Тот самый RAT-троян за 200 рублей: как защититься от RADX
Всем привет! Меня зовут Валерий Слезкинцев, в Positive Technologies я руковожу направлением реагирования на конечных точках в отделе обнаружения вредоносного ПО в PT Expert Security Center. Наша команда занимается исследованиями MaxPatrol EDR в части выявления и реагирования на вредоносную...
[Перевод] Вредоносная реклама на приложения для обмена сообщениями нацелена на китайских пользователей
Продолжающаяся кампания вредоносной рекламы нацелена на китайских пользователей, предлагая им популярные приложения для обмена сообщениями, такие как Telegram или LINE, с целью распространения вредоносного ПО. Интересно, что программное обеспечение, подобное Telegram, сильно ограничено и ранее было...
Операция Lahat: новая группа Hellhounds атакует российские организации через системы на базе Linux
В октябре 2023 года команда Positive Technologies по расследованию инцидентов PT CSIRT обнаружила компрометацию одной энергетической компании с использованием трояна Decoy Dog. Этот вредонос активно используется в атаках на российские компании и правительственные организации по меньшей мере с...
Анализ вредоносного ПО Thunder
13-го апреля 2023 года в мессенджере Telegram обнаружена рассылка с архивом под красноречивым названием 这几笔错误的账单我圈出来了你看看.zip. В результате анализа удалось выяснить, что архив содержит вредоносное программное обеспечение нацеленное на пользователей ОС семейства Windows. В этой статье представлен...
[Перевод] Аппаратные трояны под микроскопом
Хотя индустрия кибербезопасности в основном сфокусирована на атаках на программное обеспечение, не стоит забывать о влиянии на безопасность аппаратных дефектов более низкого уровня, например, тех, которые касаются полупроводников. За последние несколько лет площадь атаки на уровне кремния сильно...
Злоумышленники смогли добраться и до финансовой отрасли России?
Кредитно-финансовые учреждения постоянно подвергаются кибератакам. Согласно отчету ЦБ РФ, в 2022 году мощность и количество кибератак на отрасль выросло в десятки раз. Несмотря на то, что финансы традиционно считаются самой защищенной сферой, в 2022 году в большинстве задетектированных атак...
О новой угрозе для Python разработчиков в 2023 году или ещё один вирус в пакете PyPi
Приветствую, читатели. Думаю, что для каждого, кто хоть раз в жизни интересовался темой программирования, знаком такой язык, как Python. Все-таки он самый популярный в мире на данный момент. И это неспроста, способствовали его популяризации универсальность и относительная простота в изучении. А...
Анализируем трояны в популярных SSH-клиентах
Весной 2022 года северокорейская хакерская группировка Lazarus начала распространение троянизированных SSH клиентов с открытым исходным кодом для создания бэкдоров в сферах развлечения, обороны и медицины. Жертвами первой волны этой атаки стали инженеры и специалисты технической поддержки,...
Изучаем троянскую повестку с мимикрией под XDSpy
В ходе постоянного отслеживания угроз ИБ утром 3 октября в одном из Telegram-чатов мы заметили промелькнувший файл со злободневным названием Povestka_26-09-2022.wsf. Беглый осмотр содержимого привлек наше внимание, и мы решили разобрать его подробней. И, как оказалось, не зря. Подробности под катом...
«Золотой век» Buhtrap: разбираем троян-долгожитель
В начале этого года неспешное субботнее утро специалиста Group-IB — с семейным завтраком, тренировкой по теннису и поездкой к родителям — полетело в тартарары после звонка безопасника одной российской компании. У предприятия украли пару десятков миллионов рублей: деньги увели со счета несколькими...
Исследуем обнаруженные зловреды группы APT31: что нового
В ходе мониторинга угроз ИБ в апреле 2021 года наши специалисты из PT Expert Security Center обнаружили в Монголии атаки с использованием неизвестного ранее вредоносного ПО. Впоследствии аналогичные атаки были выявлены в России, США, Канаде и Республике Беларусь. Некоторые из обнаруженных во время...
[recovery mode] Троян в CS-Cart. Утечка счетов из 35'000 интернет-магазинов
TL;DR: Разрабы второго по популярности (по версии ratingruneta) интернет-магазина встроили в движок код, который делает копии всех счетов клиентов на сервер в Аризоне. Читать далее...
Бэкдор в Win 10 Tweaker, или современные методы борьбы с пиратством
Для неподготовленных юзеров, которые сталкиваются с Windows, настройки ОС иногда становятся настоящим темным лесом. Эту достаточно широкую нишу охватывают разработчики всевозможных твикеров, один из который в своих подходах к защите своей программы пошел самым радикальным способом. Сегодня мы...
[recovery mode] Как украсть со счета деньги, которых у вас не было?
Прошу не судить строго - ролик записывался на эмоциях, под влиянием разбудившего меня сегодня звонка от друга, чья семья попала более чем на 1 000 000 рублей кредита (его видимо придется отдавать), и которым я, как выяснилось, несмотря на место работы, вряд ли чем-то смогу помочь - и чтобы хоть...
[Перевод] Как обнаружить и остановить Emotet c помощью Varonis
Наша группа реагирования на инциденты отслеживает беспрецедентное количество заражений вредоносным ПО Emotet. Количество активных одновременных расследований Emotet в три раза превышает наш предыдущий рекорд. В этом посте будут рассмотрены индикаторы компрометации, меры по их устранению и то, как...
Исследование одного вредоноса
Попался мне недавно вредоносный doc файл, который рассылали с фишинговыми письмами. Я решил, что это неплохой повод поупражняться в реверс-инжиниринге и написать что-то новое на Хабр. Под катом — пример разбора вредоносного макроса-дроппера и не менее вредоносных dll. Читать дальше →...
[Перевод] И снова Qbot – новый штамм банковского трояна
Мы обнаружили и провели реверс-инжиниринг ещё одного нового штамма Qbot — сложного, широко известного вредоносного ПО, которое собирает данные, позволяющие совершать финансовые мошенничества. Вот примеры данных, которые собирает Qbot: cookies браузера, информация сертификатов, нажатие клавиш...
Обзор вирусной активности для мобильных устройств в октябре 2019 года
Второй осенний месяц этого года оказался неспокойным для владельцев Android-устройств. Вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play множество вредоносных программ – в частности, троянцев-кликеров Android.Click, которые подписывали пользователей на платные услуги. Среди...