Nova verzija ransomwarea FTCode krade lozinke iz Chromea i Firefoxa
Opisi virusa, 22.01.2020.
Istraživači kompanije Zscaler otkrili su novu verziju FTCode ransomwarea, koja je detektovana kao 1117.1, za koju kažu da može da krade lozinke. FTCode je ransomware koga su prvi primetili istraživači kompanije Sophos još 2013. godine, a malver se ponovo pojavio krajem septembra prošle godine u spam emailovima koji su stizali na email adrese italijanskih korisnika. Analiza koju je sproveo tim ThreatLabZa kompanije Zscaler otkriva da napadači za širenje ransomwarea koriste emailove. Emailovi sadrže zaražene Word dokumente... Dalje
Svaki deseti korisnik macOS-a je imao susret sa malverom Shlayer
Opisi virusa, 24.01.2020.
Iako se macOS smatra relativno sigurnim operativnim sistemom, sajber kriminalci ne odustaju od pokušaja da profitiraju od korisnika macOS-a. Dobar primer za to je Shlayer, najrasprostranjeniji malver za macOS u 2019. godini. Shlayer je trojanac downloader koji se širi preko lažnih programa koji kriju maliciozni kod. Njegova svrha je instaliranje adwarea, programa koji bombarduju korisnike neželjenim reklamama i presretanje pretraga korisnika u pregledaču i izmena rezultata pretrage što ima za cilj prikazivanje što više reklama. Dalje
ZeroCleare je novi iranski destruktivni malver koji briše sve sa računara
Opisi virusa, 10.12.2019.
Istraživači IBM-a otkrili su novi, do sada nepoznati destruktivni malver za brisanje podataka koji hakeri koji rade za Iran koriste za napade na kompanije na Bliskom istoku. Malver pod nazivom “ZeroCleare”, povezan je ne sa jednom, već sa dve iranske hakerske grupe koje sponzoriše iranska država - APT34, takođe poznatom po nazivima ITG13 i Oilrig, i Hive0081, koja je poznata i pod imenom xHunt. Istraživači koji su otkrili ZeroCleare kažu da novi malver ima neke sličnosti sa zloglasnim malverom Shamoon, jednim od najrazornijih malvera... Dalje
Ruski ransomware Zeppelin napada evropske i američke kompanije, upozoravaju istraživači
Opisi virusa, 12.12.2019.
Nova verzija ransomwarea VegaLocker (Buran) nazvana Zeppelin trenutno inficira računare u američkim i evropskim kompanijama, upozoravaju istraživači iz firme Cylance. Ovaj malver se pojavio kao VegaLocker, a zatim je preimenovan u Buran, i kao takav se od maja ove godine nudio na ruskim hakerskim forumima kao Ransomware-as-a-Service (RaaS). Oni koji su ga koristili uzimali su 75% zarade od otkupnine, dok su autori malvera uzimali 25%. Od tada su objavljene nove verzije pod nazivom VegaLocker... Dalje
Lažno ažuriranje za Windows vodi do ransomwarea Cyborg
Opisi virusa, 20.11.2019.
Istraživači iz kompanije Truswave upozorili su na emailove koji sadrže fajl predstavljen kao važno ažuriranje za Windows, a koji zapravo dovodi do instaliranja ransomwarea Cyborg. Ono što je zanimljivo je da je fajl u ovim emailovima u .jpg formatu, ali se otvara .exe fajl. U naslovu emaila su dve rečenice: "Instalirajte najnoviji Microsoft Windows Update odmah! Obavezno ažuriranje za Microsoft Windows!". U samom emailu je jedna rečenica iako obično emailovi ovog tipa sadrže dužu poruku, koja je osmišljena tako da namami žrtve da... Dalje
Ransomware Clop isključuje Windows Defender i uklanja Malwarebytes anti-ransomware zaštitu
Opisi virusa, 29.11.2019.
U mnoštvu ransomwarea Clop CryptoMik Ransomware izdvaja se po tome što pokušava da onemogući Windows Defender, kao i da ukloni Microsoft Security Essentials i Malwarebytes anti-ransomware program. Clop je verzija CryptoMik Ransomwarea, koja koristi ekstenziju Clop i potpisuje svoju poruku o otkupu CIopReadMe.txt sa „Don't Worry C|oP“. Zbog toga je ransomware postao poznat kao Clop Ransomware. Istraživač Vitali Kremez, koji je analizirao ransomware, kaže da on pokreće jedan mali program pre šifrovanja koji će pokušati da... Dalje
Francuska Nacionalna žandarmerija objavila je juče da je više od 850000 računara širom sveta oslobođeno trenutno jednog od najraširenijeg malvera RETADUP. Ranije ove godine, istraživači kompanije Avast, koji su redovno pratili aktivnosti RETADUP botneta, otkrili su propust u C&C protokolu malvera koji se mogao iskoristiti za njegovo uklanjanje sa računara žrtava bez pokretanja bilo kakvog dodatnog koda. Međutim, da bi se to postigalo, plan je zahtevao od istraživača da imaju kontrolu nad C&C serverom, koji je hostovao malver... 
Pre nedelju dana otkriven je malver koji se pretvara da je Microsoftov sigurnosni skener. Namerno ili greškom, malver oštećuje fajlove žrtava. Istraživač Havijer Mertens objavio je skrinšot spam emaila koji je dobio navodno od Microsofta, naslovljenog sa “Virus Detection on Your Computer!” Email treba da ubedi potencijalnu žrtvu da je na računaru otkriven trojanac i da zbog toga ona treba da preuzme “sigurnosni skener”. Link za preuzimanje se nalazi u emailu. Fajl koji potencijalna žrtva treba da preuzme je WSS.zip koja sadrži... 
Novi ransomware koji inficira Android uređaje širi se slanjem tekstualnih poruka koje sadrže maliciozne linkove svima sa liste kontakata koja se nalazi na već zaraženom uređaju. Malver koji su istraživači kompanije ESET nazvali Android/Filecoder.C (FileCoder) trenutno inficira uređaje sa Android 5.1 ili novijim verzijama. Kada ransomware pošalje ovakve SMS poruke, on šifruje većinu korisničkih fajlova na uređaju i traži otkupninu. Zbog loše enkripcije moguće je dešifrovati šifrovane fajlove bez ikakve pomoći napadača, kažu istraživači. 
Prošla nedelja počela je loše za veći broj nemačkih kompanija koje je blokirao malver koji briše podatke i koji je u ime onih koji su ga širili koristeći fišing kao taktiku, tražio od žrtava da plate otkupninu. Malver je nazvan GermanWiper zbog napada na žrtve u Nemačkoj. Reč je o destruktivnom malveru u koji briše podatke, pre nego o ransomwareu iako traži od žrtava da plate otkupninu. Nakon kompromitovanja računara i brisanja fajlova, GermanWiper ostavlja poruku o plaćanju otkupnine u kojoj se navodi da su podaci šifrovani i da se neće... 
Istraživači iz firme Check Point otkrili su novi malver za Android uređaje koji je nazvan "Agent Smith". Agent Smith je neprimetno zarazio oko 25 miliona uređaja, nakon što su korisnici instalirali aplikaciju iz nezvanične prodavnice Android aplikacija. Žrtve su namamljene dropper aplikacijom iz prodavnice aplikacija 9Apps. Dropperi su obično maskirani u besplatne igre, uslužne ili pornografske aplikacije koje sadrže kriptovani malver. Kada se nađe na uređaju, aplikacija koja služi kao mamac dešifruje i instalira Agent Smith malver. 
Napadači su kreirali lažni Office 365 sajt koji distribuira trojanca TrickBot koji krade lozinke. Trojanac je sakriven u lažnim ažuriranjima za Chrome i Firefox. Ovaj lažni sajt koji je otkrio MalwareHunterTeam izgleda kao bilo koji Microsoftov sajt. Šta više, svi linkovi sa sajta vode na stranice hostovane na Microsoft domenima. Ako se na sajtu zadržite nekoliko sekundi, biće vam prikazano upozorenje u kome se navodi da vaš pregledač treba da bude ažuriran. Ovo upozorenje se neznatno razlikuje za korisnike Chromea i Firefoxa. 
Istraživači iz kompanije BitDefender objavili su ažuriranu verziju alata za dešifrovanje fajlova koje je šifrovao ransomware GandCrab, koji bi mogao omogućiti milionima korisnika da potpuno besplatno dešifruju svoje fajlove, bez plaćanja otkupnine sajber kriminalcima. GandCrab je ransomware koji je zarazio više od 1,5 miliona računara od kada se pojavio u januaru 2018. godine. Novi GandCrab alat za dešifrovanje, koga možete preuzeti sa sajta BitDefendera, može dešifrovati fajlove koje su šifrovale najnovije verzije ransomwarea, od verzije 5.0... 
Istraživač Džošua Long iz kompanije Intego otkrio je novi malver koji inficira Mac računare. Malver nazvan OSX/CrescentCore, je trojanac, a primećen je na raznim sajtovima gde je predstavljen kao instaler Adobe Flash Playera. Na inficiranom računaru, ovaj malver instalira zlonamerne aplikacije i ekstenzije pregledača. OSX/CrescentCore se širi preko raznih sajtova, gde je maskiran u Adobe Flash Player. Međutim, “instaler” je zapravo .dmg fajl koji isporučuje malver. Jedna verzija malvera preuzima potencijalno neželjene aplikacije... 
Istraživači kompanije Kaspersky Lab otkrili su novi malver koji se širi preko sajta Pirate Bay, jednog od najpopularnijih sajtova za preuzimanje torrenta. Malver inficira računare korisnika pomoću adwarea i alata za dodatnu instalaciju malvera. Ima višeslojnu strukturu i zbog svojih skrivenih, naizgled beskonačnih funkcionalnosti, malver je nazvan PirateMatryoshka, po poznatoj ruskoj lutki babuški. Torrent servisi se često koriste za distribuciju piratskog sadržaja koji je u većini zemalja ilegalan, jer krši prava intelektualne svojine. 
Novi Dharma ransomware koristi instalaciju programa ESET AV Remover da bi sakrio od žrtava ono što se dešava u pozadini - šifrovanje njihovih fajlova. Napadači isporučuju ransomware na računare svojih ciljeva pomoću spam emailova. Ove email poruke podstiču žrtve da preuzmu fajl klikom na link za preuzimanje. Kada kliknu na link za preuzimanje, od žrtava se traži lozinka koja se nalazi u emailu. Žrtve na taj način preuzimaju Dharma dropper, koji je upakovan u arhivu zaštićenu lozinkom nazvanu Defender.exe, hostovanu na hakovanom... 
Do avgusta prošle godine malver Rietspoof cirkulisao je internetom neprimećen. Onda su ga otkrili istraživači Avasta koji sada upozoravaju na ekspanziju ovog malvera koji se distribuira preko Skypea, Facebook Messengera i drugih aplikacija za razmenu poruka. Istraživači tvrde da je malver zapravo dropper dizajniran da omogući opasnom malveru da zarazi uređaj. To znači da je posao ovog malvera da napadne računar ali da on sam po sebi ne pravi nikakvu štetu. Da bi preuzeo drugi, opasniji malver, Rietspoof najpre mora... 
Pojavila se najnovija verzija ransomwarea GarrantyDecrypt, ransomwarea koga je otkrio istraživač Majkl Gilespi u oktobru 2018. godine. Iako nikada nije imao distribuciju velikih razmera kao drugi ransomwarei, on je ipak uspevao da opstane i da nađe put do žrtava. Sa najnovijom verzijom ransomwarea koju je Gilespi otkrio u februaru, njegovi autori pokušali su sa novom taktikom - pretvaraju se da su stručni tim firme Proton Technologies, koja stoji iza ProtonMaila i ProtonVPN-a. U poruci o otkupu, pod nazivom SECURITY-ISSUE-INFO.txt... 
Maliciozni Windows EXE fajl može zaraziti i vaš Mac računar. Da, dobro ste pročitali - .exe malver na macOS-u. Istraživači kompanije Trend Micro otkrili su novu taktiku koju hakeri trenutno koriste u napadima da bi zaobišli Appleovu bezbednosnu zaštitu za MacOS i zarazili Mac računare postavljanjem zlonamernih EXE fajlova koje se obično pokreću samo na Windows računarima. Istraživači su pronašli nekoliko primeraka maliciozne MacOS aplikacije (.dmg) maskirane u instalere za popularni softver na torrent sajtu koji uključuje EXE... 
Majneri kripto-valuta postali su novi standard u svetu malvera, a nove verzije postaju sve složenije, jer su u mogućnosti da efikasnije sakriju svoje procese kako ne bi bili otkriveni. Međutim, istraživači kompanije Trend Micro su nedavno otkrili novi Linux majner čija svrha nije samo rudarenje o kome korisnik ne zna ništa, već i uklanjanje drugih malvera i majnera koje pronađe na kompromitovanom sistemu. Istraživači kažu da majner koristi kod iz KORKERDSa i oslanja se na crontabove da bi osigurao da će se pokrenuti nakon ponovnog... 
Malver Shamoon se vratio. Za one koji prvi put čuju za Shamoon, reč je o jednom od najdestruktivnijih malvera koji je 2012. napravio haos u kompaniji koja je najveći proizvođač nafte u Saudijskoj Arabiji. Ovog puta ciljevi malvera su kompanije iz energetskog sektora koje prvenstveno posluju na Bliskom istoku. Početkom prošle nedelje, italijanska naftna kompanija Saipem je napadnuta, a tom prilikom uništeni su važni fajlovi na oko 10% njenih servera, uglavnom na Bliskom istoku, uključujući Saudijsku Arabiju, Ujedinjene... 
Istraživači iz firme Bromium otkrili su emailove sa Microsoft Excel dokumentima koji imaju nazive kao što je "F.DOC.2019 A 259 SPA.xls" koji kada se otvore govore korisniku da omogući sadržaj kako bi mogao da vidi dokument. Kada je sadržaj omogućen, biće pokrenuti makroi koji proveravaju da li je računar konfigurisan za korišćenje u Italiji. Ako nije, ništa se neće dogoditi. Ali ako je računar u Italiji, preuzima se slika Maria iz igre Super Mario. Kada se slika preuzme, skripta će izvući različite piksele iz slike da bi rekonstruisala... 
Poznati bankarski trojanac Trickbot unapređen je novim modulima koji su dizajnirani da prošire njegove mogućnosti, tako da sada omogućava napadačima da prikupe još više podataka sa kompromitovanih računara. Još u martu Trickbotu je dodat modul za zaključavanje ekrana i modul koji pomaže malveru da izbegne detekciju, a ovog meseca su njegovi autori dodali novi modul za krađu lozinki (PasswordGrabber), koji omogućava prikupljanje i izvlačenje lozinki sa zaraženih sistema. Tako Trickbot sada može... 
Istraživač iz firme Nozomi Networks, Alesandro Di Pinto, otkrio je veoma kompleksan backdoor malver koji je delo APT (advanced persistent threat) grupe GreyEnergy. Backdoor dospeva na ciljane računare koristeći fišing kao vektor infekcije. GreyEnergy je napao i infiltrirao mreže nekoliko važnih infrastrukturnih ciljeva u Istočnoj Evropi, od Poljeske do Ukrajine. Prema rečima istraživača kompanije ESET, GreyEnergy je najverovatnije naslednik grupe BlackEnergy koja je poznata po sajber-špijunaži. Grupa stoji iza razvoja... 
Istraživači iz kompanije Kaspersky Labs otkrili su složenu kampanju distribucije jednog malvera koja je usmerena na korisnike meksičkih banaka i koja je započela 2013. godine, a možda i ranije. U kampanji nazvanoj Dark Tequila distribuira se napredni keylogger, malver koji je pet godina uspevao da ostane neprimećen zahvaljujući tome što je korišćen u vrlo ciljanim napadima, ali i zbog nekoliko tehnika koje su korišćene a koje su mu u tome pomagale. Dark Tequila je kampanja prvenstveno osmišljena za krađu finansijskih informacija od žrtava sa duge liste sajtova za online bankarstvo, kao i korisničkih imena i lozinki... 
Maliciozna ažuriranja za Flash često su korišćena za širenje droppera, malvera koji instaliraju druge malvere, ali istraživači iz Palo Alto Unit 42 su naišli na veoma neobično lažno ažuriranje za Flash koje obećava ažuriranje Flasha na najnoviju verziju. Ono što potencijalna žrtva ne zna da će preuzimanjem ovog ažuriranja instalirati XMRig kripto-majner na sistem. Ovo lažno ažuriranje za Flash prikazuje legitimna pop-up obaveštenja zvaničnog Adobe instalera. Lažno ažuriranje je primećeno prvi put u avgustu ove godine. 
Istraživači kompanije Kaspersky Lab otkrili su novi malver za rudarenje kriptovaluta, nazvan PowerGhost, koji je pogodio korporativne mreže u nekoliko regiona, uglavnom u Latinskoj Americi. Sajber kriminalci sve više koriste majnere u ciljanim napadima. Kompanije, koje su ciljevi tih napada, suočavaju se sa velikim problemima jer majneri sabotiraju i usporavaju njihove računarske mreže, nanoseći štetu poslovnim procesima i ugrožavajući njihove prihode. Majneri kripto valuta trenutno su najaktuelnija tema kada je reč o sajber bezbednosti. Zlonamerni majneri prave profit na račun korisnika, unovčavajući rad... 
Ransomware SamSam zaradio je svom tvorcu više od 5,9 miliona dolara, koliko su platile žrtve od kada se pojavio malver, krajem 2015. godine. Ovo je podatak iz izveštaja kompanije Sophos koji je najsveobuhvatniji izveštaj o aktivnostima SamSama koji je do danas objavljen. Stručnjaci Sophosa pratili su ransomware od njegovog debija krajem 2015. godine do napada koji su se desili ranije ovog meseca. Prateći sve Bitcoin adrese koje su mogli da pronađu, istraživači Sophosa su identifikovali najmanje 233 žrtve koje su platile otkupninu kriminalcima koji stoje iza SamSama, od kojih je 86 javno objavilo da... 
Istraživači kompanije Kaspersky Lab otkrili su zanimljiv malver koji inficira sisteme ili majnerom kriptovaluta ili ransomwareom, u zavisnosti od njihove konfiguracije da bi na kraju odlučio koji od ova dva programa može biti profitabilniji. Dok je ransomware vrsta malvera koji blokira računar i sprečava korisnika da pristupi šifrovanim podacima sve dok ne plati otkup za ključ potreban za dešifrovanje fajlova, majneri koriste CPU zaraženog sistema za kopanje digitalnog novca. I ransomware i majneri su vodeće među pretnjama i iako se značajno razlikuju imaju i neke sličnosti. Obe vrste malvera... 
Istraživači iz kompanije Proofpoint primetili su novu verziju starog bankarskog trojanca Kronos koji je bio na vrhuncu još 2014. godine. Nova verzija Kronosa prvi put je primećena u aprilu ove godine. Ipak, distribucija trojanca je zapravo započela krajem juna, kada su istraživači počeli da otkrivaju maliciozni spam i exploit alate koji isporučuju ovu novu verziju malvera. Istraživači Proofpointa primetili su tri kampanje usmerene protiv korisnika 5 nemačkih i 13 japanskih banaka, i korisnika u Poljskoj i jednu probnu kampanju na sajtu za preuzimanje softvera. Malver koji se koristi u ovim kampanjama nije originalni... 
Ransomware Thanatos koji se pojavio u februaru ove godine imao je ozbiljne propuste, zbog kojih njegovi autori nisu mogli da dešifruju fajlove žrtava čak i kada bi one platile. Međutim, rešenje za žrtve su pronašli istraživači iz Cisco Talos Grupe koji su napravili dekripter koji omogućava žrtvama da besplatno vrate fajlove. Iako Thanatos nikada nije postigao veći uspeh u pogledu distribucije, bilo je žrtava ovog ransomwarea, a najčešće je distribuirana verzija 1.1. Ova verzija je koristila napredniju poruku o otkupu sa upadljivo prikazanim nazivom i verzijom ransomwarea. Nazivima šifrovih fajlova žrtava dodaje se... 
Kriptovalute su postale veoma popularne, ali slanje koina nije jednostavno jer zahteva da ih korisnici šalju na adrese koje su dugačke i koje je teško upamtiti. Zbog toga, prilikom slanja digitalnog novca, mnogi korisnici jednostavno će kopirati adresu u memoriju iz jedne aplikacije i prekopirati je u drugu aplikaciju koju koriste za slanje koina. Napadači su iskoristili to što korisnici kopiraju adrese i napravili novu vrstu malvera. Ova vrsta malvera, koji se zove CryptoCurrency Clipboard Hijackers, funkcioniše tako što nadzire Windows klipbord, a ako primeti adresu kriptovalute, zameniće je adresom koju kontrolišu... 
Sajber kriminalci razvijaju novi malver nazvan MisteryBot koji cilja Android uređaje i koji objedinjuje funkcije bankarskog trojanca, keyloggera i mobilnog ransomwarea. Istraživači iz firme ThreatFabric koji su otkrili ovaj malver kažu da je MisteryBot povezan sa poznatim i veoma popularnim bankarskim trojancem za Android LokiBot. "Na osnovu naše analize koda oba trojanca, verujemo da postoji stvarna veza između tvoraca LokiBota i MisteryBota", kažu istraživači koji smatraju da je kod MisteryBota zasnovan na kodu LokiBota. Štaviše, MisteryBot šalje podatke istom komandno-kontrolnom serveru (C&C)... 
Kada je 2015. objavljen Windows 10, jedna od njegovih glavnih prednosti su bile poboljšane sigurnosne funkcije koje su otežale rutkitovima (rootkit) da steknu uporište u Microsoftovom novom operativnom sistemu. Ali, tri godine kasnije, istraživači iz rumunske kompanije BitDefender su objavili detaljnu analizu jednog adwarea nazvanog Zacinlo, koji koristi rootkit komponentu da bi ostvario trajno prisustvo i preživljavanje reinstalacija operativnog sistema. Šta više, istraživači kažu da su 90% svih skorijih žrtava adwarea Zacinlo korisnici Windowsa 10, što pokazuje da su sajber kriminalci ciljano dizajnirali svoj... 
US-CERT je objavio zajedničko upozorenje DHS-a i FBI-a, upozoravajući na dva novootkrivena malvera koje koristi severnokorejska APT hakerska grupa poznata pod nazivom Hidden Cobra. Veruje se da grupu Hidden Cobra, koja je poznata i pod nazivima Lazarus Group i Guardians of Peace, podržava vlade Severne Koreje. Grupa je poznata po napadima na medije, vazduhoplovnu industriju, finansijske institucije i kritičnu infrastrukturu širom sveta. Hidden Cobra je navodno povezana i sa hakovanjem Sony Pictures 2014. godine, kao i SWIFT Banking napadom 2016. godine. 
Malver VPNFilter koji je zarazio preko 500000 rutera i NAS uređaja u 54 zemlje tokom proteklih nekoliko meseci je opasniji nego što se do sada mislilo. Analiza malvera koju je objavio Cisco Talos, otkriva da malver za koji se u početku smatralo da može da zarazi Linksys, MikroTik, Netgear, TP-Link i QNAP uređaje, takođe može da zarazi i ASUS, D-Link, Huawei, Ubiquiti, UPVEL i ZTE rutere. Spisak uređaja koji su ugroženi zbog VPNFiltera je tako posle ove analize kompanije Cisco, proširen sa 16 modela uređaja na 71, a možda više. Štaviše, istraživači su otkrili nove mogućnosti VPNFiltera... 
Istraživači kompanije Proofpoint otkrili su novi malver koji krade sačuvane lozinke i podatke o platnim karticama iz Chromea i Firefoxa. Pored toga, malver krade i osetljive dokumente sa inficiranog uređaja. Istraživači su malver nazivali Vega Stealer. On je varijanta malvera Augusta Stealer koji je otkriven u decembru 2016. godine a koji je krao sačuvane lozinke, dokumente i druge osetljive podatke iz Skypea, Opere, Chromea i Firefoxa. Vega Stealer se distribuira putem neželjene elektronske pošte. Naslovi emailova su različiti. Jedan takav email nosi naziv "Potreban programer za online prodavnicu". 
Rudarenje digitalnog novca je novi trend u svetu malvera, o čemu svedoči i nedavno otkriveni agresivni malver koga su primetili istraživači iz firme 360 Total Security. Malver nazvan WinstarNssmMiner koristi sve sistemske resurse za rudarenje Monero digitalne valute, koristeći nekoliko tehnika zaštite kako bi izbegao antivirusna rešenja i bio siguran da korisnici neće prekinuti njegove procese. Prvo i najvažnije, kada zarazi sistem, WinstarNssmMiner pokušava da izbegne otkrivanje od strane antivirusnih programa tako što ne započinje svoje zlonamerne aktivnosti kada se vrši skeniranje... 
Istraživači kompanije Kaspersky Lab otkrili su ZooPark, sofisticiranu sajber špijunažu, koja je započela pre nekoliko godina i čiji su ciljevi korisnici Android uređaja sa Bliskog Istoka, uglavnom iz Irana, Egipta, Jordana, Maroka i Libana. Oni koji stoje iza ove operacije inficiraju Android uređaje koristeći nekoliko generacija malvera, a svakoj novoj verziji malvera dodaju se nove funkcionalnosti. Gledano sa tehničke strane, malver ZooPark je značajno napredovao od prve, veoma jednostavne verzije, preko komercijalnog spywarea do veoma kompleksnog špijunskog programa kakva je četvrta verzija. Istraživači su primetili... 
Istraživači kompanije Kaspersky Lab otkrili su novu verziju ransomwarea SynAck koja koristi tehniku dvojnika procesa (Process Doppelgänging) da bi zaobišla antivirusne programe, krijući se unutar legitimnih procesa. Ova sofisticirana tehnika je prvi put prezentovana u decembru prošle godine na konferenciji BlackHat. Od tada, nekoliko malvera je počelo da koristi ovu tehniku. Prošlog meseca, istraživači Kaspersky Laba primetili su prvi ransomware koji koristi ovu tehniku - ransomware SynAck. SynAck nije novi malver - za njega se zna od septembra prošle godine, ali je sada privukao pažnju stručnjaka za... 
Stručnjaci firme Radware primetili su novi malver koji krade informacije - lozinke iz Chromea i kolačiće sesije. Malver izgleda da posebno nastoji da dođe do informacija korisnika Facebooka. Novi trojanac nazvan Stresspaint je pronađen skriven u besplatnoj Windows aplikaciji "Relieve Stress Paint". Grupa koja stoji iza ovog malvera manipuliše žrtvama pomoću fišing emailova ili preko Facebook spama. Žrtve veruju da ih link vodi na legitimni sajt (npr. AOL) sa koga će preuzeti legitimnu aplikaciju, ali je sajt zapravo Unicode domen AOL sajta i njegova prava adresa je xn-80a2a18a.net. 
Ako dobijete link za video, čak i ako vam se učini zanimljivim, ako vam ga je poslao prijatelj ili neko drugi preko Facebook Messengera, razmislite - možda ne treba da kliknete na njega. Istraživači kompanije Trend Micro upozorili su korisnike na maliciozni dodatak za Chrome koji se širi preko Facebook Messengera i cilja korisnike platformi za trgovinu kriptovalutom da bi im ukrao lozinke za pristup nalozima. Tehnika napada nazvanog FacexWorm koju koristi zlonamerna ekstenzija prvi put je primećena u avgustu prošle godine, ali istraživači kažu da je malver ranije ovog meseca prepakovan i opremljen... 
Početkom meseca, rumunska policija i Europol zaplenili su komandno-kontrolne servere ransomwarea GandCrab, što im je omogućilo da dođu do ključeva za dešifrovanje fajlova žrtava ovog malvera. Međutim, kriminalci koji stoje iza ovog ransomwarea nisu sedeli skrštenih ruku i ubrzo su najavili novu verziju malvera sa sigurnijim komandno-kontrolnim serverom. Oni su održali reč i objavili verziju 2 ransomwarea. Prema istraživanju Check Pointa, grupa koja stoji iza GandCraba inficirala je više od 50000 žrtava, uglavnom u SAD, Velikoj Britaniji i Skandinaviji. 
Najnovijoj verziji bankarskog trojanca TrickBot dodata je komponenta koja zaključava ekran, što ukazuje na to da distributeri malvera uskoro mogu početi da ucenjuju žrtve da plate otkup, ukoliko se ispostavi da korisnici inficiranih uređaja nisu korisnici elektronskog bankarstva. Dobra vest je da mehanizam zaključavanja ekrana još uvek nije potpuno funkcionalan i čini se da je još uvek u fazi razvoja. Bez obzira na to, istraživači su primetili da je novi modul već na računarima žrtava, što ukazuje na to da je razvoj dovoljno odmakao da se novi modul testira "na terenu". 
Istraživači kompanije Kaspersky Lab otkrili su sofisticirani malver koja se koristio za sajber špijunažu na Bliskom istoku i Africi, u periodu od 2012. do februara 2018. godine. Malver koji je nazvan Slingshot napada i inficira žrtve preko kompromitovanih rutera, a može raditi i u kernel modu, čime se stiče kompletna kontrola nad uređajima žrtve. Prema tvrdnjama istraživača, mnoge tehnike koje su koristili oni koji stoje iza ovog malvera su jedinstvene i izuzetno efikasne kada je u pitanju tajno prikupljanje informacija, jer omogućavaju napadačima da prikriju svoj saobraćaj u označenim paketima podataka koje mogu... 
Istraživači kompanije Kaspersky Lab otkrili su da grupa odgovorna za nastanak PoS (point-of-sale) malvera Prilex, sada može da pretvara podatke sa ukradenih kreditnih kartica u funkcionalne kartice. Ovaj malver, koji je u međuvremenu evoulirao i trenutno je aktivan u Latinskoj Americi, prepoznatiljiv je po svom jednostavnom, "user-friendly" modelu rada, što dodatno olakšava posao sajber kriminalaca. Upotreba „pametnih”, čipovanih kreditnih kartica zaštićenih PIN kodom postala je masovna tokom prethodne decenije, zbog čega su one i privukle pažnju sajber kriminalaca. Istraživači kompanije Kaspersky Lab... 
Istraživači kompanije Palo Alto Networks otkrili su novi malver koji može da detektuje kada korisnik kopira adresu kriptovalute u Windows clipboard. Malver zamenjuje ovu adresu adresom svog autora. Malver je nazvan ComboJack i sličan je malverima Evrial i CryptoShuffler. Ono po čemu se ComboJack razlikuje od njih je to što podržava više kriptovaluta a ne samo Bitcoin. ComboJack može da detektuje kad god korisnik kopira aderesu za Bitocoin, Litecoin, Ethereum i Monero, ali i za platne sisteme kao što su Qiwi, Yandex Money i WebMoney. ComboJack se trenutno aktivno distribuira. 
Microsoft je objavio da je Windows Defender zaustavio masovnu kampanju distribucije malvera koji je pokušao da inficira više od 400000 korisnika majnerom kriptovalute tokom 12 sati, koliko je trajala kampanja koja se dogodila 6. marta, kada je zaustavljena. Windows Defender je na računarima detektovao poznati downloader Dofoil koji je poznat i pod nazivom Smoke Loader. Dofoil je malver koji se pojavio još 2014. godine. Tri četvrtine pokušaja infekcije otkriveno je u Rusiji (73%), u Turskoj 18% i Ukrajini 4%. Iz Microsofta kažu da je nova verzija Dofoil pokušala da iskoristi legitimni proces operativnog... 
Veliki broj antivirusa i dalje ne detektuje trojanca za daljinski pristup (RAT) Coldroot, uprkos tome što je on skoro dve godine besplatno dostupan na GitHubu. Izgleda da je RAT nastao kao šala, "da se poigra sa korisnicima Maca", ali se od tada proširio na sve tri glavne desktop platforme - Linux, macOS i Windows, ako je suditi po snimku ekrana iz promotivnog YouTube videa. Iako je Coldroot open-source od 2016. godine, RAT je ostao u anonimnosti jer nikada nije bio u centru velikih operacija u oblasti sajber kriminala. Nažalost, čini se da su se stvari u međuvremenu promenile i da se Coldroot sada aktivno distribuira. 
Novi malver za Android može da krade lozinke za Facebook naloge, a zatim da se prijavljuje na naloge kako bi prikupio informacije o korisnicima, pa čak i da pretražuje i prikuplja rezultate koristeći funkciju pretraživanja Facebook aplikacije. Malver je nazvan Fakeapp, a otkrili su ga ranije ovog meseca istraživači Symanteca. Oni kažu da se malver trenutno širi preko malicioznih aplikacija koje su dostupne korisnicima koji govore engleski jezik u nezavisnim prodavnicama aplikacija. Iako cilja korisnike koji govore engleski, istraživači kompanije Simantec kažu da je većina žrtava ovog malvera iz azijsko-pacifičkog regiona... 
Nevidljivi majneri za kopanje kriptovaluta obično su problem korisnika Windowsa, ali niko nije bezbedan, ni korisnici Linuxa, ni korisnici Mac računara, iako su ovakvi malveri koji ciljaju Mac računare retkost. Prvi takav malver primećen je 2011., kada je otkriven trojanac DevilRobber koji je između ostalog, mogao da koristi Mac računare za kopanje Bitcoina. U avgustu i novembru 2017., istraživači iz firme SentinelOne okrili su i analizirali dva trojanca za kopanje Monero kriptovalute a koji su ciljali macOS: Pwnet i CpuMeaner. CreativeUpdate je najnoviji kripto-majner koji cilja korisnike Mac računara... 
Krivac za tehničke probleme koji su se dogodili za vreme ceremonije otvaranja Olimpijskih igara u Pjongčangu je jedan destruktivni malver zbog koga su novinari koji su izveštavali sa ceremonije otvaranja imali probleme sa internetom i televizijskim sistemima. Organizatori su u nedelju priznali da tehnički problemi nisu bili slučajnost i da se njihova mreža našla na udaru koordinisanog sajber napada. Više detalja o tome javnost je saznala od istraživača kompanije Cisco koji su objavili izveštaj o malveru koji je korišćen u ovom napadu. Prema tvrdnjama istraživačima, napadači su koristili do sada... 
Pojavio se novi ransomware koji je nazvan Rapid Ransomware i koji ostaje aktivan i nakon što šifruje fajlove da bi šifrovao sve novokreirane fajlove. Iako ovo ponašanje nije jedinstveno za Rapid, ono nije uobičajeno i ne viđa se često. Iako nije poznato kako se Rapid širi, on je od početka januara inficirao veliki broj računara. Prvi uzorak ransomwarea podnet je ID-Ransomwareu 3. januara, a od tada je bilo preko 300 podnesaka. Ovo je verovatno samo mali deo ukupnog broja žrtava. Kada se ransomware pokrene, on će obrisati Windows shadow kopije, prekida procese baze podataka i onemogućava automatsku popravku. 
Izgleda da su autori zloglasnog bankarskog trojanca Dridex i Necurs spam botneta stvorili još jedan malver, ransomware nazvan FriedEx, objavila je kompanija ESET. FriedEx je ime pod kojim ESET detektuje ransomware ranije poznat kao Byt Paymer ili BitPaymer. Ovaj ransomware je otkrio istraživač Majkl Gilespi u julu 2017. godine, da bi se već sledećeg meseca ransomware našao u vestima zato što je blokirao IT sisteme nekoliko bolnica u Škotskoj. Naziv malvera može da izazove zabunu, jer iako ESET koristi naziv FriedEx, većina korisnika koji traže pomoć na internetu... 
Ako dobijete email sa fotografijom, naslovljen sa "Emailing: IMG_20171221_", oprezno, moguće je da je reč o emailu koji je poslat sa zadatkom da inficira računar ransomwareom GlobeImposter koji je prepoznatljiv po tome što šifrovanim fajlovima dodaje ekstenziju .doc. Maliciozni email sadrži 7zip (.7z) fajl nazvan IMG_[datum]_[broj]. Ovakav fajl sadrži .js fajl koji kada se klikne dva puta na njega dovodi do preuzimanja ransomwarea GlobeImposter i njegovog pokretanja. Kada se preuzme i pokrene GlobeImposter, on počinje da šifruje fajlove na računaru, i svakom šifrovanom fajlu dodaje .doc ekstenziju. 
Novi dan, novi Android malver. Istraživači iz kompanija SfyLabs i Avast zajedno su analizirali novi malver nazvan Catelites Bot koji može da lažira ne sto ili dve stotine nego čak 2200 aplikacija banaka. Moguće je da je Catelites Bot nekako povezan sa čuvenom ruskom sajber bandom koja je uspela da inficira više od milion uređaja trojancem CronBot i da ukrade 900000 dolara. Međutim, grupa je nedavno razbijena. Malver inficira Android uređaje na različite načine - preko lažnih, malicioznih aplikacija koje se mogu preuzeti iz nezvaničnih prodavnica aplikacija ili preko fišing sajtova. Malver može inficirati uređaj... 
Korisnici interneta u Srbiji, Bosni i Hercegovini i Hrvatskoj ciljevi su novog ransomwarea nazvanog FileSpider koji se širi preko spam emailova koji sadrže maliciozne Word dokumente koji preuzimaju i instaliraju ransomware na računarima žrtava. Spam emailovi su naslovljeni sa "Potraživanje dugovanja", a sadržaj emaila je na srpkom. Ovi emailovi sadrže Word dokumente sa malicioznim makroima koji su predstavljeni kao obaveštenje o potraživanjima dugovanja. Ako korisnik klikne na Enable Editing, ugrađeni makro koji sadrži PowerShell skriptu će preuzeti ransomware i pokrenuti ga. Makro preuzima dva... 
Korisnici Facebooka u nekoliko zemalja ciljevi su kampanje u kojoj se distribuira novi malver nazvan Digmine koji instalira majner kriptovalute Monero, ali i malicioznu ekstenziju za browser Chrome koja pomaže da malver dođe do novih žrtava. Digmine se širi preko Facebook Messengera, zvanične Facebook platforme za razmenu poruka. Žrtve obično dobijaju fajl "video_xxxx.zip" (gdje je xxxx četvorocifreni broj) koji pokušava da prođe kao video fajl. Međutim, ovaj fajl krije EXE fajl. Neoprezni korisnici koji pokrenu fajl inficiraće računar malverom Digmine. Digmine ima malo funkcija, a najvažnija je ona koja mu.. 
U toku je velika spam email kampanja za koju je angažovana najveća spam bot mreža u svetu, bot mreža Necurs, koja na email adrese korisnika širom sveta za sat vremena pošalje oko 2 miliona emailova i koja sada preko spam emailova širi novi ransomware. Necurs koji je prethodno distribuirao bankarskog trojanca Dridex, bankarskog trojanca Trickbot, ransomware Locky i ransomware Jaff, sada širi novu verziju ransomwarea Scarab. Necurs je naistaknutiji pošiljalac spam emailova sa pet do šest miliona inficiranih računara mesečno, i odgovoran je za najveće kampanje distribucije pojedinačnih malvera. 
Zloglasni plavi ekran smrti (BSOD) je jedan od najstrašnijih prizora za korisnike Windowsa. Očigledno na to računaju autori novog malvera koji prikazuje lažni BSOD, pokušavajući da ubedi žrtve da plate alate tehničke podrške. Prema rečima istraživača iz firme Malwarebytes, malver odgovarajuće nazvan Troubleshooter, oglašava svoje prisustvo na računaru lažnim BSOD-om. Zatim se pojavljuje "čarobnjak za rešavanje problema", maskiran u Windowsovu pomoć. On otkriva "probleme" na računaru, a zatim preporučuje žrtvi da za 25 dolara koje treba uplatiti preko PayPala kupi paket pod imenom... .jpg)
Istraživač iz firme ProofPoint Metju Mesa otkrio je prošle nedelje novi ransomware nazvan GIBON koji se trenutno širi preko spam emailova sa malicioznim dokumentom koji sadrži makroe koji preuzimaju i instaliraju ransomware na računar. Sada je otkriveno da se GIBON prodaje na forumima sajber podzemlja još od maja 2017. Ransomware prodaje neko ko se potpisuje kao AUS_8 i koji za GIBON traži 500 dolara. Oglas za malver je napisan na ruskom. AUS_8 tvrdi da je nemoguće dešifrovati fajlove. Međutim, to nije istina. Postoji dekriptor koga žrtve mogu preuzeti i pomoću koga mogu dešifrovati svoje fajlove. 
Bezbednosni istraživači iz kompanije Bitdefender otkrili su novu verziju malvera Terdot čiji je kod baziran na kodu ozloglašenog bankarskog trojanca Zeus koji je procureo 2011. godine. Terdot je prvi put primećen sredinom prošle godine, da bi zatim nestao i ponovo se pojavio u oktobru iste godine od kada ga stručnjaci Bitdefendera pažljivo prate. Terdot je redizajniran i sada može da koristi open-source alate za lažiranje SSL sertifikata. Malver je sada osposobljen za krađu lozinki pa čak i praćenje naloga na društvenim mrežama. 
Neke žrtve ransomwarea Bad Rabbit mogle bi spasiti svoje zarobljene fajlove zbog grešaka koje su napravili autori malvera. Greške su otkrili istraživači iz Kaspersky Laba koji kažu da u načinu rada Bad Rabbita postoje greške koje za žrtve mogu biti spasonosne. Najveća greška je to što Bad Rabbit ne briše Shadow Volume kopije. To je tehnologija koju koristi Windows koji pravi snimke fajlova dok su oni u upotrebi. Bad Rabbit pravi kopiju fajla, šifruje kopiju i briše originalni fajl. To znači da su svi šifrovani fajlovi bili "u upotrebi" i da su napravljena Shadow Volume kopije. Ove nevidljive kopije se čuvaju na disku... 
Stručnjaci Kaspersky Laba otkrili su novog trojanca koji služi kao pomoć u sajber pljačkama banaka u Rusiji, Jermeniji i Maleziji. Trojanac je nazvan Silence. Silence je prvi put primećen u septembru ove godine. Većina napada u kojima se koristio bili su napadi na ruske banke. Iako nema dokaza da je Silence povezan sa zloglasnom Carbanak kriminalnom grupom, koja se specijalizovala za pljačkanje banaka, način rada napadača podseća na njihov način rada i tehnike koje koristi ova grupa. Možda bi Silence mogao ipak biti njihov trojanac ili pak delo kriminalaca koji kopiraju Carbanak grupu, prilagođavajući malver... .png)
Stručnjaci iz SfyLabsa otkrili su novog Android bankarskog trojanca nazvanog LokiBt koji se pretvara u ransomware i zaključava telefone korisnika kada pokušaju da mu ukinu adminstratorska prava. LokiBot je više bankarski trojanac nego ransomware, kažu istraživači koji su ga otkrili, i prvenstveno se koristi u tu svrhu. Kao i drugi bankarski trojanci za Android, i LokiBot prikazuje lažne ekrane za prijavljivanje preko popularnih aplikacija. Osim aplikacija banaka, LokiBot prekriva i aplikacije koje nemaju veze sa bankama, kao što su Skype, Outlook i WhatsApp. Kao i neki drugi malveri, kao što su Svpeng, CryEye... 
Novi ransomware nazvan Bad Rabbit se kao požar širi evropskim zemljama, u kojima napada računare kako u državnim institucijama, tako i u privatnim firmama. Malver je do sada primećen u Rusiji, Ukrajini, Bugarskoj, Turskoj i Nemačkoj. Potvrđeno je da je Bad Rabbit napao Međunarodni aerodrom u Odesi, u Ukrajini, platni sistem metroa u Kijevu, ukrajinsko Ministarstvo infrastrukture i ruske novinske agencije, među kojima su Interfax i Fontanka. Ukrajinski CERT upozorio je ukrajinske firme na napade novog ransomwarea koji po brzini kojom se širi podseća na WannaCry i NotPetya ransomwaree koji su... 
Hakovanje bankomata nikad nije bilo lakše. Da bi hakovali bankomate sajber kriminalci obično iskorišćavaju propuste u hardveru i softveru tako da ih "primoraju" da izbace novac. Stvari međutim postaju jednostavnije: sada svako može da hakuje bankomat za šta je potreban malver koji se može kupiti na internetu. ATM malver koji je nazvan CutletMaker se pojavio u maju, u oglasu objavljenom na jednom hakerskom forumu. Za malver je tada bilo potrebno izdvojiti oko 5000 dolara vredne Bitcoine, kažu istraživači iz Kaspersky Laba koji su prvi primetili pomenuti post na forumu u kome se reklamira ovaj malver. 
Poznati malver Necurs je prošao kroz promene koje su privukle pažnju stručnjaka kompanije Symantec. Necurs je ime malvera ali i bot mreže računara koje je malver inficirao. Necurs je "downloader" ili "loader", i kao i drugi malveri te vrste, i on ima tri glavne funkcije: da obezbedi sebi pokretanje posle pokretanja računara, da prikuplja telemetrijske podatke na inficiranim računarima i da u drugoj fazi infekcije preuzima i instalira malvere. Malver se širi preko spam emailova koje šalju Necurs botovi ili sa hakovanih web sajtova. Sigurno ste bar nekad videli vest da bot mreža Necurs širi ransomware Locky... 
nRansomware je novi malver koga je otkrio istraživač iz MalwareHunterTeama, koji je objavio snimak ekrana sa zahtevom ransomwarea koji od žrtava ne traži bitcoine, kako to obično čine malveri ove vrste, nego njihove privatne fotografije. Pored ovog zahteva, malver prikazuje i kratku poruku u kojoj se objašnjava kako žrtva može da pošalje svoje slike onima koji stoje iza ovog ransomwarea. "Vaš računar je zaključan. Možete ga otključati samo posebnim kodom za otključavanje", kaže se u poruci. Žrtva se upućuje da registruje email adresu na ProtonMailu, kriptovanom email servisu, i da pošalje... .png)
Nešto se promenilo u pristupu sajber kriminalaca kada su u pitanju ciljani sajber napadi - umesto da investiraju u 0-day exploite i razvijaju sopstvene kompleksne malvere, neke grupe sada koriste već gotove malvere kao što to čine "script kiddies". To je možda mudar pristup za hakere koje finansiraju države jer stvaraju zabunu kod istraživača koji u tom slučaju možda neće dovesti napade u vezu sa njima. Istraživači iz nekoliko kompanija, među kojima su i Arbor Networks i FireEye, otkrili su niz kampanja koje ciljaju kompanije koje posluju u različitim oblastima industrije, i u različitim zemljama, među... 
Nova verzija poznatog ransomwarea Locky koristi ekstenziju .lukitus za fajlove koje šifruje. Dakle, ako imate šifrovane fajlove sa ovom ekstenzijom, krivac je Locky a ne ransomware Lukitus. Ova verzija se trenutno širi preko spam emailova sa naslovom < No Subject > ili Emailing - CSI-034183_MB_S_7727518b6bab2, koji sadrže zip ili rar fajl sa JS fajlovima. Kada se ovi JS fajlovi pokrenu, oni preuzimaju izvršni fajl Lockyja sa njegovog sajta. Kada se taj fajl pokrene, Locky skenira računar i traži fajlove koje šifruje i čiji naziv menja a zatim mu dodaje ekstenziju .lukitus. Tako će fajl 1.png... 
Kompanija McAfee upozorila je na iznenadan porast detekcija malvera Faceliker koji može da preuzme kontrolu nad browserom i manipuliše Facebook "lajkovima". Faceliker nije novi malver, primećen je još pre par godina. Reč je o malveru koji preuzima kontrolu nad browserima korisnika i koristi JavaScript kod za click-jacking napade, obezbeđujući tako "lajkove" sadržaju koji dobija sa komandno-kontrolnog (C&C) servera. Malver se obično nalazi sakriven u dodacima za browsere, posebno u ekstenzijama za Chrome. Korisnici se namamljuju na stranice na kojima se reklamiraju ovakve ekstenzije, i to ili pomoću... 
Bankarskim trojancima Emotet i Trickbot dodata je podrška za komponentu koja im obezbeđuje "samoširenje", čime se uvećavaju njihove šanse da zaraze druge računare u istoj mreži. To je novina za bankarske trojance jer su oni ranije uglavnom nastojali da budu neprimećeni i da krišom prikupe lozinke a da žrtva na to ne bude upozorena. Bankarski trojanci ranije nisu imali ovakve module za samoširenje, ali posle uspeha ransomwarea WannaCry, a kasnije i NotPetya, sve je više malvera koji imaju komponentu koja im omogućava da se sami šire. Prvi je ovakav modul dobio trojanac Emotet. Ovaj trojanac ostavlja... 
Ransomware Cerber je ažuriran tako da nova verzija malvera prikuplja i krade podatke sa inficiranih računara, slično kao što rade takozvani infostealeri, malveri čija je glavna misija krađa podataka sa računara. Nova verzija ransomwarea Cerber, koju su otkrili istraživači iz kompanije Trend Micro, prikuplja lozinke iz browsera i krade fajlove koji su u vezi Bitcoin novčanika. Novi Cerber može da prikuplja lozinke sačuvane u browserima kao što su Internet Explorer, Google Chrome i Mozilla Firefox. Pored lozinki, Cerber traži i fajlove koji su povezani sa tri aplikacije Bitcoin novčanika. Malver traži i krade fajlove sa nazivima... 
Stručnjaci kompanije Proofpoint otkrili su novi malver koji se može kupiti za svega 7 dolara a koji ima potencijal da ga antivirusi ne primete. Malver Ovidiy Stealer se prodaje po ceni od 450 do 750 rubalja (od 7 do 13 dolara). Ono što se dobija za taj novac je arhiva koja sadrži izvršni fajl za koji stručnjaci Proofpointa koji su analizirali malver kažu da je šifrovan da bi se sprečila analiza i detekcija. Ipak, infekciju su detektovali neki antivirusi koji su ga označili sa generičkim opisom koji malo govori o tome kakva je namena malvera. Ovidiy Stealer se uglavnom širi pomoću emailova, u kojima se nalazi kao izvršni fajl... 
Dve malvera, NemucodAES i Kovter, zapakovana zajedno u .zip fajl, isporučuju se putem spam emailova. Zajedno, ova dva malvera mogu napraviti poprilične probleme žrtvama. Bred Dankan, upravnik Internet Storm Center SANS Instituta, kaže da je poslednjih nedelja primetan porast malicioznih spam emailova koji sadrže .zip atačmente saa JavaScript fajlovima koji preuzimaju i instaliraju ransomware NemucodAES i malver Kovter, koji je poznat po prevarama sa klikovima. Za NemucodAES postoji dekriptor skoro od otkrića ovog malvera. Kovter je, sa druge strane, poznat kao malver koga je teško detektovati... 
Stručnjaci iz kompanije Trend Micro upozorili su na emailove koji isporučuju bankarske trojance i za Mac OS i za Windows. Oni veruju da iza ovih emailova stoje oni koji stoje i iza operacije Emmental, koja najmanje četiri godine ugrožava korisnike banaka pre svega u Švajcarskoj, a povremeno i u nekoliko drugih "bogatih" zemalja kao što su Švedska, Velika Britanija i Japan. Novi malver je nazvan Dok. Dok pokušava da inficira Apple uređaje preko fišing emailova koji su osmišljeni tako da izgledaju kao poruka izvesnog policijskog inspektora iz Ciriha koji neuspešno pokušava da kontaktira primaoca. 
Zlatno doba trojanaca i virusa je davno prošlo vreme. Zlonamerni programi koje su pravili istraživači entuzijasti i oni za koje je to bila zabava su prošlost. Oni su zamenjeni programima koji se prave sa jednim jedinim ciljem - da zarade novac. Ako ostavimo po strani ciljane napade koji su delo profesionalaca i koji imaju vrlo specifične ciljeve, najčešće vrste malvera o kojima danas slušamo jesu kripto-malveri i DDoS bot mreže sastavljene od IoT uređaja. Obe vrste pretnji su veoma profitabilne za sajber kriminalce i relativno se lako primenjuju. Ali one nisu jedine pretnje koje mogu da donesu zaradu sajber kriminalcima. 
Ransomware Locky se vratio i sada se širi preko spam emailova koje u velikom broju šalje bot mreža Necurs, ali kampanja po svemu sudeći neće biti mnogo uspešna jer ransomware ne može da šifruje fajlove na novijim verzijama Windowsa, već samo na računarima sa Windows XP i Vista. Iako je povratak Lockyja iznenađenje, sa druge strane, to je veoma logično. Ima indicija da ista grupa koja stoji iza bot mreže Necurs stoji i iza ransomwarea Locky, ali i novijeg ransomwarea Jaff, koga mnogi smatraju Lockyjevim naslednikom. Kako je Necurs polako prelazio na Jaff ransomware, grupa koja stoji iza ova... 
Krivac za napad koji je u utorak paralisao sisteme velikih kompanija i državnih institucija pre svega u Evropi, ali i u ostatku sveta, možda nije ransomware Petya, kako se u početku mislilo, niti verzija malvera PetrWrap. Malver definitivno liči na Petya ransomware. On koristi nešto od koda Petya ransomwarea, ali ima sebi svojstvene karakteristiike zbog čega je nazvan NotPetya (Petna, SortaPetya). Prema rečima istraživača iz kompanije Kaspersky Lab, malver čeka 10 do 60 minuta posle infekcije da bi tek onda restartovao sistem, a kada to uradi, počinje enkripciju MFT tabele... 
Dva malvera za Mac, MacRansom i MacSpy, koji su delo jednog čoveka, prodaju se odvojeno na dva Malware-as-a-Service (MaaS) portala Dark Weba. Oba portala pokrenuta su 25. maja. Prvi je nazvan MacSpy i na njemu se rentira istoimeni spyware za Mac, a drugi portal je MacRansom, i na njemu se nudi klasičan Ransomware-as-a-Service. Web sajtovi ne samo da su delo iste osobe, već su skoro identični. Oba sajta su zatvorenog tipa - potencijalni kupci moraju da kontaktiraju autora malvera preko Protonmail adrese, kako bi se dogovorili o uslovima, objasnili kakve su njihove potrebe i ako se dogovore... 
Windows računari u Evropi su ovog trenutka napadnuti ransomwareom koji je izgleda sličan ransomwareu WannaCry. Stotine kompanija i organizacija su pogođene ovim novim talasom napada. Iako se o tome spekulisalo, izgleda da nije u pitanju nova verzija ransomwarea WannaCry, već da je reč o novoj verziji ransomwarea Petya. Windows računari u Evropi najteže su pogođeni ovim novim talasom napada, a to posebno važi za Ukrajinu u kojoj su državne institucije, centralna banka, kompanija Ukrenego koja snabdeva Ukrajinu električnom energijom, državna kompanija koja proizvodi avione, državni telekom... 
Istraživači iz kompanije Check Point upozorili su da je malver Fireball do sada inficirao više od 250 miliona računara širom sveta. Fireball preuzima kontrolu nad računarima preko web browsera, pretvarajući ih u zombije. Fireball ima dve glavne funkcionalnosti: jedna je mogućnost pokretanja bilo kakvog koda na računarima žrtava i preuzimanje bilo kog fajla ili malvera, a druga je preotimanje i manipulisanje web saobraćajem korisnika inficiranog računara da bi se zaradilo od reklama. Fireball instalira pluginove i dodatne konfiguracije zbog reklama, ali on lako može biti pretvoren u distributera nekih drugih malvera. 
Bezbednosni istraživač Derek Najt upozorio je prošle nedelje na novu spam email kampanju koja je u funkciji širenja nove verzije ransomwarea Jaff. Spam emailovi su predstavljeni kao emailovi sa lokalne mašine za kopiranje. Ovi emailovi, u kojima se krije malver, naslovljeni su sa Message from KM_224e, a ZIP fajl u prilogu nosi naziv SKM_C224e54955163156.zip ili sličan tome. U ZIP fajlu se nalazi izvršni fajl. Kada se pokrene, izvršni fajl šifruje fajlove na inficiranom računaru i dodaje im ekstenziju .sVn. To znači da će fajl nazvan "test.jpg" posle enkripcije nositi naziv "test.jpg.sVn". 
Istraživači iz kompanije Forcepoint Security Lab upozorili su na masovnu spam kampanju bot mreže Necurs koja u proseku šalje 5 miliona emailova po satu, pomoću kojih se širi novi ransomware nazvan "Jaff". Jaff je po mnogo čemu veoma sličan čuvenom ransomware Locky. Međutim, da bi dešifrovao fajlove na inficiranim računarima Jaff traži mnogo više nego Locky - čak 1,79 bitcoina, čija je trenutna vrednost oko 3150 dolara. Malver Necurs trenutno kontroliše više od 6 miliona inficiranih računara širom sveta koji od četvrtka šalju emailove milionima korisnika sa PDF dokumentom u prilogu. Ako se klikne na njega... 
U nedelju je otkrivena druga verzija ransomwarea WannaCry sa drugačijim domenom za isključivanje ransomwarea, koji je brzo registrovan čime je izbegnuta veća šteta. Prva verzija ransomwarea WannaCry, koji je poznat i po nazivima WannaCrypt, WCry, Wanna Decrypt0r i WannaCrypt0r, pojavila se u petak poslepodne i pomoću modifikovanog exploita ETERNALBLUE koji je ukraden od NSA, raširila se kao požar inficirajući ranjive računare širom sveta. Za samo par sati inficirane su desetine hiljada računara. WannaCry ima dve komponente - jedna je sam ransomware, a druga SMB crv koji širi ransomware... 
Ransomware Cerber se vratio sa novom verzijom koja se pojavila prošlog meseca. Cerber je već godinama pretnja za korisnike interneta. Cerber je zaslužan za 87% svih napada ransomwarea u prva tri meseca ove godine, zbog čega zauzima čelnu poziciju na listi najraširenijih ransomwarea. Krajem prošlog meseca, bezbednosni istraživači iz kompanije Trend Micro primetili su šestu verziju ovog ransomwarea koji zarađuje milione dolara za sajver kriminace koji ga distribuiraju ali i za programere koji razvijaju malver. Nova verzija malvera donosi nove distributivne vektore, izmenjenu enkripciju, i anti-sandbox i anti-AV... 
Novi Ransomware-as-a-Service nazvan FrozrLock koji se reklamira kao "odličan sigurnosni alat koji šifruje sve vaše fajlove", prodaje se na Dark Webu za samo 220 dolara. FrozrLock je prvi primetio bezbednosni istraživač Dejvid Montenegro. Ransomware je zatim povezan sa infekcijama koje su prvi put primećene 16. aprila. Prve infekcije su detektovane u Rusiji. Ransomware se širi pomoću JS downloadera nazvanog Contract_432732593256.js. Zainteresovani kupci moraju se registrovati na sajtu. Kada registruje nalog, kupac dobija pristup interfejsu ransomware buildera. 
Mnogi veruju da nemaju razloga da brinu o malverima ako koriste Mac, ali nažalost, to nije istina. Podaci kompanije McAfee pokazuju da je u 2016. broj napada malvera na Appleove računare porastao za 744%, a istraživači ove kompanije otkrili su skoro 460000 uzoraka malvera za Mac, što je samo mali deo ekosistema malvera za Mac. Da to nisu samo statistički podaci, dokaz je i novi malver za Mac koga su otkrili istraživači kompanije Check Point, a koji prema njihovim rečima utiče na sve verzije Mac OS X. Nijedan virus VirusTotala ne detektuje ovaj malver, a malver je potpisan validnim programerskim sertifikatom... 
Sve veća bot mreža Hajime počinje da brine stručnjake, s obzirom da se procenjuje da u ovom trenutku ona ima oko 300000 inficiranih uređaja. Iako Hajime bot mreža nikada nije korišćena za zlonamerne aktivnosti, kao što su DDoS napadi, stručnjaci strahuju da bi neko sa lošim namerama mogao preuzeti bot mrežu od originalnog autora. Bot mrežu Hajime prvi put su prošle jeseni primetili istraživači iz firme Rapidity Networks. Oni su novootkriveni IoT (Internet of Things) malver nazvali Hajime, što na japanskom znači "početak", jer je malver pokušavao da kompromituje iste uređaje koje je inficirao Mirai... 
Ransomware godinama ugrožava korisnike interneta, a poslednjih godina ova vrsta malvera postao je omča oko vrata svih, od kompanija, bolnica, banaka do običnih korisnika širom sveta od kojih kriminalci izvlače milione dolara. Sofisticirani bankarski trojanci čiji razvoj zahteva mnogo vremena, truda i znanja, i dalje se koriste za krađu novca od banaka i njihovih korisnika. Ipak, trenutno najlakši način za zaradu kome sajber kriminalci rado pribegavaju je ransomware. Situacija sa ransomwareima se dodatno zakomplikovala pojavom servisa - Ransomware as a Service (RaaS), koji omogućava i onima koji nemaju ili imaju... 
Ransomware Locky se vratio, opasniji nego ikad pre. Posle zatišja početkom godine, Locky ponovo napada, dolazeći do svojih žrtava preko spam emailova koji sadrže maliciozne dokumente. Spam emailovi su različito naslovljeni - "Receipt 435," "Payment Receipt 2724," "Payment-2677" i slično, samo se brojevi menjaju. Emailovi sadrže PDF fajlove sa nazivima kao što je P72732.pdf, koji ne govore mnogo o tome šta je sadržaj dokumenta. Očigledno da spameri računaju na radoznalost korisnika. Kada žrtva otvori PDF, od nje se traži da otvori umetnuti Word dokument. To bi trebalo da izazove sumnju kod korisnika. 
Bot mreža sastavljena od 20000 botova pokušava da kompromituje što više WordPress sajtova šireći backdoor downloader trojanca nazvanog Sathurbot, upozorili su stručnjaci kompanije ESET. Sathurbot može da se ažurira i da preuzima i pokreće druge malvere, kao što su Boaxxe, Kovter i Fleercivet, ali to nije konačan spisak. Sathurbot je i web crawler, koji traži WordPress sajtove. On isprobava različite lozinke na svakom sajtu, u nadi da će neka od njih biti prava i da će tako biti moguć pristup sajtu. Različiti botovi u bot mreži Sathurbot isprobavaju različite lozinke za isti sajt. Svaki bot pokušava... 
Istraživač Bred Dankan tvrdi da je otkrio novi ransomware nazvan Mole dok je analizirao novu spam kampanju. Međutim, moguće je da nije reč o sasvim novom malveru, već da je Mole još jedan ransomware iz familije CryptoMix i da ima mnogo sličnosti sa ransomwareima Revenge i CryptoShield. Mole se trenutno širi preko spam emailova koji se predstavljaju kao obaveštenja. U emailovima se tvrdi da paket nije mogao biti isporučen, a zatim se prikazuje link za sajt gde je moguće naći dodatne informacije. Kada korisnik klikne na link, biće preusmeren na lažni sajt Microsoft Word Online na kome se prikazuje dokument... 
Od kada se pojavio početkom marta prošle godine, ransomware Cerber ne samo da je šifrovao fajlove, već je šifrovao i nazive fajlova. To je otežavalo posao žrtvama, korisnicima i administratorima, da otkriju koji su fajlovi šifrovani i da ih vrate iz rezervnih kopija. U međuvremenu se pojavilo mnogo verzija Cerbera, ali je jedno ostalo isto kod svih do sada. Sada je otkrivena nova verzija ransomwarea koja ne menja nazive fajlova već im samo dodaje ekstenziju, koja se generiše za svaki inficirani uređaj posebno. Svi šifrovani fajlovi na jednom inficiranom računaru imaju istu ekstenziju, ali se ekstenzija... 
Bezbednosni istraživači iz kompanije Trend Micro otkrili su novu verziju ransomwarea Cerber koja je je podeljenja na tri posebne komponente koje same za sebe izgledaju bezopasno te su u stanju da prevare sisteme za detekciju koji se oslanjaju na mašinsko učenje. Svaka nova verzija malvera donosi nešto novo, novi metod za izbegavanje detekcije, nove mogućnosti itd. Da im namere nisu loše, inventivnost onih koji stvaraju malvere možda bi bila vredna pohvale. Ali to nije slučaj sa ransomwareom Cerber koji je poznat po tome da može da prouzrokuje popriličnu štetu. "Promene Cerbera su zaista zanimljive jer su... 
Malver je nazvan Proton a reč je o alatu za daljinsko upravljanje koji se trenutno prodaje na ruskim internet forumima. Početna cena za Proton je bila 100 bitcoina, što je prema trenutnoj vrednosti bitcoina više od 100000 dolara, ali sada se malver nudi po znatno manjoj ceni od oko 40 bitcoina koliko treba izdvojiti za neograničeni broj infekcija. Ako neko želi da instalira ovaj alat na samo jednom Mac uređaju, treba da plati 2 bitcoina. Malver omogućava napadačima potpunu kontrolu nad napadnutim uređajima - beleženje kucanja na tastaturi, nadzor nad web kamerom, slanje i preuzimanje fajlova i drugo. 
Malver koji briše hard diskove Shamoon pretrpeo je značajne promene prethodnih meseci, a sada je dobio i novi modul - ransomware, kao i podršku za 32-bitne i 64-bitne arhitekture. Shamoon koji je poznat i pod nazivom Disttrack, prvi put primećen 2012. godine, danas je jedan od najozloglašenijih, ali i jedan od najređih malvera. Shamoon se "proslavio" 2012. posle incidenta za koji su odgovorni hakeri koji su delovali pod pokroviteljstvom i u ime neke države, tokom koga su obrisani podaci sa više od 35000 kompjutera saudijske naftne kompanije Aramco. Malver je korišćen i za napade na manje ciljeve... 
Istraživači iz kompanije ESET upozorili su korisnike Mac OS na novi ransomware nazvan "Patcher" koji se širi preko BitTorrent sajtova. Oni su upozorili korisnike na patchere koji umesto obećanog fajla sadrže malver. Kada korisnici pokušaju da preuzmu patchere sa torrent sajtova, videće da se radi o ZIP fajlu koji sadrži paket programa. Ransomware je pronađen u fajlovima koji terba da poprave Adobe Premiere Pro i Microsoft Office za Mac, ali verovatno je da ih je i više. Program je loše kodiran, kažu istraživači ESET-a, na šta ukazuje transparentna pozadina programa, kao i to što kada se zatvori... 
Pre nego što prikaže obaveštenje o otkupnini novi ransomware koji je nazvan TrumpLocker prikazuje sliku novog američkog predsednika Donalda Trampa. Ipak, istraživači koji su analizirali ovaj ransomware smatraju da nije reč o potpuno novom malicioznom kodu, već da je TrumpLocker povezan sa ransomwareom VenusLocker koji je otkriven 4. avgusta prošle godine, i koji je 23. decembra ažuriran poslednji put. Iako je doveden u vezu sa VenusLockerom, ne može se sa sigurnošću reći da li novi ransomware distribuira ista grupa koja je širila i VenusLocker. Moguće je da je neko reverznim inženjeringom napravio... 