Евросоюз приравняет шпионское ПО к ядерному оружию

Чтобы ограничить экспорт шпионского ПО, власти Евросоюза решили поставить его в один список с технологиями двойного назначения, в том числе с ядерным оружием. Если какая-либо европейская компания решит продать такой продукт иностранному государству, ей нужно будет сперва получить разрешение.

Нововведение стало ответом на претензии правозащитных организаций, которые утверждают, что шпионское ПО помогает подавлять гражданские свободы. Европейские власти планируют приравнять легальное шпионское программное обеспечение, разрабатываемое местными компаниями для государственных заказчиков, к технологиям двойного назначения и поставить его в один список с ядерными реакторами, камерами со сверхвысоким разрешением и ракетным топливом.

То есть теми продуктами и технологиями, которые «обычно служат гражданским целям, но могут быть использованы в военной сфере и для распространения оружия массового поражения», следует из текста на сайте Еврокомиссии. Поправки в список продуктов и технологий двойного назначения были переданы Европарламенту и Евросовету. В случае их согласия, обновленный список, содержащий шпионское ПО, вступит в силу в конце декабря 2014 г.

Примером шпионского ПО, о котором идет речь, является FinFisher — решение, продажей которого занимается британская компания Gamma International. Согласно описанию на официальном сайте, Finfisher позволяет «выполнять удаленное наблюдение и инфицирование» и способен предоставить «полный доступ к хранимым данным с возможностью получения контроля над целью».

В описании продукта упоминается, что он способен «получать доступ к зашифрованным данным и каналам» и позволяет «правительственным агентствам удаленно заражать необходимые системы». FinFisher позволяет взламывать компьютеры под управлением операционных систем Windows, OS X и Linux, а также мобильные устройства на базе Android, iOS, Windows Phone, BlackBerry и Symbian. Решение позволяет получать доступ к аккаунтам сервисов электронной почты, таких как Gmail, Outlook и Yahoo, а также взламывать учетные записи Skype — сервиса, считающегося одним из самых надежных на рынке благодаря применяемым в нем технологиям шифрования данных.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Инфостилер Jupyter использует MSI-инсталлятор для обхода антивирусов

Как обнаружили в Morphisec, троян Jupyter сменил маскировку и теперь распространяется под видом PDF-приложения Nitro Pro. Вредонос по-прежнему успешно скрывается от антивирусов за счет использования установщика Windows (MSI) весом более 100 Мбайт.

Написанный на .NET зловред, известный также под именами Solarmarker, Yellow Cockatoo и Polazert, объявился в интернете в прошлом году. Он нацелен в первую очередь на кражу данных из Firefox и браузеров на основе Chromium, но способен также выполнять функции бэкдора. От атак с участием Jupyter страдают в основном представители сферы здравоохранения и учебные заведения.

Изменения в цепочке доставки трояна израильские эксперты впервые заметили 8 сентября. Ранее зловред выдавал себя за Docx2Rtf или Expert PDF, а теперь маскируется под другой легитимный софт — Nitro Pro 13.

Атака, как и прежде, начинается с развертывания MSI-инсталлятора. Чтобы надежней скрыть полезную нагрузку, злоумышленники используют упаковщик Advanced Installer (в тестовой версии). С той же целью вредоносный файл выдается за документ, способный заинтересовать намеченную жертву, — например:  

  • Medical-Engagement-Scale-Questionnaire.msi
  • Due-Diligence-Checklist-For-Oil-And-Gas-Properties.msi
  • Fedex-Tracking-By-Shipper-Receipt.msi
  • Christian-Doctrine-Clauses-List.msi
  • Omnicell-Cabinet-User-Manual.msi
  • Wells-Fargo-Subpoena-Processing-Department-Phoenix-Az.msi

Запуск зловредного инсталлятора влечет исполнение PowerShell-загрузчика, встроенного в легитимную программу Nitro Pro 13. Этот скрипт, по свидетельству Morphisec, остался без изменений; он расшифровывает и загружает в память NET-модуль Jupyter.

 

Примечательно, что изученные образцы троянизированного приложения были подписаны сертификатами реальных компаний — TACHOPARTS Sp Z O O, FORMICA Solutions, ООО «Рувентс», ООО «Система». Новая Jupyter-кампания затронула множество крупных организаций. В настоящее время в Morphisec пытаются определить масштабы бедствия.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru