Хакеры изменили тактику распространения вредоносных программ

Ксения Ренселаева 15 Марта 2012 - 20:37

...

Исследователи в области безопасности компании Avast обнаружили необычный способ заражения веб-сайтов, скрывая от определенных посететителей контент на контроллируемых ими сайтах.

Принцип распространения вредоносного контента вполне традиционен. По словам специалистов из компании Avast, при попытке зайти на достаточно популярный ресурс smcitizens[.]com, антивирус сообщил о наличии вредоносного контента и заблокировал доступ.

В результате исследования было установлено, что ресурс содержит вредоносную программу, которая отправляет пользователей на сайты, контролируемые мошенниками (список этих сайтов приведен ниже). Как оказалось, на данных ресурсах помимо прочих содержатся достаточно популярные преступном мире наборы эксплойтов Black hole exploit kit и Crimepack. Эксплойты, собранные в последнем архиве направлены на уязвимости в платформе Java и незаметно загружают на компьютер жертвы Java, PDF и flesh файлы, содержащие нежелательный контент.

Данная атака ничем не отличалась бы от подобных, если бы не специфика вредоносного кода, размещенного на ресурсе. Дело в том, что при попытке посещения одного ресурсов из приведенного ниже списка, исследователи увидели единственное сообщение «GOTCHA!».

По мнению специалистов, злоумышленники, используют базу IP адресов и, если IP посетителя совпадает с имеющимся в базе, то ответом на его запрос будет «GOTCHA!». Это позволяет им скрываться от антивирусных аналитиков или любопытных пользователей, пытающихся узнать их методы заражения.

Стоит отметить, согласно исследованию, подобным способом заражено, по крайней мере, еще 138 уникальных ресурсов.

Список вредоносных сайтов:

dumb.au.mn/in.cgi?2

dumb.cn.mn/in.cgi?2

dumb.eu.mn/in.cgi?2

dumb.fr.mn/in.cgi?2

dumb.uk.mn/in.cgi?2

dumb.us.mn/in.cgi?2

dumb.jp.mn/in.cgi?2

dumb.nl.mn/in.cgi?2

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 17 Июня 2025 - 10:39

Windows Домашние пользователи Корпорации Системы аутентификации Биометрические системы аутентификации Microsoft

Из-за уязвимости Windows Hello отключили в темноте на Windows 10 и 11

Если вы заметили, что распознавание лица в Windows Hello больше не работает в темноте — вы не одиноки. Microsoft временно отключила эту возможность на устройствах с Windows 10 и 11. Причина — уязвимость, которую нашли специалисты по информационной безопасности.

Оказалось, что система плохо справляется с так называемыми adversarial inputs — это когда злоумышленник может обмануть ИИ, подсовывая ему немного искажённое изображение.

Такая лазейка может позволить обойти защиту и получить доступ к устройству. Microsoft признала уязвимость «важной», но пока нет данных об эксплуатации.

Ранее Windows Hello использовала инфракрасные (IR) камеры, чтобы распознавать лицо даже в полной темноте — по аналогии с тем, как это работает в Face ID у Apple. Теперь эта функция отключена — по крайней мере, до тех пор, пока Microsoft не усилит защиту от атак через поддельные изображения.

С апреля 2025 года обновления Windows отключают поддержку распознавания лица в условиях слабого освещения. Это, мягко говоря, неудобно: пользователи жалуются, что приходится вручную вводить ПИН-код или использовать отпечаток пальца.

Некоторые даже прибегают к странному лайфхаку — отключают веб-камеру через «Диспетчер устройств», чтобы заставить IR-датчик сработать как раньше. Но это, конечно, неофициальное и не рекомендованное решение.

Зато при нормальном освещении Windows Hello продолжает работать как обычно.

Ждём, когда Microsoft выпустит патч и вернёт распознавание лица в темноте — но уже без уязвимостей.