no-image

Исчезнувшие байты: реверс-инжиниринг RTF-парсера в MS Office

В 2017 году мы нашли большое количество сэмплов, которые «эксплуатировали» RTF-парсер в Microsoft Word, чтобы “сломать” все другие имплементации RTF-парсера, включая те, которые используются в антивирусном программном обеспечении. Прочитать полный текст статьи

no-image

0-day уязвимость Telegram

В октябре 2017 года нам стало известно об эксплуатируемой in-the-wild уязвимости Windows-клиента мессенджера Telegram. Она заключается в использовании классической атаки right-to-left override при отправке файлов собеседнику. Прочитать полный текст статьи

no-image

Дорогой бензин? Сделаем его дешевым!

Несколько месяцев назад, занимаясь исследованием устройств, имеющих подключение к интернету, мы обнаружили нечто неожиданное и почти сразу поняли, что, вероятно, имеем дело с критической угрозой безопасности. Нам попался простой веб-интерфейс, который оказался связан с реальной заправочной станцией. Прочитать полный текст статьи

no-image

Уязвимый драйвер: почти выученный урок

С первого взгляда это выглядело так, словно мы обнаружили уязвимость нулевого дня для повышения привилегий в Windows. Однако подозрительный файл оказался чистым и подписанным исполняемым файлом, являющимся частью дистрибутива многопользовательской игры. Прочитать полный текст статьи

no-image

Denis и его команда

В апреле этого года мы детально разобрали вредоносное ПО, использующе DNS-туннель для взаимодействия с C&C-сервером. Это исследование послужило толчком к развитию технологии детектирования похожих угроз, что позволило нам собрать множество образцов зловредов, использующих DNS-туннелирование. Прочитать полный текст статьи

no-image

Mezzo: многоцелевая финансовая угроза

Рассмотрим несколько последних модификаций троянца Mezzo, нацеленного на кражу денег с помощью подмены файлов в бухгалтерском программном обеспечении, а также укажем на несколько любопытных связей, в частности, с вредоносным ПО, рассмотренного в одной из предыдущих статей. Прочитать полный текст статьи

no-image

Skygofree: по стопам HackingTeam

В начале октября 2017 года мы обнаружили нового троянца-шпиона для ОС Android, имеющего в своем арсенале несколько интересных функций, до этого не использовавшихся в известных нам троянцах. Мы уверены, что разработчик Skygofree является итальянской ИТ-компанией, которая работает над решениями для слежки за пользователями, как и HackingTeam. Прочитать полный текст статьи

no-image

Nhash: мелкие шалости с большими финансами

В одной из предыдущих статей мы упоминали, что для установки этого ПО на компьютеры жертв злоумышленники используют методы социальной инженерии. В этот раз остановимся подробней на том, как именно компьютеры доверчивых пользователей начинают работать на злоумышленников. Прочитать полный текст статьи

no-image

Бэкдор Travle, он же PYLOT, атакует русскоязычные цели

В конце сентября компания Palo Alto опубликовала отчет о деятельности отдела Unit42, в котором среди прочего шла речь о вредоносной программе PYLOT. Мы фиксируем атаки с использованием этого бэкдора еще с 2015 года и называем его Travle. Так совпало, что «Лаборатория Касперского» недавно участвовала в расследовании успешной атаки с применением Travle, в ходе которого мы тщательно проанализировали этот зловред. Прочитать полный текст статьи

no-image

Использование легитимных утилит для сокрытия вредоносного кода

Авторы вредоносных программ используют различные техники обхода защитных механизмов и сокрытия вредоносной активности. Одной из них является сокрытие вредоносного кода в контексте доверенного процесса. Как правило, вредоносное ПО, использующее технику сокрытия, внедряет свой код в системный процесс, например, explorer.exe. Но встречаются образцы, которые используют другие интересные приемы, об одном из таких зловредов мы и хотим рассказать. Прочитать полный текст статьи