Инфраструктура Electrum под DDoS-атакой

Публичные серверы, используемые сообществом Electrum, уже несколько дней работают с перебоями из-за DDoS-атаки. Судя по всему, злоумышленники предприняли эту акцию, чтобы заставить пользователей загрузить зараженную версию биткойн-кошелька, размещенную на специально созданных площадках.
По имеющимся данным, текущая атака проводится с использованием ботнета, который был построен на основе кастомного зловреда, имитирующего подключения Electrum-клиента. В создании DDoS-трафика на уровне приложений принимают участие 150-300 тыс. уникальных узлов (IP-адресов). На некоторых атакуемых серверах интенсивность мусорного потока составила 25 Гбит/с.
Конечной целью злоумышленников является кража криптовалюты. Они подняли собственные Electrum-серверы, на которых разместили забэкдоренную версию кошелька. При подключении к такому узлу пользователю предлагают обновить клиент, однако после установки «обновления» кошелек жертвы мгновенно пустеет. По оценкам, атакующим уже удалось украсть миллионы долларов в криптовалюте; один из пострадавших потерял почти $140 тыс.
Похожую кампанию против Electrum злоумышленники провели в конце прошлого года, но в тот раз они разместили свой «апдейт» на GitHub, и этот источник был довольно быстро заблокирован. Предотвращать переходы по вредоносным ссылкам помогал специализированный сервис Google SafeBrowsing. Разработчики Electrum тоже приняли меры защиты — в частности, создали патч, позволяющий блокчейн-серверу принудительно выводить устаревшие, уязвимые клиенты в оффлайн. Для полноценного функционирования Electrum-кошельку требуется 8-10 соединений, и высока вероятность, что один из этих серверов обладает новой возможностью.
Похоже, что инициаторы текущей кампании учли изменения на сервисе и ошибки своих предшественников (если только это не одни и те же лица). Вместо репозитория GitHub они используют подставные Electrum-серверы — защитники насчитали более 200 доменов, раздающих зловреда. Неспешно обновляемые черные списки SafeBrowsing на сей раз оказались малоэффективными. К тому же злоумышленники стараются максимально ограничить количество легитимных Electrum-серверов посредством DDoS-атаки. Чем больше их выйдет из строя, тем выше вероятность обращения клиента к вредоносному узлу.
Примечательно, что угроза заражения актуальна лишь для пользователей устаревших версий Electrum (ниже 3.3). К сожалению, на сервисе нет механизма автообновления, и уязвимых клиентов в сети много, что лишь на руку злоумышленникам.
Владельцев новейших версий кошелька в настоящее время беспокоят только проблемы с подключением к сервису. Администраторы прилагают все усилия, чтобы снизить ущерб от DDoS-атаки, и надеются восстановить работоспособность систем в ближайшие дни. Разработчики Electrum также подготовили патч, лимитирующий потребление ресурсов для IP-адресов.
Пользователям рекомендуется деактивировать функцию автоматического подключения и ограничить попытки открытия сессии одним сервером — лучше собственным. На настоящий момент сносно доступны следующие TLS-узлы:

electrum.hodlister.co:50002
electrum.hsmiths.com:50002
ecdsa.net:110
dxm.no-ip.biz:50002
btc.jochen-hoenicke.de:50002

Тем, кто давно не апгрейдил Electrum-клиент, не стоит полагаться на непрошеные подсказки: обновления всегда следует загружать только из официальных источников — в данном случае с сайта Electrum (electrum.org) или из GitHub-репозитория spesmilo/electrum.

Источник: https://threatpost.ru/electrum-servers-hit-by-a-ddos-attack/32195/

Завод компании Hoya приостановили из-за криптоджекеров

В конце февраля руководство японского производителя оптических систем Hoya Corporation приостановило работу фабрики в Таиланде из-за действий криптоджекеров. По данным The Japan Times, атака поразила около 100 компьютеров и снизила производственные обороты предприятия на 60%.
Взломщики разработали двухступенчатую атаку с использованием вредоносного ПО: на первом этапе инфостилер похищал данные сотрудников для входа в систему, на втором он должен был скачать и запустить майнер.
Представители корпорации сообщили, что сотрудники ИБ-отдела сорвали планы преступников на ранней стадии. Работники завода обратили внимание на резко увеличившуюся нагрузку на серверы, что выдало присутствие зловреда, расползающегося по инфраструктуре.
Филиал Hoya в Таиланде оказался не единственной целью взломщиков: их программа также попала на компьютеры в штаб-квартире корпорации в Токио. Однако ощутимого вреда он не нанес — сотрудники отмечали лишь некоторые трудности с отправкой накладных.
Согласно заявлениям представителей компании, злоумышленникам так и не удалось похитить персональные данные сотрудников, но трехдневная пауза вынуждает завод в Таиланде уже более месяца работать 24 часа в сутки, чтобы нагнать производственный график.
В конце марта представители компании Norsk Hydro, работающей в металлургической и нефтегазовой сферах, сообщили о вредоносной кампании, нацеленной на заводы корпорации. Злоумышленники атаковали предприятия с помощью шифровальщика LockerGoga; спустя неделю он же участвовал в нападениях на химпром США.

Источник: https://threatpost.ru/hoya-factory-in-thailand-under-cryptojackers-attack/32184/

В расширении для WordPress обнаружили серьезную уязвимость

Специалисты компании Sucuri нашли серьезную уязвимость в плагине Duplicate Page, установленном более чем на 800 тыс. сайтов под управлением WordPress. Брешь позволяет зарегистрированному пользователю с минимальными привилегиями осуществить внедрение стороннего SQL-кода и получить доступ к хеш-суммам паролей и другой конфиденциальной информации.
Как выяснили исследователи, расширение, предназначенное для быстрого создания копий страниц сайта, использует хук admin_action_, внедренный в ключевые элементы веб-ресурса. Обычно эту команду применяют для административных задач, и она требует строгого контроля валидности операции. В случае с Duplicate Page она вызывала метод dt_duplicate_post_as_draft, который мог получать сторонние SQL-инъекции через запросы типа $wpdb->get_results().
Проблема крылась в недостаточном контроле привилегий пользователя, который мог получить доступ к оператору. В результате создавались условия для внедрения стороннего кода или PHP-объекта в сгенерированный плагином дубликат. Как утверждают специалисты Sucuri, такая атака могла привести к полной компрометации веб-ресурса и перехвату управления сайтом.
Аналитики сообщили о своей находке авторам Duplicate Page 22 марта, и уже 1 апреля в официальном репозитории WordPress появилась версия плагина 3.4, где брешь была закрыта. ИБ-специалисты оценили уязвимость в 8,4 балла по шкале DREAD — альтернативе CVSS.
Ранее в поле зрение ИБ-специалистов попадал другой WordPress-плагин с аналогичным предназначением и похожим названием. В декабре 2017 года исследователи обнаружили бэкдор в расширении Duplicate Page and Post, установленном более 50 тыс. раз. Как выяснили аналитики, злоумышленники выкупили у автора разработку и снабдили ее вредоносным инжектом для размещения спам-ссылок на инфицированных сайтах.

Источник: https://threatpost.ru/wordpress-plugin-duplicate-page-allows-site-hijacking/32193/

Брешь в браузерах Xiaomi допускает подмену URL

Независимый исследователь Ариф Хан (Arif Khan) обнаружил незакрытую уязвимость в Android-браузерах Mi и Mint производства Xiaomi. Баг позволяет выполнить подмену URL и направить пользователя на вредоносную или фишинговую страницу. Брешь найдена в международных версиях приложений и не присутствует в интернет-обозревателях, распространяемых на китайском рынке. Команда разработчиков признала наличие проблемы, но не сообщила о сроках выпуска патча.
Как выяснил ИБ-специалист, браузеры Xiaomi некорректно обрабатывают URL, содержащие параметр запроса (q). Такие конструкции используются в ссылках для автоматической подстановки нужного содержания в диалоговую форму. Например, строка https://www.google.com/?q=test приведет посетителя на главную страницу Google со словом test в поле поиска. Исследователь обнаружил, что обозреватели китайского производителя открывают в этом случае правильный сайт (google.com), однако отображают в адресе лишь значение запроса (test).
Такое поведение программы создает возможность для URL-спуфинга и может быть использовано в кибератаках. Так, перейдя по ссылке https://www.evildomain[.]com/?q=microsoft.com, пользователь окажется на сайте злоумышленников, в то время как в адресной строке будет указан легитимный домен Microsoft.
Ариф Хан сообщил об уязвимости разработчикам. Представители Xiaomi подтвердили наличие бага в сборках интернет-обозревателей, распространяемых за пределами Китая. Вендор отметил, что в данный момент не имеет патча для решения проблемы и не может назвать сроки появления заплатки. Браузер MI входит в состав операционной системы MIUI и активирован по умолчанию на всех устройствах производителя. По мнению специалистов, брешь затрагивает около 150 млн пользователей продукции Xiaomi.
На прошлой неделе стало известно о бэкдоре, который присутствовал в антивирусной программе Guard Provider, также предустановленной на мобильных устройствах Xiaomi. Специалисты выяснили, что приложение уязвимо для MitM-атаки, результатом которой может стать перехват контроля над смартфоном. В этот раз китайские разработчики не оставили уязвимость в статусе 0-day и закрыли брешь очередным апдейтом программы.

Источник: https://threatpost.ru/xiaomi-browser-vuln-allows-url-spoofing/32168/

SAS-2019: шпион Exodus перебрался на iOS

Исследователи из компании Lookout обнаружили iOS-версию трояна Exodus, снабженную легитимным сертификатом разработчика Apple. Согласно их докладу в преддверии конференции SAS-2019, зловред распространялся через фишинговые страницы, имитировавшие сайты мобильных провайдеров Италии и Туркменистана.
Впервые об Android-шпионе Exodus рассказали эксперты Security Without Borders. Его создатели за нескольких лет загрузили в Google Play в общей сложности 25 версий программы, маскируя ее под приложения итальянских сотовых компаний. По мнению специалистов, троян использовался для целенаправленных заражений и не предназначался для массовых кампаний.
Приложения в Google Play выполняли роль загрузчика, который скачивал на аппараты жертв основной компонент.

Список вредоносных функций Exodus включал:
Отслеживание телефонных разговоров и коммуникаций жертвы в соцсетях;
Создание снимков экрана;
Взлом устройства через вариант эксплойта Dirty COW;
Скрытый удаленный доступ через оригинальный сценарий командной строки.

Версия Exodus для iOS-устройств работает по схожему принципу, но с меньшим размахом. В частности, ее возможности для шпионажа ограничены чтением календаря, контактов и системных данных, доступом к «Фото», геолокации и голосовым заметкам. Исследователи также нашли в коде функцию скрытой аудиозаписи, которая запускается, если пользователь откроет отправленное преступником push-уведомление.
Собранные данные зловред отправляет на командный узел через HTTP-запросы PUT. Именно по совпадению коммуникационной инфраструктуры исследователи и установили родство этого трояна с Android-версией Exodus.
Как отмечалось выше, злоумышленники заражали жертв через фишинговые страницы. Они воспользовались программой Apple Developer Enterprise, позволяющей организациям распространять собственные iOS-приложения для внутреннего использования. Все программы на таких площадках заверяются специальным сертификатом с указанием юридического лица, на которое он выпущен. В случае iOS-Exodus в этих данных значится Connexxa S.R.L. — один из аффилиатов компании eSurv, подозреваемой в разработке Android-шпиона.
Специалисты поделились своими открытиями с сотрудниками компании Apple, которые отозвали соответствующие сертификаты. Таким образом было заблокировано вредоносное приложение на пораженных устройствах и запрещены новые загрузки.

Источник: https://threatpost.ru/exodus-comes-to-ios-oh-god-oh-no-users-are-wearing-airpods/32191/