События прошедшей недели в мире информационной безопасности

На Linux тестируют новое вредоносное ПО с интересными возможностями

Исследователи кибербезопасности AT&T обнаружили новую вредоносную программу, нацеленную на компьютеры с Linux и IoT-устройства, для майнинга криптовалюты.

Shikitega использует популярный полиморфный кодировщик Shikata Ga Nai, который позволяет вредоносному ПО «мутировать» свой код, чтобы избежать обнаружения. Shikitega изменяет свой код каждый раз, когда проходит один из нескольких циклов декодирования, каждый из которых осуществляет несколько атак, начиная с ELF-файла.

Shikitega также дает злоумышленнику возможность управлять веб-камерами и включает в себя:

сниффер; несколько обратных оболочек; управление процессами; выполнение команд оболочки; дополнительные возможности для управления уязвимой системой.

Shikitega также использует решения облачного хостинга для хранения части своей полезной нагрузки, которую затем использует для сокрытия вредоносной активности, связываясь по IP-адресу вместо доменного имени, что усложняет представление полного списка индикаторов для обнаружения.

Власти США и Португалии уничтожили крупный маркетплейс украденных данных

Совместная операция португальских и американских властей привела к блокировке WT1SHOP, онлайн-рынка, на котором продавалось почти 6 млн. наборов украденных учетных и пользовательских данных.

Португальские власти конфисковали сайт, а правоохранительные органы США заблокировали 4 домена, используемые WT1SHOP. Российская версия WT1SHOP по-прежнему находится в сети, хотя неизвестно, работает ли она до сих пор.

WT1SHOP содержал следующую информацию:

около 25 000 отсканированных водительских прав и паспортов; 1,7 млн. наборов учетных данных с различных веб-сайтов; 108 000 банковских счетов; 21 800 кредитных карт.

Предполагаемому оператору WT1SHOP, гражданину Молдовы, Николаю Колесникову были предъявлены обвинения в сговоре и торговле устройствами для несанкционированного доступа. Колесникову может грозить 10 лет тюрьмы.

Кнопки авторизации Facebook* исчезают из Интернета

Кнопки входа в Facebook на сторонних веб-сайтах начали исчезать, в том числе на сайтах Dell, Ford Motor Company, Nike, Twitch и других возможность войти на сайт через соцсеть уже недоступна.

Генеральный директор компании по управлению идентификацией LoginRadius Ракеш Сони сказал, что после того, как пользователи узнали о том, что Facebook делает с их данными (например, скандал с Cambridge Analytica), они больше не хотят предоставлять соцсети доступ к своим действиям в Интернете за пределами самого Facebook.

IT-директор Dell Джен Фелч сказала, что эти опасения привели к сокращению числа клиентов, использующих вход через соцсети.

У Европы и Америки появился Бронзовый Президент из Китая

ИБ-компания Secureworks заявила, что китайская хакерская группа Bronze President атакует правительственных чиновников в Европе, на Ближнем Востоке и в Южной Америке с помощью модульного вредоносного ПО PlugX. Secureworks выявила шпионские кампании группы в июне и июле 2022 года.

Secureworks заявила, что атака использует фишинг, заставляя жертв открыть вредоносный RAR-файл для выполнения полезной нагрузки PlugX.

Как только жертва открывает RAR-файл и запускает LNK-файл, замаскированный под документ, вредоносное ПО внедряет DLL-файл в систему, который затем используется для доставки дополнительных полезных нагрузок.

Группа также известна под другими названиями – HoneyMyte, Mustang Panda, Red Lich и Temp.Hex. Одним из ее основных инструментов является PlugX, RAT-троян, широко распространенный среди китайских хакеров.

*Компания Facebook признана экстремистской организацией; её деятельность запрещена на территории РФ.