Kilka dni temu Microsoft wydał swój „krytyczny” biuletyn bezpieczeństwa MS16-120 zawierający poprawki dla luk w zabezpieczeniach systemu Microsoft Windows oraz aplikacji Microsoft Office, Skype for Business, Silverlight i Microsoft Lync. 

Jedna z luk - CVE-2016-3393 - została zgłoszona firmie Microsoft przez Kaspersky Lab we wrześniu 2016 roku.

Przedstawiamy kilka informacji odnośnie wykrycia tej luki dnia zerowego. Kilka miesięcy temu wdrożyliśmy do naszych produktów nowy zestaw technologii pozwalających na identyfikowanie i blokowanie ataków dnia zerowego. Technologie te udowodniły swoją skuteczność już wcześniej tego roku, gdy wykryliśmy dwa exploity dnia zerowego dla Adobe Flash - CVE-2016-1010 oraz CVE-2016-4171. Z ich pomocą zidentyfikowane zostały również dwa exploity EoP (podnoszące uprawnienia w zainfekowanym systemie) dla systemu Windows. Jeden to CVE-2016-0165, drugi to CVE-2016-3393.

Jak większość exploitów dnia zerowego, które są obecnie wykrywane na wolności, CVE-2016-3393 jest wykorzystywany przez ugrupowanie APT, które określamy jako FruityArmor. FruityArmor jest nieco nietypowym ugrupowaniem ze względu na to, że wykorzystuje platformę ataków, która opiera się całkowicie na PowerShell. Główny implant szkodliwego oprogramowania tej grupy jest napisany w PowerShell, a wszystkie polecenia operatorów również są wysyłane w postaci skryptów PowerShell.

W raporcie tym opiszemy lukę w zabezpieczeniach, jaka została wykorzystana przez omawiane ugrupowanie w celu zwiększenia przywilejów na maszynie ofiary. Nie zostaną opublikowane wszystkie szczegóły dotyczące tej luki z uwagi na ryzyko wykorzystania ich przez cyberprzestępców w swoich atakach.

W skrócie

• Backdoor.OSX.Mokes to niedawno wykryty wariant wieloplatformowego backdoora dla systemu OS X, który potrafi działać na wszystkich głównych systemach operacyjnych  (Windows, Linux, OS X). Dostępna jest również nasza analiza dotycząca wariantów dla systemu Windows i Linux.
• Opisywana rodzina szkodliwego oprogramowania potrafi kraść różne rodzaje danych z maszyny ofiary (zrzuty ekranu, przechwycone dane audio/wideo, dokumenty biurowe, uderzenia klawiszy)
• Backdoor potrafi również wykonywać losowe polecenia na komputerze ofiary  
• W celu komunikacji wykorzystuje mocne szyfrowanie AES­256­CBC

Informacje wprowadzające

W styczniu tego roku zidentyfikowaliśmy nową rodzinę backdoorów wieloplatformowych stworzonych dla środowisk desktopowych. Po wykryciu binariów dla systemów Linux i Windows w końcu trafiliśmy na wersję Mokes.A, stworzoną dla systemu OS X. Została ona napisana w języku C++ przy użyciu...

Podczas badania szkodliwego programu o nazwie Lurk na początku lutego 2016 r. wykryliśmy ciekawą rzecz dotyczącą sposobu rozprzestrzeniania się tego trojana bankowego. Z posiadanych przez nas danych wynikało, że użytkownicy zaatakowani przez trojana Lurk zainstalowali na swoich komputerach również oprogramowanie zdalnej administracji Ammyy Admin. Na początku nie poświęciliśmy temu wiele uwagi, jednak dalsze badanie pokazało, że oficjalna strona internetowa z oprogramowaniem Ammyy Admin została najprawdopodobniej zhakowana, a opisywany trojan został pobrany na komputery użytkowników wraz z legalnym oprogramowaniem Ammyy Admin.

Okazało się, że na oficjalnej stronie oprogramowania Ammyy Admin (które jest wykorzystywane w celu uzyskania zdalnego dostępu do pulpitu) znajdował się instalator, który nie posiadał podpisu cyfrowego, oraz archiwum NSIS. W momencie uruchomienia tego archiwum w folderze tymczasowym zostały utworzone...

Marzenia cyberprzestępcy

Można wyróżnić dwie zasadnicze cechy systemu ochrony Android OS:

1. bez wiedzy użytkownika nie można pobrać pliku na niezainfekowane urządzenie;
2. bez wiedzy użytkownika nie można inicjować instalacji aplikacji osób trzecich.

To znacząco komplikuje życie twórcom szkodliwego oprogramowania: aby zainfekować urządzenie mobilne, muszą uciekać się do forteli socjotechniki. Ofiara jest dosłownie wmanewrowywana w zainstalowanie trojana. Z pewnością nie zawsze jest to możliwe, ponieważ użytkownicy stają się coraz bardziej świadomi i nie tak łatwo jest ich zmylić.

Niewidoczna instalacja szkodliwej aplikacji na urządzeniu mobilnym bez wiedzy użytkownika to bez wątpienia marzenie wielu twórców szkodliwego oprogramowania. Aby tego dokonać, należy znaleźć i wykorzystać lukę w systemie Android. Takie luki zostały już zidentyfikowane: mowa tu o CVE-2012-6636, CVE-2013-4710 i CVE-2014-1939.

Luki te...

Dzieci wykorzystują Internet do takich celów jak: odrabianie pracy domowej, nawiązywanie i utrzymywanie kontaktów towarzyskich, oglądanie filmów i kreskówek, granie w gry itd. Ale, jak wiadomo, surfowanie po sieci może być niebezpieczne. W celu sprawowania kontroli nad aktywnością online swoich dzieci wielu rodziców wykorzystuje wyspecjalizowane oprogramowanie - tzw. kontrolę rodzicielską.

Takie oprogramowanie potrafi zwykle "pilnować", jak długo dziecko przebywa online lub korzysta z komputera, jakie aplikacje mogą być uruchamiane i jakie prywatne dane - ujawniane. Jednak jedną z najważniejszych funkcji kontroli rodzicielskiej jest możliwość ograniczania dostępu do zasobów sieciowych zawierających niepożądane treści.

W artykule tym zbadano statystyki dotyczące stron internetowych zawierających treści określonej kategorii odwiedzanych przez dzieci. W tym celu wykorzystane zostaną statystyki Kaspersky Security...

Telefony komórkowe. Dzisiaj to nasi wierni towarzysze, nasi powiernicy. Wiedzą wszystko o naszym codziennym życiu. Każdego dnia, gdy jesteśmy w drodze do lub z pracy, czy po prostu spacerujemy po mieście, telefony komórkowe gromadzą te informacje. Robimy zdjęcia, dzielimy się naszymi wrażeniami na portalach społecznościowych, wysyłamy wiadomości związane z pracą i prywatne, wysyłamy SMSy i dzwonimy. Wszystko to sprawia, że nasze smartfony to cenny łup dla złodziei danych.

A my jesteśmy przekonani, że nikt niepowołany nie będzie miał dostępu do wszystkich informacji przechowywanych w naszym telefonie.

Producenci zapewniają nas, że ich urządzenia i przechowywane na nich dane są bezpieczne. Publikują aktualizacje zawierające łaty bezpieczeństwa.

My również podejmujemy pewne działania, aby chronić naszą prywatność. Użytkownicy, którzy lubią „majstrować”, instalują niestandardowy firmware, odkrywają...

Siedem lat temu, w 2009 roku, zauważyliśmy całkowicie nowy typ ataków na banki. Zamiast infekować komputery tysięcy użytkowników na całym świecie, przestępcy postawili bezpośrednio na bankomat – infekując go szkodliwym oprogramowaniem o nazwie Skimer. Siedem lat później nasz Globalny Zespół ds. Badań i Analiz (GReAT), wraz z grupą odpowiedzialną za testy penetracyjne, został wezwany do reakcji na incydent. W efekcie, została wykryta nowa, udoskonalona wersja Skimera.

Infekcje w stylu wirusów

Przestępcy często zaciemniali swoje szkodliwe oprogramowanie przy użyciu pakerów, aby utrudnić analizę badaczom. W ten sposób postępowali również przestępcy stojący za Skimerem, wykorzystując komercyjnie dostępnego pakera o nazwie Themida, który kompresuje zarówno infektora jak i droppera.   

Po tym, jak szkodliwe oprogramowanie zostanie wykonane, sprawdza, czy system plików to FAT32. Jeśli tak, wrzuca plik netmgr.dll do...