Автор
KL FC Bot
в Новости и события из мира информационной безопасности
-
Похожий контент
-
Автор KL FC Bot
Ваши снимки — это буквально ключи к личной жизни. В галерее мы храним планы на будущее, собственные финансовые секреты, фотографии котиков, а порой даже то, чем нельзя делиться ни с кем. Но как часто вы задумываетесь о защите своих снимков? Надеемся, что после истории с кроссплатформенным трояном-стилером SparkCat — чаще обычного.
Мы обнаружили младшего брата этой угрозы. Троян ласково назвали SparkKitty. Но не обольщайтесь, за милым названием скрывается шпион, который, как и его старший брат, нацелен на кражу фотографий со смартфонов жертв. В чем особенности этой угрозы и почему ей нужно уделить внимание владельцам Android и iPhone?
Как SparkKitty попадает на устройства
Стилер распространяется двумя способами: в дикой природе — то есть на безымянных просторах Интернета, и в официальных магазинах приложений — App Store и Google Play. Обо всем по порядку.
View the full article
-
Автор KL FC Bot
7 июля 2025 года Google выпустила обновление Gemini, которое дает AI-помощнику доступ к приложениям Phone, Messages, WhatsApp и Utilities на Android-устройствах. Компания анонсировала это событие e-mail-рассылкой пользователям своего чат-бота, которых просто поставили перед фактом: «Мы упростили взаимодействие Gemini с вашим устройством… Gemini скоро сможет помочь вам использовать «Телефон», «Сообщения», WhatsApp и «Утилиты» на вашем телефоне, независимо от того, включена ли ваша активность приложений Gemini или нет».
С точки зрения Google, обновление улучшает приватность, поскольку теперь пользователям доступны функции Gemini без необходимости включать Gemini Apps Activity. Удобно, не правда ли?
View the full article
-
Автор KL FC Bot
Частенько на кассе супермаркета кассир предлагает купить товары по акции: «Шоколадку будете? Очень хорошая, с большой скидкой сейчас». Если вам повезет, вы получите вкусный бонус по хорошей цене; но гораздо вероятнее, что вам пытаются продать не самый ходовой товар — либо с истекающим сроком годности, либо с еще какими-то скрытыми недостатками.
А теперь представьте, что от шоколадки вы отказались, но вам все равно ее незаметно подбросили в пакет или — еще хуже — в карман, где она растаяла, испортила вещи, продукты и принесла кучу проблем. Похожая ситуация произошла с пользователями, купившими поддельные смартфоны известных марок на маркетплейсах. Нет, в подарок им подсунули не шоколадку, а вшитый в прошивку новенького — из коробки — смартфона троян Triada, который доставляет куда больше неприятностей, чем растаявшая плитка: кража криптовалют, аккаунтов в Telegram, WhatsApp и соцсетях, перехват SMS-сообщений и многое другое.
Что за Triada
Так мы в «Лаборатории Касперского» назвали троян, который впервые обнаружили и подробно описали в 2016 году. Этот мобильный зловред внедрялся практически во все запущенные на устройстве процессы, существуя при этом только в оперативной памяти.
Появление Triada означало новый этап в эволюции мобильных угроз, направленных на Android. До Triada трояны были довольно-таки безобидными, специализировались в основном на показе рекламы и скачивании себе подобных, но новая угроза показала, что отныне все будет иначе.
Со временем уязвимости в Android, которые эксплуатировали в том числе и ранние версии Triada, были устранены, а в прошивки добавили ограничения на работу суперпользователей — например, запрет на редактирование системных разделов даже с root-правами в новых версиях Android. Остановило ли это киберпреступников? Конечно, нет. В марте 2025-го мы обнаружили «адаптированную к трудностям» версию Triada, которая умудряется извлечь пользу из новых ограничений: злоумышленники заражают прошивки смартфонов еще до их продажи, и предустановленные в системных разделах зловреды оказывается практически невозможно удалить.
View the full article
-
Автор KL FC Bot
Поучительный инцидент с атакой ransomware-группировки Akira наверняка на несколько лет станет любимым примером ИБ-специалистов. Злоумышленники зашифровали компьютеры организации, воспользовавшись ее видеокамерой. Хотя звучит это очень странно, в развитии событий есть логика, которую легко применить к другой организации и другим устройствам в ее инфраструктуре.
Анатомия атаки
Злоумышленники проникли в сеть, проэксплуатировав уязвимость в публично доступном приложении и получив возможность выполнять команды на зараженном хосте. Они воспользовались этим, чтобы запустить популярное приложение дистанционного доступа AnyDesk, а затем инициировали с этого компьютера RDP-сессию для доступа к файл-серверу организации. На сервере они попытались запустить свой шифровальщик, но EDR-система, установленная в компании, опознала вредоносное ПО и поместила его в карантин. Увы, это не остановило атакующих.
Не имея возможности запустить свой шифровальщик на серверах и обычных компьютерах, которые находятся под защитой EDR, атакующие запустили сканирование внутренней сети и обнаружили в ней сетевую видеокамеру. В отчете команды по расследованию инцидента это устройство постоянно называют веб-камерой (webcam), но мы все же полагаем, что речь не о камере ноутбука или смартфона, а о независимом сетевом устройстве, применяемом для видеонаблюдения.
Камера стала прекрасной мишенью для атакующих по нескольким причинам:
устройство давно не обновлялось, его прошивка содержала уязвимости, позволяющие дистанционно скомпрометировать камеру и получить на ней права на запуск оболочки (remote shell); камера работает под управлением облегченной сборки Linux, на которой можно запускать обычные исполнимые файлы этой ОС, например Linux-шифровальщик, имеющийся в арсенале Akira; это специализированное устройство не имело (и, скорее всего, не могло иметь) ни агента EDR, ни других защитных средств, которые могли бы определить вредоносную активность. Злоумышленники смогли установить свое вредоносное ПО на эту камеру и зашифровать серверы организации прямо с нее.
View the full article
-
Автор KL FC Bot
Попытки поставить целевой фишинг на поток мы наблюдаем уже достаточно давно. Как правило, они ограничиваются чуть лучшей стилизацией писем под конкретную компанию, имитацией корпоративного отправителя при помощи методики Ghost Spoofing и персонализацией послания (которая в лучшем случае заключается в обращении к жертве по имени). Однако в марте этого года мы начали регистрировать крайне любопытную рассылку, в которой персонализирован был не только текст в теле писем, но и вложенный документ. Да и сама схема была не совсем типичной — в ней жертву пытались заставить ввести корпоративные учетные данные от почты под предлогом изменений HR-политики.
Письмо от злоумышленников: просьба ознакомиться с новыми HR-гайдлайнами
Итак, жертва получает письмо, в котором якобы представители HR, обращаясь по имени, просят ознакомиться с изменениями HR-политики, касающимися протоколов удаленной работы, доступных рабочих льгот и стандартов безопасности. Разумеется, любому сотруднику важны изменения такого рода, курсор так и тянет к приложенному документу (в названии которого, к слову, тоже есть имя получателя). Тем более в письме такая красивая плашка, в которой сказано, что отправитель подтвержденный, сообщение пришло из листа безопасных адресатов. Но как показывает практика, именно в таких случаях к письму стоит присмотреться повнимательнее.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти