PandaLabs сообщает об эпидемии сетевого червя Conficker

PandaLabs сообщает об эпидемии сетевого червя Conficker

Антивирусная лаборатория PandaLabs обнаружила новое семейство червей Conficker, которые распространяются через Интернет и USB-устройства и эксплуатируют уязвимость в Microsoft Windows. Внедряясь на ПК пользователя, червь загружает другие вредоносные коды и позволяет хакерам выполнять на зараженном ПК удаленный код.

Червь Conficker из нового семейства компьютерных червей уже заразил тысячи компьютеров по всему миру. Лаборатория по обнаружению и анализу вредоносных программ PandaLabs выявила три варианта данного червя (Conficker A, B и C). Первые заражения этим кодом были зарегистрированы в конце ноября, но значительный скачок в его распространении произошел после новогодних праздников.

Червь распространяется посредством эксплуатации уязвимости MS08-067 в серверном сервисе Microsoft Windows. Он использует специальные RPC-вызовы к другим машинам. Зараженные компьютеры затем загружают копию червя. RPC – это аббревиатура для обозначения Дистанционного вызова процедур, т.е. протокола, позволяющего внедрение в сетевой компьютер удаленного кода, который, в данном случае, позволяет создателю червя удаленно захватывать контроль над зараженной машиной.

Червь также распространяется посредством USB-устройств, например, флэш-накопителей и MP3-плееров.

К тому же червь постоянно обновляется, загружая свои новые версии на зараженные машины с различных, постоянно изменяющихся IP-адресов, что затрудняет блокирование и еще более увеличивает опасность угрозы. Однако некоторые варианты кода предназначены для загрузки на зараженный компьютер других вредоносных кодов. Это свидетельствует о том, что создатели червей в ближайшем будущем готовятся к запуску широкомасштабной атаки с использованием зараженных машин.

“Вот наиболее вероятный сценарий – кибер-преступники ищут способ быстро заразить большое количество компьютеров. Сразу после заражения можно будет легко загрузить на пораженные машины другие угрозы, предназначенные для получения финансовой прибыли. Например, трояны для кражи паролей к онлайновым банкам или якобы антивредоносные программы, которые генерируют всплывающие окна, постоянно напоминающие пользователю о том, что его компьютер заражен, и практически блокирующие возможность использования компьютера до приобретения «лечения»”, - объясняет Луис Корронс, технический директор PandaLabs.

Данный червь очень похож на варианты, которые много лет назад становились причинами эпидемий – например, "Melissa" и "I love you". Подобно им, Conficker старается заразить максимальное количество компьютеров. Разница заключается в том, что старые варианты распространялись через дискеты, а новые – через USB-устройства.

Для того чтобы проверить, не заражен ли Ваш компьютер червем Conficker, PandaLabs рекомендует для системных администраторов:
- проверить машины на предмет наличия уязвимостей.
- для серверов и рабочих станций необходимо применить патчи в соответствии с бюллетенем Microsoft Bulletin (http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx)
- убедиться, что все антивирусные решения и решения безопасности обновлены до последней версии продукта и сигнатурного файла

Источник 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Coyote — первый вредонос, который шпионит через Windows UI Automation

Исследователи из Akamai зафиксировали реальное применение новой техники кражи данных — теперь банковский троян Coyote использует функции Windows, предназначенные для людей с ограниченными возможностями, чтобы следить за действиями пользователя.

Речь идёт о Microsoft UI Automation (UIA) — это фреймворк, который позволяет программам вроде экранных дикторов считывать содержимое интерфейса. Идея отличная, но в руках злоумышленников она становится инструментом для кражи логинов и паролей.

Троян Coyote появился в начале 2024 года и изначально использовал классические методы вроде кейлоггинга и фишинговых наложений. Теперь он стал умнее. Если раньше вредонос искал в названии окна упоминание банка или криптобиржи, то теперь он «залезает» в сам интерфейс браузера и вытаскивает оттуда адрес сайта — через UIA.

Если троян находит совпадение с одним из 75 заранее зашитых в него сервисов (банки вроде Banco do Brasil, Santander, CaixaBank, и криптобиржи вроде Binance, Electrum, Foxbit), он начинает активную фазу кражи данных. При этом сам метод UIA пока используется только на этапе разведки, но Akamai уже показала, что через него можно считывать и введённые логины, и пароли.

«Если не удаётся определить цель по заголовку окна, Coyote использует UIA, чтобы добраться до элементов интерфейса — вкладок и адресной строки, — и сравнивает найденное с зашитым списком», — говорится в отчёте Akamai.

 

Изначально Akamai предупреждала о такой уязвимости ещё в декабре 2024 года — тогда это была теоретическая угроза. Теперь она стала реальностью.

Особенность подхода — обход защит EDR. UIA не вызывает подозрений у антивирусов и систем мониторинга, потому что считается частью стандартной функциональности Windows. При этом такие же проблемы есть и в Android — там службы доступности давно используются в вредоносах, и Google уже не первый год борется с этой лазейкой.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru