Криптовалютная биржа LOCALBITCOINS подверглась кибератаке
Злоумышленникам удалось скомпрометировать один из сторонних виджетов, используемый на форуме.
В минувшие выходные криптовалютный сервис LocalBitcoins был вынужден приостановить работу сайта из-за кибератаки, в ходе которой злоумышленники пытались украсть средства из учетных записей пользователей.
Атака продолжалась примерно пять часов, в течение этого времени пользователи при попытке входа на форум LocalBitcoins переадресовывались на фишинговую страницу, имитирующую страницу авторизации сервиса. Злоумышленники собирали учетные данные пользователей и с их помощью пытались авторизоваться в аккаунтах, запрашивая одноразовые коды для двухфакторной аутентификации, если данная функция была включена в учетных записях.
Представители LocalBitсoins остановили атаку, отключив форум и транзакции на платформе для предотвращения кражи средств со скомпрометированных аккаунтов.
Согласно сообщению представителей криптовалютного сервиса, злоумышленникам удалось скомпрометировать один из сторонних виджетов, используемый на форуме. В настоящее время проблемный виджет отключен. Администрация не раскрыла данные, о каком виджете идет речь. Представители компании также признали, что злоумышленникам удалось похитить в общей сложности около 7 биткойнов ($28,2 тыс.) со счетов пяти жертв.
Несмотря на то, что злоумышленникам удалось перехватить одноразовые коды двухфакторной аутентификации, администрация сервиса все равно порекомендовала пользователям использовать данную функцию в качестве меры защиты от взломов.
Опубликованы подробности и Exploit для уязвимости в VirtualBox
Уязвимость предоставляет возможность атакующему выйти за пределы виртуализированной среды и получить привилегии уровня Ring 3.
Исследователь в области кибербезопасности Сергей Зеленюк обнародовал подробную информацию об уязвимости в виртуальной машине Oracle VirtualBox, позволяющей выйти за пределы виртуализированной среды гостевой машины и повысить привилегии до уровня кольца защиты (Ring) 3 (почти все пользовательские программы). Проблема затрагивает VirtualBox 5.2.20 и более ранние версии.
Уязвимость содержится в совместном базовом коде ПО и может быть проэксплуатирована на виртуальных машинах, сконфигурированных с подключением сетевого адаптера Intel PRO/1000 MT Desktop (82540EM) в режиме Network Address Translation (NAT) – настройка по умолчанию, позволяющая гостевым системам получить доступ к внешним сетям.
По словам исследователя, Intel PRO/1000 MT Desktop (82540EM) содержит уязвимость, которая предоставляет возможность атакующему с правами администратора\суперпользователя на гостевой системе выйти за пределы среды, получить привилегии уровня Ring 3 и повысить их до уровня Ring 0 (режим ядра) через /dev/vboxdrv.
Специалист также опубликовал PoC-код для эксплуатации уязвимости. Эксплоит был успешно протестирован на Ubuntu 16.04 и 18.04. Видео с демонстрацией работы эксплоита размещено ниже. Технические подробности уязвимости опубликованы здесь .
Уязвимость в сервисах Microsoft позволяла взломать любую учетную запись
Индийский исследователь безопасности Сахад Нк (Sahad Nk) обнаружил несколько уязвимостей, позволяющих злоумышленникам взломать учетные записи пользователей сервисов Microsoft, начиная от Office и заканчивая Outlook.
Проводя исследование для сайта SafetyDetective, исследователь смог захватить контроль над поддоменом компании Microsoft (success.office.com). Благодаря неправильной конфигурации поддомена Нк удалось настроить web-приложение Azure, указывавшее на запись CNAME поддомена. Таким образом он не только получил контроль над success.office.com, но также смог получать все отправляемые ему данные.
Далее в игру вступила вторая уязвимость. Приложения Microsoft Office, Outlook, Store и Sway отправляют поддомену success.office.com токены авторизации. Когда пользователь авторизовался в Microsoft Live, сервис login.live.com отправлял токен прямиком на подконтрольный исследователю сервер. Нк было достаточно лишь отправить жертве электронное письмо с ссылкой, после нажатия на которую в его руках оказался бы действительный токен сеанса. В таком случае для взлома учетной записи не понадобилось бы ни имя пользователя, ни пароль.
Поскольку у исследователя был доступ со стороны Microsoft, отправленная жертве ссылка была бы представлена в виде URL-адреса login.live.com, что позволило бы ей обойти спам-фильтры и защиту от фишинга.
Исследователь сообщил Microsoft об уязвимости еще в июне нынешнего года, однако компания исправила ее лишь в ноябре.
WhatsApp, Telegram и Signal уязвимы к атакам по сторонним каналам
Исследователи из Cisco Talos сообщили об уязвимостях в популярных мессенджерах, использующих шифрование. По словам специалистов, WhatsApp, Telegram и Signal можно взломать с помощью атак по сторонним каналам.
Защищенные мессенджеры возлагают часть функций по обеспечению конфиденциальности переписки на операционную систему, что упрощает задачу киберпреступникам.
«Суть защищенных приложений для общения заключается в том, что весь пересылаемый между пользователями контент шифруется без участия третей стороны. […] Для обеспечения сквозного шифрования эти приложения либо сами разработали протокол, либо используют сторонний», — пишут эксперты.
Большинство приложений используют разработанный организацией Open Whisper Systems протокол с открытым исходным кодом Signal или его варианты. Telegram работает на базе собственного закрытого протокола TM. Однако эти протоколы обеспечивают шифрование данных только в процессе передачи, но не во время их обработки или после получения конечным пользователем.
По словам исследователей, к атакам уязвимы и другие функции, например, хранилище данных, фреймворк пользовательского интерфейса, а также механизмы и развертывание групп. В частности, Telegram уязвим к перехвату сеанса на ПК. Хотя дополнительный сеанс будет виден в настройках, среднестатистический пользователь вряд ли его заметит.
WhatsApp и Signal также уязвимы к перехвату сеанса на ПК. В случае с Signal перехват сеанса вызовет так называемое «состояние гонки» («race condition»), и жертва получит сообщение об ошибке. Среднестатистический пользователь может принять его за рядовое уведомление и не придать значения, тогда как атакующему откроется доступ к переписке и контактам.
В случае с WhatsApp жертва также получит уведомление о попытке злоумышленника установить дополнительный сеанс. Пользователь может отклонить попытку, однако в этот промежуток времени у атакующего будет доступ к его предыдущим перепискам и контактам.
Помимо прочего, Telegram также уязвим к «затенению сеанса» («session shadowing») на мобильном устройстве. Используя вредоносное Android-приложение, злоумышленник может получить доступ к данным переписки и контактам жертвы.
Исследователи обнаружили троян LamePyre для macOS
Исследователи из компании Malwarebytes выявили новый зловред, атакующий устройства под управлением macOS. Троян LamePyre маскируется под приложение Discord, но даже не пытается имитировать работу оригинала. При этом его деструктивные функции ограничиваются установкой бэкдора и отправкой на командный сервер снимков экрана. Специалисты считают, что LamePyre находится в стадии разработки, и указывают на возможную связь свежего штамма с другими вредоносами для macOS.
Загрузчик трояна — это Automator-скрипт, который распаковывает и выполняет три Python-сценария. Один из них — клиент opensource-бэкдора EmPyre, доступный для скачивания на GitHub. Второй модуль отвечает за периодическое создание скриншотов и отправку их злоумышленникам, а третий инициирует процесс com.apple.systemkeeper.plist, обеспечивающий запуск трояна в случае перезагрузки устройства.
Исследователи указывают, что программа не скрывает своего присутствия: как и любой скрипт, выполняемый в среде Automator, LamePyre отображается в меню статуса.
Похожие методы использует для атаки зловред DarthMiner, о котором стало известно на этой неделе. Он, как и LamePyre, написан на Python и разворачивает на инфицированном компьютере бэкдор EmPyre. Троян маскируется под пиратскую программу Adobe Zii, однако, в отличие от нового штамма, действительно устанавливает один из ее вариантов. DarthMiner внедряет на целевую систему майнер, но помимо этого может развернуть утилиту для перехвата трафика.
В декабре также объявился еще один зловред для macOS — OSX.BadWord, доставляемый на компьютер через документы Word с вредоносным макросом. При запуске он пытается эксплуатировать одну из известных уязвимостей, позволяющую совершить побег из песочницы, выполнить Python-сценарий и развернуть на устройстве opensource-бэкдор Meterpreter.
Исследователи отмечают, что, несмотря на схожесть инструментов и методов, пока рано делать выводы о связи трех кибератак. Все обнаруженные зловреды имеют похожий, но разный исходный код, а IP-адреса их командных серверов отличаются и указывают на хосты, расположенные в разных странах.
Источник: https://threatpost.ru/lamepyre-malware-for-macos-discovered/29735/