Специалисты Tor Project исправили серьезную уязвимость в браузере Tor, позволявшую запускаться скриптам JavaScript на сайтах, даже если пользователи заблокировали такую возможность.
Блокировка выполнения JavaScript-кодов является одной из важнейших функций безопасности в браузере Tor наряду с функцией сокрытия реальных IP-адресов. В прошлом в браузере уже обнаруживались уязвимости, позволявшие с помощью JavaScript-кодов узнавать реальные IP-адреса пользователей. Они использовались ФБР для деанонимизации преступников, а также могли эксплуатироваться киберпреступниками.
Новая уязвимость позволяла выполнение JavaScript-кодов, даже если браузер работал в самом безопасном режиме со всеми соответствующими настройками, которые должны были блокировать JavaScript-коды.
Уязвимость была исправлена в воскресенье, 15 марта, путем обновления расширения NoScript (версия 11.0.17). В браузере Tor расширение NoScript получает обновления автоматически, поэтому от пользователей не требуется никаких действий.
NoScript – бесплатное расширение для Mozilla Firefox и других браузеров на его основе. По умолчанию блокирует активные (исполняемые) web-компоненты. Пользователи могут включить либо полную, либо частичную блокировку (путем добавления сайтов в белый список).

Источник: https://www.securitylab.ru/news/505906.php

Специалисты из «Лаборатории Касперского» обнаружили две новые вредоносные программы для Android, получившие названия Cookiethief и Youzicheng, способные похищать cookie-файлы, сохраненные в браузере на смартфонах и в приложениях популярных социальных сетей, в частности Facebook. Таким образом преступники могут незаметно перехватить контроль над учетной записью жертвы в социальной сети и распространять контент от ее имени.
Злоумышленники разработали два вредоноса с похожим стилем написания кода и использующих один и тот же C&C-сервер. Оказавшись на устройстве, троян Cookiethief получает права суперпользователя и передает C&C-серверу cookie-файлы браузера и установленного приложения социальной сети.
Но одного только идентификатора сессии недостаточно для перехвата контроля над чужим аккаунтом. Например, системы защиты некоторых web-сайтов предотвращают подозрительные попытки авторизации в системе. Для подобных случаев преступники создали второй вредонос — Youzicheng. Он способен запустить прокси-сервер на телефоне и предоставить злоумышленникам доступ в интернет с устройства жертвы для обхода мер безопасности.
Как отметили эксперты, вредоносы не эксплуатируют уязвимости в мобильном браузере или приложении соцсети, и злоумышленники могут похитить cookie-файлы с любого сайта.
«Объединив два типа атак, злоумышленники нашли способ получать контроль над аккаунтами пользователей, не вызывая подозрений. Это относительно новая угроза, пока ей подверглись не более тысячи человек. Это число растет и, скорее всего, будет продолжать расти, учитывая, что web-сайтам трудно обнаруживать такие атаки», – пояснили специалисты.

Источник: https://www.securitylab.ru/news/505893.php

В ближайшее время следует ожидать все больше вредоносных кампаний, эксплуатирующих тему коронавируса.
Киберпреступники никогда не упустят возможности воспользоваться резонансной ситуацией в собственных целях. В настоящее время весь мир охвачен паникой из-за коронавируса, и миллионы людей ежедневно ищут информацию о нем в интернете. Как сообщает исследователь безопасности компании Reason Labs Шай Алфаси (Shai Alfasi), злоумышленники начали распространять вредоносное ПО под видом карты распространения коронавируса.
Вредоносное ПО похищает персональные данные пользователей, в том числе логины, пароли, номера кредитных карт, хранящиеся в браузерах. Похищенную информацию злоумышленники затем используют в незаконных операциях (например, для похищения денежных средств с банковских счетов) или продают ее на подпольных торговых площадках.
Киберпреступники создали множество сайтов, посвященных теме коронавируса. На этих сайтах пользователям предлагается в один клик скачать приложение, чтобы следить за развитием ситуации с заболеваемостью в мире. Также на сайтах опубликована карта распространения коронавируса, генерирующая вредоносный код и устанавливающая его на устройство жертвы.
Речь идет о вредоносном ПО AZORult – инфостилере, о котором впервые стало известно в 2016 году. По словам Алфаси, как правило, AZORult продается на русскоязычных киберпреступных форумах. Инфостилер используется для похищения конфиденциальных данных с зараженных систем, однако есть еще один вариант AZORult, способный создавать скрытую учетную запись администратора с возможностью RDP-соединения.
В январе нынешнего года специалисты «Лаборатории Касперского» и компании IBM обнаружили вредоносную кампанию по распространению вредоносного ПО Emotet в электронных письмах, замаскированных под официальные уведомления о коронавирусе.
Как отметил Алфаси, по мере распространения коронавируса растет число приложений для мониторинга ситуации. Этим воспользуются киберпреступники, и в скором времени следует ожидать появления новых вредоносных программ, эксплуатирующих данную тему.

Источник: https://www.securitylab.ru/news/505866.php

Киберпреступные группировки из Китая, Северной Кореи и России активно эксплуатируют тему пандемии коронавируса (COVID-19) и используют фишинговые письма для заражения жертв вредоносным ПО и получения доступа к их системам.
Первой группировкой, использовавшей тему коронавируса в качестве приманки, была группа Hades. Предположительно, преступники действуют из России и связаны с APT28 (Fancy Bear). По словам специалистов из компании QiAnXin, Hades провела вредоносную кампанию в середине февраля, в ходе которой размещала троянский бэкдор в документах, замаскированных под электронные письма от Центра общественного здравоохранения Министерства здравоохранения Украины.
Следующая группировка, использовавшая COVID-19 для обмана своих жертв, действовала из Северной Кореи. Как отметили эксперты из южнокорейской компании IssueMakersLab, группа северокорейских преступников также разместила вредоносное ПО внутри документов, в которых подробно описывается реакция Южной Кореи на эпидемию COVID-19. Предполагается, что документы были отправлены южнокорейским чиновникам и заражены вредоносом BabyShark , который ранее использовался в ходе атак группировки Kimsuky.
Больше всего вредоносных кампаний с использованием тем коронавируса пришло из Китая. Первая из двух атак произошла в начале марта. Вьетнамская фирма по кибербезопасности VinCSS обнаружила , что преступная группа Mustang Panda распространяет электронные письма с вредоносным файлом RAR, якобы предназначенным для передачи сообщения о вспышке коронавируса от премьер-министра Вьетнама.
Компания CheckPoint зафиксировала преступную деятельность другой китайской группы под названием Vicious Panda. Злоумышленники нацелились на правительственные организации Монголии, отправляя документы с информацией о распространенности новых коронавирусных инфекций.

Источник: https://www.securitylab.ru/news/505889.php

На самом деле приложение является вымогательским ПО CovidLock.
Пока весь мир активно борется с пандемией коронавируса, злоумышленники прибегают к новым способам украсть деньги и данные у пользователей. Киберпреступники распространяют вымогательское ПО под видом Android-приложения для отслеживания заражений коронавирусом.
Специалисты из компании DomainTools зафиксировали активную регистрацию доменных имен в связи коронавирусом. Например, web-сайт coronavirusapp предлагает пользователям установить специальное Android-приложение для отслеживания вспышек заражения.
Как утверждается на сайте, приложение было сертифицировано Всемирной организацией здравоохранения (ВОЗ) и Центрами по контролю и профилактике заболеваний США (Centers for Disease Control and Prevention, CDC). Там же утверждается, что приложение якобы получило более 6 млн отзывов и имеет рейтинг 4,4 звезды.
Однако на самом деле программа является вымогательским ПО под названием CovidLock. После установки приложение запрашивает различные разрешения, включая доступ к экрану блокировки, а затем меняет пароль и требует от жертв выкуп в размере $100 в биткойнах за доступ к устройству.

Источник: https://www.securitylab.ru/news/505916.php