Мобильные телефоны Samsung, Sony, Huawei и LG уязвимы для фишинговой атаки, в ходе которой злоумышленники могут изменить настройки устройства и направить пользовательский трафик через свой прокси.
Об этом сообщили специалисты Check Point, которые выяснили, что версии Android на смартфонах и планшетах указанных производителей плохо проверяют подлинность входящих сообщений с управляющими командами. Часть вендоров уже выпустила заплатки для описанных недостатков.
Как выяснили ИБ-аналитики, проблема заключалась в инструкциях стандарта OMA CP, применяемых для передачи сетевых настроек на группу устройств. Киберпреступники могли подделать эти команды и распространить на целевые устройства, которые приняли бы их без надлежащей проверки. В частности, злоумышленники могли отправить параметры собственного прокси-сервера, предназначенного для перехвата и изменения трафика.
Злоумышленники могут изменить ключевые настройки сети на Android-устройствах:
Конфигурация ОС Android не поддерживает использование OMA CP по умолчанию, однако некоторые сотовые операторы применяют этот протокол для доставки сетевых настроек абонентам. Киберпреступникам достаточно приобрести недорогой GSM-модем и соответствующее ПО для формирования посланий OMA CP, чтобы передать на уязвимые устройства следующие параметры:
Адрес сервера MMS-сообщений.
Адрес прокси-сервера.
URL домашней страницы браузера и список закладок
Адрес почтового узла.
Серверы каталогов для синхронизации контактов и календаря.
Исследователи сообщили, что мобильные телефоны Samsung вообще не содержали проверок легитимности входящих сообщений с инструкциями. Для передачи вредоносных посланий на устройства Sony, Huawei и LG злоумышленникам необходим IMSI-идентификатор абонента. Как подчеркивают ИБ-специалисты, этот номер, привязанный к SIM-карте пользователя, легко выяснить через специализированные сервисы или из баз слитых данных.
Аналитики сообщили производителям о выявленной проблеме. Разработчики Samsung и LG уже выпустили патчи для своих версий Android, а Huawei пообещала закрыть баг в прошивке следующего поколения смартфонов. Представители Sony не планируют исправлять уязвимость, поскольку считают, что работа их продуктов полностью соответствует спецификациям OMA CP.
В мае этого года ИБ-специалисты сообщили, что фишеры размещают на своих сайтах скрипты, имитирующие push-уведомления Android. Злоумышленники маскируют вредоносные ссылки в посланиях о якобы пропущенных звонках, рассчитывая, что пользователь не заметит подвоха и перейдет на вредоносный ресурс.

Источник: https://threatpost.ru/four-horsemen-of-traffic-highjacking-on-android/34001/

Исследователь безопасности компании Exodus Intelligence Иштван Куручай (Istvбn Kurucsai) обнаружил в одном из компонентов Chrome критическую уязвимость, позволяющую злоумышленникам выполнить вредоносный код непосредственно в браузере жертвы.
Проблема связана с JavaScript-движком V8 с открытым исходным кодом. Разработчики движка выпустили исправление еще в прошлом месяце, однако пользователи Chrome получат обновленную версию только сегодня, 10 сентября, с выходом Chrome 77. Подобные промежутки между выпуском патчей для компонентов с открытым исходным кодом и для ПО, где они используются, получили название «patch gap».
Такие «patch gap» представляют большую угрозу безопасности, поскольку дают злоумышленникам достаточно времени на подготовку эксплоита. По мнению Куручая, у киберпреступников было несколько недель на то, чтобы внимательно изучить журнал изменений V8, проанализировать патчи безопасности и разработать эксплоит, который можно применять в атаках на Chrome. Хотя создание эксплоитов для Chrome – задача не из самых легких, злоумышленник, обладающий хорошими навыками работы с JavaScript, вполне может с ней справиться.
Для того чтобы это доказать, Куручай опубликовал на GitHub PoC-эксплоит для уязвимости в V8, позволяющий запускать в браузере вредоносный код. Правда, для успешной атаки одного эксплоита недостаточно. Нужно также проэксплуатировать уязвимость обхода песочницы, но это не является проблемой, уверен исследователь. Злоумышленник может воспользоваться уже известной уязвимостью обхода песочницы в более старых версиях Chrome и атаковать пользователей, не обновляющих свой браузер.

Источник: https://www.securitylab.ru/news/500913.php

Фото и видео в закрытых учетных записях в Instagram и Facebook оказались не такими уж закрытыми. Как сообщает BuzzFeed, с помощью простого трюка друзья и подписчики в соцсетях могут не только просматривать их, но также загружать и обмениваться ими с другими пользователями.
Для того чтобы воспользоваться вышеупомянутым способом, достаточно минимальных знаний о работе HTML и браузера. Злоумышленник может изучить исходный код web-страницы (например, прибегнув к инструменту Inspect Elements), добраться с помощью табуляции до раздела Img и найти URL-адрес любого изображения, на которое он кликал. Этот URL-адрес является открытым, и его можно отправить другим пользователям, в том числе не авторизованным в Instagram и не являющимся подписчикам данного закрытого аккаунта.
Как показали результаты тестирования, проведенные специалистами BuzzFeed Tech + News Working Group, представленный выше способ позволяет просматривать, загружать и обмениваться файлами в форматах JPEG и MP4, публикуемыми на закрытых страницах и в «Историях».
В Facebook проблему не считают опасной. «Описанные действия равнозначны созданию скриншота фотографии друга в Facebook или Instagram и обмену им с другими людьми. Они не позволяют получить доступ к закрытым учетным записям», — сообщили представители компании.

Источник: https://www.securitylab.ru/news/500934.php

Операторы шифровальщика Nemty создали для его распространения фальшивый сайт PayPal. По мнению ИБ-экспертов, злоумышленники экспериментируют с методами доставки зловреда, чтобы выбрать наиболее эффективный.
Специалисты обратили внимание на Nemty в середине августа, когда он атаковал компьютеры через незащищенные RDP-подключения. Позже эксперты обнаружили этот шифровальщик среди полезной нагрузки эксплойт-пака RIG. Вымогатель шифрует пользовательские файлы, удаляет теневые копии Windows и требует за возвращение данных 0,09981 BTC.
Фишинговая кампания Nemty:
Последняя находка ИБ-исследователей говорит о том, что операторы Nemty взяли на вооружение фишинговые приемы. Как рассказали специалисты, преступники раздают вымогатель под видом легитимного приложения с поддельной страницы PayPal, обещающей пользователям кешбек размером в 3–5%. Если жертва поддается на уловку и скачивает программу, через несколько минут ее файлы оказываются заблокированы.
Эксперты отмечают, что злоумышленники приложили немало усилий для создания правдоподобной подставной площадки. Благодаря использованию символов-омографов URL вредоносного сайта выглядит легитимным. Помимо посадочной страницы, где посетителям предлагается дистрибутив, мошенники подготовили несколько дополнительных разделов — «Помощь», «Расценки», «Безопасность».
Что нового в Nemty 1.4:
Аналитики обнаружили, что текущая версия зловреда получила порядковый номер 1.4. и обновления в коде за счет устранения мелких багов.
Ключевое изменение — проверка географического расположения зараженного компьютера. Эта функция присутствовала в коде Nemty с самого начала — зловред уточнял, не проживает ли его жертва в России, Беларуси, Казахстане, Таджикистане или Украине.
За этой проверкой не следовали какие-либо действия. Теперь же создатели шифровальщика добавили механизм, который останавливает работу зловреда, если целевая машина привязана к странам из этого списка.
Nemty уже добавили в базы большинства антивирусных программ. Ложная страница PayPal также обозначена в черных списках браузеров.
Исследователи отмечают, что вымогатель получил негативную оценку на подпольных форумах киберпреступников. Наибольшей популярностью у злоумышленников сейчас пользуется шифровальщик Sodinokibi, чьи операторы также применяют оригинальные методы доставки своего ПО.

Источник: https://threatpost.ru/nemty-ransomware-distributed-via-fake-paypal-website/34033/

Исследователи обнаружили новый шифровальщик Lilu (Lilocked), который с июля атакует веб-серверы под управлением Linux. Преступники блокируют служебные файлы на взломанных хостах, оставляя саму систему в рабочем состоянии.
Особенности атак Lilu:
Эксперты не могут определить, как зловред попадает на сервер. Среди возможных точек входа назывались уязвимости CMS WordPress и почтового клиента Exim. Специалисты смогут сделать точный вывод, только получив в свои руки образец Lilu, чего на момент публикации не произошло.
Для шифрования вымогатель применяет алгоритм AES, заблокированные файлы получают расширение *.lilocked. В каждой обработанной папке зловред оставляет записку, где жертву направляют на сайт в сети Tor для оплаты выкупа. По разным данным, злоумышленники требуют 0,01–0,03 BTC (6,8–20 тыс. рублей по курсу на день публикации).
Главная особенность Lilu — выбор объектов для шифрования: зловред интересуется файлами с расширениями HTML, SHTML, JS, CSS, PHP, INI, а также файлами изображений. Этот набор целей позволил аналитикам предположить, что вымогатель создан специально для атак на веб-серверы.
Ущерб от активности Lilu:
Эксперты оценивают число жертв Lilu в 6–7 тыс. серверов. Такие выводы они делают по результатам поиска в Google, содержащим ссылки на документы с требованием выкупа, — поскольку зловред не трогает системные файлы, зараженные хосты остаются доступны.
В то же время специалисты допускают, что реальные масштабы заражения гораздо больше, поскольку применение Linux не ограничивается веб-серверами, а из последних далеко не все индексируются Google.
В отсутствие достоверных данных о векторах атак Lilu администраторам Linux рекомендуют установить на своих системах сильные пароли и обновить используемое ПО.
В августе от атаки неизвестного шифровальщика пострадали более 20 государственных организаций в Техасе. Злоумышленники потребовали выкуп в $2,5 млн, однако власти предпочли устранить последствия атаки самостоятельно.

Источник: https://threatpost.ru/new-lilu-ransomware-spotted-targeting-linux-servers/34017/