2013年以降、サイバー犯罪者がユーザーの銀行カードデータを抽出しているExobotマルウェアの運命は、このようなほとんどのトロイの木馬よりも興味深いことが判明しましたが、セキュリティの専門家にとっては非常に問題があります。 ボットの作成者はいつでも喜んでそれを借りました、そして、サービスは商業的に非常に成功したので、2番目のバージョンさえ現れて、ほとんどゼロから処理されました。 通常、顧客は要求に応じて、コントロールパネルを使用してトロイの木馬を変更し、必要な機能を選択できます。 ほぼすべての好みの仕様を持つクローン工場。
そして昨年12月、このクローンセンターのオーガナイザーは、限られた顧客サークルにソースコードを販売することを公表しました。 伝えられるところによると、彼らはすでにExobotで十分に機能を停止し、廃業しています。 陳述はあまり論理的ではないが、それは部分的には真実かもしれない。もし彼らが大きなジャックポットを打つことができたなら、今や抽出と彼ら自身の自由は可能な利益を上回っている。 しかし、ほとんどの場合、Exobotのオペレーターはこの方法で、影に入り、注意を払って隠したいという欲求を隠そうとしました。 おそらく、最初の販売後、トラブルにそれほど時間はかかりませんでした。マルウェアはシリーズに入りました。
1か月も経たないうちに、オーストリア、イギリス、オランダ、トルコでExobotを使用した新しい大規模なキャンペーンが開始されました。明らかに、幸せな所有者はすぐに目的の目的で「クローン」を使用しました。 最も被害を受けたのはトルコのユーザーです。GooglePlayで特に成功したドロッパーにより、トルコのボットネット1つだけが感染したデバイスのアカウントを約4.5万に増やしました。
近い将来、新しい所有者の1人がマルウェアコードをフリーアクセスにマージすることが予想されます。 これは、銀行のトロイの木馬ですでに複数回発生しています。 これは、怠け者ではないすべての人が、失礼や不適切を含め、新しく公開されたコードを使用しようとすることを意味します。 どうやら、まもなく、さまざまなグリッチ度のExobotバリエーションのコレクションを賞賛できるようになります。
誰に電話するの? ゴーストバスターズ!
ニュース
Googleは、さまざまな種類の脅威のストアを英雄的にクリアし続けています。最近、別の53の悪意のあるアプリケーションがそこから削除されました。 不正なソフトウェアがインストールされ、クリックによって作成者にお金を稼ぐために不正な広告が表示され、ユーザーからFacebookのパスワードが盗まれました。 その作成者は非常に大きな仮名を取りました-GhostTeam。 少なくとも、そのようなフレーズはマルウェアコードで見つかりました。
マルウェアをダウンロードするために、トロイの木馬ドロッパーと偽のセキュリティ通知を使用する主流の手法を使用して、管理者権限で追加のアプリケーションをインストールしました。 しかし、楽しみが始まりました。 確かに、この興味深いことはメインの広告機能には当てはまりません-最も一般的な方法でも実装されました。 ただし、ログインとパスワードの抽出は正常に行われました。 通常、これらの種類の悪意のあるプログラムは、ソーシャルネットワークアプリケーションの上にログインフィールドを持つ偽の画面を表示します。 しかし、GhostTeamは異なる動作をしました。ユーザーがFacebookにログインし、資格情報を入力するために実際のWebページを開いたときを検出しましたが、ブラウザーではなく、WebViewやWebChromeClientなどのオペレーティングシステムに組み込まれたWebページを表示するためのコンポーネントを使用しました。 もちろん、特定の変更を加えて、ページとともに悪意のあるJavaスクリプトをロードし、資格情報を盗みました。
操作は実際のAndroidコンポーネントによって実際のFacebookページで実行されるため、ほとんどのセキュリティソフトウェアは犯罪者を検出しません。
付録でGhostTeamからダウンロードされたほとんどのアプリケーションは、既にGoogle Playから削除されています。 それらのほとんどは、懐中電灯、QRコードスキャナー、クリーニングユーティリティなどです。 統計によると、悪意のあるダウンロードのほとんどはインドのユーザーによって行われましたが、マルウェアは晴れたベトナムから来ている可能性が高いです。
DNSコスプレ
ロシア語のニュース、 英語の詳細
12月にセキュリティ研究者が発見したように、適切な工夫により、ライブラリ、データファイルなどのダウンロードとインストールを命じることができるように、Bardに近いすべてのおもちゃの更新エージェントに脆弱性がありました。おもちゃの更新プログラムをインストールすることは不可能です。その場合、わずかに炎上する可能性があります。 幸いなことに、サイバー犯罪者ではなく情報セキュリティの専門家がギャップを発見しました。少なくとも現在、誰かが実際に使用した情報はありません。
このエージェントは、認証メカニズムの不完全性により、DNS Rebindingなどの攻撃に対して脆弱でした。大まかに言えば、悪意のあるサーバーがクライアントと更新サーバーの間のブリッジのふりをする可能性があります。 一般的に、Blizzardのエンジニアは問題をすばやく解決し、効果的なソリューションを展開しました。また、ユーザーが何もする必要がないことを全員に保証し、エージェントは自動的に更新されます。
古物
イェール
非常に危険なウイルス。 「ウォーム」リブート時にのみディスクに感染し、ドライブAのブートセクターに自身を書き込みます。 初期ブート保存は、セクター0/39/8(サイド/トラック/セクター)に保存されます。 チェックは行いません。 インターセプトint 9およびint 13h.3.4
免責事項:このコラムは、著者の個人的な意見のみを反映しています。 カスペルスキーの位置と一致する場合もあれば、一致しない場合もあります。 ここは幸運です。