Блокеры-вымогатели «охотятся» за желающими пошпионить в сети

Блокеры-вымогатели «охотятся» за желающими пошпионить в сети

Эксперты «Лаборатории Касперского» предупреждают о появлении нового троянца-вымогателя Trojan-Ransom.Win32.Vkont.a. СМС-блокер использует нестандартную схему распространения, маскируясь под бесплатную программу, которую скачивают желающие пошпионить в Интернете за друзьями и знакомыми. Попавшиеся на эту приманку расплачиваются за свое любопытство деньгами, не получая взамен ожидаемого результата.



Распространяется зловред через мошеннический сайт, на котором предлагается скачать ПО для взлома учетных записей в социальной сети «ВКонтакте». Очевидно, что посетителями этой страницы движут отнюдь не благородные мотивы, сообщает сайт «Лаборатории Касперского». Однако после клика на кнопку загрузки под видом «программы-взломщика» начинается скачивание троянца-вымогателя, при чем о подмене ничего не сообщается.


Фрагмент сайта, с которого загружается программа-блокер


Попав на компьютер, зловред выводит на Рабочий стол окно с предложением отправить СМС-сообщение на короткий номер, чтобы получить программу для доступа к личным данным пользователей сети «ВКонтакте». Одновременно троянец блокирует работу системы до тех пор, пока вымогатели не получат выкуп в виде СМС-ки.

СМС-блокер открывает окно с предложением приобрести программу, с помощью которой можно отслеживать действия пользователей социальной сети «ВКонтакте».

Однако, отправив СМС-сообщение, пользователь оказывается дважды «наказан» злоумышленниками. Троянец скачает архив VK-Hack.zip, в котором находятся программа для подбора паролей к аккаунтам в популярных почтовых сервисах, а также ПО класса ShareWare, за полноценное использование которого необходимо заплатить дополнительно. Таким образом, жертва уловки мошенников не только оплачивает отправку дорогостоящей СМС-ки, но и получает совсем не бесплатные программы сомнительного функционала.

Виртуальное пространство сегодня становится все более опасным. К сожалению, долю ответственности за это несут и пользователи, которые выбирают нечестные правила игры, предложенные злоумышленниками. При обнаружении же СМС-блокера на компьютере, прежде всего, рекомендуется не идти на поводу у мошенников и не отправлять сообщения. Удалить назойливый баннер с Рабочего стола можно с помощью бесплатного сервиса на сайте «Лаборатории Касперского».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новая атака Opossum позволяет внедрять данные в TLS-сессии

Исследователи обнаружили новый вектор атаки под названием Opossum. Он позволяет злоумышленнику вмешиваться в якобы защищённую сессию TLS — при этом шифрование никто не взламывает.

Атака работает за счёт несогласованности между двумя режимами TLS: «implicit» (например, HTTPS на порту 443, где защита включается сразу) и «opportunistic» (например, HTTP на порту 80, где защита активируется позже через апгрейд-запрос).

Используя это отличие, атакующий может вызвать рассинхронизацию между клиентом и сервером, после чего — незаметно встроить в канал поддельные данные.

Сценарий простой: клиент подключается к HTTPS, но злоумышленник перенаправляет его запрос на порт HTTP, сам инициирует апгрейд до TLS, а затем тайно синхронизирует обе сессии.

В итоге и клиент, и сервер думают, что всё идёт по плану — хотя злоумышленник в любой момент может подменить сообщения или задержать ответы.

Opossum базируется на принципах вектора атаки ALPACA, но работает даже там, где меры против ALPACA уже внедрены. Это делает «опоссума» особенно опасным, поскольку он бьёт не по самому TLS, а по логике взаимодействия приложений.

 

Эксперты говорят: отключить opportunistic TLS — не вариант, особенно на почтовых серверах и старых системах. Лучше изолировать порты и режимы TLS, а также включить проверку соответствия между протоколом и портом. Можно дополнительно отслеживать подозрительные апгрейд-заголовки.

Главный вывод — зрелые протоколы вроде TLS всё ещё могут быть уязвимыми из-за архитектурных нюансов. И чтобы не стать жертвой атак вроде Opossum, стоит внимательно относиться ко всем уровням стека безопасности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru