Новости информационной безопасности

Пользователь рассказал о «странных» интересах разработчиков TikTok 29.06.20 После того, как в бета-версии iOS 14 появился более строгий список ограничений для сторонних приложений, популярный сервис TikTok тут же уличили в постоянном мониторинге буфера обмена на устройстве. Но, по заявлению одного из пользователей Reddit, на деле всё ещё хуже: согласно его публикации с результатами исследования кода приложения, количество собираемых им данных бьёт все известные рекорды. «Разобрав» TikTok буквально на строки кода и изучив алгоритм работы сервиса, пользователь Reddit с ником Bangorlol пришёл к выводу, что оно собирает нетипичные для социальных сетей данные — и опубликовал внушительный список таких запросов. В частности, приложение...

Обнаружилось, что приложение TikTok зачем-то то и дело обращается к буферу обмена 27.06.2020 По сообщениям сетевых источников, популярное приложение TikTok обращается к буферу обмена каждые несколько секунд. На это обратили внимание пользователи iOS 14, где реализован вывод уведомлений о том, что какое-либо приложение получает доступ к буферу обмену. В TikTok такую активность объяснили работой функции, защищающей пользователей от спама. Приложения делают много разных вещей в фоновом режиме. Поэтому компании Apple и Google в своих мобильных операционных системах реализовали разные уровни разрешений. Для доступа к определённым функциям устройства приложениям требуется запрашивать разрешение пользователя. Теперь же стало известно...

Малварь Lucifer использует множество эксплойтов,занимается майнингом и DDos-атаками 26.06.20 Эксперты Palo Alto Networks подготовили отчет о малвари Lucifer, которая использует множество эксплоитов и, по словам специалистов, «сеет хаос» на Windows-хостах. Отмечается, что сами авторы вредоноса дали своему детищу имя Satan DDoS, но ИБ-специалисты называют его Lucifer, чтобы отличать шифровальщика Satan. Ботнет Lucifer привлек внимание исследователей после многочисленных инцидентов, связанных с эксплуатацией критической уязвимости CVE-2019-9081 во фреймворке Laravel, которая может привести к удаленному выполнению произвольного кода. Вариант малвари, использующий CVE-2019-9081, был замечен 29 мая 2020 года, после чего кампания...

Шифровальщик REvil ищет PoS-системы в сетях своих жертв 25.06.20 Эксперты Symantec Threat Intelligence обнаружили, что операторы вымогателя REvil (Sodinokibi) сканировали сеть одной из своих жертв в поисках серверов Point of Sale (PoS). Исследователи напоминают, что REvil (он же Sodinokibi) это малварь, работающая по схеме шифровальщик-как-усулуга (ransomware-as-a-service, RaaS). REvil специализируется на компрометации корпоративных сетей с помощью эксплоитов, уязвимых служб удаленного доступа, спама, а также взлома поставщиков управляемых услуг (Managed services providers). Проникнув в сеть, REvil развивает свою атаку в боковом направлении, похищает информацию со всех доступных серверов и рабочих станций, и лишь после этого шифрует...

Вымогатель WastedLocker,принадлежащий Evil Corp требует миллионы долларов выкупа 25.06.20 Эксперты Fox-IT рассказали о последней активности известной хакерской группы Evil Corp. По данным аналитиков, группа вернулась к жизни в январе текущего года и провела несколько вредоносных кампаний, а затем и вовсе возобновила активность с новыми инструментами. Напомню, что группировку Evil Corp называют одной из наиболее активных и наглых среди киберпреступников. За сведения о ее членах американское правительство назначило награду в 5 миллионов долларов, а СМИ часто обсуждают слухи об их роскошном образе жизни и возможных связях с российскими спецслужбами. В начале текущего года мы постарались поподробнее разобраться в истории этой хакерской...

Microsoft выпустил редакцию пакета Defender ATP для Linux 24.06.20 Компания Microsoft объявила о доступности версии пакета Microsoft Defender ATP (Advanced Threat Protection) для платформы Linux. Продукт предназначен для превентивной защиты, отслеживания неисправленных уязвимостей, а также выявления и устранения вредоносной активности в системе. Платформа комбинирует в себе антивирусный пакет, систему выявления сетевых вторжений, механизм защиты от эксплуатации уязвимостей (включая 0-day), инструментарий для расширенной изоляции, дополнительные средства управления приложениями и систему выявления потенциально вредоносной активности. Первый выпуск включает в себя средства превентивной защиты и инструментарий командной строки для...

Преступники используют Google Analytics для кражи данных кредитных карт 24 Июня, 2020 Злоумышленники внедряют на взломанный сайт вредоносный код, собирающий платежные данные. Киберпреступники используют сервис Google Analytics для кражи информации кредитных карт со скомпрометированных сайтов электронной коммерции. По словам специалистов из компании «Лаборатория Касперского» злоумышленники внедряют на взломанный сайт вредоносный код, собирающий вводимые пользователем платежные данные, и отправляет их через Google Analytics на подконтрольный злоумышленнику ресурс. Злоумышленники часто регистрируют домены, напоминающие имена популярных web-сервисов с целью сделать отправку данных на сторонний ресурс менее заметной. Как отметили...

Уязвимость в UEFI для процессоров AMD 22.06.20 Компания AMD сообщила о работе над исправлением серии уязвимостей "SMM Callout" (CVE-2020-12890), позволяющей получить контроль над прошивкой UEFI и выполнить код на уровне SMM (System Management Mode). Для атаки необходим физический доступ к оборудованию или доступ к системе с правами администратора. В случае успешной атаки злоумышленник может воспользоваться интерфейсом AGESA (AMD Generic Encapsulated Software Architecture) для выполнения произвольного кода, который невозможно выявить из операционной системы. Уязвимости присутствуют во входящем в состав прошивки UEFI коде, выполняемом в режиме SMM (Ring -2), более приоритетном, чем режим гипервизора и нулевое кольцо защиты, и имеющим...

Во Flash-плееры заложена «бомба с часовым механизмом». В конце 2020 г. они перестанут работать 22.06.2020, Корпорация Adobe приложит максимум усилий для того, чтобы заставить как можно больше людей отказаться от Flash-плеера, срок поддержки которого истекает в конце 2020 г. Отлучать пользователей от признанной небезопасной технологии будут и словом, и делом: вежливо попросят удалить ранее установленный плеер, а в случае отказа принудительно сделают его неработоспособным. «Бомба» во Flash-плеере Adobe попросит пользователей удалить знаменитый мультимедиа-плеер Flash с персональных компьютеров до конца 2020 г. Об этом говорится на обновленной странице поддержки Adobe, посвященной завершению цикла поддержки продукта. Компания планирует...

Microsoft Edge запускается со стартом Windows, не считаясь с настройками 20.06.20 Microsoft изучает интересный баг, благодаря которому браузер Edge запускается со стартом операционной системы Windows, независимо от того, указал ли пользователь автозапуск в настройках или нет. Об агрессивной рекламе Microsoft Edge и политике навязывания браузера пользователям слышно с самого выхода Chromium-версии интернет-обозревателя. Вот и сейчас проще поверить в ещё один маркетинговый ход, чем в проблему конфигурации. Тем не менее представители Microsoft пишут: «Сообщество утверждает, что новые версии Microsoft Edge автоматически запускаются со стартом Windows. Сообщается, что на это поведение никак не влияет соответствующая настройка браузера —...

Хакеры заставляют пользователей заполнить CAPTCHA, чтобы избежать автоматическое обнаружение атаки 21.06.20 Microsoft недавно обнаружила атаки, в ходе которых распространялся вредоносный документ Excel. Это происходило на сайте, требующем от пользователей заполнить CAPTCHA. Скорее всего, хакеры пришли к этому, чтобы помешать автоматическому обнаружению сканерами. 93 people are talking about this Сам файл Excel содержит макросы, которые при включении устанавливают троян GraceWire, который ворует конфиденциальную информацию, например, пароли. Атаки инициировала группа Chimborazo, которую исследователи Microsoft отслеживают с января. 183 people are talking about this Ранее эта группа распространяла файл Excel во вложениях...

Google опубликовал код безопасности 20.06.20 Компания Google представила сканер безопасности Tsunami, предназначенный для проверки хостов в сети на наличие известных уязвимостей или выявления проблем с настройками, влияющими на защищённость инфраструктуры. Tsunami предоставляет общую универсальную платформу, функциональность которой определяется через плагины. Например, предлагается плагин для сканирования портов на базе nmap и плагин проверки ненадёжных параметров аутентификации на базе Ncrack, а также плагины с детекторами уязвимостей в Hadoop Yarn, Jenkins, Jupyter и Wordpress. Код проекта написан на языке Java и распространяется под лицензией Apache 2.0. Целью проекта является предоставление инструмента для оперативного выявления...

Google опубликовала код безопасности Tshunami 19.06.20 Компания Google представила сканер безопасности Tsunami, предназначенный для проверки хостов в сети на наличие известных уязвимостей или выявления проблем с настройками, влияющими на защищённость инфраструктуры. Tsunami предоставляет общую универсальную платформу, функциональность которой определяется через плагины. Например, предлагается плагин для сканирования портов на базе nmap и плагин проверки ненадёжных параметров аутентификации на базе Ncrack, а также плагины с детекторами уязвимостей в Hadoop Yarn, Jenkins, Jupyter и Wordpress. Код проекта написан на языке Java и распространяется под лицензией Apache 2.0. Целью проекта является предоставление инструмента для оперативного...

ФАС изменила требования к производителям по предустановке ПО 19.06.20 Производителям будет предоставлен выбор из трех технических типов предустановки. Федеральная антимонопольная служба (ФАС) направила в правительство проект постановления об обязательной предустановке отечественных приложений и программ на смартфоны, компьютеры и Smart TV. Окончательный текст проекта сформирован в феврале 2020 года по результатам обсуждения со всеми заинтересованными лицами и учитывает все аспекты взаимодействия участников рынка, включая технические особенности. Как сообщается в обновленной версии документа, производителям будет предоставлен выбор из трех технических типов предустановки: предустановка на жесткий диск, окно выбора или предоставление...

Из Chrome Web удалили 106 вредоносных расширений 18.06.20 Специалисты из компании Awake Security рассказали, что им удалось обнаружить в Chrome Web Store 111 вредоносных расширений, занимавшихся сбором конфиденциальных данных пользователей. В общей сложности они были загружены 32 962 951 раз. 106 расширений уже были удалены из официального каталога и, следуя стандартной практике, инженеры Google отключили эти расширения в браузерах пользователей. То есть они по-прежнему установлены у пострадавших, однако отключены и помечены как «вредоносные». Полный список выявленных аналитиками расширений можно увидеть здесь. Исследователи рассказывают, что малварь маскировалась под самые разные инструменты, от утилит для улучшения поиска, до...

Microsoft Defender ATP получил сканер UEFI 18.06.20 Microsoft продолжает совершенствовать защитные функции своей платформы Microsoft Defender Advanced Threat Protection (ATP). На этот раз разработчики оснастили Defender ATP сканером интерфейса UEFI (Unified Extensible Firmware Interface). Такой ход Microsoft выглядит вполне логичным, поскольку за последние несколько лет число атак на аппаратную составляющую и прошивку заметно увеличилось. В этих условиях защитные программы обязаны подстраиваться. Ещё два года назад корпорация представила Windows Defender System Guard, задача которого — предотвращать атаки на уровне прошивки и следить за безопасной загрузкой операционной системы. Именно эту функцию Microsoft решила развивать дальше...

Массовая слежка за пользователями Google Chrome показала слабое место в безопасности 18.06.20 По словам представителя Awake, по количеству загрузок это была самая масштабная вредоносная кампания в Chrome на сегодняшний день Исследователи из Awake Security обнаружили среди расширений для ведущего на рынке веб-браузера Google Chrome шпионские программы, которые были загружены примерно 32 млн раз. Этот пример показывает неспособность отрасли сделать браузеры безопасными. Между тем, они все чаще используются для работы с электронной почтой, оплаты и выполнения других чувствительных функций. Компания Alphabet заявила, что удалила более 70 вредоносных надстроек из своего официального интернет-магазина Chrome после того, как исследователи...

Десятки вредоносных расширений для Google Chrome были загружены пользователями более 30 млн раз 18.06.2020 Специалисты компании Awake Security, работающей в сфере информационной безопасности, обнаружили более 70 вредоносных расширений для популярного веб-браузера Google Chrome, которые суммарно были загружены пользователями около 32 млн раз. Эксперты отмечают неспособность технологической индустрии обеспечить надёжную защиту браузеров, несмотря на то, что пользователи используют их для просмотра электронной почты, онлайн-банкинга, общения в социальных сетях и выполнения других действий, связанных с обработкой конфиденциальных данных. Компания Alphabet Inc, являющаяся материнским предприятием Google, объявила о том, что после...

Adobe исправила 18 критических багов в своих продуктов 18.06.20 На этой неделе разработчики Adobe выпустили внеочередной набор патчей и исправили 18 критических уязвимостей в своих продуктах, включая After Effects, Illustrator, Premiere Pro, Premiere Rush и Audition. В After Effects было устранено пять критических уязвимостей (CVE-2020-9661, CVE-2020-9660, CVE-2020-9662, CVE-2020-9637, CVE-2020-9638), связанных с out-of-bounds записью, чтением и переполнением хипа. Проблемы позволяли выполнить произвольный код в контексте текущего пользователя. Еще пять критических RCE-уязвимостей (CVE-2020-9642, CVE-2020-9575, CVE-2020-9641, CVE-2020-9640, CVE-2020-9639), вызванных проблемами с буфером и повреждением информации в памяти, были...

Утечка поисковых ключей через DNS в Firefox и Chrome 18.06.20 В Firefox и Chrome выявлена особенность обработки набранных в адресной строке поисковых запросов, которая приводит к утечке сведений через DNS-сервер провайдера. Суть проблемы в том, что если поисковый запрос состоит только из одного слова браузер вначале пытается в DNS определить наличие хоста с таким именем, полагая, что пользователь пытается открыть поддомен, и уже потом перенаправляет запрос поисковой системе. Таким образом, владелец DNS-сервера, указанного в настройках пользователя, получает сведения о состоящих из одного слова поисковых запросах, что оценивается как нарушение конфиденциальности. Проблема проявляется при использовании как DNS-сервера провайдера, так и...