BOMBERuss

Ложноположительные срабатывания антивирусов нельзя назвать редкостью, однако далеко не всегда они доставляют столько неудобств, сколько пришлось пережить в минувшие выходные пользователям продукции Sophos. Так как антивирусные решения компании сочли, что файл winlogon.exe опасен, процесс логина в Windows оказался блокирован, а пользователи отрезаны от собственной системы.

В минувшие выходные в социальных сетях (особенно в Twitter) можно было наблюдать шквал гневных сообщений от пользователей 32-битной версии Windows 7 SP1. Пользователи не могли пройти процедуру логина и попасть в систему, так как вместо формы авторизации они видели только пустой черный экран.

https://twitter.com/Techhelplistcom/status/77253049826234777...

https://twitter.com/DyerM268/status/772462915152547840

Оказалось, что массовый сбой был вызван обновлением антивирусной продукции Sophos. Системный файл, расположенный по адресу C:\WindowsSystem32\winlogon.exe, воспринимался антивирусными решениями как спайварь Troj/FarFli-CT. В итоге антивирус блокирован экран входа в систему, оставляя пользователей любоваться черным экраном. Некоторые пользователи также могли видеть в консоли Sophos Enterprise (в Sophos Central и Sophos Home) сообщение о том, что по указанному адресу обнаружена угроза, однако очистка невозможна.

В понедельник, 5 сентября, специалисты Sophos наконец устранили ошибку. В блоге разработчики пишут, что пользователям, которые не имеют возможности даже войти в систему, нужно просто запустить компьютер и… подождать примерно 15 минут. Этого должно хватить, чтобы продукция Sophos обновилась и позволила winlogon.exe вновь заработать. Также в отдельных случаях может потребоваться восстановление самого файла winlogon.exe (если функция Microsoft System Protection была отключена, и антивирус удалил файл), в этой ситуации Sophos просит пользователей обращаться к специалистам технической поддержки компании.

На планете у звезды Z в созвездии Каппа все еще не существовало единого правительства, а была куча разрозненных государств. Одни были сильнее, другие слабее, но в целом уровень развития планеты соответствовал первой четверти XXI века по версии Земли.

В государстве А после очередного переворота шло первичное накопление капитала. То есть собственники совсем не всегда исправно платили налоги, а государство отвечало им регулярными налоговыми проверками с изъятием компьютерной техники, что, естественно, приводило к простоям и даже иногда банкротству. Выход был найден до гениальности просто — хранить важные данные в облаках, серверы которых находились в государстве В.

А теперь самое интересное — к чему это привело.

На совещании директор компании «Здоровье» задал вопрос своему руководителю ИТ:

— Генри, а сможем ли мы выдержать атаку вируса-вымогателя? Ведь сейчас все сайты только об этом и говорят.

— Безусловно, господин директор, ведь наши резервные копии делаются надежно и храним мы их в облаке за рубежом.

— Вы уверены?

— Безусловно!

— А как там поживают наши конкуренты, компания N из государства В? Они не могут получить доступ к разработке нашего нового продукта?

— Нет, ведь мы используем шифрование.

Отрезвление наступило, увы, очень скоро, когда компания В вывела на рынок лекарство, над которым упорно работали фармацевты из «Здоровья», ровно за месяц до того, как сама компания «Здоровье» должна была его выпустить. Как? Специалисты государственной службы безопасности занялись этим вопросом и вот что выяснили.

В государстве В давно и успешно интересовались разработками «Здоровья» и, получив резервные копии их серверов, передали все разработки своей компании. Но так как это было сделано тихо и умело, то и претензии высказать было особо некому, ведь особо дружескими отношения между двумя государствами назвать было нельзя.

С тех пор «Здоровье» никогда не использовало зарубежные хранилища данных.

А как вы считаете, хранить данные за рубежом безопасно? Вы уверены?

В наше время никого не удивить тем, что хакеры продают свою малварь «по подписке», к примеру, предлагая вымогательское ПО как услугу (RaaS, ransomware-as-a-service). Однако экспертам компании Fortinet удалось обнаружить кое-что более интересное: русскоязычный сайт, который работает по модели Phishing-as-a-Service, то есть предлагает в качестве услуги фишинг. Ресурс под названием Fake-Game работает с 2015 года и за скромную плату предлагает всем желающим создать поддельные копии страниц социальных сетей, почтовых сервисов, игровых платформ и так далее.

По данным исследователей, сайт работает с июля 2015 года, причем не в даркнете, а открыто, на домене в зоне .ru. Прямо на главной странице сайта платформа Fake-Game сообщает, что «на данный момент суммарно угнано 696418 аккаунтов» и предлагает «быстро и бесплатно получить желаемые аккаунты: ВКонтакте, Одноклассники, Танки Онлайн, Wargaming, STEAM, Warface и другие».

Фишеру предлагают пройти регистрацию, после которой нужно выбрать, какие именно учетные данные требуется украсть. Если, к примеру, выбран Gmail, то сайт сгенерирует ссылку вида gmail.disland.xyz, в конец которой будет добавлен уникальный ID «подписчика», чтобы тот впоследствии смог отслеживать угнанные им аккаунты (см. скриншоты ниже).

Всё, что должен сделать атакующий далее, — отправить фальшивую ссылку своей жертве. Как не трудно догадаться, по ссылке располагается поддельная страница, в точности имитирующая тот или иной сервис. Если продолжить пример, начатый выше, — это будет страница авторизации Gmail. Как только пользователь введет свои учетные данные на такой фейковой странице, атакующий увидит в личном кабинете Fake-Game, что атака сработала, а личные данные и IP-адрес жертвы будут записаны и отображены там же. Здесь же начинающему фишеру рекомендуют разные варианты дальнейших действий. Так, украденные данные предлагают или использовать в личных целях, или продать на другом русскоязычном сайте, на который приводится ссылка.

Самое интересное заключается в том, что все вышеперечисленные услуги сайт предлагает бесплатно. Операторы Fake-Game монетизируют свой бизнес, предлагая платные VIP-аккаунты, которые имеют расширенную функциональность по сравнению с базовыми. Стоит такой аккаунт всего 230 рублей в месяц (два месяца обойдутся 370 рублей; три месяца в 465 рублей). Платным пользователям предлагаются VIP-версии поддельных страниц, доступ к редактированию поддельных ссылок, доступ ко всем пользовательским аккаунтам, кроме VIP, статус продавца и статистику, чат технической поддержки и так далее.

Исследователи пишут, что Fake-Game насчитывает уже 61 269 подписчиков и привлекает новых пользователей собственными партнерскими программами и скидками.

В заключение специалисты Fortinet отмечают, что хотя Fake-Game явно ориентирован на русскоязычную аудиторию, бизнес-модель этой фишинговой платформы выглядит весьма эффективной, а значит, появление аналогичных сервисов в других регионах – вопрос ближайшего времени.

Пост: https://xakep.ru/2016/09/05/phaas/

Сайт-сниффер: http://fakeg.ru/admin/