͏Компания Google удалила из своего магазина Play Store приложение iRecorder – Screen Recorder для смартфонов под управлением Android из-за того, что в нем содержался вредоносный код, а точнее троян AhRat, который мог красть пользовательскую информацию.

iRecorder – это приложение для записи экрана смартфона. Изначально оно было вполне безобидным, но осенью прошлого года эксперты впервые заметили, что в его новой версии содержится вредонос. И только спустя 7 месяцев Google соизволили удалить его из магазина приложений.

Вся проблема в том, что в механизме «управление версиями» Play Store есть лазейка, позволяющая автору приложения в момент выпуска очередной его версии добавить вредоносный код. Поэтому важно использовать антивирусные решения на смартфонах Android. Хотя бы бесплатные их варианты.

Всего за время нахождения в магазине iRecorder был загружен более 50 000 раз. Если вы активно пользуетесь функцией записи экрана – проверьте, не затаился ли на вашем смартфоне зловредный троянский конь.

͏В декабре 2022 года тысячи российских пользователей мессенджеров Telegram и WhatsApp столкнулись с масштабной фишинговой атакой (подробнее про фишинг, как один из основных приемов киберпреступников, мы расскажем чуть позже).

Пострадавшим поступали сообщения от их знакомых и друзей, в которых сообщалось, например, о подаренном им премиум-аккаунте Telegram. Кнопка, по которой можно было получить подарок прилагалась. Пользователь нажимал на нее… и становился жертвой мошенников. Его мессенджер захватывался, а все его контакты, в свою очередь, получали такие же мошеннические сообщения.

Примечательно, что тогда пострадали исключительно пользователи, которые не использовали двухфакторную аутентификацию она же 2FA. Те, кто заблаговременно применил этот эффективный механизм защиты своей информационной безопасности и конфиденциальности, остались невредимы.

Что же такое двухфакторная аутентификация?

Умные компьютерщики в очках и с взъерошенной головой могут годами рассуждать о различиях между аутентификацией, идентификацией и авторизацией, но для рядового пользователя все это сводится к одному – процедуре получения доступа к принадлежащему ему информационному ресурсу путем подтверждения своей подлинности.

Двухфакторная аутентификация – это такая аутентификация, в процессе которой пользователь подтверждает свою подлинность с помощью второго дополнительного фактора. Например, кодовой фразы. Или цифрового токена.

Когда вы устанавливаете Telegram на свой смартфон, то подтверждаете принадлежность этого устройства исключительно своим телефонным номером, на который придет сообщение или звонок с кодом подтверждения. В этом случае если злоумышленник каким-то образом сможет представиться вашим телефонным номером, например, перехватив смс-сообщение или продублировав вашу сим-карту, то он захватит ваш аккаунт мессенджера.

В атаке, про которую мы написали выше, пользователей Telegram атаковали с использованием штатного механизма, позволяющего открывать активную сессию мессенджера на другом устройстве при нажатии на специально сформированную ссылку, которая, как нетрудно догадаться, и пряталась под кнопкой в сообщении. Да вот только этот механизм работал исключительно у пользователей, у которых не было двухфакторной аутентификации. Атака на WhatsApp выглядела немного сложнее, но и от нее спасала 2FA.

Поэтому не поленитесь подключить двухфакторную аутентификацию не только в своих мессенджерах, но и в других сервисах. К примеру, Яндекс.Почта позволяет подтверждать вход в свой ящик электронной почты кроме пароля еще и дополнительным фактором – кодом из смс на указанный в профиле мобильный телефон. То же самое и в Госуслугах – подтверждение кодом из смс на привязанный сотовый номер.

Включается двухфакторная аутентификация достаточно просто. В Telegram – Настройки -> Конфиденциальность -> Облачный пароль. В WhatsApp – Настройки -> Учетная запись (или Аккаунт) -> Двухшаговая проверка. В большинстве других приложений и сервисов – в Настройках в разделах Безопасность или Конфиденциальность (в конце концов всегда помогут поисковые системы).

͏Российский разработчик антивирусных решений Dr. Web обнаружил вредоносный модуль SpinOk, который хакеры распространяют под видом маркетинговой библиотеки для приложений Android.

Новость, на первый взгляд, не особо важная. Но только на первый взгляд.

Дело в том, что антивирусные аналитики обнаружили этот модуль в общей сложности в 101 приложении в Google Play, которые суммарно на сегодняшний день были загружены пользователями более 420 миллионов раз. А это означает, что вероятность того, что на вашем смартфоне имеется какое-либо из этих приложений, весьма высока.

Среди таких приложений - видеоредактор Noizz, приложение для обмена файлами Zapya, программы для работы с видео VFly, MVBit и Biugo и другие. Полный список приложений, в которых может содержаться шпионское ПО, находится здесь, в столбце App name указаны названия этих программ.

Полная статья про SpinOk находится в блоге Dr. Web на ресурсе Хабр - https://habr.com/ru/companies/drweb/news/738376/.

Если вы не уверены полностью в своих приложениях, то советуем проверить этот список.

Также в очередной раз напоминаем про необходимость обязательного использования антивирусных решений на ваших смартфонах. Про российские антивирусы мы писали в этом посте.

͏Компания Google выпустила очередное обновление для самого популярного браузера Chrome версии 114.

В этом патче исправлено 18 уязвимостей, некоторые из которых являются критичными и могут привести к тому, что хакер получит доступ над атакуемым компьютером. Поэтому обновляться просто необходимо.

Напомним, что если Chrome по каким-то причинам не обновился автоматически, то вручную обновить его достаточно просто - в Настройках (три вертикальные точки в правом верхнем углу браузера) выбираете Справка -> О браузере. Если браузер не обновлен до последней версии, то в открывшемся окне проведет проверку и сам предложит пользователю обновиться.

Вчера в области информационной безопасности случился самый настоящий международный скандал. Сначала ФСБ, а затем МИД России, обвинили американскую разведку и компанию Apple в масштабной кибероперации по заражению принадлежащих некоторым гражданам России iPhone'ов кибершпионским программным обеспечением.

Чуть позже Лаборатория Касперского опубликовала первые материалы своего расследования Operation Triangulation, в которых заявила, что неназванные злоумышленники целенаправленно заразили новым вирусом смартфоны от Apple нескольких ее руководителей, а также дала некоторые технические детали расследования.

Оказывается, что вредоносное ПО может прослушивать пользователя и воровать его данные, передавая их на свой командный сервер в сети Интернет. Для заражения используются неизвестные ранее уязвимости нулевого дня, а происходит заражение с помощью так называемого 0-click эксплойта, то есть метод заражения не требует от пользователя никаких действий и происходит без его ведома. Более того, после успешного заражения вредоносное ПО удаляет все следы проникновения на смартфон.

Очевидно, что эти два случая связаны и речь идет об одной и той же вредоносной кампании.

На данный момент действенные методы борьбы с опасным заражением не разработаны. Лаборатория Касперского обещает в ближайшее время, возможно даже сегодня, выпустить бесплатный инструмент для определения того, заражен ли ваш iPhone или нет. Как только этот инструмент появится в открытом доступе - мы сразу сообщим нашим подписчикам.

На данный момент можем посоветовать сделать следующее, чтобы максимально снизить вероятность заражения:
- обязательно прямо сейчас поставить на свой iPhone все доступные обновления для операционной системы и используемых приложений;
- отключить использование сервиса iMessage, через который происходит заражение: Настройки -> Сообщения -> отключить ползунок iMessage.

Также некоторые специалисты рекомендуют включить на iPhone специальный Режим Блокировки или, по-другому, Lockdown Mode. Делается это достаточно просто: Настройки -> Конфиденциальность и безопасность -> Режим блокировки. Однако этот режим отключает часть полезных функций в вашем смартфоне, таких как возможность подключения iPhone к компьютеру или загрузка в Safari сайтов, не включенных в белый список. А поскольку пока нет достоверных данных, что Режим Блокировки надежно защищает от новой вирусной атаки, то мы не рекомендуем им злоупотреблять.

Как мы и обещали в предыдущем посте - даем ссылку на новую утилиту от Лаборатории Касперского, с помощью которой любой пользователь может самостоятельно определить, был ли его iPhone заражен новым опасным вирусом, про который вчера говорили ФСБ и МИД России. Инструкция прилагается.

Пользуйтесь на информационное здоровье.

Компания Google удалила из своего магазина 32 вредоносных расширения для браузера Chrome. Согласно заявлениям исследователей все они включают в себя скрытый вредоносный код, с помощью которого хакеры могут совершать всевозможные вмешательства в работу пользовательского устройства, начиная от подмены результатов поиска и рекламного спама и заканчивая кражей конфиденциальной информации.

Общее количество загрузок опасных расширений составляет более 75 миллионов раз. Хотя исследователи предполагают, что это число было искусcтвенно накручено, тем не менее вероятность того, что у вас может оказаться установлено одно из этих расширений, все же существует.

Поэтому можете проверить сами, полный список находится в конце статьи по этой ссылке. Там всего 34 наименования расширений, 2 из которых Google так до сих пор и не удалили из магазина.

Проверить и удалить вредоносное расширение, буде такое окажется в вашем браузере Chrome, можно здесь: Настройки -> Расширения -> Управление расширениями.

͏В прошлых постах мы расписывали первые и основные, по нашему мнению, шаги по защите устройства пользователя:
- своевременное обновление всего спектра программного обеспечения, стоящего на вашем устройстве, будь то ноутбук, домашний компьютер, смартфон или планшет;
- установка антивирусного приложения, желательно все-таки платного (хотя если нет возможности, то можно попробовать и бесплатные варианты).

И вот пользователь все обновил и поставил хороший антивирус. Получается он теперь полностью защищен? Гм, ну не совсем. Процентов на 90 вероятность успешной атаки на свое устройство он снизил, но полностью убрать угрозу все равно не удастся. Надо продолжать стремиться к тому, чтобы сделать эту вероятность еще ниже.

А почему? А потому что, во-первых, гладиолус бывает, что хакеры крадут учетные данные. А во-вторых, существуют такие штуки, как уязвимости нулевого дня, о которых мы рассказывали ранее. Про которые еще не знают ни производители ПО, ни антивирусные компании. Конечно, атаки с использованием 0-day уязвимостей бывают такими, когда от пользователя ничего не зависит, например, некоторые атаки в прошлом на процессор компьютера или смартфона. Тогда остается только расслабиться и получать удовольствие. Или отключиться от мировой сети.

К счастью, такое случается крайне редко. Гораздо чаще бывает, что хакер имеет эксплойт уязвимости нулевого дня, но ему еще надо каким-то образом получить доступ к атакуемому компьютеру. Например, заразить его вредоносной программой.

Поэтому нашим Третьим шагом в нирвану информационной безопасности станут меры по борьбе с самым популярным у хакеров приемом – с фишингом. И для этого совершенно ничего не придется делать. Наоборот, совершенно необходимо будет кое-чего НЕ делать. Но для начала надо понять природу самого этого явления.

Определение фишинга (phishing, произошло от английского fishing, в данном контексте имеется в виду ловля на приманку) все дают разное. Мы не будем заниматься наукообразием и объясним как оно есть на самом деле. Фишинг – хакерский прием, когда злоумышленники подменяют или подделывают какое-либо сообщение или ресурс на свой вариант, содержащий вредоносное вложение. Это может быть СМС, электронное письмо, сообщение в социальной сети или мессенджере, поддельный сайт, форма входа в Интернет-сервис и прочее.

Пост получается уже достаточно длинным, поэтому методы борьбы с фишингом мы опишем в продолжении.

͏У браузера Chrome появилось обновление безопасности, исправляющее уязвимость нулевого дня CVE-2023-3079 (про обозначение уязвимостей CVE мы расскажем отдельным постом), которая может использоваться хакерами для получения контроля над атакованным компьютером и, более того, уже замечена в дикой природе (то есть применяется злоумышленниками для организации атак). Что такое уязвимость нулевого дня - мы описали здесь.

Уязвимость свежая, она была обнаружена только 1 июня. Очевидно, что хакеры обнаружили ее раньше и успели создать инструменты для ее эксплуатации.

Поэтому, как всегда, рекомендуем как можно скорее установить свежее обновление на Chrome, если вы его используете. Например, если вы осуществляете работу в личном кабинете вашего банка через этот браузер.

Как мы уже говорили, вручную обновить Chrome достаточно просто - в Настройках (три вертикальные точки в правом верхнем углу браузера) выбираете Справка -> О браузере. Если браузер не обновлен до последней версии, то в открывшемся окне проведет проверку и сам предложит пользователю обновиться.

Как мы уже говорили, Фишинг – хакерский прием, когда злоумышленники подменяют или подделывают какое-либо сообщение или ресурс на свой вариант, содержащий вредоносное вложение. Это может быть СМС, электронное письмо, сообщение в социальной сети или мессенджере, поддельный сайт, форма входа в Интернет-сервис и прочее.

Защита от фишинга в сегодняшнем дне является одним из наиболее популярных упражнений у корпоративных служб информационной безопасности. Доходит даже до проведения самых настоящих учений, которые, впрочем, с завидной регулярностью дают отрицательные результаты, когда заинструктированные и мегамотивированные со стороны СБ сотрудники без тени сомнений открывают письма от неожиданно нашедшихся только что скончавшихся африканских бабушек и переходят по вложенными вредоносными ссылками на завещание покойной.

Приведем реальные примеры фишинга:
- как мы рассказывали раньше в посте про двухфакторную аутентификацию, рассылка сообщений в Telegram от лица знакомого с вшитой вредоносной ссылкой, позволявшей хакеру открыть у себя активную сессию мессенджера;
- электронное письмо, маскирующееся под письмо службы кадров, содержащее вредоносную ссылку на новый табель положенности или уведомление о выплате премии, в котором сидит вирус (такое ведь никто не пропустит, да?);
- электронное письмо, маскирующееся под уведомление о получении штрафа ГИБДД и содержащее ссылку на поддельную страницу входа в Госуслуги, откуда логин и пароль пользователя попадают прямо к хакеру;
- создание клона легитимной сети Wi-Fi, после подключения к которой пользователю будут представлены поддельные страницы некоторых сервисов, например тех же Госуслуг или банковского личного кабинета;
- поддельное сообщение в социальной сети от имени службы поддержки, содержащее ссылку на поддельную форму, в которую требуется внести свои логин и пароль;
- поддельная поисковая выдача, когда вместо легитимного сайта пользователю подставляют поддельный, на котором либо сидит вирус, либо собираются данные пользователя, в том числе данные банковских карт;
- множество других, фантазия злоумышленников безгранична.

Перейдем, наконец, к правилам защиты от фишинга. Они получились большими, поэтому не уместились здесь и мы дадим их отдельным постом ниже.

͏Правила защиты от фишинга.

1. Правило первое, оно же основное, – не доверяйте никому и ничему. Помните – если у вас паранойя, это еще не значит, что за вами никто не следит. Если у вас есть хоть капля подозрения в том, что пришедшее уведомление, письмо или сайт являются подлинным, не постесняйтесь перепроверить.

Обратите внимание на то, что электронная почта вашего начальника или страница Вконтакте вашего друга могут быть взломаны. Поэтому верный обратный адрес отправителя – не гарантия того, что сообщение настоящее. Лучше оценить мог ли ваш адресат направить вам такое сообщение. Если это выглядит странно – то смотрите предыдущий абзац.

Интересный факт – часто хакеры искусственно увеличивают размер прикрепленного к фишинговому сообщению файла, например до 600 или 700 МБ. Из-за ограничений ряда антивирусных сервисов на размер проверяемого файла такое вложение может проскочить через защиту. Обращайте на это внимание, вложенный документ вряд ли будет занимать больше 20 Мб, даже если это презентация.

2. Проверяйте адреса и ссылки в сообщении, они могут быть подделаны. Злоумышленники подделывают как адрес отправителя, подставляя похожую на легитимную почту, так и ссылки в тексте самого сообщения. Более того, ссылка может быть отображать одну страницу, а переход по ней осуществляться на другую. Поэтому имеет смысл при наличии подозрений вручную ввести нужный адрес в новом окне браузера.

3. Не надо необдуманно тыкать во все ссылки и баннеры, которые вы видите. А если уж случайно потыкали – не вводите никаких персональных (особенно банковских) данных.

4. Не давайте никаких разрешений на загрузку и установку «необходимых обновлений» или «отсутствующих драйверов» при открытии вложенных файлов или переходы по вшитой ссылке. Скорее всего там будет вирус.

5. Обязательно подключите везде, где можно, двухфакторную аутентификацию, про которую мы рассказывали раньше.

И, само собой, все это будет эффективным при соблюдении двух первых правил цифровой гигиены – своевременного обновления и установки антивирусных программ.

͏Вскрыта вредоносная кампания, направленная на игроков в популярную во всем мире игру Minecraft.

Многие игроки, большую часть из которых составляют дети, используют т.н. "моды" - модификации для игры. Хакеры взломали несколько популярных аккаунтов мод-платформ Minecraft Bukkit и CurseForge, с которых стали распространять зараженные вирусом Fractureiser версии модификаций.

Таким образом игроки, у которых стояли моды с взломанных аккаунтов, стали получать вредоносные обновления. Сам вредонос Fractureiser предназначен для кражи пользовательских данных с атакованных компьютеров.

Точных данных в отношении масштабов вредоносной кампании нет, но предполагается что она длится около 3 недель и зараженными могут оказаться несколько миллионов игроков, использовавших модификации с сайтов Minecraft Bukkit и CurseForge.

На данный момент подтверждено заражение следующих модов:

- на сайте CurseForge - Dungeons Arise, Sky Villages, Better MC modpack series, Fabuously Optimized, Dungeonz, Skyblock Core, Vault Integrations, AutoBroadcast, Museum Curator Advanced, Vault Integrations Bug fix, Create Infernal Expansion Plus;

- на сайте Minecraft Bukkit - Display Entity Editor, Haven Elytra, The Nexus Event Custom Entity Editor, Simple Harvesting, MCBounties, Easy Custom Foods, Anti Command Spam Bungeecord Support, Ultimate Leveling, Anti Redstone Crash, Hydration, Fragment Permission Plugin, No VPNS, Ultimate Titles Animations Gradient RGB, Floating Damage.

Если вы или ваши дети используют данные моды для Minecraft, то их следует немедленно удалить, проверить свою систему антивирусным ПО с последним обновлением вирусной базы и поменять пароли для всех учетных записей, которые использовались на зараженном компьютере.

Если у вас нет упомянутых модов, то желательно не использовать в ближайшее время модификации с платформ Minecraft Bukkit и CurseForge.

͏Продолжаем рассказывать об основных способах защиты от угроз информационной безопасности, которые достаточно просты, могут применяться обычным пользователем, но одновременно с этим очень эффективны.

Раньше мы уже рассказывали про первые 3 шага:
- своевременное обновление всей линейки используемого программного обеспечения;
- использование антивирусных приложений;
- соблюдение мер защиты от фишинга.

Перейдем к следующему по списку, но не по значению. Это - правильная парольная политика. Вообще-то мы уже касались этого вопроса, поскольку использование двухфакторной аутентификации является составной частью парольной политики. Теперь надо поговорить об этом более подробно.

Начнем мы, тем не менее, с очередной иллюстрации необходимости использования стойких паролей, которая появилась буквально на днях.

В практике фирм, занимающихся информационной безопасностью, есть такой известный прием как киберловушка или honeypot. Она представляет собой специальный компьютер, который подключен к сети Интернет и имитирует какую-либо систему, потенциально представляющую интерес для хакеров, например, базу данных.

Компания GoSecure в течение нескольких лет эксплуатировала ловушку, которая имитировала компьютер с работающим сервисом RDP - удаленным рабочим столом. Наверняка многие сталкивались с такой штукой, частенько ее используют при удаленной работе. Для пущего интереса хакеров система была названа как часть банковской сети.

Согласно выводам специалистов, представленным на днях, в среднем в сутки происходило 37 тысяч попыток подключиться к ловушке и подобрать пароль. Причем все эти подключения шли с разных IP-адресов, что свидетельствует о многочисленности злоумышленников.

Большая часть попыток взлома происходила с использованием метода автоматического подбора пароля "грубой силой", так называемого Bruteforce (мы обязательно расскажем об этом в следующих постах). Но примерно в 0,5% случаев хакеры проводили предварительную разведку, пытаясь угадать имя пользователя на основе логических выводов.

Анализ показал, что наиболее распространенной стратегией было использование пароля в виде различных написаний слова "password" либо строки из цифр длиной до 10 символов (если вы используете подобный пароль - у нас для вас плохие новости).

Все это наглядно показывает важность использования оригинальных имен пользователей, а также сложных паролей. При этом мы не призываем придумывать пароли вида "3hf*7kd9))" - с их запоминанием, как правило, возникают большие сложности, особенно если политика информационной безопасности компании или используемого сервиса предусматривает регулярную смену пароля. Есть более эффективные механизмы, о которых мы расскажем далее.

На прикрепленной картинке - наиболее часто использовавшиеся хакерами имена пользователей при подборе по данным компании GoSecure.

͏Вчера был второй вторник месяца, а значит ряд разработчиков программного обеспечения выпустили ежемесячные обновления безопасности, самым главным из которых является Patch Tuesday от Microsoft.

Всего Microsoft исправила 78 уязвимостей в своих продуктах, из которых 6 являются критическими, то есть могут использоваться хакерами в атаках достаточно небольшой сложности исполнения, которые повлекут за собой весьма тяжелые последствия.

Целых 4 уязвимости из указанных 6 критических являются уязвимостями, которые влекут за собой удаленное выполнение кода - RCE (Remote Code Execution). Это означает, что злоумышленник, используя эту уязвимость, может запустить на атакованном компьютере произвольный программный код. И, само собой, это будет не программа, выводящая на экран поздравление с прошедшим 8 марта, а самый настоящий вирус. С помощью которого хакер сможет взять вашу систему под контроль.

RCE это лишь один из видов компьютерных уязвимостей, но на других мы особо заострять внимание не будем.

Потому что RCE - самый отвратительный из всех видов уязвимостей. Если специалист по информационной безопасности видит аббревиатуру RCE, то у него учащается сердечный ритм, начинается непроизвольное потоотделение и тремор рук. Поверьте - все это не просто так.

Поэтому уязвимости RCE должны быть устранены в первую очередь. В данном случае необходимо обновить свою линейку программных продуктов от Microsoft. Как это сделать - мы рекомендовали здесь.

͏На этой неделе вышло очередное обновление браузера Chrome версии 114 от компании Google.

Производителем было устранено 5 уязвимостей, одна из которых является критической. Сама по себе она не способна привести к взлому атакованного компьютера, однако в связке с другими уязвимостями может составлять так называемый эксплойт кит - набор последовательно используемых эксплойтов нескольких уязвимостей, которые все вместе позволяют злоумышленникам взять под контроль атакованную систему.

Почему мы обращаем особое внимание на обновления Chrome? Потому что этот браузер, а также другие браузеры, работающие на его движке Chromium, занимают в общей сложности около 70% мирового рынка. А еще около 25% занимает браузер Safari компании Apple. Вот и получается, что с 95-ти процентной вероятностью вы пользуетесь одним из этих двух браузеров (точнее движков). При этом Safari обновляется, как правило, в составе пакета обновлений для операционных систем MacOS или iOS, то есть не слишком часто (хотя, безусловно, бывают и экстренные обновления именно браузера).

Напомним, что если Chrome по каким-то причинам не обновился автоматически, то вручную обновить его достаточно просто - в Настройках (три вертикальные точки в правом верхнем углу браузера) выбираете Справка -> О браузере. Если браузер не обновлен до последней версии, то в открывшемся окне проведет проверку и сам предложит пользователю обновиться.

В условиях санкций со стороны западных стран использование лицензионного программного обеспечения является весьма непростым. Многие компании официально ушли из России и не предоставляют больше возможность легально использовать свои продукты. Другие "ушли, но не ушли", как компания Microsoft, которая вроде бы объявила еще в прошлом году, что покидает российский рынок, но продолжила поддерживать старых клиентов и, к тому же, оставила лазейки, позволяющие купить и новую лицензию тоже.

Тем не менее, из-за сложившейся ситуации многие пользователи стали все больше посматривать в сторону пиратских сборок тех или иных программ. Так сказать, вводить ответные санкции в отношении западных производителей ПО. Давать оценку правильности и моральной обоснованности такой позиции мы не будем - чай не Ксения Собчак.

Но мы просто обязаны предупредить тех, кто активно использует скачанные с различных torrent-трекеров пиратские программы, что иногда в них содержится вредоносное ПО, которое активизируется при установке и может принести массу проблем пользователю.

Ситуации совсем не помогает позиция антивирусных компаний, которые вносят так называемые "кряки" или "таблетки", то есть программы для взлома лицензии, в список вредоносов, выявляемых в ходе работы антивируса. В итоге пользователь при установке пиратской версии вынужден отключать антивирусное ПО, тем самым ставя свой компьютер и свои данные под еще большую угрозу.

На днях российский производитель антивирусного ПО Dr.WEB выпустил предупреждение о том, что в ряде пиратских сборок операционной системы Windows, распространяемых в Интернете, найден троянский конь с функциями инфостилера. То есть вредоносная программа маскируется под законное приложение, а потом сидит в системе и ворует пользовательские данные. Dr.WEB назвала этот вредонос Trojan.Clipper.231.

Этот троян отслеживает копирование адреса криптокошелька (например, при осуществлении перевода криптовалюты) и подменяет его на криптокошелек хакеров, которые таким образом уже своровали 19 тысяч евро.

Вот список зараженных пиратских сборок:
- Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
- Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso.

Будьте аккуратнее при использовании пиратского ПО и предупредите своих знакомых.

Как вы заметили, подавляющее большинство постов в нашем канале являются авторскими. То есть мы не используем слепое копирование материалов из Интернета, выдавая их за свои, а стараемся дать свой экспертный взгляд на ту или иную проблему. Но это совсем не мешает нам рассказывать об интересных статьях, которые выпускают компании, занимающиеся вопросами информационной безопасности.

Сегодня мы рассмотрим статью Лаборатории Касперского о лучших способах блокировки смартфона на базе Android.

Вот несколько советов, которые дают специалисты Лаборатории с нашими авторскими комментариями.

1. Специалисты советуют использовать для блокировки случайные PIN-коды, не связанные с датами рождения и прочими очевидными вещами, чтобы не упрощать злоумышленникам процесс подбора. С одной стороны мы согласимся, даты рождения или часть номера телефона использовать в качестве PIN-кода не совсем разумно. С другой стороны - случайные сочетания цифр (или букв) запоминаются очень плохо, особенно если их много. Для формирования PIN-кода можно использовать, например, какое-либо слово, подбирая цифры в соответствии с выделенными для них буквами (просто посмотрите на экран разблокировки с помощью PIN-кода и вы поймете о чем мы говорим).

2. Полноценный текстовый пароль более надежен и его намного сложнее подсмотреть, но вводить его регулярно в течение дня - крайне утомительно. Рекомендуется использовать его в качестве вспомогательного варианта при других способах разблокировки. Согласимся.

3. Не рекомендуется использовать графический ключ разблокировки, поскольку обычно они достаточно коротки и предказуемы (в половине случаев начинаются из левого верхнего угла), а также их весьма легко подсмотреть. Согласимся.

4. Разблокировка с помощью отпечатка пальца является достаточно надежным методом, хотя теоретически его возможно дублировать. По крайней мере, описание подобных атак, в частности BrutePrint недавно появились в Интернете.

5. Распознавание лица в Android-смартфонах реализовано на порядок хуже чем Face ID в iPhone, поэтому Лаборатория Касперского не рекомендует использовать этот метод разблокировки.

Таким образом, по мнению специалистов, идеальным сочетанием для Android будет разблокировка с помощью отпечатка пальца плюс полноценный текстовый пароль в качестве запасного варианта.

Добавим от себя еще одно. Разблокировка с помощью отпечатка пальца или распознавания лица может быть проведена и против воли владельца смартфона. Например, если на вас напали и силой удерживают гопники. Поэтому эти способы не применимы, если вы храните на смартфоне действительно важную информацию. Кроме того, некоторые смартфоны, например, Samsung, позволяют стереть данные с устройства при достижении определенного числа неудачных попыток входа.

Удачных и безопасных разблокировок вам!

͏В силу двухсторонних санкций некоторые ресурсы стали недоступны для россиян за последние полтора года. Часть из них была закрыта владельцами, как, например, громадный кусок игровых сервисов, к другим ограничен доступ по решению РКН и иных ответственных государственных органов, например, к Instagram.

В этих условиях многие пользователи стали активно применять такое решение как VPN - Virtual Private Network, которое создает шифрованный туннель между компьютером и удаленным VPN-сервером. Благодаря этому можно обходить ограничения на посещение разных ресурсов. Расплываться мыслью по древу не будем, за последние несколько лет практически все активные пользователи Интернета стали в курсе этого термина.

Естественно, большой спрос на VPN-сервисы не мог остаться без внимания злоумышленников, которые, как всегда, хотят похитить пользовательские данные и получить доступ к их системам. Особенно сейчас, когда Роскомнадзор регулярно обрубает известные "белые" VPN-сервисы и пользователи вынуждены искать новые, зачастую полагаясь лишь на поисковую выдачу и сформированный ботами рейтинг. А уж с этими вещами хакеры работать умеют.

В этом посте мы приведем два конкретных свежих примера фейковых VPN, что, возможно, убережет вас от раскрытия своей информации. Одно только добавим от себя - всегда надо осознавать, что разрешая VPN-соединение вы фактически даете возможность на прослушку всего вашего трафика владельцу VPN-сервиса. Особенно это касается бесплатных VPN.

Американская компания Cyble обнаружила ряд поддельных сайтов, которые имитируют сайт легального VPN-сервиса LetsVPN. Подделки очень похожи на оригинальный сайт как по дизайну, так и по названию. Например "letsvpn .club" или "letsvpn .cyou" вместо правильных "letsvpn .net" и "letsvpn .world" (сравнение вы можете увидеть на прикрепленной картинке).

При загрузке приложения с указанных выше фейковых сайтов пользователь получит банковский вирус BlackMoon вместо ожидаемого VPN-приложения. Этот троянский конь обладает разными вредоносными функциями - перехватывает нажатия клавиш, взламывает учетные записи онлайн-банкинга или ворует коды безопасности. Другие сайты распространяют вредоносы Farfli Backdoor или KingSoft. Названия тут не принципиальны, важно то, что все эти вирусы могут привести к потере пользователем информации и денег.

Другим примером является фейковое VPN-приложения для смартфонов Android под названием Swing VPN. Исследователь Greek Geek обнаружил, что это приложение с более чем 5 миллионами загрузок используется также для проведения компьютерных атак со смартфонов, на которых оно установлено. Авторы приложения передают ему адрес в Интернет, на который приложение шлет бессмысленные запросы, перегружая таким образом сайт и делая его недоступным. Это классическая DDoS-атака, о них мы расскажем позже более подробно.

Подводя итоги - хакеры всегда стараются найти фокус интереса рядового пользователя, чтобы использовать такой интерес в своих целях. Обязательно проверяйте подлинность сайтов и приложений, а также устанавливайте антивирусные программы на своих компьютерах и смартфонах. И, конечно, читайте наш канал, мы будем и дальше писать про новые ловушки компьютерных преступников.

͏Одним из важнейших элементов любой сети является маршрутизатор - устройство, посредством которого другие устройства в локальной сети подключаются к Интернету. Часто встречается также выражение "роутер", но в данном случае эти два термина принципиально не различимы. Практически у каждого это штука стоит дома и через нее в сеть выходит все, что только можно - от стационарного компьютера до умной кофемашины (что, на самом деле, не совсем правильно).

Как ни парадоксально, маршрутизаторы при всей своей важности очень часто весьма плохо защищены от угроз информационной безопасности. Отчасти это происходит по вине производителей, которые весьма быстро прекращают техническую поддержку продаваемых устройств, отчасти - из-за крайне редкого обновления их своими владельцами. Ну правда же, чего коробочку трогать - стоит себе, светодиодами светит, Интернет раздает, кушать не просит.

А между тем, маршрутизатор это фактически ворота в локальную сеть, домашнюю или офисную. Если его не защищать, то рано или поздно он станет целью для атаки. Последствия могут быть различными - от банального использования взломанного устройства для атак на другие мишени в Интернете до превращения его в полноценный форпост для взятия под контроль всей вашей сети.

Вчера компания ASUS, один из основных производителей бытовых маршрутизаторов в мире, выпустила обновление прошивки для нескольких популярных моделей маршрутизаторов, которым закрыла несколько серьезных уязвимостей, 2 из которых имеют критический рейтинг. Обе они представляют собой RCE (про этот класс уязвимостей мы говорили здесь), то есть могут быть использованы хакером для взятия вашего маршрутизатора под свой полный контроль.

Полный список затронутых моделей:
- GT6;
- GT-AXE16000, GT-AX11000 PRO, GT-AXE11000, GT-AX6000, GT-AX11000, GS-AX5400, GS-AX3000;
- XT9, XT8, XT8;
- V2;
- RT-AX86U PRO, RT-AX86U, RT-AX86S, RT-AX82U, RT-AX58U, RT-AX3000;
- TUF-AX6000, TUF-AX5400.

Необходимым и достаточным списком действий в данном случае будет неотложное обновление уязвимого маршрутизатора. Делается это через административную панель устройства, к которой можно подключиться в соответствии с прилагаемой к нему инструкцией. Заодно можно (и нужно) поменять пароль от административной учетной записи, которую многие часто оставляют по умолчанию. Главное его не забыть потом.

Прошло 3 недели с момента, когда Лаборатория Касперского объявила об обнаруженной ею масштабной вредоносной компании Operation Triangle, в ходе которой злоумышленники заражали смартфоны iPhone российских пользователей. Тогда же ими была предложена программа, с помощью которой каждый мог сам установить был ли его iPhone взломан или нет.

За прошедшее время появилось несколько интересных дополнений к информации Лаборатории Касперского, как от нее самой, так и от иностранных компаний по информационной безопасности. Например, авторитетная китайская фирма Qihoo 360 написала на своем сайте, что смогла определить хакерскую группу, которая организовала Operation Triangle и что помимо iPhone взломщики атаковали устройства на базе Windows. Но потом эту информацию китайцы по каким-то причинам удалили без комментариев.

Несмотря на все это эффективных методов защиты от Operation Triangle никто так и не предложил.

Но наконец вчера Apple выпустила обновление для всей линейки своих продуктов, а также для браузера Safari. В обновлении iOS 16.5.1, по заявлениям производителя, устранены 2 уязвимости нулевого дня, 1 из которых использовалась злоумышленниками в ходе Операции Триангуляции. Что странно - в описании обновления сама же Apple говорит, что эта уязвимость могла быть использована только до версии iOS 15.7. Зачем тогда ее исправлять в iOS 16.5?!

В любом случае всем владельцам устройств от Apple необходимо незамедлительно обновить их. Делается это стандартно, через Настройки -> Основное -> Обновление ПО. И про браузер Safari не забываем.