Специалисты компании Akamai Technologies выяснили, что злоумышленники все еще пользуются уязвимостью Drupalgeddon2, пропатченной полтора года назад. Исследователи обнаружили следы атак в журналах сканеров безопасности, а также провели анализ полезной нагрузки, найденной на одном из скомпрометированных сайтов.
По мнению экспертов, текущая кампания относительно скромная: она нацелена на отдельные сайты с большим трафиком и не имеет отраслевой направленности.
В руки ИБ-специалистов попали два объекта, найденных на бразильском веб-ресурсе. Обфусцированный вредоносный код размещен в GIF-файле, а незашифрованный Perl-сценарий для коммуникаций с C&C-сервером — в текстовом документе.
Сценарий новых атак через Drupalgeddon2
Перед запуском скриптов злоумышленники ищут и удаляют предыдущие варианты полезной нагрузки, а также изменяют ключевые настройки сайта. Файл index.inc.gif содержит PHP-код, зашифрованный при помощи алгоритмов base64, rot13 и архиватора gzip. Вредоносный сценарий пытается выполнить следующие команды:
запуск собственной веб-оболочки;
распаковка и удаленный запуск скриптов;
поиск учетных данных на диске и отправка их злоумышленникам;
замена файла конфигурации .htaccess;
вывод системной информации и конфигурации SQL-базы;
переименование файлов на целевой машине.
Вторая часть полезной нагрузки находится в текстовом файле — это набор команд для подключения к IRC-чату, через который идет связь скомпрометированного ресурса с центром управления. Скрипт позволяет собирать информацию об уязвимой системе, использовать ее для DDoS-атак и перехватывать управление сайтом. По мнению специалистов, злоумышленники использовали готовый код, доступный в даркнете, изменив часть сценария для своих целей.
Разработчики Drupal исправили уязвимость Drupalgeddon2 в марте 2018 года. Баг позволяет неавторизованному злоумышленнику удаленно выполнить код на сайте, работающем под управлением CMS версий с 3.3 по 8.5. Проблема зарегистрирована как CVE-2018-7600 и получила критический уровень угрозы по шкале CVSS.

Источник: https://threatpost.ru/drupalgeddon2-is-still-being-used-oct-2019/34405/

Правоохранительные органы Нидерландов захватили серверы bulletproof-хостинга KV Solutions и арестовали двух предполагаемых основателей по подозрению в преступной деятельности.
Как утверждают следователи, компания предоставляла клиентам площадки для управления ботнетами, координирования DDoS-кампаний и размещения криминальных веб-ресурсов. Специалисты не исключают, что после изучения данных, хранившихся на компьютерах провайдера, последуют другие задержания.
Как выяснили эксперты, только в этом году с IP-адресов, принадлежавших KV Solutions, было произведено более 400 тыс. кибератак, которые затронули такие компании, как Ubisoft, AT&T и China Unicom. По сведениям правоохранительных органов, криминальный провайдер принадлежал двум голландцам, которые для прикрытия зарегистрировали пять аффилированных между собой фирм.
Клиенты KV Solutions и будущее криминальной платформы
На серверах bulletproof-хостинга располагались центры управления десятками ботнетов, в состав которых входят роутеры и другие зараженные IoT-устройства. Большая часть вредоносных сетей была основана на коде Mirai, однако провайдер размещал C&C-платформы практически всех штаммов, замеченных ИБ-специалистами в последнее время: Hakai, Tsunami, Gafgyt, Yowai, Fbot, Handymann и Moobot.
Следователи отмечают, что помимо ботнетов KV Solutions предоставляла услуги хостинга множеству криминальных ресурсов — на ее серверах хранились фишинговые страницы, платформы управления майнерами, сканеры уязвимостей и коды вредоносных программ. Часть инфраструктуры хостера использовали сервисы, предоставляющие DDoS-услуги на заказ.
После ареста подозреваемых на странице провайдера в Facebook появилось сообщение о временных технических проблемах. Специалисты считают, что это было закодированное послание, призывающее клиентов уничтожить хранящиеся на арендованных серверах данные. В настоящий момент все домены и веб-ресурсы, принадлежащие KV Solutions, недоступны, а телефонные звонки в офис компании остаются без ответа.
Другой bulletproof-хостинг на днях разгромили в Германии. Полиция захватила старый бункер НАТО, где располагались более 200 серверов с криминальными ресурсами. Хостинг Cyberbunker 2.0 размещал сайты с детской порнографией, даркнет-форумы и сайты наркоторговцев.

Источник: https://threatpost.ru/kv-solutions-rest-in-pepperoni/34366/

Сотрудники Департамента Киберполиции Национальной полиции Украины выявили киберпреступника, занимавшегося взломом уделенных серверов с целью последующей продажи похищенных данных.
Как сообщили в киберполиции, 29-летний житель Харькова с 2018 года промышлял компрометацией удаленных серверов, и до настоящего времени успел взломать тысячи систем в ста странах мира. Доступ к взломанным серверам злоумышленник продавал через специализированные сайты и форумы.
Сотрудники правоохранительных органов провели ряд обысков по нескольким адресам, где проживал преступник. По их результатам были изъяты компьютерная техника, денежные средства и съемные накопители. Во время предварительного осмотра техники полицейские обнаружили активные сеансы и список скомпрометированных серверов с учетными данными для доступа к ним.
По данному факту продолжается досудебное расследование, квалифицированное по ч. 2 ст. 361 («Несанкционированное вмешательство в работу компьютеров, автоматизированных систем, компьютерных сетей или сетей электросвязи) УК Украины. Злоумышленнику грозит наказание в виде лишения свободы на срок до 6 лет.

Источник: https://www.securitylab.ru/news/501581.php

Исследователи из Sophos обнаружили в Google Play мошеннические приложения, которые обманом снимают со счетов жертв сотни долларов. Злоумышленники заманивают аудиторию бесплатным пробным периодом, по истечении которого взимают с пользователя плату, даже если тот удалил программу.
Как работает fleeceware:
Специалисты насчитали в официальном магазине Android как минимум 15 таких приложений — QR-сканеров, калькуляторов, фоторедакторов и прочих утилит. Все они абсолютно легитимны с юридической точки зрения — не содержат скрытых возможностей и выполняют заявленные функции. Их нельзя отнести к вредоносному ПО, поэтому исследователи предложили понятие fleeceware (от англ. to fleece — «обирать»).
Уже при первом запуске такие приложения требуют у пользователя данные карты. В уведомлении сообщается о некоем бесплатном периоде — в большинстве случаев это три дня. Однако о том, что удаление приложения не эквивалентно отказу от платной подписки, разработчики умалчивают.
Борьба с fleeceware:
Как указали эксперты, использованная мошенниками уловка технически не нарушает политику Google Play. Правила каталога не ограничивают стоимость дополнительных услуг и позволяют разработчику переводить пользователя на платную подписку по истечении установленного пробного периода.
В правилах Google Play указано, что «обычно [компания] не возвращает пользователям средства». Клиенты имеют право потребовать возврат в течение 48 часов после покупки. После этого такие вопросы приходится решать напрямую с разработчиком, который может вернуть деньги, «если это не противоречит его правилам и действующим законам». В случае fleeceware этот вариант, очевидно, оказывается бесперспективным.
Поэтому все, что остается жертвам, — это оставлять негативные отзывы на страницах приложений — среди них можно увидеть жалобы на потерю значительных сумм. Как указывают исследователи, с учетом количества загрузок это может обеспечивать мошенникам солидную прибыль, даже если им удастся обмануть незначительную долю пользователей.
Эксперты ждут действий Google:
Специалисты сообщили о проблеме администраторам Google Play, после чего те удалили основную часть мошеннических программ. Тем не менее в магазине остается еще немало подобных приложений; среди них есть утилиты с 5–10 млн загрузок, а стоимость подписки по истечении пробного периода варьируется от 100 до 200 евро.
По мнению экспертов, единственный выход — введение правила, которое запретит разработчикам устанавливать запредельные цены за фактически бесплатные сервисы без уникальных функций.
Все произошедшее продолжает серию инцидентов в Google Play, так или иначе связанных с активностью киберпреступников. За последний месяц из магазина удалили два adware-зловреда: ранее не встречавшийся Android-бэкдор BRATA и троян-загрузчик Necro.n со 100 млн загрузок. Ранее в этом году исследователи нашли в магазине шпион Exodus, который был доступен пользователям на протяжении трех лет.

Источник: https://threatpost.ru/google-play-fleeceware/34278/

Компания Extendware, создатель расширений для сайтов на базе CMS Magento, пострадала от атаки взломщиков. Злоумышленники внедрили скиммер на сайт организации и могли также заразить ее продукцию. Преступники присутствовали в инфраструктуре Extendware с 4 октября.
Вредоносный скрипт представляет собой стандартный кейлоггер. Он копирует платежные данные пользователей и отправляет их на стороннюю веб-площадку. Аналитики полагают, что пунктом назначения служит еще один взломанный сайт.
Эксперты обнаружили скиммер на сайте Extendware, однако предупреждают, что могла иметь место атака на цепочку поставок. Возможность записывать данные на сервер Extendware позволяет преступникам скомпрометировать хранящиеся там дистрибутивы, внедрив вредоносный код и в них. А это значит, что в опасности все торговые площадки, использующие расширения этого поставщика.
Специалисты сообщили об инциденте разработчикам Extendware и поинтересовались, не повлиял ли он на целостность размещенного на сервере ПО. На момент написания статьи компания не опубликовала заявления на этот счет — последняя запись в новостной ленте датируется 12 сентября, в Facebook и Twitter — 1 октября. Эксперты рекомендуют клиентам Extendware не устанавливать расширения, загруженные за последнюю неделю, и выпущенные в этот период обновления.
О взломе Extendware стало известно вскоре после того, как ИБ-эксперты представили подробное исследование кибератак на сайты Magento. Помимо прочего, специалисты отметили растущий интерес преступников к цепочкам поставок, которые позволяют им значительно увеличить охват.
В конце 2018 года аналитики Kaspersky поместили подобные атаки в список главных угроз ближайшего времени. Этот прогноз быстро подтвердился — за последнее время преступники скомпрометировали репозиторий расширений и приложений PHP, официальный сервис обновления ASUS, а также несколько компаний из игровой индустрии.

Источник: https://threatpost.ru/magento-extensions-developer-extendware-compromised/34396/