Американские провайдеры мобильной связи T-Mobile и Verizon столкнулись с массовыми нападками киберпреступников, которые направляют на личные и рабочие телефоны сотрудников компаний сообщения, предлагая деньги за выполнение незаконных операций с SIM-картами, включая широко известный в сфере кибербезопасности SIM Swapping.
Согласно рассылаемым сообщениям, преступники предлагают по $300 за каждую выполненную Swapping-операцию. В числе целей — как действующие, так и бывшие работники вышеупомянутых компаний. Сами сообщения направляются массово, с немного разными формулировками, чтобы избежать блокировки антиспам-системой.
В сообщениях хакеры утверждают, что контактные данные сотрудников, которым они пишут, были взяты из служебного каталога T-Mobile. В целом, до какого-то момента это было похоже на правду, так как по началу сообщения приходили только сотрудникам T-Mobile, однако позже выяснилось, что и сотрудники Verizon также массово получают подобные тексты. Возможно, имела место быть масштабная утечка данных.
Представители T-Mobile отметили, что компания уже инициировала расследование, но пока нет никаких оснований полагать, что её системы столкнулись со взломом. Тем временем, представители Verizon пока никак не комментировали ситуацию и не выходили на связь с журналистами.
Атаки типа SIM Swapping, при которых злоумышленники получают контроль над номером телефона жертвы, могут привести к несанкционированному доступу к личным и финансовым данным, краже личности и значительному эмоциональному стрессу жертвы.
В феврале 2022 года ФБР предупредило об увеличении числа атак с целью кражи миллионов долларов путём «угона» номеров телефонов. В прошлом году было зарегистрировано свыше 2000 жалоб на такие атаки, а суммарные убытки от них составили 72,6 миллиона долларов.
Согласно рассылаемым сообщениям, преступники предлагают по $300 за каждую выполненную Swapping-операцию. В числе целей — как действующие, так и бывшие работники вышеупомянутых компаний. Сами сообщения направляются массово, с немного разными формулировками, чтобы избежать блокировки антиспам-системой.
В сообщениях хакеры утверждают, что контактные данные сотрудников, которым они пишут, были взяты из служебного каталога T-Mobile. В целом, до какого-то момента это было похоже на правду, так как по началу сообщения приходили только сотрудникам T-Mobile, однако позже выяснилось, что и сотрудники Verizon также массово получают подобные тексты. Возможно, имела место быть масштабная утечка данных.
Представители T-Mobile отметили, что компания уже инициировала расследование, но пока нет никаких оснований полагать, что её системы столкнулись со взломом. Тем временем, представители Verizon пока никак не комментировали ситуацию и не выходили на связь с журналистами.
Атаки типа SIM Swapping, при которых злоумышленники получают контроль над номером телефона жертвы, могут привести к несанкционированному доступу к личным и финансовым данным, краже личности и значительному эмоциональному стрессу жертвы.
В феврале 2022 года ФБР предупредило об увеличении числа атак с целью кражи миллионов долларов путём «угона» номеров телефонов. В прошлом году было зарегистрировано свыше 2000 жалоб на такие атаки, а суммарные убытки от них составили 72,6 миллиона долларов.
В конце прошлого года крупный американский автопроизводитель, название которого не раскрывается, стал жертвой целенаправленной атаки, осуществлённой хакерской группировкой FIN7. По информации исследователей из компании BlackBerry, злоумышленники использовали фишинговые письма для сотрудников IT-отдела, чтобы заразить системы компании вредоносным программным обеспечением через бэкдор Anunak.
Атака началась с отправки сотрудникам компании ссылок на поддельный сайт, маскирующийся под легитимный инструмент Advanced IP Scanner. Применив методы социальной инженерии, хакеры убедили пользователей перейти по ссылке и загрузить исполняемый файл, который инициировал установку бэкдора.
В ходе анализа специалисты BlackBerry выяснили, что киберпреступники использовали уникальные скрипты PowerShell с обфусцированным шелл-кодом «PowerTrash», что позволило с высокой уверенностью связать эту атаку с группировкой FIN7. Этот же метод был впервые замечен во вредоносной кампании FIN7 в 2022 году.
В процессе атаки зловредный файл, получивший название «WsTaskLoad.exe», запускал многоступенчатый процесс с использованием вредоносных DLL, WAV-файлов и шелл-кода, что в итоге приводило к загрузке и расшифровке файла «dmxl.bin» с бэкдором Anunak. Стоит отметить, что хакеры FIN7 также часто используют в своих атаках другой бэкдор — Carbanak, но в рассмотренной кампании применили именно Anunak.
После развёртывания бэкдора в целевой системе была создана задача для OpenSSH, обеспечивающая постоянный доступ злоумышленников, однако исследователи не обнаружили использование этого метода для перемещения по сети в анализируемой кампании.
Интересно, что, несмотря на сложность атаки, FIN7 не смогли распространить заражение дальше первоначально инфицированной системы. Исследователи подчёркивают важность защиты от фишинга, который до сих пор остаётся основным методом вторжения злоумышленников.
Атака началась с отправки сотрудникам компании ссылок на поддельный сайт, маскирующийся под легитимный инструмент Advanced IP Scanner. Применив методы социальной инженерии, хакеры убедили пользователей перейти по ссылке и загрузить исполняемый файл, который инициировал установку бэкдора.
В ходе анализа специалисты BlackBerry выяснили, что киберпреступники использовали уникальные скрипты PowerShell с обфусцированным шелл-кодом «PowerTrash», что позволило с высокой уверенностью связать эту атаку с группировкой FIN7. Этот же метод был впервые замечен во вредоносной кампании FIN7 в 2022 году.
В процессе атаки зловредный файл, получивший название «WsTaskLoad.exe», запускал многоступенчатый процесс с использованием вредоносных DLL, WAV-файлов и шелл-кода, что в итоге приводило к загрузке и расшифровке файла «dmxl.bin» с бэкдором Anunak. Стоит отметить, что хакеры FIN7 также часто используют в своих атаках другой бэкдор — Carbanak, но в рассмотренной кампании применили именно Anunak.
После развёртывания бэкдора в целевой системе была создана задача для OpenSSH, обеспечивающая постоянный доступ злоумышленников, однако исследователи не обнаружили использование этого метода для перемещения по сети в анализируемой кампании.
Интересно, что, несмотря на сложность атаки, FIN7 не смогли распространить заражение дальше первоначально инфицированной системы. Исследователи подчёркивают важность защиты от фишинга, который до сих пор остаётся основным методом вторжения злоумышленников.
Security Vision - еженедельные статьи, бесплатные вебинары, разбор работы платформы для специалистов и актуальные новости.
Please open Telegram to view this post
VIEW IN TELEGRAM
Кибермошенники научились обманывать пользователей сервисов для знакомств с помощью технологии подмены лиц. Схема не самая простая, но действенная.
Всё начинается с обычного знакомства в соответствующем приложении или сервисе. Мошенник ведет общение с девушкой текстом и голосовыми сообщениями, а когда доверительные отношения уже установлены, внезапно звонит жертве по видеосвязи и просит денег. Для этого разводилы используют приложение, подменяющее лица в реальном времени. Они включают видеозвонок на одном смартфоне, и направляют камеру на экран второго девайса, в этот момент снимающего и подменяющего их лицо. При наличии ноутбука задача упрощается и мошенник просто устанавливает соответствующий софт.
Разводилы создают себе наиболее привлекательную внешность, заранее выбирая цвет глаз и волос, тон кожи и даже тембр голоса. Поскольку клиентки сервисов для знакомств чаще склонны руководствоваться чувствами и особенно уязвимы для обмана, мошенник рассказывает по видеосвязи слезливую историю о том, как его ограбили в отеле или на вокзале и как сильно ему нужны деньги, чтобы добраться домой — и вкупе с привлекательной подмененной внешностью она почти всегда срабатывает. Журналисты обнаружили, что разводилы открыто хвастаются видеозаписями своих похождений в Telegram-чатах и даже продают «работающие» лица менее опытным или умелым мошенникам.
Всё начинается с обычного знакомства в соответствующем приложении или сервисе. Мошенник ведет общение с девушкой текстом и голосовыми сообщениями, а когда доверительные отношения уже установлены, внезапно звонит жертве по видеосвязи и просит денег. Для этого разводилы используют приложение, подменяющее лица в реальном времени. Они включают видеозвонок на одном смартфоне, и направляют камеру на экран второго девайса, в этот момент снимающего и подменяющего их лицо. При наличии ноутбука задача упрощается и мошенник просто устанавливает соответствующий софт.
Разводилы создают себе наиболее привлекательную внешность, заранее выбирая цвет глаз и волос, тон кожи и даже тембр голоса. Поскольку клиентки сервисов для знакомств чаще склонны руководствоваться чувствами и особенно уязвимы для обмана, мошенник рассказывает по видеосвязи слезливую историю о том, как его ограбили в отеле или на вокзале и как сильно ему нужны деньги, чтобы добраться домой — и вкупе с привлекательной подмененной внешностью она почти всегда срабатывает. Журналисты обнаружили, что разводилы открыто хвастаются видеозаписями своих похождений в Telegram-чатах и даже продают «работающие» лица менее опытным или умелым мошенникам.
Некоторые правительственные сети Украины остаются заражёнными вредоносной программой под названием OfflRouter с далёкого 2015 года. Исследователи из Cisco Talos проанализировали более 100 заражённых документов, что и позволило им выявить продолжающуюся активность вируса на территории Украины.
Отличительной чертой OfflRouter является его невозможность распространяться посредством электронной почты, вместо этого вирус передаётся исключительно локально, путём обмена документами на съёмных носителях, такие как USB-флешки. Такой механизм распространения ограничивает его действие одной только Украиной, хоть и значительно сокращает число поражённых организаций.
В настоящее время неизвестно, кто несёт ответственность за данное вредоносное ПО. Исследователи не обнаружили никаких указаний на то, было ли оно разработано на территории Украины или кем-то извне. Но кто бы это ни был, его описывают как весьма изобретательного, хоть и неопытного из-за наличия нескольких ошибок в исходном коде и несовершенного покрытия атаки.
Вредоносное ПО OfflRouter уже несколько раз было замечено различными организациями безопасности. В 2018 году о нём впервые сообщила команда MalwareHunterTeam, а в 2021 эксперты CSIRT направили информацию о заражённых файлах прямо на веб-сайт украинских киберспециалистов.
Тем не менее, спустя три года, вредонос всё ещё успешно функционирует в правительственных сетях страны, а его вредоносный код и принцип действия с тех пор никак не менялись: VBA-макросы, вложенные в документы Microsoft Word, при запуске заражённого документа сбрасывают исполняемый .NET-файл с именем «ctrlpanel.exe», который затем заражает все файлы с расширением «.doc», найденные на компьютере и подключенных съёмных носителях, не трогая при этом документы «.docx» и любые другие файлы прочих форматов.
Весьма странно, что акцент сделан только на «.doc», ведь это существенно сокращает число потенциально полезных документов, которые могли бы выгрузить злоумышленники.
Отличительной чертой OfflRouter является его невозможность распространяться посредством электронной почты, вместо этого вирус передаётся исключительно локально, путём обмена документами на съёмных носителях, такие как USB-флешки. Такой механизм распространения ограничивает его действие одной только Украиной, хоть и значительно сокращает число поражённых организаций.
В настоящее время неизвестно, кто несёт ответственность за данное вредоносное ПО. Исследователи не обнаружили никаких указаний на то, было ли оно разработано на территории Украины или кем-то извне. Но кто бы это ни был, его описывают как весьма изобретательного, хоть и неопытного из-за наличия нескольких ошибок в исходном коде и несовершенного покрытия атаки.
Вредоносное ПО OfflRouter уже несколько раз было замечено различными организациями безопасности. В 2018 году о нём впервые сообщила команда MalwareHunterTeam, а в 2021 эксперты CSIRT направили информацию о заражённых файлах прямо на веб-сайт украинских киберспециалистов.
Тем не менее, спустя три года, вредонос всё ещё успешно функционирует в правительственных сетях страны, а его вредоносный код и принцип действия с тех пор никак не менялись: VBA-макросы, вложенные в документы Microsoft Word, при запуске заражённого документа сбрасывают исполняемый .NET-файл с именем «ctrlpanel.exe», который затем заражает все файлы с расширением «.doc», найденные на компьютере и подключенных съёмных носителях, не трогая при этом документы «.docx» и любые другие файлы прочих форматов.
Весьма странно, что акцент сделан только на «.doc», ведь это существенно сокращает число потенциально полезных документов, которые могли бы выгрузить злоумышленники.
Лаборатория Касперского обнаружила ранее неизвестную кампанию кибершпионажа, направленную против правительственной организации на Ближнем Востоке. Злоумышленник тайно шпионит за целью и собирал конфиденциальные данные, используя тщательно продуманный набор инструментов, разработанных для скрытности и устойчивости.
Первоначальный загрузчик вредоносного ПО маскируется под установочный файл Total Commander. Дроппер содержит строки из испанских стихов, причем строки меняются от одного образца к другому. Такой механизм направлен на изменение сигнатуры каждого образца, что усложняет обнаружение традиционными методами.
Также отмечается, что загрузчик реализует дополнительные проверки антианализа, которые предотвращают соединение с C2-сервером, если в системе установлен отладчик или инструмент мониторинга, положение курсора не меняется через определенное время, количество доступной оперативной памяти менее 8 ГБ, а емкость диска менее 40 ГБ.
В дроппер встроен вредоносный код, предназначенный для загрузки бэкдора CR4T. Имплантат CR4T, разработанный на C/C++ и GoLang, предоставляет хакеру доступ к консоли на зараженном компьютере, выполняет файловые операции, а также загружает и выгружает файлы после установки контакта с C2-сервером.
Кроме того, Golang-вариант CR4T способен обеспечить постоянство за счет использования техники перехвата COM-объектов и использования Telegram API для связи с C2-сервером.
Телеметрия Лаборатории Касперского выявила жертву на Ближнем Востоке еще в феврале 2024 года. Кроме того, в конце 2023 года произошло несколько загрузок одного и того же вредоносного ПО в полупубличный сервис сканирования вредоносных программ, всего было отправлено более 30 заявок. Другие источники, предположительно представляющие собой выходные узлы VPN, расположены в Южной Корее, Люксембурге, Японии, Канаде, Нидерландах и США.
Первоначальный загрузчик вредоносного ПО маскируется под установочный файл Total Commander. Дроппер содержит строки из испанских стихов, причем строки меняются от одного образца к другому. Такой механизм направлен на изменение сигнатуры каждого образца, что усложняет обнаружение традиционными методами.
Также отмечается, что загрузчик реализует дополнительные проверки антианализа, которые предотвращают соединение с C2-сервером, если в системе установлен отладчик или инструмент мониторинга, положение курсора не меняется через определенное время, количество доступной оперативной памяти менее 8 ГБ, а емкость диска менее 40 ГБ.
В дроппер встроен вредоносный код, предназначенный для загрузки бэкдора CR4T. Имплантат CR4T, разработанный на C/C++ и GoLang, предоставляет хакеру доступ к консоли на зараженном компьютере, выполняет файловые операции, а также загружает и выгружает файлы после установки контакта с C2-сервером.
Кроме того, Golang-вариант CR4T способен обеспечить постоянство за счет использования техники перехвата COM-объектов и использования Telegram API для связи с C2-сервером.
Телеметрия Лаборатории Касперского выявила жертву на Ближнем Востоке еще в феврале 2024 года. Кроме того, в конце 2023 года произошло несколько загрузок одного и того же вредоносного ПО в полупубличный сервис сканирования вредоносных программ, всего было отправлено более 30 заявок. Другие источники, предположительно представляющие собой выходные узлы VPN, расположены в Южной Корее, Люксембурге, Японии, Канаде, Нидерландах и США.
В России может появиться еще одна антифрод-платформа. По замыслу, система учета и анализа телефонного мошенничества (СУАТМ) позволит вовлечь в обмен данными всех заинтересованных лиц с тем, чтобы охватить даже такие каналы, как IP-телефония и мессенджеры.
Автором идеи объединить на общей платформе всех участников рынка — банки, операторов связи, регуляторов, правоохранительные органы — является «Тинькофф». По сути, это будет аналог автоматизированной системы ФинЦЕРТ Банка России, но для телекома, у которого сейчас есть только «Антифрод» Роскомнадзора.
СУАТМ в числе прочего поможет в реальном времени выявлять операторов, обеспечивающих работу мошеннических кол-центров, и сообщать о таких нарушениях регулятору. Новую систему также можно будет использовать для блокировки IMаккаунтов, используемых обманщиками, и звонков с виртуальных сим-карт.
Сценарий взаимодействия при этом может выглядеть следующим образом. Клиент жалуется банку на мошеннический звонок, тот отправляет уведомление в СУАТМ, система в режиме реального времени получает от телеоператора информацию об инициаторе звонка.
Если это другой оператор, перебирается вся цепочка, и данные «нулевого пациента» передаются всем провайдерам для блокировки мошеннического трафика либо аккаунта в мессенджере. Об источнике также ставятся в известность РКН и МВД. Если виновник — оператор, его могут оштрафовать на 500 тыс. руб. за пропуск мошеннических звонков.
По словам «Тинькофф», банки, операторы, ЦБ положительно восприняли инициативу. Однако для эффективной работы СУАТМ придется корректировать нормативную базу. Операторов нужно будет обязать подключиться к новой антифрод-платформе. Кроме того, созданию подобной системы наверняка будет мешать регуляторный запрет на передачу персональных данных сторонним организациям.
Автором идеи объединить на общей платформе всех участников рынка — банки, операторов связи, регуляторов, правоохранительные органы — является «Тинькофф». По сути, это будет аналог автоматизированной системы ФинЦЕРТ Банка России, но для телекома, у которого сейчас есть только «Антифрод» Роскомнадзора.
СУАТМ в числе прочего поможет в реальном времени выявлять операторов, обеспечивающих работу мошеннических кол-центров, и сообщать о таких нарушениях регулятору. Новую систему также можно будет использовать для блокировки IMаккаунтов, используемых обманщиками, и звонков с виртуальных сим-карт.
Сценарий взаимодействия при этом может выглядеть следующим образом. Клиент жалуется банку на мошеннический звонок, тот отправляет уведомление в СУАТМ, система в режиме реального времени получает от телеоператора информацию об инициаторе звонка.
Если это другой оператор, перебирается вся цепочка, и данные «нулевого пациента» передаются всем провайдерам для блокировки мошеннического трафика либо аккаунта в мессенджере. Об источнике также ставятся в известность РКН и МВД. Если виновник — оператор, его могут оштрафовать на 500 тыс. руб. за пропуск мошеннических звонков.
По словам «Тинькофф», банки, операторы, ЦБ положительно восприняли инициативу. Однако для эффективной работы СУАТМ придется корректировать нормативную базу. Операторов нужно будет обязать подключиться к новой антифрод-платформе. Кроме того, созданию подобной системы наверняка будет мешать регуляторный запрет на передачу персональных данных сторонним организациям.
Киберпреступники начали взламывать телеграм-аккаунты при помощи тематических сайтов с изображениями, рассказали аналитики группы компаний «Солар».
Сотрудники центра мониторинга внешних цифровых угроз Solar AURA обнаружили более 300 ресурсов, созданных для кражи профилей в Telegram. На таких сайтах злоумышленники размещают привлекательные изображения, которые пользователи могут найти в поисковой выдаче.
При переходе по ссылке на картинку пользователя перенаправляют на фишинговый ресурс, имитирующий страницу Telegram. Большинство из них носят название вроде «Тебе понравится».
При попытке присоединиться к сообществу пользователь попадает на страницу с QR-кодом или формой для ввода логина и пароля от своего аккаунта в мессенджере. Если данные будут введены, они автоматически попадут к мошенникам. Включенная двухфакторная аутентификация не является преградой для злоумышленников: если ввести полученный код подтверждения на фишинговом сайте, злоумышленники получат доступ к профилю на своем устройстве и смогут завершить сессию настоящего владельца аккаунта.
Интересная особенность данной схемы – мошенники используют домены, которые по тематике не имеют привязки к распространяемым изображениям, друг к другу или к мессенджеру. Помимо этого, фишинговые сайты, созданные для кражи данных в Telegram, используют различные методы сокрытия вредоносного содержимого. Например, сайты в автоматическом режиме проверяют, откуда был осуществлен переход по ссылке. Если пользователь перешел не со страницы поисковой системы, то вместо фишингового сайта ему демонстрируется исходное изображение, которое он искал. Это делается для того, чтобы затруднить блокировку таких ресурсов: если пользователь решит пожаловаться на такой сайт и перешлет ссылку, вредоносный контент на нем просто не откроется.
По данным Солар, эта массированная кампания стартовала в декабре 2023 года. Хакеры создали сеть однотипных сайтов «с сотнями тысяч изображений» и описаний к ним.
Сотрудники центра мониторинга внешних цифровых угроз Solar AURA обнаружили более 300 ресурсов, созданных для кражи профилей в Telegram. На таких сайтах злоумышленники размещают привлекательные изображения, которые пользователи могут найти в поисковой выдаче.
При переходе по ссылке на картинку пользователя перенаправляют на фишинговый ресурс, имитирующий страницу Telegram. Большинство из них носят название вроде «Тебе понравится».
При попытке присоединиться к сообществу пользователь попадает на страницу с QR-кодом или формой для ввода логина и пароля от своего аккаунта в мессенджере. Если данные будут введены, они автоматически попадут к мошенникам. Включенная двухфакторная аутентификация не является преградой для злоумышленников: если ввести полученный код подтверждения на фишинговом сайте, злоумышленники получат доступ к профилю на своем устройстве и смогут завершить сессию настоящего владельца аккаунта.
Интересная особенность данной схемы – мошенники используют домены, которые по тематике не имеют привязки к распространяемым изображениям, друг к другу или к мессенджеру. Помимо этого, фишинговые сайты, созданные для кражи данных в Telegram, используют различные методы сокрытия вредоносного содержимого. Например, сайты в автоматическом режиме проверяют, откуда был осуществлен переход по ссылке. Если пользователь перешел не со страницы поисковой системы, то вместо фишингового сайта ему демонстрируется исходное изображение, которое он искал. Это делается для того, чтобы затруднить блокировку таких ресурсов: если пользователь решит пожаловаться на такой сайт и перешлет ссылку, вредоносный контент на нем просто не откроется.
По данным Солар, эта массированная кампания стартовала в декабре 2023 года. Хакеры создали сеть однотипных сайтов «с сотнями тысяч изображений» и описаний к ним.
Появился гаджет, похожий на Game Boy, который прячет в себе эмулятор ключа. Он перехватывает сигнал и копирует его. Так если оригинальный брелок был утерян, открыть дверь и завести автомобиль можно с помощью резервной копии. На японском рынке гаджет появился в начале года по цене около $30 000.
Продавцы заявляют, что товар предназначен исключительно для благих целей, однако автоугонщики освоили гаджет быстрее. Достаточно находиться недалеко от хозяина машины, в момент снятия сигнализации. По словам канала FNN Prime Online, таким образом воры смогли угнать Land Cruiser актрисы, певицы и члена совета депутатов Японии Дзюнко Михара прямо из ее гаража.
Продавцы заявляют, что товар предназначен исключительно для благих целей, однако автоугонщики освоили гаджет быстрее. Достаточно находиться недалеко от хозяина машины, в момент снятия сигнализации. По словам канала FNN Prime Online, таким образом воры смогли угнать Land Cruiser актрисы, певицы и члена совета депутатов Японии Дзюнко Михара прямо из ее гаража.
Ранее мы писали про критическую уязвимость в PAN-OS. В пятницу Palo Alto раскрыла больше подробностей о ней.
Forwarded from Cyber Media
🥳 Дни без опасности: праздники и памятные даты, связанные с ИБ
Информационная безопасность – довольно сложная сфера, где наиболее громкие информационные поводы несут негатив. Атаки, угрозы, утечки, вирусы, оборотные штрафы – эти инфоповоды собирают куда больше просмотров, чем проекты внедрения систем ИБ, новости о киберучениях или релизах новых продуктов.
Однако даже в такой сложной сфере есть праздники – международные, государственные, неофициальные и просто памятные даты, связанные с тем или иным государственным регуляторов, софтом или отдельной личностью.
➡️ В новой статье на сайте собрали наиболее известные праздники, связанные с информационной безопасностью. И порассуждали с экспертами о том, появления каких «ИБ-праздников» стоит ожидать в обозримом будущем.
Информационная безопасность – довольно сложная сфера, где наиболее громкие информационные поводы несут негатив. Атаки, угрозы, утечки, вирусы, оборотные штрафы – эти инфоповоды собирают куда больше просмотров, чем проекты внедрения систем ИБ, новости о киберучениях или релизах новых продуктов.
Однако даже в такой сложной сфере есть праздники – международные, государственные, неофициальные и просто памятные даты, связанные с тем или иным государственным регуляторов, софтом или отдельной личностью.
Please open Telegram to view this post
VIEW IN TELEGRAM
В плагине Forminator для WordPress, который суммарно установлен на 500 000 сайтов, обнаружена критическая уязвимость, позволяющая злоумышленникам осуществлять беспрепятственную загрузку файлов на сервер.
Forminator компании WPMU DEV представляет собой конструктор для платежных форм, контактов, обратной связи, викторин, опросов и анкет для сайтов под управлением WordPress. Плагин использует простую функциональность drag-and-drop и обладает широкими возможностями для сторонних интеграций.
На прошлой неделе японский CERT опубликовал предупреждение о наличии в Forminator критической уязвимости, которая позволяет удаленным злоумышленникам загружать малварь на сайты, использующие плагин.
Суммарно в бюллетене безопасности японского CERT перечислены сразу три уязвимости в Forminator:
- CVE-2024-28890 — некорректная проверка файлов при загрузке, что позволяет удаленному атакующему загрузить и выполнить вредоносные файлы на сервере сайта;
- CVE-2024-31077 — SQL-инъекция, позволяющий удаленным злоумышленникам с правами администратора выполнять произвольные SQL-запросы в БД сайта;
- CVE-2024-31857 — XSS-уязвимость, позволяющая удаленному атакующему выполнить произвольный HTML и скриптовый код в браузере пользователя, если тот перейдет по специально созданной ссылке.
Администраторам сайтов, использующим Forminator, рекомендуется как можно скорее обновить плагин до версии 1.29.3, в которой устранены все три недостатка.
Согласно официальной статистике WordPress.org, с момента выпуска патча плагин скачали около 180 000 пользователей. Если предположить, что все эти загрузки относились к последней, обновленной версии, то остаются еще 320 000 сайтов, которые по-прежнему уязвимы для атак.
Forminator компании WPMU DEV представляет собой конструктор для платежных форм, контактов, обратной связи, викторин, опросов и анкет для сайтов под управлением WordPress. Плагин использует простую функциональность drag-and-drop и обладает широкими возможностями для сторонних интеграций.
На прошлой неделе японский CERT опубликовал предупреждение о наличии в Forminator критической уязвимости, которая позволяет удаленным злоумышленникам загружать малварь на сайты, использующие плагин.
Суммарно в бюллетене безопасности японского CERT перечислены сразу три уязвимости в Forminator:
- CVE-2024-28890 — некорректная проверка файлов при загрузке, что позволяет удаленному атакующему загрузить и выполнить вредоносные файлы на сервере сайта;
- CVE-2024-31077 — SQL-инъекция, позволяющий удаленным злоумышленникам с правами администратора выполнять произвольные SQL-запросы в БД сайта;
- CVE-2024-31857 — XSS-уязвимость, позволяющая удаленному атакующему выполнить произвольный HTML и скриптовый код в браузере пользователя, если тот перейдет по специально созданной ссылке.
Администраторам сайтов, использующим Forminator, рекомендуется как можно скорее обновить плагин до версии 1.29.3, в которой устранены все три недостатка.
Согласно официальной статистике WordPress.org, с момента выпуска патча плагин скачали около 180 000 пользователей. Если предположить, что все эти загрузки относились к последней, обновленной версии, то остаются еще 320 000 сайтов, которые по-прежнему уязвимы для атак.
В китайских клавиатурах для смартфонов выявили уязвимости, позволяющие перехватить нажатие клавиш пользователем. Проблемы затрагивают восемь из девяти таких приложений от Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo и Xiaomi.
Как выяснили исследователи из Citizen Lab, единственный разработчик, чьи клавиатуры не содержат описанных уязвимостей, — техногигант Huawei.
По оценкам аналитиков, баги этого класса могут угрожать миллиарду пользователей, предпочитающих мобильные устройства китайского рынка.
Среди зафиксированных проблем Citizen Lab выделила следующие:
- Баг Baidu IME позволяет перехватчикам в Сети расшифровывать передачу данных и извлекать введённый текст. Всему виной ошибка в шифровании BAIDUv3.1.
- iFlytek IME — соответствующее Android-приложение позволяет восстанавливать некорректно зашифрованные сетевые передачи в виде простого текста.
- Редактор методов ввода Samsung на Android передаёт нажатия клавиш в незашифрованном виде по HTTP.
IME от Xiaomi, OPPO, Vivo и Honor содержат те же вышеописанные дыры.
Пользователям рекомендуют держать в актуальном состоянии операционную систему и установленные приложения, а также перейти с облачных клавиатур на те, что работают на устройстве.
Как выяснили исследователи из Citizen Lab, единственный разработчик, чьи клавиатуры не содержат описанных уязвимостей, — техногигант Huawei.
По оценкам аналитиков, баги этого класса могут угрожать миллиарду пользователей, предпочитающих мобильные устройства китайского рынка.
Среди зафиксированных проблем Citizen Lab выделила следующие:
- Баг Baidu IME позволяет перехватчикам в Сети расшифровывать передачу данных и извлекать введённый текст. Всему виной ошибка в шифровании BAIDUv3.1.
- iFlytek IME — соответствующее Android-приложение позволяет восстанавливать некорректно зашифрованные сетевые передачи в виде простого текста.
- Редактор методов ввода Samsung на Android передаёт нажатия клавиш в незашифрованном виде по HTTP.
IME от Xiaomi, OPPO, Vivo и Honor содержат те же вышеописанные дыры.
Пользователям рекомендуют держать в актуальном состоянии операционную систему и установленные приложения, а также перейти с облачных клавиатур на те, что работают на устройстве.
Киберпреступная группа CiberInteligenciaSV опубликовала на BreachForums часть исходного кода биткойн-кошелька Chivo, используемого правительством Сальвадора.
Этот шаг последовал за серией взломов Chivo, включая недавнюю утечку персональных данных 5,1 миллиона сальвадорцев в начале апреля.
22 апреля местный кибербезопасный проект VenariX предупреждал в X о том, что хакеры планируют выложить код в сеть, ссылаясь на телеграм-канал CiberInteligenciaSV.
Также был опубликован файл Codigo.rar, содержащий скомпилированный код и VPN-данные для доступа к сети банкоматов.
В сентябре 2021 Сальвадор стал первой страной, признавшей биткойн законным платежным средством. Власти активно продвигали Chivo как официальный кошелек для населения, позволяющий покупать, продавать, хранить и снимать BTC через банкоматы.
Однако с самого запуска Chivo сопровождали многочисленные жалобы на баги, технические сбои и ошибки в работе. Что интересно, несмотря на сообщения о недавней утечке, правительство Сальвадора до сих пор официально не прокомментировало ситуацию.
Этот шаг последовал за серией взломов Chivo, включая недавнюю утечку персональных данных 5,1 миллиона сальвадорцев в начале апреля.
22 апреля местный кибербезопасный проект VenariX предупреждал в X о том, что хакеры планируют выложить код в сеть, ссылаясь на телеграм-канал CiberInteligenciaSV.
Также был опубликован файл Codigo.rar, содержащий скомпилированный код и VPN-данные для доступа к сети банкоматов.
В сентябре 2021 Сальвадор стал первой страной, признавшей биткойн законным платежным средством. Власти активно продвигали Chivo как официальный кошелек для населения, позволяющий покупать, продавать, хранить и снимать BTC через банкоматы.
Однако с самого запуска Chivo сопровождали многочисленные жалобы на баги, технические сбои и ошибки в работе. Что интересно, несмотря на сообщения о недавней утечке, правительство Сальвадора до сих пор официально не прокомментировало ситуацию.
Исследователи кибербезопасности выявили продолжающуюся кампанию кибератак, которая использует фишинговые письма для распространения вредоносного программного обеспечения под названием SSLoad. Кампания получила кодовое название FROZEN#SHADOW и включает в себя использование программы Cobalt Strike и программного обеспечения для удалённого доступа ConnectWise ScreenConnect.
Специалисты из компании Securonix отметили, что SSLoad разработан для тайного проникновения в системы, сбора конфиденциальной информации и передачи данных операторам. Вредонос устанавливает сразу несколько бэкдоров и полезных нагрузок в системе жертвы, чтобы сохранить быстрый доступ и избежать обнаружения.
Фишинговые атаки случайным образом нацелены на организации в Азии, Европе и Америке. Письма содержат ссылки, ведущие к скачиванию JavaScript-файла, который и запускает цепочку заражения.
Ранее в этом месяце Palo Alto Networks обнаружила по меньшей мере два различных метода распространения SSLoad: один предполагает использование контактных форм для встраивания URL-адресов-ловушек, а другой включает документы Microsoft Word с поддержкой макросов. Помимо этого, фишинг через контактные формы активно применяется для распространения другого вредоносного ПО — Latrodectus.
JavaScript-файл, запущенный через «wscript.exe», подключается к сетевому ресурсу и скачивает MSI-установщик, который, в свою очередь, выполняет установку SSLoad через «rundll32.exe» и устанавливает связь с сервером управления.
В начальной фазе разведки, используя Cobalt Strike, злоумышленники устанавливают ScreenConnect, что позволяет им удалённо контролировать заражённый хост. Затем они начинают сбор учётных данных и сканирование системы на предмет чувствительной информации.
Исследователями наблюдалось, что атакующие переходят к другим системам в сети, включая контроллер домена, и в конечном итоге создают собственную учётную запись администратора домена.
Специалисты из компании Securonix отметили, что SSLoad разработан для тайного проникновения в системы, сбора конфиденциальной информации и передачи данных операторам. Вредонос устанавливает сразу несколько бэкдоров и полезных нагрузок в системе жертвы, чтобы сохранить быстрый доступ и избежать обнаружения.
Фишинговые атаки случайным образом нацелены на организации в Азии, Европе и Америке. Письма содержат ссылки, ведущие к скачиванию JavaScript-файла, который и запускает цепочку заражения.
Ранее в этом месяце Palo Alto Networks обнаружила по меньшей мере два различных метода распространения SSLoad: один предполагает использование контактных форм для встраивания URL-адресов-ловушек, а другой включает документы Microsoft Word с поддержкой макросов. Помимо этого, фишинг через контактные формы активно применяется для распространения другого вредоносного ПО — Latrodectus.
JavaScript-файл, запущенный через «wscript.exe», подключается к сетевому ресурсу и скачивает MSI-установщик, который, в свою очередь, выполняет установку SSLoad через «rundll32.exe» и устанавливает связь с сервером управления.
В начальной фазе разведки, используя Cobalt Strike, злоумышленники устанавливают ScreenConnect, что позволяет им удалённо контролировать заражённый хост. Затем они начинают сбор учётных данных и сканирование системы на предмет чувствительной информации.
Исследователями наблюдалось, что атакующие переходят к другим системам в сети, включая контроллер домена, и в конечном итоге создают собственную учётную запись администратора домена.
iSharing, насчитывающий 35 миллионов пользователей, устранил уязвимость в системе безопасности, которая приводила к сливу точной геолокации.
В рамках исследования безопасности приложений для отслеживания локации Эрик Дейгл, студент из Ванкувера, обнаружил баг в утилите iSharing, которая на сегодняшний день насчитывает более 35 миллионов пользователей.
По словам Дейгла, данная уязвимость предоставляла возможность получить доступ к чужим координатам, даже если пользователи не делились данными о своем местоположении. Брешь также раскрывала личную информацию юзеров: имя, фотографию профиля, адрес электронной почты и номер телефона, используемые для входа в приложение.
Данный баг указывает на то, что серверы iSharing не проверяли должным образом, разрешён ли пользователям доступ только к их данным о местоположении или же и к чьим-либо ещё.
Это уже не первый случай, когда в приложениях для отслеживания местоположения находили уязвимости в безопасности, которые могли привести к утечке или раскрытию точной локации пользователей.
Две недели назад Дейгл рассказал компании iSharing об обнаруженной уязвимости в приложении. Производители никак не отреагировали на его сообщение. Тогда Дейгл обратился за помощью к TechCrunch. Вскоре специалисты iSharing устранили уязвимость.
Эрик Дейгл сообщил, что проблема заключалась в функции приложения под названием «группы», позволяющая создавать группу и добавлять туда других пользователей, тем самым делясь своим местоположением с другими юзерами.
В рамках исследования безопасности приложений для отслеживания локации Эрик Дейгл, студент из Ванкувера, обнаружил баг в утилите iSharing, которая на сегодняшний день насчитывает более 35 миллионов пользователей.
По словам Дейгла, данная уязвимость предоставляла возможность получить доступ к чужим координатам, даже если пользователи не делились данными о своем местоположении. Брешь также раскрывала личную информацию юзеров: имя, фотографию профиля, адрес электронной почты и номер телефона, используемые для входа в приложение.
Данный баг указывает на то, что серверы iSharing не проверяли должным образом, разрешён ли пользователям доступ только к их данным о местоположении или же и к чьим-либо ещё.
Это уже не первый случай, когда в приложениях для отслеживания местоположения находили уязвимости в безопасности, которые могли привести к утечке или раскрытию точной локации пользователей.
Две недели назад Дейгл рассказал компании iSharing об обнаруженной уязвимости в приложении. Производители никак не отреагировали на его сообщение. Тогда Дейгл обратился за помощью к TechCrunch. Вскоре специалисты iSharing устранили уязвимость.
Эрик Дейгл сообщил, что проблема заключалась в функции приложения под названием «группы», позволяющая создавать группу и добавлять туда других пользователей, тем самым делясь своим местоположением с другими юзерами.
Security Vision - еженедельные статьи, бесплатные вебинары, разбор работы платформы для специалистов и актуальные новости.
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователи сообщают об актуальной мошеннической схеме, в рамках которой людям предлагают заработать на криптовалюте Toncoin (TON) через Telegram. Схема работает по принципу пирамиды и нацелена, в том числе, на русскоговорящих пользователей.
По данным компании, сначала потенциальную жертву побуждают вложить деньги в TON, а потом пригласить в специальный чат в мессенджере своих знакомых и получать за это комиссию. Однако на деле человек лишь рискует потерять свои деньги.
Чтобы вовлечь людей, мошенники подготовили две подробные видеоинструкции — на русском и английском языках, а также текстовые материалы со скриншотами.
Сначала пользователь должен завести специальный криптокошелек — через неофициальный бот для хранения криптовалюты в Telegram. Потом ему нужно воспользоваться отдельным Telegram-ботом, через который якобы он сможет зарабатывать, и ввести туда адрес своего кошелька.
Далее требуется купить криптовалюту и перевести ее на свой кошелек. Для покупки предлагается использовать легитимные инструменты: P2P-маркеты, криптообменники или официального бота в Telegram.
После этого нужно активировать того самого отдельного Telegram-бота для заработка, выбрав один из платных тарифов-«ускорителей»: их стоимость варьируется от 5 до 500 TON. Создатели пирамиды уверяют, что чем дороже тариф, тем быстрее человек начнет «зарабатывать».
Жертве предлагается выбор из пяти тарифов: «велосипед», «машина», «поезд», «самолет» и «ракета». Чем дороже тариф, тем выше комиссионный процент, — «велосипед» стоит 5 TON и дает 30% комиссии, а «ракета» — 500 TON и 70%. То есть пользователи рискуют потерять более 500 TON, если выберут самый дорогой тариф.
Затем пользователь должен создать закрытую группу в Telegram и пригласить туда своих знакомых. Мошенники просят разместить в группе два видео — презентацию сервиса и инструкцию по активации, а также реферальные ссылки для регистрации криптокошелька и установки Telegram-бота для «заработка».
По данным компании, сначала потенциальную жертву побуждают вложить деньги в TON, а потом пригласить в специальный чат в мессенджере своих знакомых и получать за это комиссию. Однако на деле человек лишь рискует потерять свои деньги.
Чтобы вовлечь людей, мошенники подготовили две подробные видеоинструкции — на русском и английском языках, а также текстовые материалы со скриншотами.
Сначала пользователь должен завести специальный криптокошелек — через неофициальный бот для хранения криптовалюты в Telegram. Потом ему нужно воспользоваться отдельным Telegram-ботом, через который якобы он сможет зарабатывать, и ввести туда адрес своего кошелька.
Далее требуется купить криптовалюту и перевести ее на свой кошелек. Для покупки предлагается использовать легитимные инструменты: P2P-маркеты, криптообменники или официального бота в Telegram.
После этого нужно активировать того самого отдельного Telegram-бота для заработка, выбрав один из платных тарифов-«ускорителей»: их стоимость варьируется от 5 до 500 TON. Создатели пирамиды уверяют, что чем дороже тариф, тем быстрее человек начнет «зарабатывать».
Жертве предлагается выбор из пяти тарифов: «велосипед», «машина», «поезд», «самолет» и «ракета». Чем дороже тариф, тем выше комиссионный процент, — «велосипед» стоит 5 TON и дает 30% комиссии, а «ракета» — 500 TON и 70%. То есть пользователи рискуют потерять более 500 TON, если выберут самый дорогой тариф.
Затем пользователь должен создать закрытую группу в Telegram и пригласить туда своих знакомых. Мошенники просят разместить в группе два видео — презентацию сервиса и инструкцию по активации, а также реферальные ссылки для регистрации криптокошелька и установки Telegram-бота для «заработка».
Lazarus Group, известное хакерское объединение, традиционно ассоциируемое с Северной Кореей, использовало заманчивые предложения о работе для доставки нового троянца удалённого доступа (RAT) под названием Kaolin RAT в рамках атак, нацеленных на конкретных лиц в Азии летом 2023 года.
Как сообщил исследователь безопасности из Avast, этот вредоносный софт может, помимо стандартных функций RAT, изменять временную метку последней записи выбранного файла и загружать любой полученный DLL-бинарный файл с C2-сервера злоумышленников.
RAT служит каналом для доставки руткита FudModule, который недавно использовал уязвимость CVE-2024-21338 в драйвере appid.sys для получения примитивов чтения/записи в ядре и в конечном итоге для отключения механизмов безопасности.
Использование Lazarus ловушек с предложениями о работе для проникновения в системы не является новинкой. Долгосрочная кампания под названием «Operation Dream Job» показывает, что группа использует различные социальные сети и платформы мгновенных сообщений для доставки вредоносного ПО.
Цепочка заражения начинается с того, что цели атаки запускают злонамеренный образ оптического диска, содержащий три файла, один из которых маскируется под клиент Amazon VNC («AmazonVNC.exe»), который на самом деле является переименованной версией законного приложения Windows «choice.exe».
Два других файла, «version.dll» и «aws.cfg», служат катализатором для начала заражения. В частности, исполняемый файл «AmazonVNC.exe» используется для DLL Sideloading вредоносной библиотеки «version.dll», которая, в свою очередь, запускает процесс IExpress.exe и внедряет в него полезную нагрузку, находящуюся в «aws.cfg».
Эта полезная нагрузка предназначена для загрузки шелл-кода с C2-домена, который, как предполагается, принадлежит итальянской компании, специализирующейся на добыче и обработке мрамора и гранита. Вероятно, этот домен был скомпрометирован злоумышленниками.
Как сообщил исследователь безопасности из Avast, этот вредоносный софт может, помимо стандартных функций RAT, изменять временную метку последней записи выбранного файла и загружать любой полученный DLL-бинарный файл с C2-сервера злоумышленников.
RAT служит каналом для доставки руткита FudModule, который недавно использовал уязвимость CVE-2024-21338 в драйвере appid.sys для получения примитивов чтения/записи в ядре и в конечном итоге для отключения механизмов безопасности.
Использование Lazarus ловушек с предложениями о работе для проникновения в системы не является новинкой. Долгосрочная кампания под названием «Operation Dream Job» показывает, что группа использует различные социальные сети и платформы мгновенных сообщений для доставки вредоносного ПО.
Цепочка заражения начинается с того, что цели атаки запускают злонамеренный образ оптического диска, содержащий три файла, один из которых маскируется под клиент Amazon VNC («AmazonVNC.exe»), который на самом деле является переименованной версией законного приложения Windows «choice.exe».
Два других файла, «version.dll» и «aws.cfg», служат катализатором для начала заражения. В частности, исполняемый файл «AmazonVNC.exe» используется для DLL Sideloading вредоносной библиотеки «version.dll», которая, в свою очередь, запускает процесс IExpress.exe и внедряет в него полезную нагрузку, находящуюся в «aws.cfg».
Эта полезная нагрузка предназначена для загрузки шелл-кода с C2-домена, который, как предполагается, принадлежит итальянской компании, специализирующейся на добыче и обработке мрамора и гранита. Вероятно, этот домен был скомпрометирован злоумышленниками.
На этой неделе Google выпустила обновление для Chrome 124, которое исправляет четыре сразу уязвимости, включая критическую проблему CVE-2024-4058 в ANGLE.
Учитывая, что уязвимости присвоен рейтинг «критической», и она представляет собой баг типа type confusion, вероятнее всего она может использоваться удаленно для выполнения произвольного кода или побега из песочницы при ограниченном взаимодействии с пользователем. Стоит сказать, что за последние годы лишь несколько уязвимостей в Chrome получили статус «критических».
Google поблагодарила за обнаружение CVE-2024-4058 специалистов из группы Qrious Secure. За свои находки исследователи получили вознаграждение в размере 16 000 долларов.
Также Qrious Secure сообщила Google еще как минимум о двух уязвимостях в Chrome: CVE-2024-0517, которая допускает удаленное выполнение кода, и CVE-2024-0223, которая, по словам исследователей, «может быть использована непосредственно через JavaScript, потенциально предоставляя привилегии GPU». Обе проблемы были исправлены в начале текущего года.
Google не сообщает о том, что CVE-2024-4058 уже может эксплуатироваться хакерами. Однако злоумышленники нередко эксплуатируют ошибки типа confusion, найденные в Chrome, хотя чаще такие уязвимости затрагивают JavaScript-движок V8.
Учитывая, что уязвимости присвоен рейтинг «критической», и она представляет собой баг типа type confusion, вероятнее всего она может использоваться удаленно для выполнения произвольного кода или побега из песочницы при ограниченном взаимодействии с пользователем. Стоит сказать, что за последние годы лишь несколько уязвимостей в Chrome получили статус «критических».
Google поблагодарила за обнаружение CVE-2024-4058 специалистов из группы Qrious Secure. За свои находки исследователи получили вознаграждение в размере 16 000 долларов.
Также Qrious Secure сообщила Google еще как минимум о двух уязвимостях в Chrome: CVE-2024-0517, которая допускает удаленное выполнение кода, и CVE-2024-0223, которая, по словам исследователей, «может быть использована непосредственно через JavaScript, потенциально предоставляя привилегии GPU». Обе проблемы были исправлены в начале текущего года.
Google не сообщает о том, что CVE-2024-4058 уже может эксплуатироваться хакерами. Однако злоумышленники нередко эксплуатируют ошибки типа confusion, найденные в Chrome, хотя чаще такие уязвимости затрагивают JavaScript-движок V8.