Tag Archives: malware

Regin: Ferramenta sofisticada de espionagem permite vigilância discreta

A ferramenta avançada de espionagem exibe um grau de competência técnica raramente visto e foi usada em operações contra governos, operadores de infraestrutura, empresas, pesquisadores e indivíduos.

Twitter Card Style: 

summary

Code_tunnel_concept.png

 

Um malware avançado conhecido como Regin foi utilizado em campanhas sistemáticas de espionagem contra uma variedade de alvos internacionais desde, pelo menos, 2008. Considerado um Cavalo de Tróia do tipo Backdoor, o Regin é um malware complexo, cuja estrutura exibe um grau de competência técnica raramente encontrado. Customizável através de uma ampla gama de capacidades, dependendo do alvo, ele oferece aos controladores um framework poderoso para vigilância em massa, e foi utilizado em operações de espionagem contra organizações governamentais, operadores de infraestrutura, empresas, pesquisadores e indivíduos.

É provável que seu desenvolvimento tenha consumido meses, ou até mesmo anos, até ser concluído, e seus autores se empenharam em apagar seus rastros. Suas capacidades e o nível dos recursos por trás do Regin indicam que ela é uma das principais ferramentas de ciberespionagem utilizadas por um Estado-nação.

Conforme destacado em um novo relatório técnico da Symantec, o Backdoor.Regin é uma ameaça de múltiplos estágios, e cada um deles está escondido e criptografado, com exceção do primeiro. A execução do primeiro nível inicia uma cadeia em dominó de decodificação e carregamento de cada estágio subsequente, em um total de cinco. E assim eles fornecem poucas informações sobre o pacote completo. Somente ao obter todos os cinco estágios é possível analisar e entender a ameaça.

fig1-architecture.png

Figura 1. Os cinco estágios do Regin

O Regin também utiliza uma abordagem modular, permitindo que carregue recursos customizados sob medida para o alvo. Esta abordagem modular foi vista em outros grupos sofisticados de malware, como Flamer e Weevil (The Mask), enquanto a arquitetura de carregamento em múltiplos estágios é semelhante à vista na família de ameaças Duqu/Stuxnet

Linha do tempo e perfil do alvo

Infecções por Regin foram observadas em uma variedade de organizações entre 2008 e 2011, quando ele foi repentinamente recolhido. Uma nova versão do malware reapareceu em 2013. Entre os alvos estão empresas privadas, órgãos governamentais e institutos de pesquisa. E quase metade de todas as infecções foi dirigida a indivíduos e pequenas empresas. Ataques contra empresas de telecomunicações parecem projetados para obter acesso a ligações direcionadas ao longo de sua infraestrutura.

fig2-sectors.png

Figura 2. Infecções confirmadas por Regin por setor

As infecções também foram geograficamente variadas, tendo sido identificadas principalmente em dez países diferentes

fig3-countries.png

Figura 3. Infecções confirmadas por Regin por país

Vetor de infecção e payloads

O vetor de infecção varia e nenhum vetor reprodutível foi encontrado até o momento. A Symantec acredita que alguns alvos podem ser enganados e levados a visitar versões falsas de sites conhecidos, além de a ameaça poder ser instalada através de um navegador ou pela exploração de uma aplicação. Em um computador, os arquivos de registro mostraram que o Regin foi originado no Yahoo! Instant Messenger através de uma exploração não-confirmada.

A ameaça utiliza uma abordagem modular, dando flexibilidade aos operadores, que podem carregar recursos customizados sob medida para alvos individuais, conforme necessário. Alguns payloads customizados são muito avançados e apresentam um alto grau de conhecimento em setores especializados, indicação maior do nível de recursos disponíveis aos autores do Regin.

Há dezenas de payloads do Regin. As capacidades padrão da ameaça incluem diversos recursos de Trojan de Acesso Remoto (RAT), como captura de imagens de tela, tomada de controle das funções de apontar e clicar do mouse, roubo de senhas, monitoramento do tráfego da rede e recuperação de arquivos apagados.

Módulos de payload mais específicos e avançados também foram descobertos, como um monitor de tráfego do servidor de web Microsoft IIS e um sniffer de tráfego da administração de controladores de estações base de telefonia móvel.

Furtivo
Os desenvolvedores do Regin empenharam esforços consideráveis para torná-lo extremamente discreto. Sua natureza discreta significa que pode potencialmente ser empregado em campanhas de espionagem com diversos anos de duração. Mesmo quando sua presença é detectada, é muito difícil determinar o que estava fazendo. A Symantec só foi capaz de analisar os payloads depois de decodificar arquivos de amostra.

Ele tem vários recursos “furtivos”. Entre eles, capacidades anti-forenses, um sistema de arquivo virtual criptografado sob medida (EVFS), e criptografia alternativa na forma de uma variação do RC5, que não é comumente usada. A ameaça usa diversas formas sofisticadas para se comunicar secretamente com o atacante, inclusive através de ICMP/ping, integrando comandos em cookies HTTP, e protocolos TCP e UDP customizados.

Conclusões
O Regin é uma ameaça extremamente complexa que foi utilizada em campanhas de coleta sistemática de dados e de inteligência. O desenvolvimento e a operação deste malware devem ter exigido investimentos significativos de tempo e recursos, indicando que um Estado-nação seja o responsável pelo malware. Seu design o torna perfeito para operações de vigilância persistentes, de longo prazo, contra os alvos.

A descoberta do Regin destaca como investimentos significativos continuam sendo feitos para o desenvolvimento de ferramentas para uso na coleta de inteligência. A Symantec acredita que muitos componentes da ameaça continuam desconhecidos e devem existir funcionalidades e versões adicionais. As análises adicionais continuam e a Symantec publicará quaisquer atualizações sobre futuras descobertas.

Leitura adicional

Indicadores de comprometimento para administradores de segurança e informações técnicas mais detalhadas podem ser encontrados em nosso relatório técnico – Regin: Top-tier espionage tool enables stealthy surveillance

Informações de proteção

Produtos Symantec e Norton detectam esta ameaça como Backdoor.Regin.

??: ??? ?? ??? ?? ??? ?? ?

      No Comments on ??: ??? ?? ??? ?? ??? ?? ?
지능적인 스파이 툴인 레긴은 매우 높은 수준의 전문 기술을 갖추고 정부, 기간 산업 기관, 기업, 연구 기관, 개인 사용자를 겨냥한 각종 스파이 작전에 사용되고 있습니다.

Twitter Card Style: 

summary

Code_tunnel_concept.png

 

지능적인 악성 코드 중 하나인 레긴(Regin)은 적어도 2008년부터 전 세계의 다양한 표적을 대상으로 한 조직적인 스파이 작전에 활용되어 왔습니다. 백도어 유형의 트로이 목마인 레긴은 매우 높은 수준의 기술 전문성을 갖춘 복잡한 악성 코드입니다. 레긴은 광범위한 기능을 활용하여 표적에 따라 맞춤 구현할 수 있으며, 관련 제어 권한을 가진 사용자에게 대규모 정탐을 가능케 하는 강력한 프레임워크를 제공하므로 정부 기관, 기간산업 기관, 기업, 연구 기관, 개인 사용자를 대상으로 한 스파이 작전에 이용되어 왔습니다.

레긴을 개발하는 데 수개월에서 많게는 수년이 소요되었을 것으로 보이며 개발자들이 관련 행적을 감추기 위해 많은 노력을 기울였을 것으로 추측됩니다. 레긴의 기능과 그를 뒷받침하는 리소스의 수준으로 미루어볼 때 이 악성 코드는 일부 국가 정부에서 사용되는 주요 사이버 첩보 수단 중 하나로 보입니다.

시만텍이 새로 발표한 기술 백서에서 소개하는 것처럼 Backdoor.Regin은 다단계 보안 위협으로, 첫 단계를 제외한 모든 단계가 암호화되고 숨겨져 있습니다. 첫 단계를 실행하면 후속 단계가 차례로 해독되고 로드되어 총 5단계가 수행되는데, 개별 단계만으로는 전체 패키지를 파악하는 것이 거의 불가능합니다. 이 보안 위협을 분석하고 이해하려면 다섯 단계 전체를 획득해야 합니다.

Page 2.png
그림 1. 레긴의 5단계

또한 레긴은 모듈 방식을 사용하므로 공격 표적에 따라 맞춤 기능을 로드하는 것이 가능합니다. 이러한 모듈 방식은 Flamer, Weevil(The Mask)과 같은 다른 정교한 악성 코드 그룹에서도 확인된 바 있으며, 다단계 로딩 아키텍처는 Duqu/Stuxnet 보안 위협 계열과 유사합니다.

추이 공격 대상
레긴 감염 사례는 2008년에서 2011년 사이에 다양한 조직에서 발견되었다가 갑작스럽게 사라졌습니다. 2013년부터는 이 악성 코드의 새로운 버전이 활동하기 시작했는데, 민간 기업을 비롯하여 정부 기관, 연구 기관 등이 공격 표적에 포함되었습니다. 절반에 가까운 감염 사례가 개인 사용자와 소기업에서 발견되었습니다. 통신 회사에 대한 공격은 해당 인프라스트럭처를 통해 통화 라우팅에 접근하는 데 주안점을 두고 설계된 것으로 보입니다.

Page 3-1.png
그림 2. 확인된 레긴 감염 사례(부문별)

한편 감염 사례는 다양한 지역에서 나타나고 있는데, 특히 10개국에서 그 활동이 두드러졌습니다.

Page 3-2.png

그림 3. 확인된 레긴 감염 사례(국가별)

감염 벡터 페이로드
레긴의 감염 벡터는 표적에 따라 달라지며, 현재로서는 재현 가능한 벡터가 발견되지 않았습니다. 시만텍은 일부 피해자들이 유명 웹 사이트를 사칭한 스푸핑 버전에 방문하도록 유인되었을 것으로 보고 있습니다. 이 경우 보안 위협이 웹 브라우저 또는 애플리케이션 익스플로잇을 통해 설치될 가능성이 있습니다. 실제로 일부 시스템의 로그 파일을 보면 Yahoo! Instant Messenger의 미확인 익스플로잇을 통해 레긴이 유입된 것을 알 수 있습니다.

레긴은 모듈 방식을 사용하므로 공격자가 필요에 따라 표적에 적합한 맞춤형 기능을 추가할 수 있는 유연성을 제공합니다. 일부 맞춤형 페이로드는 매우 정교하고 특정 분야에 대한 고도의 전문성을 보여주는데, 이 역시 레긴 개발 조직이 보유한 리소스의 수준을 가늠케 합니다.

레긴 페이로드는 수십 가지에 달합니다. 이 보안 위협은 다양한 RAT(Remote Access Trojan) 기능을 표준으로 제공하며, 여기에는 스크린샷 캡처, 마우스의 포인트 앤 클릭 기능 제어, 암호 도용, 네트워크 트래픽 감시, 삭제 파일 복구 등이 포함됩니다.

그 외에 Microsoft IIS 웹 서버 트래픽 모니터, 휴대폰 기지국 제어 장치 관리에 대한 트래픽 감시 프로그램 등 보다 정교하고 특화된 형태의 페이로드 모듈도 발견되었습니다.

은닉 기능
레긴 개발자들은 이 악성 코드가 이목을 끌지 않도록 하는 데 각별한 노력을 기울였습니다. 이러한 은닉성은 수년에 걸친 첩보 작전에 이용될 가능성을 시사합니다. 심지어 악성 코드의 존재가 드러나는 경우라도 구체적으로 어떤 활동을 수행하는지 파악하기가 매우 어렵습니다. 시만텍은 샘플 파일을 해독한 후에야 페이로드를 분석할 수 있었습니다.

레긴은 다양한 “은닉” 기능을 갖추고 있습니다. 그중에는 분석 차단(anti-forensics) 기능, 맞춤형 암호화 가상 파일 시스템(EVFS), 일반적으로 사용되진 않지만 RC5 변종의 형태를 띤 대체 암호화 기능이 포함되어 있습니다. 레긴은 ICMP/ping, HTTP 쿠키에 포함된 명령, 맞춤형 TCP 및 UDP 프로토콜 등 여러 정교한 수단을 통해 공격자와 은밀하게 소통합니다.

결론
레긴은 매우 복잡한 보안 위협으로 조직적인 데이터 수집 또는 첩보 작전에 이용되어 왔습니다. 공격자가 이 악성 코드를 개발하고 운영하는 데 상당한 시간과 재원을 투자했을 것으로 보이며, 이는 배후에 국가 정부가 개입되어 있을 가능성을 시사합니다. 이 악성 코드는 표적을 지속적이고 장기적으로 정탐하는 데 최적화되어 있습니다.

레긴의 발견은 첩보 활동을 위한 툴 개발에 지속적으로 얼마나 많은 투자가 이루어지는지 보여줍니다. 시만텍은 레긴의 구성 요소 중 상당수가 아직 밝혀지지 않았으며 또 다른 기능과 버전도 존재할 가능성이 있다고 판단합니다. 시만텍은 추가적인 분석을 통해 새롭게 밝혀지는 정보를 업데이트할 계획입니다.

추가 자료
보안 관리자가 주목해야 할 감염 지표를 비롯하여 보다 자세하고 기술적인 정보는 시만텍 기술 백서, 레긴: 은밀한 감시 기능을 갖춘 최첨단 첩보 툴을 참조하십시오.

시만텍의 보호
시만텍 및 노턴 제품은 이 보안 위협을 Backdoor.Regin으로 탐지합니다.

Regin??????????????????

      No Comments on Regin??????????????????
Regin 是一款先進的窺伺工具,本身具有極為罕見的技術專業能力,並且已經運用於窺伺政府機關、基礎設施營運商、各級企業、研究機構乃至於平民個人。

Twitter Card Style: 

summary

Code_tunnel_concept.png

 

這款先進的惡意軟體,名稱為 Regin;至少自 2008 年起就已經開始用運用在有系統的窺伺活動中,針對許多跨國目標進行窺伺。Regin 屬於後門類型的木馬程式,是一款複雜的惡意軟體,其結構呈現出罕見的技術專業能力。這款惡意軟體藉由依目標而定的眾多功能實現自訂目標,能夠使其操控者得以運用功能強大的架構進行大規模監視,並且已經運用在以政府機關、基礎設施營運商、各級企業、研究機構乃至於平民個人為對象的窺伺行動當中。

這款惡意軟體的開發時間,就算不是耗時數年,也是耗費數個月才完成的;而且作者也花費許多心思隱匿其蹤跡。Regin 的功能及其背後所投注的資源層級,在在顯示,這是一款國家級的重大網路刺探工具。

正如賽門鐵克在新發行的技術白皮書中所言Backdoor.Regin 是一項分段式威脅,而且除第一階段外,各個階段都經過隱藏並以加密處理。執行第一階段會啟動一連串的解密作業,並載入所有後續階段,一共五個階段。而各別階段皆提供少量有關完整套件的資訊。只有集合全部五個階段,才能分析並瞭解這項威脅。

fig1-architecture.png

1.Regin 的五個階段

Regin 也採用模組化方式,載入專為特定目標而設計的自訂功能。這種模組化方式也已經在其他系列的精密惡意軟體系列中發現,例如 Flamer 與 Weevil (即「面具」),而分段式載入架構,也類似於 Duqu/Stuxnet 系列威脅所呈現的情況。  

時間進程與目標相關資料
在 2008 年至 2011 年之間,我們觀察到 Regin 感染各種組織機構,而在此之後,它卻突然隱匿。而此惡意軟體的新版本,則是自 2013 年起重新出現。攻擊目標包含民營公司、政府機關以及研究機構。將近半數的感染,都是以平民個人與小型企業做為目標。針對電信公司的攻擊,顯然意在取得透過其基礎設施傳送的通話內容。

fig2-sectors.png

2.經各部門所確認的 Regin 感染事件

感染事件發生在各個不同的地區,已經獲悉的感染,主要發生於十個不同的國家地區。

fig3-countries.png

2.經各部門所確認的 Regin 感染事件

感染事件發生在各個不同的地區,已經獲悉的感染,主要發生於十個不同的國家地區。

POS malware: Potent threat remains for retailers

The retail industry continues to be a low-hanging fruit for attackers and attacks are likely to continue until the full transition to more secure payment technologies.

Twitter Card Style: 

summary

As Americans gear up for another holiday shopping season, the threat posed by point-of-sale malware remains high. More than a year after the discovery of the first major attacks against POS networks, many US retailers are still vulnerable to this type of attack and are likely to remain so until the complete transition to more secure payment card technologies in 2015. 

While some retailers have enhanced security by implementing encryption on their POS terminals, others have not and retailers will continue to be a low-hanging fruit for some time. While the introduction of new technologies will help stem the flow of attacks, it will not eliminate fraud completely and attackers have a track record of adapting their methods. 

Point-of-sale malware is now one of the biggest sources of stolen payment cards for cybercriminals. Although it hit the headlines over the past year, the POS malware threat has been slowly germinating since 2005 and the retail industry missed several warning signals in the intervening period. This allowed attackers to hone their methods and paved the way for the mega-breaches of 2013 and 2014, which compromised approximately 100 million payment cards and potentially affected up to one-in-three people in the US.

Attacks have reached epidemic proportions in part because POS malware kits are now widely available, which means attackers can target retailers without having to develop their tools from scratch. For example, BlackPOS (detected by Symantec as Infostealer.Reedum), which was used in the some of the most high profile attacks, has been for sale since February 2013 with a price tag of US$2,000. This is a relatively small investment for attackers, who are likely to net millions from a successful operation. 

pos-barchart-662x518.png
Figure 1. Point-of-sale attacks exploded once malware kits became widely available on the cyberunderground

Hopelessly exposed
Attacks on point-of-sale terminals had their genesis as far back as 2005, when attackers began using networking-sniffing malware to intercept payment card data while in transit. A group of attackers led by Albert Gonzalez were the main perpetrators, stealing more than 90 million card records from retailers. 

As payments processors and retailers tightened up their security, the attackers adapted and attention turned to the point-of-sale terminal. When a card is swiped, its details are briefly stored in the terminal’s memory while being transmitted to the payment processor. This provides a brief window for malware on the terminal to copy the card data, which it then transmits back to the attackers. The technique is known as “memory scraping”. 

POS malware was first discovered October 2008, when Visa issued an alert on a new type of exploit. During a fraud investigation, it found that attackers had been installing debugging software on POS systems that was capable of extracting full magnetic stripe data from its memory. Little heed appears to have been taken of this warning, giving malware developers time to perfect their methods. In the intervening period, developers have worked to streamline the malware, integrating all functionality into a single piece of software. 

This development process eventually led to fully featured POS malware kits emerging on underground markets from 2012 onwards. US retailers were hopelessly exposed and what followed was a flood of high profile breaches, with several major US retailers hit by POS malware attacks. 

Spotlight: BlackPOS
One of the most widely used forms of POS malware is BlackPOS which is also known as KAPTOXA, Memory Monitor, Dump Memory Grabber, and Reedum. Variants of BlackPOS have been used to mount some of the biggest retail POS breaches. 

Its development mirrors the evolution of the broader POS malware market. The earliest versions of BlackPOS date from 2010. Over time, it has evolved into a highly capable cybercrime tool which employs encryption to cover its tracks and can be customized to suit the target environment. 

By February 2013, BlackPOS was ready for the mass market and the group behind one of its variants began selling it on underground forums, charging customers $2,000 for the package. 

Thriving marketplace
While the malware used to mount POS attacks is usually sold on underground forums, these forums are also often where the bounty of those attacks returns to be sold. For example, stolen credit card details from some of the biggest US breaches were sold on a forum known as Rescator. 

New research from Symantec found that prices can vary heavily depending on a number of factors, such as the type of card and its level, i.e. gold, platinum or business. Card data originating from the US tends to be cheaper because of the widespread availability stolen US cards. Card details along with extra information, known as “Fullz”, tend to attract higher prices because details such as someone’s date of birth or credit card security password make it easier to perform fraudulent transactions or other activities. 

Single credit cards from the US tend to cost $1.50 to $5, with discounts often available for those who buy in bulk. Single cards from the EU tend to cost more, selling for $5 to $8. Fullz start at $5 and can range up to $20. A single embossed plastic card with custom number and name meanwhile will sell for approximately $70. The stolen cards uploaded to Rescator were initially selling at a cost of $45 to $130 per card before prices later settled down.

Will new technologies render POS malware obsolete? 
New payment card technologies, many of which are already in use in Europe, have been promoted as effective countermeasures for POS malware but are not a silver bullet. Their arrival is likely to herald the end of the large-scale POS breaches seen in recent years, but they will not eradicate theft of credit card data completely.  

The adoption of EMV, chip-and-pin cards to replace traditional magnetic stripe cards ought to render the current generation of memory-scraping POS malware ineffective. However, chip-and-pin cards are still susceptible to skimming attacks and stolen credit card numbers can still be used in “card-not-present” transactions, such as online purchases. 

Additionally, stolen credit card information in Europe is often used in the US since it doesn’t have chip and pin as a verification method. Going by this precedent, the advent of chip and pin in the US may mean attackers will continue to attempt to steal card information but use it in other countries that don’t use the chip-and-pin standard. 

The chip-and-pin standard itself may be superseded at some point by the adoption of NFC mobile payment solutions such as Apple Pay, Google Wallet or CurrentC. With these payment technologies, the credit card number isn’t transmitted during the transaction. NFC is still susceptible to exploitation by attackers, but most attacks require physical proximity, making large-scale thefts almost impossible.

Advice for consumers
Some retailers are rolling out encryption on their point-of-sale networks to prevent memory scanning, which is encouraging. However, attackers have a tendency to adapt and evolve, and will no doubt look to circumvent these additional countermeasures. 

There are several steps you can take to remain vigilant against this type of fraud:

  • Monitor your bank account and credit card statements for any strange or unfamiliar transactions. Notify your bank immediately if you notice anything suspicious. Small transactions, such as a $1 charitable donation, are often used by criminals to test if a card is still usable.
  • Carefully guard personal information such as your address, your Social Security number, or date of birth, and don’t use easily guessed passwords or PIN codes. All of these details can be used to facilitate identity theft and defeat additional security checks.

Advice for businesses
Symantec has a number of solutions for retailers who wish to guard their point-of-sale systems from attack. For more details, please read: Secure Your Point-of-Sale System

Symantec protection
Symantec products detect all of the currently known variants of point-of-sale malware, including:

BlackPOS

FrameworkPOS

Dexter

Chewbacca

JackPOS

RawPOS

Vskimmer

Backoff

Further information
For more information about attacks against POS systems, please read our whitepaper entitled: Attacks on point of sales systems

Spin.com visitors served malware instead of music

Compromised site sent visitors to Rig exploit kit to infect them with a range of malware including Infostealer.Dyranges and Trojan.Zbot.

Toolbox_concept.png

On October 27, while tracking exploit kits (EKs) and infected domains, Symantec discovered that the popular music news and reviews website spin.com was redirecting visitors to the Rig exploit kit. This exploit kit was discovered earlier this year and is known to be the successor of another once popular EK, Redkit. The Rig EK takes advantage of vulnerabilities in Internet Explorer, Java, Adobe Flash, and Silverlight and was also one of the EKs associated with the askmen.com compromise back in June.

At the time of writing, the spin.com website was no longer compromised. However, spin.com is a popular site in the US, according to Alexa, so the attackers could have potentially infected a substantial amount of users’ computers with malware during the time the site was compromised. The number of potential victims could grow substantially depending on the length of time the website was redirecting visitors to the EK prior to our discovery. Our data shows that the attack campaign mainly affected spin.com visitors located in the US.

Fig1.png
Figure 1. Symantec telemetry shows visitors based in the US were most affected by spin.com compromise

How the attack worked
The attackers injected an iframe into the spin.com website, which redirected users to the highly obfuscated landing page of the Rig EK.

Fig2_13.png
Figure 2. Injected iframe on compromised spin.com website

When the user arrives on the landing page, the Rig EK checks the user’s computer for driver files associated with particular security software products. To avoid detection, the EK avoids dropping any exploits if the security software driver files are present.

Fig3_0.PNG
Figure 3. Rig EK searches for driver files used by security software products

The EK then looks for particular installed plugins and will attempt to exploit them accordingly. In the recent compromise, the Rig EK took advantage of the following vulnerabilities:

Upon successfully exploiting any of these vulnerabilities, a XOR-encrypted payload is downloaded onto the user’s computer. The Rig EK may then drop a range of malicious payloads such as downloaders and information stealers including banking Trojan Infostealer.Dyranges, and the infamous Trojan.Zbot (Zeus).

Symantec protection
Symantec has detections in place to protect against the Rig EK and the vulnerabilities exploited by it, so customers with updated intrusion prevention and antivirus signatures were protected against this attack. Users should also ensure that they update their software regularly to prevent attackers from exploiting known vulnerabilities. Symantec provides the following comprehensive protection to help users stay protected against the Rig EK and the malware delivered by it in this recent website compromise:

Intrusion prevention

Antivirus

Pony stealer spread vicious malware using email campaign

Most people want to stay on top of their bills, and not pay them late. But recently, unexpected emails claiming an overdue invoice have been showing up in people’s inboxes, causing anxiety and ultimately a malware attack. Read this report from the Avast Virus Lab, so as a consumer you’ll know what to look for, […]

Pony stealer spread vicious malware using email campaign

Most people want to stay on top of their bills, and not pay them late. But recently, unexpected emails claiming an overdue invoice have been showing up in people’s inboxes, causing anxiety and ultimately a malware attack. Read this report from the Avast Virus Lab, so as a consumer you’ll know what to look for, […]

Avast! Mobile Security gets award from AV Comparatives

AV Comparatives awarded avast! Mobile Security for its malware protection and highly developed theft-protection. Most people would not dream of neglecting the security of their PCs or laptop, but those same folks forget that the device in their pocket is just as powerful, if not more so. You’ve heard it before –your expensive smartphone, which […]

Bad news for SMBs: Target’s “Backoff” malware attack hits 1,000 more businesses

U.S. merchants advised to protect themselves against same PoS hack that hit Target and Neiman Marcus last year. More than 1,000 U.S. businesses have had their systems infected by Backoff, a point-of-sale (PoS) malware that was linked to the remote-access attacks against Target, Michaels, and P.F. Chang’s last year and more recently, UPS and Dairy […]

Reveton ransomware has dangerously evolved

      No Comments on Reveton ransomware has dangerously evolved

The old ransomware business model is no longer enough for malware authors. New additions have made Reveton into a truly dangerous business. The latest generation of Reveton, the infamous “police” lock screen/ransomware, targets new black market business. The authors upped the ante of the despised malware from a LockScreen-only version to a dangerously powerful password […]