Специалисты компании Sucuri нашли серьезную уязвимость в плагине Duplicate Page, установленном более чем на 800 тыс. сайтов под управлением WordPress. Брешь позволяет зарегистрированному пользователю с минимальными привилегиями осуществить внедрение стороннего SQL-кода и получить доступ к хеш-суммам паролей и другой конфиденциальной информации.
Как выяснили исследователи, расширение, предназначенное для быстрого создания копий страниц сайта, использует хук admin_action_, внедренный в ключевые элементы веб-ресурса. Обычно эту команду применяют для административных задач, и она требует строгого контроля валидности операции. В случае с Duplicate Page она вызывала метод dt_duplicate_post_as_draft, который мог получать сторонние SQL-инъекции через запросы типа $wpdb->get_results().
Проблема крылась в недостаточном контроле привилегий пользователя, который мог получить доступ к оператору. В результате создавались условия для внедрения стороннего кода или PHP-объекта в сгенерированный плагином дубликат. Как утверждают специалисты Sucuri, такая атака могла привести к полной компрометации веб-ресурса и перехвату управления сайтом.
Аналитики сообщили о своей находке авторам Duplicate Page 22 марта, и уже 1 апреля в официальном репозитории WordPress появилась версия плагина 3.4, где брешь была закрыта. ИБ-специалисты оценили уязвимость в 8,4 балла по шкале DREAD — альтернативе CVSS.
Ранее в поле зрение ИБ-специалистов попадал другой WordPress-плагин с аналогичным предназначением и похожим названием. В декабре 2017 года исследователи обнаружили бэкдор в расширении Duplicate Page and Post, установленном более 50 тыс. раз. Как выяснили аналитики, злоумышленники выкупили у автора разработку и снабдили ее вредоносным инжектом для размещения спам-ссылок на инфицированных сайтах.

Источник: https://threatpost.ru/wordpress-plugin-duplicate-page-allows-site-hijacking/32193/

Независимый исследователь Ариф Хан (Arif Khan) обнаружил незакрытую уязвимость в Android-браузерах Mi и Mint производства Xiaomi. Баг позволяет выполнить подмену URL и направить пользователя на вредоносную или фишинговую страницу. Брешь найдена в международных версиях приложений и не присутствует в интернет-обозревателях, распространяемых на китайском рынке. Команда разработчиков признала наличие проблемы, но не сообщила о сроках выпуска патча.
Как выяснил ИБ-специалист, браузеры Xiaomi некорректно обрабатывают URL, содержащие параметр запроса (q). Такие конструкции используются в ссылках для автоматической подстановки нужного содержания в диалоговую форму. Например, строка https://www.google.com/?q=test приведет посетителя на главную страницу Google со словом test в поле поиска. Исследователь обнаружил, что обозреватели китайского производителя открывают в этом случае правильный сайт (google.com), однако отображают в адресе лишь значение запроса (test).
Такое поведение программы создает возможность для URL-спуфинга и может быть использовано в кибератаках. Так, перейдя по ссылке https://www.evildomain[.]com/?q=microsoft.com, пользователь окажется на сайте злоумышленников, в то время как в адресной строке будет указан легитимный домен Microsoft.
Ариф Хан сообщил об уязвимости разработчикам. Представители Xiaomi подтвердили наличие бага в сборках интернет-обозревателей, распространяемых за пределами Китая. Вендор отметил, что в данный момент не имеет патча для решения проблемы и не может назвать сроки появления заплатки. Браузер MI входит в состав операционной системы MIUI и активирован по умолчанию на всех устройствах производителя. По мнению специалистов, брешь затрагивает около 150 млн пользователей продукции Xiaomi.
На прошлой неделе стало известно о бэкдоре, который присутствовал в антивирусной программе Guard Provider, также предустановленной на мобильных устройствах Xiaomi. Специалисты выяснили, что приложение уязвимо для MitM-атаки, результатом которой может стать перехват контроля над смартфоном. В этот раз китайские разработчики не оставили уязвимость в статусе 0-day и закрыли брешь очередным апдейтом программы.

Источник: https://threatpost.ru/xiaomi-browser-vuln-allows-url-spoofing/32168/

Исследователи из компании Lookout обнаружили iOS-версию трояна Exodus, снабженную легитимным сертификатом разработчика Apple. Согласно их докладу в преддверии конференции SAS-2019, зловред распространялся через фишинговые страницы, имитировавшие сайты мобильных провайдеров Италии и Туркменистана.
Впервые об Android-шпионе Exodus рассказали эксперты Security Without Borders. Его создатели за нескольких лет загрузили в Google Play в общей сложности 25 версий программы, маскируя ее под приложения итальянских сотовых компаний. По мнению специалистов, троян использовался для целенаправленных заражений и не предназначался для массовых кампаний.
Приложения в Google Play выполняли роль загрузчика, который скачивал на аппараты жертв основной компонент.

Список вредоносных функций Exodus включал:
Отслеживание телефонных разговоров и коммуникаций жертвы в соцсетях;
Создание снимков экрана;
Взлом устройства через вариант эксплойта Dirty COW;
Скрытый удаленный доступ через оригинальный сценарий командной строки.

Версия Exodus для iOS-устройств работает по схожему принципу, но с меньшим размахом. В частности, ее возможности для шпионажа ограничены чтением календаря, контактов и системных данных, доступом к «Фото», геолокации и голосовым заметкам. Исследователи также нашли в коде функцию скрытой аудиозаписи, которая запускается, если пользователь откроет отправленное преступником push-уведомление.
Собранные данные зловред отправляет на командный узел через HTTP-запросы PUT. Именно по совпадению коммуникационной инфраструктуры исследователи и установили родство этого трояна с Android-версией Exodus.
Как отмечалось выше, злоумышленники заражали жертв через фишинговые страницы. Они воспользовались программой Apple Developer Enterprise, позволяющей организациям распространять собственные iOS-приложения для внутреннего использования. Все программы на таких площадках заверяются специальным сертификатом с указанием юридического лица, на которое он выпущен. В случае iOS-Exodus в этих данных значится Connexxa S.R.L. — один из аффилиатов компании eSurv, подозреваемой в разработке Android-шпиона.
Специалисты поделились своими открытиями с сотрудниками компании Apple, которые отозвали соответствующие сертификаты. Таким образом было заблокировано вредоносное приложение на пораженных устройствах и запрещены новые загрузки.

Источник: https://threatpost.ru/exodus-comes-to-ios-oh-god-oh-no-users-are-wearing-airpods/32191/

Спам-кампанию c необычной техникой доставки трояна LokiBot зафиксировали исследователи из Trustwave SpiderLabs. Как выяснили аналитики, вредоносные письма содержали архив в формате ZIPX, скрытый внутри PNG-файла. Специалисты отмечают, что такая уловка может обмануть фильтры некоторых почтовых сервисов.
Экспертов заинтересовало одно из писем, попавшее в спам-ловушку. В качестве вложения послание содержало архив с расширением ZIPX, который идентифицировался как PNG-файл с иконкой изображения JPG. Изучив код необычного объекта, ИБ-специалисты выяснили, что он действительно содержит графические данные, но ими дело не ограничилось. Структура файла PNG предполагает, что изображение заканчивается маркером IEND. Однако подозрительное вложение содержало еще несколько мегабайт данных после него.
Исследователи определили, что, несмотря на наличие графического содержимого, внедренный в PNG-файл архив легко распаковать при помощи утилиты WinRAR. При этом программа 7-Zip, обычно применяемая для работы с объектами формата ZIPX, извлекает содержимое вредоносного вложения, только если изменить его расширение. Ее аналог WinZip вообще не смог распаковать зловред.
В архиве находился исполняемый файл RFQ -5600005870.exe, запуск которого после нескольких итераций приводил к установке трояна LokiBot. Зловред, ориентированный на кражу паролей и другой конфиденциальной информации, продается в дарквебе по цене около $300 и достаточно хорошо изучен ИБ-специалистами, однако подобный способ его доставки на целевое устройство встречается впервые.
«Спецификация формата PNG, по-видимому, допускает включение в него посторонних данных, и каждое конкретное приложение должно решить, интерпретировать или игнорировать их», — отмечают исследователи.
В июле прошлого года стало известно, что LokiBot угнали у его разработчика. Хакеры снизили цену на модифицированный вариант зловреда, выставив его на продажу всего по $80. За эти деньги любой желающий мог получить исполняемый файл программы и при помощи HEX-редактора прописать в нем свои собственные серверы для отправки украденной информации.

Источник: https://threatpost.ru/lokibot-hidden-inside-png-image/32160/

Взломщики сайтов изобрели новый прием для принудительной переадресации интернет-посетителей на свои площадки. Методика основана на легитимных возможностях CSS, поэтому защитные системы оказываются не способны помочь пользователям.
По данным Malwarebytes, атака построена на всплывающих баннерах, маскирующихся под рекламу Google. Эти объявления можно закрыть кликом по крестику в углу, но когда пользователь подводит к нему курсор, объявление перемещается, так что нажатие попадает на ссылку.
Помимо мошенничества с маркетинговыми кампаниями, преступники могут таким образом привлекать трафик на собственные площадки. По словам специалистов, подобные сайты зачастую направлены на кражу платежных данных или продвижение услуг «ложной техподдержки». В последнем случае пользователь рискует заразить свой компьютер шпионским ПО или даже лишиться доступа к системе.
Эксперты уже обнаружили реальные кампании с применением описанной технологии. В частности, новый прием взяла на вооружение группировка, которая ранее отметилась XSS-атаками на WordPress-сайты. Злоумышленники встроили незакрываемый баннер в тысячи взломанных ресурсов, при этом переадресации подвергается небольшая часть посетителей — это помогает преступникам избегать блокировки. По оценкам экспертов, подобная кампания может приносить по $20 тыс. в месяц только за счет рекламных показов на сайтах, куда попадает пользователь.
Специалисты заключают, что использование CSS позволяет мошенникам обманывать веб-антивирусы, пока жертва не попадет на вредоносный сайт. Таким образом, защита от таких атак лежит на плечах веб-администраторов, которые должны найти чужой код на своих страницах. Единственное, что могут сделать интернет-посетители, — это использовать блокировщик рекламы, который разом отключит показ вообще всех баннеров.

Источник: https://threatpost.ru/hackers-use-css-to-trick-website-visitors-into-clicking-popup-ads/32086/