kliMaster

Вредонос распространяется через фальшивое обновление Adobe Flash Player.

Пользователи Skype обратили внимание на появление подозрительной рекламы. При запуске домашнего экрана программы отображается рекламный баннер, продвигающий якобы критическое обновление Adobe Flash Player, но в действительности программа загружает вымогательское ПО.

Согласно сообщениям на форуме Reddit, после клика на рекламное сообщение на компьютер загружается и запускается по виду легитимное HTML-приложение, которое загружает вредоносную полезную нагрузку на компьютер жертвы. В результате устройство оказывается инфицировано вредоносным ПО.

Понимая, что под приложением скрывается вредоносное ПО, пользователи решили изучить его код. Как выяснилось, запуск фальшивого приложения, предназначенного для атак на компьютеры под управлением Windows, провоцирует исполнение обфусцированного кода JavaScript, который удаляет только что открытое пользователем приложение и запускает команду PowerShell, загружающую JSE-файл с уже несуществующего домена.

В связи с тем, что домен более недоступен, загрузить и проанализировать вредоносную программу не удалось. Но эксперты сходятся во мнении, что речь идет о вымогательском ПО, так как в целом атака схожа с недавней кампанией по распространению шифровальщика Locky и трояна Kovter.

По словам представителя Microsoft, пользователи просто столкнулись с сомнительными рекламными баннерами, сам Skype не скомпрометирован. В компании порекомендовали пользователям установить антивирусы, блокирующие подобные атаки.

https://www.reddit.com/r/sysadmin/comments/6276sp/fyi_skype_...

Исследователи из компании Zscaler обнаружили новый вариант вымогательского ПО для Android, который может уклоняться от обнаружения мобильными антивирусами. В настоящее время вредонос ориентирован на русскоязычных пользователей и, по словам экспертов, лишен функционала дешифрования. То есть, жертвы вымогателя не смогут разблокировать свои мобильные устройства и восстановить данные даже в случае выплаты выкупа.

Дистрибуция вымогательского ПО происходит через сторонние магазины приложений. Операторы вредоносной программы используют распространенный среди преступников метод - маскируют вредоносные приложения под популярные в Google Play Store программы.

После установки на системе вредоносное приложение ожидает четыре часа и затем начинает отображать всплывающие сообщения, запрашивающие права администратора. Даже если пользователь закроет уведомление, оно будет появляться до тех пор, пока вредоносная программа не получит требуемое. Далее вредонос блокирует экран устройства и отображает с сообщение о том, что данные пользователя зашифрованы и для их восстановления требуется заплатить выкуп в размере 500 рублей. Кроме того, в уведомлении содержится угроза отправить SMS-сообщение компрометирующего характера всем контактам жертвы, если требуемая сумма не будет выплачена.

По словам специалистов Zscaler, в процессе анализа исходного кода вредоноса они не обнаружили функции, отвечающие за проверку транзакций или отправку SMS-сообщений. Как полагают эксперты, вымогателю удается обойти антивирусы благодаря использованию качественно обфусцированного кода и техники Java Reflection для его исполнения. Кроме того, четырехчасовое «окно» позволяет вредоносу избежать обнаружения антивирусными решениями, полагающимися на динамический анализ.

EN S: https://www.zscaler.com/blogs/research/new-android-ransomwar...

Более подробно

P.S. и запретить производство кубиков рубика.

Эксплуатация проблемы позволяет выполнить произвольный код и получить контроль над устройством.

Производитель телекоммуникационного оборудования Cisco System предупредил о критической уязвимости нулевого дня в ПО IOS / IOS XE, затрагивающей свыше 300 моделей коммутаторов компании. Проблема была обнаружена сотрудниками Cisco в процессе анализа секретных документов Центрального разведывательного управления США, обнародованных организацией WikiLeaks в начале марта нынешнего года.

Уязвимость содержится в CMP-протоколе (Cluster Management Protocol), реализованном в операционных системах Cisco IOS и Cisco IOS XE. Эксплуатация проблемы позволяет удаленному неавторизованному атакующему перезагрузить уязвимое устройство или получить контроль над ним, выполнив произвольный код с повышенными правами.

CMP-протокол предназначен для передачи данных о кластерах коммутатора между участниками кластера, использующими протоколы Telnet или SSH. Согласно предупреждению производителя, уязвимость существует в связи с двумя факторами - отсутствием ограничения использования CMP- специфических Telnet опций только для внутренних коммуникаций между участниками кластера и некорректной обработкой специально сформированных опций.

Проблема затрагивает 264 модели коммутаторов Cisco Catalyst, более 50 моделей промышленных Ethernet-коммутаторов, а также устройства Cisco ME 4924-10GE, Cisco RF Gateway 10 и Cisco SM-X Layer 2/3 EtherSwitch Service Module.

В настоящее время патч, устраняющий вышеуказанную уязвимость, недоступен.

В качестве временной меры по предотвращению эксплуатации проблемы эксперты Cisco рекомендуют отключить возможность подключения по Telnet.

Презентации можно посмотреть тут.