Уязвимость в Slack позволяла перехватывать контроль над аккаунтами
Разработчики корпоративного мессенджера Slack исправили уязвимость в системе безопасности, эксплуатация которой позволяла злоумышленникам путем атаки типа HTTP Request Smuggling похитить cookie-файлы и автоматизировать перехват произвольных учетных записей.
По словам эксперта Эвана Кустодио (Evan Custodio), обнаружившего уязвимость, проблема была «чрезвычайно критичной» как для Slack, так и для всех клиентов и организаций платформы, которые обмениваются личными данными, каналами и разговорами. Эксплуатация уязвимости могла позволить злоумышленникам создавать автоматические боты, которые бы непрерывно атаковали уязвимый актив Slack, перехватывали сеанс жертвы и похищали все доступные данные.
Кустодио сообщил об обнаруженной уязвимости в рамках программы Slack HackerOne. Команда Slack исправила уязвимость в течение 24 часов и наградила Кустодио премией в размере $6 500.
Slack представляет собой популярный корпоративный мессенджер. Он собирает в одном окне обсуждения в общих темах (каналах), приватных группах и личных сообщениях; имеет собственный хостинг, режим превью для изображений и позволяет искать среди всех сообщений сразу. Кроме того, Slack поддерживает интеграцию с почти 100 сторонними сервисами, такими как Dropbox, Google Drive, GitHub, Google Docs, Google Hangouts, Twitter, Trello, MailChimp Heroku, Jirа и пр.
В браузере Tor исправлена уязвимость, позволявшая запускаться JavaScript-кодам
Специалисты Tor Project исправили серьезную уязвимость в браузере Tor, позволявшую запускаться скриптам JavaScript на сайтах, даже если пользователи заблокировали такую возможность.
Блокировка выполнения JavaScript-кодов является одной из важнейших функций безопасности в браузере Tor наряду с функцией сокрытия реальных IP-адресов. В прошлом в браузере уже обнаруживались уязвимости, позволявшие с помощью JavaScript-кодов узнавать реальные IP-адреса пользователей. Они использовались ФБР для деанонимизации преступников, а также могли эксплуатироваться киберпреступниками.
Новая уязвимость позволяла выполнение JavaScript-кодов, даже если браузер работал в самом безопасном режиме со всеми соответствующими настройками, которые должны были блокировать JavaScript-коды.
Уязвимость была исправлена в воскресенье, 15 марта, путем обновления расширения NoScript (версия 11.0.17). В браузере Tor расширение NoScript получает обновления автоматически, поэтому от пользователей не требуется никаких действий.
NoScript – бесплатное расширение для Mozilla Firefox и других браузеров на его основе. По умолчанию блокирует активные (исполняемые) web-компоненты. Пользователи могут включить либо полную, либо частичную блокировку (путем добавления сайтов в белый список).
Обнаружены новые вредоносы для кражи cookie-файлов на Android
Специалисты из «Лаборатории Касперского» обнаружили две новые вредоносные программы для Android, получившие названия Cookiethief и Youzicheng, способные похищать cookie-файлы, сохраненные в браузере на смартфонах и в приложениях популярных социальных сетей, в частности Facebook. Таким образом преступники могут незаметно перехватить контроль над учетной записью жертвы в социальной сети и распространять контент от ее имени.
Злоумышленники разработали два вредоноса с похожим стилем написания кода и использующих один и тот же C&C-сервер. Оказавшись на устройстве, троян Cookiethief получает права суперпользователя и передает C&C-серверу cookie-файлы браузера и установленного приложения социальной сети.
Но одного только идентификатора сессии недостаточно для перехвата контроля над чужим аккаунтом. Например, системы защиты некоторых web-сайтов предотвращают подозрительные попытки авторизации в системе. Для подобных случаев преступники создали второй вредонос — Youzicheng. Он способен запустить прокси-сервер на телефоне и предоставить злоумышленникам доступ в интернет с устройства жертвы для обхода мер безопасности.
Как отметили эксперты, вредоносы не эксплуатируют уязвимости в мобильном браузере или приложении соцсети, и злоумышленники могут похитить cookie-файлы с любого сайта.
«Объединив два типа атак, злоумышленники нашли способ получать контроль над аккаунтами пользователей, не вызывая подозрений. Это относительно новая угроза, пока ей подверглись не более тысячи человек. Это число растет и, скорее всего, будет продолжать расти, учитывая, что web-сайтам трудно обнаруживать такие атаки», – пояснили специалисты.
Обнаружена вредоносная карта распространения коронавируса
В ближайшее время следует ожидать все больше вредоносных кампаний, эксплуатирующих тему коронавируса.
Киберпреступники никогда не упустят возможности воспользоваться резонансной ситуацией в собственных целях. В настоящее время весь мир охвачен паникой из-за коронавируса, и миллионы людей ежедневно ищут информацию о нем в интернете. Как сообщает исследователь безопасности компании Reason Labs Шай Алфаси (Shai Alfasi), злоумышленники начали распространять вредоносное ПО под видом карты распространения коронавируса.
Вредоносное ПО похищает персональные данные пользователей, в том числе логины, пароли, номера кредитных карт, хранящиеся в браузерах. Похищенную информацию злоумышленники затем используют в незаконных операциях (например, для похищения денежных средств с банковских счетов) или продают ее на подпольных торговых площадках.
Киберпреступники создали множество сайтов, посвященных теме коронавируса. На этих сайтах пользователям предлагается в один клик скачать приложение, чтобы следить за развитием ситуации с заболеваемостью в мире. Также на сайтах опубликована карта распространения коронавируса, генерирующая вредоносный код и устанавливающая его на устройство жертвы.
Речь идет о вредоносном ПО AZORult – инфостилере, о котором впервые стало известно в 2016 году. По словам Алфаси, как правило, AZORult продается на русскоязычных киберпреступных форумах. Инфостилер используется для похищения конфиденциальных данных с зараженных систем, однако есть еще один вариант AZORult, способный создавать скрытую учетную запись администратора с возможностью RDP-соединения.
В январе нынешнего года специалисты «Лаборатории Касперского» и компании IBM обнаружили вредоносную кампанию по распространению вредоносного ПО Emotet в электронных письмах, замаскированных под официальные уведомления о коронавирусе.
Как отметил Алфаси, по мере распространения коронавируса растет число приложений для мониторинга ситуации. Этим воспользуются киберпреступники, и в скором времени следует ожидать появления новых вредоносных программ, эксплуатирующих данную тему.
Киберпреступники в ходе атак рассылают жертвам письма на тему COVID-19
Киберпреступные группировки из Китая, Северной Кореи и России активно эксплуатируют тему пандемии коронавируса (COVID-19) и используют фишинговые письма для заражения жертв вредоносным ПО и получения доступа к их системам.
Первой группировкой, использовавшей тему коронавируса в качестве приманки, была группа Hades. Предположительно, преступники действуют из России и связаны с APT28 (Fancy Bear). По словам специалистов из компании QiAnXin, Hades провела вредоносную кампанию в середине февраля, в ходе которой размещала троянский бэкдор в документах, замаскированных под электронные письма от Центра общественного здравоохранения Министерства здравоохранения Украины.
Следующая группировка, использовавшая COVID-19 для обмана своих жертв, действовала из Северной Кореи. Как отметили эксперты из южнокорейской компании IssueMakersLab, группа северокорейских преступников также разместила вредоносное ПО внутри документов, в которых подробно описывается реакция Южной Кореи на эпидемию COVID-19. Предполагается, что документы были отправлены южнокорейским чиновникам и заражены вредоносом BabyShark , который ранее использовался в ходе атак группировки Kimsuky.
Больше всего вредоносных кампаний с использованием тем коронавируса пришло из Китая. Первая из двух атак произошла в начале марта. Вьетнамская фирма по кибербезопасности VinCSS обнаружила , что преступная группа Mustang Panda распространяет электронные письма с вредоносным файлом RAR, якобы предназначенным для передачи сообщения о вспышке коронавируса от премьер-министра Вьетнама.
Компания CheckPoint зафиксировала преступную деятельность другой китайской группы под названием Vicious Panda. Злоумышленники нацелились на правительственные организации Монголии, отправляя документы с информацией о распространенности новых коронавирусных инфекций.