Автор
KL FC Bot
в Новости и события из мира информационной безопасности
-
Похожий контент
-
Автор KL FC Bot
В марте этого года мы описывали вредоносную кампанию c применением зловреда PhantomPyramid, которую мы с высокой степенью вероятности приписываем группе Head Mare. Отличительной особенностью этой кампании было использование техники polyglot, суть которой сводится к тому, что злоумышленники используют файлы, которые при разных условиях интерпретируются системой по-разному. Продолжая отслеживать активность этой группы, мы на протяжении августа регистрировали новую волну целевых рассылок того же трояна PhantomPyramid с новыми документами в качестве приманки и со все той же техникой polyglot.
Как Head Mare доставляет PhantomPyramid жертвам
Атака начинается с вредоносной рассылки, в ходе которой на адрес компании приходят письма с ZIP-архивами во вложении. На самом деле это polyglot-файл, который одновременно является и архивом, и исполняемым контейнером для Python-скрипта. Пользователь открывает его как обычный ZIP-файл и видит внутри текстовый документ в формате .docx. Хотя в реальности это вовсе не документ, а ярлык Windows, клик по которому приводит к заражению трояном PhantomPyramid. Достигается это за счет использования двойного расширения .docx.lnk, просто при просмотре содержимого архива видно только первое расширение.
Содержимое вредоносного архива — тип файла показывается как ярлык (shortcut)
Если у пользователя содержимое папок и архивов отображается в деталях, то заметить, что настоящий тип файла — это ярлык, достаточно несложно. Однако многие пользователи предпочитают просматривать файлы в виде краткого списка или как иконки и не видят этого поля. Ярлык не только запускает процесс заражения, но и открывает файл-приманку.
Впрочем, по всей видимости, почта — не единственный вариант заражения, используемый Head Mare в этой кампании. Как минимум в одной из попыток заражения вредоносный архив предположительно был скачан на компьютер жертвы через Telegram.
View the full article
-
Автор Мурат Профит
Здравствуйте!
Сегодня утром 17.05.2025, чуть позже 9.00 нас атаковала программа-шифровальщик.
У файлов изменено расширение. И их невозможно открыть, как это делалось обычно.
На сервере, где были зашифрованы файлы, установленный антивирус злоумышленники каким-то образом удалили.
Файл шифровальщика не обнаружен.
Addition.txt FRST.txt Shortcut.txt Файлы и требования.rar
-
Автор Dmitriy11
Здравствуйте, KES 11.9.0.351. После удаления приложения через безопасный режим с помощью kavremvr, и установкой обратно, при обновлении баз выдает ошибку «ошибка проверки баз и модулей приложения updater.xml» «ошибка проверки баз и модулей приложения u1901.xml»
-
Автор KL FC Bot
Группа ученых из Флоридского университета опубликовала исследование, посвященное семейству атак с использованием беспроводных зарядок стандарта Qi, которое они назвали VoltSchemer. В нем они подробно описали, как устроены эти атаки, почему они вообще возможны и каких результатов им удалось добиться.
Рассказываем о главных находках ученых. А в конце немного поговорим о том, что все это значит с практической точки зрения и стоит ли опасаться того, что кто-нибудь «поджарит» ваш смартфон с помощью беспроводной зарядки.
Основная идея атак семейства VoltSchemer
Cтандарт Qi на сегодняшний день является доминирующим: его поддерживают все современные беспроводные зарядки и смартфоны, которые умеют от таких зарядок заряжаться. Атаки VoltSchemer эксплуатируют две фундаментальные особенности этого стандарта.
Первая особенность связана с тем, что смартфону и беспроводной зарядке нужно каким-то образом обмениваться информацией для того, чтобы координировать процесс зарядки аккумулятора. Для этого стандартом Qi предусмотрен коммуникационный протокол, в котором для передачи сообщений используется то единственное, что связывает зарядку и смартфон, — магнитное поле.
Вторая особенность: беспроводные зарядки предполагают неограниченное общественное использование. Любой смартфон можно положить на любую беспроводную зарядку без какого-либо предварительного спаривания, и процесс зарядки аккумулятора начнется немедленно. Поэтому в коммуникационном протоколе стандарта Qi не предусмотрено использование шифрования — все команды передаются в открытом виде.
Из второй особенности следует, что на общение зарядки и смартфона можно провести атаку Man-in-the-Middle — то есть влезть в их коммуникацию, чтобы перехватывать сообщения и отправлять собственные. А благодаря первой особенности сделать это не так уж сложно: чтобы посылать вредоносные команды, достаточно научиться управлять магнитным полем так, чтобы имитировать сигналы стандарта Qi.
Для большей наглядности исследователи выполнили вредоносный адаптер питания в виде накладки на обычную настенную USB-розетку. Источник
Собственно, это и сделали исследователи: они соорудили «вредоносный» адаптер питания, замаскированный под настенную USB-розетку, который позволил им создавать точно настроенные шумы напряжения. Тем самым исследователи получили возможность отправлять беспроводной зарядке собственные команды, а также заглушать Qi-сообщения, отправленные смартфоном.
Таким образом, для атак семейства VoltSchemer не требуются никакие модификации ни «железа», ни прошивки самой беспроводной зарядки. Все, что нужно, — это разместить в подходящем месте вредоносный источник питания.
Посмотреть статью полностью
-
Автор linktab
Изредко при просмотре фотографий появляется небольшое диагностическое окно с сообщением, что photosservice.exe аварийно завершилось и приводится аварийный код завершенния С00000......
Просмотрел все события в консоли управления MMC- никаких ошибок нет. Пытался найти через проводник приложение photosservice.exe - не находит. В реестре есть только параметр photosservice в 4-х местах. В сети есть информация, что photosservice.exe это троян и предлагаются средства его удаления.
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти