Экстренное обновление Google Chrome против атак нулевого дня

​

Google выпустила Chrome 95.0.4638.69 для Windows, Mac и Linux, чтобы исправить две уязвимости нулевого дня, которые активно использовались злоумышленниками.
«Google знает, что эксплойты для CVE-2021-38000 и CVE-2021-38003 существуют в дикой природе», - сообщил Google в списке исправлений безопасности в сегодняшнем выпуске Google Chrome.

Хотя Google заявляет, что новая версия может занять некоторое время, чтобы достичь всех, обновление уже начало развертывание Chrome 95.0.4638.69 для пользователей по всему миру в канале стабильного рабочего стола.

Чтобы установить обновление Chrome немедленно, перейдите в меню Chrome > Справка > О Google Chrome , и браузер начнет выполнять обновление.


Chrome 95.0.4638.69 был установлен сразу
Google Chrome также проверит наличие доступных обновлений и установит их при следующем запуске веб-браузера.

Подробности атак нулевого дня не разглашаются​

В этом выпуске Chrome исправлено в общей сложности семь уязвимостей, две из которых относятся к нулевым дням и, как известно, эксплуатировались в дикой природе.
Первый нулевой день, отслеживаемый как CVE-2021-38000 , описывается как «Недостаточная проверка ненадежных входных данных в намерениях», и ему был присвоен высокий уровень серьезности. Эта уязвимость была обнаружена Клементом Лесинье, Нилом Мехтой и Мэдди Стоун из Google Threat Analysis Group 15 сентября 2021 года.
Второй нулевой день, отслеживаемый как CVE-2021-38003 , представляет собой ошибку «Несоответствующая реализация» высокой степени серьезности в движке JavaScript Chrome V8. Эта уязвимость также была обнаружена Lecigne и сообщена 24 октября.

На данный момент ни Google, ни исследователи не предоставили дополнительной информации о том, как злоумышленники использовали уязвимости в атаках. Однако, когда Google обнаружил уязвимости, мы можем узнать больше в будущих отчетах Google TAG или Project Zero.
Поскольку эти две уязвимости использовались в атаках, всем пользователям Chrome рекомендуется выполнить обновление вручную или перезапустить браузер, чтобы установить последнюю версию.

Пятнадцая атака нулевого дня установлена в этом году​

С помощью этих исправлений Google с начала 2021 года исправил 15 уязвимостей нулевого дня Chrome.
Остальные тринадцать нулевых дней, исправленные в этом году, перечислены ниже:

• CVE-2021-21148 - 4 февраля 2021 г.
• CVE-2021-21166 - 2 марта 2021 г.
• CVE-2021-21193 - 12 марта 2021 г.
• CVE-2021-21220 - 13 апреля 2021 г.
• CVE-2021-21224 - 20 апреля 2021 г.
• CVE-2021-30551 - 9 июня 2021 г.
• CVE-2021-30554 - 17 июня 2021 г.
• CVE-2021-30563 - 15 июля 2021 г.
• CVE-2021-30632 и CVE-2021-30633 - 13 сентября
• CVE-2021-37973 - 24 сентября 2021 г.
• CVE-2021-37976 и CVE-2021-37975 - 30 сентября 2021 г.

Поскольку Google сейчас выпускает обновления Chrome, чтобы исправить ошибки нулевого дня по мере их появления, пользователям настоятельно рекомендуется не блокировать обновления и устанавливать новые версии по мере их появления.

Перевод - Google
Bleeping Computer

 

[Candellmans]

Специалисты Sonatype обнаружили NPM-пакеты, распространявшие под видом Noblox.js вымогательское NPM пакеты​

Не успели специалисты Sonatype обнаружить в этом месяце вредоносное ПО для майнинга криптовалюты в трех JavaScript-библиотеках, загруженных в официальный репозиторий NPM, как появилась новая напасть. Речь пойдет о еще двух NPM-пакетах — noblox.js-proxy и noblox.js-proxies. Злоумышленники воспользовались известным способом, когда написание слова очень близко к написанию известных названий, в данном случае — пакета Noblox.js.proxied. Или так называемый тайпсквоттинг, когда злоумышленник или просто ловкий делец пользуется ошибками в написании, при которых не сразу заметна ошибка, и пользователь считает легитимным написание того или иного названия, в данном случае API обертку для Roblox под названием noblox.js-proxied.

Данные пакеты заражали жертв целым наборов вирусов — трояном для похищения паролей, trollware-программами (неопасным ПО, главной целью которого является раздражение пользователя и троллинг) и вымогательским ПО MBRLocker, которое преступники для большего нагнетания страха выдавали за вирус GoldenEye. Программа-вымогатель GoldenEye появилась в 2016 году как Petya (не путать с ExPetr), а в 2017 году она уже повторилась под названием GoldenEye. Вместо шифрования отдельных файлов она шифровала целиком жесткие диски жертв. Это достигалось путем шифрования основной таблицы файлов (MFT), что сделало невозможным доступ к файлам на жестком диске.

Псевдо-Petya/GoldenEye после заражения перезагружал компьютер и на экране появляется логотип настоящего ПО Petya/GoldenEye.



После нажатия на клавишу ввода на экран выводилась записка с требованием выкупа. По оценкам независимых специалистов по информационной безопасности в Сети эти пакеты были созданы с целью вывода из строя системы и издевательства над пользователем, нежели получения выкупа.
Радует быстрое обнаружение данных пакетов, а точнее, опечаток в их названиях. Благодаря такому оперативному выявлению вирусов один пакет скачали 281 раз, второй — 106 раз. Потому что официальная Noblox.js является открытой библиотекой JavaScript API для популярной игры Roblox. Пользователи используют эту библиотеку для создания внутриигровых скриптов, которые взаимодействуют с веб-сайтом Roblox. Она загружена на сегодняшний день более 700 тысяч раз. Как видно, злоумышленники рассчитывали на больший масштаб заражения.

В ходе поисков вредоносного ПО первый пакет Noblox.js-proxy был отмечен автоматической системой обнаружения вредоносных программ Sonatype, а при его изучении исследовательская группа по безопасности нашла noblox.js-proxies — второй вредоносный пакет. На первый взгляд, оба пакета выглядели нормально, поскольку на странице NPM отображается их README для официального пакета Noblox. Данная ситуация подчеркивает важность симбиоза работы автоматических системы и человека в сфере защиты информационных систем.

После добавления в проект и запуска вредоносных NPM-библиотек выполнялся скрипт postinstall.js. Обычно скрипт используется для выполнения легитимных команд после установки библиотек, но в данном случае он запускает на компьютере жертвы цепочку вредоносных действий. После выполнения скрипт запускает сильно измененный файл batch с именем nobox.bat. Этот Batch-скрипт загружал вредоносные исполняемые файлы из сети доставки контента (Content Delivery Network, CDN) Discord, которые отвечали за отключение защитных механизмов, обеспечение постоянного присутствия на скомпрометированном устройстве, хищение учетных данных, файлов cookie и истории из браузера. Также он заражал устройство вымогателем Monster Ransomware — тем самым псевдо-GoldenEye.

Хакер.ру

Что касается проблем заражения через Discord, летом 2021 года специалисты компании Sophos уже предупреждали, что распространение вредоносного ПО через сеть доставки контента Discord становится все более популярным. На сегодня около 4% всего вредоносного ПО приходится на нее.