Важным событием прошлой недели стала масштабная попытка кражи данных у пользователей сервиса GitHub (новость на сайте BleepingComputer, новость на Хабре). Злоумышленники использовали стандартную функциональность репозитория, открывая новую запись в разделе Issues. В результате владельцы репозитория получали на почту уведомление следующего вида:
После перехода по ссылке на более не действующий сторонний сайт пользователю выводилось предложение «проверить, что вы не робот». И далее следовала гениальная находка атакующих: для «верификации» предлагалось открыть меню выполнения команд в Windows с помощью комбинации клавиш Win+R и вставить туда предварительно помещенный в буфер обмена кусок кода. Этот код открывал консоль PowerShell, скачивал и выполнял вредоносный файл. Если вам кажется, что настолько прямолинейная атака уж точно не затронет разработчиков, есть как минимум один аргумент, почему все же стоит опасаться и таких «вредоносных программ в ручном режиме».
Так выглядели Issue, которые злоумышленники рассылали с одноразовых учеток в GitHub:
На данный момент все подобные комментарии из репозиториев удалены. Но подача багрепорта инициировала отправку вполне легитимной нотификации от GitHub, как на скриншоте в начале статьи. Вряд ли стоит ожидать, что технически подкованный пользователь среагирует на подобную провокацию и действительно своими руками выполнит непонятный код на своем ПК. Но не стоит забывать, что на рассылку от GitHub могут быть подписаны также и далекие от технологий руководители или даже подрядчики, и вот с ними подобный трюк может сработать.
Так выглядит «верификация» пользователя. Если посмотреть в код сайта, можно увидеть, как скрипт копируется в буфер обмена:
Скрипт инициирует загрузку и выполнение вредоносной программы, и здесь пользователю придется еще раз подтвердить запуск непонятного файла:
По данным BleepingComputer, вредоносная программа является инфостилером Lumma Stealer, получившим распространение в 2023 году (подробнее о нем можно почитать здесь). Цель злоумышленников — кража сохраненных паролей и сессий в браузере. Данный локальный инцидент — повод еще раз обсудить подход «меня это не коснется». Во-первых, есть множество примеров, когда даже опытные пользователи оказывались жертвами подобных атак. Во-вторых, как говорилось выше, атака может затронуть и других сотрудников вашей организации. В-третьих, это далеко не единственная атака подобного плана. Меньше месяца назад сообщалось об альтернативной тактике атак на GitHub: ссылки на вредоносный код рассылались под видом патчей в публичные репозитории. И этот трюк был, мягко говоря, еще проще: жертве предлагалось скачать запароленный архив, самостоятельно распаковать и запустить вредоносную программу. Злоумышленники постоянно испытывают новые методы социальной инженерии, рассылают сообщения десятками и сотнями тысяч, резонно ожидая, что рано или поздно очередной трюк сработает.
Что еще произошло
Сразу три исследования опубликованы специалистами «Лаборатории Касперского» на прошлой неделе. Это анализ деятельности группировки Twelve. Исследование вредоносного ПО Unicorn, используемого для кражи данных. И разбор трояна для обеспечения удаленного доступа SambaSpy, атакующего пользователей во Франции и в Италии.
Критические уязвимости обнаружены в роутерах D-Link. Одна из проблем позволяет открыть удаленный доступ по протоколу Telnet и залогиниться с использованием вшитого пароля. Подвержены устройства моделей COVR-X1870, DIR-X5460 и DIR-X4860.
На черном рынке продают данные пользователей маркетплейса Temu. Сама компания, впрочем, отрицает, что данные настоящие.
Исследователи компании BINARLY выпустили дополнение к исследованию PKfail, опубликованному в июле (мы писали о нем здесь). Напомним, что речь идет об использовании одинаковых приватных ключей в реализации UEFI Secure Boot. Эти «тестовые» ключи обнаружились во множестве материнских плат, ноутбуков и серверов различных производителей, причем один из ключей точно попал в открытый доступ из-за ошибки поставщика. Летом компания BINARLY выпустила публичный сервис для проверки прошивок UEFI на наличие тестовых ключей, которые в худшем случае могут быть использованы для полной компрометации системы. Среди более чем 10 тысяч загруженных прошивок 8,5% имели вшитые тестовые ключи. Некоторые из ключей ранее не были известны, что позволило расширить список подверженных устройств. Среди них, например, оказались популярные одноплатные компьютеры Odroid, а также мини-компьютеры Beelink Mini 12 Pro и Minisforum HX99G.
В свежем релизе операционной системы iOS 18 закрыты 33 уязвимости. Один из багов теоретически открывал доступ к приватным данным на заблокированном телефоне с использованием Siri.
После перехода по ссылке на более не действующий сторонний сайт пользователю выводилось предложение «проверить, что вы не робот». И далее следовала гениальная находка атакующих: для «верификации» предлагалось открыть меню выполнения команд в Windows с помощью комбинации клавиш Win+R и вставить туда предварительно помещенный в буфер обмена кусок кода. Этот код открывал консоль PowerShell, скачивал и выполнял вредоносный файл. Если вам кажется, что настолько прямолинейная атака уж точно не затронет разработчиков, есть как минимум один аргумент, почему все же стоит опасаться и таких «вредоносных программ в ручном режиме».
Так выглядели Issue, которые злоумышленники рассылали с одноразовых учеток в GitHub:
На данный момент все подобные комментарии из репозиториев удалены. Но подача багрепорта инициировала отправку вполне легитимной нотификации от GitHub, как на скриншоте в начале статьи. Вряд ли стоит ожидать, что технически подкованный пользователь среагирует на подобную провокацию и действительно своими руками выполнит непонятный код на своем ПК. Но не стоит забывать, что на рассылку от GitHub могут быть подписаны также и далекие от технологий руководители или даже подрядчики, и вот с ними подобный трюк может сработать.
Так выглядит «верификация» пользователя. Если посмотреть в код сайта, можно увидеть, как скрипт копируется в буфер обмена:
Скрипт инициирует загрузку и выполнение вредоносной программы, и здесь пользователю придется еще раз подтвердить запуск непонятного файла:
По данным BleepingComputer, вредоносная программа является инфостилером Lumma Stealer, получившим распространение в 2023 году (подробнее о нем можно почитать здесь). Цель злоумышленников — кража сохраненных паролей и сессий в браузере. Данный локальный инцидент — повод еще раз обсудить подход «меня это не коснется». Во-первых, есть множество примеров, когда даже опытные пользователи оказывались жертвами подобных атак. Во-вторых, как говорилось выше, атака может затронуть и других сотрудников вашей организации. В-третьих, это далеко не единственная атака подобного плана. Меньше месяца назад сообщалось об альтернативной тактике атак на GitHub: ссылки на вредоносный код рассылались под видом патчей в публичные репозитории. И этот трюк был, мягко говоря, еще проще: жертве предлагалось скачать запароленный архив, самостоятельно распаковать и запустить вредоносную программу. Злоумышленники постоянно испытывают новые методы социальной инженерии, рассылают сообщения десятками и сотнями тысяч, резонно ожидая, что рано или поздно очередной трюк сработает.
Что еще произошло
Сразу три исследования опубликованы специалистами «Лаборатории Касперского» на прошлой неделе. Это анализ деятельности группировки Twelve. Исследование вредоносного ПО Unicorn, используемого для кражи данных. И разбор трояна для обеспечения удаленного доступа SambaSpy, атакующего пользователей во Франции и в Италии.
Критические уязвимости обнаружены в роутерах D-Link. Одна из проблем позволяет открыть удаленный доступ по протоколу Telnet и залогиниться с использованием вшитого пароля. Подвержены устройства моделей COVR-X1870, DIR-X5460 и DIR-X4860.
На черном рынке продают данные пользователей маркетплейса Temu. Сама компания, впрочем, отрицает, что данные настоящие.
Исследователи компании BINARLY выпустили дополнение к исследованию PKfail, опубликованному в июле (мы писали о нем здесь). Напомним, что речь идет об использовании одинаковых приватных ключей в реализации UEFI Secure Boot. Эти «тестовые» ключи обнаружились во множестве материнских плат, ноутбуков и серверов различных производителей, причем один из ключей точно попал в открытый доступ из-за ошибки поставщика. Летом компания BINARLY выпустила публичный сервис для проверки прошивок UEFI на наличие тестовых ключей, которые в худшем случае могут быть использованы для полной компрометации системы. Среди более чем 10 тысяч загруженных прошивок 8,5% имели вшитые тестовые ключи. Некоторые из ключей ранее не были известны, что позволило расширить список подверженных устройств. Среди них, например, оказались популярные одноплатные компьютеры Odroid, а также мини-компьютеры Beelink Mini 12 Pro и Minisforum HX99G.
В свежем релизе операционной системы iOS 18 закрыты 33 уязвимости. Один из багов теоретически открывал доступ к приватным данным на заблокированном телефоне с использованием Siri.
RoasterToaster
Вот и настал момент, когда анекдот про молдавских хакеров был реализован на практике