Мобильный Криминалист Эксперт 2.0: добавлена поддержка Samsung Exynos

Мобильный Криминалист Эксперт 2.0: добавлена поддержка Samsung Exynos

«Оксиджен Софтвер», российский разработчик и поставщик средств для экспертного исследования данных мобильных устройств, облачных сервисов и персональных компьютеров, анонсирует новую версию продукта «Мобильный Криминалист Эксперт» 2.0.

«До настоящего момента в «Мобильном Криминалисте» была представлена поддержка практически всех лидеров рынка мобильных устройств с любой точки зрения — чипсета, бренда, распространенности. В такой своеобразной коллекции не хватало лишь одной составляющей...» — говорит Сергей Соколов, генеральный директор «Оксиджен Софтвер». «А именно: достаточно популярных современных моделей гаджетов на уникальных чипсетах Exynos от известного южнокорейского производителя Samsung. Сегодня мы рады представить поддержку извлечения и расшифровки физических образов из данных мобильных устройств новым методом!» — сообщает Сергей. «Программа позволяет получить информацию из широкого спектра устройств линейки Samsung Galaxy моделей A2 - A8, S7 - S9+, J2 - J7 и многих других Samsung-гаджетов, на операционной системе Android от 7 до 9 версии» — подчеркивает он.

Программа, используя уязвимость устройства, получает доступ к разделу с данными владельца смартфона или планшета и извлекает его. Активированный режим безопасного запуска не послужит препятствием для «Мобильного Криминалиста»: предоставлена возможность ввода известного пароля или его подбор из заранее подготовленного встроенного словаря.

Фокус внимания разработчиков компании отнюдь не ограничился мобильными устройствами. Сентябрьская версия программного продукта обладает значительно усовершенствованным функционалом и в других областях.

Обновленный «Скаут» проникает в директории всех учетных записей исследуемого персонального компьютера или ноутбука и даже в папки программ, запущенных во время его работы. Более того, модуль исследует информацию из системного журнала, Prefetch-файлов и главной файловой таблицы из ПК на платформе Windows, данные офисных программ Dropbox и Google Sync (на Windows и macOS), а также приложений для общения Skype и Telegram for macOS (на macOS).

Помимо этого, компания реализовала поддержку облачных сервисов приложения для видеосвязи Zoom, хранилища паролей Firefox Lockwise и сервиса резервного копирования Huawei Cloud Backup.

Наконец, в «МК Эксперт» активно развивается направление интеграции работы нейросетей и то, что еще недавно казалось невозможным, становится реальностью! Новые аналитические инструменты, встроенные в программу, автоматически исследуют изображения в извлечении на предмет присутствия на них одинаковых лиц и текста. Первый инструмент группирует все изображения по лицам, ассоциирует лица с контактами, показывает списки схожих персон и людей, знакомых друг с другом. Второй — распознает текст на изображениях.

«Мобильный Криминалист» версии 2.0 поддерживает более 38 600 моделей мобильных устройств, более 18 000 версий приложений, 562 уникальных приложения, 85 облачных сервисов и 83 источника данных из ПК.

Узнайте больше о программе на сайте www.oxygensoftware.ru.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Вирусописатели из FIN7 выдают своих зловредов за инструменты Check Point

Исследователи из BI.ZONE обнаружили новую версию вредоносного тулкита Lizar, который участники преступной группы FIN7 использовали в недавних атаках на территории США. Это орудие разведки и закрепления в Windows-сети злоумышленники пытаются замаскировать под легитимный инструмент для пентеста, используя имя Check Point или Forcepoint.

Криминальная группировка FIN7, также известная как Carbanak, объявилась в интернете больше пяти лет назад. По данным ФБР, эта ОПГ насчитывает более 70 участников, занимающихся целевыми взломами, разработкой вредоносных программ и рассылкой поддельных писем с вредоносными вложениями. От ее атак пострадали сотни организаций по всему миру, в том числе представители сферы финансов, ритейла и индустрии гостеприимства.

В своих атаках FIN7 зачастую использует набор инструментов Carbanak Backdoor/RAT, но в прошлом году в ее арсенале появился еще один похожий тулкит — Tirion, впоследствии переименованный в Lizar. Чтобы вызывать меньше подозрений, и тот, и другой злоумышленники пытаются выдать за инструментарий известной ИБ-компании.

 

В BI.ZONE проанализировали образец Lizar (версии 2.0.4, скомпилирован в конце января) и пришли к выводу, что по структуре он схож с Carbanak Backdoor и активно развивается. Новый набор вредоносных инструментов состоит Windows-клиента, серверного приложения (оба написаны на .NET), загрузчика плагинов и ряда плагинов, устанавливаемых на стороне клиента и сервера.

Взаимодействие этих компонентов исследователи схематично представили следующим образом:

 

Загрузчик плагинов и сами такие модули работают на зараженной машине (тело плагина передается с сервера вместе с командой) как составные части бота. Анализ показал, что Lizar-бот способен выполнить полтора десятка команд, в том числе:

  • предоставить информацию о зараженной системе;
  • сделать скриншот;
  • составить список запущенных процессов;
  • запустить Mimikatz;
  • запустить плагин, собирающий пароли из браузеров и в ОС;
  • запустить плагин для сбора информации о сети и Active Directory;
  • запустить Carbanak Backdoor.

Модульная архитектура Lizar позволяет злоумышленникам с легкостью добавлять плагины, а также облегчает доработку и тестирование отдельных компонентов. На настоящий момент эксперты обнаружили три вида Lizar-ботов: DLL, EXE и скриптовый вариант, исполняющий DLL в адресном пространстве процесса PowerShell.

Стоит отметить, что группировка FIN7 начала практиковать наём «белых хакеров» под видом компаний по кибербезопасности. Заместитель генерального директора — технический директор компании «Газинформсервис» Николай Нашивочников рассказал, может ли эта схема коснуться бизнес-структур в России:

«К сожалению, проблема становится актуальной и для нашей страны, так как с прошлого года мошенники начали активно нанимать российских пентестеров. Вероятно, когда американский рынок будет исчерпан, киберпреступники сосредоточат свои усилия на российских компаниях.

Не секрет, что многие IT-специалисты предпочитают заниматься "белым хакерством", так как сфера услуг информационной безопасности активно развивается, поэтому логично, что у кибермошенников образовался кадровый дефицит. Отсюда и новая схема с привлечением "сторонней помощи".

Американская практика показывает, что схема выстроена грамотно и нанятые сотрудники даже не подозревают, что работают на злоумышленников. Поэтому призываю всех наших IT-специалистов и особенно пентестеров быть очень внимательными при трудоустройстве, чтобы не стать участником киберпреступления.

Представителям бизнеса, решившим воспользоваться услугами "белых хакеров", тоже нужно быть начеку — лучше не экономить на проведении нормального пентеста, делая выбор в пользу проверенных компаний с многолетней безупречной репутацией».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru