Эксперты по безопасности обнаружили вредоносное ПО, работающее в среде Windows Subsystem for Linux (WSL). Бинарный файл под Linux пытается атаковать Windows и загрузить дополнительные программные модули.
Источник: freepik.com
О проблеме сообщили эксперты команды Black Lotus Labs в американской телекоммуникационной компании Lumen Technologies. Они обнаружили несколько вредоносных файлов на Python, скомпилированных в бинарный формат ELF (Executable and Linkable Format) для Debian Linux. «Эти файлы действовали как загрузчики, запускающие „полезную нагрузку“, которая либо была встроена в сам экземпляр, либо поступала с удалённого сервера, а затем внедрялась в работающий процесс с помощью вызовов Windows API», — говорится в сообщении Black Lotus Labs.
В 2017 году, более чем год спустя после выпуска WSL, исследователи Check Point продемонстрировали экспериментальную атаку под названием Bashware, которая позволяла производить вредоносные действия из исполняемых файлов ELF и EXE в среде WSL. Но среда WSL по умолчанию отключена, а Windows 10 поставляется без каких-либо встроенных Linux-дистрибутивов, поэтому угроза Bashware не представлялась реалистичной. Однако 4 года спустя нечто подобное было обнаружено уже вне лабораторных условий.
Эксперты Black Lotus Labs отметили, что образцы вредоносного кода показали минимальный рейтинг на сервисе VirusTotal, а это значит, что большинство антивирусных программ пропустит такие файлы. Обнаруженные специалистами образцы были написаны на Python 3 и скомпилированы в ELF при помощи PyInstaller. Код обращается к Windows API для загрузки стороннего файла и запуска его кода в стороннем процессе, что обеспечивает злоумышленнику доступ к заражённой машине. Предположительно, для этого нужно сначала запустить файл в среде WSL.
Были обнаружены два варианта вредоноса. Первый написан на чистом Python, второй дополнительно использовал библиотеку для подключения к Windows API и запуска скрипта PowerShell. Во втором случае, предположили в Black Lotus Labs, модуль ещё находится в разработке, потому что сам по себе не работает. В выборке был также идентифицирован IP-адрес (185.63.90 [.] 137), связанный с целями в Эквадоре и Франции, откуда заражённые машины пытались выйти на связь по портам с 39000 по 48000 в конце июня и начале июля. Предполагается, что владелец вредоноса тестировал VPN или прокси-сервер.
Израильские борцы с хакерами из компании Check Point Software Tech. Предупреждают о появлении нового вируса, который атакует пользовательские устройства через Telegram. Угроза актуальна в том числе для девайсов, на которых отсутствует упомянутый мессенджер, информирует Ferra.
Название зловредной программы – троян дистанционного доступа ToxicEye. Количество выявленных за последний триместр атак – 130+. Управление взломанными устройствами осуществляется через «Телеграм».
Владельцы свободных от присутствия мессенджера смартфонов также находятся в зоне риска. Для похищения персональных данных абонентов и взятия устройства под контроль «злые гении компьютерного разума» используют следующие действия:
Создают учетную запись в «Телеграме».
Привязывают к аккаунту специального бота, токен которого воссоединяется с вредоносной ссылкой.
Отправляют зараженную ссылку жертвам.
Переход получателя письма по предложенной хакерами ссылке открывает хакерам полный доступ к устройству. Злоумышленники смогут воровать любые содержащиеся на смартфоне данные, управлять файлами, красть средства, устанавливать приложения-вымогатели, навязывать платные подписки и т.д. Все эти манипуляции, по уверениям специалистов израильской компании, выполняются через Telegram.
Check Point Software Technologies – разработчик антивирусного ПО с головным офисом в Тель-Авиве, учрежденный в июле-1993 бизнесменом Гилем Шведом. Представительства организации работают в США, Швеции, Белоруссии и Канаде. Штат сотрудников на конец декабря прошлого года – 5,2 тыс. чел.
«Лаборатория Касперского» представила Kaspersky Threat Attribution Engine — аналитический инструмент для определения источника и авторов вредоносного программного обеспечения.
Принцип работы Kaspersky Threat Attribution Engine
Kaspersky Threat Attribution Engine предназначен для корпораций и государственных ведомств, которые хотели бы понять, кто стоит за атаками на их ресурсы. Инструмент помогает аналитикам SOC-команд и сотрудникам отделов по реагированию на киберинциденты сопоставлять новые вредоносные операции с уже известными, определять источники и организаторов. «Зная, кто и с какой целью атакует компанию, сотрудники отделов по IT-безопасности могут быстро разработать и запустить план по реагированию на инцидент», — поясняют в «Лаборатории Касперского»
Чтобы выяснить, от какой именно преступной группы исходит угроза, решение Kaspersky Threat Attribution Engine разбирает обнаруженный образец вредоносного кода на отдельные фрагменты, а затем ищет сходства в базе «Лаборатории Касперского». База данных содержит экземпляры вредоносного ПО, собранного компанией за 22 года работы на рынке информационной безопасности.
В зависимости от того, насколько анализируемый файл похож на образцы, хранящиеся в базе, решение Kaspersky Threat Attribution Engine определяет возможное происхождение и кибергруппу, стоящую за атакой, даёт короткое описание и ссылки на частные и публичные ресурсы с информацией о кампаниях, где был задействован сходный код. Подписчикам Kaspersky APT Intelligence Reporting доступен также подробный отчёт о тактиках, техниках и процедурах, используемых кибергруппой, и инструкция, как действовать дальше.
Систему можно развернуть в изолированной среде, защищённой от доступа сторонних лиц к обрабатываемой информации и отправляемых в неё объектах. Дополнительные сведения о продукте можно найти на сайте kaspersky.ru/enterprise-security/cyber-attack-attribution-tool.
Если у вась есть геймерский ПК с видеокартой Nvidia на борту, то вы можете предложить ее мощности для борьбы с коронавирусом COVID-19.
Nvidia выступила с объявлением, в котором просит ПК-игроков скачать программу Folding@home, с помощью которой можно выделить мощности видеокарты на расчет данных в поисках лечения нашумевшей инфекции. Это приложение объединяет компьютеры в международную сеть, которая вычисляет поставленные учеными задачи. В любой момент программу можно закрыть и вернуть мощности видеокарты себе.
Приложение Folding@home появилось давно, первые версии можно было скачать на PlayStation 3. В программу добавили новые симуляции и проекты по борьбе с COVID-19 на этой неделе. Решение этих задач могут помочь ученым разобраться в коронавирусе и, возможно, разработать эффективное лечение.
Со списком проектов по инфекции, на которые сейчас требуются вычислительные мощности выложен на Reddit.
Android – сама по себе неплохая операционная система. Она занимает более 80% рынка и является лидером в сегменте мобильных ОС. Удобная, кастомизируемая, с множеством различных функций и неплохим уровнем безопасности… Но иногда недобросовестные разработчики приложений начинают злоупотреблять доверием пользователей… и получается — вирус на смартфоне.
Симптомы
Этот странный вирус начал проявлять себя в начале 2019 года. На смартфонах пользователей под управлением Android появляется реклама во всплывающих окнах в браузере. При этом проявляет вирус себя исключительно при определенных действиях пользователя. Если вы скачивали или обновляли любое приложение в Google Play, по окончании установки у вас открывается окно браузера с длинной ссылкой на сайты appsquare.net/novelcamp.net/h5mone.com/qwer1234.xyz.
Это происходит не каждый раз, а примерно один раз в день. Или один раз в три дня. Какой-то системности не было замечено. При этом окно с рекламой может открыться, когда вы, например, отправляете картинку в WhatsApp.
С такими симптомами столкнулись пользователи разных стран – США, России, Италии, Украины и даже Беларуси. На одном из популярнейших форумов США – reddit.com, именно этому странному вирусу посвящена большая тема (более 250 сообщений). Жалобы поступали от владельцев разных смартфонов: Samsung Galaxy S7, S8, S9, LG G7, Xiaomi Redmi, HTC U11, Huawei Mate 9 и даже планшетов.
Ссылки от вируса перенаправляют на сайты с рекламой подозрительных приложений и игр. Рекламный вирус вроде бы творит безобидные вещи. Но, когда кто-то без твоего ведома на смартфоне открывает ссылки на постоянной основе, это раздражает. Первоначально американские пользователи пытались бороться с ним, устанавливая на смартфоны популярные антивирусы. Но они ничего не находили. А ссылки открывались снова. Причем в разных браузерах: Chrome, Firefox, Samsung Internet Browser. Даже опытные пользователи не могли найти причину и источник вируса. Временно помогала чистка кэша приложений (либо сброс рекламного идентификатора Google). Но спустя пару дней ссылки снова открывались. Это происходило даже на смартфонах с самыми последними обновлениями безопасности Android.
Пользователи обратились за помощью к ведущим антивирусным компаниям – и решение было найдено.
Лечение, поиск причин и удаление «вируса»
Специалисты Лаборатории Касперского отреагировали оперативно и выпустили 2 приложения для перехвата вируса на смартфоне. Эти приложения ведут себя как браузеры и перехватывают ссылки из других приложений. А затем показывают, какое приложение пыталось открыть рекламную ссылку. Если у вас есть симптомы, указанные выше – воспользуйтесь одним из них.
Первое называется IntentCatcher. Скачать его можно здесь (зеркало). После установки нужно его запустить один раз. Затем через него необходимо открывать подозрительные запросы на открытие сайта.
Intent Catcher покажет, какое приложение вызывает запуск сайта и ссылку на которую вирус перенаправляет. После этого по названию пакета вам остается удалить то приложение, которое распространяет рекламу на вашем смартфоне. Вот видео как оно работает.
Второе приложение от Лаборатории Касперского – модифицированный браузер Firefox с логом работы. Скачать его можно здесь (зеркало).
Установите его на смартфон. Затем необходимо дать ему права на запись на карту памяти. Для этого необходимо перейти в Настройки – Приложения – Firefox – Разрешения и там включить возможность записи на Карту памяти.
После этого нужно сделать его браузером по умолчанию. Для этого перейдите в Настройки – Приложения – Приложения по умолчанию – Веб-браузер и выберите там установленный Firefox.
Модифицированный Firefox будет вести лог в файле /sdcard/moz_url_log.txt. Вот как выглядит лог, в нем можно понять, какое приложение инициировало открытие ссылки.
После применения утилит выше результаты не заставили себя ждать. Спасибо Лаборатории Касперского. Список приложений у пользователей в которых был (прятался) «вирус»:
Videooder
Snaptube
Opera Mini (35.3.2254) (!)
Veezie.st
Pi music player (!)
MIUI Launcher (!)
MIUI Music Player
Screen Stream Mirroring Free
И многие другие…. Этот странный список включил в себя вполне безобидные приложения, как туда попал вирус – чуть ниже. Если у вас проявляется этот вирус и установлено одно из этих приложений – удалите их. Если вы не знаете, в каком конкретно причина – воспользуйтесь утилитами выше.
Если у вас нет возможности удалить вирус, необходимо очистить данные этого приложения. Для этого необходимо перейти в Настройки – Приложения – «Название приложения». Там необходимо сначала его Остановить. Затем перейти в раздел Память и нажать кнопку «Очистить данные».
Также рекомендуется очистить все данные браузера Chrome, описанным выше способом. Кроме этого, в настройках Chrome зайдите в раздел Хранилище и удалите все данные сайтов. И еще наберите в строке браузера:
chrome://serviceworker-internals/
и отмените регистрацию всех подозрительных JS скриптов.
После этого симптомы вируса должны пропасть навсегда.
И да, и нет. Это скорее рекламный модуль (или adware), который начал неправильно работать. По данному вопросу провели большую работу антивирусные специалисты из Malwarebytes и Check Point Software Technologies. Они выяснили, что все эти приложения скорее всего объединяет то, что при их разработке использовались инфицированные SDK (Software Development Kit).
Как они попали в приложение? Возможно, случайно. Разработчики, использовавшие эти SDK (в основном китайские), возможно, даже не знали, с чем имеют дело.
В обычном состоянии модули должны были просто собирать аналитику и показывать рекламу исключительно в своем приложении.
Но что-то пошло не так… Скомпрометировали себя такие SDK (китайские), как Batmobi, SWAnalytics, RXDrioder.
И, напоследок, несколько советов, тем, кто не хочет словить вирус на смартфоне:
Старайтесь не устанавливать приложения не из Google Play.
Не переходите на подозрительные/незнакомые вам сайты, не скачивайте оттуда приложения.
Всегда проверяйте разрешения, которые запрашивает приложение при установке.
Регулярно устанавливайте обновления безопасности Android.
Если вы начинающий пользователь Android, установите мобильный антивирус.
«Лаборатория Касперского» предупреждает о появлении вредоносной программы PirateMatryoshka, которая атакует пользователей популярного торрент-трекера The Pirate Bay.
PirateMatryoshka — это многоуровневый зловред, состоящий из ряда компонентов, предназначенных для загрузки на компьютер жертвы рекламных и вредоносных модулей.
По данным «Лаборатории Касперского», PirateMatryoshka распространяется под видом взломанных версий платных программ. Причём опасные раздачи формируются на торрент-трекере десятками различных аккаунтов, включая те, которые были зарегистрированы довольно давно: это может ввести потенциальную жертву в заблуждение, поскольку хорошая репутация пользователя, раздающего файл, усыпляет бдительность.
Запуск полученного вредоносного файла приводит к проникновению на компьютер трояна. Он начинает свою работу с того, что демонстрирует пользователю фишинговую страницу The Pirate Bay. Эта страница запрашивает логин и пароль для входа в торрент якобы для продолжения процесса загрузки, а на самом деле — для взлома аккаунтов пользователей и дальнейшей раздачи зловреда.
Гаджетам на Android угрожает новый опасный вирус, который использует значок, очень похожий на Google Apps, с ярлыком “Google Play Marketplace”, чтобы замаскироваться.
Эксперты по кибербезопасности обнаружили новый троян и назвали его “Gplayed”. Они заявляют, что у этого вируса много встроенных возможностей, он может очень быстро внедряться в устройство.
Вредоносная программа находится в левой части экрана — Cisco
Программа, наделенная правами администратора, позволяет хакерам управлять устройством удаленно. Они могут самостоятельно заблокировать гаджет или использовать его для звонков или отправки сообщений. Помимо информации, хранящейся в памяти устройства, приложение способно выкрасть платежные данные.
“Наш анализ показывает, что этот троянец находится на стадии тестирования, но, учитывая его потенциал, каждый мобильный пользователь должен знать GPlayed. Разработчики мобильных устройств недавно начали избегать традиционных магазинов приложений и вместо этого хотят доставлять свое программное обеспечение напрямую своими силами. Но GPlayed — пример того, где это может навредить, особенно если мобильный пользователь не знает, как отличить поддельное приложение от реального”, — отмечается в сообщении.
Эксперты Bitdefender обнаружили вредоноса Triout, предназначенного для Android. Угроза является мощным шпионским инструментом, может записывать телефонные звонки и похищать фото.
Исследователи рассказывают, что впервые заметили Triout около месяца тому назад, но изучение малвари показало, что первые образцы были загружены на сайт VirusTotal еще в середине мая 2018 года. Известно, что первый образчик был загружен с российского IP-адреса, однако последующие версии уже загружались с израильских IP.
Аналитикам Bitdefender не удалось установить, каким образом происходит распространение Triout, но в отчете экспертов сказано, что все обнаруженные версии малвари маскировались под легитимное приложение (исследователи разбирают пример приложения Sex Game), ранее размещавшееся в Google Play. Можно предположить, что распространение малвари осуществляется через сторонние каталоги приложений, хотя вредонос по-прежнему подписан аутентичным Google Debug Certificate.
С технической стороны Triout представляет собой достаточно мощное шпионское решение, которое способно «прятаться» от пользователя и записывать все звонки, совершаемые с зараженного устройства, и загружать записи на удаленный сервер; похищать журнал звонков и SMS-сообщения; передавать на управляющий сервер GPS-координаты устройства; отправлять своим операторам копию каждой фотографии, сделанной камерой зараженного смартфона.
Исследователи отмечают, что вредоносы с такой функциональностью обычно создаются и используются «правительственными хакерами» разных стран. Однако, похоже, это не относится к разработчикам Triout. Дело в том, что код малвари лишен какой-либо обфускации, и для доступа к исходному коду, достаточно просто распаковать файл APK. Впрочем, специалисты полагают, что это может означать, что фреймворк Triout попросту еще находится в разработке.
Хотя экспертам пока не удалось понять, какие цели преследуют создатели Triout, Bitdefender предупреждает, что управляющая инфраструктура вредоноса по-прежнему активна и, очевидно, злоумышленники могут готовить весьма опасную шпионскую кампанию.
ESET обнаружила новую партию вредоносных приложений в Google Play. С их помощью злоумышленники собирают данные банковских карт и онлайн-банкинга, а затем хранят украденную информацию в интернете в открытом доступе.
Вредоносные приложения появились в Google Play в июне-июле 2018 года. Они имитируют официальные приложения трех индийских банков и загружены от лица разных разработчиков, хотя на самом деле созданы одним автором (или группой).
Все приложения действуют по одной и той же схеме. Они предлагают клиентам увеличить лимит кредитной карты.
После запуска приложение отображает форму для ввода данных карты, лимит которой предполагается увеличить. Заполнив все ячейки и нажав «Отправить», пользователь переходит к следующему экрану – там запрашиваются учетные данные для входа в онлайн-банкинг.
Все поля помечены как обязательные для заполнения, хотя на самом деле их можно оставить пустыми (такая недоработка также указывает на сомнительное происхождение приложения).
На последнем, третьем экране пользователя благодарят за проявленный интерес и обещают, что в ближайшее время на связь с ним выйдет «менеджер по обслуживанию клиентов». Излишне уточнять, что с жертвой никто не свяжется.
Информация, введенная в приложении, отправляется на сервер злоумышленников в виде простого текста. Сервер, на котором хранятся данные, доступен любому по ссылке, без дополнительной аутентификации. Это может увеличить ущерб жертв, поскольку их банковские данные доступны не только авторам вредоносных приложений, но и другим возможным злоумышленникам.
Вредоносные приложения были удалены из Google Play после предупреждения ESET, однако их успели установить несколько сотен пользователей.
Пока одни начинающие разработчики делают симуляторы хлеба, другие создают платформеры и вшивают в них Троян, который майнит криптовалюту.
Что известно
Разработчик Okalo Union залил в Steam платформер Abstractism, который начали скачивать люди, а потом жаловаться. В комментариях игроки отмечали, что игра в тихую установила Троян, который маскируется под «steam.exe». YouTube-ер SidAlpha провел собственное расследование и выяснил, что вместе с вирусом устанавливается программа для майнинга криптовалюты.
К тому же «разработчик» пошел на хитрость и добавил в игру дроп вещей, которые игроки получали за время проведенное в Abstractism. Чем дольше игра запущена, тем круче лут выпадает. Из-за этого некоторые пользователи просто держали игру запущенной, что увеличивало эффективность майнинг вируса. Okalo Union даже использовал фейковую золотую ракетницу из Team Fortres в качестве приманки.
Okalo Union не стал опровергать обвинения. Он написал, что майнинг включается только на высоких настройках графики Abstractism, а сам вирус добывает Монеро (Monero). Игру и разработчика удалили из Steam, но его «творения» находятся и в Google Play, так что будьте осторожны.
Doctor RESET 