APT27 (Advanced Persistent Threat) — це назва хакерської групи, яка походить з Китаю і має тенденцію переслідувати високопоставлені цілі. APT27 також відомий під різними псевдонімами, включаючи Emissary Panda, LuckyMouse і BronzeUnion. Серед найвідоміших кампаній, проведених APT27, є їхні атаки на оборонних підрядників Сполучених Штатів. Інші популярні операції APT27 включають кампанію проти низки компаній, що працюють у фінансовому секторі, а також атаку на центр обробки даних, розташований у Центральній Азії. Інструменти злому в озброєнні APT27 включають загрози, які дозволять їм проводити розвідувальні операції, збирати конфіденційні файли із зараженого хоста або захоплювати зламану систему. Дослідники кібербезпеки вперше помітили...

Загроза XHAMSTER Ransomware використовується кіберзлочинцями для блокування даних своїх жертв. XHAMSTER Ransomware – це новий варіант програмного забезпечення Phobos Ransomware . Потужний алгоритм шифрування, який використовується XHAMSTER, гарантує, що пошкоджені файли буде майже неможливо відновити без допомоги хакерів. Точніше, без певних ключів дешифрування. Після активації на зламаному пристрої XHAMSTER вплине на широкий спектр типів файлів, включаючи документи жертви, фотографії, PDF-файли, архіви, бази даних та багато іншого. У рамках своїх дій програма-вимагач також значно змінить оригінальні назви заблокованих файлів. По-перше, він додасть рядок ідентифікатора, згенерованого для конкретної жертви. Далі загроза додасть обліковий...

Програма-вимагач Readnet є варіантом сімейства шкідливих програм MedusaLocker. Незважаючи на відсутність суттєвих покращень у загрозі порівняно з рештою варіантів із сімейства програм- вимагачів MedusaLocker , її здатність завдавати шкоди не слід недооцінювати. Кіберзлочинці можуть використовувати програмне забезпечення-вимагач Readnet для блокування даних корпоративних організацій, а також окремих користувачів, а потім вимагати від жертв гроші. Файли, такі як документи, PDF-файли, архіви, бази даних тощо, що зберігаються на зламаних пристроях, стануть непридатними для використання завдяки надійній процедурі шифрування. Усі файли, заблоковані програмою-вимагачем Readnet, матимуть розширення «.Readnet7» до оригінальних імен. Користувачам...

Дослідники Infosec виявили ще одну нав’язливу програму PUP (Potentially Unwanted Program), яка представляє себе як здавалося б корисна програма. Це розширення браузера під назвою Style Flex стверджує, що дозволяє користувачам вирівнювати вміст відвідуваних веб-сайтів відповідно до своїх уподобань. Однак аналіз програми показав, що ці обіцяні функції можуть бути відсутні взагалі. Натомість Style Flex набагато більше стурбований контролем над браузером користувача. Дійсно, програму було класифіковано як викрадач браузера. Після встановлення Style Flex змінить кілька важливих налаштувань браузера, наприклад домашню сторінку, адресу нової вкладки та поточну пошукову систему за умовчанням. Така типова поведінка викрадача веб-переглядача...

Шахраї намагаються використати нічого не підозрюючих користувачів через підроблений сайт роздачі. Схема представлена як нібито розіграш призів, організований соціальною мережею Instagram. Однак користувачів слід попередити, що Instagram не має відношення до цієї містифікації, а його ім’я використовується як спосіб додати законності заявам шахраїв. Оманливе спливаюче повідомлення повідомляє відвідувачам сайту, що їх було обрано для участі в розіграші вигідних і дорогих призів, включаючи комп’ютери, мобільне обладнання та грошові винагороди аж до 5000 доларів США. Вибрані користувачі матимуть 3 шанси вибрати виграшну подарункову коробку. Звичайно, якщо це звучить надто добре, щоб бути правдою, це тому, що вся роздача є фальшивкою, і жодної...

Diet Adware забезпечення — це сумнівна програма, основною метою якої, здається, є показ нав’язливої реклами на комп’ютерах користувачів. Окрім того, що Diet класифікується як рекламне програмне забезпечення, воно також належить до категорії PUP (потенційно небажаних програм) через сумнівні методи його розповсюдження. Наприклад, дослідники Infosec помітили, що загроза впроваджується у файли ISO, завантажені з сумнівних джерел. Після активації Diet Adware може стати причиною появи постійного потоку ненадійної реклами. Реклама може мати форму спливаючих вікон, банерів, текстових посилань тощо. Крім того, малоймовірно, що реклама, створена за допомогою рекламного ПЗ, рекламуватиме законні продукти чи місця призначення. Натомість користувачі...

Smartcaptcha.top приєднується до рядів усіх інших сумнівних веб-сайтів, які існують лише з метою використання законної функції браузера push-повідомлень. Ці сайти працюють практично ідентичним чином і використовують подібні тактики обману та клік-бейта, щоб приховати свої справжні наміри. Коли користувачі переходять на Smartcaptcha.top, вони, швидше за все, побачать фальшиві повідомлення, які вводять в оману, у яких їм буде запропоновано натиснути кнопку «Дозволити». Майже в усіх помилкових сценаріях, які використовують ці шахрайські сторінки, згадується, що користувачі повинні натиснути кнопку. Однак передбачуваний ефект може відрізнятися залежно від поточного сценарію. Наприклад, Smartcaptcha.top може стверджувати, що користувачі...

Twithdiffer.xyz — це оманливий веб-сайт, який використовує різні фальшиві сценарії, щоб обманом змусити жертв підписатися на його push-повідомлення. Незліченна кількість сумнівних веб-сайтів поводиться практично невідмітним чином щодо Twithdiffer.xyz. Загалом вони намагаються використовувати дозволи веб-переглядача законної функції браузера push-повідомлень, щоб доставляти небажану рекламу користувачам і отримувати грошові прибутки для своїх операторів у процесі. Коли користувачі переходять на таку сторінку, у більшості випадків у результаті примусового перенаправлення, вони, ймовірно, натраплять на оманливі повідомлення або повідомлення-приманки, які вказують їм натиснути відображену кнопку «Дозволити». Ці ненадійні сайти можуть...

Кіберзлочинці випустили черговий загрозливий троян-вимагач. Він отримав назву Vvyu Ransomware і заснований на сімействі шкідливих програм STOP/Djvu . Зараження програмами-вимагачами розроблено спеціально для блокування даних жертви. Численні типи файлів, як-от документи, зображення, фотографії, PDF-файли, архіви, бази даних тощо, будуть піддані шифруванню за допомогою криптографічного алгоритму військового рівня та залишені в непридатному для використання стані. Мета кіберзлочинців полягає в тому, щоб потім вимагати від постраждалих жертв гроші в обмін на обіцянку допомогти у відновленні даних. Що стосується конкретно Vvyu, загроза додає «.vvyu» як нове розширення до файлів, які вона блокує. Постраждалі користувачі також помітять, що на...

Програма-вимагач RedAlert (N13V) — це багатоплатформне зловмисне програмне забезпечення, націлене на дані своїх жертв. Версія зловмисного програмного забезпечення для Windows відстежується як RedALert, тоді як N13V спеціально розроблено для роботи на серверах Linux VMware ESXi. Як і більшість атак програм-вимагачів, загроза блокує дані, знайдені у зламаних системах, за допомогою криптографічного алгоритму, який неможливо зламати. Кожен оброблений файл матиме нове розширення, що складається з «.crypt», після якого до оригінального імені додається певний номер. Коли всі цільові типи файлів будуть зашифровані, програма-вимагач RedAlert (N13V) створить новий текстовий файл на зараженому пристрої. Мета файлу під назвою «HOW_TO_RESTORE.txt» —...

Було помічено, що нападник із приватного сектора (PSOA) використовує численні вразливості нульового дня WIndows і Adobe для зараження жертв внутрішньо розробленим шкідливим програмним забезпеченням, яке відстежується як Subzero. Подробиці про загрозу та зловмисне програмне забезпечення Subzero були оприлюднені у звіті Microsoft Threat Intelligence Center (MSTIC). Дослідники вважають цей конкретний PSOA KNOTWEED і вважають, що це австрійський загрозливий актор на ім’я DSIRF. KNOTWEED, ймовірно, запропонує поєднання двох різних моделей — доступ як послуга та хакерство за наймом, оскільки обидві групи продають своє зловмисне програмне забезпечення Subzero третім сторонам, а також мають більш безпосередню участь у певних атаках. Серед жертв...

Дослідники Infosec попереджають користувачів Mac про нову нав’язливу програму, відому як RelianceTask. Програма належить до плідної сімейства рекламних програм AdLoad і, швидше за все, призначена для доставки небажаної реклами на Mac користувачів. У більшості випадків сумнівні програми, такі як ця, поширюються за допомогою сумнівної тактики. Зрештою, малоймовірно, що користувачі охоче встановлять PUP (потенційно небажані програми) на свої комп’ютери. Натомість розробники цих програм покладаються на такі методи, як об’єднання програмного забезпечення або підроблені інсталятори/оновлення. Якщо RelianceTask було успішно розгорнуто на Mac, це може бути відповідальним за наплив настирливої реклами. Ці рекламні оголошення можуть не тільки...

Користувачі Windows помітили наявність процесу під назвою AggregatorHost.exe, що працює у фоновому режимі їхніх систем. Процес може здатися дивним і навіть підозрілим, оскільки його мета не зрозуміла. Крім того, у вікні «Властивості» може бути відсутня інформація про його видавця. Цей факт можна інтерпретувати як вказівку на те, що процес небезпечний або введений в ОС Windows небажаною сторонньою програмою. Однак AggregatorHost.exe видається законним процесом Windows, потенційно пов’язаним із функціональністю Windows Defender. Хоча це може стосуватися більшості користувачів, нерідко оператори зловмисного програмного забезпечення маскують свої загрозливі інструменти під справжні файли та процеси. Таким чином, важливо перевірити...

Шахраї поширюють оманливі електронні листи, намагаючись спонукати користувачів відкрити фішинговий портал. Електронні листи представлені як такі, що їх надіслав M&T Bank, законна банківська холдингова установа з понад 700 відділеннями в кількох штатах США. Підроблені електронні листи використовують назву та логотип компанії. Слід попередити користувачів, що M&T Bank не має жодного стосунку до цих оманливих електронних листів. Шахраї стверджують, що платіж у розмірі понад 400 доларів буде переведено з поточного рахунку одержувача як платіж за покупку в Amazon. Електронний лист також міститиме дату, коли передбачуване замовлення відбулося. У фальшивому електронному листі стверджується, що для зупинки транзакції користувачі повинні...

Шахраї використовують фальшиві попередження безпеки як спосіб просування сумнівних або нав’язливих програм. Цю конкретну тактику поширює шахрайський веб-сайт. Коли користувач потрапляє на сторінку, перед ним відкривається спливаюче вікно з тривожною заявою, яка нібито є «Системним попередженням». Відповідно до відображеного повідомлення, комп’ютер відвідувача пошкоджений і застарілий. Фальшиві страхи продовжуються ще більш обурливою заявою - згідно з веб-сайтом шахраїв, усі файли користувача будуть видалені лише за пару секунд. Мета всієї цієї паніки — змусити нічого не підозрюючих користувачів натиснути кнопку «Оновити» у спливаючому вікні. Очевидно, це оновить систему користувача та запобіжить видаленню файлів. Звичайно, нічого з цього...

Програма-вимагач Hydrox — це загроза зловмисного програмного забезпечення, оснащеного криптографічним алгоритмом, націленим на різні типи файлів. У заражених системах більшість файлів, що зберігаються в них, буде заблоковано та стане непридатним для використання. Як правило, операції з програмами-вимагачами здійснюються фінансово, коли зловмисники намагаються вимагати гроші від своїх жертв. Коли програмне забезпечення-вимагач Hydrox шифрує файл, воно також додає нове розширення файлу - ".hydrox" до оригінальної назви цього файлу. Серед змін, спричинених загрозою, також буде поява незнайомого текстового файлу під назвою «Hydrox Ransomware.txt». Файл містить записку про викуп із загрозою та інструкції для її жертв. Крім того, стандартний...

Програма-вимагач Po – це варіант сумнозвісного сімейства шкідливих програм Dharma. Кіберзлочинці можуть використовувати загрозу для блокування даних своїх жертв. Загрози програм-вимагачів розроблені спеціально для шифрування важливих файлів, таких як документи, PDF-файли, архіви, бази даних, фотографії тощо. Уражені дані потім використовують зловмисники для виманювання грошей у своїх жертв. Програмне забезпечення-вимагач Po дотримується типової поведінки, пов’язаної з варіантами Dharma . Він змінює назви заблокованих файлів, додаючи до них рядок ідентифікатора, адресу електронної пошти та нове розширення файлу. Адреса електронної пошти, додана до імен файлів, — «recovery2022@tutanota.com», а розширення — «.Po». Загроза також скине дві...