Киберпреступники помещают вредоносный код майнера в WAV-файлы

Киберпреступники помещают вредоносный код майнера в WAV-файлы

Эксперты в области кибербезопасности предупреждают, что разработчики вредоносных программ постепенно внедряют технику сокрытия злонамеренного кода внутри аудиофайлов в формате WAV.

Киберпреступники используют стеганографию уже более десяти лет. Эта техника позволяет им незаметно доставлять вредоносный код на устройства пользователей.

Традиционно считается, что в атаках вредоносов, использующих стеганографию, задействуются файлы изображений в форматах PNG и JPEG.

Однако два недавно опубликованных отчёта говорят о том, что злоумышленники также взяли на вооружение использование аудиофайлов WAV. Такого раньше не встречалось.

Первый подобный отчёт опубликовали исследователи Symantec. По их словам, российская кибершпионская группа Turla использовала WAV-файлы, чтобы спрятать и доставить жертвам вредоносный код.

Второй отчёт выложила на днях команда BlackBerry Cylance. По словам специалистов, обнаруженная ими кампания похожа на ту, которую описывал Symantec.

В Cylance утверждают, что выявленные сотрудниками атаки были частью операции вредоносного криптомайнинга. Исследователи отметили, что киберпреступники прятали DLL внутри файлов WAV.

После открытия жертвой такого файла постепенно извлекается вредоносная библиотека, а затем в систему устанавливается майнер цифровой валюты XMRrig. При этом атакуются как десктопные версии Windows, так и серверные установки.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

На форуме продают учётные данные 21 млн пользователей VPN для Android

Неизвестный киберпреступник на популярном хакерском форуме продаёт базы данных, которые, по его словам, содержат логины и пароли пользователей трёх VPN-приложений для мобильной операционной системы Android: SuperVPN, GeckoVPN и ChatVPN. В общей сложности злоумышленник предлагает 21 млн записей.

Это довольно интересная утечка, учитывая, что SuperVPN загрузили более 100 млн пользователей в официальном магазине Android-приложений Google Play Store. У GeckoVPN и ChatVPN результаты поскромнее, однако их тоже нельзя назвать плохими: 10 млн и 50 тыс. соответственно.

Преступник, разместивший на хакерском форуме объявление, продаёт адреса электронной почты и случайно сгенерированные строки, которые используются в качестве паролей. Сумму продавец не назвал, однако известно, что в общей сложности от утечки пострадали 21 млн пользователей VPN-клиентов.

 

Сотрудники издания CyberNews обратились за комментариями к представителям SuperVPN, GeckoVPN, ChatVPN и попросили подтвердить факт компрометации данных. Однако разработчики так и не вышли на связь.

Среди утёкших данных, по словам CyberNews, можно найти адреса электронной почты, имена пользователей, полные настоящие имена, страны проживания, сгенерированные случайным образом строки паролей, платёжную информацию, статус премиального пользователя и срок его действия.

 

Помимо этого, в выставленном на продажу архиве есть и данные об устройствах пользователей: серийный номер девайса, тип смартфона и его производитель, идентификатор устройства, IMSI-номера. Продавец при этом утверждает, что все данные он получил из общедоступных баз.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru