Sicherheitswoche 11: Suchmaschinen-Malware

Am 20. Februar eine Resonanz Post erschien auf Habré mit Beispielen von Anzeigen in den Suchergebnissen auf Wunsch der Anwender , die gemeinsame Software herunterladen möchten. Gesponserte Links führten zu Ressourcen Dritter und nicht zur offiziellen Website des Entwicklers. Der Autor des Beitrags überprüfte nicht, ob die verteilten Programme böswillig waren, und ein Yandex-Kommentar zeigte an, dass Anzeigen dieser Art vor der Veröffentlichung überprüft wurden. Websites, die von Softwareentwicklern Provisionen für die Installation von Programmen erhalten, werden höchstwahrscheinlich in beliebten Abfragen beworben.

Letzte Woche haben Forscher von Kaspersky Lab gezeigt, was passiert, wenn sich die Software in einem ähnlichen Szenario immer noch als bösartig herausstellt. Der Artikel beschreibt die XCore-Hintertür und besagt ausdrücklich, dass Angreifer Anzeigen in Suchmaschinen platzieren, um den Verkehr auf Websites zu erhöhen, die das Original imitieren. Aber ohne anzugeben, welche und wann. Daher ein wichtiger Haftungsausschluss: Spezifische Beispiele im Artikel aus dem obigen Link und der Kaspersky Lab-Studie sind höchstwahrscheinlich nicht miteinander verbunden.

Eine massive Kampagne zur Verbreitung der XCore-Hintertür umfasste die Erstellung von Seiten, die die offiziellen Websites beliebter Softwareentwickler imitieren: Erwähnen Sie Discord, TeamViewer, DaemonTools und VLC Media Player. Der einzige merkliche Unterschied zum Original war das Fehlen aktiver Links, bis auf einen - was zum Download des Programms führte.

Das herunterladbare Installationsprogramm enthält das erforderliche legitime Programm und ein separates Backdoor-Installationsprogramm. Beim Start in Windows Scheduler wird eine Aufgabe erstellt, mit der alle zwei Minuten ein Schadprogramm aufgerufen wird. Die Backdoor-Funktionen sind traditionell: Sie können über das RDP-Protokoll eine Remoteverbindung zum infizierten System herstellen, Anweisungen vom Befehlsserver ausführen, beliebige Anwendungen starten und die Einstellungen der Firewall ändern. Eine interessante Funktion war die Interaktion mit Browsern: Eine Hintertür kann Benutzeraktionen emulieren, z. B. das Öffnen von Webseiten und das Klicken auf Werbelinks.

Die Sicherheitstools von Kaspersky Lab identifizieren dieses Programm als Backdoor.MSIL.XCore. Die überwiegende Mehrheit der Malware-Blockierungen erfolgte auf dem Territorium Russlands, nur wenige Fälle wurden außerhalb Russlands beobachtet. Dies ist die dritte massive XCore-Backdoor-Vertriebskampagne. Die vorherigen wurden im Sommer 2019 und Ende 2018 aufgezeichnet.

Eine Studie mit gesponserten Links zu "heißen" Suchanfragen für Software-Downloads ergab, dass Benutzer zusätzlich zur XCore-Backdoor das Risiko eingehen, etwas weniger gefährliche, aber ärgerlichere Adware aus der Maombi-Familie zu installieren. Diese Software wird häufig auf Websites mit legitimen Sammlungen von Programmen auf eine Weise beworben, die den Besuchern vertraut ist. Wenn Sie auf der Download-Seite (was Sie benötigen) nicht einfach den echten Download-Button von dem gefälschten unterscheiden können, der Teil des Werbebanners ist, wie im obigen Screenshot. Der folgende Screenshot zeigt ein Beispiel für ein solches Installationsprogramm. Adware wird unabhängig von der Wahl des Benutzers installiert, auch wenn Sie auf die Schaltfläche "Ablehnen" klicken oder das Fenster schließen.

Was ist sonst noch passiert?

Positive Technologies hat eine Sicherheitslücke im Modul Intel Converged Security and Management Engine gefunden ( Nachrichten , Beitrag im Blog des Unternehmens auf Habré). Laut Forschern ist die Sicherheitsanfälligkeit in allen Intel-Chipsätzen und SoCs vorhanden, mit Ausnahme der neuesten Lösungen der 10. Generation, und kann nicht mit einem Software-Update behoben werden. Ein Patch für eine ähnliche Sicherheitsanfälligkeit schränkt nur die Möglichkeit der Ausnutzung ein. Das Unternehmen versprach, technische Details später zu veröffentlichen.

Das nächste Treiberupdate für NVIDIA-Grafikkarten unter Windows schließt mehrere gefährliche Sicherheitslücken .

Cisco heruntergefahrenSicherheitslücken, mit denen beliebiger Code in Dienstprogrammen für die Arbeit mit dem Webex-Dienst ausgeführt werden kann. Spieler von Videodateien, die aus den Ergebnissen einer Online-Konferenz generiert wurden, können mit einer vorbereiteten Datei angreifen.

Der kostenlose Verschlüsselungsdienst Let's Encrypt wollte 3 Millionen ausgestellte Zertifikate aufgrund eines Fehlers bei der Website-Validierung widerrufen . Bis zum ersten Termin (4. März) wurden 1,7 Millionen Zertifikate erneuert. Das verbleibende Feedback wurde verschoben , um zu verhindern, dass die Websites funktionsunfähig werden. Jetzt ist der Plan: Benachrichtigen Sie die Eigentümer der betroffenen Websites, um die Zertifikate so schnell wie möglich zu erneuern. Der gesamte Vorgang wird jedoch in drei Monaten abgeschlossen sein, da Let's Encrypt-Zertifikate in jedem Fall nicht länger als ein Viertel dauern.

Im Netgear Nighthawk 2016-Router wurde eine schwerwiegende Sicherheitsanfälligkeit entdeckt und geschlossen. Der Hersteller gibt keine Details bekannt (außer dass es sich um die Remote-Ausführung von beliebigem Code handelt). Sie können den Patch hier herunterladen .

Im März Sicherheitsupdate für Android ist Sicherheitslücke in den Geräten auf der Mediatek-Plattform geschlossen. Laut XDA-Entwicklern wird das Problem seit mehreren Monaten verwendet, um Root-Rechte zu erhalten, auch bei Malware.

Troy Hunt änderte seine MeinungVerkaufen Sie Ihren Have I Been Pwned-Dienst, um nach durchgesickerten Konten und Passwörtern zu suchen. Nach Verhandlungen mit einem potenziellen Käufer erwiesen sich die Transaktionsparameter als „nicht praktikabel“, der Service bleibt im Status eines unabhängigen Käufers bestehen.

Microsoft beschreibt ausführlich "manuelle" Kryptoangriffe auf ein Unternehmen ( Nachrichten , Forschung ). Diesmal geht es nicht um automatisierte Angriffe von Ransomware-Trojanern, sondern um einen individuellen Ansatz, bei dem einzigartige Hacking-Taktiken auf ein bestimmtes Opfer angewendet werden und der Lösegeldpreis auf der Grundlage der Zahlungsfähigkeit festgelegt wird. Eine interessante Beobachtung zur Angriffsgeschwindigkeit: Alle Phasen vom ersten Eindringen bis zur vollständigen Kontrolle dauern durchschnittlich eine Stunde.

Sicherheitslücke in der Zoho Mobile Device Management-Software mit Drama-Elementen. Der Forscher veröffentlichte Informationen über das Problem und veröffentlichte einen Exploit, ohne die Entwickler über den Dienst und die Software zu informieren, da in der Vergangenheit „schlechte Erfahrungen“ gemacht wurden.