Стефанія А., автор у Блог Грідінсофт

Magnat кампанії, що розповсюджують встановлювальників шкідливого програмного забезпечення

Фахівці з кібербезпеки попереджають про хвилю розповсюдження шкідливих програм, спрямованих на потенційних користувачів деяких найпопулярніших програм. Зловмисники використовують методи зловмисної реклами, щоб успішно розповсюджувати програму встановлення шкідливого програмного забезпечення. Схема має значний рівень успіху, оскільки до певної міри вже налаштовує своїх жертв на високий рівень довіри та відчуття легітимності. У проведенні зловмисної реклами хакери використовують ключові слова, пов’язані з шуканим програмним забезпеченням. А потім вони надають нічого не пяідозрюючим користувачам посилання для завантаження потрібного програмного забезпечення. Фахівці зазначають, що при таких типах загроз для забезпечення безпеки системи мають бути запроваджені сеанси безпеки, захист кінцевих точок та мережева фільтрація.

Зловмисні кампанії тривають майже три роки

Зловмисні кампанії тривають майже три роки. Діяльність зловмисного програмного забезпечення почалася у 2018 році з численних адрес C2, які зловмисники використовували протягом кожного місяця. Однак один із доменів stataready[.]icu хакери використовували як MagnatExtension C2 лише у січні 2019 року. Вони все ще використовують його в налаштуваннях, отриманих із серверів C2, як оновлений C2. У серпні цього року один з дослідників безпеки повідомив про відновлення кампанії зловмисної реклами на своїй сторінці в Twitter. Було опубліковано скріншоти рекламних оголошень і завантажено один із зразків.

#RedLineStealer being delivered through fake WeChat installers, coming from @GoogleAds .

.zip -> .iso -> .exehttps://t.co/J5npamHM1P

Creates a new user account, forwards RDP port, drops RDPWrap… Damn.

cc @JAMESWT_MHT @James_inthe_box @malwrhunterteam pic.twitter.com/0Jvaz4tChc
— Aura (@SecurityAura) August 9, 2021

Загрози здебільшого були націлені на Канаду (50% від загальної кількості атак), США та Австралію. Також вони зосередили свої зусилля на Норвегії, Іспанії та Італії. Фахівці з кібербезпеки додають, що автори зловмисного програмного забезпечення регулярно вдосконалюють методи своєї роботи, неприпинна активність яких, чітко вказує, що будуть і інші хвилі атак. Спеціалісти з використовуваного у атаках зловмисного програмного забезпечення класифікують, одне як стілер паролів, а інше, що є розширенням Chrome, банківським трояном. Використання третього елемента, зловмисного бекдору RDP, залишається незрозумілим для спеціалістів. Перші два можна використовувати для вилучення облікових даних користувачів і подальшого їх продажу або використання для власних майбутніх цілей. У той час як третій, RDP, хакери, швидше за все, будуть використовуват для подальшої експлуатації в системах або продадуть як доступ до RDP.

Атака проходить ступенево

Атака проходить ступенево. Користувач шукає потрібне програмне забезпечення, коли натрапляє на оголошення з посиланням. Це перенаправляє його на веб-сторінку, де він може завантажити шукане програмне забезпечення. Зловмисники дали завантаженням різні імена. Це може бути nox_setup_55606.exe, battlefieldsetup_76522.exe, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe та viber-25164.exe. Під час виконання він не встановлює фактичне шукане програмне забезпечення, а натомість починає виконання шкідливого завантажувача в системі. Програма встановлення, у свою чергу, деобфускує та починає виконання трьох інших шкідливих завантажень: стілер паролів (Redline або Azorult), інсталятора розширення Chrome і Backdoor RDP.

Фахівці класифікують інсталятор/завантажувач як інсталятор nullsoft, який декодує та скидає легітимний інтерпретатор AutoIt або архів SFX-7-Zip. Тут також є три заплутані скрипта AutoIt, які декодують остаточні завантаження в пам’ять та вводять їх в іншому процесі. Останні завантаження складаються з трьох шкідливих програм:

Програма встановлення розширення Chrome, що включає кілька шкідливих функцій крадіжки даних із веб-браузера: кейлоггер, скріншоттер, захоплювач форм, крадіжка файлів cookie та довільний виконавець JavaScript;

Викрадач паролів. Спочатку це був Azorult, а тепер Redline. Обидва мають функції крадіжки облікових даних, що зберігаються в системі. Вони досить відомі в спільноті;

Бекдор або бекдор інсталятор налаштовує систему для прихованого доступу до RDP, додає нового користувача і призначає заплановане завдання, а також періодично надсилає ping C2 і за інструкцією створює вихідний тунель ssh для відправки.

Як видалити SaveFrom.net?

І знову вашим комп’ютером стали прокочуватися просто таки незліченні орди реклами. Але ви звісно зайшли туди куди треба, бо ми вже підготували для вас покрокову інструкцію як позбутися такої неприємності як поп-ап реклама від SaveFrom.net. Перед тим як перейти до безпосереднього наполегливо радимо не клікати на жодні з повідомлень, що з’являтимуться у вашому комп’ютері. Адже це часто призводить лише до зайвих проблем.

Таким нехитрим способом, розрахованим чисто на людську цікавість ви можете, не хотячи того, встановити собі на комп’ютер крім звісно дрібних шкідливих програм, ще й інші більш серйозніші неприємності. Окрім реклами вірус може генерувати фейкові повідомлення про загрози, що становлять окрему небезпеку, якщо відповідати на них.

SaveFrom. net пропонує послуги завантаження відео, для цього ви маєте вставити посилання на відео, яке хочете завантажити у відповідний рядок. Додатково ви ще можете обрати формат в якому ви б хотіли його завантажити. Одразу сайт пропонує вам ще додатково завантажити програмне забезпечення, яке пропонує SaveFrom.net. Спеціалісти з кібербезпеки говорять, що фактично сайт через пропоноване ним програмне забезпечення розповсюджує рекламу.

Також користувач може випадково дозволити такому сайту показувати рекламу, клікнувши дозволити у вікні, що з’являється згодом під час перебування користувача на сайті. І таким способом набридлива реклама теж прокрадається на ваш комп’ютер. Варто зауважити, що крім сайту вірус SaveFrom.net також потрапляє до користувачів і через пакети зазвичай безкоштовного програмного забезпечення. Тому для тих хто ніколи не користувався SaveFrom.net ми наведемо програми, які сам сайт рекламує і які потім і генерують рекламу:

Ummy Video Converter;
Ummy Radio Player;
VPD: Best Video Downloader;
Televzr Downloader;
SaveFrom.net Helper – MeddleMonkey (розширення для браузера Chrome);

Коли будете проходити перший спосіб інструкції як позбутися SaveFrom.net шукайте саме такі програми на вашому комп’ютері. Сам собою SaveFrom.net не є небезпечним, а скоріше обридливим. Проте радимо уникати і йому подібних сайтів як ytmp3.cc, y2mate.com та інші. Все ж користуючись сервісом цього сайту, не давайте свого дозволу у спливаючому вікні.

Внизу ви знайдете повні інструкції про те, як видалити SaveFrom. net з Віндовс та найпопулярніших браузерів. На майбутнє ми ще радимо потурбуватися про встановлення якісного антивірусного програмного забезпечення для уникнення цих та інших випадків. Тому, що навіть така безневинна дрібнота як SaveFrom.net опріч викидання безмежної кількості реклами, збирає пов’язану з вашим браузером інформацію.

Як видалити SaveFrom.net з Віндовс?

Клацніть правою кнопкою миші програму та виберіть Видалити (Uninstall).
За необхідності підтвердіть свою дію в службі захисту користувачів (User Account Control).
Дочекайтеся завершення процесу видалення та натисніть OK.

Як видалити SaveFrom.net з Google Chrome?

Видаліть шкідливі розширення з Google Chrome:

Відкрийте Google Chrome, натисніть Меню (Три вертикальні точки у верхньому правому куті) і виберіть Інші інструменти (More tools). Натисніть Розширення
(Extensions).
У відкритій вкладці ви побачите всі встановлені на браузері розширення. Видаліть всі підозрілі плагіни, які можуть бути пов’язані з небажаною програмою, натиснувши Видалити (Remove).

Змініть налаштування стартової сторінки:

В адресному рядку Chrome введіть chrome://settings і натисніть Enter.
Прокрутіть униз до розділу Під час запуску( On the startup).

Перевірте наявність підозрілих розширень, які контролюють ці налаштування, і вимкніть їх.

Крім того, за допомогою цих налаштувань ви можете налаштувати браузер на відкриття певної сторінки або набору сторінок.
Просто виберіть цей параметр, натисніть Додати нову сторінку (Add new page), введіть бажану URL-адресу (наприклад, www.google.com) і натисніть Додати.(Add)

Змініть налаштування пошуку за замовчуванням:

У рядку URL-адреси Chrome введіть chrome://settings/searchEngines і натисніть Enter.

Клацніть три крапки поруч і виберіть Зробити за замовчуванням (Make default).

Нарешті, перегляньте список і видаліть підозрілі записи. Клацніть правою кнопкою миші три точки та виберіть Видалити(Remove).

Видаліть push-сповіщення з Chrome:
У Google Chrome натисніть Меню (стрілка вгору) у верхньому правому куті вікна.

Виберіть Налаштування (Settings)

Перейдіть до Конфіденційність та безпек (Privacy and Security); Налаштування сайту (Site Settings).
Відкрийте Сповіщення. (Notifications)

Тут перейдіть до списку дозволів і визначте підозрілі URL-адреси.

Ви можете заблокувати або видалити, натиснувши три вертикальні точки праворуч від URL-адреси.
Проте ми пропонуємо обрати параметр Блокувати, щоб сайт більше не просив вас увімкнути сповіщення, якщо ви коли-небудь відвідаєте його знову.

Скиньте налаштування Google Chrome:

Якщо попередні методи вам не допомогли, скиньте налаштування Google Chrome, щоб усунути всі небажані компоненти:

Натисніть Меню та виберіть Налаштування (Setting).
Прокрутіть вниз і знайдіть розділ Скидання налаштувань та очищення даних (Reset and clean up).
Тепер натисніть Відновити налаштування до початкових за замовчуванням (Restore settings to their original defaults).
Підтвердьте Скинути налаштування (Reset setting).

Як видалити SaveFrom.net з браузера Mozilla Firefox (FF)?

Видаліть небезпечні розширення:

Відкрийте браузер Mozilla Firefox і натисніть Меню (три горизонтальні лінії у верхньому правому куті вікна).

Виберіть Додатки (Add-ons and themes).
Тут виберіть підозрілий на вигляд плагін і натисніть Видалити (Remove).

Змініть домашню сторінку Firefox:

В адресному рядку Firefox введіть about:preferences і натисніть Enter.

Подивіться ліворуч і натисніть вкладку Головна (Home).

Тут або видаліть підозрілу URL-адресу та введіть,або вставте URL-адресу веб-сайту, який ви хочете встановити як домашню сторінку.

Змініть налаштування в Firefox:

Введіть about:config в адресному рядку Firefox і натисніть Enter.

Натисніть Я приймаю ризик! (Proceed with Caution), щоб продовжити.

Тут введіть шкідницьку URL-адресу

Клацніть правою кнопкою миші кожне значення, яке містить його, і виберіть Скинути (Reset).

Видаліть дратівливі push-повідомлення з Firefox:

У Mozilla Firefox натисніть Меню (три горизонтальні смуги) у верхньому правому куті вікна, а потім виберіть Параметри (Settings).

Натисніть Конфіденційність та безпека (Privacy and Security), а потім прокрутіть униз до розділу Дозволи (Allow).

Тут знайдіть Сповіщення (Notifications) та натисніть кнопку Налаштування (Settings) поруч із ним.

Визначте всі невідомі URL-адреси та виберіть Заблокувати (Block).

Після цього натисніть Зберегти зміни (Save changes).

Скиньте налаштування Mozilla Firefox:

Якщо очищення даних браузера, як описано вище, не допомогло, спробуйте скинути налаштування Mozilla Firefox:

Відкрийте браузер Mozilla Firefox і натисніть Меню (Три горизонтальних риски в правому верхньому кутку).

Перейдіть до Довідки (Help), а потім виберіть Усунення несправностей (More troubleshooting information).

Натисніть Оновити Firefox ( Refresh Firefox).

Підтвердіть свою дію, натиснувши ще раз у спливаючому вікні Оновити Firefox ( Refresh Firefox).

Як видалити SaveFrom.net з MS Edge?

Видаліть розширення з MS Edge :

Відкрийте Edge і натисніть Меню ( три горизонтальних лінії в правому верхньому кутку), знайдіть Розширення (Extensions).
Видаліть всі підозрілі на вигляд розширення, натиснувши Видалити (Remove).

Змініть початкову сторінку MS Edge та пошукову систему за замовчуванням:

Знову натисніть на три крапки та перейдіть до Налаштувань (Settings), потім Домашня сторінка, приватність та сервіси (Privacy, search and services).

Потім клацніть на URL-адреси та введіть ту, яку хочете встановити як домашню сторінку.

Потім знайдіть Керувати пошуковими системами (Manage search services).

Натисніть його.
Тут виберіть пошукову систему, яку ви бажаєте використовувати, і натисніть Встановити за замовчуванням (Make Default).

Крім того, ми рекомендуємо видалити всі інші підозрілі пошукові системи.

Вимкніть push-сповіщення в Edge:

У Microsoft Edge відкрийте Меню (Три горизонтальні точки) у верхньому правому куті екрана та натисніть Налаштування (Settings);

Натисніть на Додаткові налаштування (Cookies and site permissions).

Перейдіть до Сповіщенння (Notifications), і заблокуйте всі підозрілі сайти (Block)

Знайдіть сповіщення та видаліть всі підозрілі веб-сайти.

Очистіть кеш і дані сайту:

Натисніть Меню (Три горизонтальних лінії в правому верхньому кутку) і перейдіть до Налаштування (Settings).
Виберіть Конфіденційність та безпека (Privacy, search and services).
У розділі Очистити дані веб-перегляду (Choose what to clear) виберіть, що саме ви збираєтеся очистити.
У розділі Часовий діапазон (Time Range) виберіть Весь час (All time).

Команда Google прояснила ситуацію довкола вразливості Apache Log4j

17 грудня 2021 року у своєму блозі Google Open Source Insights Team прояснили всю ситуацію довкола вразливості Apache Log4j. Вони пояснили, в чому полягає вразливість і який поточний прогрес у виправленні проблем екосистеми з відкритим кодом JVM. Також команда поділилася своїми думками про те, скільки часу може знадобитися, щоб цю вразливість було виправлено в усій екосистемі та на чому слід зосередитися далі.

9 грудня спільнота інформаційної безпеки дізналася про існування вразливості, яка має великий ступінь серйозності та потенційну широту впливу. Десятки тисяч програмних пакетів (артефактів, як вони називаються в екосистемі Java) і проектів використовують популярний інструмент журналювання, log4j, який, як виявилося, має в собі вразливість. Як пояснюють спеціалісти,вразливість дозволяє віддалено виконувати код, використовуючи функцію пошуку JNDI, відкриту бібліотекою журналювання log4j. У багатьох версіях бібліотеки експлуатована функція існувала за замовчуванням.

Виправлення вразливості Apache Log4j займе трохи часу

Не так давно розкриті вразливості log4j торкнулися понад 35 000 пакетів Java, що становить понад 8% репозиторію Maven Central. Оскільки репозиторій є найбільшим сховищем пакетів Java, це стало значною проблемою для багатьох фахівців індустрії програмного забезпечення. Фахівці зазначають, що 8% є величезним показником для екосистеми, в той час як середнє число для результату консультацій Maven Central складає 2%, з медіаною менше 0,1%. Хоча згадані числа не охоплюють всі пакети Java, наприклад безпосередньо розподілені бінарні файли.

На момент публікації було зафіксовано майже п’ять тисяч виправлених артефактів. І понад 30 000 артефактів, багато з яких залежать від іншого артефакту, і все ще чекають на виправлення. Команда завважує, що вони зараховували артефакт як виправлений, якщо він мав принаймні одну вражену версію, і було випущено більш стабільну виправлену версію (відповідно до семантичних версій). У випадку log4j артефакт вважається виправленим, якщо він був оновлений до версії 2.16.0 або вище і не залежить більше від log4j.

Дві серйозні проблеми заважають процесу виправлення

Хоча в цілому ситуація зрозуміла, фахівці вказують на дві істотні проблеми щодо її усунення. Перше це той факт, що багато артефактів опосередковано залежать від log4j. А ті, що мають пряму залежність, становлять близько 7000 вражених артефактів. В першому факті будь-яка з його версій залежить від ураженої версії log4j-core або log4j-api, описаних в CVE. Тобто це непряма залежність або транзитивна залежність, що означає, тавтологічно сказано, залежності власних залежностей.

Весь цей набір залежностей створює значні перешкоди у виправленні, якщо прослідкувати все це в ланцюжках залежностей. Тоді все стає зрозумілим: чим глибше вразливість, тим більше потрібно перебрати ланцюжків, щоб її усунути. Згідно з гістограмою графіків залежностей у більш ніж 80% пакетів вразливість залягає глибше ніж на один рівень. У більшості це п’ять рівнів нижче, а в деяких – навіть дев’ять. Процес виправлення в таких випадках вимагає спочатку перейти до найглибших залежностей, і далі поступово по всій кроні.

Команда Google прояснила ситуацію довкола вразливості Apache Log4j — Візуалізація прямих та непрямих залежностей

Відкритий діапазон дає можливість вибрати останню версію

Інша складність полягає у виборах на рівні екосистеми в алгоритмі розв’язання залежностей та умовах специфікації вимог. Практика відрізняється від такої, як в npm, де звичайно вказуються відкриті діапазони для вимог залежностей. Відкриті діапазони дають можливість вибрати останню випущену версію, яка задовольняє вимоги залежностей, тим самим виводячи в перший список оновленні версії. Користувачі отримують виправлену версію одразу після випуску виправлення, процес, який генерує залежності швидше.

«В екосистемі Java звичайною практикою є указання вимог до «м’яких» версій — точні версії, які використовуються алгоритмом розділення, якщо жодна інша версія того самого пакета не з’являється раніше на графіку залежностей. Виправлення часто вимагає додаткових дій з боку розробників, щоб оновити вимоги залежностей до виправленої версії», — також писала команда Open Source Insights щодо цього у своєму блозі.

В цьому питанні команда радить спільноті увімкнути автоматичне оновлення залежностей та додати засоби підсилення безпеки. Вони також надали список з 500 вражених пакетів з транзитивною залежністю. На думку фахівців, визначення пріоритетності цих пакетів полегшить зусилля з виправлення та згодом розблокує більшу частину спільноти. Команда подякувала користувачам, які оновили свої версії log4j.

На питання, скільки часу знадобиться, щоб повністю виправити все, команда висловилася неоднозначно. Якщо розглядати всі публічно доступні критичні рекомендації, що впливають на пакети Maven, то процес може зайняти деякий час. Вони кажуть, що менше половини (48%) артефактів, на які вплинула вразливість, було виправлено. Але що стосується log4j, то все здається багатообіцяючим: приблизно 13% було виправлено.

Найбільший тест з кібербезпеки показав, на що вразливі найпоширеніші маршрутизатори Wi-Fi

Наскільки кібербезпечні звичайні маршрутизатори Wi-Fi? У світі, де Інтернет це ще одне середовище існування людини, хто зна, що там може ховатися. А ваш маршрутизатор — це ваша фортеця. Редактори німецького журналу Chip і експерти з IoT Inspector провели тестування на вразливості в найбільш популярних маршрутизаторів. Результати виявилися негативними.

Дослідники протестували дев’ять найпопулярніших виробників маршрутизаторів

Однією з основних проблем, спільною для протестованих маршрутизаторів, стала застаріла операційна система, тобто ядро Linux. Це цілком зрозуміло, оскільки інтеграція нового ядра в прошивку коштує занадто дорого. У кожного перевіреного виробника тут вийшов мінус. Також сюди спеціалісти віднесли програмне забезпечення пристроїв, в якому часто використовувалися такі стандартні інструменти, як BusyBox, що виявлялися застарілими у багатьох пристроях. Крім питань маршрутизації, основну частину негативних результатів також склали додатковий сервіс маршрутизаторів, як наприклад VPN або мультимедійні функції.

«Тест в негативному аспекті перевершив усі очікування щодо безпечності маршрутизаторів для малого бізнесу та домашнього використання. Не всі вразливості є однаково критичними, але на момент тестування всі пристрої виявили значні вразливості у безпеці, які можуть грунтовно полегшити роботу хакерам», – каже Флоріан Лукавський, технічний директор IoT Inspector.

Ретельне тестування безпеки в лабораторних умовах зрезультувало в 226 потенційних вразливостей у безпеці в TP Link, Linksys, Synology, D-Link, Netgear, Edimax, AVM і Asus. TP-Link (TP-Link Archer AX6000) і Synology (Synology RT-2600ac) разом показали 32 вразливості.

Команда тестування зв’язалася з усіма виробниками перевірених маршрутизаторів і дала їм можливість виправитися. Кожен із них, без винятку підготував патчі прошивки, які фахівці з кібербезпеки переконливо радять користувачам негайно застосувати. Особливо якщо в них немає активованої функції автоматичного оновлення. Після оприлюднення результатів новий уряд Німеччини планує запровадити суворіші правила для виробників у разі відшкодування збитків, спричинених недоопрацюваннями в безпеці їхніх продуктів.

Дослідницька лабораторія IoT Inspector також додала детальний опис експерименту з вилучення ключів шифрування WI-FI маршрутизаторів

У своєму блозі дослідницька лабораторія IoT Inspector також додала детальний технічний опис того, як вони проводили експеримент з вилученння ключа шифрування для піднабору WI-FI маршрутизаторів D-Link під час тесту. Треба сказати, що це досить цікава річ для ознайомлення, навіть для комп’ютерних аматорів. Для дослідження вони використовували D-Link DIR-X1560, пристрій того ж покоління, що й D-Link DIR-X5460, який IoT Inspector протестував разом з маршрутизаторами інших виробників.

Очевидно, що дослідники не могли одразу вилучити ключ шифрування, тому їм потрібно було знайти певний обхідний шлях. У першому методі дослідники скористалися старішим образом мікропрограми, який ще не було зашифровано. Це версія мікропрограми безпосередньо перед введенням шифрування. Тут можна перевірити, чи можна звідси вилучити ключ.

Інший метод, який вони пропонують, – це безпосереднє зчитування фізичної флеш-пам’яті пристрою. Вони пояснили, що в флеш-прошивці навряд чи буде зашифрована прошивка. Схема працює так, що вони розбирають один із пристроїв, випаюють флеш-пам’ять, відкидають її та зчитують файлову систему. Однак вони додають, що цей метод грунтовно порушує цілісність пристрою, є витратним і дорогим. Повну інформацію про експеримент з вилучення ключів дешифрування для D-Link ви можете знайти за посиланням.

IKEA під атакою внутрішнього фішингу

Нещодавно IKEA, шведський багатонаціональний конгломерат зі штаб-квартирою в Нідерландах, повідомила про хвилі внутрішнього фішингу. Зловмисники використали внутрішні зламані сервери, щоб надсилати співробітникам компанії електронні листи зі шкідливими вкладеннями. Фахівці з кібербезпеки кажуть, що подібні методи хакери використовували в останніх кампаніях в поширенні троянів Emotet і Qackbot. Вся складність ситуації вказує на можливість загрози кібербезпеці компанії, хоча жодних подробиць керівництвом не було надано.

Зазвичай при проведенні подібних атак хакери компрометують внутрішні сервери Microsoft Exchange, використовуючи вразливості ProxyLogin і ProxyShell. Як тільки доступ до сервера отримано, вони починають пересилання електронних листів зі шкідливими вкладеннями співробітникам. Надіслані як електронні листи від компанії, вони ,безумовно, дають відчуття справжності.

“Це означає, що атака може надійти електронною поштою від особи, з якою ви працюєте, від будь-якої зовнішньої організації, а також як відповідь на розпочату розмову. ЇЇ важко розпізнати, тому ми просимо вас бути особливо обережними”, йдеться у внутрішньому електронному листі, розісланому співробітникам IKEA.

IKEA під атокою внутрішнього фішингу — Шкідливі вкладення, що містили листи фішингової атаки

Як кажуть ІТ-спеціалісти IKEA, насторожувальні знаки, на які слід звернути увагу, — це сім цифр у кінці будь-якого вкладення. Компанія також попросила співробітників не відкривати надіслані їм електронні листи та негайно повідомляти про них до ІТ-відділу. В якості запобіжного заходу занепокоєнне керівництво компанії обмежило можливість співробітників відновлювати електронні листи, які можуть опинитися в карантинних скриньках пошти.

Шкідливі листи містили URL-адреси, які перенаправляли браузер на завантаження під назвою «charts.zip», яке містило документ Excel. Потенційним одержувачам таких листів пропонувалося натиснути кнопку надання доступу, щоб переглянути вкладення. Звичайно, такі дії негайно активовували шкідливі макроси. Ті, у свою чергу, завантажували файли під назвою «besta.ocx», «bestb.ocx» і «bestc.ocx» з віддаленого сайту та зберігали їх у папці C:\Datop. Тепер перейменовані DLL-файли починають процес виконання за допомогою команди regsvr32.exe встановлення шкідливого програмного забезпечення.

Як розпізнати фішинг-лист?

Можна сказати, що фішери в наші дні похитрішали, а ті «Ви виграли 1 мільйон, будь ласка, дайте відповідь на цей електронний лист» відчайдушно намагаються йти в ногу з часом (проте скажіть мені, хто ті люди, які відповідають їм?). Нині зловмисники вдаються до більш вишуканіших способів обдурити вас і “виловити” вашу особисту інформацію.

Тепер, коли я це пишу, я згадую дзвінок тієї жінки, нібито з якогось банку, і все ще розмірковую, чи це був фішер. Але повернімося до безпосередньої теми: найкраще вирішення проблеми — запобігти їй. Перегляньте наступні перевірені поради щодо виявлення фішингового електронного листа:

Невідповідність доменів електронної пошти. Навіть якщо ви отримали електронний лист, який, як приклад, надіслано від Microsoft, уважно зіставте доменні імена, чи вони сходяться. Може бути так, що самий електронний лист надіслано з Micnosft.com, безпомилкова ознака шахрайства;

Підозрілі посилання чи вкладення. Якщо є підозра, що електронний лист може бути шахрайським, не натискайте на жодні вкладення, не переходьте за жодними посиланнями. Ви можете перевірити справжню адресу перенаправлення, просто навівши мишею на посилання, і воно повинно одразу висвітитися;

Не переходьте ні за якими посиланнями у таких листах

Безособове вітання. Мабуть, дивно отримувати електронний лист від компанії, з якою ви раніше мали кореспонденцію з нейтральним привітанням на кшталт «Шановний сер або пані». Не варто вже говорити про те, що електронний лист від абсолютно невідомої компанії може бути стовідсотковим шахрайством;

Погана граматика і орфографія. Якщо в електронному листі є очевидні граматичні чи орфографічні помилки, це може бути ще одним показником шахрайства. Іноді фішери роблять це свідомо, щоб уникнути детекції захисними механізмами, або це може бути невдалий переклад з іншої мови. У будь-якому випадку професійні компанії часто мають редакторів, які забезпечують якість їхньої кореспонденції, тому той електронний лист з «Добрій день» можна перемістити в кошик;

Настирливі заклики до дій і неодноразові нагадування про небезпеку. Електронна пошта з таким змістовим наповненням має насторожити вас, особливо якщо в самому листі немає конкретних очевидних пояснень. Натомість це просто загроза, загроза і ось магічне рішення: просто зробіть це. Паніку в бік, і ще раз уважно прочитайте і перевірте підозрілий електронний лист.

Як видалити Mail Ru?

Mail Ru — це взагалі, російськомовний сайт, який надає сервіс пошукової системи, проте це ще вірус, що виконує насильне перенаправлення користувача, перехоплюючи контроль над користувацьким браузером. Вірус може генерувати безкінечні рекламні оголошення, перенаправляти пошукові запити користувача на інші сайти, додавати сумнівні розширення в браузері, але найголовніше ставить під загрозу конфіденційність та безпеку інформації користувача.

Mail Ru як і будь-який інший подібний вірус часто йде в одному пакеті з іншими безкоштовними програмами, і в більшості випадків таким чином потрапляє на комп’ютер користувача.

“Симптоми” присутності вірусу Mail Ru

Якщо ви помітили наступні “симптоми” на своєму комп’ютері, то це певна ознака присутності потенційно небажаної програми:

Змінилися домашня сторінка та URL нових вкладок браузера. Всі ваші пошукові запити мають, наприклад замість google.com mail.ru ;

Масово почала з’являтися різноманітна реклама на відвідуваних сайтах;

Всілякі намагання змінити що-небудь у налаштуваннях враженого браузера закінчуються знову поверненням до встановленої вірусом домашньої сторінки;

Як результат свого пошукового запиту ви почали отримувати посилання на сайти, які сумнівно мають щось спільне з тим, що шукалось.

Звісно найкраще вирішення проблеми, це її перш за все уникнути. А саме перед тим, як ви щось завантажуєте (особливо це стосується безкоштовного програмного забезпечення) з мережі, уважно прочитайте положення ліцензійної угоди з кінцевим користувачем (End User License Agreement, EULA). Багато неприємностей, що стосуються потенційно небажаного програмного забезпечення починаються саме звідси, коли користувач елементарно не перевірив, що саме він збирається завантажити на свій комп’ютер.

Mail Ru — це, як вже писалось, російський сайт, але це не означає, що ви можете підхопити цей вірус, якщо живете в цьому конкретному регіоні, відвідуєте російські сайти чи користуєтеся програмним забезпеченням створеним в цій країні. Насправді Mail Ru “подорожує” з різного сорту програмним забезпеченням, виконуючи свою шкідливу дію, як тільки потрапляє на чийсь комп’ютер.

Внизу ми підготували покрокові інструкції як позбутися Mail Ru на вашому комп’ютері. Також зверніть увагу, що вірус може ховатися за буквально будь-якою програмою і більша частина повторних заражень відбувається саме від того, що видалення проведено не повністю. Для цього наполегливо рекомендуємо додатково провести скан відповідним програмним забезпеченням.

Як видалити Mail Ru з операційної системи Windows?

Введіть Панель керування (Control Panel) у вікні пошуку Windows і натисніть Enter, або натисніть на результат пошуку.
Знайдіть розділ Керування програмами (Programs and Features).
Клацніть правою кнопкою миші програму та виберіть Видалити (Uninstall).
За необхідності підтвердіть свою дію в службі захисту користувачів (User Account Control).
Дочекайтеся завершення процесу видалення та натисніть OK.

Як видалити Mail Ru з MS Edge?

Видаліть розширення з MS Edge :

Відкрийте Edge і натисніть Меню ( три горизонтальних лінії в правому верхньому кутку).
Знайдіть Розширення (Extensions).
Видаліть всі підозрілі на вигляд розширення, натиснувши Видалити (Remove).

Очистіть кеш і дані сайту:

Скиньте налаштування MS Edge:

Натисніть на Меню та виберіть Налаштування (Settings).
Зліва виберіть Скинути налаштування ( Reset settings).
Виберіть Відновити налаштування до значень за замовчуванням (Restore settings to their default values).
Підтвердьте дію (Reset).

Як видалити Mail Ru з браузера Mozilla Firefox (FF)?

Видаліть небезпечні розширення:

Відкрийте браузер Mozilla Firefox і натисніть Меню (три горизонтальні лінії у верхньому правому куті вікна).

Виберіть Додатки (Add-ons and themes).
Тут виберіть підозрілий на вигляд плагін і натисніть Видалити (Remove).

Очистіть дані:

Натисніть три горизонтальні лінії у верхньому правому куті, щоб відкрити меню.
Виберіть Параметри (Settings).

Перейдіть до розділу Конфіденційність та безпека (Privacy and Security).
Прокрутіть униз, щоб знайти файли cookie та дані сайту.
Натисніть Очистити дані (Clear Data).
Виберіть файли cookie та дані сайту, а також кешований веб-вміст і натисніть Очистити (Clear).
Скиньте налаштування Mozilla Firefox:

Якщо очищення даних браузера, як описано вище, не допомогло, спробуйте скинути налаштування Mozilla Firefox:

Відкрийте браузер Mozilla Firefox і натисніть Меню (Три горизонтальних риски в правому верхньому кутку).

Перейдіть до Довідки (Help), а потім виберіть Усунення несправностей (More troubleshooting information).
Натисніть Оновити Firefox ( Refresh Firefox).
Підтвердіть свою дію, натиснувши ще раз у спливаючому вікні Оновити Firefox ( Refresh Firefox).

Як видалити Mail Ru з Google Chrome?

Видаліть шкідливі розширення з Google Chrome:

Очистіть кеш і веб-дані з Chrome:

Натисніть Меню та виберіть Налаштування (Settings).
У розділі Конфіденційність та безпека (Privacy and Security) виберіть Очистити дані веб-перегляду (Clear browsing data).

Виберіть Історія перегляду, файли cookie та інші дані сайту, а також кешовані зображення та файли.
Натисніть Очистити дані (Clear data).
Скиньте налаштування Google Chrome:

Хакери використовують Діскорд для розповсюдження троянів та вимагачів

Якщо ви один з тих криптовалютних ентузіастів на Діскорд, то наведена нижче інформація точно для вас. Дослідники з кібербезпеки попереджають про новий вид криптору, який спеціально використовується в атаках на криптовалютні спільноти. Вони кажуть, що під загрозою цього зловмисного програмного забезпечення стоять такі криптоспільноти, як DeFi, NFT і Crypto. Для тих, хто не надто цікавиться усією цією криптовалютною справою, NFT це невзаємозамінні токени. Цей термін позначає унікальні токени, які дають право власності на дані, що зберігаються на блокчейн технології. За декілька років вся індустрія значно зросла, оцінювана вартість якої, складає тепер понад 2,5 трильйона доларів.

Всередині індустрії люди використовують Діскорд, групову платформу для спілкування, де можна приєднатися до будь-якого чату та надсилати один одному приватні повідомлення. Криптору, що атакує такі спільноти фахівці дали назву Бабадеда (за російськомовною назвою плейсхолдера, який використовується в програмі). Криптор легко обходить антивірусну на основі сигнатур детекцію. Під час останніх кампаній зловмисники використовували Бабадеда для доставки RAT, викрадачів інформації та навіть програм-вимагачів LockBit.

Для створення ілюзії справжності у Діскорд хакери застосували ряд заходів

Для проведення кампанії хакер створив бота Діскорд на офіційному каналі компанії. Вони надсилали нічого не підозрююючим жертвам приватні повідомлення із запрошенням завантажити програму, яка дасть користувачеві доступ до нових функцій та/або додаткових переваг. Багато людей прийняли їх за справжні, все виглядало так, ніби вони були прислані від компанії. Повідомлення містили URL-адресу, яка спрямовувала користувача на підроблений сайт. Все було організовано так, щоб користувач завантажив шкідливу програму-інсталятор.

Хакери використовують Діскорд для розповсюдження троянів та вимагачів — “Нібито” справжні повідомлення, що отримували користувачі на Діскорд

Для стоворення ілюзії справжності хакери застосували додаткових мір. Серед них:

Підроблена сторінка мала дуже схожий на оригінальну сторінку інтерфейс користувача;

Хакери підписували домени сертифікатом (через LetsEncrypt), який вмикав з’єднання HTTPS;

Вони також використовували техніку під назвою кіберсквоттинг. Це коли додаються або видаляються літери з оригінального домену або домену верхнього рівня для створення фейкового;

Коли користувач натискав «Завантажити додаток», сайт перенаправляв запит на завантаження на інший домен через /downland.php,. Така схема вможливлювала непоміченість фейковості сайту. Фахівці з кібербезпеки виявили 82 доменів, створені в період з 24 липня 2021 року по 17 листопада 2021 року. Вони також знайшли різні варіанти криптору. Усі вони мали однаковий основний потік виконання. Зловмисники приховували криптор всередині офіційних програм, що ускладнювало його виявлення.

Одразу за тим, як користувач завантажує шкідливий інсталятор через несправжній Діскорд чат, починає виконуватися процес копіювання стиснутих файлів в щойно створену папку з ім’ям цілком непримітного якогось застосунка як “Монітор здоров’я додатків IIS” використовуючи один з наступних шляхів каталогу:
C:\Users\<користувач>\AppData\Local\
C:\Users\\AppData\Roaming\

Короткі технічні деталі роботи криптора

Програма починає встановлення і копіювання шкідливих файлів разом з іншими безкоштовними файлами або файлами з відкритим вихідним кодом. Після завершення видалення файлів починається виконання через основний виконуваний файл. На цьому етапі з’являється фейкове повідомлення про помилку програми, певно зроблено для того, щоб змусити користувача подумати, що програма вийшла з ладу, поки вона все ще продовжує працювати у фоновому режимі. Після ретельного огляду коду функції фахівці з кібербезпеки виявили, що він набагато довший, ніж фактичний код завантаження DLL. Це було зроблено спеціально для того, щоб приховати справжні функціональності програми та ускладнити її виявлення антивірусами. Наступний етап виконання відбувається всередині додаткового файлу, зазвичай це файл PDF або XML. Але фахівці з кібербезпеки відзначають, що вони також спостерігали використання таких файлів, як PNG, Text або JavaScript. Далі слідує складний ряд дій, який занадто довгий, щоб помістити його в одну публікацію.

Будемо коротко. Завершальним етапом є фіксація таблиці адрес імпорту та таблиці переміщення знову введеного PE. І зловмисне програмне забезпечення переходить до точки входу щойно введеного PE з оригінальними аргументами командного рядка.

Windows 10: віддалене виконання коду через уніфікований ідентифікатор ресурсів

Двоє дослідників виявили проблему вразливості в Windows 10, яка допускає виконання коду в Windows 10 через IE11/Edge Legacy і MS Teams, активовану введенням аргументу в уніфікований ідентифікатор ресурсів за замовчуванням у Windows 10/11 для ms-officecmd: URI. У своєму звіті, опублікованому у власному блозі дослідників, вони подають розгорнуте висвітлення своїх висновків і додають оригінальний звіт зроблений в MSRC. Лукас Ейлер і Фабіан Броунлайн спочатку відправили результати своєї роботи в Майкрософт через https://msrc.microsoft.com/ 10 березня цього року, але компанія відхилила роботу, пояснивши, що «[..] ваш звіт, схоже, описує випадок соціальної інженерії[.. ]”.

Виявлена вразливість дозволяє виконання віддаленого коду

У блозі вони пояснили, що відмова була помилково зроблена. А після повторного звернення Майкрософт знову розглянула звіт і присвоїла описаній вразливості класифікацію «Критична, віддалене виконання коду». Проте в реєстр вразливостей її не було внесено і жодних попереджень для користувачів не було опубліковано. У наступній заяві Майкрософт пояснила свої дії:

« На жаль, щодо даного звіту не було опубліковано попереджень для користувачів чи саму вразливість внесено до реєстру. Причина полягає в тому, що більшість вразливостей вносяться в реєстр для пояснення нашим користувачам, чому певні виправлення надсилаються через Windows Update і чому їх слід інсталювати. Зміни на веб-сайтах, завантаження через Defender або через Store зазвичай не вносяться до реєстру.

Дослідники склали список модливих атак з використання вразливості

Взагалі, вразливість знаходиться в обробнику URI за замовчуванням у Windows 10 і може бути використана з різних програм. Тобто, коли користувач Windows 10 натискає шкідливе посилання «ms-officecmd:» у будь-якій програмі, довільні команди можуть виконуватися на комп’ютері жертви або відвідує шкідливий веб-сайт за допомогою Edge. Експлуатація через інші браузери змушує жертву клікнути на непримітне діалогове вікно підтвердження. З іншого боку, шкідливий URI може бути надісланий через настільну програму, яка виконує небезпечну обробку URL-адрес. У своїй публікації дослідники вказують, що окрім прямого RCE через –gpu-launcher можливі кілька інших сценаріїв атаки:

Введення аргументів, що стосуються програми, напр. перемикач /l у Word, щоб завантажити надбудову з шляху UNC. (хоча дослідники перевірили, що шляхи UNC отримані, вони не оцінили ефект завантаження шкідливих надбудов Office);

Введення параметра –host-rules для повного Electron MitM (повторний контроль над маркерами аутентифікації та повідомленнями Teams);

Введення параметра –inspect=0.0.0.0:1234 для створення локального сервера налагодження вузла за допомогою програми Electron. Потім зловмисник у локальній мережі може приєднатися до порту й використовувати нейтів код (також перевірено дослідниками зі Skype як експеримент).

Крім того, з’явилася можливість ще двох атак

Крім того, окрім введення аргументів, вони виявили можливість наступних двох атак:

Запуск Outlook із URL-адресою у форматі C:/…/some.exe/ (додаткова похила риска для проходження перевірки AppBridge.dll) змушує Outlook аналізувати посилання як посилання на локальний файл і переспрямовувати на/відкривати/виконати файл . Саме тому його можна включити в поведінку автоматичного завантаження Chrome для отримання довільного виконання коду після видачі попередження безпеки;

Запуск Outlook із веб-адресою як параметром, що відкриває цю веб-сторінку в Outlook, створюючи можливість для фішингових атак.

Хоча згідно з програмою MS Bounty результати могли би бути кваліфіковані до отримання винагороди в 50 тисяч доларів, замість цього вони отримали лише 5 тисяч доларів. Компанія випустила патч через 5 місяців, але, за словами дослідників, «не змогла належним чином вирішити проблему введення основного аргументу». Дослідники кажуть, що експлойт все ще присутній у Windows 11, і, враховуючи, скільки обробників URI має Windows, є можливість,що вони також вразливі.

Чекові принтери розсилали спам із”Антиробота”маніфестами

Нещодавно працівники в різних місцях почали отримувати так звані “Антиробота” маніфести, що роздруковувалися з чекових принтерів. Спам був підписаний в кінці обліковим записом Reddit. Багато хто спочатку подумав, що це може бути фейк, хтось надрукував в себе “маніфести” та виклав їх на Reddit. Деякі користувачі навіть запропонували варіант піару, що нібито все зроблено задля створення ефекту протизаконності.

“Маніфести” закликали працівників відкрито обговорювати свою зарплатню

«ВАМ НЕ ДОПЛАЧУЮТЬ?» написано в одному з маніфестів, скріншоти яких , опубліковані у Twitter та Reddit. «Ви маєте захищене законом ПРАВО піднімати питання зарплатні разом зі своїми колегами. […] ЗАРПЛАТИ БІДНЯКІВ існують лише тому, що люди “хочуть” працювати за такі гроші».

Але, як стверджує Ендрю Морріс, засновник GreyNoise, фірми з кібербезпеки, яка відстежує Інтернет загрози, ними справді було виявлено мережевий трафік, який спрямовувався на незахищені чекові принтери. Хтось або кілька людей вибірково надсилали їх до друку по всьому Інтернету. Той, хто цим займався безперечно має глибокі технічні знання. Вони транслювали запити на друк документа, що містив вищезгадані “маніфести”, на всі неправильно налаштовані та відкриті перед Інтернетом чекові принтери.

Чекові принтери розсилали "Антиробота" маніфести — Один з “маніфестів”, які отримували працівники

GreyNoise отримав докази друку “маніфестів” в певних місцях; точне число важко визначити. Shodan, інструмент, який сканує Інтернет на наявність незахищених комп’ютерів, серверів та інших пристроїв, повідомляє про тисячі принтерів. Пан Морріс додає, що масовий друк надходить з 25 окремих серверів, тому блокування однієї IP-адреси даремно.

В історії є декілька прикладів такого класичного хаку. Кілька років тому таким чином був розкручений Youtube-канал PewDiePie. В другому ж випадку якийсь хакер друкував повідомлення, де називав себе «богом хакерів».

Що таке спам і з чим його “їдять”?

Незважаючи на те, що випадок із чековими принтерами до певної міри незвичний, проте його можна класифікувати як така буденна справа розсилання спаму. Енциклопедично кажучи, спам означає велику кількість небажаної кореспонденції, надісланої випадковим людям. Звичайно сюди відносяться телефонні дзвінки, електронні листи, смс та дірект в соціальних мережах. Насправді спам — це не абревіатура якогось комп’ютерного вірусу, хоча деякі пропозиції включали, наприклад, дурна безглузда дратівлива шкідлива програма (stupid pointless annoying malware).

Термін на позначення масованих небажаних повідомлень пішов з одної сценки комедійного гурту минулого століття Монті Пайтон. У ній актори скаржилися, що кожен змушений їсти Спам, хоче він того чи ні. (Спам — це ще назва торгової марки консервованого м’яса). Те ж саме з такими листами, ви просто з ними миритеся. Незважаючи на те, що немає єдиного засобу проти такого роду надокучання, завжди можна скористатися порадами як уникнути їхньої прямої шкоди.

Одне на що на слід звернути увагу, це ім’я відправника. Іноді вони бувають очевидними показниками шахрайства, але бувають випадки коли ставка робиться на увагу отримувача. Наприклад, це може бути щось на кшталт [email protected] або ж [email protected] замість microsoft.com. Завжди перевіряйте, чи збігається адреса електронної пошти відправника з доменом компанії.

Далі перевірте, чи містить електронний лист граматичні помилки, вельми сумнівно, що будь-яка респектабельна компанія дозволить такий нюанс. Тут вам не потрібно мати диплом із спеціальністю “Англійська мова”, а достатньо уважно передивитися сумнівного листа.
Червоний знак, коли відсутня елементарна особиста інформація. Будь-яка компанія, з якою у вас раніше була яка-небудь переписка, обов’язково матиме якусь інформацію щодо вашої особи. І привітання без згадки імені виглядає підозріло.

Однією з певних речей спаму є пропозиції, які “надто неймовірні, щоб бути правдою”. Їх можна отримати від компаній, з якими ви вже спілкувалися, або від випадкових відправників, що пропонують безкоштовні гроші або різноманітні призи. Насамкінець, остерігайтеся будь-яких вкладень або посилань, надісланих разом із цими електронними листами, часто один клік на які, запускає виконання другого етапу зловмисних дій.

Північнокорейські хакери атакували антивірусні компанії

В першому випуску доповіді Threat Horizons Гугл, серед інших виявлених кіберзагроз, згадали про спонсорованих державою північнокорейських хакерів, які застосували трохи просту тактику, прикидаючись рекрутерами Samsung. Зловмисники робили фальшиві пропозиції роботи співробітникам південнокорейських антивірусних компаній, які продають програмне забезпечення для захисту від шкідливих програм. Хакери відверто здивували спільноту спеціалістів з кібер безпеки.

Підроблені електронні листи, крім тексту самого повідомлення, містили вкладення PDF. Однак хакери змінили PDF-файли, таким чином щоб вони не відкривалися в стандартному зчитувачі PDF. Коли потенційна жертва скаржилася на те, що файл не відкривається, хакери надавали лінк до Secure PDF Reader. Посилання перенаправляло нічого не підозрюючих жертв до файлу, модифікованої версії PDFTron. Хакери спеціально змінили цей пристрій для зчитування PDF-файлів, щоб вподальшому встановити бекдор-троян.

Спеціалісти вважають, що ті самі хакери стоять за ранішими атаками

Google Threat Analysis Group вважає, що це та сама група хакерів, яка раніше атакувала різноманітних дослідників безпеки, переважно в Twitter та інших соціальних мережах наприкінці 2020 року та протягом 2021 року. Ідентифіковані Microsoft під кодовою назвою «Zinc», вони дуже здивували спеціалістів з кібербезпеки своєю тактикою. Згідно з тим же звітом, це не перший випадок, коли зловмисники використовують умисно змінений пристрій для зчитування PDF-файлів. Минулого року хакери спробували використати змінену версію SumatraPDF, щоб розшифрувати та скинути імплант. Вони також додали достовірні PE, які були вбудовані в сам веб-переглядач. Фахівці з кібербезпеки відзначають, що нещодавно вони помітили, що й інші зловмисники почали використовувати подібну техніку, за допомогою якої умисно змінювався засіб перегляду PDF-файлів.

Північнокорейські хакери атакували антивірусні компанії — Відома американська газета Нью-Йорк Таймз писала про Північну Корею і потенційну кібер силу країни

Звіт базується на даних розвідки групи аналізу кібер загроз, Google Cloud Threat Intelligence for Chronicle, Trust and Safety та інших внутрішніх команд. Google планує інші майбутні звіти розвідок про кібер загрози, які охоплюватимуть відстеження тенденцій, сканування горизонту загроз та оголошення завчасних попереджень про нові загрози, що потребують негайних дій.

Окрім північнокорейської хакерської групи, у першому випуску Threat Horizons також повідомляється про ознаки потенційної активності BlackMatter, шахраїв, які використовують новий TTP для зловживання хмарними ресурсами, і російську хакерську групу APT28\ Fancy Bear, яка проводила фішингову кампанію на Gmail. У звіті згадується також про виявлений факт скомпрометованих екземплярів Google Cloud, які зловмисники використовували для майнінгу криптовалюти. Для кожного випадку TAG надав можливі рішення щодо зменшення ризиків для клієнтів Google.

Перший випуск Threat Horizons включає широкий спектр інформації

Для кожної скомпроментованої вразливості Threat Horizons подав наступне відсоткове співвідношення:

Витік облікових даних (4%);

Неправильна конфігурація екземпляра Cloud або стороннього програмного забезпечення (12%);

Інші невизначені вразливості (12%);

Уразливість у програмному забезпеченні сторонніх розробників у екземплярі Хмари. (26%);

Слабкий пароль або відсутність пароля для облікового запису користувача або відсутність автентифікації для API.

У більшості випадків хакери намагалися накачати трафік на Youtube і отримати прибуток від майнінгу криптовалюти. Для результативності компромісу відсотки наступні:

Розсилання спаму (2%);

Запуск DDoS бота (2%);

Розміщення несанкціонованого контенту в Інтернеті (4%);

Зловмисне програмне забезпечення (6%);

Запуск атак з іншими цілями в Інтернеті (8%);

Сканування портів в інших цілях в Інтернеті (10%);

Видобування криптовалюти (86%).

TAG також додав, що загальна кількість не становить 100%, оскільки деякі скомпрометовані екземпляри використовувалися для виконання кількох шкідливих дій.