Компания Google не бросает разработку операционной системы Chrome OS, которая совсем недавно получила крупное обновление под версией 80. Стабильная версия Chrome OS 80 должна была выйти ещё несколько недель назад, но разработчики, видимо, просчитались со сроками и обновление прибыло с опозданием по графику.
Одним из важных нововведений 80-й версии стал обновлённый планшетный интерфейс, который можно включить в следующих «флагах»:
--chrome://flags/#webui-tab-strip
--chrome://flags/#new-tabstrip-animation
--chrome://flags/#scrollable-tabstrip
Также для планшетного режима добавили несколько удобных жестов, которые активируются в chrome://flags/#shelf-hotseat.
Была обновлена Linux-подсистема для запуска нативных приложений. В Chrome OS 80 она использует основу Debian 10 Buster. Разработчики отмечают, что это позволило достичь большей стабильности и производительности в использовании Linux-программ на Chrome OS. Важно: после обновления системы все нативные приложения необходимо переустановить из-за нового Linux-контейнера.
Прочие важные нововведения в Chrome OS 80:
--Внедрение технологии Ambient EQ для автоматического регулирования цветовой температуры экрана в зависимости от времени суток и окружающего освещения.
--Добавлена возможность установки Android-приложений через утилиту adb (в режиме разработчика).
--Для Netflix (Android-приложение) добавлена поддержка режима картинка-в-картинке.
Актуальные ноутбуки и планшеты на Chrome OS уже могут обновиться до 80-й версии, а энтузиасты могут скачать последнюю неофициальную сборку на специальном проекте, посвящённом этой ОС для процессоров x86 / x64 и ARM.
Одним из важных нововведений 80-й версии стал обновлённый планшетный интерфейс, который можно включить в следующих «флагах»:
--chrome://flags/#webui-tab-strip
--chrome://flags/#new-tabstrip-animation
--chrome://flags/#scrollable-tabstrip
Также для планшетного режима добавили несколько удобных жестов, которые активируются в chrome://flags/#shelf-hotseat.
Была обновлена Linux-подсистема для запуска нативных приложений. В Chrome OS 80 она использует основу Debian 10 Buster. Разработчики отмечают, что это позволило достичь большей стабильности и производительности в использовании Linux-программ на Chrome OS. Важно: после обновления системы все нативные приложения необходимо переустановить из-за нового Linux-контейнера.
Прочие важные нововведения в Chrome OS 80:
--Внедрение технологии Ambient EQ для автоматического регулирования цветовой температуры экрана в зависимости от времени суток и окружающего освещения.
--Добавлена возможность установки Android-приложений через утилиту adb (в режиме разработчика).
--Для Netflix (Android-приложение) добавлена поддержка режима картинка-в-картинке.
Актуальные ноутбуки и планшеты на Chrome OS уже могут обновиться до 80-й версии, а энтузиасты могут скачать последнюю неофициальную сборку на специальном проекте, посвящённом этой ОС для процессоров x86 / x64 и ARM.
Возможность регистрации фишинговых доменов с похожими unicode-символами в имени
Исследователи из компании Soluble выявили новый способ регистрации доменов с омоглифами, внешне похожими на другие домены, но фактически отличающиеся из-за наличия символов с иным значением. Подобные интернационализированные домены (IDN) могут на первый взгляд не отличаться от доменов известных компаний и сервисов, что позволяет использовать их для фишинга, в том числе получая для них корректные TLS-сертификаты.
Классическая подмена через внешне сходный IDN-домен давно блокируется в браузерах и регистраторами, благодаря запрету смешивания символов из разных алфавитов. Например, подставной домен аpple.com ("xn--pple-43d.com") не получится создать путём замены латинской "a" (U+0061) на кириллическую "а" (U+0430), так как смешивание в домене букв из разных алфавитов не допускается. В 2017 году был найден способ обхода подобной защиты через использование в домене только unicode-символов, без использования латиницы (например, при помощи символов языка с похожими на латиницу символами).
Теперь найден ещё один метод обхода защиты, основанный на том, что регистраторы блокируют смешивание латиницы и Unicode, но если указываемые в домене Unicode-символы относятся к группе латинских символов, такое смешивание допускается, так как символы принадлежат к одному алфавиту. Проблема в том, что в расширении Unicode Latin IPA присутствуют омоглифы, похожие по написанию на другие символы латинского алфавита: символ "ɑ" напоминает "a", "ɡ" - "g", "ɩ" - "l".
Возможность регистрации доменов, в которых латиница смешивается с указанными Unicode символами, была выявлена у регистратора Verisign (другие регистраторы не проверялись), а поддомены удалось создать в сервисах Amazon, Google, Wasabi и DigitalOcean. Проблема была найдена в ноябре прошлого года и, несмотря на отправленные уведомления, спустя три месяца в последний момент была устранена только в Amazon и Verisign.
В ходе эксперимента исследователи потратив 400 долларов зарегистрировали в Verisign следующие домены:
amɑzon.com
chɑse.com
sɑlesforce.com
ɡmɑil.com
ɑppɩe.com
ebɑy.com
ɡstatic.com
steɑmpowered.com
theɡuardian.com
theverɡe.com
washinɡtonpost.com
pɑypɑɩ.com
wɑlmɑrt.com
wɑsɑbisys.com
yɑhoo.com
cɩoudfɩare.com
deɩɩ.com
gmɑiɩ.com
gooɡleapis.com
huffinɡtonpost.com
instaɡram.com
microsoftonɩine.com
ɑmɑzonɑws.com
ɑndroid.com
netfɩix.com
nvidiɑ.com
ɡoogɩe.com
Исследователи также запустили online-сервис для проверки своих доменов на наличие возможных альтернативных вариантов с омоглифами, в том числе с проверкой уже зарегистрированных доменов и TLS-сертификатов с подобными именами. Что касается HTTPS-сертификатов, то через логи Certificate Transparency было проверено 300 доменов с омоглифами, из которых для 15 была зафиксирована генерация сертификатов.
Актуальные браузеры Chrome и Firefox отображают подобные домены в адресной строке в нотации с префиксом "xn--", тем не менее в ссылках домены выглядят без преобразования, что можно использовать для вставки на страницы вредоносных ресурсов или ссылок, под видом их загрузи с легитимных сайтов. Например, на одном из выявленных доменов с омоглифами было зафиксировано распространение вредоносного варианта библиотеки jQuery.
Исследователи из компании Soluble выявили новый способ регистрации доменов с омоглифами, внешне похожими на другие домены, но фактически отличающиеся из-за наличия символов с иным значением. Подобные интернационализированные домены (IDN) могут на первый взгляд не отличаться от доменов известных компаний и сервисов, что позволяет использовать их для фишинга, в том числе получая для них корректные TLS-сертификаты.
Классическая подмена через внешне сходный IDN-домен давно блокируется в браузерах и регистраторами, благодаря запрету смешивания символов из разных алфавитов. Например, подставной домен аpple.com ("xn--pple-43d.com") не получится создать путём замены латинской "a" (U+0061) на кириллическую "а" (U+0430), так как смешивание в домене букв из разных алфавитов не допускается. В 2017 году был найден способ обхода подобной защиты через использование в домене только unicode-символов, без использования латиницы (например, при помощи символов языка с похожими на латиницу символами).
Теперь найден ещё один метод обхода защиты, основанный на том, что регистраторы блокируют смешивание латиницы и Unicode, но если указываемые в домене Unicode-символы относятся к группе латинских символов, такое смешивание допускается, так как символы принадлежат к одному алфавиту. Проблема в том, что в расширении Unicode Latin IPA присутствуют омоглифы, похожие по написанию на другие символы латинского алфавита: символ "ɑ" напоминает "a", "ɡ" - "g", "ɩ" - "l".
Возможность регистрации доменов, в которых латиница смешивается с указанными Unicode символами, была выявлена у регистратора Verisign (другие регистраторы не проверялись), а поддомены удалось создать в сервисах Amazon, Google, Wasabi и DigitalOcean. Проблема была найдена в ноябре прошлого года и, несмотря на отправленные уведомления, спустя три месяца в последний момент была устранена только в Amazon и Verisign.
В ходе эксперимента исследователи потратив 400 долларов зарегистрировали в Verisign следующие домены:
amɑzon.com
chɑse.com
sɑlesforce.com
ɡmɑil.com
ɑppɩe.com
ebɑy.com
ɡstatic.com
steɑmpowered.com
theɡuardian.com
theverɡe.com
washinɡtonpost.com
pɑypɑɩ.com
wɑlmɑrt.com
wɑsɑbisys.com
yɑhoo.com
cɩoudfɩare.com
deɩɩ.com
gmɑiɩ.com
gooɡleapis.com
huffinɡtonpost.com
instaɡram.com
microsoftonɩine.com
ɑmɑzonɑws.com
ɑndroid.com
netfɩix.com
nvidiɑ.com
ɡoogɩe.com
Исследователи также запустили online-сервис для проверки своих доменов на наличие возможных альтернативных вариантов с омоглифами, в том числе с проверкой уже зарегистрированных доменов и TLS-сертификатов с подобными именами. Что касается HTTPS-сертификатов, то через логи Certificate Transparency было проверено 300 доменов с омоглифами, из которых для 15 была зафиксирована генерация сертификатов.
Актуальные браузеры Chrome и Firefox отображают подобные домены в адресной строке в нотации с префиксом "xn--", тем не менее в ссылках домены выглядят без преобразования, что можно использовать для вставки на страницы вредоносных ресурсов или ссылок, под видом их загрузи с легитимных сайтов. Например, на одном из выявленных доменов с омоглифами было зафиксировано распространение вредоносного варианта библиотеки jQuery.
Microsoft выпустила экстренный патч, исправляющий критическую уязвимость Windows 10
Microsoft выпустила незапланированное обновление безопасности KB4551762 для своей операционной системы Windows 10 версий 1909 и 1903. Патч устраняет критическую уязвимость в протоколе Microsoft Server Message block, которая была выявлена после выпуска мартовского пакета обновлений безопасности для данной ОС. Эксплуатация данной уязвимости позволяет злоумышленникам осуществить удалённое выполнение произвольного кода на стороне SMB-клиента или сервера.
Несмотря на то, что использовать данную уязвимость на практике достаточно сложно, специалисты Microsoft отнесли её к критическим. Это связано с тем, что её эксплуатация позволяет автоматически распространять вредоносный код с одной рабочей станции на другую внутри одной сети. Microsoft оперативно выпустила исправление, чтобы избежать сценариев распространения вредоносного ПО, подобных тем, что наблюдались во время атак с использованием вымогателей WannaCry и NotPetya в 2017 году.
Чтобы использовать уязвимость на стороне сервера, злоумышленнику, не прошедшему проверку подлинности, необходимо отправить специально сформированный пакет на целевой SMB-сервер. В случае с клиентом хакерам потребуется особым образом настроить SMB-сервер, а затем убедить жертву подключиться к нему.
Windows 10 обладает сильной защитой, которая делает подобные атаки маловероятными. Однако мотивированные и опытные злоумышленники могут осуществить успешные атаки, используя уязвимость в протоколе SMB. На данный момент неизвестно о случаях, когда упомянутая уязвимость использовалась хакерами на практике. Microsoft рекомендует всем пользователям озаботиться установкой пакета обновлений KB4551762, чтобы обезопасить себя от атак такого типа.
Мы уже обновились, а вы?
Microsoft выпустила незапланированное обновление безопасности KB4551762 для своей операционной системы Windows 10 версий 1909 и 1903. Патч устраняет критическую уязвимость в протоколе Microsoft Server Message block, которая была выявлена после выпуска мартовского пакета обновлений безопасности для данной ОС. Эксплуатация данной уязвимости позволяет злоумышленникам осуществить удалённое выполнение произвольного кода на стороне SMB-клиента или сервера.
Несмотря на то, что использовать данную уязвимость на практике достаточно сложно, специалисты Microsoft отнесли её к критическим. Это связано с тем, что её эксплуатация позволяет автоматически распространять вредоносный код с одной рабочей станции на другую внутри одной сети. Microsoft оперативно выпустила исправление, чтобы избежать сценариев распространения вредоносного ПО, подобных тем, что наблюдались во время атак с использованием вымогателей WannaCry и NotPetya в 2017 году.
Чтобы использовать уязвимость на стороне сервера, злоумышленнику, не прошедшему проверку подлинности, необходимо отправить специально сформированный пакет на целевой SMB-сервер. В случае с клиентом хакерам потребуется особым образом настроить SMB-сервер, а затем убедить жертву подключиться к нему.
Windows 10 обладает сильной защитой, которая делает подобные атаки маловероятными. Однако мотивированные и опытные злоумышленники могут осуществить успешные атаки, используя уязвимость в протоколе SMB. На данный момент неизвестно о случаях, когда упомянутая уязвимость использовалась хакерами на практике. Microsoft рекомендует всем пользователям озаботиться установкой пакета обновлений KB4551762, чтобы обезопасить себя от атак такого типа.
Мы уже обновились, а вы?
Twitter подверглась крупнейшей в истории соцсети хакерской атаке
Социальная сеть Twitter стала жертвой масштабного хакерского взлома. Атака стала крупнейшей и наиболее опасной за всю историю существования платформы. Взломали десятки верифицированных аккаунтов, включая страницы Барака Обамы, Илона Маска, Джо Байдена, Канье Уэста, Ким Кардашьян, Джеффа Безоса и Билла Гейтса.
После взлома на захваченных аккаунтах мошенники разместили информацию о раздаче якобы двукратного количества биткоинов тем, кто пришлет криптовалюту на указанные в твитах кошельки. В результате на один из таких биткоин-кошельков перечислили криптовалюту в эквиваленте свыше $120 тысяч.
Все взломанные аккаунты уже вернули их реальным владельцам. В Twitter убеждены, что взломщики использовали методы социальной инженерии, атаковав тех сотрудников социальной сети, у которых был административный доступ к внутренним системам и инструментам.
Социальная сеть Twitter стала жертвой масштабного хакерского взлома. Атака стала крупнейшей и наиболее опасной за всю историю существования платформы. Взломали десятки верифицированных аккаунтов, включая страницы Барака Обамы, Илона Маска, Джо Байдена, Канье Уэста, Ким Кардашьян, Джеффа Безоса и Билла Гейтса.
После взлома на захваченных аккаунтах мошенники разместили информацию о раздаче якобы двукратного количества биткоинов тем, кто пришлет криптовалюту на указанные в твитах кошельки. В результате на один из таких биткоин-кошельков перечислили криптовалюту в эквиваленте свыше $120 тысяч.
Все взломанные аккаунты уже вернули их реальным владельцам. В Twitter убеждены, что взломщики использовали методы социальной инженерии, атаковав тех сотрудников социальной сети, у которых был административный доступ к внутренним системам и инструментам.
Выяснилось, что мобильный Firefox забывает выключать камеру при переключении из приложения и блокировке смартфона
Стало известно о том, что компания Mozilla работает над исправлением ошибки в своём браузере Firefox для платформы Android, из-за которой камера устройства не выключается даже в тех случаях, когда пользователь переводит обозреватель в фоновый режим или блокирует экран. Согласно имеющимся данным, исправление появится в октябре этого года.
Упомянутая ошибка была обнаружена сотрудником платформы Appear TV. Он сообщил о ней в Mozilla ещё в июле прошлого года, но до сих пор она не была исправлена. Проблема возникает в случаях, когда пользователь запускает стрим через браузер, не устанавливая при этом специальных приложений из соображений конфиденциальности. Многие пользователи предпочитают вести трансляции непосредственно через браузер, поскольку он явно предупреждает пользователей в случаях, когда тот или иной ресурс пытается получить доступ к камере или микрофону, и не собирает никаких дополнительных данных. Но как оказалось, включённая через Firefox камера продолжает работать и передавать видеопоток не только после того, как обозреватель переводится в фоновый режим, но и в случае блокировки экрана.
Представитель пресс-службы Mozilla подтвердил наличие проблемы, добавив, что после её устранения Firefox будет лучше обеспечивать конфиденциальность пользовательских данных. Он также отметил, что в настоящее время ведётся разработка патча, который должен стать общедоступным в октябре этого года.
«Как и в случае с приложениями для проведения видеоконференций, мы уведомляем пользователей, когда открытый в Firefox сайт получает доступ к камере или микрофону. Исправление направлено на то, чтобы после блокировки экрана устройство переходило в режим «только аудио», — сказал представитель Mozilla.
Стало известно о том, что компания Mozilla работает над исправлением ошибки в своём браузере Firefox для платформы Android, из-за которой камера устройства не выключается даже в тех случаях, когда пользователь переводит обозреватель в фоновый режим или блокирует экран. Согласно имеющимся данным, исправление появится в октябре этого года.
Упомянутая ошибка была обнаружена сотрудником платформы Appear TV. Он сообщил о ней в Mozilla ещё в июле прошлого года, но до сих пор она не была исправлена. Проблема возникает в случаях, когда пользователь запускает стрим через браузер, не устанавливая при этом специальных приложений из соображений конфиденциальности. Многие пользователи предпочитают вести трансляции непосредственно через браузер, поскольку он явно предупреждает пользователей в случаях, когда тот или иной ресурс пытается получить доступ к камере или микрофону, и не собирает никаких дополнительных данных. Но как оказалось, включённая через Firefox камера продолжает работать и передавать видеопоток не только после того, как обозреватель переводится в фоновый режим, но и в случае блокировки экрана.
Представитель пресс-службы Mozilla подтвердил наличие проблемы, добавив, что после её устранения Firefox будет лучше обеспечивать конфиденциальность пользовательских данных. Он также отметил, что в настоящее время ведётся разработка патча, который должен стать общедоступным в октябре этого года.
«Как и в случае с приложениями для проведения видеоконференций, мы уведомляем пользователей, когда открытый в Firefox сайт получает доступ к камере или микрофону. Исправление направлено на то, чтобы после блокировки экрана устройство переходило в режим «только аудио», — сказал представитель Mozilla.
Найдена уязвимость в быстрой зарядке, через которую можно удалённо сжечь миллионы устройств
Технологии быстрой зарядки мобильных устройств прогрессируют всё стремительнее: недавно сразу несколько компаний анонсировали решения мощностью 100–125 Вт, которые способны полностью зарядить смартфон за пару десятков минут. Однако, как оказалось, в руках хакеров быстрая зарядка может стать настоящим физическим оружием.
Эксперты по кибербезопасности из Tencent Security Xuanwu Lab опубликовали отчёт, согласно которому злоумышленники могут получить контроль над зарядным устройством значительной части гаджетов с быстрой зарядкой. По самым скромным оценкам, число устройств с такой уязвимостью достигает сотен миллионов, и всё, что получает энергию по USB, теперь может стать жертвой атаки. Данное явление они назвали BadPower («плохая энергия» в дословном переводе с английского). В Tencent считают, что BadPower может стать самой крупной по своему масштабу атакой из цифрового мира на физический.
Лаборатория Xuanwu Lab протестировала 35 адаптеров питания, внешних аккумуляторов и других устройств, которые присутствуют сейчас на рынке. У 18 из них обнаружились проблемы с безопасностью, воспользовавшись которыми, хакеры могут инициировать подачу избыточного напряжения на смартфон, планшет или ноутбук. В лучшем случае это приведёт к выходу оборудования из строя, в худшем — к возгоранию и даже нанесению вреда здоровью находящихся рядом людей.
Возгорание чипа в результате атаки BadPower
Метод взлома зарядного устройства может быть как физическим, то есть с непосредственным доступом к зарядному устройству при помощи специального прибора, так и удалённым — через подключенный к нему скомпрометированный гаджет. Последний способ используется злоумышленниками чаще, тем более что 11 из 18 уязвимых устройств позволяют обойтись без непосредственного контакта. Причём нет никакой разницы, о какой технологии быстрой зарядки идёт речь. Важно то, разрешена ли в принципе перезапись микрокода в чипе адаптера питания через USB-порт, или хотя бы надёжно ли проверяется подлинность прошивки. К сожалению, результаты исследования Xuanwu Lab оказались неутешительными: около 60 % применяемых в быстрых зарядных устройствах контроллеров позволяют свободно обновить микрокод через USB-порт.
Лаборатория Tencent Security Xuanwu Lab уже сообщила о результатах своего исследования соответствующим организациям-регуляторам в Китае, а также взаимодействует с производителями электроники для принятия мер по борьбе с BadPower. Специалисты отмечают, что в большинстве случаев для устранения уязвимости достаточно будет обновить прошивку зарядного устройства. Обычным же пользователям рекомендуется лишний раз не одалживать «зарядку» от своего смартфона, планшета или ноутбука.
На фото: Возгорание чипа в результате атаки BadPower
Технологии быстрой зарядки мобильных устройств прогрессируют всё стремительнее: недавно сразу несколько компаний анонсировали решения мощностью 100–125 Вт, которые способны полностью зарядить смартфон за пару десятков минут. Однако, как оказалось, в руках хакеров быстрая зарядка может стать настоящим физическим оружием.
Эксперты по кибербезопасности из Tencent Security Xuanwu Lab опубликовали отчёт, согласно которому злоумышленники могут получить контроль над зарядным устройством значительной части гаджетов с быстрой зарядкой. По самым скромным оценкам, число устройств с такой уязвимостью достигает сотен миллионов, и всё, что получает энергию по USB, теперь может стать жертвой атаки. Данное явление они назвали BadPower («плохая энергия» в дословном переводе с английского). В Tencent считают, что BadPower может стать самой крупной по своему масштабу атакой из цифрового мира на физический.
Лаборатория Xuanwu Lab протестировала 35 адаптеров питания, внешних аккумуляторов и других устройств, которые присутствуют сейчас на рынке. У 18 из них обнаружились проблемы с безопасностью, воспользовавшись которыми, хакеры могут инициировать подачу избыточного напряжения на смартфон, планшет или ноутбук. В лучшем случае это приведёт к выходу оборудования из строя, в худшем — к возгоранию и даже нанесению вреда здоровью находящихся рядом людей.
Возгорание чипа в результате атаки BadPower
Метод взлома зарядного устройства может быть как физическим, то есть с непосредственным доступом к зарядному устройству при помощи специального прибора, так и удалённым — через подключенный к нему скомпрометированный гаджет. Последний способ используется злоумышленниками чаще, тем более что 11 из 18 уязвимых устройств позволяют обойтись без непосредственного контакта. Причём нет никакой разницы, о какой технологии быстрой зарядки идёт речь. Важно то, разрешена ли в принципе перезапись микрокода в чипе адаптера питания через USB-порт, или хотя бы надёжно ли проверяется подлинность прошивки. К сожалению, результаты исследования Xuanwu Lab оказались неутешительными: около 60 % применяемых в быстрых зарядных устройствах контроллеров позволяют свободно обновить микрокод через USB-порт.
Лаборатория Tencent Security Xuanwu Lab уже сообщила о результатах своего исследования соответствующим организациям-регуляторам в Китае, а также взаимодействует с производителями электроники для принятия мер по борьбе с BadPower. Специалисты отмечают, что в большинстве случаев для устранения уязвимости достаточно будет обновить прошивку зарядного устройства. Обычным же пользователям рекомендуется лишний раз не одалживать «зарядку» от своего смартфона, планшета или ноутбука.
На фото: Возгорание чипа в результате атаки BadPower
Компания Oracle опубликовала корректирующий релиз системы виртуализации VirtualBox 6.1.12, в котором отмечено 14 исправлений. Одновременно предложены обновления 6.0.24 и 5.2.44.
Основные изменения в выпуске 6.1.12:
-В дополнениях для гостевых систем добавлен экспериментальный вывод графики через GLX;
-В компонентах для интеграции с OCI (Oracle Cloud Infrastructure) добавлен новый экспериментальный тип сетевых подключений, позволяющих локальной VM действовать так, будто она выполняется в облаке;
-В API улучшено управление ресурсами гостевой системы;
-Решены проблемы с пиктограммой обратного поиска в интерфейсе просмотра логов;
-Улучшена поддержка эмуляции контроллера BusLogic;
-В реализации последовательного порта устранена регрессия в обработке данных в режиме FIFO;
-В VBoxManage решены проблемы с разбором опций команды "snapshot edit" и устранён крах при передаче некорректного ввода команде 'VBoxManage internalcommands repairhd';
-В 3D-компонентах из дополнений для гостевых систем решены проблемы с освобождением объектов текстур, приводившие к крахам гостевых систем;
-Решена проблема с упущением на стороне хоста операции записи в файл в совместном каталоге, для которого используется mmap на системах с ядрами Linux с 4.10.0 по 4.11.x;
-Решена проблема с драйвером совместного доступа к каталогам, в редких случаях приводившая к выводу ошибки на 32-разрядных системах Windows при выполнении операции сброса буферов записи на диск для файлов, отражённых в оперативную память;
-Расширены возможности изменения размера экрана для виртуального графического адаптера VMSVGA;
-Решена проблема с определением ISO-образа с дополнениями для гостевых систем.
Дополнение: В новых версиях также устранено 25 уязвимостей, явно не упомянутых в списке изменений.
А вы пользуетесь VirtualBox? Знаете что это такое?
Основные изменения в выпуске 6.1.12:
-В дополнениях для гостевых систем добавлен экспериментальный вывод графики через GLX;
-В компонентах для интеграции с OCI (Oracle Cloud Infrastructure) добавлен новый экспериментальный тип сетевых подключений, позволяющих локальной VM действовать так, будто она выполняется в облаке;
-В API улучшено управление ресурсами гостевой системы;
-Решены проблемы с пиктограммой обратного поиска в интерфейсе просмотра логов;
-Улучшена поддержка эмуляции контроллера BusLogic;
-В реализации последовательного порта устранена регрессия в обработке данных в режиме FIFO;
-В VBoxManage решены проблемы с разбором опций команды "snapshot edit" и устранён крах при передаче некорректного ввода команде 'VBoxManage internalcommands repairhd';
-В 3D-компонентах из дополнений для гостевых систем решены проблемы с освобождением объектов текстур, приводившие к крахам гостевых систем;
-Решена проблема с упущением на стороне хоста операции записи в файл в совместном каталоге, для которого используется mmap на системах с ядрами Linux с 4.10.0 по 4.11.x;
-Решена проблема с драйвером совместного доступа к каталогам, в редких случаях приводившая к выводу ошибки на 32-разрядных системах Windows при выполнении операции сброса буферов записи на диск для файлов, отражённых в оперативную память;
-Расширены возможности изменения размера экрана для виртуального графического адаптера VMSVGA;
-Решена проблема с определением ISO-образа с дополнениями для гостевых систем.
Дополнение: В новых версиях также устранено 25 уязвимостей, явно не упомянутых в списке изменений.
А вы пользуетесь VirtualBox? Знаете что это такое?
Сотрудники Amazon были уволены из-за «слива» email-адресов пользователей
Журналисты Vice Motherboard обратили внимание, что Amazon предупреждает некоторых клиентов об утечке данных, из-за которой в итоге были уволены несколько сотрудников.
В распоряжении издания оказать копия письма, которое Amazon в последние дни рассылает пострадавшим. Документ гласит, что неназваный сотрудник компании передал третьей стороне адреса электронной почты пользователей, нарушив тем самым правила компании. Сообщается, что в настоящее время этот человек уже уволен, а информация о случившемся была передана в правоохранительные органы, которые расследуют инцидент.
При этом представители Amazon сообщили журналистам, что из-за этого «слива» был уволен не один человек: речь идет о нескольких увольнениях, то есть, похоже, у человека, сливавшего данные, были сообщники.
В компании отказались как-либо комментировать произошедшее и не уточнили даже, сколько человек пострадало в результате этой утечки данных.
Нужно отметить, что это дело не первый раз, когда сотрудников Amazon ловят на подобном. К примеру, в начале текущего года стало известно, что как минимум четверо бывших служащих компании злоупотребляли своим доступом и просматривали видео с пользовательских камер Ring.
Журналисты Vice Motherboard обратили внимание, что Amazon предупреждает некоторых клиентов об утечке данных, из-за которой в итоге были уволены несколько сотрудников.
В распоряжении издания оказать копия письма, которое Amazon в последние дни рассылает пострадавшим. Документ гласит, что неназваный сотрудник компании передал третьей стороне адреса электронной почты пользователей, нарушив тем самым правила компании. Сообщается, что в настоящее время этот человек уже уволен, а информация о случившемся была передана в правоохранительные органы, которые расследуют инцидент.
При этом представители Amazon сообщили журналистам, что из-за этого «слива» был уволен не один человек: речь идет о нескольких увольнениях, то есть, похоже, у человека, сливавшего данные, были сообщники.
В компании отказались как-либо комментировать произошедшее и не уточнили даже, сколько человек пострадало в результате этой утечки данных.
Нужно отметить, что это дело не первый раз, когда сотрудников Amazon ловят на подобном. К примеру, в начале текущего года стало известно, что как минимум четверо бывших служащих компании злоупотребляли своим доступом и просматривали видео с пользовательских камер Ring.
Официальный сайт кампании Дональда Трампа дефейснули
Вчера неизвестные хакеры взломали официальный сайт предвыборной кампании Дональда Трампа (donaldjtrump[.]com). Злоумышленники разместили на главной странице ресурса «заглушку», пародирующую стандартное уведомление об изъятии домена правоохранительными органами.
Как видно на скриншоте выше, послание взломщиков гласило, что «данный сайт был захвачен», потому что «мир устал от фальшивых новостей, ежедневно распространяемых президентом Дональдом Трампом».
Также хакеры заявили, что скомпрометировали несколько устройств Трампа и его приближенных, и теперь в их распоряжении имеется различная секретная информация, включая данные о происхождении коронавируса. Вместе с этим преступники опубликовали адреса двух криптовалютных кошельков, предложив всем желающим «проголосовать» за или против публикации этих данных, жертвуя Monero на один из кошельков. Вероятнее всего, это была лишь уловка, чтобы выманить побольше денег у пользователей.
Дейфейс продержался на сайте около получаса (до 23:30 UTC), после чего ресурс вернулся к норме. Официальный представитель штаба Дональда Трампа, Тим Мурто, уже выступил с официальным заявлением и сообщил, что никакие конфиденциальные данные в ходе атаки скомпрометированы не были, а правоохранительные органы уже занимаются расследованием произошедшего.
Вчера неизвестные хакеры взломали официальный сайт предвыборной кампании Дональда Трампа (donaldjtrump[.]com). Злоумышленники разместили на главной странице ресурса «заглушку», пародирующую стандартное уведомление об изъятии домена правоохранительными органами.
Как видно на скриншоте выше, послание взломщиков гласило, что «данный сайт был захвачен», потому что «мир устал от фальшивых новостей, ежедневно распространяемых президентом Дональдом Трампом».
Также хакеры заявили, что скомпрометировали несколько устройств Трампа и его приближенных, и теперь в их распоряжении имеется различная секретная информация, включая данные о происхождении коронавируса. Вместе с этим преступники опубликовали адреса двух криптовалютных кошельков, предложив всем желающим «проголосовать» за или против публикации этих данных, жертвуя Monero на один из кошельков. Вероятнее всего, это была лишь уловка, чтобы выманить побольше денег у пользователей.
Дейфейс продержался на сайте около получаса (до 23:30 UTC), после чего ресурс вернулся к норме. Официальный представитель штаба Дональда Трампа, Тим Мурто, уже выступил с официальным заявлением и сообщил, что никакие конфиденциальные данные в ходе атаки скомпрометированы не были, а правоохранительные органы уже занимаются расследованием произошедшего.
Злоумышленники вновь обманули проверки Apple
В сентябре 2020 год мы рассказывали о том, что малварь Shlayer благополучно прошла процесс нотаризации (notarization process), и получила возможность запускаться на любом Mac под управлением macOS Catalina и новее.
Этот защитный механизм компания Apple представила в феврале текущего года: любое ПО для Mac, распространяемое за пределами App Store, должно пройти процедуру нотаризации чтобы его можно было запускать на macOS Catalina и выше. По сути, любой софт для Mac теперь должен проходить автоматизированное сканирование в Apple, проверку на наличие вредоносных компонентов и проблем с подписанием кода. Если проверки пройдены, приложение попадает в белый список, и Gatekeeper разрешает без проблем запускать и устанавливать его в системе.
К сожалению, как и в случае с Bouncer (автоматизированной системой защиты, которая сканирует приложения для Android перед их загрузкой в Google Play Store), процесс нотаризации приложений Apple тоже работает неидеально. Так, суммарно уже было обнаружено более 40 нотаризованных приложений, зараженных трояном Shlayer и рекламной малварью BundleCore.
Теперь же исследователь Джошуа Лонг (Joshua Long) из компании Intego, сообщил, что выявил еще шесть вредоносных приложений, благополучно прошедших процедуру нотаризации.
Все шесть найденных "продуктов" выдавали себя за установщики Flash, но на самом деле загружали на машины жертв рекламную малварь OSX/MacOffers, которая, в частности, вмешивается в работу поисковой системы в браузере пользователя.
Эксперт пишет, что Apple отозвала сертификат разработчика этих вредоносов раньше, чем специалисты Intego успели закончить свое расследование. Неясно, как в Apple обнаружили эти приложения: возможно компания получила предупреждение от другого ИБ-исследователя, или кто-то их пострадавших пользователей Mac уведомил компанию о происходящем.
Так как Adobe, наряду с другими компаниями, планирует окончательно отказаться от поддержки Flash в конце 2020 года, Лонг в очередной раз призвал пользователей прекратить скачивать установщики Flash, которые обычно оказываются вредоносными.
В сентябре 2020 год мы рассказывали о том, что малварь Shlayer благополучно прошла процесс нотаризации (notarization process), и получила возможность запускаться на любом Mac под управлением macOS Catalina и новее.
Этот защитный механизм компания Apple представила в феврале текущего года: любое ПО для Mac, распространяемое за пределами App Store, должно пройти процедуру нотаризации чтобы его можно было запускать на macOS Catalina и выше. По сути, любой софт для Mac теперь должен проходить автоматизированное сканирование в Apple, проверку на наличие вредоносных компонентов и проблем с подписанием кода. Если проверки пройдены, приложение попадает в белый список, и Gatekeeper разрешает без проблем запускать и устанавливать его в системе.
К сожалению, как и в случае с Bouncer (автоматизированной системой защиты, которая сканирует приложения для Android перед их загрузкой в Google Play Store), процесс нотаризации приложений Apple тоже работает неидеально. Так, суммарно уже было обнаружено более 40 нотаризованных приложений, зараженных трояном Shlayer и рекламной малварью BundleCore.
Теперь же исследователь Джошуа Лонг (Joshua Long) из компании Intego, сообщил, что выявил еще шесть вредоносных приложений, благополучно прошедших процедуру нотаризации.
Все шесть найденных "продуктов" выдавали себя за установщики Flash, но на самом деле загружали на машины жертв рекламную малварь OSX/MacOffers, которая, в частности, вмешивается в работу поисковой системы в браузере пользователя.
Эксперт пишет, что Apple отозвала сертификат разработчика этих вредоносов раньше, чем специалисты Intego успели закончить свое расследование. Неясно, как в Apple обнаружили эти приложения: возможно компания получила предупреждение от другого ИБ-исследователя, или кто-то их пострадавших пользователей Mac уведомил компанию о происходящем.
Так как Adobe, наряду с другими компаниями, планирует окончательно отказаться от поддержки Flash в конце 2020 года, Лонг в очередной раз призвал пользователей прекратить скачивать установщики Flash, которые обычно оказываются вредоносными.
Хак-группу Energetic Bear обвиняют во взломе правительственных сетей США
Агентство по кибербезопасности и защите инфраструктуры, организованное при Министерстве внутренней безопасности США (DHS CISA) и ФБР опубликовали совместный бюллетень безопасности, в котором заявили, что спонсируемая российским правительством хакерская группа Energetic Bear (она же TEMP.Isotope, Berserk Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti и Koala) атаковала правительственные сети США и успешно их взломала.
Правоохранители пишут, что группа атакует правительственные сети и компании авиационного сектора как минимум с февраля 2020 года. При этом, по состоянию на 1 октября 2020 года, хакерам якобы удалось « успешно взломать сетевую инфраструктуру и извлечь данные как минимум с двух серверов».
Новый бюллетень безопасности является прямым продолжением другого предупреждения, опубликованного американскими властями ранее в этом месяце. Тогда CISA и ФБР предупреждали, что неназванные правительственные хакеры получают доступ к правительственным сетям, комбинируя уязвимость Zerologon (CVE-2020-1472) и различные баги в VPN-продуктах. Теперь же стало известно, что речь шла о группе Energetic Bear.
По данным правоохранителей, для атак хакеры прибегали к эксплуатации уязвимостей в Citrix Access Gateway (CVE-2019-19781), почтовых серверах Microsoft Exchange (CVE-2020-0688), почтовом агенте Exim (CVE 2019-10149), а также Fortinet SSL VPN (CVE-2018-13379). Упомянутую выше проблему Zerologon применяли для получения доступа и кражи учетных данных Windows Active Directory (AD), с целью последующего бокового перемещения по скомпрометированным сетям.
Сообщается, что когда атаки оказывались успешными, члены Energetic Bear похищали из правительственных сетей различные файлы, в том числе связанные с конфиденциальными сетевыми конфигурациям и паролями; стандартным операционными процедурами (СОП); ИТ-инструкциями, такими как запросы на сброс пароля; информацией о поставщиках и закупках; печатью электронных пропусков.
«На сегодняшний день у ФБР и CISA нет информации, свидетельствующей о том, что данная APT намеренно нарушила работу авиационного или образовательного секторов, выборов или правительственных операций. Однако группировка могла искать доступ, чтобы в будущем иметь возможности для атак, которые могли бы повлиять на политику и действия США или лишить легитимности государственные структуры», — пишут представители ФБР и CISA.
Агентство по кибербезопасности и защите инфраструктуры, организованное при Министерстве внутренней безопасности США (DHS CISA) и ФБР опубликовали совместный бюллетень безопасности, в котором заявили, что спонсируемая российским правительством хакерская группа Energetic Bear (она же TEMP.Isotope, Berserk Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti и Koala) атаковала правительственные сети США и успешно их взломала.
Правоохранители пишут, что группа атакует правительственные сети и компании авиационного сектора как минимум с февраля 2020 года. При этом, по состоянию на 1 октября 2020 года, хакерам якобы удалось « успешно взломать сетевую инфраструктуру и извлечь данные как минимум с двух серверов».
Новый бюллетень безопасности является прямым продолжением другого предупреждения, опубликованного американскими властями ранее в этом месяце. Тогда CISA и ФБР предупреждали, что неназванные правительственные хакеры получают доступ к правительственным сетям, комбинируя уязвимость Zerologon (CVE-2020-1472) и различные баги в VPN-продуктах. Теперь же стало известно, что речь шла о группе Energetic Bear.
По данным правоохранителей, для атак хакеры прибегали к эксплуатации уязвимостей в Citrix Access Gateway (CVE-2019-19781), почтовых серверах Microsoft Exchange (CVE-2020-0688), почтовом агенте Exim (CVE 2019-10149), а также Fortinet SSL VPN (CVE-2018-13379). Упомянутую выше проблему Zerologon применяли для получения доступа и кражи учетных данных Windows Active Directory (AD), с целью последующего бокового перемещения по скомпрометированным сетям.
Сообщается, что когда атаки оказывались успешными, члены Energetic Bear похищали из правительственных сетей различные файлы, в том числе связанные с конфиденциальными сетевыми конфигурациям и паролями; стандартным операционными процедурами (СОП); ИТ-инструкциями, такими как запросы на сброс пароля; информацией о поставщиках и закупках; печатью электронных пропусков.
«На сегодняшний день у ФБР и CISA нет информации, свидетельствующей о том, что данная APT намеренно нарушила работу авиационного или образовательного секторов, выборов или правительственных операций. Однако группировка могла искать доступ, чтобы в будущем иметь возможности для атак, которые могли бы повлиять на политику и действия США или лишить легитимности государственные структуры», — пишут представители ФБР и CISA.
Bleeping Computer сообщает, что в минувшие выходные на хакерском форуме выставили на продажу базу данных популярного фотобанка 123rf, содержащую около 8 300 000 записей. Продавец заявляет, что дамп был сделан в 2020 году.
Журналисты изучили опубликованный хакерами образец данных и пишут, что финансовой информации дамп не содержит, однако там можно найти полное имя пользователя, адрес электронной почты, хешированные пароли (MD5), название компании, номер телефона, адрес, привязанный к PayPal email-адрес (если используется), а также IP-адрес.
Еще в начале текущей недели журналисты уведомили о своей находке компанию Inmagine Group, которой принадлежит 123rf, и получили ответ, что сервер в центре обработки данных действительно был взломан, и хакеры успели похитить данные пользователей. Компания уже проводит расследование случившегося вместе со специалистами из правоохранительных органов.
При этом в Inmagine Group говорят, что выставленный на продажу дамп – это не новейшая копия базы клиентов за 2020 год. Похоже, это правда, так как самые свежие образцы, изученные Bleeping Computer, были датированы 27 октября 2019 года.
Хотя в компании заявили, что все пароли клиентов были зашифрованы, речь, очевидно, идет про MD5, то есть взлом таких паролей, к сожалению, не доставит злоумышленникам особенных проблем.
Журналисты изучили опубликованный хакерами образец данных и пишут, что финансовой информации дамп не содержит, однако там можно найти полное имя пользователя, адрес электронной почты, хешированные пароли (MD5), название компании, номер телефона, адрес, привязанный к PayPal email-адрес (если используется), а также IP-адрес.
Еще в начале текущей недели журналисты уведомили о своей находке компанию Inmagine Group, которой принадлежит 123rf, и получили ответ, что сервер в центре обработки данных действительно был взломан, и хакеры успели похитить данные пользователей. Компания уже проводит расследование случившегося вместе со специалистами из правоохранительных органов.
При этом в Inmagine Group говорят, что выставленный на продажу дамп – это не новейшая копия базы клиентов за 2020 год. Похоже, это правда, так как самые свежие образцы, изученные Bleeping Computer, были датированы 27 октября 2019 года.
Хотя в компании заявили, что все пароли клиентов были зашифрованы, речь, очевидно, идет про MD5, то есть взлом таких паролей, к сожалению, не доставит злоумышленникам особенных проблем.
Эксперты компании Microsoft в очередной раз подняли вопрос о небезопасности многофакторной аутентификации через телефон, то есть посредством одноразовых кодов в SMS-сообщениях или голосовых вызовов.
Вместо этого компания призывает использовать более новые технологи, в том числе приложения-аутентификаторы и ключи безопасности.
На этот раз предупреждение исходит от главы по безопасности идентификационной информации компании, Алекса Вейнерта (Alex Weinert). В прошлом году, ссылаясь на внутреннюю статистику Microsoft, эксперт писал, что пользователи, включившие многофакторную аутентификацию (МФА), были защищены от 99,9% автоматических атак на свои учетные записи. Однако теперь Вейнерт объясняет, что если у пользователя есть стоит между несколькими способами МФА, то ни в коем случае нельзя делать выбор в пользу телефона.
Эксперт рассказывает, что многофакторная аутентификация через телефон может зависеть хотя бы от состояния телефонных сетей. Так как SMS-сообщения и голосовые вызовы передаются в открытом виде, они могут быть легко перехвачены злоумышленниками с помощью таких методов и инструментов, как SDR (Software-Defined Radio), FEMTO или различных багов SS7.
Кроме того, одноразовые коды из SMS-сообщений могут быть извлечены с помощью опенсорсных и доступных фишинговых инструментов, таких как Modlishka, CredSniper или Evilginx. Или же сотрудники мобильных операторов могут быть обмануты мошенниками с целью подмены SIM-карты жертвы (такие атаки обычно называют SIM swap), что позволит злоумышленникам получать одноразовые коды МФА от лица цели.
По словам Вейнерта, все это делает МФА на основе SMS-сообщений и голосовых вызовов «наименее безопасным из всех доступных на сегодня методов МФА». Специалист советует пользователям применять более мощный механизм многофакторной аутентификации, если таковой доступен, и рекомендует приложение Microsoft Authenticator. А если пользователи хотят только лучшего, им вообще следует использовать аппаратные ключи, которые Вайнерт еще в прошлом году называл лучшим решением в области МФА.
Напомню, что высказанная Вейнертом точка зрения совсем не нова. Еще в 2016 году Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет. В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации будет рассматриваться как «недопустимое» и «небезопасное».
Вместо этого компания призывает использовать более новые технологи, в том числе приложения-аутентификаторы и ключи безопасности.
На этот раз предупреждение исходит от главы по безопасности идентификационной информации компании, Алекса Вейнерта (Alex Weinert). В прошлом году, ссылаясь на внутреннюю статистику Microsoft, эксперт писал, что пользователи, включившие многофакторную аутентификацию (МФА), были защищены от 99,9% автоматических атак на свои учетные записи. Однако теперь Вейнерт объясняет, что если у пользователя есть стоит между несколькими способами МФА, то ни в коем случае нельзя делать выбор в пользу телефона.
Эксперт рассказывает, что многофакторная аутентификация через телефон может зависеть хотя бы от состояния телефонных сетей. Так как SMS-сообщения и голосовые вызовы передаются в открытом виде, они могут быть легко перехвачены злоумышленниками с помощью таких методов и инструментов, как SDR (Software-Defined Radio), FEMTO или различных багов SS7.
Кроме того, одноразовые коды из SMS-сообщений могут быть извлечены с помощью опенсорсных и доступных фишинговых инструментов, таких как Modlishka, CredSniper или Evilginx. Или же сотрудники мобильных операторов могут быть обмануты мошенниками с целью подмены SIM-карты жертвы (такие атаки обычно называют SIM swap), что позволит злоумышленникам получать одноразовые коды МФА от лица цели.
По словам Вейнерта, все это делает МФА на основе SMS-сообщений и голосовых вызовов «наименее безопасным из всех доступных на сегодня методов МФА». Специалист советует пользователям применять более мощный механизм многофакторной аутентификации, если таковой доступен, и рекомендует приложение Microsoft Authenticator. А если пользователи хотят только лучшего, им вообще следует использовать аппаратные ключи, которые Вайнерт еще в прошлом году называл лучшим решением в области МФА.
Напомню, что высказанная Вейнертом точка зрения совсем не нова. Еще в 2016 году Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет. В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации будет рассматриваться как «недопустимое» и «небезопасное».
Методы черного SEO используются для распространения малвари
По данным экспертов Microsoft и Sophos, инфостилер Gootkit превратился в сложный и скрытный фреймворк, который теперь носит название Gootloader. Вредонос распространяет широкий спектр малвари через взломанные сайты под управлением WordPress, злоупотребляя методами так называемого черного SEO.
Отмечается, что увеличилось не только количество полезных нагрузок: Gootloader распределяет пейлоады по нескольким регионам и сотням взломанных серверов, которые всегда активны. По данным исследователей, в настоящее время Gootloader контролирует около 400 серверов, на которых размещены взломанные легитимные сайты.
Еще в прошлом году специалисты впервые заметили вредоносные кампании, основанные на механизме Gootloader. Тогда они отвечали за доставку вымогателя REvil и в основном атаковали цели в Германии. Это ознаменовало своеобразный новый старт для Gootkit, так как до этого малварь была неактивна после утечки данных, которую ее операторы допустили в 2019 году.
Теперь хакеры перегруппировались, построили обширную сеть из взломанных сайтов на базе WordPress и стали использовать разные приемы SEO, чтобы показывать в Google поддельные форумы с вредоносными ссылками.
Такие поддельные форумы видны только пользователям из определенных регионов. Эти «обсуждения» якобы содержат ответ на конкретный запрос пользователя. Причем сообщение с ответом публикуется от имени администратора сайта, и в нем присутствует вредоносная ссылка. Чтобы показывать потенциальным жертвам такие фальшивые обсуждения, хакеры модифицируют CMS взломанных ресурсов.
На примере ниже видно, как фальшивое сообщение на форуме дает ответ на конкретный поисковый запрос, связанный с операциями с недвижимостью. Причем это «обсуждение» происходит на сайте о неонатальной медицине, который не имеет ничего общего с искомой темой, «однако, это первый результат, который появляется при запросе определенного типа соглашения о недвижимости», — говорят эксперты.
При нажатии на такую ссылку с «форума» посетитель получает ZIP-архив с файлом JavaScript, который запускает процесс заражения. Отмечается, что это единственный этап, на котором файл записывается на диск, все остальные операции малварь производит в памяти, поэтому многие инструменты безопасности бесполезны против Gootloader.
Сообщается, что теперь, помимо стандартной полезной нагрузки (вымогателей Gootkit и REvil), Gootloader также может распространять троян Kronos и Cobalt Strike. Такие атаки нацелены на посетителей из США, Германии и Южной Кореи.
Пока неясно, как именно операторы малвари получают доступ к сайтам, на которых потом размещают фальшивые форумы. Исследователи подозревают, что злоумышленники могли получить учетные данные этих ресурсов благодаря установкам Gootkit, купив их на черном рынке, или воспользовавшись известными багами в плагинах для CMS.
«Разработчики Gootkit, похоже, перенаправили свои ресурсы и энергию с доставки собственного вредоносного ПО на создание скрытной и сложной платформы для доставки любых видов пейлоадов, включая шифровальщика REvil.
Это показывает, что преступники, как правило, повторно используют уже проверенные решения, а не разрабатывают новые механизмы доставки. Кроме того, вместо использования агрессивных атакующих инструментов, как это делают некоторые распространители малвари, авторы Gootloader выбрали извилистый путь сложных техник уклонения, которые помогают скрыть конечный результат», — заключают эксперты Sophos.
По данным экспертов Microsoft и Sophos, инфостилер Gootkit превратился в сложный и скрытный фреймворк, который теперь носит название Gootloader. Вредонос распространяет широкий спектр малвари через взломанные сайты под управлением WordPress, злоупотребляя методами так называемого черного SEO.
Отмечается, что увеличилось не только количество полезных нагрузок: Gootloader распределяет пейлоады по нескольким регионам и сотням взломанных серверов, которые всегда активны. По данным исследователей, в настоящее время Gootloader контролирует около 400 серверов, на которых размещены взломанные легитимные сайты.
Еще в прошлом году специалисты впервые заметили вредоносные кампании, основанные на механизме Gootloader. Тогда они отвечали за доставку вымогателя REvil и в основном атаковали цели в Германии. Это ознаменовало своеобразный новый старт для Gootkit, так как до этого малварь была неактивна после утечки данных, которую ее операторы допустили в 2019 году.
Теперь хакеры перегруппировались, построили обширную сеть из взломанных сайтов на базе WordPress и стали использовать разные приемы SEO, чтобы показывать в Google поддельные форумы с вредоносными ссылками.
Такие поддельные форумы видны только пользователям из определенных регионов. Эти «обсуждения» якобы содержат ответ на конкретный запрос пользователя. Причем сообщение с ответом публикуется от имени администратора сайта, и в нем присутствует вредоносная ссылка. Чтобы показывать потенциальным жертвам такие фальшивые обсуждения, хакеры модифицируют CMS взломанных ресурсов.
На примере ниже видно, как фальшивое сообщение на форуме дает ответ на конкретный поисковый запрос, связанный с операциями с недвижимостью. Причем это «обсуждение» происходит на сайте о неонатальной медицине, который не имеет ничего общего с искомой темой, «однако, это первый результат, который появляется при запросе определенного типа соглашения о недвижимости», — говорят эксперты.
При нажатии на такую ссылку с «форума» посетитель получает ZIP-архив с файлом JavaScript, который запускает процесс заражения. Отмечается, что это единственный этап, на котором файл записывается на диск, все остальные операции малварь производит в памяти, поэтому многие инструменты безопасности бесполезны против Gootloader.
Сообщается, что теперь, помимо стандартной полезной нагрузки (вымогателей Gootkit и REvil), Gootloader также может распространять троян Kronos и Cobalt Strike. Такие атаки нацелены на посетителей из США, Германии и Южной Кореи.
Пока неясно, как именно операторы малвари получают доступ к сайтам, на которых потом размещают фальшивые форумы. Исследователи подозревают, что злоумышленники могли получить учетные данные этих ресурсов благодаря установкам Gootkit, купив их на черном рынке, или воспользовавшись известными багами в плагинах для CMS.
«Разработчики Gootkit, похоже, перенаправили свои ресурсы и энергию с доставки собственного вредоносного ПО на создание скрытной и сложной платформы для доставки любых видов пейлоадов, включая шифровальщика REvil.
Это показывает, что преступники, как правило, повторно используют уже проверенные решения, а не разрабатывают новые механизмы доставки. Кроме того, вместо использования агрессивных атакующих инструментов, как это делают некоторые распространители малвари, авторы Gootloader выбрали извилистый путь сложных техник уклонения, которые помогают скрыть конечный результат», — заключают эксперты Sophos.
СЕРВИС ВЗЛОМА ЭЛЕКТРОННОЙ ПОЧТЫ INFOCRAFT™
🔐 Взлом почты на заказ без предоплаты.
🔐 Работаем по всем популярным почтовым сервисам.
🔐 Взлом корпоративных e-mail.
🔐 Рассмотрим сложные случаи.
❕Оплата только после предоставления докозательств взлома.
🔕 Анонимно и безопасно.
🎖 Команда профи - опыт 10 лет.
Писать в ЛС @craftservis
🔐 Взлом почты на заказ без предоплаты.
🔐 Работаем по всем популярным почтовым сервисам.
🔐 Взлом корпоративных e-mail.
🔐 Рассмотрим сложные случаи.
❕Оплата только после предоставления докозательств взлома.
🔕 Анонимно и безопасно.
🎖 Команда профи - опыт 10 лет.
Писать в ЛС @craftservis
Неизвестные вымогают у компании Tether 500 биткоинов
Разработчики криптовалюты Tether (USDT) сообщают, что неизвестные лица вымогают у них 500 биткойнов (примерно 24 000 000 долларов по текущему курсу). В случае если компания откажется платить, мошенники обещают обнародовать якобы похищенные у нее данные.
Еще на прошлой неделе Twitter-аккаунты Deltecleaks и TetherLeaks стали распространять скриншоты якобы украденных у Tether документов и электронных писем, а также данные одного из банковских партнеров компании, Deltec Bank.
Представители Tether заявляют, что эта утечка — фейк, а документы, которые выкладывают преступники, подделка.
«Сегодня мы получили требование выкупа в размере 500 BTC, которые нужно отправить на адрес bc1qa9f60pved3w3w0p7snpxlnh5t4uj95vxn797a7. Отправители письма заявляют, что, если они не получат BTC до завтра, они сольют документы широкой общественности, чтобы “нанести вред экосистеме биткойнов”. Мы не станем платить», — гласит заявление компании.
В Tether отмечают, что пока неясно, является ли это обычной вымогательской атакой, какие часто нацеливают на криптовалютные компании, или злоумышленники действительно стремятся саботировать работу Tether и нанести удар по криптосообществу в целом.
«Хотя мы считаем, что это довольно жалкая попытка вымогательства, мы относимся к ней серьезно. Мы уже уведомили правоохранительные органы об этих сообщениях и связанных с ними требованиях выкупа. Как всегда, мы полностью поддержим правоохранительные органы в расследовании этой мошеннической схемы», — гласит Twitter компании.
Разработчики криптовалюты Tether (USDT) сообщают, что неизвестные лица вымогают у них 500 биткойнов (примерно 24 000 000 долларов по текущему курсу). В случае если компания откажется платить, мошенники обещают обнародовать якобы похищенные у нее данные.
Еще на прошлой неделе Twitter-аккаунты Deltecleaks и TetherLeaks стали распространять скриншоты якобы украденных у Tether документов и электронных писем, а также данные одного из банковских партнеров компании, Deltec Bank.
Представители Tether заявляют, что эта утечка — фейк, а документы, которые выкладывают преступники, подделка.
«Сегодня мы получили требование выкупа в размере 500 BTC, которые нужно отправить на адрес bc1qa9f60pved3w3w0p7snpxlnh5t4uj95vxn797a7. Отправители письма заявляют, что, если они не получат BTC до завтра, они сольют документы широкой общественности, чтобы “нанести вред экосистеме биткойнов”. Мы не станем платить», — гласит заявление компании.
В Tether отмечают, что пока неясно, является ли это обычной вымогательской атакой, какие часто нацеливают на криптовалютные компании, или злоумышленники действительно стремятся саботировать работу Tether и нанести удар по криптосообществу в целом.
«Хотя мы считаем, что это довольно жалкая попытка вымогательства, мы относимся к ней серьезно. Мы уже уведомили правоохранительные органы об этих сообщениях и связанных с ними требованиях выкупа. Как всегда, мы полностью поддержим правоохранительные органы в расследовании этой мошеннической схемы», — гласит Twitter компании.
Chrome будет принудительно подставлять к адресам префикс HTTPS
На протяжении многих лет инженеры Google являлись одними из наиболее ярых сторонников повышения безопасности браузеров, наряду с разработчиками Firefox и Tor.
Уже давно одним из ключевых вопросов, интересующих разработчиков Chrome, является продвижение использования HTTPS как внутри браузеров, так и среди владельцев сайтов. Очередным шагом на пути к повсеместному HTTPS стало то, что с недавних пор Chrome автоматически пытается перейти с HTTP на HTTPS, если HTTPS доступен. Также браузер блокирует загрузки из HTTP-источников (даже если в URL-адресе страницы стоит префикс HTTPS), чтобы пользователи не считали, будто их загрузка защищена, если на самом деле это не так.
Хотя около 82% всех сайтов уже работают на HTTPS, переход на HTTPS в глобальном смысле еще нельзя считать завершенным. Поэтому в Chrome 90, выпуск которого запланирован на середину апреля текущего года, появится новая функция.
Изменение повлияет на омнибокс Chrome (так в Google называют адресную строку браузера). В текущих версиях, когда пользователь вводят в омнибокс ссылку, Chrome загружает введенную ссылку независимо от использованного протокола. Сейчас если пользователь забудет написать HTTP или HTTPS, Chrome автоматически добавит перед текстом «http://» и попытается загрузить сайт. К примеру, domain.com превратится в http://domain.com.
С релизом Chrome 90 это изменится. Начиная с этой версии омнибокс будет загружать все домены через HTTPS, автоматически подставляя соответствующий префикс «https://».
«В настоящее время планируется запустить [эту функцию] в качестве эксперимента для небольшого процента пользователей в Chrome 89, и полноценно внедрить ее в Chrome 90, если все пойдет по плану», — рассказывает инженер по безопасности Chrome Эмили Старк (Emily Stark).
На протяжении многих лет инженеры Google являлись одними из наиболее ярых сторонников повышения безопасности браузеров, наряду с разработчиками Firefox и Tor.
Уже давно одним из ключевых вопросов, интересующих разработчиков Chrome, является продвижение использования HTTPS как внутри браузеров, так и среди владельцев сайтов. Очередным шагом на пути к повсеместному HTTPS стало то, что с недавних пор Chrome автоматически пытается перейти с HTTP на HTTPS, если HTTPS доступен. Также браузер блокирует загрузки из HTTP-источников (даже если в URL-адресе страницы стоит префикс HTTPS), чтобы пользователи не считали, будто их загрузка защищена, если на самом деле это не так.
Хотя около 82% всех сайтов уже работают на HTTPS, переход на HTTPS в глобальном смысле еще нельзя считать завершенным. Поэтому в Chrome 90, выпуск которого запланирован на середину апреля текущего года, появится новая функция.
Изменение повлияет на омнибокс Chrome (так в Google называют адресную строку браузера). В текущих версиях, когда пользователь вводят в омнибокс ссылку, Chrome загружает введенную ссылку независимо от использованного протокола. Сейчас если пользователь забудет написать HTTP или HTTPS, Chrome автоматически добавит перед текстом «http://» и попытается загрузить сайт. К примеру, domain.com превратится в http://domain.com.
С релизом Chrome 90 это изменится. Начиная с этой версии омнибокс будет загружать все домены через HTTPS, автоматически подставляя соответствующий префикс «https://».
«В настоящее время планируется запустить [эту функцию] в качестве эксперимента для небольшого процента пользователей в Chrome 89, и полноценно внедрить ее в Chrome 90, если все пойдет по плану», — рассказывает инженер по безопасности Chrome Эмили Старк (Emily Stark).