Злоумышленники генерируют полезную нагрузку прямиком в браузере.
Исследователи безопасности компании Menlo Security рассказали о новой вредоносной кампании, в ходе которой злоумышленники используют техники HTML smuggling и BLOB-объекты для загрузки вредоносного ПО в обход решений безопасности.
В ходе кампании, получившей название Duri, используется метод BLOB-объектов JavaScript, генерирующий вредоносные файлы в браузере, что позволяет избегать обнаружения песочницами и прокси.
"Работа традиционных сетевых решений безопасности наподобие межсетевых экранов, прокси-серверов и песочниц основывается на передаче объектов по проводам. К примеру, песочница может извлекать передаваемые по проводам файловые объекты, такие как .exe, .zip и...
Исследователи из компании Trend Micro, работающей в сфере информационной безопасности, обнаружили новое вредоносное программное обеспечение для Mac, которое может использоваться злоумышленниками для управления целевой системой и кражи данных.
Исследователи описали вредонос, относящийся к семейству XCSSET, как «необычный вирус, связанный с проектами разработчиков на Xcode». Напомним, Xcode — это созданная Apple интегрированная среда разработки ПО для платформ macOS, iOS, watchOS и tvOS. Необычность вредоноса в том, что он внедряется в проекты Xcode и активируется при их запуске.
Открытие исследователей говорит о том, что разработчики Xcode подвержены риску. Trend Micro сумела выявить несколько разработчиков, чьи проекты затронуты...
Новый инструментарий RaaS-шифровальщика Dharma позволяет успешно атаковать чужие ресурсы даже самым слабо подготовленным киберзлоумышленникам.
Я не халявщик
Операторы шифровальщика-вымогателя Dharma опубликовали набор инструментов, упрощающий совершение кибератак до предела.
Набор инструментов Toolbelt базируется на скрипте PowerShell, который при запуске позволяет злоумышленнику скачать и запустить на целевой машине набор различных инструментов с удаленного рабочего стола (\\tsclient\e). Этот удаленный ресурс, судя по всему, предоставляется операторами Dharma.
Пользователь Dharma вводит число, соответствующее любому из 62 операций, которые шифровальщик может выполнять. Необходимые исполняемые файлы будут загружаться и запускаться...
Д
ЦРУ и ФБР опубликовали совместный отчёт об обнаружении ранее неизвестного комплексного зловреда «Дроворуб» (Drovorub), разработчики которого, как утверждают исследователи, связаны с российскими спецслужбами и хакерской группировкой Fancy Bear, также известной под именами APT28, Group 74, Iron Twilight, PawnStorm, Sednit, Sofacy и Strontium.
«Дроворуб» включает четыре основных исполняемых компонента: клиентский модуль-имплант, руткит в виде модуля ядра Linux, клиентские модуль для передачи файлов и перенаправления портов/трафика, управляющий сервер. Сервер отвечает за регистрацию, аутентификацию и отправку задачи клиентам. Для связи используется протокол WebSocket.
Клиентская часть поставляется с готовыми настройками для подключения...
Специалисты Google Project Zero пишут, что один из патчей Microsoft, выпущенный ранее на этой неделе в рамках "вторника обновлений", оказался неэффективен. Проблема эскалации привилегий в Windows Local Security Authority Subsystem Service (LSASS) по-прежнему актуальна.
Уязвимость, о которой идет речь, имеет идентификатор CVE-2020-1509, и в мае текущего года ее обнаружил эксперт Google Project Zero Джеймс Форшоу. Эксплуатировать баг можно при помощи специально созданных запросов аутентификации, причем для успешного использования проблемы злоумышленнику понадобится заранее узнать действительные учетные данные.
Весной исследователь объяснял, что проблема связана с устаревшей возможностью AppContainer обеспечивать доступ к Security...
Группа исследователей из Рурского университета в Бохуме (Германия) представила технику атаки ReVoLTE (PDF), позволяющую перехватить зашифрованные голосовые звонки в сетях сотовой связи 4G/LTE, использующих для передачи голосового трафика технологию VoLTE (Voice over LTE). .
Для защиты телефонных звонков от перехвата в VoLTE для канала между клиентом и оператором применяется шифрование на основе потокового шифра. Спецификация предписывает генерировать для каждого сеанса уникальный ключевой поток, но как было выявлено исследователями 12 из 15 протестированных базовых станций не выполняют данное условие и повторно используют один и тот же поток ключей для двух последовательных вызовов по одному радиоканалу или используют предсказуемые...
Проблема присутствует в Chrome, Opera и Edge на базе движка Chromium.
Уязвимость в браузерах на базе движка Chromium позволяет злоумышленникам обойти политику защиты контента (Security Policy, CSP) на сайтах с целью похищения данных и внедрения вредоносного кода.
Уязвимость ( CVE-2020-6519 ) была обнаружена исследователем безопасности компании PerimeterX Галом Вайзманом (Gal Weizman). Проблема присутствует в Chrome, Opera и Edge на Windows, Mac и Android и затрагивает миллиарды интернет-пользователей. Что касается Chrome, то уязвимыми являются версии от 73 (выпущена в марте 2019 года) до 83. В выпущенной в июле нынешнего года версии Chrome 84 проблема уже исправлена.
CSP - это web-стандарт, обеспечивающий дополнительный уровень...
Компания, созданная отставными офицерами армии США, продает SDK для коммерческих приложений, позволяющих отслеживать пользователей в интересах рекламодателей. С правительством компания тоже сотрудничает, хотя и непублично.
500 шпионов
Компания Anomaly Six, чья штаб-квартира располагается в штате Вирджиния, интегрировала свой проприетарный SDK (от англ. software development kit, комплект средств разработки) в сотни мобильных приложений, тем самым обеспечивая им функции слежки за пользователям.
По данным Wall Street Journal, разработчики приложений за деньги позволяют коммерческим компаниям устанавливать это ПО в их разработки, чтобы те могли собирать данные о пользователях таких приложений, а затем продавать эти данные рекламодателям...
Корпорация Microsoft начала распространение ежемесячного пакета обновлений безопасности в рамках программы Patch Tuesday. Разработчики включили в него исправления для 120 уязвимостей в 13 продуктах Microsoft, в том числе Windows, Edge, SQL Server и др. Помимо прочего, установка патча исправляет 17 критических уязвимостей, а также две уязвимости нулевого дня, одна из которых эксплуатировалась злоумышленниками на практике.
Что касается уязвимостей нулевого дня, то одна из них относится к программной платформе Windows и имеет идентификатор CVE-2020-1464. Согласно имеющимся данным, эксплуатация данной уязвимости позволяет злоумышленникам подделывать цифровые подписи файлов, чтобы «обойти функции безопасности, используемые для проверки...
Разработчики TeamViewer устранили уязвимость с выпуском обновлений для версий TeamViewer с 8 по 15.
Пользователям популярного инструмента для удаленного управления ПК TeamViewer настоятельно рекомендуется обновиться до новой версии TeamViewer в связи с опасной уязвимостью в программном обеспечении, позволяющей похитить системный пароль и скомпрометировать систему. Более того, атака почти не требует взаимодействия с пользователем, все что нужно - убедить жертву посетить вредоносный сайт.
Уязвимость, получившая идентификатор CVE 2020-13699 , связана с тем, как TeamViewer обрабатывает заголовки URI, что позволяет злоумышленнику заставить ПО передать запрос NTLM аутентификации на систему атакующего.
Проще говоря, преступник может...
Неизвестные злоумышленники запустили 380 новых выходных узлов в сети Tor, которые применялись для перехвата трафика пользователей. Целью кибепреступников были владельцы биткоинов. Последние при попытке выполнить перевод криптовалюты с вероятностью почти 25% могли «подарить» ее хакерам, даже не обратив на это свое внимание.
Хитрая атака
Неизвестная группировка киберпреступников добавляла в сеть для анонимов Tor серверы ради осуществления атак на пользователей, проводящих операции с криптовалютами. Злоумышленники подменяли адреса целевых кошельков прямо в трафике, тем самым лишая своих жертв цифровых активов. Об этом сообщил портал Zdnet со ссылкой на отчет исследователя безопасности, известного под ником Nusenu.
Группировка начала свою...
На прошедшей конференции Black Hat был представлен доклад, посвящённый проблемам с безопасностью в системах спутникового доступа к интернету. Автор доклада, используя недорогой DVB-приёмник, продемонстрировал возможность перехвата интернет-трафика, передаваемого через спутниковые каналы связи.
Клиент может подключаться к провайдеру спутниковой связи через асимметричные или симметричные каналы. В случае асимметричного канала исходящий трафик от клиента отправляется через наземного провайдера, а принимается через спутник. В симметричных каналах исходящий и входящий трафик проходит через спутник. Адресованные клиенту пакеты отправляются со спутника с использованием широковещательной передачи, включающей трафик разных клиентов...
Китай внедрил блокировку всех HTTPS-соединений, в которых используется протокол TLS 1.3 и TLS-расширение ESNI (Encrypted Server Name Indication), обеспечивающее шифрование данных о запрашиваемом хосте. Блокировка осуществляется на транзитных маршрутизаторах как для соединений, устанавливаемых из Китая во внешний мир, так и из внешнего мира в Китай.
Для блокировки выполняется отбрасывание пакетов от клиента к серверу, а не подстановка пакетов с флагом RST, которая ранее выполнялась при выборочной блокировке по содержимому SNI. После срабатывания блокировки пакета с ESNI в течение от 120 до 180 секунд также блокируются все сетевые пакеты, соответствующие связке из исходного IP, целевого IP и номера порта назначения. HTTPS-соединения на...
Компания Mozilla представила новую редакцию браузера для систем виртуальной реальности - Firefox Reality PC Preview. Браузер поддерживает все возможности Firefox по обеспечению конфиденциальности, но предлагает иной трёхмерный интерфейс пользователя, позволяющий осуществлять навигацию по сайтам внутри виртуального мира или в составе систем дополненной реальности. Сборки доступны для установки через каталог HTC Viveport (пока только для Windows 10). Возможна работа со всеми 3D-шлемами, поддерживаемыми платформой Viveport, включая Vive Cosmos, Vive Pro, Valve Index, Oculus Rift и Oculus Rift S.
В отличие от основой редакции Firefox Reality, поддерживающей работу на устройствах под управлением Android, редакция Firefox Reality PC...
Тилли Котманн (Tillie Kottmann), разработчик для платформы Android из Швейцарии, ведущий Telegram-канал об утечках данных, опубликовал в открытом доступе 20 ГБ внутренней технической документации и исходных текстов, полученной в результате крупной утечки информации из компании Intel. Заявлено, что это первый набор из коллекции, переданной анонимным источником. Многие документы помечены как конфиденциальные, корпоративные секреты или распространяемые только по подписке о неразглашении.
Самые свежие документы датированы началом мая и включают информацию о новой серверной платформе Cedar Island (Whitley). Имеются также документы от 2019 года, например, описывающие платформу Tiger Lake, но большая часть информации датирована 2014 годом...
В последние два года из ПК и смартфонов «дыры» сыплются как из ведра. К этому можно привыкнуть и, наверняка, большинство владельцев устройств с обнаруженными уязвимостями сильно не переживают. Другое дело — разработчики «уязвлённого» железа. Им приходится как можно быстрее латать дыры. Вот и компания Qualcomm поспешила выпустить патчи для устранения уязвимости в сигнальных процессорах её разработки, которую обнаружили исследователи Check Point.
К сегодняшнему докладу на конференции DefCon 2020 компания Check Point подготовила рапорт, в котором рассказала об обнаруженных в DSP Qualcomm уязвимостях. Их там оказался целый букет, что позволило специалистам разнообразно и с выдумкой взломать смартфоны под управлением Android на платформах...
По данным интернет-издания BleepingComputer онлайн-сервисы компании Canon подверглись мощной хакерской атаке. В настоящий момент не работают более двух десятков американских сайтов производителя фото и видеоаппаратуры, а также почтовые сервисы, внутренние корпоративные платформы и многие другие приложения. Кроме того, как указывает источник, хакеры предположительно похитили 10 Тбайт данных, включающих личную информацию.
Источник сообщает, что атака предположительно началась ещё 30 июля, с сайта image.canon (облачного сервиса Canon, позволяющего хранить фотографии и видео), когда стали наблюдаться проблемы в его работе, а затем он и вовсе отключился. В течение нескольких дней сервис был недоступен. С 4 июля Canon его снова запустила...
Web-серверы и HTTP-прокси-серверы по-прежнему уязвимы к HTTP Request Smuggling даже спустя 15 лет с момента их обнаружения.
Специалист из компании SafeBreach сообщил о четырех новых вариантах атаки HTTP Request Smuggling («контрабандный HTTP-запрос»), которые могут быть использованы против различных коммерческих web-серверов и прокси-серверов HTTP.
Вице-президент по исследованиям безопасности в SafeBreach Амит Кляйн (Amit Klein) представил свои находки на конференции по кибербезопасности Black Hat. По его словам, web-серверы и HTTP-прокси-серверы по-прежнему уязвимы к HTTP Request Smuggling даже спустя 15 лет с момента их обнаружения.
HTTP Request Smuggling основывается на различиях в обработке данных одного или нескольких...
WastedLocker сбивает с толку решения для защиты от вымогательского ПО, базирующиеся на анализе поведения.
Появившееся недавно одно из самых опасных семейств вымогательского ПО WastedLocker обязано своим успехом уникальному механизму обхода решений безопасности, в том числе инструментов для блокировки программ-вымогателей.
Вымогательское ПО WastedLocker появилось в мае нынешнего года и входит в арсенал известной киберпреступной группировки Evil Corp, также известной как Dridex. Именно оно использовалось в нашумевшей атаке на компанию Garmin, предположительно заплатившую Evil Corp $10 млн за инструмент для расшифровки файлов.
Исследователи компании Sophos изучили WastedLocker и обнаружили , что для обхода обнаружения вредонос...
Аналитики компании AdGuard выявили в Chrome Web Store 295 вредоносных расширений для браузера Chrome, которые были установлены более 80 000 000 раз.
Большинство опасных расширений маскировались под блокировкщики рекламы и легко находились по таким запросам, как adblock, adguard, ublock, ad blocker и так далее. Также были обнаружены расширения, замаскированные под виджеты прогноза погоды и утилиты для создания скриншотов. При этом на самом деле 245 из 295 расширений не имели никакой полезной для пользователей функциональности и могли лишь поменять настраиваемый фон для новых вкладок в Chrome.
Все эти расширения становились вредоносными не сразу: лишь после получения соответствующей команды с удаленного сервера они загружали...