Исследователи обратили внимание на новый приём маскировки вредоносного кода в ZIP-архивах. Метод получил название «Zombie ZIP» и позволяет прятать полезную нагрузку в архивах так, что большинство средств защиты принимает их содержимое за безопасные данные. Технику разработал специалист по безопасности компании Bombadil Systems Крис Азиз. Приём основан на манипуляции заголовками ZIP-архива. Злоумышленник изменяет поле, которое указывает способ сжатия, заставляя анализаторы считать, что файл внутри архива хранится без сжатия. Антивирусы и системы обнаружения угроз доверяют такому значению и проверяют содержимое как обычные несжатые данные. На деле внутри архива находится файл, сжатый алгоритмом Deflate — стандартным способом сжатия для ZIP. В результате защитные механизмы видят лишь бессмысленный набор байтов и не находят сигнатур вредоносного кода. По данным Криса Азиза, техника обходит 50 из 51 антивирусного движка, доступного на платформе VirusTotal. При попытке распаковать такой архив стандартными утилитами, включая 7-Zip, WinRAR или unzip, появляется ошибка или сообщение о повреждённых данных. Причина в специально изменённом контрольном значении CRC, которое соответствует контрольной сумме уже распакованного файла. Из-за такого несоответствия популярные программы считают архив повреждённым. Однако вредоносная программа может игнорировать указанный в заголовке способ сжатия и просто распаковать данные как Deflate. В таком случае скрытая полезная нагрузка извлекается без ошибок. Крис Азиз опубликовал демонстрационный код и образцы архивов на GitHub, чтобы показать принцип работы техники. На ситуацию обратил внимание Центр координации CERT. Организация выпустила предупреждение и присвоила проблеме идентификатор CVE-2026-0866. Представители центра отметили сходство с уязвимостью CVE-2004-0935, обнаруженной более двадцати лет назад в ранних версиях антивируса ESET. Специалисты центра считают, что разработчикам средств защиты необходимо проверять соответствие между указанным методом сжатия и фактическими данными архива. Дополнительные механизмы анализа структуры архивов и более строгие режимы проверки помогут выявлять подобные несоответствия. Также подчёркивается необходимость осторожного обращения с архивными файлами из неизвестных источников. Ошибка «unsupported method» при распаковке может указывать на попытку скрыть вредоносное содержимое, поэтому такие файлы лучше сразу удалить.

Источник: https://www.securitylab.ru/news/570238.php

На одном из подпольных форумов в даркнете появился необычный лот: неизвестный продавец предлагает уязвимость в Windows за 220 тысяч долларов. Ошибка затрагивает службу удалённого рабочего стола и позволяет получить полный контроль над системой. Объявление разместил пользователь под ником Kamirmassabi. Аккаунт появился на форуме недавно. Автор опубликовал сообщение в разделе вредоносных программ и уязвимостей и заявил, что продаёт «уязвимость нулевого дня». Потенциальным покупателям предлагают написать в личные сообщения и обсудить сделку. Речь идёт об уязвимости с идентификатором CVE-2026-21533. Проблема связана со службой удалённых рабочих столов Windows. Ошибка позволяет изменить определённый ключ конфигурации службы в реестре, связанный с протоколом TermService. После такой манипуляции злоумышленник может повысить привилегии до уровня системной учётной записи на атакуемом компьютере. Однако эксплуатация требует одного условия. Злоумышленник должен уже иметь аутентифицированный доступ с низкими привилегиями к локальной системе. Чаще всего такой начальный доступ получают с помощью фишинга. Жертву убеждают скачать вредоносный файл или запустить заражённую программу. Интересная деталь заключается в другом. Корпорация Microsoft уже закрыла уязвимость. Исправление вошло в февральский пакет обновлений безопасности Patch Tuesday. Ошибка затрагивала различные версии Windows 10 и Windows 11, а также серверные редакции от Windows Server 2012 до Windows Server 2025. Скорее всего, продавец рассчитывает на распространённую проблему корпоративных сетей. Многие компании устанавливают обновления безопасности с задержкой. Пока системы остаются без исправления, уязвимость сохраняет ценность для злоумышленников. Подобные предложения показывают заметную тенденцию на подпольном рынке. Участники киберпреступной среды всё чаще действуют как поставщики услуг. Вместо самостоятельных атак преступники продают инструменты или доступ. Неделей ранее специалисты обнаружили схему, где фиктивная компания, якобы предлагающая систему удалённого управления, сдавала злоумышленникам в аренду легитимные сертификаты электронной подписи. Администраторам корпоративных сетей уже рекомендовали как можно быстрее установить февральское обновление безопасности 2026 года. После установки исправления уязвимость CVE-2026-21533 перестаёт представлять угрозу.

Источник: https://www.securitylab.ru/news/570246.php

В Москве с 6 марта в отдельных районах ограничивают мобильный интернет, а перебои затронули и голосовую связь. По оценке собеседника «Коммерсанта» на IT-рынке, совокупный ущерб для столичного бизнеса за пять дней мог составить от 3 млрд до 5 млрд руб. Наиболее заметно ограничения сказались на курьерских службах, такси, каршеринге и розничной торговле. Как пишет «Коммерсант», мобильный интернет не работал в центре Москвы и на отдельных ветках метро. В части районов пользователям были доступны только сайты из «белого списка», утвержденного Минцифры осенью 2025 года, в других локациях не работали ни мобильный интернет, ни связь. Утром 10 марта отключения мобильного интернета, по данным издания, также происходили в Санкт-Петербурге. Источники на телеком-рынке 6 марта связывали перебои с «внешними ограничениями». По словам собеседников издания, операторам поступило распоряжение ограничить мобильный интернет в отдельных районах Москвы, из-за чего могли возникнуть и проблемы с голосовой связью. Сами операторы, как отмечает газета, заявляли, что сети работают в штатном режиме, а перебои вызваны именно внешними ограничениями. 10 марта пресс-секретарь президента Дмитрий Песков объяснил отключения интернета в Москве и других крупных городах «обеспечением безопасности». В Роскомнадзоре вопросы о перебоях переадресовали в Минцифры. Ведомство на запрос издания не ответило. В Ассоциации компаний интернет-торговли, куда входят более 80 участников рынка, заявили, что для бизнеса критически важна корректная работа «белого списка». В ассоциации считают, что доступ должны сохранять любые легально работающие российские сервисы, которые оказывают услуги населению. Иначе, по оценке АКИТ, могут возникнуть перекосы в конкуренции, при которых часть крупных платформ продолжит работать, а остальные сервисы лишатся доступа. Предыдущие массовые отключения мобильного интернета в Москве происходили в начале мая 2025 года. Тогда власти также объясняли ограничения соображениями безопасности. При этом, как пишет «Коммерсант», в регионах России с начала 2025 года мобильный интернет отключают регулярно, а в отдельных районах связь может отсутствовать неделями. Ограничения в первую очередь бьют по среднему и малому бизнесу, считают в Strategy Partners. Крупные компании, которые уже сталкивались с такими мерами в регионах, успели наладить резервные каналы связи и адаптировать процессы. При этом на мобильные устройства приходится до 50-70% интернет-трафика в России, поэтому сильнее других страдают курьерские службы, такси, каршеринг и розница с мобильными POS-терминалами. Участники рынка также сообщили о проблемах. В сервисе «Чиббис» рассказали, что ограничения затронули сегмент самовывоза: доля таких заказов снизилась до 2% против обычных 5-6%. В Flowwow отметили, что перебои со связью осложняли работу курьеров: в отдельных случаях им требовалось больше времени, чтобы уточнить маршрут или добраться до клиента. При этом представители маркетплейсов заявили, что работа пунктов выдачи заказов не пострадала. В Ozon сообщили «Коммерсанту», что не наблюдают массовых задержек или жалоб на выдачу заказов, поскольку большинство пунктов используют проводной интернет. В Wildberries заявили, что в Москве не фиксируют снижения числа заказов через мобильное приложение. В сервисе такси «Максим» также сообщили, что существенных сбоев не было. На фоне ограничений вырос интерес бизнеса к проводному интернету. «Ростелеком» сообщил изданию о всплеске заявок от компаний на подключение широкополосного доступа.

Источник: https://www.securitylab.ru/news/570272.php

Исследователи кибербезопасности обнаружили новый вредонос для Linux под названием ClipXDaemon. Программа незаметно перехватывает содержимое буфера обмена и подменяет адреса криптовалютных кошельков во время транзакций. Атака нацелена на пользователей криптовалют и работает в системах с графической подсистемой X11. Вредонос впервые заметили в феврале 2026 года. ClipXDaemon распространяется через зашифрованный загрузчик на базе bincrypter — открытого инструмента для защиты shell-скриптов. Внутри загрузчика скрыт зашифрованный полезный код. Во время запуска система декодирует полезную нагрузку из base64, расшифровывает алгоритмом AES-256-CBC, распаковывает через gzip и запускает прямо в памяти. Такой подход усложняет анализ и затрудняет обнаружение традиционными антивирусами, поскольку расшифрованные компоненты не сохраняются на диске. После выполнения загрузчика в системе появляется дополнительный модуль-дроппер. Дроппер выводит безобидное сообщение, чтобы не вызвать подозрений, затем извлекает встроенный ELF-файл и сохраняет программу ClipXDaemon в пользовательском каталоге, например ~/.local/bin/. Имя файла формируется случайным образом. Такой способ установки не требует прав администратора и помогает вредоносу маскироваться среди обычных пользовательских программ. Дроппер делает файл исполняемым, запускает программу в фоне и добавляет строку запуска в ~/.profile. Благодаря такой записи ClipXDaemon автоматически запускается при каждом входе пользователя в систему и сохраняет постоянное присутствие после перезагрузки. Основной модуль представляет собой 64-битное Linux-приложение, связанное с библиотеками X11. При запуске программа проверяет используемый графический сервер. Если система работает на Wayland, вредонос завершает работу, поскольку архитектура Wayland не позволяет глобально отслеживать буфер обмена. На системах с X11 программа отделяется от терминала и меняет имя процесса, имитируя поток ядра вроде kworker, чтобы выглядеть как системная задача в списке процессов. После запуска ClipXDaemon проверяет содержимое буфера обмена примерно каждые 200 миллисекунд через API X11. Программа анализирует текст и ищет шаблоны адресов криптовалютных кошельков. Поддерживаются Bitcoin, Ethereum, Litecoin, Monero, Tron, Dogecoin, Ripple и TON. Если в буфере появляется адрес кошелька, ClipXDaemon мгновенно заменяет строку на адрес злоумышленников для той же криптовалюты. Пользователь копирует один адрес, вставляет другой и отправляет перевод на чужой кошелёк, не заметив подмену. Особенность ClipXDaemon заключается в полном отсутствии управляющей инфраструктуры. Программа не связывается с командными серверами, не отправляет сетевые запросы и не содержит адресов C2. Доход злоумышленников появляется только в случае успешной подмены адреса во время криптовалютной транзакции. Такой автономный подход усложняет обнаружение вредоноса по сетевой активности и заставляет аналитиков полагаться на поведенческий анализ на самом устройстве. Эксперты рекомендуют ограничивать запуск программ из пользовательских каталогов вроде ~/.local/bin/, контролировать изменения файлов автозапуска — ~/.profile и ~/.bashrc — и использовать системы EDR с поведенческим анализом для Linux. Дополнительным признаком заражения может служить процесс с именем системного потока ядра, запущенный от имени обычного пользователя. ClipXDaemon демонстрирует растущий интерес к Linux-системам со стороны киберпреступников. Распространение криптовалют и использование Linux в среде разработчиков делают подобные атаки всё более выгодными.

Источник: https://www.securitylab.ru/news/570254.php

Специалисты компании Tenable обнаружили в сервисе аналитики Google Looker Studio сразу девять уязвимостей, способных открыть доступ к данным разных облачных клиентов и выполнять произвольные SQL-запросы в чужих базах. Проблемы затрагивают соединения с различными источниками данных и потенциально дают злоумышленнику контроль над информацией внутри проектов Google Cloud. Все найденные уязвимости исследователи Tenable сгруппировали и обозначили кодовым названием LeakyLooker. О находке было сообщено Google ещё в июне 2025 года, после чего компания устранила проблемы. Следов реальных атак на момент публикации отчёта обнаружено не было. Недочёты нарушали базовые принципы работы сервиса. Архитектура Looker Studio предполагает, что пользователь с ролью «просмотр» лишь видит отчёт и не влияет на источник данных. Однако обнаруженные ошибки позволяли обойти ограничения и запускать SQL-запросы от имени владельца отчёта. Такой сценарий открывал доступ к чтению, изменению или удалению информации в инфраструктуре Google Cloud. По оценке Tenable, потенциальный риск затрагивал широкий круг организаций, использующих коннекторы Looker Studio. Среди источников данных — Google Sheets, BigQuery, Spanner, PostgreSQL, MySQL, Cloud Storage и другие облачные сервисы. При успешной атаке злоумышленник мог получить доступ к наборам данных и проектам разных облачных арендаторов. Один из сценариев начинался с поиска публичных отчётов Looker Studio или получения доступа к закрытому отчёту с подключённой базой данных, например, BigQuery. После этого злоумышленник мог перехватить управление соединением и выполнять произвольные запросы к базе. Другой вариант связан с логической ошибкой функции копирования отчётов. Копия сохраняла учётные данные владельца исходного отчёта, что позволяло изменять или удалять таблицы в подключённой базе. Отдельный метод позволял извлечь данные всего одним действием пользователя. Специально подготовленный отчёт заставлял браузер жертвы выполнить вредоносный код и связаться с проектом злоумышленника. Через журналы операций можно было восстановить структуру и содержимое баз данных, что фактически означало утечку данных облачного проекта. По словам автора исследования Лив Матан, обнаруженные проблемы фактически создавали новый класс атак на облачные аналитические сервисы и ставили под угрозу данные, связанные с продуктами Google, включая BigQuery и Google Sheets. Эта история наглядно демонстрирует уязвимость сложных облачных сервисов перед ошибками проектирования: даже роль с минимальными правами может превратиться в точку входа к критически важным данным, если архитектура системы допускает скрытые логические обходы.

Источник: https://www.securitylab.ru/news/570244.php