В браузере Firefox на этой неделе исправлена уже вторая уязвимость нулевого дня. Проблема, получившая идентификатор CVE-2019-11708, представляет собой обход песочницы и связана с ранее исправленной уязвимостью (CVE-2019-11707) типа type confusion (несоответствие используемых типов данных).
CVE-2019-11708 позволяет злоумышленнику удаленно выполнить произвольный код на системе жертвы, заманив ее на вредоносный сайт. «По причине недостаточной проверки параметров в сообщениях Prompt:Open IPC между дочерним и родительским процессами родительский процесс за пределами песочницы может открывать web-контент, выбранный скомпрометированным дочерним процессом», — сообщается в уведомлении безопасности компании Mozilla.
О первой исправленной на этой неделе уязвимости производителю стало известно еще в апреле нынешнего года от исследователя из Google Project Zero. Тем не менее, о второй проблеме Mozilla узнала лишь на прошлой неделе, когда киберпреступники стали эксплуатировать ее в связке с первой для атак на пользователей криптовалютной платформы Coinbase.
Исследователь безопасности Патрик Уордл также выявил отдельную кампанию с использованием первой уязвимости в атаках на пользователей macOS.
Сложно сказать, обнаружили ли киберпреступники уязвимость самостоятельно, и атаки просто совпали с публикацией отчета о ней, или же они взяли ее на вооружение, каким-то образом заполучив в свои руки отчет.
Обе вышеупомянутые уязвимости исправлены в версиях Firefox 67.0.4 и Firefox ESR 60.7.2. В базирующемся на Firefox браузере Tor первая проблема устранена в версии 8.5.2. Ожидается, что в скором времени выйдет еще одно обновление, исправляющее уже второй баг.

Источник: https://www.securitylab.ru/news/499552.php

Специалисты Netskope обнаружили спам-кампанию, в рамках которой злоумышленники распространяют ISO-образы с троянами LokiBot и NanoCore. Эксперты сообщают о десяти разновидностях рассылки, в которых используются разные файлы и письма.
Сообщения с вредоносными вложениями под видом счетов-фактур мошенники отправляют случайным жертвам. Обнаружить кампанию специалисты смогли благодаря нестандартному размеру вложений — размер ISO-файлов не превышал 1–2 мб, что несвойственно образам дисков. Вероятно, этот формат для распространения троянов злоумышленники выбрали, чтобы обойти фильтры большинства почтовых сервисов. Эксперты отмечают, что жертве достаточно кликнуть по вложению, чтобы ОС монтировала его.
Одним из видов полезной нагрузки выступал LokiBot. Этот штамм трояна умел распознавать запуск внутри отладчика или виртуальной машины, но в остальном мало отличается от прошлых версий. Сразу после запуска программа проверяла наличие в системе распространенных инструментов удаленного администрирования — SSH, VNC и RDP, — а также 25 различных веб-браузеров и 15 почтовых клиентов, из которых троян крал учетные данные.
В других случаях ISO-образы содержали модульный троян NanoCore, позволяющий получить полный контроль над компьютером, чтобы красть информацию и шпионить за жертвой через веб-камеру. В феврале прошлого года разработчик программы Тейлор Хадлстон (Taylor Huddleston) получил 2 года и 9 месяцев тюрьмы за создание вредоносного ПО. Несмотря на то что NanoCore доступен в Интернете с 2013 года, зловред продолжает модифицироваться киберпреступниками. Данная версия трояна может перехватывать нажатия клавиш, собирать информацию о сохраненных документах и данные из буфера обмена, а также использовать протокол FTP для вывода украденных данных.
Ранее мошенники распространяли ISO-файлы с вредоносным ПО и другими способами. В 2016 году киберпреступникам удалось взломать официальный сайт Linux и заменить образ Linux Mint версией, содержащей бэкдор. По словам создателя дистрибутива Клемана Лефебра (Clement Lefebvre), злоумышленники воспользовались эксплойтом уязвимости WordPress.

Источник: https://threatpost.ru/spammers-sending-emails-with-malicious-iso/33286/

Исследователи обнаружили масштабную фишинговую кампанию, рассчитанную на владельцев iPhone и iPad. Проводя атаки на цепочку поставок, злоумышленники внедряют на сайты поддельную рекламу, которая перенаправляет посетителей на страницы, запрашивающие персональные данные.
Проведенное в TMT Digital расследование показало, что в мошенническую схему невольно вовлечены как минимум пять издателей рекламного контента (владельцев популярных сайтов), три вендора специализированных платформ с приоритетом потребления и 11 других поставщиков средств публикации и оптимизации рекламы в Интернете.
Также было установлено, что редиректы и кражу вводимых в формы данных осуществляет вредоносное ПО — исследователи назвали его Stegoware-3PC. Мошеннические баннеры, как правило, имитируют сообщения известных ритейлеров с призывами совершать покупки онлайн.
Примечательно, что для сокрытия Stegoware-3PC от обнаружения авторы текущих атак используют стеганографию: вредоносный код содержится в двух последовательно запускаемых png-файлах. Один из них отслеживает искомые действия посетителей на странице, другой совершает ряд проверок, чтобы удостовериться, что потенциальная жертва использует iOS.
Полгода назад TMT Digital выявила аналогичную киберкампанию, тоже с высокой ротацией уязвимых звеньев в цепочке поставок, вредоносных доменов и форматов рекламных объявлений. Однако используемый на тот момент зловред — ShapeShifter-3PC — был гораздо тяжелее: его код содержал почти 2000 строк, тогда как создатели Stegoware-3PC обошлись 149.

Источник: https://threatpost.ru/stegoware-3pc-malware-targets-ios-devices-via-fake-ads/33260/

В Великобритании и Нидерландах арестованы шесть человек, подозреваемых в краже учетных данных криптовалютных кошельков. Операция стала итогом 14-месячного совместного расследования, проведенного полицией Нидерландов, Национальным криминальным агентством Великобритании, Европолом и киберполицией Юго-Западного региона Великобритании. Аресты прошли одновременно в пяти городах, включая Амстердам и Роттердам.
По данным следователей, жертвами мошенников стали более 4000 человек, которые в общей сложности лишились криптовалюты на сумму € 24 млн.
Задержанных подозревают в покупке доменных адресов, похожих на имена криптовалютных сервисов, и проведении фишинговых атак. Попав на такую страницу, пользователь вводит свои учетные данные, и она попадает к злоумышленникам.
Эта техника мошенничества называется тайпсквоттингом и часто применяется в киберпреступных схемах с криптовалютами. Мошенники придумывают различные способы заполучить доступ к электронным кошелькам: от поддельных приложений до прямой кражи учетных данных с помощью троянов.
Угроза настолько серьезна, что крупнейшие торговые площадки и кошельки для хранения криптовалют просят клиентов проверять достоверность сайта, на котором они находятся.
Проблема фишинговых атак для владельцев биткойнов была особенно актуальна в декабре 2017 года, когда курс этой криптовалюты резко вырос вместе с интересом к ней.

Источник: https://threatpost.ru/police-busts-six-cryptocurency-crooks/33288/

Трое жителей Нью-Йорка индийского происхождения Гунджит Малхотра (Gunjit Malhotra), Гурджит Сингх (Gurjeet Singh) и Джэс Пэл (Jas Pal) обвиняются в мошенничестве по трем пунктам. В течение нескольких лет троица промышляла мошенничеством с техподдержкой, беря у жертв деньги за ненужную очистку их компьютеров от вредоносного ПО. Как сообщает Минюст США, таким образом мошенники заработали более 1,3 млн.
Злоумышленники удаленно заставляли компьютеры жертв «зависать» или устанавливали на них вредоносное ПО, а затем под видом представителей известных технологических компаний предлагали свою помощь. В некоторых случаях они сообщали жертвам, будто их компьютеры «были взломаны русскими», установившими на них «множество вирусов». Мошенники предлагали потерпевшим установить на свои системы ПО, которое должно было «очистить» их от вирусов.
Для получение денежных переводов мошенники открыли несколько банковских счетов на подставные технологические компании. В некоторых случаях вместо денежных переводов злоумышленники брали оплату в подарочных картах Apple и чеками.
Жертвами мошенников преимущественно становились пожилые жители США. Преступники были арестованы в мае нынешнего года.

Источник: https://www.securitylab.ru/news/499624.php