Перейти к содержимому


Содержание News Robot

1000 публикаций пользователя News Robot OpenID:


по типу содержимого

Просмотр информации о пользователе


#910768 Исследование целевой атаки на российское предприятие машиностроительного сектора

Отправлено по News Robot в 11 Март 2024 - 09:52 В: Новости компании

Скачать в PDF

11 Марта 2024 года

Введение

В октябре 2023 года в компанию «Доктор Веб» обратилось российское предприятие машиностроительного сектора с подозрением на присутствие ВПО на одном из своих компьютеров. Наши специалисты расследовали этот инцидент и установили, что пострадавшая компания столкнулась с целевой атакой. В ходе ее проведения злоумышленники рассылали по электронной почте фишинговые сообщения с прикрепленной вредоносной программой, отвечающей за первоначальное заражение системы и установку в нее других вредоносных инструментов.

Целью этой атаки был сбор чувствительной информации о сотрудниках, получение данных об инфраструктуре компании и ее внутренней сети. Кроме того, мы зафиксировали факт выгрузки данных с зараженного компьютера ― как в виде хранившихся на компьютере файлов, так и в виде снимков экрана, созданных во время работы ВПО.

Общие сведения об атаке и используемые инструменты

В начале октября 2023 года злоумышленники отправили на электронный адрес пострадавшей компании несколько фишинговых писем с темой «расследования» неких уголовных дел по уклонению от уплаты налогов. Письма отправлялись якобы от имени следователя Следственного Комитета Российской Федерации и содержали два вложения. Первым был защищенный паролем zip-архив. Он скрывал в себе вредоносную программу, при запуске которой начиналось заражение системы. Вторым был pdf-документ, который не являлся вредоносным. Он содержал фишинговый текст о том, что вся информация об «уголовном деле» находится в архиве, и побуждал открыть вредоносную программу из него.

Самое первое фишинговое письмо содержало архив Трeбoвaниe 19098 Cлед ком РФ от 02.10.23 ПАРОЛЬ - 123123123.zip. В свою очередь, расположенная в нем троянская программа скрывалась в файле Перечень юридических лиц и предприятий, уклонение от уплаты налогов, требования и дополнительные.exe.

Одним из последних отправленных сообщений стало следующее:

#drweb

К нему был прикреплен фишинговый pdf-документ Требование следователя, уклонение от уплаты налогов (запрос в рамках УД).pdf и zip-архив Трeбoвaниe 19221 СК РФ от 11.10.2023 ПАРОЛЬ - 123123123.zip с таким содержимым:

#drweb

Как и в более ранних сообщениях, пароль для извлечения файлов из архива атакующие указали и в его названии, и в имени документа Пароль для открытия 123123123.odt. Сам этот документ, как и файлы Права и обязанности и процедура ст. 164, 170, 183 УПК РФ.pdf и СК РФ.png, не являлись вредоносными.

В этом архиве находилось две копии вредоносной программы: Перечень предприятий, уклонение от уплаты налогов, а также дополнительные материалы.exe и Дополнительные материалы, перечень вопросов, накладные и первичные документы.exe.

Во всех случаях распространяемым злоумышленниками вредоносным приложением был Trojan.Siggen21.39882. Эта вредоносная программа, известная как WhiteSnake Stealer, продается в теневом сегменте интернета (Даркнете) и используется для кражи учетных записей от различного ПО, а также других данных. Кроме того, она может загружать и устанавливать на атакуемые компьютеры другие вредоносные приложения. В рассматриваемой целевой атаке ей отводилась роль первой ступени заражения. Получив соответствующие команды, вредоносная программа собрала и передала злоумышленникам информацию о конфигурации профилей Wi-Fi-сетей инфицированной системы, а также пароли доступа к ним. Затем она запустила SSH-прокси-сервер и установила в систему вторую ступень.

Второй ступенью и одновременно главным инструментом злоумышленников стала вредоносная программа-бэкдор JS.BackDoor.60 ― через нее проходило основное взаимодействие между атакующими и зараженным компьютером. Одной из особенностей бэкдора является то, что он использует собственный фреймворк на языке JavaScript. Троян состоит из основного обфусцированного тела, а также вспомогательных модулей, которые благодаря специфике архитектуры вредоносной программы одновременно являются и ее частью, и задачами, которые та исполняет через общие с ними JavaScript-функции. Новые задачи поступают трояну с управляющего сервера и фактически превращают его в многокомпонентную угрозу с расширяемой функциональностью, что позволяет применять его в качестве мощного инструмента кибершпионажа.

Интересен и механизм, с помощью которого JS.BackDoor.60 обеспечивал возможность своего автозапуска. Наряду с одним из традиционных способов ― внесением необходимых изменений в реестр Windows ― троян особым образом модифицировал файлы ярлыков (.lnk). Для этого он проверял содержимое ряда системных каталогов, включая каталог рабочего стола и панели задач, и всем найденным в них ярлыкам, кроме Explorer.lnk или Проводник.lnk, целевым приложением для запуска назначал wscript.exe. При этом для его запуска указывались специальные аргументы, одним из которых был альтернативный поток данных (ADS), в который записывалось тело бэкдора. В результате изменений модифицированные ярлыки вначале запускали JS.BackDoor.60, а уже после ― исходные программы.

На протяжении всей атаки злоумышленники активно направляли бэкдору различные команды и с его помощью похитили с зараженного компьютера содержимое десятков каталогов, которые содержали как личные, так и корпоративные данные. Кроме того, мы зафиксировали факт создания трояном снимков экрана (скриншотов).

Дополнительным инструментом слежки в рассматриваемой атаке стала вредоносная программа BackDoor.SpyBotNET.79, которая использовалась для аудиопрослушивания и записи разговоров через подключенный к зараженному компьютеру микрофон. Этот троян записывал аудио только в том случае, если фиксировал определенную интенсивность звука ― в частности, характерную для голоса.

При этом атакующие пытались также заразить систему трояном-загрузчиком Trojan.DownLoader46.24755, однако из-за возникшей ошибки сделать это им не удалось.

Хронология атаки представлена на следующей схеме:

#drweb

Хронология получения задач трояном JS.BackDoor.60:

#drweb

Проведенный нашими специалистами анализ не показал однозначную причастность к данной атаке какой-либо из ранее известных APT-группировок.

Подробные технические описания обнаруженных вредоносных программ находятся в PDF-версии исследования и в вирусной библиотеке компании «Доктор Веб».

Подробнее о Trojan.Siggen21.39882

Подробнее о JS.BackDoor.60

Подробнее о BackDoor.SpyBotNET.79

Подробнее о Trojan.DownLoader46.24755

Заключение

Использование вредоносных инструментов, которые доступны в качестве услуги на коммерческой основе (MaaS ― Malware as a Service), таких как Trojan.Siggen21.39882, позволяет даже относительно неопытным злоумышленникам совершать весьма чувствительные атаки как на бизнес, так и на государственные структуры. В свою очередь, социальная инженерия по-прежнему представляет серьезную угрозу. Это относительно простой, но эффективный способ обойти выстроенную защиту, который могут использовать как опытные, так и начинающие киберпреступники. В связи с этим особенно важно обеспечивать защиту всей инфраструктуры предприятий, в том числе рабочих станций и шлюзов электронной почты. Кроме того, рекомендуется проводить периодический инструктаж сотрудников по теме информационной безопасности и знакомить их с актуальными цифровыми угрозами. Все эти меры помогут снизить вероятность возникновения киберинцидентов, а также минимизировать ущерб от атак.

Индикаторы компрометации


Читать оригинал



#910678 Активируйте функцию «Уведомления об обновлениях», чтобы своевременно получать...

Отправлено по News Robot в 06 Март 2024 - 13:04 В: Новости компании

6 марта 2024 года

Компания «Доктор Веб» выпускает обновление Dr.Web Family Security. В приложении исправлен ряд ошибок в компонентах Контроль приложений, Фильтр звонков и СМС, URL фильтр.

Если вы хотите получать оповещения о новых версиях приложения, перейдите в Меню - О приложении - Обновление - включите Уведомлять об обновлениях. После этого Dr.Web Family Security будет автоматически проверять наличие новых версий. При появлении новой версии вы получите уведомление и сможете оперативно скачать и установить ее.

Более подробную информацию об исправлениях смотрите в разделе Changelog на нашем сайте.

Узнать подробнее о Dr.Web Family Security и получить демо-доступ на 14 дней можно на странице.

! Обращаем ваше внимание, что приложение не выполняет функцию антивирусного решения.


Читать оригинал



#910685 Крупное обновление продуктов Dr.Web версий 12 и 13 с централизованным управле...

Отправлено по News Robot в 06 Март 2024 - 04:00 В: Новости компании

6 марта 2024 года

«Доктор Веб» сообщает о масштабном обновлении продуктов Dr.Web 12.0 и 13.0 с централизованным управлением для бизнеса, а также продукта для защиты АСУ ТП Dr.Web Industrial.Теперь системным администраторам доступны новые возможности управления системой защиты, в то время как выявленные ошибки были исправлены.

Новые возможности

Для удобства администраторов добавлен востребованный формат оповещений, отправляемых методом BSD Syslog — RFC 3164.

В компоненте Поведенческий анализ появилась возможность выбрать уровень защиты «Без ограничений»: в этом режиме для всех защищаемых объектов выбрано правило «Разрешать». Это позволяет избежать прерывания технологического процесса при обнаружении проблем. Такая функциональность уже была реализована в Dr.Web Industrial, где этот режим действует по умолчанию — теперь же он доступен пользователям других продуктов Dr.Web с централизованным управлением. Также усовершенствован алгоритм определения версий ОС Windows для автоматического размещения станций в системных группах.

Исправления

В продукты было внесено большое количество исправлений для корректной работы Сервера Dr.Web. Более подробную информацию об исправлениях смотрите в разделе Changelog на нашем сайте.

Обновление пройдет автоматически.

Если вы еще не знакомы с Dr.Web — всегда можно опробовать его возможности и убедиться в высоком уровне защиты до покупки лицензии:

Демо для бизнеса

Демо Dr.Web Industrial


Читать оригинал



#910653 Защита с теплотой: скидка 25% на годовую лицензию Dr.Web Security Space для 2...

Отправлено по News Robot в 04 Март 2024 - 05:00 В: Новости компании

4 марта 2024 года

Мы запускаем очередную праздничную акцию: со 2 по 8 марта годовая лицензия Dr.Web Security Space для защиты сразу двух Android-гаджетов вместо 980 рублей будет стоить 735 рублей!

Dr.Web Security Space для Android не даст вредоносным программам захватить устройство, а мошенникам — украсть персональные данные, документы и доступ в интернет-банкинг. А также предупредит вас о мошеннических или вредоносных сайтах при попытке перехода на них и оградит от спам-звонков и СМС.

Получить скидку 25%


Читать оригинал



#910626 Бот Dr.Web для Telegram теперь доступен и для корпоративного использования

Отправлено по News Robot в 28 Февраль 2024 - 04:00 В: Новости компании

28 февраля 2024 года

У «Доктор Веб» хорошая новость для компаний, которые используют Telegram в качестве основного средства связи с сотрудниками или клиентами. Теперь обмен информацией в мессенджере можно надежно защитить при помощи коммерческой версии бота Dr.Web для Telegram.

Бот Dr.Web для Telegram — это первый антивирусный бот для проверки ссылок и файлов «на лету». Он работает на любом устройстве с установленным Telegram: на компьютере, мобильном устройстве и через веб-версию в браузере.

Бот умеет проверять файлы (до 20 Мб) и ссылки, не оказывая никакой дополнительной нагрузки на работоспособность системы. Вы можете добавить его в групповой чат, и он будет в режиме реального времени проверять все ссылки и файлы или направлять их для проверки напрямую боту в приватном диалоге.

Бот Dr.Web для Telegram остается доступным бесплатно для персональных пользователей, новая платная версия подойдет для корпоративного использования. С его помощью вы сможете усилить информационную безопасность компании, выстроив дополнительную защиту сотрудников в мессенджере:

  • поддержка 6 языков сделает легкой и понятной настройку бота для международных компаний и интернациональных команд: русский, английский, французский, немецкий, арабский, испанский и фарси
  • специальные настройки бота сделают его работу незаметной, оповещения не будут отвлекать команду от работы, но при этом все участники будут надежно защищены от вредоносных ссылок и зараженных файлов
  • информация в диалогах не передается боту и не хранится на сторонних серверах, а остается конфиденциальной
  • нет ограничений по количеству анализируемых файлов и ссылок в день

Узнать подробнее о возможностях бота Dr.Web для Telegram и запросить коммерческие условия можно по электронной почте - T-projects@drweb.com


Читать оригинал



#910627 «Доктор Веб» сообщает о выпуске обновления Dr.Web FixIt! 2.3

Отправлено по News Robot в 28 Февраль 2024 - 04:00 В: Новости компании

28 февраля 2024г.

Как и любой продукт компании «Доктор Веб», Dr.Web FixIt! непрерывно совершенствуется. Мы следим за потребностями пользователей и стремимся создавать решения, которые не только эффективны, но и удобны в использовании.

Чтобы сделать Dr.Web FixIt! версии 2.3 еще удобнее, мы:

  • Увеличили максимальный размер загружаемого отчета до 12 ГБ;
  • Исправили ошибку, которая появлялась при отображении информации о файле;
  • Добавили вкладку "Данные" в разделе "Процессы";
  • Добавили возможность отправлять запрос по нажатию клавиши Enter во вкладке "Новый фильтр" для ускорения работы;
  • Внесли изменения в интерфейс для удобства пользователей.

Dr.Web FixIt! — сервис для удаленной диагностики инцидентов информационной безопасности и устранения их последствий. В отличие от продуктов, предназначенных для обнаружения уже известных (или похожих на известные) вредоносных программ с помощью вирусных баз, Dr.Web FixIt! позволяет выявлять новейшие вредоносные программы, а также программы, используемые для целевых атак и не выявляемые никакими иными инструментами.

Демо-доступ к сервису Dr.Web FixIt! можно запросить по ссылке.


Читать оригинал



#910612 Обновленная версия Dr.Web Family Security

Отправлено по News Robot в 27 Февраль 2024 - 05:00 В: Новости компании

Обновленная версия Dr.Web Family Security

27 февраля 2024 г.

Компания «Доктор Веб» выпускает обновление Dr.Web Family Security. В приложении повышена стабильность работы и улучшена функциональность. Исправлены ошибки в компонентах: Контроль приложений, Фильтр звонков и СМС, URL фильтр.

Запросить обновление вы можете в самом приложении Dr.Web Family Security. Для этого необходимо на главном экране перейти в Меню и выбрать пункт О приложении. Затем на экране О приложении нажмите Меню и выберите Обновление. Также вы можете просто переустановить приложение, скачав актуальный дистрибутив.

Узнать подробнее о Dr.Web Family Security и получить демо-доступ на 14 дней можно на странице.

Обращаем ваше внимание, что приложение не выполняет функцию антивирусного решения.

Dr.Web Family Security


Читать оригинал



#910490 Компания «Доктор Веб» сообщает о продлении сертификата соответствия Миноборон...

Отправлено по News Robot в 19 Февраль 2024 - 04:00 В: Новости компании

19 февраля 2024 г.

Министерство обороны РФ продлило действие сертификата соответствия №3075 на линейку продуктов Dr.Web Enterprise Security Suite до 26 января 2029 года.

Сертификат Минобороны России удостоверяет, что Dr.Web Enterprise Security Suite соответствует требованиям:

  • документа «Требования к средствам антивирусной защиты» (ФСТЭК России, 2012 г.);
  • документа «Профиль защиты средств антивирусной защиты типа «А» второго класса защиты» ИТ.САВЗ.А2.ПЗ (ФСТЭК России, 2012 г.) в части компонента «Центр управления Dr.Web»;
  • документа «Профиль защиты средств антивирусной защиты типа «Б» второго класса защиты» ИТ.САВЗ.Б2.ПЗ (ФСТЭК России, 2012 г.) в части компонентов:
    • «Dr.Web Server Security Suite (для Windows)»,
    • «Dr.Web Server Security Suite (для Unix)»,
    • «Dr.Web Mail Security Suite (для Unix)»,
    • «Dr.Web Mail Security Suite (для Exchange)»,
    • «Dr.Web Gateway Security Suit (для Unix)»;
  • документа «Профиль защиты средств антивирусной защиты типа «В» второго класса защиты» ИТ.САВЗ.В2.ПЗ (ФСТЭК России, 2012 г.) и документа «Профиль защиты средств антивирусной защиты типа «Г» второго класса защиты» ИТ.САВЗ.Г2.ПЗ (ФСТЭК России, 2012 г.) в части компонентов:
    • «Dr.Web Desktop Security Suite (для Windows)»,
    • «Dr.Web Desktop Security Suite (для Linuх)»;
  • руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 г.) - по 2 уровню контроля отсутствия недекларированных возможностей;
  • по соответствию реальных и декларируемых в документации функциональных возможностей.

Копия сертификата предоставляется по письменному запросу, направленному в адрес компании «Доктор Веб», с обоснованием необходимости получения такой копии.


Читать оригинал



#910455 Защитите свой цифровой мир со скидкой 20% на Dr.Web Security Space для Androi...

Отправлено по News Robot в 17 Февраль 2024 - 04:00 В: Новости компании

17 февраля 2024 года

Приближается День защитника Отечества, и мы объявляем старт праздничной акции: с сегодняшнего дня и до 23 февраля 2024 года включительно годовую лицензию Dr.Web Security Space для 2 Android-устройств вы можете приобрести со скидкой 20%.

Защита сразу для 2 гаджетов — будь то смартфон, планшет, игровая консоль или «умный» телевизор — на 12 месяцев всего за 784 рубля.

С Dr.Web Security Space для Android ваш мобильный помощник не пропустит ни одного трояна, предотвратит общение со злоумышленниками, убережет от посещения опасных сайтов и даже поможет найти ваш смартфон, если он вдруг потеряется.

Получить скидку 20%


Читать оригинал



#910398 Dr.Web Family Security — новое мобильное приложение от «Доктор Веб» для цифро...

Отправлено по News Robot в 14 Февраль 2024 - 13:00 В: Новости компании

14 февраля 2024 года

Представляем вашему вниманию новое приложение Dr.Web Family Security, разработанное специально для всей семьи.

С ним вы создадите безопасную цифровую среду, защитите близких от мошеннических действий и построите здоровые отношения с гаджетами у детей.

Dr.Web Family Security решает самые наболевшие вопросы многих родителей:

  • Дети и пожилые родственники будут под бережным присмотром. Благодаря функции определения местоположения вы будете знать, где они сейчас находятся.
  • В случае утери или кражи, вы найдете устройство по геолокации и сможете его удаленно заблокировать.
  • Ребенок научится умеренному использованию гаджетов и не столкнется с неприемлемым контентом. Приложение позволяет ограничить время просмотра соцсетей и онлайн-игр, поддерживая здоровый режим дня и охраняя детскую психику.
  • Фильтрация звонков и СМС ограничит ваших близких от СМС-спама и мошеннических звонков.

Узнать подробнее о Dr.Web Family Security и получить демо-доступ на 14 дней можно на странице.

Первым 10 покупателям «Доктор Веб» подарит книгу «Ловушка для кибердвоечника» (отправка книги осуществляется за счет компании только по РФ).

Обращаем ваше внимание, что приложение не выполняет функцию антивирусного решения.

Dr.Web Family Security


Читать оригинал



#910230 Предстоит обновление песочницы Dr.Web vxCube

Отправлено по News Robot в 05 Февраль 2024 - 05:00 В: Новости компании

5 февраля 2024 года

Компания «Доктор Веб» уведомляет пользователей о предстоящем обновлении облачной версии Dr.Web vxCube. В связи с этим «песочница» будет недоступна 7 февраля с 12:00 до 13:00 по московскому времени.

Продукт продолжает развиваться в соответствии с запросами пользователей, на этот раз мы внесли не сильно заметные, но важные изменения, упрощающие проверку и анализ ее результатов.

В рамках релиза были расширены возможности Linux-анализатора: для него развернуты новые образы с поддержкой следующих архитектур (без графического интерфейса):

  • Debian 11 (Bullseye) ARM 64-bit
  • Debian 8 (Jessie) ARMel 32-bit
  • Debian 11 (Bullseye) ARMhf 32-bit
  • Debian 11 (Bullseye) Intel 32-bit
  • Debian 11 (Bullseye) Intel 64-bit
  • Debian 10 (Buster) MIPS 32-bit
  • Debian 11 (Bullseye) MIPSel 32-bit
  • Debian 11 (Bullseye) MIPSel 64-bit
  • Debian 8 (Jessie) PowerPC 32-bit
  • Debian 11 (Bullseye) PowerPCel 64-bit

Также в API ответа о результатах анализа были добавлены сведения о сработавших YARA- правилах и тегах, что позволит быстрее распознать, какое из ранее созданных правил сработало. Теперь есть возможность включать и выключать в ответе функцию создания видеозаписи о поведении объекта в определенной среде, если файлы были отправлены на проверку через API. В любом случае видеозапись вы всегда сможете просмотреть в веб-консоли Dr.Web vxCube. Вместе с тем исправлена ошибка, возникавшая при скачивании архива с результатами проверки Linux-анализатора, и внесен ряд исправлений в интерфейс «песочницы».

Также обновлены встроенная справка и документация к Dr.Web vxCube.

Анализатор Dr.Web vxCube проверяет подозрительные файлы, воспроизводя их поведение в изолированной виртуальной среде. Он позволяет выявить признаки заражения компьютерных систем и своевременно пресечь попытки атак, в том числе целевых (APT).

Dr.Web vxCube позволяет проводить анализ объектов для Windows, Linux и для отечественных ОС (Astra Linux 1.7.3 Воронеж и 2.12 Орел). Также с помощью песочницы Dr.Web vxCube вы можете анализировать приложения в формате APK для Android. Песочница доступна в двух версиях — облачной и оn-premise.

Чтобы получить демодоступ к облачной версии Dr.Web vxCube, воспользуйтесь специальной формой.


Читать оригинал



#910192 «Доктор Веб» прекращает продажу лицензий с дополнительным компонентом Криптог...

Отправлено по News Robot в 01 Февраль 2024 - 17:07 В: Новости компании

1 февраля 2024 г.

Прекращение продажи компонента Криптографа связано с приостановкой разработки данного продукта компанией «Программные системы Атлансис».

До конца 2024 года «Программные системы Атлансис» будет осуществлять техническую поддержку пользователей, купивших ПО Dr.Web с дополнительным компонентом Криптограф.


Читать оригинал



#910190 Продлен срок действия сертификата соответствия ФСТЭК России

Отправлено по News Robot в 01 Февраль 2024 - 06:00 В: Новости компании

1 февраля 2024 года

Продлен срок действия сертификата соответствия ФСТЭК России № 3509 — он будет действовать до 27 января 2029 года.

Сертифицированные продукты линейки Dr.Web Enterprise Security Suite соответствуют требованиям по безопасности информации по 2 уровню доверия и могут использоваться:

  • в информационных (автоматизированных) системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну
  • в значимых объектах критической информационной инфраструктуры
  • в государственных информационных системах
  • в автоматизированных системах управления производственными и технологическими процессами
  • в информационных системах персональных данных при необходимости обеспечения защищенности персональных данных и в информационных системах общего пользования

Все лицензии и сертификаты нашей компании представлены на этой странице.

FSTEK


Читать оригинал



#910161 «Доктор Веб»: обзор вирусной активности для мобильных устройств в декабре 202...

Отправлено по News Robot в 30 Январь 2024 - 07:00 В: Новости компании

30 января 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в декабре 2023 года наиболее активными вредоносными приложениями вновь стали рекламные троянские программы Android.HiddenAds. Однако пользователи сталкивались с ними на 53,89% реже по сравнению с месяцем ранее. Кроме того, снизилось число атак банковских троянских программ и шпионских приложений ― на 0,88% и 10,83% соответственно.

В течение последнего месяца минувшего года вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play очередные вредоносные программы-подделки из семейства Android.FakeApp, применяемые в различных мошеннических схемах. Также наши специалисты выявили очередные сайты, через которые злоумышленники распространяли поддельные приложения криптокошельков.

ГЛАВНЫЕ ТЕНДЕНЦИИ ДЕКАБРЯ

  • На защищаемых устройствах чаще всего обнаруживались рекламные троянские программы из семейства Android.HiddenAds
  • Снизилась активность банковских троянов и вредоносных приложений-шпионов
  • В каталоге Google Play были выявлены новые вредоносные программы
  • Продолжили выявляться сайты, распространяющие фальшивые приложения криптокошельков для устройств под управлением как ОС Android, так и iOS

По данным антивирусных продуктов Dr.Web для Android

Android.Spy.5106
Детектирование троянской программы, представляющей собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.
Android.HiddenAds.3831
Android.HiddenAds.3851
Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.MobiDash.7805
Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.
Android.Click.1751
Троян, встраиваемый в модификации мессенджера WhatsApp и маскирующийся под классы библиотек от Google. Во время использования приложения-носителя Android.Click.1751 делает запросы к одному из управляющих серверов. В ответ троян получает две ссылки, одна из которых предназначена для русскоязычных пользователей, а другая ― для всех остальных. Затем он демонстрирует диалоговое окно с полученным от сервера содержимым и после нажатия пользователем на кнопку подтверждения загружает соответствующую ссылку в браузере.
Program.CloudInject.1
Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционного управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeAntiVirus.1
Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.wSpy.3.origin
Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет злоумышленникам читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.
Program.FakeMoney.7
Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.
Program.SecretVideoRecorder.1.origin
Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.
Tool.NPMod.1
Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.LuckyPatcher.1.origin
Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Эти платформы создают виртуальную среду исполнения в контексте приложений, в которые они встроены. Запускаемые с их помощью APK-файлы могут работать так, как будто являются частью таких программ, и автоматически получать те же разрешения.
Tool.ApkProtector.16.origin
Детектирование Android-приложений, защищенных программным упаковщиком ApkProtector. Этот упаковщик не является вредоносным, однако злоумышленники могут использовать его при создании троянских и нежелательных программ, чтобы антивирусам было сложнее их обнаружить.
Adware.ShareInstall.1.origin
Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС Android.
Adware.Adpush.21846
Adware.AdPush.39.origin
Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.Airpush.7.origin
Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.
Adware.Fictus.1.origin
Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений и после установки демонстрируют нежелательную рекламу.

Угрозы в Google Play

В декабре 2023 года специалисты компании «Доктор Веб» обнаружили в каталоге Google Play новые троянские программы из семейства Android.FakeApp. Например, Android.FakeApp.1564 злоумышленники распространяли под видом приложения, позволяющего вести учет долгов. Троян Android.FakeApp.1563 скрывался в программе для прохождения опросов. А Android.FakeApp.1569 мошенники выдавали за инструмент, помогающий повысить продуктивность и выработать полезные привычки.

Все эти программы-подделки загружали мошеннические сайты финансовой тематики, которые копировали дизайн настоящих сайтов банков, новостных агентств и других известных организаций. Кроме того, в их оформлении использовались соответствующие названия и логотипы. На таких мошеннических интернет-ресурсах пользователям предлагалось стать инвесторами, пройти обучение финансовой грамотности, получить финансовую помощь и т. д. При этом требовалось указать персональные данные ― якобы для регистрации учетной записи и получения доступа к соответствующим сервисам.

Примеры загружаемых троянами поддельных сайтов:

А вредоносные приложения Android.FakeApp.1566, Android.FakeApp.1567 и Android.FakeApp.1568 распространялись под видом игр:

Вместо запуска игр они могли загружать сайты букмекеров и онлайн-казино, как показано на примере ниже.

Работа одной из этих троянских программ в игровом режиме:

Один из загруженных ей сайтов:

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации

Dr.Web Mobile Security

Ваш Android нуждается в защите.

Используйте Dr.Web

  • Первый российский антивирус для Android
  • Более 140 миллионов скачиваний только с Google Play
  • Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно



Читать оригинал



#910162 «Доктор Веб»: обзор вирусной активности в декабре 2023 года

Отправлено по News Robot в 30 Январь 2024 - 06:00 В: Новости компании

30 января 2023 года

Анализ статистики детектирований антивируса Dr.Web в декабре 2023 года показал рост общего числа обнаруженных угроз на 40,87% по сравнению с ноябрем. Число уникальных угроз также увеличилось ― на 24,55%. По количеству детектирований вновь лидировали рекламные троянские и нежелательные приложения, а также вредоносные программы, которые распространяются в составе других угроз и затрудняют их обнаружение. В почтовом трафике чаще всего выявлялись фишинговые документы различных форматов.

Число обращений пользователей за расшифровкой файлов снизилось на 27,95% по сравнению с предыдущим месяцем. Чаще всего жертвы троянских программ-шифровальщиков сталкивались с Trojan.Encoder.26996, Trojan.Encoder.3953 и Trojan.Encoder.37369, на долю которых пришлось 21,76%, 20,73% и 4,14% зафиксированных инцидентов соответственно.

В декабре специалисты компании «Доктор Веб» обнаружили в каталоге Google Play очередные вредоносные программы. Кроме того, были выявлены новые сайты, через которые злоумышленники распространяли поддельные приложения криптокошельков для ОС Android и iOS.

Главные тенденции декабря

  • Рост общего числа обнаруженных угроз
  • Доминирование фишинговых документов во вредоносном почтовом трафике
  • Снижение числа обращений пользователей за расшифровкой файлов, затронутых шифровальщиками
  • Обнаружение новых вредоносных приложений в каталоге Google Play
  • Продолжающееся распространение поддельных криптокошельков для мобильных устройств

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы декабря:

Adware.Downware.20091
Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
Adware.Siggen.33194
Детектирование созданного с использованием платформы Electron бесплатного браузера со встроенным рекламным компонентом. Этот браузер распространяется через различные сайты и загружается на компьютеры при попытке скачивания торрент-файлов.
Trojan.AutoIt.1224
Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений ― майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.
Adware.SweetLabs.5
Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.
Trojan.BPlug.3814
Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.

Статистика вредоносных программ в почтовом трафике

W97M.Phishing.44
W97M.Phishing.88
W97M.Phishing.85
Фишинговые документы Microsoft Word, которые нацелены на пользователей, желающих стать инвесторами. Они содержат ссылки, ведущие на мошеннические сайты.
PDF.Phisher.642
PDF-документы, используемые в фишинговых email-рассылках.
JS.Inject
Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

Шифровальщики

В декабре 2023 года число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, снизилось на 27,95% по сравнению с ноябрем.

Наиболее распространенные энкодеры декабря:

Trojan.Encoder.26996 — 21.76%
Trojan.Encoder.3953 — 20.73%
Trojan.Encoder.37369 — 4.14%
Trojan.Encoder.34790 — 3.63%
Trojan.Encoder.30356 — 3.11%

Опасные сайты

В декабре 2023 года интернет-аналитики компании «Доктор Веб» продолжили выявлять мошеннические сайты инвестиционной тематики, якобы имеющие отношение к нефтегазовым компаниям, банкам и другим организациям. Посетителям таких сайтов предлагается указать персональные данные для регистрации учетной записи и получения доступа к тем или иным финансовым сервисам.

В период новогодних праздников злоумышленники соответствующим образом скорректировали эту схему обмана: они привлекали потенциальных жертв «подарками» и «специальными условиями». Например, на одном из мошеннических сайтов посетителям «в честь наступающего нового года» предлагался бесплатный доступ к некой инвестиционной платформе:

А на другом сайте ― якобы при поддержке правительства Российской Федерации и одной крупной нефтегазовой компании ― всех граждан «ждали» социальные выплаты:

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в декабре пользователей чаще всего атаковали рекламные троянские программы Android.HiddenAds. В то же время активность этих вредоносных приложений снизилась по сравнению с предыдущим месяцем. Также снизилось число атак банковских троянов и вредоносных программ-шпионов.

В течение декабря вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play очередные программы-подделки из семейства Android.FakeApp. Кроме того, наши специалисты обнаружили новые сайты, которые злоумышленники используют для распространения поддельных приложений криптокошельков для устройств на базе ОС Android и iOS.

Наиболее заметные события, связанные с «мобильной» безопасностью в декабре:

  • снижение активности рекламных троянских программ Android.HiddenAds,
  • снижение активности банковских троянов и шпионских троянских приложений,
  • обнаружение новых вредоносных программ в каталоге Google Play,
  • обнаружение новых сайтов, через которые распространяются поддельные приложения криптокошельков.

Более подробно о вирусной обстановке для мобильных устройств в декабре читайте в нашем обзоре.



Читать оригинал



#910099 «Доктор Веб» представляет продукт для защиты АСУ ТП – Dr.Web Industrial

Отправлено по News Robot в 29 Январь 2024 - 14:31 В: Новости компании

29 января 2024

Компания «Доктор Веб» объявляет о выпуске ожидаемого многими клиентами продукта для защиты АСУ ТП - Dr.Web Industrial.

Ключевая роль АСУ ТП в функционировании объектов критической инфраструктуры и промышленных предприятий делает их объектами для сложных и комплексных кибератак и несанкционированного внутреннего вмешательства.

Dr.Web Industrial позволяет не прерывать технологический процесс при обнаружении вредоносной активности. Все участники производственной цепочки, от оператора рабочей станции до ИБ-службы компании могут отслеживать ситуацию в режиме реального времени и принимать решение по устранению угрозы безопасности.

Новый антивирусный продукт осуществляет защиту серверов и рабочих станций в промышленных системах управления и на объектах критической инфраструктуры от заражения и целевых атак. Лицензирование Dr.Web Industrial осуществляется по количеству защищаемых объектов АСУ ТП.

Узнать подробнее о продукте Dr.Web Industrial и запросить демо-доступ вы можете здесь


Читать оригинал



#910039 О продлении сертификата соответствия ФСТЭК России

Отправлено по News Robot в 27 Январь 2024 - 14:37 В: Новости компании

27 января 2024 года

Компания «Доктор Веб» информирует своих пользователей, что все необходимые сертификационные мероприятия для продления срока действия сертификата соответствия ФСТЭК России № 3509 своевременно проведены, соответствующие документы подготовлены в полном объеме и переданы в Федеральную службу по техническому и экспортному контролю.

Срок действия сертификата №3509 истекает 27 января 2024 года, и представители ФСТЭК уведомили нашу компанию, что он будет продлен регулятором в ближайшее время в рабочем режиме.

Пользователи сертифицированных продуктов Dr.Web продолжают бесперебойно получать техническую поддержку со стороны нашей компании. Напоминаем, что срок техподдержки сертифицированного ПО заявлен до 31 декабря 2031 года, о чём сделана запись в государственном реестре сертифицированных средств защиты информации. О получении обновленного сертификата соответствия ФСТЭК России мы сообщим отдельной новостью.


Читать оригинал



#909976 Продукты Dr.Web получили награду SKD AWARDS

Отправлено по News Robot в 25 Январь 2024 - 16:35 В: Новости компании

25 января 2024 года

Продукты Dr.Web были отмечены премией SKD AWARDS, которая с 2013 года вручается наиболее выдающимся продуктам среди прошедших тестирование и получивших сертификат сетевой безопасности SKD Labs. Dr.Web Security Space для Windows признан лучшим продуктом в категории «Антивирусы для ПК», а Dr.Web Mobile Engine SKD победил в категории «Антивирусные движки».

Лаборатория SKD Labs проверяет функции продуктов, их производительность и возможности в сценариях, наиболее близких к реальным ситуациям, и проводит их всестороннюю оценку.

Dr.Web Security Space для Windows получает SKD AWARDS уже второй год подряд. Очередное признание авторитетных экспертов говорит о том, что это решение не только соответствует международным стандартам и полностью отвечает потребностям пользователей, но и постоянно совершенствуется.

Антивирусную технологию Dr.Web Mobile Engine SKD «Доктор Веб» вывел на рынок сравнительно недавно, и мы гордимся, что ее уже отметили наградой.

Dr.Web Mobile Engine SKD — это инструмент для интеграции в Android-приложения функционала антивирусных продуктов Dr.Web, которые обеспечивают высокий уровень безопасности: защищают как от уже известных, так и новейших угроз. Код интегрируется с проектами на языках C, C++ и Java. Модуль уже успешно применяется в ряде партнерских приложений.

Компания «Доктор Веб» открыта для сотрудничества и готова предложить технологию Dr.Web Mobile Engine SKD для использования в различных проектах. Мы предоставим всю информацию, необходимую для успешной интеграции модуля в ваше решение.

С Dr.Web Mobile Engine и другими технологиями компании «Доктор Веб» можно ознакомиться на этой странице. Свяжитесь с нами, чтобы обсудить возможности их использования в вашем проекте.

SKD AWARDS

SKD AWARDS


Читать оригинал



#909916 Новая лицензия ФСТЭК России для «Доктор Веб» действует до 2028 года

Отправлено по News Robot в 24 Январь 2024 - 12:49 В: Новости компании

24 января 2024 года

Компания «Доктор Веб» получила от Федеральной службы по техническому и экспортному контролю (ФСТЭК) России новую лицензию на проведение работ, связанных с созданием средств защиты информации.

«Доктор Веб» продолжит работы, связанные с созданием средств защиты информации, в рамках новой лицензии ФСТЭК России, которая была выдана 19 января 2024 года и действует до 17 июля 2028 года.

Этот документ позволяет проводить разработку, производство, монтаж, наладку, испытания, ремонт и сервисное обслуживание продуктов Dr.Web с учетом их полного соответствия требованиям к защите сведений, составляющих государственную тайну. «Доктор Веб» продолжает соответствовать всем требованиям отечественных регуляторов в области защиты информации и всегда готов предложить пользователям сертифицированные версии антивируса Dr.Web.

Все лицензии и сертификаты нашей компании представлены на этой странице.


Читать оригинал



#909778 Какие приманки использовали мошенники в 2023 году

Отправлено по News Robot в 17 Январь 2024 - 15:40 В: Новости компании

17 января 2024 года

«Доктор Веб» рассказывает о том, какие фишинговые схемы киберпреступники чаще всего использовали в прошедшем году. К сожалению, спада этого вида криминальной активности не наблюдается. Однако зная о возможных угрозах, можно защитить свои цифровые активы и конфиденциальные данные.

Псевдобанки

2023 год оказался насыщенным в плане фишинга на банковскую тематику. К этому типу относится примерно 60% всех фишинговых атак, зафиксированных аналитиками «Доктор Веб». Мошенники по-прежнему создают сайты, имитирующие ресурсы популярных банков, чтобы получить несанкционированный доступ к счетам пользователей и совершать финансовые махинации.

Специалисты компании «Доктор Веб» выявляют огромное количество подобных подделок, на которых размещаются либо псевдоопросы, либо фейковые формы входа в личный кабинет банка. Встречаются поддельные личные кабинеты, которые полностью копируют дизайн страницы входа на официальном ресурсе. Размещаться они могут как на отдельных доменах, так и на страницах взломанных сторонних сайтов. При этом сами фишинговые ссылки живут очень недолго: максимум несколько часов.

Сбор средств на СВО

Также следует отметить специфические атаки, связанные с пожертвованиями денежных средств на нужды СВО. Мошенники выдают себя за представителей благотворительных фондов и злоупотребляют доверием пользователей, убеждая их добровольно совершать переводы.

Инвестиции в нефтегазовую отрасль и социальные выплаты

Уже четвертый год подряд мы наблюдаем в действии фишинговую схему, связанную с «инвестициями» в нефтегазовую отрасль и социальными выплатами. Чтобы заполучить личные данные и финансовые реквизиты пользователей, преступники используют поддельные сайты, очень похожие на официальные ресурсы. Очевидно, что они не собираются останавливаться, несмотря на то, что компании и правоохранительные органы принимают меры по информированию о таких атаках.

Купоны, подарки и театральные билеты

Традиционно повышенная активность мошенников наблюдалась перед началом крупных онлайн-распродаж, связанных с праздничными датами, такими как Новый год, 14 февраля и 8 марта. В это время растет число фишинговых атак, связанных с «купонами», «подарками» и «театральными билетами».

Мошенники вводят ничего не подозревающих пользователей в заблуждение, рассылая электронные письма или сообщения с привлекательными спецпредложениями (обычно речь о скидках или акциях). Чтобы получить доступ к счетам и средствам жертв, злоумышленники перенаправляют их на поддельные веб-сайты, похожие на официальные страницы крупных интернет-магазинов.

Опросы

В 2023 году была выявлена волна опросов, якобы связанных с банками. Выдавая себя за представителей финансовых организаций, киберпреступники убеждают пользователей раскрыть свои данные. Как правило, в конце опроса от псевдобанка пользователю предлагается ввести ФИО, номер телефона и email, чтобы «начать зарабатывать». Полученная таким путем информация в дальнейшем может использоваться для создания баз данных с целью мошенничества.

Чтобы защититься от фишинговых атак, используйте надежные антивирусные программы, будьте внимательны при получении подозрительных сообщений или ссылок, а также регулярно обновляйте пароли и мониторьте активность в своих учетных записях.

Не предоставляйте личные данные и не совершайте транзакции по подозрительным запросам.

Если вы предполагаете, что вас атакуют мошенники, не рискуйте и немедленно свяжитесь со службой поддержки организации, от имени которой получили подозрительное сообщение или предложение. Это поможет предотвратить возможные финансовые потери или утечку ваших личных данных.


Читать оригинал



#909741 Скрытый майнер в пиратском ПО позволяет злоумышленникам обогащаться за счет с...

Отправлено по News Robot в 15 Январь 2024 - 13:00 В: Новости компании

15 января 2024 года

Компания «Доктор Веб» сообщает об участившихся случаях выявления троянов-майнеров для скрытой добычи криптовалюты в составе пиратского ПО, доступного в Telegram и на некоторых интернет-площадках.

В декабре 2023 года сотрудники вирусной лаборатории «Доктор Веб» отметили рост числа детектирований трояна-майнера Trojan.BtcMine.3767 и связанного с ним Trojan.BtcMine.2742, которые, как выяснилось, попадали на компьютеры пользователей с пиратскими дистрибутивами различного программного обеспечения.

Trojan.BtcMine.3767 представляет собой троянскую программу для ОС Windows, написанную на языке С++. Это загрузчик майнера, созданный на базе проекта SilentCryptoMiner с открытым кодом. Основными источниками инфицированного данным трояном ПО являются Telegram канал t[.]me/files_f (более 5000 подписчиков), а также сайты itmen[.]software и soft[.]sibnet[.]ru. Отметим, что для последнего подготавливались отдельные сборки с использованием установщика NSIS. При этом после распаковки инсталляционного пакета были обнаружены пути, которые злоумышленники использовали для хранения исходных файлов трояна:

C:bot_sibnetResourcessoftportalexe
C:bot_sibnetResourcesprotect_buildminer

По данным вирусной лаборатории «Доктор Веб», за полтора месяца одна из кампаний по распространению данного трояна привела к заражению более 40 000 компьютеров. Однако, учитывая статистику просмотров публикаций в Telegram-канале и трафик сайтов, масштаб проблемы может оказаться ещё более значительным.

После запуска загрузчик копирует себя в каталог %ProgramFiles%googlechrome под именем updater.exe и создает задачу планировщика для обеспечения автозагрузки при запуске ОС. В целях маскировки задача имеет название GoogleUpdateTaskMachineQC. Кроме того, загрузчик прописывает свой файл в исключения антивируса Windows Defender, а также запрещает компьютеру выключаться и уходить в режим гибернации. Начальные настройки зашиты в тело трояна, в дальнейшем получение настроек выполняется с удаленного хоста. После инициализации в процесс explorer.exe внедряется полезная нагрузка — Trojan.BtcMine.2742, троян, отвечающий за скрытую добычу криптовалюты.

Дополнительно загрузчик позволяет устанавливать на скомпрометированный компьютер бесфайловый руткит r77, запрещать обновления ОС Windows, блокировать доступ к сайтам, автоматически удалять и восстанавливать свои исходные файлы, приостанавливать процесс добычи криптовалюты, а также выгружать занимаемую майнером оперативную и видеопамять при запуске на зараженном компьютере программ для мониторинга процессов.

Антивирус Dr.Web успешно обнаруживает и нейтрализует трояны Trojan.BtcMine.3767 и Trojan.BtcMine.2742, поэтому для наших пользователей они не представляют какой-либо угрозы.

Индикаторы компрометации

Читать оригинал



#909542 Оптимальная защита: новые пакеты в рамках подписочной модели использования Dr...

Отправлено по News Robot в 28 Декабрь 2023 - 16:17 В: Новости компании

28 декабря 2023 года

Компания «Доктор Веб» сообщает о предстоящих изменениях в продуктовой линейке, которые связаны с использованием антивируса по подписке. С 1 января 2024 года для пользователей — физических лиц вводятся новые пакеты: Антивирус Dr.Web (пакет Персональный), Антивирус Dr.Web (пакет Мобильный) и Антивирус Dr.Web (пакет Расширенный). Такое разделение более полно отвечает потребностям в антивирусной защите пользовательских устройств. С 01.01.2024 новым пользователям будут доступны только перечисленные выше пакеты, а на действующие сейчас тарифы Антивирус Dr.Web (Dr.Web Мобильный), Антивирус Dr.Web (Dr.Web Мобильный бессрочный) и Антивирус Dr.Web (Dr.Web Премиум) оформить подписку будет нельзя.

Активные на момент 31.12.2023 подписки на Антивирус Dr.Web (Dr.Web Мобильный) и Антивирус Dr.Web (Dr.Web Премиум) будут действовать до 31.03.2024 включительно. До этой даты мы рекомендуем всем, кто подписался на действующие тарифы через сайт drweb.ru, перейти на новые пакеты. С 01.04.2024 такой переход произойдет автоматически:

  • с тарифа Антивирус Dr.Web (Dr.Web Премиум) на Антивирус Dr.Web (пакет Расширенный),
  • с тарифа Антивирус Dr.Web (Dr.Web Мобильный) на Антивирус Dr.Web (пакет Мобильный).

Для подписчиков тарифа Антивирус Dr.Web (Dr.Web Мобильный бессрочный) ничего не изменится.


Читать оригинал



#909504 «Доктор Веб»: обзор вирусной активности для мобильных устройств в ноябре 2023...

Отправлено по News Robot в 21 Декабрь 2023 - 07:00 В: Новости компании

21 декабря 2023 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в ноябре 2023 года пользователи реже сталкивались с рекламными троянскими приложениями семейств Android.HiddenAds и Android.MobiDash. Активность первых снизилась на четверть (25,03%), вторых — более чем на треть (35,87%). Кроме того, на защищаемых устройствах реже обнаруживались банковские трояны и вредоносные программы-шпионы — на 3,53% и 17,10% соответственно.

Вместе с тем злоумышленники вновь распространяли вредоносные программы через каталог Google Play. Наши специалисты выявили в нем более двух десятков троянских программ семейства Android.FakeApp, используемых в мошеннических целях, а также очередного трояна, подписывающего владельцев Android-устройств на платные услуги.

ГЛАВНЫЕ ТЕНДЕНЦИИ НОЯБРЯ

  • Снижение активности рекламных троянских программ
  • Снижение активности банковских троянов и вредоносных приложений-шпионов
  • Распространение новых вредоносных программ через каталог Google Play

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.3831
Android.HiddenAds.3697
Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.MobiDash.7805
Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.
Android.Spy.5106
Детектирование троянской программы, представляющей собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.
Android.Spy.5864
С помощью этой вирусной записи антивирус Dr.Web обнаруживает троянскую программу, которая скрывается в ряде сторонних модификаций мессенджера WhatsApp. Злоумышленники используют эту вредоносную программу для слежки за пользователями. Например, они могут искать файлы на устройствах жертв и загружать их на удаленный сервер, собирать данные из телефонной книги, получать информацию о зараженном устройстве, выполнять аудиозапись окружения с целью прослушивания и т. д.
Program.CloudInject.1
Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционного управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeAntiVirus.1
Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.wSpy.3.origin
Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет злоумышленникам читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.
Program.FakeMoney.7
Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Даже когда пользователям это удается, получить выплаты они не могут.
Program.TrackView.1
Детектирование приложения, позволяющего вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.
Tool.NPMod.1
Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin
Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Эти платформы создают виртуальную среду исполнения в контексте приложений, в которые они встроены. Запускаемые с их помощью APK-файлы могут работать так, как будто являются частью таких программ, и автоматически получать те же разрешения.
Tool.LuckyPatcher.1.origin
Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Adware.ShareInstall.1.origin
Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС Android.
Adware.AdPush.36.origin
Adware.AdPush.39.origin
Adware.Adpush.21846
Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут быть похожи на сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.Airpush.7.origin
Представитель семейства рекламных модулей, встраиваемых в Android-приложения и демонстрирующих разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Угрозы в Google Play

В ноябре вирусная лаборатория компании «Доктор Веб» выявила в каталоге Google Play очередные вредоносные программы из семейства Android.FakeApp. Некоторые из них распространялись под видом программ финансовой тематики — обучающих и справочных приложений, домашних бухгалтерий, инструментов для доступа к инвестиционным сервисам и т. п. Среди них — Android.FakeApp.1497, Android.FakeApp.1498, Android.FakeApp.1499, Android.FakeApp.1526, Android.FakeApp.1527 и Android.FakeApp.1536. Их основной задачей является загрузка мошеннических сайтов, где пользователям предлагается стать инвесторами. Для этого те должны указать свои персональные данные.

Еще одна программа-подделка, Android.FakeApp.1496, скрывалась в приложении-справочнике с доступом к правовой информации. Она могла загружать сайт, через который жертвы мошенников в сфере инвестиций якобы могли получить правовую помощь и вернуть утраченные деньги.

Сайт, который загружала эта троянская программа, представлен ниже. Посетитель должен ответить на несколько вопросов, после чего заполнить форму для «получения бесплатной «консультации с юристом».

Другие программы-подделки злоумышленники вновь выдавали за игры. Например, Android.FakeApp.1494, Android.FakeApp.1503, Android.FakeApp.1504, Android.FakeApp.1533 и Android.FakeApp.1534. В ряде случаев они действительно работают как игры, однако их основная функция — загрузка сайтов онлайн-казино и букмекерских контор.

Примеры работы этих троянов в качестве игр:

Пример загруженного одним из них букмекерского сайта:

Также наши специалисты обнаружили очередную вредоносную программу, предназначенную для подключения пользователей к платным сервисам. Злоумышленники распространяли ее под видом приложения Air Swipes для управления Android-устройствами при помощи жестов.

При запуске этот троян загружает сайт партнерского сервиса, через который оформляется подписка:

Если жертва запускает программу при отключенном доступе в интернет или если целевой сайт недоступен, программа выдает себя за обещанное приложение, но никакой полезной функциональности не предоставляет, сообщая об ошибке. Антивирус Dr.Web детектирует это троянское приложение как Android.Subscription.21.

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации

Dr.Web Mobile Security

Ваш Android нуждается в защите.

Используйте Dr.Web

  • Первый российский антивирус для Android
  • Более 140 миллионов скачиваний только с Google Play
  • Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно



Читать оригинал



#909503 «Доктор Веб»: обзор вирусной активности в ноябре 2023 года

Отправлено по News Robot в 21 Декабрь 2023 - 05:00 В: Новости компании

21 декабря 2023 года

Анализ статистики детектирований антивируса Dr.Web в ноябре 2023 года показал снижение общего числа обнаруженных угроз на 18,09% по сравнению с октябрем. Число уникальных угроз при этом также снизилось — на 13,79%. Чаще всего детектировались нежелательные рекламные программы и рекламные трояны, а также вредоносные приложения, которые распространяются в составе других угроз и затрудняют их обнаружение. В почтовом трафике преобладали фишинговые документы, вредоносные скрипты, программы, которые эксплуатируют уязвимости документов Microsoft Office, а также различные загрузчики, скачивающие другие вредоносные приложения на атакуемые компьютеры.

Число обращений пользователей за расшифровкой файлов увеличилось на 6,98% по сравнению с предыдущим месяцем. Чаще всего жертвы вредоносных программ-шифровальщиков сталкивались с Trojan.Encoder.3953 — на него пришлось 21,70% всех зафиксированных инцидентов. В 21,20% случаев пользователей атаковал Trojan.Encoder.26996, он опустился на второе место. Третьим вновь стал Trojan.Encoder.35534 с долей 8,94%.

В ноябре вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play новые вредоносные приложения. Среди них — более 20 программ-подделок, которые использовались в мошеннических целях, а также троян, который подписывал владельцев Android-устройств на платные услуги.

Главные тенденции ноября

  • Снижение общего числа обнаруженных угроз
  • Преобладание фишинговых документов во вредоносном почтовом трафике
  • Рост числа обращений пользователей за расшифровкой файлов, затронутых шифровальщиками
  • Появление новых вредоносных приложений в каталоге Google Play

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы ноября:

Adware.Downware.20091
Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
Adware.SweetLabs.5
Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.
Adware.Siggen.33194
Детектирование созданного с использованием платформы Electron бесплатного браузера со встроенным рекламным компонентом. Этот браузер распространяется через различные сайты и загружается на компьютеры при попытке скачивания торрент-файлов.
Trojan.AutoIt.1224
Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений ― майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.
Trojan.BPlug.3814
Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.

Статистика вредоносных программ в почтовом трафике

JS.Inject
Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.
W97M.Phishing.44
W97M.Phishing.53
W97M.Phishing.63
Фишинговые документы Microsoft Word, которые нацелены на пользователей, желающих стать инвесторами. Они содержат ссылки, ведущие на мошеннические сайты.
Exploit.CVE-2018-0798.4
Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.

Шифровальщики

В ноябре число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, увеличилось на 6,98% по сравнению с октябрем.

Наиболее распространенные энкодеры ноября:

Trojan.Encoder.3953 — 21.70%
Trojan.Encoder.26996 — 21.20%
Trojan.Encoder.35534 — 8.94%
Trojan.Encoder.37369 — 3.40%
Trojan.Encoder.35067 — 2.98%

Опасные сайты

В ноябре 2023 года интернет-аналитики компании «Доктор Веб» не зафиксировали значимых изменений в активности кибермошенников. Злоумышленники по-прежнему пытались заманить потенциальных жертв на всевозможные сайты-подделки. Наиболее популярными среди них остаются мошеннические сайты инвестиционной тематики, а также интернет-ресурсы, предлагающие «бесплатные» лотерейные билеты и участие в «розыгрыше» призов.

В первом случае пользователям предлагается стать инвесторами, для чего они должны указать свои персональные данные. Во втором — участие в так называемых бесплатных лотереях и онлайн-конкурсах для всех пользователей всегда заканчиваются выигрышем, для получения которого якобы необходимо оплатить комиссию.

Пример фишингового сайта, где посетителю предлагается стать инвестором:

Пример мошеннического сайта, на котором имитируется розыгрыш лотереи:

Пользователь якобы выиграл 314 906 рублей и может приступить к получению выигрыша:

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в ноябре на защищаемых устройствах реже обнаруживались рекламные троянские программы Android.HiddenAds и Android.MobiDash. Кроме того, пользователи реже сталкивались с банковскими троянами и вредоносными программами-шпионами.

В минувшем месяце специалисты компании «Доктор Веб» выявили в каталоге Google Play множество новых вредоносных приложений из семейства Android.FakeApp, которые злоумышленники применяли в различных мошеннических схемах. Кроме того, был обнаружен троян Android.Subscription.21 — он подписывал пользователей на платные услуги.

Наиболее заметные события, связанные с «мобильной» безопасностью в ноябре:

  • снижение активности рекламных троянских программ,
  • снижение активности банковских троянов и шпионских троянских приложений,
  • появление новых вредоносных приложений в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в ноябре читайте в нашем обзоре.



Читать оригинал



#909457 Новогоднее волшебство начинается!

Отправлено по News Robot в 15 Декабрь 2023 - 05:00 В: Новости компании

15 декабря 2023 года

Мы объявляем о запуске Новогоднего Адвента, который стал традицией в нашей компании.

С 15 декабря по 3 января включительно приглашаем каждого из вас узнать свою судьбу при помощи нашего Магического Шара. Просто щелкните по нему, чтобы получить веселое предсказание на 2024 год и гарантированный подарок.

Принять участие в акции можно один раз с одного электронного адреса. Обращаем ваше внимание, что отправка подарков за счет компании осуществляется только по РФ.

Ознакомьтесь с условиями акции на странице с Магическим Шаром и приготовьтесь узнать все о приключениях и успехах, ожидающих вас в следующем году.

Новогоднее волшебство начинается!


Читать оригинал