Пятого июня исследователи «Лаборатории Касперского» опубликовали подробный разбор вредоносной программы Satacom, известной также как LegionLoader. Речь идет о семействе загрузчиков — программ, которые устанавливают на компьютер пользователя «полезную нагрузку». В статье разобран вариант, в котором на устройство жертвы ставится расширение для браузера с богатой функциональностью по краже криптовалют.
Особый интерес представляет показанный в статье метод распространения вредоносного кода. В дополнение к чисто мошенническим сайтам, предлагающим скачать пиратскую версию какого-либо популярного ПО, Satacom также распространяется через рекламные объявления, представляющие собой изображение кнопки Download. Да, это тот самый случай, когда на каком-то (сомнительном или не очень) файловом хостинге отображается сразу несколько кнопок загрузки файла, и пользователю нужно угадать, какая из них относится непосредственно к этому хостингу. В исследовании подробно описана ситуация, когда потенциальная жертва нажимает не туда, куда надо.
На скриншоте выше показана работа рекламного плагина Quads, который злоумышленники эксплуатируют для встраивания в веб-сайты вредоносной кнопки Download. По клику на этот баннер пользователь проходит через несколько веб-страниц, пока не попадает на вредоносный хостинг, замаскированный под обычный сайт для обмена файлами. Там жертва скачивает архив и самостоятельно распаковывает его. Внутри «для вида» находятся несколько безвредных DLL-файлов и вредоносная программа setup.exe, размер которой принудительно увеличен до 450 мегабайт.
В процессе установки вредоносного кода происходит последовательная расшифровка блоков данных; используется алгоритм RC4. Загрузчик выполняет запрос к DNS-серверам Google, получает TXT-запись определенного домена, которая содержит зашифрованный URL. И вот оттуда уже скачивается полезная нагрузка. Что именно будет загружено, зависит от конкретной ситуации. В статье показана установка вредоносного расширения для браузеров Google Chrome, Brave и Opera. Скрипт Powershell ищет все файлы .LNK, ответственные за запуск одного из этих браузеров, и добавляет к ним строку, которая при запуске загружает кастомное расширение. После этого все открытые браузеры принудительно закрываются, вынуждая пользователя запустить вредоносный код. Имя аддона в данном случае маскируется под название легитимного сервиса Google Drive.
Расширение таргетирует пользователей криптовалютных сервисов Coinbase, Bybit, KuCoin, Huobi и Binance. С командного сервера загружаются адреса кошельков организаторов атаки, на которые переводятся средства жертвы. Еще одна интересная функциональность вредоносной программы — это подмена данных в веб-интерфейсе почтовых сервисов GMail, Hotmail и Yahoo. В результате содержимое легитимных сообщений, например от биржи Binance, может быть заменено на очень похожее «письмо» от кибермошенников. Все это, естественно, дополняется стандартными функциями слежки за пользователем: злоумышленники получают информацию о системе, сохраненные куки, историю посещения веб-сайтов и прочее.
В результате работы вредоносной программы пользователь, скорее всего, лишится своих криптовалютных сбережений. Устанавливаемое загрузчиком расширение устроено так, чтобы мошеннические переводы были по максимуму скрыты от жертвы. Для этого используются методы обхода двухфакторной аутентификации, подменяется содержимое веб-страниц криптовалютных сервисов, модифицируются почтовые сообщения, отображаемые в браузере. И все это — следствие одного случайного клика на вредоносный баннер, очень похожий на настоящую кнопку Download.
«Лаборатория Касперского» опубликовала три статьи в рамках отчета об эволюции киберугроз за первый квартал 2023 года: обзорная публикация, статистика по ПК и по мобильным устройствам.
Компания Gigabyte выпустила обновления BIOS для своих материнских плат, в которых ранее была обнаружена уязвимая система доставки апдейтов. О потенциальной уязвимости ранее рассказала компания Eclypsium (оригинальный пост, новость на Хабре). Крайне небезопасная система проверки обновлений сначала принудительно устанавливает исполняемый файл в Windows, который затем проверяет наличие обновлений по небезопасному соединению. Патч добавляет верификацию подключения к серверам Gigabyte и отдельно проверяет аутентичность скачиваемых файлов.
Компания Apple анонсировала массу обновлений, направленных на защиту приватности пользователей и общую безопасность устройств. Среди нововведений упомянуто автоматическое «отрезание» модификаторов URL, которые позволяют отслеживать активность пользователя, — если такие URL пересылаются в фирменном мессенджере и почтовом клиенте. Кроме того, усилен режим Lockdown Mode (подробнее о нем здесь): добавлены направленные на безопасность ограничения настроек беспроводных соединений, средств обработки медиаконтента и другое. Кроме того, Lockdown Mode теперь будет доступен и в умных часах Apple.
Компания Barracuda Networks пошла на довольно необычный шаг, после того как в ее аппаратных устройствах класса Email Security Gateway обнаружили критическую эксплуатируемую уязвимость. В письме клиентам производитель рекомендует заменить устройства. Предположительно это может быть связано как с невозможностью закрыть проблему патчем, так и с трудностями по «очистке» уже скомпрометированного устройства.
Особый интерес представляет показанный в статье метод распространения вредоносного кода. В дополнение к чисто мошенническим сайтам, предлагающим скачать пиратскую версию какого-либо популярного ПО, Satacom также распространяется через рекламные объявления, представляющие собой изображение кнопки Download. Да, это тот самый случай, когда на каком-то (сомнительном или не очень) файловом хостинге отображается сразу несколько кнопок загрузки файла, и пользователю нужно угадать, какая из них относится непосредственно к этому хостингу. В исследовании подробно описана ситуация, когда потенциальная жертва нажимает не туда, куда надо.
На скриншоте выше показана работа рекламного плагина Quads, который злоумышленники эксплуатируют для встраивания в веб-сайты вредоносной кнопки Download. По клику на этот баннер пользователь проходит через несколько веб-страниц, пока не попадает на вредоносный хостинг, замаскированный под обычный сайт для обмена файлами. Там жертва скачивает архив и самостоятельно распаковывает его. Внутри «для вида» находятся несколько безвредных DLL-файлов и вредоносная программа setup.exe, размер которой принудительно увеличен до 450 мегабайт.
В процессе установки вредоносного кода происходит последовательная расшифровка блоков данных; используется алгоритм RC4. Загрузчик выполняет запрос к DNS-серверам Google, получает TXT-запись определенного домена, которая содержит зашифрованный URL. И вот оттуда уже скачивается полезная нагрузка. Что именно будет загружено, зависит от конкретной ситуации. В статье показана установка вредоносного расширения для браузеров Google Chrome, Brave и Opera. Скрипт Powershell ищет все файлы .LNK, ответственные за запуск одного из этих браузеров, и добавляет к ним строку, которая при запуске загружает кастомное расширение. После этого все открытые браузеры принудительно закрываются, вынуждая пользователя запустить вредоносный код. Имя аддона в данном случае маскируется под название легитимного сервиса Google Drive.
Расширение таргетирует пользователей криптовалютных сервисов Coinbase, Bybit, KuCoin, Huobi и Binance. С командного сервера загружаются адреса кошельков организаторов атаки, на которые переводятся средства жертвы. Еще одна интересная функциональность вредоносной программы — это подмена данных в веб-интерфейсе почтовых сервисов GMail, Hotmail и Yahoo. В результате содержимое легитимных сообщений, например от биржи Binance, может быть заменено на очень похожее «письмо» от кибермошенников. Все это, естественно, дополняется стандартными функциями слежки за пользователем: злоумышленники получают информацию о системе, сохраненные куки, историю посещения веб-сайтов и прочее.
В результате работы вредоносной программы пользователь, скорее всего, лишится своих криптовалютных сбережений. Устанавливаемое загрузчиком расширение устроено так, чтобы мошеннические переводы были по максимуму скрыты от жертвы. Для этого используются методы обхода двухфакторной аутентификации, подменяется содержимое веб-страниц криптовалютных сервисов, модифицируются почтовые сообщения, отображаемые в браузере. И все это — следствие одного случайного клика на вредоносный баннер, очень похожий на настоящую кнопку Download.
Что еще произошло
«Лаборатория Касперского» опубликовала три статьи в рамках отчета об эволюции киберугроз за первый квартал 2023 года: обзорная публикация, статистика по ПК и по мобильным устройствам.
Компания Gigabyte выпустила обновления BIOS для своих материнских плат, в которых ранее была обнаружена уязвимая система доставки апдейтов. О потенциальной уязвимости ранее рассказала компания Eclypsium (оригинальный пост, новость на Хабре). Крайне небезопасная система проверки обновлений сначала принудительно устанавливает исполняемый файл в Windows, который затем проверяет наличие обновлений по небезопасному соединению. Патч добавляет верификацию подключения к серверам Gigabyte и отдельно проверяет аутентичность скачиваемых файлов.
Компания Apple анонсировала массу обновлений, направленных на защиту приватности пользователей и общую безопасность устройств. Среди нововведений упомянуто автоматическое «отрезание» модификаторов URL, которые позволяют отслеживать активность пользователя, — если такие URL пересылаются в фирменном мессенджере и почтовом клиенте. Кроме того, усилен режим Lockdown Mode (подробнее о нем здесь): добавлены направленные на безопасность ограничения настроек беспроводных соединений, средств обработки медиаконтента и другое. Кроме того, Lockdown Mode теперь будет доступен и в умных часах Apple.
Компания Barracuda Networks пошла на довольно необычный шаг, после того как в ее аппаратных устройствах класса Email Security Gateway обнаружили критическую эксплуатируемую уязвимость. В письме клиентам производитель рекомендует заменить устройства. Предположительно это может быть связано как с невозможностью закрыть проблему патчем, так и с трудностями по «очистке» уже скомпрометированного устройства.
StollmanID
Напомнило случай один. У меня долгое время была отключена запись истории просмотра в Youtube. И вот я стал обнаруживать порой на экране блокировки ноутбука плеер воспроизведения с какой то дичью на арабском (как правило) в названии. Я заподозрил, наконец, что-то неладное, включил таки историю и увидел, как там с довольно высокой частотой появляются какие то видео, в основном на арабском, опять таки. Ну я начал рыться в файлах, искать вредонос, пока до меня не дошло, что это может быть расширение в браузере. Я недолго искал какое конкретно, удалил его (по моему, это был какой-то VPN сервис), что немаловажно, я сам его ставил. Жалобу кинул, как и полагается. Вроде и хэппи энд, но у меня до сих пор в "понравившихся" висят около 600 видео непонятного содержания на непонятных языках. Эта штука еще и лайки ставила от моего лица. Вычищать такой объем понравившихся вручную как то проблематично, пока что они так и висят...