В январе 2019 года ИБ-эксперт Крис Моберли (Chris Moberly) из австралийской компании The Missing Link обнаружил опасную уязвимость в snapd, которая получила имя Dirty Sock и идентификатор CVE-2019-7304. В настоящее время на GitHub уже были опубликованы proof-of-concept эксплоиты для этой проблемы, которая затрагивает Ubuntu и другие дистрибутивы.
Dirty Sock не позволяет атакующему удаленно проникнуть на уязвимую машину, однако позволяет злоумышленнику повысить свои привилегии в уже зараженной системе до root-доступа, то есть захватить полный контроль.
Исследователь пишет, что эксплуатация проблемы может варьировать от дистрибутива к дистрибутиву. Так, эксплоит dirty_sockv1 использует API create-user для создания локального пользователя, используя данные Ubuntu SSO. В свою очередь, эксплоит dirty_sockv2 используется для загрузки snap-пакета, содержащего install-хук для создания нового локального пользователя. Моберли объясняет, что snapd ставит под удар локальный сервер REST API, с которым snap-пакеты взаимодействуют во время установки новых sanp’ов. Эксперт нашел способ обойти установленные ограничения и получить доступ ко всем функциям API, а в итоге и root-доступ.
Специалист предупреждает, что баг можно эксплуатировать, напрямую выполнив вредоносный код на зараженной машине, а можно спрятав эксплоит в snap-пакете. Это довольно тревожная новость, так как в Snap Store ранее уже обнаруживали малварь.
Перед проблемой Dirty Sock уязвимы все версии snapd от 2.28 до 2.37. Разработчики Canonical уже подготовили патч (USN-3887-1) и представили исправленный snapd 2.37.1. Так как snapd входит не только в состав Ubuntu, но и других дистрибутивов, обновления доступны для Debian, Arch Linux, OpenSUSE, Solus и Fedora.

Источник: https://xakep.ru/2019/02/14/dirty-sock/

Специалисты компании RIPS Technologies сообщили о критической уязвимости в ядре WordPress, затрагивающей все релизы CMS за последние шесть лет. Для эксплуатации данной уязвимости атакующему потребуется доступ (с помощью фишинга, повторного использования паролей либо иных атак) к учетной записи с правами как минимум автора на целевом web-сайте.
Авторизовавшись в учетной записи, злоумышленник может воздействовать на чтение и запись файлов в базе изображений WordPress и сохранить вредоносный скрипт в директории, отвечающей за обработку изображений.
«Атакующий, получивший доступ к учетной записи с правами автора на целевом сайте на WordPress может выполнить произвольный PHP-код на сервере и таким образом получить контроль над ресурсом», — пояснили исследователи.
Проблема связана с процессом обработки системой управления изображениями WordPress записей Post Meta, используемых для хранения описания, данных о размерах, авторе и прочей информации о загруженных изображениях. Специалисты обнаружили, что возможно модифицировать любые записи, связанные с изображением, и установить для них произвольные значения (уязвимость обхода каталога). С помощью совместной эксплуатации данной проблемы и уязвимости включения локальных файлов атакующий сможет выполнить код на сервере. Как видно в демонстрационном видео, для того, чтобы получить полный контроль над сайтом, злоумышленнику потребуется не более 30 секунд.
Разработчики WordPress «перекрыли» возможность выполнения произвольного кода в версиях WordPress 4.9.9 и 5.0.1 с выпуском патча для другой уязвимости, который устранил возможность добавления произвольных значений в Post Meta записи неавторизованными пользователями. Тем не менее, уязвимость обхода каталога все еще остается неисправленной, в том числе в последней версии WordPress, и может быть проэксплуатирована, если на сайте установлены сторонние плагины, некорректно обрабатывающие записи Post Meta.
Ожидается, что проблема будет исправлена в следующем выпуске ядра WordPress.

Источник: https://www.securitylab.ru/news/498027.php

Специалисты «Лаборатории Касперского» поделились информацией о вредоносной программе WinPot, предназначенной для кражи наличных из банкоматов. Приложение позволяет определить суммы, хранящиеся в кассетах терминала, и подать команду на выдачу банкнот. Зловред ориентирован на устройства определенного производителя и продается в даркнете по цене от $500 до $1000.
Этот инструмент для джекпоттинга впервые попал в поле зрения аналитиков в марте 2018-го, а летом того же года о нем упомянула в отчете Европейская ассоциация по безопасности транзакций (EAST). За прошедшее время эксперты обнаружили несколько версий программы, имеющих незначительные отличия в интерфейсе и наборе функций. Так, один из вариантов WinPot отказывался запускаться, если системное время банкомата не совпадало с заданным периодом работы.
Приложение отображает номинал купюр и количество банкнот в каждой из четырех кассет банкомата. Злоумышленник может обновить данные при помощи кнопки SCAN, а также выбрать кассету, из которой будут выдаваться наличные. Создатели зловреда не лишены чувства юмора: кнопка для опустошения лотка с деньгами называется SPIN, по аналогии с игровыми автоматами в казино. В более поздних версиях WinPot появилась кнопка AUTO, которая дает команду на выдачу денег из ячейки с самой большой суммой.
Исследователи «Лаборатории Касперского» отмечают, что создатели подобных программ редко добавляют в них новые функции, так как возможности самих банкоматов меняются нечасто. Однако стоящие за подобными разработками киберпреступники всеми силами стремятся обходить системы безопасности терминалов, которые, напротив, постоянно совершенствуются. Кроме того, злоумышленники пытаются обезопасить себя от несанкционированных действий мулов, перевозящих деньги, а также преодолеть лимиты банкоматов на выдачу наличных. Все это приводит к тому, что постоянно выходят новые версии зловредов с небольшими модификациями.
Одна из самых известных разработок для джекпоттинга — программа Cutlet Maker, впервые обнаруженная в мае 2017 года. Тулкит, продававшийся в даркнетеза $5000, помимо основного модуля управления выдачей наличных имел в составе утилиту для проверки количества банкнот в ячейках и генератор ключей защиты от несанкционированного запуска.

Источник: https://threatpost.ru/kl-detected-winpot-jackpot-malware/31236/

Специалисты компании «Доктор Веб» продолжают находить в каталоге Google Play рекламную малварь семейства Android.HiddenAds. С начала февраля было выявлено почти 40 новых модификаций таких вредоносных приложений, и суммарно их загрузили порядка 10 000 000 пользователей.
Интересно, что некоторые из этих троянов мошенники рекламируют через Instagram и YouTube. Благодаря рекламе в популярных социальных сетях и интернет-сервисах с многомиллионной аудиторией число потенциальных жертв, которые могут установить малварь, значительно возрастает.
Сообщается, что в этом месяце аналитики обнаружили в Google Play 39 новых модификаций троянов Android.HiddenAds. Они скрывались в полезных и безобидных продуктах: приложениях для фотосъемки, редакторах изображений и видео, сборниках обоев рабочего стола, системных утилитах, играх и так далее. В общей сложности их успели установить по меньшей мере 9 940 305 пользователей. Специалисты «Доктор Веб» уведомили Google о найденных проблемах, однако на момент публикации этой новости некоторые их них по-прежнему доступны для загрузки.
Как следует из названия, основная функция Android.HiddenAds — показ рекламы. Такие приложения постоянно отображают окна с баннерами и видеообъявлениями, которые перекрывают окна других программ и системный интерфейс, мешая нормальной работе с зараженными устройствами. Ниже можно увидеть примеры такой рекламы.
Исследователи отмечают, что трояны показывают баннеры практически непрерывно, что помогает злоумышленниками быстро окупить затраты на продвижение своих приложений через популярные интернет-сервисы.
Чтобы закрепиться на зараженном устройстве, малварь скрывает свой значок из списка приложений главного экрана. После этого трояны более нельзя запустить, а также их становится сложнее найти и удалить.
Почти все обнаруженные в феврале представители данного семейства тоже скрывают собственные значки, однако размещают вместо них ярлыки для своего запуска. Скорее всего, авторы малвари пытались отвести от них подозрение, одновременно снизив риск их удаления. В отличие от значков на главном экране, ярлыки не позволяют удалять приложения через контекстное меню. В результате, если неопытный пользователь что-либо заподозрит и попытается удалить трояна через иконку, он избавится лишь от ярлыка, но сам вредонос останется на устройстве и продолжит работать и приносить деньги злоумышленникам.
Как уже было сказано выше, злоумышленники активно продвигают свои «продукты» через Instagram и YouTube. В рекламе пользователям обещают функциональные и мощные средства для обработки фото и видео. На первый взгляд такие приложения даже соответствуют описанию и не вызывают подозрений, но на самом деле кроме одной или нескольких базовых функций в них нет ничего из того, о чем говорилось в объявлениях. На это многочисленные обманутые пользователи жалуются в отзывах.
Однако активная рекламная кампания злоумышленников определенно работает и привлекает большое число владельцев мобильных устройств, увеличивая количество загрузок малвари. По данным аналитиков, некоторые из троянов даже попадали в разделы новинок и набирающих популярность приложений каталога Google Play.
Информация обо всех троянах, которых наши специалисты «Доктор Веб» , на момент выхода этого материала, приведена в сводной таблице ниже. При этом исследователи подчеркивают, что преступники постоянно создают новые вариации на тему Android.HiddenAds, активно их рекламируют, и не исключено, что вскоре будут обнаружены и другие модификации.

Источник: https://xakep.ru/2019/02/20/android-adware/

Агенты ФБР арестовали второго участника группировки Apophis Squad Тимоти Далтона Вона (Timothy Dalton Vaughn). Его подельник Джордж Дюк-Коэн (George Duke-Cohan) уже находится в тюрьме в Великобритании за распространение заведомо ложных сообщений о терактах.
Вон неоднократно заявлял на онлайн-форуме о своей причастности к Apophis Squad, а также намерении направить сообщения о терактах и заложенных бомбах более чем в 2000 школ Южной и Центральной Калифорнии и ​​более чем в 400 образовательных учреждений Соединенного Королевства. Помимо этого, злоумышленник обвиняется в вымогательстве у компании Hoonigan биткойнов за прекращение DDoS-атаки, на три дня заблокировавшей доступ к ее сайту.
Вместе с Воном перед судом предстанет его соучастник из Apophis Squad, 19-летний Дюк-Коэн. Именно он в марте 2018 года разослал в 400 британских школ подложные сообщения о заложенной бомбе. После этого злоумышленника арестовали, но вскоре выпустили под залог.
В апреле того же года, находясь под следствием, Дюк-Коэн вновь провел аналогичную рассылку. На этот раз он отправил письма не только в школы Великобритании, но и в образовательные учреждения Соединенных Штатов. Хулигана вновь задержали и в качестве меры пресечения запретили пользоваться Интернетом и мобильным телефоном.
Несмотря на запрет, 9 августа 2018 года Дюк-Коэн позвонил в аэропорт Сан‑Франциско и сообщил о захвате одного из самолетов. Экстренные меры вызвали сбои в расписании авиарейсов, что повлекло за собой финансовые потери авиакомпании United Airlines. Ответственность за инцидент взяла на себя группа Apophis Squad, в качестве доказательства выложив на своей странице в Twitter запись телефонного разговора о захвате заложников и бомбе на борту.
31 августа прошлого года с инициативы британского Управления по борьбе с преступностью и ФБР США полиция Хартфордшира арестовала Дюк‑Коэна в его собственном доме в Уотфорде. В сентябре британский суд приступил к слушанию дела и в итоге приговорил злоумышленника к трем годам тюрьмы.
В США Дюк‑Коэну и Вону инкриминируют преступный сговор и еще восемь злодеяний, включая проведение DDoS-атак, взломы сайтов, вымогательство, угрозы жизни и здоровью агентов ФБР, а также членов их семей. В частности, члены группировки обвиняются в атаке на портал Колумбийского университета, в результате которой киберпреступники разместили на главной странице ресурса фотографию Адольфа Гитлера с надписью «Вы взломаны Apophis Squad».
В случае если будет доказана причастность злоумышленников ко всем эпизодам, Дюк-Коэну будет грозить 65 лет заключения, а Вону 80 лет тюрьмы.

Источник: https://threatpost.ru/fbi-arrested-second-apophis-squad-member/31161/