Вопросы кибербезопасности

MetaStealer пытается выдать себя за сертификат Минцифры


Специалисты компании FACCT (бывшая Group-IB) предупредили, что перехватили фишинговые письма, отправленные якобы от лица Минцифры.

В этих посланиях жертвам предлагается срочно установить сертификат безопасности Минфицры, а иначе у них якобы возникнут проблемы с доступом к онлайн-банкингу и «Госуслугам». На деле под видом сертификата распространяется стилер MetaStealer (вариация малвари RedLine).

«Министерство цифрового развития РФ сообщает, что с 30.01.2024 у пользователей не установивших на свои операционные системы сертификаты НУЦ Минцифры РФ, могут возникнуть проблемы с доступом, вплоть до полного его отсутствия, к таким сервисам как: Госуслуги, онлайн банкинг, государственные ресурсы, и ряд других российских сервисов», — гласит мошенническое письмо (орфография и пунктуация сохранены).

mail.jpg

При этом исследователи отмечают, что это письмо, в отличие от большинства вредоносных рассылок, составлено довольно грамотно и оформлено таким образом, чтобы вызвать доверие у жертвы.

При этом кнопка «Скачать», которую можно увидеть на скиншоте выше, указывает на архив с загрузчиком, который в итоге приводит к скачиванию стилера MetaStealer, а тот похищает у жертвы различные данные.

Так, в тексте письма присутствует ссылка, при переходе по которой загружается архив russian_trusted_ca_ms.cer.rar (sha1: 242fb5d530c4da533bac43ef6d4e26af7e080adb) с вредоносного ресурса hXXps://wb4o[.]com/click?key=667d6c67929b40aa205b&sub1=user@example[.]ru, где вместо user@example[.]ru указывается реальный адрес электронной почты потенциальной цели атаки.

В самом архиве содержатся два одинаковых исполняемых файла: russian_trusted_root_ca.cer.exe и russian_trusted_sub_ca.cer.exe (sha1: 5244539842ff4a2e58331aa6a825deb6246da8ee), которые и маскируются под сертификат безопасности.

Кроме того, при рассылке этих писем-приманок атакующие использовали спуфинг, то есть технику, которая позволяет подделать почту отправителя и создать видимость, что письмо пришло с легитимного адреса.

В FACCT пишут, что в последнее время MetaStealer часто использовала кибершпионская группировка Sticky Werewolf. Однако за новыми рассылками, судя по технике, стоят другие злоумышленники, ведь стилер продается в свободном доступе.

===
Источник: xakep.ru
 
Сценарии атак зачастую начинаются примерно одинаково, вне зависимости от целей и мотивов злоумышленников. В качестве подготовительного этапа атакующие всегда проводят рекогносцировку (Reconnaissance), то есть собирают и изучают общедоступные сведения о компании, ее сотрудниках, сервисах и доступных ресурсах.
Затем злоумышленники пытаются получить первоначальный доступ (Initial Access) в инфраструктуру компании — например обнаружив и проэксплуатировав уязвимый сервис на сетевом периметре компании или проведя успешную фишинговую кампанию в отношении сотрудников компании.
Еще один способ попасть во внутреннюю сеть компании — применить методы социальной инженерии к ее сотрудникам. К примеру, злоумышленники могут направить им фишинговое сообщение, содержащее вредоносное вложение или ссылку на мошеннический сайт.
С этим и другими способами проникновения во внутреннюю сеть компании подробнее можно ознакомиться в соответствующем разделе матрицы MITRE ATT&CK®.
После получения первоначального доступа злоумышленники стараются разместить в инфраструктуре вредоносное ПО для удаленного подключения к их управляющим серверам (Command & Control) и обеспечения постоянного доступа (Persistence). В качестве примеров можно выделить фреймворки Sliver и Cobalt Strike. Как правило, уже на этом этапе атаки встает вопрос ухода от детектирования средствами защиты с целью сокрытия вредоносной активности. Для подобных целей используется разнообразное ПО, в основном направленное на противодействие статическому анализу (Defense Evasion).
В подавляющем большинстве случаев после проникновения в инфраструктуру злоумышленники проводят хостовую и сетевую или доменную разведку (Discovery) — как правило, на протяжении всего своего пребывания в инфраструктуре жертвы. В результате они могут, например, получать списки процессов, пользователей и их привилегий, перехватывать запросы, получать доступ к базам данных, содержащим конфиденциальную информацию, информацию о структуре объектов Active Directory и другие данные.
Освоившись в инфраструктуре, киберпреступники стараются повысить привилегии (Privilege Escalation), к примеру получив доступ к учетной записи администратора домена. Сделать это можно различными способами, например с помощью извлечения из памяти процесса lsass.exe хэшей паролей. Они могут быть использованы в атаке типа Pass the Hash, что в дальнейшем позволит получить доступ к доменному контроллеру. Привилегированный доступ позволяет киберпреступникам беспрепятственно перемещаться по инфраструктуре компании (Lateral Movement) и распространять вредоносное ПО, соответствующее их целям.
После того как злоумышленники убедились в эффективности распространения своего влияния при помощи полученных привилегий, начинают проявляться вариации в их поведении в зависимости от целей.

Источник: материалы зарубежной печати, в частности, использованные при написании собственной дипломной работы.
 
Сценарии атак зачастую начинаются примерно одинаково, вне зависимости от целей и мотивов злоумышленников. В качестве подготовительного этапа атакующие всегда проводят рекогносцировку (Reconnaissance), то есть собирают и изучают общедоступные сведения о компании, ее сотрудниках, сервисах и доступных ресурсах.
Затем злоумышленники пытаются получить первоначальный доступ (Initial Access) в инфраструктуру компании — например обнаружив и проэксплуатировав уязвимый сервис на сетевом периметре компании или проведя успешную фишинговую кампанию в отношении сотрудников компании.
Еще один способ попасть во внутреннюю сеть компании — применить методы социальной инженерии к ее сотрудникам. К примеру, злоумышленники могут направить им фишинговое сообщение, содержащее вредоносное вложение или ссылку на мошеннический сайт.
С этим и другими способами проникновения во внутреннюю сеть компании подробнее можно ознакомиться в соответствующем разделе матрицы MITRE ATT&CK®.
После получения первоначального доступа злоумышленники стараются разместить в инфраструктуре вредоносное ПО для удаленного подключения к их управляющим серверам (Command & Control) и обеспечения постоянного доступа (Persistence). В качестве примеров можно выделить фреймворки Sliver и Cobalt Strike. Как правило, уже на этом этапе атаки встает вопрос ухода от детектирования средствами защиты с целью сокрытия вредоносной активности. Для подобных целей используется разнообразное ПО, в основном направленное на противодействие статическому анализу (Defense Evasion).
В подавляющем большинстве случаев после проникновения в инфраструктуру злоумышленники проводят хостовую и сетевую или доменную разведку (Discovery) — как правило, на протяжении всего своего пребывания в инфраструктуре жертвы. В результате они могут, например, получать списки процессов, пользователей и их привилегий, перехватывать запросы, получать доступ к базам данных, содержащим конфиденциальную информацию, информацию о структуре объектов Active Directory и другие данные.
Освоившись в инфраструктуре, киберпреступники стараются повысить привилегии (Privilege Escalation), к примеру получив доступ к учетной записи администратора домена. Сделать это можно различными способами, например с помощью извлечения из памяти процесса lsass.exe хэшей паролей. Они могут быть использованы в атаке типа Pass the Hash, что в дальнейшем позволит получить доступ к доменному контроллеру. Привилегированный доступ позволяет киберпреступникам беспрепятственно перемещаться по инфраструктуре компании (Lateral Movement) и распространять вредоносное ПО, соответствующее их целям.
После того как злоумышленники убедились в эффективности распространения своего влияния при помощи полученных привилегий, начинают проявляться вариации в их поведении в зависимости от целей.

Источник: материалы зарубежной печати, в частности, использованные при написании собственной дипломной работы.
Собственная ДР это не источник а аналитическое обозрение.
Источником будет когда на вас ссылаться будут.
 

AnyDesk взломали хакеры — похищены исходники и ключи для подписи кода

196.jpg


Компания AnyDesk объявила, что недавно подверглась кибератаке, в ходе которой злоумышленникам удалось получить доступ к производственным системам компании. По данным источника, хакеры украли исходный код ПО и ключи для подписи кода.
Напомним, компания AnyDesk является разработчиком одноимённого решения для удалённого управления рабочими столами. Приложение пользуется большой популярностью в корпоративной среде. По данным AnyDesk, компания имеет более 170 тыс. клиентов по всему миру, включая Samsung, NVIDIA, Siemens и др.
Согласно имеющимся данным, специалисты AnyDesk обнаружили взлом после выявления подозрительной активности во внутренних системах компании. Проведя аудит безопасности, они определили, что внутренние системы были скомпрометированы неизвестными. Для расследования инцидента были привлечены специалисты компании CrowdStrike, работающей в сфере информационной безопасности.
В компании подтвердили, что хакерская атака не связана с вымогательским программным обеспечением. AnyDesk не предоставила подробную информацию об инциденте, упомянув лишь о том, что были взломаны внутренние серверы. Компания уже отозвала все связанные с безопасностью сертификаты, а также восстановила затронутые инцидентом системы.
Клиентов компании заверили в том, что использовать AnyDesk безопасно, и нет доказательств того, что инцидент затронул конечные пользовательские устройства. «Мы можем подтвердить, что ситуация находится под контролем, и использовать AnyDesk безопасно. Пожалуйста, убедитесь в том, что вы используете последнюю версию приложения с новым сертификатом подписи кода», — говорится в сообщении компании.
Хотя AnyDesk не уточнила подробности касательно инцидента, источник сообщил, что хакерам удалось похитить исходный код ПО и сертификаты для подписи кода. В заявлении компании отмечается, что злоумышленникам не удалось украсть токены аутентификации, но из соображений безопасности компания сбросила все пароли к своему веб-порталу, предложив пользователям их смену. В дополнение к этому AnyDesk уже начала заменять сертификаты подписи кода в своих продуктах.

===
Источник: 3DNews
 

Завершен первый этап создания государственной антивирус-системы "Мультисканер"


840px-Rspectr-adobe-stock-dlya-antivirusov-1.jpg


Цель проекта - самостоятельное выявление вирусов, без предоставления информации "супостату", заявили в Минцифры.

В России завершился первый этап создания системы противодействия вредоносному софту и выявлению уязвимостей "Мультисканер", сообщил на "Инфофоруме-2024" замминистра цифрового развития, связи и массовых коммуникаций Александр Шойтов.
По его словам, работа по проекту будет продолжаться в 2024 году.
"В итоге должна появиться единая национальная система противодействия вредоносному программному обеспечению, которая будет использовать как в государственных информационных системах, так и будет доступна всем гражданам", - сказал он.
"Можно сказать, что определенный аналог американской системы VirusTotal, которую они предоставляют гражданам всего мира. И многие, граждане всех стран мира, в том числе, может быть, и российские, имея подозрение на вирус, отправляют свои файлы на анализ за рубеж", - добавил он.
По словам Шойтова, "если мы будем иметь свою систему, то сможем качественно выявлять вирусы", а также "не будем супостату нашему предоставлять соответствующую информацию". Он назвал создание этой системы перспективным проектом и значимой задачей.
Первое сканирование Рунета в июне 2023 года показало, что почти четверть российских IP-адресов являются потенциально уязвимыми для хакерских атак; для постоянного мониторинга отечественного сегмента Глобальной сети создается система по поиску уязвимостей "Сканер", сообщил директор Центра мониторинга и управления сети связи общего пользования (ЦМУ ССОП) Сергей Хуторцев на форуме "Спектр" в конце октября прошлого года.
Он предположил тогда, что "первые результаты ее работы будут к концу года". "Мы уже начнём взаимодействие с операторами связи при плотном участии регуляторов в области информационной безопасности. Попытаемся сделать российский интернет чище, это цель этой системы", - сказал он.
Кроме того, собранный объем информации, в частности о том, какие сервисы находятся на IP-адресах, какие сервисы находились там раньше, позволит, отметил Хуторцев, "построить некий репутационный режим и сделать репутационную базу IP-адресов, которую можно будет принимать во внимание при мероприятиях в области информационной безопасности, обеспечении защиты объектов КИИ и других социально значимых ресурсов".

===
Источник: Интерфакс
 

Смартфон нужно выключать как минимум раз в неделю - АНБ дало рекомендации по защите от кибератак


Агентство национальной безопасности США (АНБ) предупредило о растущих угрозах безопасности мобильных устройств. Регулярное выключение телефона, отключение Bluetooth, когда он не нужен, и использование только надежных аксессуаров — это лишь некоторые рекомендации, которые дала спецслужба.

Мобильные устройства, такие как смартфоны и планшеты, стали неотъемлемой частью нашей повседневной жизни. Однако вместе с удобством, которое они предоставляют, эти гаджеты также открывают новые возможности для киберпреступников. Как передаёт ресурс Zdnet, в своем последнем отчете «Лучшие практики для мобильных устройств» Агентство национальной безопасности США предупреждает о растущих угрозах кибератак на мобильные устройства и даёт рекомендации по их защите.

Согласно АНБ, мобильные устройства уязвимы для различных кибератак, включая фишинг, вредоносные приложения, перехват трафика и удаленный доступ. Особенно опасны целевые фишинговые атаки, направленные на заражение устройства вредоносным ПО. Для защиты АНБ рекомендует пользователям выключать и включать свои смартфоны и планшеты минимум один раз в неделю. Это позволит очистить оперативную память устройства и затруднит злоумышленникам сбор конфиденциальных данных.

Однако выключение устройства не гарантирует 100 % защиты. Поэтому АНБ также советует:
  • Своевременно устанавливать обновления безопасности для приложений и операционной системы.
  • Загружать приложения только из официальных магазинов приложений.
  • Не переходить по ссылкам и не открывать вложения в сообщениях от неизвестных отправителей.
  • Избегать использования общедоступных Wi-Fi сетей.
  • Отключать Bluetooth, когда он не используется.
  • Использовать надежные пароли и биометрическую аутентификацию.
  • Подключать устройство только к проверенным аксессуарам и зарядным устройствам.
  • Отключать службы определения местоположения, когда они не нужны.
Для дополнительной защиты также рекомендуется установить специализированные приложения для сканирования устройства на наличие уязвимостей и вредоносного ПО, например Zdnet советует iVerify.

По словам экспертов АНБ, угрозы безопасности мобильных устройств будут только возрастать. Поэтому пользователям необходимо предпринимать активные меры защиты своих личных и платежных данных от хакеров, в руках которых сегодня имеется большой арсенал инструментов по взлому и фишингу мобильных устройств. Выполнение этих рекомендаций поможет существенно снизить риски и избежать многих кибератак.

Источник: 3dnews.ru
 

Путин запретил пользоваться услугами в сфере кибербезопасности из недружественных стран с 2025 года


Президент РФ Владимир Путин утвердил поправки к указу «О дополнительных мерах по обеспечению информационной безопасности РФ» от 1 мая 2022 года, которыми был расширен перечень ограничений по использования технологий компаний из недружественных стран.

Согласно документу, размещённому на портале для официального опубликования правовых актов, в дополнение к установленному ранее запрету на использование государственными структурами, госкорпорациями и субъектами критической информационной инфраструктуры (КИИ) с 2025 года систем защиты информации (СЗИ) из недружественных стран и их компаний, указом теперь также запрещается этим структурам «пользоваться сервисами (работами, услугами) по обеспечению информационной безопасности», предоставляемыми организациями из недружественных стран/

Также поправками, вступившими в силу 13 июня, предлагается установить требования к центрам госсистемы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), определить порядок их аккредитации и её приостановления.

Как сообщил ТАСС глава группы по сопровождению GR-проектов ГК «Солар» (структура «Ростелекома») Андрей Медунов, эти изменения позволят регламентировать процедуру аккредитации центров ГосСОПКА и обеспечить эффективный контроль за их деятельностью. По его словам, все изменения являются своевременными и логичными, и они помогут повышению киберустойчивости экономики РФ и технологической независимости ИБ-отрасли.

Источник: /3dnews.ru/
 

В драйвере Wi-Fi для Windows нашли уязвимость, позволяющую удалённый запуск кода без участия пользователя​


В реализации Wi-Fi в Windows обнаружена уязвимость с рейтингом опасности 8,8 из 10 (высокая), подтвердила Microsoft. Для эксплуатации уязвимости за номером CVE-2024-30078 потенциальному злоумышленнику не нужен непосредственный доступ к компьютеру жертвы или какие-либо действия с её стороны — достаточно находиться неподалёку.

Эксплуатация уязвимости позволяет злоумышленнику без аутентификации удалённо запускать код на машине жертвы — связанная с безопасностью ошибка драйвера Wi-Fi затрагивает все поддерживаемые версии Windows. Даже без особых условий доступа потенциальный хакер может добиваться «повторяющегося успеха против уязвимого компонента», сообщили в Microsoft. Перед осуществлением атаки не требуются ни аутентификация, ни доступ к настройкам и файлам на компьютере жертвы. От пользователя целевого устройства никаких действий тоже не требуется: не нужно нажимать на какие-либо ссылки, открывать картинки или запускать исполняемые файлы.

Особую угрозу уязвимость создаёт в окружениях с высокой плотностью клиентских устройств, в том числе отели, торговые выставки или другие места с многочисленными подключениями к сетям Wi-Fi — в подобных условиях киберпреступник может с лёгкостью атаковать пользователей, не поднимая лишнего шума, говорят эксперты. Для защиты рекомендуется установить последние обновления Windows; пользователям неподдерживаемых версий системы в отсутствие возможности её смены следует рассмотреть возможность использовать дополнительные средства безопасности на уровне сети — брандмауэры и системы обнаружения вторжений. Эксперты также сходятся во мнении, что в ближайшее время появится общедоступный эксплойт уязвимости.

Источник: 3dnews.ru
 
Отправить электронное письмо от имени Microsoft может кто угодно — в Outlook нашли опасную уязвимость

Всеволод Кокорин, известный в интернете как Slonser, обнаружил ошибку, которая позволяет подменять адрес отправителя в электронных письмах на адреса корпоративной электронной почты Microsoft, что потенциально может значительно облегчить злоумышленникам попытки фишинга.
Чтобы продемонстрировать уязвимость, Кокорин создал электронное письмо от имени команды безопасности учётных записей Microsoft.
На настоящий момент ошибка ещё не исправлена. Эксплойт, по словам Кокорина, работает только при отправке письма на аккаунты Outlook. Тем не менее, согласно последним данным Microsoft, эта группа насчитывает как минимум 400 миллионов пользователей по всему миру.
Ранее Кокорин написал в социальной сети X, что обнаружил ошибку подмены адреса отправителя электронной почты и сообщил о ней в Microsoft, но компания отклонила его отчёт, заявив, что не может воспроизвести его действия. Это побудило Кокорина опубликовать информацию об ошибке, опустив технические подробности.

Источник: 7ooo.ru
 
Согласно исследованию Apiiro, начиная с мая 2023 года, более 100 000 поддельных репозиториев, маскирующихся под популярные проекты, были найдены на обширных просторах GitHub. Чтобы выполнить такую атаку, злоумышленники сначала клонуют популярный репозиторий, а затем добавляют вредоносный код, после чего репозиторий публикуется на платформе. Это приводит к тысячам проектов с тем же именем, что и оригинал, но содержащих дополнительный (Obfuscation включает в себя изменение программного кода, так что его становится трудно понять, в то время как программа сохраняет свои функции) вредоносный код. GitHub автоматически отслеживает и блокирует подозрительные репозитории, но поскольку их так много, некоторым зараженным копиям удается остаться. Особенностью Github является то, что он позволяет использовать несколько репозиториев с одинаковым именем. Это позволяет злоумышленникам продвигать свою версию популярного проекта ничего не подозревающим разработчикам на различных форумах и сообществах.
 
Typosquatting - это атака, в которой вредоносный пакет имитирует имя законного и является достаточно сложной киберпреступной тактикой. Как правило, экосистемы с открытым исходным кодом используют уникальные названия проектов, что означает, что злоумышленники должны полагаться на разработчиков и обычных пользователей, которые делают опечатки. Злоумышленники создают вредоносные версии популярных библиотек с именами, похожими на оригиналы. Представьте, что вы хотите установить библиотеку Python Colorama, которая позволяет изменять цвета и стили текста в терминале. Однако из-за опечатки вы устанавливаете не исходный пакет, а вредоносную версию, и вместо того, чтобы вносить косметические изменения в терминал, вы заражаете свой компьютер. Исследователи угроз в Imperva обнаружили именно такой вредоносный пакет, распространяемый под именем популярной библиотеки. За последний год было несколько попыток замаскировать пакет Colorama с помощью таких названий, как colarama, colorama и colorama-api. Устройства конечных пользователей заражаются шпионскими программами Fade Stealer. Это вредоносное ПО нацелено на системы Windows и предназначено для кражи конфиденциальной информации с различных веб-ресурсов, включая социальные сети и игровые сайты. Украденные данные также могут включать в себя последовательности нажатий клавиш, скриншоты и записи микрофона.
 

В сети опубликована крупнейшая база паролей с 10 млрд уникальных записей​


Исследователи из Cybernews обнаружили крупнейшую подборку паролей, состоящую из 9 948 575 739 уникальных комбинаций, хранящихся в открытом виде. Файл с паролями rockyou2024.txt был замечен на одном из хакерских форумов и, по сути, он является желанной целью для злоумышленников, которые используют метод перебора паролей для взлома аккаунтов.

«По своей сути утечка RockYou2024 представляет собой компиляцию реальных паролей, используемых людьми по всему миру. Раскрытие такого количества паролей существенно повышает риск проведения атак, связанных с подбором паролей», — говорится в сообщении Cybernews.

Согласно имеющимся данным, упомянутый файл был опубликован 4 июля пользователем с ником ObamaCare, который с момента регистрации на форуме уже публиковал данные из более ранних утечек. Исследователи отмечают, что база RockYou2024 может быть задействована злоумышленниками для проведения атак методом перебора с целью получения несанкционированного доступа к разным онлайн-аккаунтам, которыми пользуются люди, чьи пароли попали в этот список.

sm.826.800.jpg


В сообщении сказано, что файл RockYou2024 сформирован на основе нескольких утечек данных, которые произошли за последние два десятилетия. При этом в файл добавлено 1,5 млрд паролей, которые утекли в сеть в период с 2021 по 2024 годы. Эксперты предупреждают, что столь обширная база паролей может использоваться злоумышленниками для проведения разного рода атак, причём в опасности могут оказаться не только онлайн-сервисы, но и промышленное оборудование, камеры видеонаблюдения и др.

«Более того, в сочетании с данными из других утечек на хакерских форумах и торговых площадках, которые, например, содержат адреса электронной почты пользователей и другие данные, RockYou2024 может способствовать появлению целого каскада новых утечек данных, случаев финансового мошенничества и краж личной информации», — говорится в сообщении Cybernews.

Источник: /3dnews.ru/
 

В сети опубликована крупнейшая база паролей с 10 млрд уникальных записей​


Исследователи из Cybernews обнаружили крупнейшую подборку паролей, состоящую из 9 948 575 739 уникальных комбинаций, хранящихся в открытом виде. Файл с паролями rockyou2024.txt был замечен на одном из хакерских форумов и, по сути, он является желанной целью для злоумышленников, которые используют метод перебора паролей для взлома аккаунтов.

«По своей сути утечка RockYou2024 представляет собой компиляцию реальных паролей, используемых людьми по всему миру. Раскрытие такого количества паролей существенно повышает риск проведения атак, связанных с подбором паролей», — говорится в сообщении Cybernews.

Согласно имеющимся данным, упомянутый файл был опубликован 4 июля пользователем с ником ObamaCare, который с момента регистрации на форуме уже публиковал данные из более ранних утечек. Исследователи отмечают, что база RockYou2024 может быть задействована злоумышленниками для проведения атак методом перебора с целью получения несанкционированного доступа к разным онлайн-аккаунтам, которыми пользуются люди, чьи пароли попали в этот список.

sm.826.800.jpg


В сообщении сказано, что файл RockYou2024 сформирован на основе нескольких утечек данных, которые произошли за последние два десятилетия. При этом в файл добавлено 1,5 млрд паролей, которые утекли в сеть в период с 2021 по 2024 годы. Эксперты предупреждают, что столь обширная база паролей может использоваться злоумышленниками для проведения разного рода атак, причём в опасности могут оказаться не только онлайн-сервисы, но и промышленное оборудование, камеры видеонаблюдения и др.

«Более того, в сочетании с данными из других утечек на хакерских форумах и торговых площадках, которые, например, содержат адреса электронной почты пользователей и другие данные, RockYou2024 может способствовать появлению целого каскада новых утечек данных, случаев финансового мошенничества и краж личной информации», — говорится в сообщении Cybernews.

Источник: /3dnews.ru/
Файл где?
 

Эксперты ФСБ рекомендуют отказаться от использования российского браузера "Спутник"


sputnik.png


Созданный по приказу руководства ФСБ Национальный координационный центр по компьютерным инцидентам (НКЦКИ) рекомендует отказаться от использования российского браузера "Спутник" после банкротства разработчика и перекупки доменного имени американской компанией.

"НКЦКИ рекомендует отказаться от использования браузера "Спутник" в ваших организациях и личных целях", - говорится в сообщении.

В центре напомнили, что браузер "Спутник" был разработан компанией ООО "Спутниклаб", использовался в государственных организациях и органах государственной власти за счет поддержки отечественных SSL-сертификатов и нахождения в реестре программного обеспечения Минцифры.

"В 2023 году ООО "Спутниклаб" признано несостоятельным (банкротом). После этого компания подала запрос на исключение браузера "Спутник" из реестра ПО Минцифры России, и 7 марта 2024 года он был исключен из него. Техническая поддержка браузера "Спутник" прекратилась в 2022 году, а доменное имя browser-sputnik[.]ru, к которому обращались экземпляры программы для получения обновлений, стало доступным для продажи в связи с истечением срока регистрации", - говорится в сообщении.

По данным НКЦКИ, сейчас доменное имя browser-sputnik[.]ru принадлежит американской компании Global Internet Telemetry Measurement Collective, "используется ей в неизвестных целях, а ассоциированный с доменным именем веб-сервис принимает от установленных на СВТ (средствах вычислительной техники - ИФ) российских граждан браузеров "Спутник" запросы на получение обновлений".

"Таким образом, существует угроза внедрения в программное обеспечение "Спутник" вредоносных модулей с целью компрометации СВТ", - отмечают в НКЦКИ.

===
Источник: Интерфакс
 

Хакеры научились перехватывать исходящие звонки в банк на Android


android_malware_fakecall_news.png


Anti-Malware: троян FakeCall для Android научился перехватывать звонки в банк.
Исследователи компании Zimperium выявили обновленную версию Android-вредоноса FakeCall, который теперь перехватывает исходящие звонки на номера банковских учреждений, перенаправляя их злоумышленникам. Об этом сообщает портал Anti-Malware

Отмечается, что авторы трояна активно развивают его функционал. Так, прошлогодняя версия научилась обходить защитные программы, тогда как текущая версия способна маскироваться под банковские приложения и перехватывать звонки на этапе набора номера банка.

FakeCall предоставляет пользователю возможность позвонить в банк прямо из своего вредоносного приложения, при этом показывая реальный номер кредитной организации. На практике же жертвы попадают на мошенников, а не в банк. Вредонос устанавливается через APK-файл и регистрируется в системе как обработчик голосовых вызовов, что позволяет ему перехватывать любые попытки дозвониться до банка.

Помимо этого, новейшая версия FakeCall получила ряд дополнительных функций: запись активности на экране устройства, создание скриншотов, разблокировка и отключение автоблокировки, а также извлечение изображений и миниатюр из хранилища.

===
По материалам: Anti-Malware, SecurityLab.ru, xakep.ru.
 
Назад
Верх Низ