أسبوع الأمن 11: البرامج الضارة لمحرك البحث

في 20 شباط، والرنانة آخر ظهرت على حبري مع أمثلة للإعلانات في نتائج البحث بناء على طلب من المستخدمين الذين يرغبون في تحميل البرامج المشتركة. أدت الروابط الإعلانية إلى موارد من جهات خارجية ، وليس إلى الموقع الرسمي للمطور. لم يتحقق مؤلف المنشور مما إذا كانت البرامج الموزعة خبيثة ، وأشار تعليق ياندكس إلى أنه تم فحص الإعلانات من هذا النوع قبل النشر. على الأرجح ، يتم الإعلان عن المواقع التي تتلقى عمولة من مطوري البرامج لتثبيت البرامج على الاستعلامات الشائعة.

في الأسبوع الماضي ، أظهر باحثو Kaspersky Lab ما يحدث إذا كان البرنامج في سيناريو مماثل لا يزال ضارًا. تصف المقالة XCore مستتر وتوضح صراحة أنه من أجل زيادة حركة المرور إلى مواقع الويب التي تحاكي الأصلي ، وضع المهاجمون إعلانات على محركات البحث. ولكن دون تحديد أي منها ومتى. لذلك ، إخلاء مسؤولية مهم: من المحتمل ألا تكون الأمثلة المحددة في المقالة من الرابط أعلاه ودراسة Kaspersky Lab ذات صلة.

تضمنت حملة ضخمة لتوزيع باب خلفي XCore إنشاء صفحات تحاكي المواقع الرسمية لمطوري البرامج الشهيرة: نذكر Discord و TeamViewer و DaemonTools و VLC Media Player. كان الاختلاف الملحوظ الوحيد عن الأصل هو عدم وجود روابط نشطة ، باستثناء رابط واحد - مما أدى إلى تنزيل البرنامج.

يحتوي المثبت القابل للتنزيل على البرنامج الشرعي المطلوب ومثبت خلفي منفصل. عند تشغيله في Windows Scheduler ، يتم إنشاء مهمة لاستدعاء برنامج ضار كل دقيقتين. مجموعة وظائف الباب الخلفي تقليدية: تسمح لك بالاتصال عن بعد بالنظام المصاب باستخدام بروتوكول RDP ، وتنفذ التعليمات من خادم الأوامر ، ويمكن تشغيل تطبيقات عشوائية ، وتغيير إعدادات جدار الحماية. كانت إحدى الميزات المثيرة للاهتمام هي التفاعل مع المتصفحات: الباب الخلفي قادر على محاكاة إجراءات المستخدم ، مثل فتح صفحات الويب والنقر على روابط الإعلانات.

تحدد أدوات أمان Kaspersky Lab هذا البرنامج على أنه Backdoor.MSIL.XCore. حدثت الغالبية العظمى من عمليات حظر البرامج الضارة على أراضي روسيا ، ولم تتم ملاحظة سوى حالات قليلة خارجها. هذه هي ثالث حملة توزيع واسعة النطاق لـ XCore ، تم تسجيل الحملات السابقة في صيف عام 2019 وفي نهاية عام 2018.

أظهرت دراسة للروابط الدعائية لطلبات البحث "الساخنة" لتنزيل البرامج أنه بالإضافة إلى باب XCore الخلفي ، فإن المستخدمين معرضون لخطر تثبيت برامج إعلانية أقل خطورة ، ولكن أكثر إزعاجًا ، من عائلة Maombi. غالبًا ما يتم الإعلان عن هذا البرنامج على مواقع تحتوي على مجموعات مشروعة من البرامج بطريقة مألوفة للزائرين - عندما يكون من الصعب على صفحة التنزيل (ما تحتاجه) التمييز بين زر التنزيل الحقيقي والزر المزيف ، الذي يعد جزءًا من لافتة الإعلانات ، كما في لقطة الشاشة أعلاه. تُظهر لقطة الشاشة أدناه مثالًا لمثل هذا المثبت. يتم تثبيت Adware بغض النظر عن اختيار المستخدم ، حتى إذا قمت بالنقر فوق الزر "رفض" أو إغلاق النافذة.

ماذا حدث

وجدت التقنيات الإيجابية ثغرة في وحدة محرك Intel و Converged Security and Management Engine ( الأخبار ، النشر على مدونة الشركة على حبري). وفقًا للباحثين ، فإن الثغرة موجودة في جميع شرائح Intel و SoC ، باستثناء أحدث حلول الجيل العاشر ، ولا يمكن إصلاحها من خلال تحديث البرنامج. التصحيح لضعف مماثل يحد فقط من إمكانية الاستغلال. وعدت الشركة بنشر التفاصيل الفنية في وقت لاحق.

يغلق تحديث برنامج التشغيل التالي لبطاقات فيديو NVIDIA تحت Windows العديد من نقاط الضعف الخطيرة . أغلقت

سيسكوالثغرات الأمنية التي تسمح بتنفيذ تعليمات برمجية عشوائية في أدوات مساعدة للعمل مع خدمة Webex. يمكن استخدام مشغلات ملفات الفيديو الناتجة عن نتائج مؤتمر عبر الإنترنت للهجوم باستخدام ملف معد.

ستقوم خدمة التشفير المجانية Let's Encrypt بإلغاء 3 ملايين شهادة صادرة بسبب خطأ في عملية التحقق من موقع الويب. بحلول الموعد النهائي الأولي (4 مارس) ، تم تجديد 1.7 مليون شهادة. تم تأجيل التعليقات المتبقية حتى لا تتسبب في تعطيل المواقع. الآن الخطة: إخطار مالكي المواقع المتأثرة بتجديد الشهادات في أقرب وقت ممكن ، ولكن سيتم إكمال العملية بأكملها في غضون ثلاثة أشهر ، حيث لن تستمر شهادات Encrypt في أي حال من الأحوال لمدة تزيد عن الربع.

تم اكتشاف ثغرة خطيرة وإغلاقها في جهاز التوجيه Netgear Nighthawk 2016 . لا تكشف الشركة المصنعة عن التفاصيل (باستثناء أنها تتعلق بتنفيذ تعليمات برمجية عشوائية عن بُعد) ، يمكنك تنزيل التصحيح هنا .

في مارس تحديث الأمان لنظام Android مغلق ثغرة في الأجهزة على منصة Mediatek. وفقًا لـ XDA Developers ، تم استخدام المشكلة للحصول على حقوق الجذر لعدة أشهر ، بما في ذلك البرامج الضارة.

غير تروي هانت رأيهقم ببيع خدمة Have I Have Pwned للتحقق من الحسابات وكلمات المرور المسربة. بعد المفاوضات مع المشتري المحتمل ، تحولت معلمات المعاملة إلى أنها "غير عملية" ، وستستمر الخدمة في الوجود في وضع مستقل.

يصف مايكروسوفت في التفاصيل "دليل" الهجمات التشفير على الأعمال ( أخبار ، الأبحاث ). هذه المرة ، لا يتعلق هذا بالهجمات الآلية التي تقوم بها أحصنة طروادة الفدية ، ولكن حول نهج فردي ، عندما يتم تطبيق أساليب اختراق فريدة على ضحية معينة ، ويتم تحديد سعر الفدية بناءً على الملاءة المالية. ملاحظة مثيرة للاهتمام حول سرعة الهجوم: تستغرق جميع المراحل من الاختراق الأول إلى التحكم الكامل ساعة واحدة في المتوسط.

الضعف في برنامج إدارة الجهاز المحمول Zoho مع عناصر الدراما. قام الباحث بنشر معلومات عن المشكلة ونشر برمجية إكسبلويت دون إخطار المطورين بالخدمة والبرمجيات بسبب "التجربة السيئة" في الماضي.