Как мошенники ловят бизнес на удочку
Автор
KL FC Bot
в Новости и события из мира информационной безопасности
-
Похожий контент
-
Автор KL FC Bot
В начале октября Unity объявила разработчикам игр, что им предстоит большая работа. В популярном игровом движке, используемом и для компьютерных, и для консольных, и для мобильных игр, обнаружилась программная уязвимость, для устранения которой нужно обновить все опубликованные игры. Причем появился дефект восемь лет назад — в версии 2017.01, он затрагивает все современные игры и приложения на платформах Android, Linux, MacOS, Windows.
На анонс отреагировали не только разработчики. Valve объявила, что заблокирует в Steam запуск игр с небезопасными параметрами, а Microsoft пошла дальше, и порекомендовала временно удалить уязвимые игры до их обновления.
Чем грозит уязвимость, и как устранить ее, не удаляя игры?
Как работает уязвимость Unity
Эксплуатация ошибки с официальным идентификатором CVE-2025-59489 приводит к тому, что игра запускает посторонний код или предоставляет атакующему доступ к информации на устройстве. Происходит это во время запуска игры. Злоумышленник может передать игре параметры запуска, и уязвимые версии Unity Runtime обработают среди прочих несколько команд, предназначенных для отладки: -xrsdk-pre-init-library, -dataFolder , overrideMonoSearchPath, -monoProfiler. По этим командам движок Unity загружает любые указанные в параметрах запуска библиотеки функций, включая посторонние. На Windows загружаются dll-файлы, на Android и Linux – библиотеки .so, на MacOS – .dylib.
Таким образом, приложение с низкими привилегиями может запустить игру, и уже от имени игры загрузить и запустить вредоносную библиотеку. Последняя получит такие же права и доступы, как сама игра.
View the full article
-
Автор KL FC Bot
В попытке избежать детектирования защитными решениями киберпреступники используют разнообразные техники, маскирующие вредоносную активность. Один из приемов, который в последние годы все чаще встречается в атаках на системы под управлением Windows, — DLL Hijacking, то есть подмена динамически подключаемых библиотек (DLL) на вредоносные. Традиционные защитные решения далеко не всегда могут выявить применение этой техники. Поэтому наши коллеги из Центра экспертизы Kaspersky AI Technology Research разработали модель машинного обучения, позволяющую с высокой точностью детектировать DLL Hijacking. В частности, эта модель уже имплементирована в недавно вышедшую свежую версию нашей SIEM-системы Kaspersky Unified Monitoring and Analysis Platform (KUMA). В этом посте рассказываем, в чем сложности детектирования техники DLL Hijacking и как наш продукт справляется с этой задачей.
Как работает DLL Hijacking и в чем сложность ее детектирования
Внезапный запуск неизвестного файла в среде Windows неизбежно привлекает внимание защитных решений или просто блокируется. По сути, DLL Hijacking — это попытка выдать вредоносный файл за известный и доверенный. Существует несколько вариантов техники DLL Hijacking. Иногда злоумышленники распространяют вредоносную библиотеку вместе с легитимным ПО (DLL sideloading), которое запускает вредоносный файл; иногда подменяют стандартные DLL, к которым обращаются уже установленные на компьютере программы; а иногда пытаются манипулировать системными механизмами, которые определяют, откуда процесс должен запускать библиотеку. В результате подменный DLL-файл запускается легитимным процессом в своем адресном пространстве и со своими правами, так что для защитных решений активность подмененных библиотек выглядит как вполне легитимная. Поэтому наши эксперты решили привлечь технологии искусственного интеллекта для борьбы с данной техникой.
View the full article
-
Автор KL FC Bot
В сентябре 2025 года исследователи из Швейцарской высшей технической школы в Цюрихе опубликовали научную работу, в которой предложили атаку Phoenix — модификацию атаки Rowhammer, работающую против модулей памяти DDR5. Авторы работы не только показали эффективность новой атаки против 15 исследованных модулей памяти, но и предложили целых три сценария ее использования на практике: для чтения и записи данных из оперативной памяти, для кражи из оперативной памяти приватного ключа шифрования и для обхода средств защиты Linux-утилиты sudo с целью эскалации привилегий.
Краткая история атак Rowhammer
Чтобы разобраться в этом достаточно непростом исследовании, придется немного (без фанатизма) углубиться в историю атак Rowhammer. Впервые атака Rowhammer была описана в 2014 году в научной работе. Тогда ученые из американского университета Карнеги-Меллона и компании Intel показали, как регулярные обращения к ряду ячеек памяти могут вызывать смену значений в соседнем ряде. А там, к примеру, могут храниться какие-то критически важные данные, изменение которых может привести к нежелательным последствиям (например, повышению привилегий).
Возможно, это из-за того, что каждая ячейка в микросхеме памяти представляет собой конденсатор, простейший элемент, способный какое-то (довольно короткое) время хранить электрический заряд. Из-за этого такая память является энергозависимой — выключаешь компьютер или сервер, и данные пропадают. Из-за этого же заряд в ячейках нужно регулярно, с достаточно высокой частотой, обновлять — даже если к этим областям памяти никто не обращается.
Ячейки памяти не существуют сами по себе — они построены в ряды и колонны и соединены между собой. Из-за этого может возникать ситуация, когда обращение к ряду ячеек может затрагивать соседний ряд — да так, что обновление в одном ряду повреждает данные в другом. Долгое время этот эффект был известен только разработчикам модулей памяти, которые по мере сил боролись с ним с целью повышения надежности. Но минимизация и неизбежное уплотнение ячеек, то есть уменьшение расстояния между ними, привели к тому, что эффект «простукивания рядов» стало возможно использовать в реальных атаках.
View the full article
-
Автор KL FC Bot
Фишинговые ссылки давно перестали быть экзотикой: они все чаще приходят в мессенджерах — причем нередко от самых близких людей (без их ведома, конечно же). Мошенники угоняют чужие аккаунты и ловко маскируются под знакомых и друзей, используют доверие в личном общении, чтобы как можно ближе подобраться к чужому кошельку — или чужим тайнам.
Чтобы противостоять этой нарастающей волне угроз, мы добавили в Kaspersky для Android новые возможности. В этом материале рассказываем о новом уровне защиты от фишинговых и вредоносных ссылок, появившемся в обновлении Kaspersky для Android.
Фишинговые ссылки и где они обитают
По умолчанию мы считаем фишинговой ссылкой любую, которая используется для обмана. Ведут такие ссылки на фишинговые же сайты, которые чаще всего практически неотличимо имитируют легитимные, используя либо тайпсквоттинг, либо иные приемы маскировки. Например, вот эта ссылка якобы на наш блог — https://www.kaspersky.ru/blog — в результате приведет вас в наш Телеграм-канал. Это безопасно, но мошенники не будут так же безобидны!
Наткнуться на фишинговую ссылку можно где угодно: в почте, в SMS и тем более в мессенджерах. Мы уже рассказывали про популярную схему мошенничества, когда злоумышленники со взломанных аккаунтов ваших друзей и знакомых рассылают якобы подарочные подписки в Telegram. На деле же жертвы вместо Premium-подписки получают угнанный личный аккаунт.
Фишинг может маскироваться под предложения о работе, опросы в Google Формах или раздачи криптовалюты. А порой на фишинговом сайте даже не нужно ничего вводить, чтобы устройство заразилось, — такие атаки называются зиро-клик. От жертвы подобной атаки вообще не требуется что-либо заполнять, нажимать или отправлять — достаточно зайти по ссылке на вредоносную страницу, эксплуатирующую ту или иную уязвимость, и… устройство заражено!
Способов добраться до своих жертв у фишеров очень много. При этом на глазок отличить легитимные URL-адреса от фишинговых достаточно сложно: одна ошибка — и вы на крючке. Здесь-то на помощь и приходит автоматизированное решение, которое распознает подозрительную ссылку и обезвредит ее.
View the full article
-
Автор KL FC Bot
«Привет! Моя племяшка участвует в конкурсе, проголосуй за нее, пожалуйста — для нее это очень важно». Подобные сообщения — не редкость в чатах WhatsApp, как групповых, так и личных. И многие неискушенные в кибербезопасности люди безо всякой задней мысли решают помочь победить совершенно неизвестному им человеку, а в результате теряют свой аккаунт. В ходе недавнего исследования мы обнаружили новую фишинговую кампанию, которая уже затронула пользователей WhatsApp по всему миру.
Сегодня расскажем, как происходит такая атака, какие последствия она может иметь для жертвы и что делать, чтобы не попасться на удочку мошенникам.
Как атакуют?
На подготовительном этапе злоумышленники создают убедительно выглядящие фишинговые веб-страницы с якобы легитимными голосованиями, в случае ниже — за молодых гимнасток, но сценарий легко меняется. Страницы выглядят правдоподобно: на них есть фотографии реальных участников, кнопки «Голосовать» и счетчик уже проголосовавших пользователей. Вероятно, благодаря использованию ИИ и фиш-китов злоумышленники с легкостью создают множество языковых версий сайтов — так, мы обнаружили одно и то же голосование на английском, испанском, немецком, турецком, датском, болгарском и других языках.
Первый этап — приманка: с помощью социальной инженерии пользователя соцсетей, мессенджеров или электронной почты провоцируют перейти на якобы «сайт для голосования». Предлог может быть самым убедительным, а сообщение — прийти от вашего знакомого или близкого человека, чей аккаунт уже был скомпрометирован. Просьба, как правило, персонифицирована — в первом же сообщении мошенники от лица вашего знакомого просят проголосовать за конкретного «конкурсанта», потому что это его подопечный, знакомый или родственник.
Сначала вас заманивают на поддельную страницу для голосования
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти