Semana de la seguridad 11: malware de motor de búsqueda

El 20 de febrero, apareció una publicación resonante en Habré con ejemplos de anuncios en los resultados de búsqueda a petición de los usuarios que desean descargar software común. Los enlaces patrocinados condujeron a recursos de terceros y no al sitio web oficial del desarrollador. El autor de la publicación no verificó si los programas distribuidos eran maliciosos, y un comentario de Yandex indicó que los anuncios de este tipo se verificaron antes de la publicación. Lo más probable es que los sitios que reciben comisiones de los desarrolladores de software para instalar programas se anuncien en consultas populares.

La semana pasada, los investigadores de Kaspersky Lab mostraron lo que sucede si el software en un escenario similar sigue siendo malicioso. El artículo describe la puerta trasera XCore y declara explícitamente que para aumentar el tráfico a sitios web que imitan el original, los atacantes colocaron anuncios en los motores de búsqueda. Pero sin especificar cuáles y cuándo. Por lo tanto, un descargo de responsabilidad importante: los ejemplos específicos en el artículo del enlace anterior y el estudio de Kaspersky Lab probablemente no estén relacionados.

Una campaña masiva para distribuir la puerta trasera XCore implicó la creación de páginas que imitan los sitios web oficiales de desarrolladores de software populares: mencione Discord, TeamViewer, DaemonTools y VLC Media Player. La única diferencia notable del original fue la falta de enlaces activos, excepto uno, que condujo a la descarga del programa.

El instalador descargable contiene el programa legítimo requerido y un instalador de puerta trasera separado. Cuando se inicia en el Programador de Windows, se crea una tarea para llamar a un programa malicioso cada dos minutos. El conjunto de funciones de puerta trasera es tradicional: le permite conectarse de forma remota al sistema infectado utilizando el protocolo RDP, ejecuta instrucciones desde el servidor de comandos, puede iniciar aplicaciones arbitrarias, cambiar la configuración del firewall. Una característica interesante fue la interacción con los navegadores: una puerta trasera puede emular acciones del usuario, como abrir páginas web y hacer clic en enlaces publicitarios.

Las herramientas de seguridad de Kaspersky Lab identifican este programa como Backdoor.MSIL.XCore. La gran mayoría del bloqueo de malware se produjo en el territorio de Rusia, solo se observaron unos pocos casos fuera de él. Esta es la tercera campaña masiva de distribución de puertas traseras de XCore, las anteriores se grabaron en el verano de 2019 y a fines de 2018.

Un estudio de enlaces patrocinados a solicitudes de búsqueda "calientes" para descargas de software mostró que, además de la puerta trasera XCore, los usuarios corren el riesgo de instalar adware un poco menos peligroso, pero más molesto, de la familia Maombi. Este software a menudo se anuncia en sitios con colecciones legítimas de programas de una manera familiar para los visitantes: cuando está en la página de descarga (lo que necesita) no es fácil distinguir el botón de descarga real del falso, que es parte del banner publicitario, como en la captura de pantalla anterior. La siguiente captura de pantalla muestra un ejemplo de dicho instalador. El adware se instala independientemente de la elección del usuario, incluso si hace clic en el botón "Rechazar" o cierra la ventana.

Que mas paso

Positive Technologies encontró una vulnerabilidad en el módulo Intel Converged Security and Management Engine ( noticias , publicación en el blog de la compañía en Habré). Según los investigadores, la vulnerabilidad está presente en todos los chipsets y SoC de Intel, a excepción de las últimas soluciones de décima generación, y no se puede solucionar con una actualización de software. Un parche para una vulnerabilidad similar limita solo la posibilidad de explotación. La compañía prometió publicar detalles técnicos más tarde.

La próxima actualización de controlador para tarjetas de video NVIDIA en Windows cierra varias vulnerabilidades peligrosas .

Cisco cerróvulnerabilidades que permiten ejecutar código arbitrario en utilidades para trabajar con el servicio Webex. Los jugadores de archivos de video generados por los resultados de una conferencia en línea se pueden usar para atacar usando un archivo preparado.

El servicio de cifrado gratuito Let's Encrypt iba a revocar 3 millones de certificados emitidos debido a un error en el proceso de validación del sitio web. Para la fecha límite inicial (4 de marzo), se renovaron 1.7 millones de certificados. El comentario restante se pospuso para no hacer que los sitios dejaran de funcionar. Ahora el plan es: notifique a los propietarios de los sitios afectados que renueven los certificados lo antes posible, pero todo el proceso se completará en tres meses, ya que los certificados Let's Encrypt en cualquier caso no duran más de un trimestre.

Se descubrió y cerró una vulnerabilidad grave en el enrutador Netgear Nighthawk 2016 . El fabricante no revela detalles (excepto que se trata de ejecutar código arbitrario de forma remota), puede descargar el parche aquí .

En marzo, la actualización de seguridad para Android es vulnerabilidad cerrada en los dispositivos en la plataforma Mediatek. Según XDA Developers , el problema se ha utilizado para obtener derechos de root durante varios meses, incluso en malware.

Troy Hunt cambió de opiniónVenda su servicio Have I Been Pwned para buscar cuentas y contraseñas filtradas. Después de negociaciones con un posible comprador, los parámetros de la transacción resultaron ser "impracticables", el servicio continuará existiendo en el estado de un independiente.

Microsoft describe en detalle los ataques criptográficos "manuales" a una empresa ( noticias , investigación ). Esta vez, no se trata de ataques automáticos de troyanos de ransomware, sino de un enfoque individual, cuando se aplican tácticas de piratería únicas a una víctima específica, y el precio del rescate se establece en función de la solvencia. Una observación interesante sobre la velocidad de ataque: todas las etapas, desde la primera penetración hasta el control total, toman un promedio de una hora.

Vulnerabilidad en el software de administración de dispositivos móviles de Zoho con Drama Elements. El investigador publicó información sobre el problema y publicó un exploit sin informar a los desarrolladores del servicio y el software debido a una "mala experiencia" en el pasado.