В первом квартале 2014 увеличилось разнообразие информационных угроз
Главная » Новости

В первом квартале 2014 увеличилось разнообразие информационных угроз

Александр Панасенко 17 Апреля 2014 - 15:48
...

Первый квартал 2014 года был богат на разнообразие новых угроз, среди которых специалисты «Лаборатории Касперского» обнаружили как глобальные операции кибершпионажа, так и новые приемы вирусописателей, нацеленные на массового пользователя. Так, за последние три месяца количество мобильных банковских троянцев увеличилось почти вдвое.

В сентябре прошлого года эксперты «Лаборатории Касперского» сообщили о таргетированной операции Icefog, которую злоумышленники прекратили сразу после разоблачения. Однако в первом квартале эксперты компании обнаружили следующее поколение бэкдоров Icefog – на этот раз Java-версию зловреда, получившую название Javafog. Жертвами нового метода атаки стали три организации, находящиеся в США, причем одной из них оказалась крупная международная нефтегазовая компания. Еще более важной находкой стало обнаружение масштабной кампании кибершпионажа «Маска», целями которой были государственные учреждения, посольства, исследовательские институты и другие компании в 31 стране мира.

В последние несколько месяцев отмечен резкий рост числа пользователей Tor – программы, обеспечивающей анонимную работу в Интернете. Tor не только стал решением для защиты от кражи персональных данных, но и снискал большую популярность среди киберпреступников, которым особенно выгодна анонимность. Например, в феврале эксперты «Лаборатории Касперского» обнаружили первый Android-троянец, который использует в качестве командного центра домен в псевдо-зоне .onion.

«Лаборатория Касперского» также продолжает следить за криптовалютой Bitcoin. Прогнозируя ее будущее в конце прошлого года, специалисты компании отметили, что атаки на биржи и пользователей Bitcoin станут одной из самых громких тем года – этот прогноз уже начинает сбываться. Так, в феврале злоумышленники взломали одну из торговых площадок и украли 770 тысяч Bitcoin, что эквивалентно примерно 350 миллионам долларов США. В стремлении увеличить нелегальные доходы злоумышленники также заражают компьютеры пользователей, чтобы за счет дополнительных ресурсов генерировать больше электронной валюты. По этому принципу действует, например, Trojan.Win32.Agent.aduro, троянец, который занимает 12-е место в рейтинге наиболее часто детектируемых объектов в Интернете по результатам первого квартала.

Что касается мобильных угроз, доля вредоносных программ, нацеленных на Android, составила более 99%. Всего за этот период было обнаружено 110 324 новых мобильных зловредов, а количество мобильных банковских троянцев увеличилось почти вдвое, с 1321 до 2503. Следует также отметить, что почти 89% атак с помощью подобных программ пришлись на российских пользователей. В целом же среди типов мобильных зловредов на первом месте оказались рекламные модули, транслирующие навязчивую рекламу, а долгое время лидирующие SMS-троянцы сместились на второе место – их доля уменьшилась с 34% до 22%.

 

 

Всего же по данным облачной инфраструктуры Kaspersky Security Network в первом квартале 2014 года продукты компании заблокировали 1,13 миллиарда атак на компьютеры и мобильные устройства пользователей, а также 353 миллиона онлайн-атак, 39% которых проводились с использованием вредоносных веб-ресурсов, расположенных в США и России.

«По итогам первых трех месяцев можно сказать, что наши прогнозы развития киберугроз на 2014 год начинают сбываться: ускоряются темпы развития киберугроз, в том числе мобильных, получают все большую популярность сервисы для анонимной работы в Сети, позволяющие скрыть свою частную жизнь от слежки, участились атаки на Bitcoin-пулы. Не обошлось в первом квартале и без громких кампаний кибершпионажа – помимо новой активности от знакомых по кампании IceFog хакеров исследовательский центр «Лаборатории Касперского» столкнулся с более сложной и опасной на данный момент кибероперацией «Маска». За ней последовало выявление очередной кампании кибершпионажа Turla, которую мы до сих пор исследуем – на наш взгляд, она сложнее, чем это представлено в материалах, опубликованных другими экспертами по IT-безопасности», – отметил Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского».

Следующая главная новость »
AM LiveSOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу
Татьяна Никитина 04 Февраля 2026 - 21:18
Уязвимости программ Домашние пользователиКорпорации
Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий:

  • 144.0.7559.97 (Stable)
  • 145.0.7632.18 (Beta)
  • 146.0.7647.4 (Dev)
  • 146.0.7653.0 (Canary)

В Google подтвердили возможность подобной атаки по стороннему каналу, но заявили, что решить проблему нереально.

AM LiveSOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »
Cloud.ru получил сертификат ФСТЭК России на безопасную разработку ПО
Новость
Cloud.ru получил сертификат ФСТЭК России на безопасную разра...
Роботов можно взломать голосом и превратить в оружие за минуты
Новость
Роботов можно взломать голосом и превратить в оружие за мину...
Internet Archive научил WordPress автоматически чинить битые ссылки
Новость
Internet Archive научил WordPress автоматически чинить битые...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.