашних продуктов Dr.Web
18 октября 2018 года
Кибермошенник, известный в Интернете под вымышленными именами Investimer, Hyipblock и Mmpower, использует в своей деятельности широчайший набор самых распространенных сегодня на подпольном рынке коммерческих троянцев. Среди них — стилеры Eredel, AZORult, Kpot, Kratos, N0F1L3, ACRUX, Predator The Thief, Arkei, Pony. Также в арсенале злоумышленника замечен бэкдор Spy-Agent, разработанный на базе приложения TeamViewer, бэкдоры DarkVNC и HVNC, предназначенные для доступа к зараженному компьютеру по протоколу VNC, и еще один бэкдор, созданный на основе ПО RMS. Киберпреступник активно применяет загрузчик Smoke Loader, а ранее использовал Loader by Danij и троянца-майнера, имеющего встренный модуль для подмены содержимого буфера обмена (клипер). Управляющие серверы с административным интерфейсом Investimer держит на таких площадках как jino.ru, marosnet.ru и hostlife.net, при этом большинство из них работает под защитой сервиса Cloudflare с целью скрыть истинный IP-адрес этих сетевых ресурсов.
Investimer специализируется на мошенничестве с криптовалютами, преимущественно — с Dogecoin. Для реализации своих замыслов он создал множество фишинговых сайтов, копирующих реально существующие интернет-ресурсы. Один из них — поддельная криптовалютная биржа, для работы с которой якобы требуется специальная программа-клиент. Под видом этого приложения на компьютер жертвы скачивается троянец Spy-Agent.
Другой «стартап» того же кибермошенника — пул устройств для майнинга криптовалюты Dogecoin, который якобы сдается в аренду по очень выгодным ценам. Для работы с этим несуществующим в реальности пулом тоже якобы требуется специальное приложение-клиент, которое загружается на компьютер потенциальной жертвы в запароленном архиве. Наличие пароля не позволяет антивирусным программам проанализировать содержимое архива и удалить его еще на этапе скачивания. Внутри же, как несложно догадаться, прячется троянец-стилер.
Еще один созданный Investimer’ом мошеннический ресурс посвящен криптовалюте Etherium. Потенциальным жертвам мошенник предлагает вознаграждение за просмотр сайтов в Интернете, для чего им также предлагается установить вредоносную программу под видом специального приложения. Здесь троянец начинает загружаться автоматически при заходе посетителя на сайт. Кибермошенник даже озаботился написанием нескольких поддельных отзывов о работе этого сервиса.
Еще один способ сетевого мошенничества, который практикует Investimer, — организация онлайн-лотерей, призом в которых служит определенная сумма в криптовалюте Dogecoin. Разумеется, лотереи устроены таким образом, что выиграть в них стороннему участнику невозможно, заработать на этом может только сам организатор розыгрыша. Тем не менее, на момент написания этой статьи на сайте организованной Investimer’ом лотереи было зарегистрировано более 5800 пользователей.
Помимо проведения лотерей на одном из своих сайтов Investimer предлагает выплату вознаграждения в Dogecoin за просмотр веб-страниц с рекламой. Этот проект насчитывает более 11 000 зарегистрированных пользователей.
Разумеется, с сайта «партнера» на компьютер участника системы под видом плагина для браузера, позволяющего зарабатывать на серфинге в Интернете, незамедлительно скачивается бэкдор. Затем он обычно устанавливает на инфицированное устройство троянца-стилера.
Не брезгует Investimer и традиционным фишингом. Созданный им веб-сайт якобы предлагает вознаграждение за привлечение новых пользователей в платежную систему Etherium, однако на самом деле собирает введенную пользователями при регистрации информацию и передает ее злоумышленнику.
Помимо перечисленных выше способов криминального заработка, Investimer попытался скопировать официальный сайт cryptobrowser.site. Создатели оригинального проекта разработали специальный браузер, который в фоновом режиме добывает криптовалюту в процессе просмотра пользователем веб-страниц. Подделка, которую создал Investimer, выполнена не слишком качественно: часть графики на сайте не отображается вовсе, в тексте лицензионного соглашения фигурирует адрес электронной почты настоящих разработчиков, а троянец, которого жертва получает под видом браузера, загружается с ресурса, расположенного на другом домене. На следующей иллюстрации показан поддельный сайт, созданный Investimer’ом (слева), в сравнении с оригинальным (справа).
Investimer был замечен в реализации и других схем сетевого жульничества – в частности онлайн-игр, построенных по принципу финансовой пирамиды. Собранную с при помощи троянцев-стилеров информацию этот злоумышленник использует преимущественно для хищения криптовалюты и денег, которые его жертвы хранят в кошельках различных электронных платежных систем. Примечательно, что в административной панели, с использованием которой Investimer управляет доступом к взломанным компьютерам, запись о каждой своей жертве он снабжает непристойными комментариями, процитировать которые мы не можем по цензурным соображениям.
В целом используемая киберпреступником схема обмана пользователей Интернета такова. Потенциальную жертву различными методами заманивают на мошеннический сайт, для использования которого требуется скачать некую программу-клиент. Под видом этого клиента жертва загружает троянца, который по команде злоумышленника устанавливает на компьютер другие вредоносные программы. Такие программы (в основном троянцы-стилеры) похищают с зараженного устройства конфиденциальную информацию, с помощью которой жулик затем крадет с их счетов криптовалюту и деньги, хранящиеся в различных платежных системах.
Аналитики «Доктор Веб» полагают, что общее количество пользователей, пострадавших от противоправной деятельности Investimer’а, превышает 10 000 человек. Ущерб, нанесенный злоумышленником своим жертвам, наши специалисты оценивают в более чем 23 000 долларов США. К этому следует добавить более 182 000 в криптовалюте Dogecoin, что по нынешнему курсу составляет еще порядка 900 долларов.
Адреса всех созданных Investimer’ом веб-сайтов были добавлены в базы Dr.Web SpIDer Gate, все используемые им вредоносные программы успешно детектируются и удаляются нашим Антивирусом.
Полный список индикаторов компрометации можно посмотреть по ссылке https://github.com/DoctorWebLtd/malware-iocs/tree/master/investimer.
#криминал #криптовалюты #майнинг #мошенничество
08.10 Мошенники завлекают пользователей AliExpress в поддельные интернет-магазины
8 октября 2018 года
Эти сообщения оформлены с использованием логотипа и фирменного стиля компании Alibaba Group, которой принадлежит интернет-магазин AliExpress. Письма содержат обращение к получателю по имени – вероятно, отправители считают, что это должно усыпить его бдительность. Аналитики «Доктор Веб» полагают, что информацию о реальных клиентах AliExpress мошенники могли получить, воспользовавшись купленной или украденной базой данных одного из многочисленных кэшбек-сервисов. В письме говорится о том, что адресат ранее являлся активным покупателем на сайте AliExpress, приобретал там товары и оставлял отзывы, в связи с чем ему предоставляется доступ к особому интернет-магазину с многочисленными скидками и подарками.
Ссылка в письме ведет на веб-сайт, оформленный в виде интернет-магазина. На самом же деле при попытке приобрести здесь какой бы то ни было товар пользователь перенаправляется на другие торговые площадки. Многие из них ранее были замечены в мошеннических действиях, таких как отправка клиентам покупок, не соответствующих описанию, или перепродажа по завышенным ценам низкокачественных подделок популярных товаров, в связи с чем адреса этих ресурсов уже присутствуют в соответствующих базах Родительского и Офисного контроля Dr.Web.
Более того, проведенное сотрудниками «Доктор Веб» экспресс-расследование показало, что по указанному на сайте мошеннического «интернет-магазина» московскому адресу расположено здание школы, а компании с таким ИНН не существует в природе. Также на сайте отсутствует какая-либо информация о способах получения или доставки заказа, а в качестве контактного предложен адрес электронной почты, зарегистрированный на бесплатном сервисе mail.ru.
Специалисты компании «Доктор Веб» советуют пользователям перед совершением покупок на незнакомых сайтах выполнить следующие несложные действия:
- проверьте указанный на странице «О компании» адрес с помощью онлайн-карт, сервиса «Панорамы улиц» от Яндекса, или Google Street View — вполне возможно, вместо офисного центра или торгового комплекса там окажется школа, автостоянка или свалка мусора;
- проверьте указанный на сайте ИНН — существует ли такая фирма и совпадает ли ее название с владельцем интернет-магазина. Для российских компаний это можно сделать бесплатно с помощью специального онлайн-сервиса Федеральной налоговой службы;
- убедитесь в том, что на сайте интернет-магазина подробно описаны способы оплаты и получения товара, приведены варианты его доставки и указаны соответствующие тарифы;
- обратите внимание на опубликованную на сайте контактную информацию: вряд ли серьезная компания будет пользоваться адресами электронной почты, зарегистрированными в бесплатных сервисах.
25.09 Банковский троянец угрожает клиентам бразильских кредитных организаций
25 сентября 2018 года
Троянец, добавленный в вирусные базы Dr.Web под именем
Вредоносная программа пытается определить, не запущена ли она в виртуальной среде, при обнаружении виртуальной машины она завершает свою работу. Также банкер отслеживает локальные языковые настройки Windows — если язык системы отличается от португальского, троянец не выполняет никаких действий.
Модуль загрузчика
Когда пользователи открывают в окне браузера сайты интернет-банков ряда бразильских финансовых организаций,
Подобную схему с подменой содержимого просматриваемых пользователем веб-страниц систем «банк-клиент» используют многие банковские троянцы. Зачастую они угрожают клиентам кредитных организаций не только в Бразилии, но и по всему миру. За последний месяц специалисты «Доктор Веб» выявили более 340 уникальных образцов
#банкер #банковский_троянец #троянец
30.08 «Доктор Веб» выявил в Google Play 130 мошеннических приложений
30 августа 2018 года
Одну из обнаруженных вредоносных программ, получившую имя
Этот троянец открывает один из фишинговых сайтов, на котором пользователю предлагается скачать ту или иную известную программу либо сообщается о выигрыше ценного приза. У потенциальной жертвы мошенничества запрашивается номер мобильного телефона, якобы необходимый для получения проверочного кода. Однако на самом деле этот код нужен для подтверждения подписки на платную услугу, за использование которой каждый день будет взиматься плата. Если же зараженное устройство подключено к Интернету через мобильное соединение, то после ввода номера телефона на таком сайте владелец Android-смартфона или планшета подписывается на премиум-услугу автоматически. Примеры мошеннических веб-страниц, которые загружает
Кроме того, среди выявленных в августе вредоносных программ, которые распространялись через каталог Google Play, стоит отметить множество других модификаций троянцев семейства
После запуска эти троянцы соединяются с управляющим сервером и получают от него команду на загрузку того или иного сайта, который демонстрируется пользователю. В настоящее время указанные вредоносные программы открывают официальные страницы букмекерских фирм, при этом название троянского приложения никак не влияет на загружаемый сайт. Кроме того, в любой момент управляющий сервер способен отдать троянцам команду на загрузку произвольного веб-ресурса, в том числе мошеннического или вредоносного онлайн-портала, с которого на Android-устройство могут загружаться другие вредоносные программы. Именно поэтому эти троянцы представляют серьезную опасность.
Наконец, другой троянец-мошенник, обнаруженный в уходящем месяце, скрывался в приложении с именем «Опрос». Он был добавлен в вирусную базу как
При запуске
После ответа на несколько таких вопросов владельцу мобильного устройства обещали вознаграждение в размере десятков или даже сотен тысяч рублей. При этом тут же его предупреждали, что якобы из-за лимита платежных систем перевод этих средств будет выполнен несколькими частями в течение определенного промежутка времени. Однако для того, чтобы моментально получить честно заработанное, жертве необходимо всего лишь выполнить некий идентификационный платеж в размере 100–200 рублей, который якобы подтвердит личность «счастливчика». В этом и заключается смысл описанного мошенничества: жертва обмана добровольно отдает свои деньги интернет-жуликам, ожидая получить обещанное вознаграждение, однако никаких баснословных выплат она, конечно же, никогда не увидит. Специалисты компании «Доктор Веб» оповестили корпорацию Google об этом вредоносном приложении, и в настоящее время оно недоступно для загрузки.
Для отъема денег у владельцев мобильных устройств и получения иной выгоды злоумышленники применяют всевозможные уловки, а также изобретают всё новые мошеннические схемы. Компания «Доктор Веб» напоминает, что устанавливать приложения даже из каталога Google Play необходимо с осторожностью. Стоит обращать внимание на имя разработчика, дату публикации интересующей программы, а также отзывы других пользователей. Эти простые действия помогут снизить риск заражения смартфонов и планшетов. Кроме того, для защиты Android-устройств пользователям следует установить антивирусные продукты Dr.Web для Android, которые успешно детектируют и удаляют все известные вредоносные и нежелательные программы.
Подробнее об Android.Click.265.origin
Подробнее об Android.Click.248.origin
Подробнее об Android.FakeApp.110
#Android, #мошенничество, #Google_Play, #троянец
22.08 Мошенники угрожают администраторам доменов
22 августа 2018 года
По всей видимости, для реализации своего замысла злоумышленники каким-то образом раздобыли базу адресов электронной почты администраторов доменов — клиентов компании «Региональный Сетевой Информационный Центр» (RU-CENTER). Администраторы доменов, срок делегирования которых подходит к концу, стали получать по электронной почте сообщения якобы от имени этой компании. В письмах сообщалось об окончании оплаченного периода регистрации доменного имени, а также о том, что администратор должен оплатить услугу продления домена в течение одного рабочего дня с момента получения письма, иначе этот домен будет исключен из реестра.
В сообщении содержится ссылка, ведущая на взломанный сайт. Установленный на этом сайте PHP-сценарий перенаправляет потенциальную жертву на специальную страницу платежной системы Яндекс.Деньги, позволяющую перевести денежные средства на электронный кошелек с номером 410015920079912.
Компания «Доктор Веб» предупреждает о том, что эти сообщения являются мошенническими, и призывает администраторов доменов не терять бдительность. Адрес содержащего вредоносный сценарий сайта был добавлен в базы нерекомендуемых веб-страниц Родительского и Офисного контроля Dr.Web, а компании «Яндекс» и «Региональный Сетевой Информационный Центр» (RU-CENTER) проинформированы об этом инциденте.
#мошенническое_письмо #мошенничество #спам
07.08 «Доктор Веб» обнаружил троянца-клипера для Android
7 августа 2018 года
Троянцев, способных незаметно подменять номера электронных кошельков в буфере обмена, чтобы отправляемые деньги поступали не получателю, а злоумышленникам, принято называть «клиперами» (от термина clipboard, «буфер обмена»). До недавнего времени такие вредоносные программы досаждали в основном пользователям Windows. Аналогичные по возможностям троянцы для Android в «дикой природе» встречаются редко. В августе 2018 года в вирусные базы Dr.Web были добавлены записи для детектирования двух модификаций троянца-клипера
При запуске на инфицированном устройстве троянец выводит поддельное сообщение об ошибке и продолжает работу в скрытом режиме. Он скрывает свой значок из списка приложений главного экрана операционной системы, после чего вредоносную программу можно увидеть только в системных настройках мобильного устройства в разделе управления установленным ПО. Далее обе модификации
После успешного заражения Android-устройства троянец начинает отслеживать изменение содержимого буфера обмена. Если
Автор
В своих рекламных сообщениях вирусописатель заявляет о возможности отправки отчетов о работе вредоносной программы в приложение Telegram и оперативной смены номеров кошельков, внедряемых в буфер обмена, с использованием протокола FTP. Однако в самом троянце эти функции не реализованы. Описанные возможности предоставляет киберпреступникам сам управляющий сервер.
Антивирусные продукты Dr.Web для Android обнаруживают и удаляют все известные модификации троянцев семейства
Подробнее об Android.Clipper.1.origin
Подробнее об Android.Clipper.2.origin
#Android #биткойн #криптовалюты
