Semaine de la sécurité 11: logiciels malveillants des moteurs de recherche

Le 20 février, une publication résonnante est apparue sur Habré avec des exemples d'annonces dans les résultats de recherche à la demande d'utilisateurs qui souhaitent télécharger des logiciels courants. Les liens sponsorisés ont conduit à des ressources tierces, et non au site officiel du développeur. L'auteur de l'article n'a pas vérifié si les programmes distribués étaient malveillants et un commentaire de Yandex a indiqué que les publicités de ce type avaient été vérifiées avant leur publication. Très probablement, les sites qui reçoivent une commission des développeurs de logiciels pour l'installation de programmes sont annoncés dans des requêtes populaires.

La semaine dernière, les chercheurs de Kaspersky Lab ont montré ce qui se passe si le logiciel dans un scénario similaire s'avère toujours malveillant. L'article décrit la porte dérobée XCore et déclare explicitement que pour augmenter le trafic vers des sites Web imitant l'original, les attaquants ont placé des publicités sur les moteurs de recherche. Mais sans préciser lesquels et quand. Par conséquent, un avertissement important: des exemples spécifiques dans l'article du lien ci-dessus et l'étude de Kaspersky Lab ne sont probablement pas liés.

Une campagne massive pour distribuer la porte dérobée XCore a impliqué la création de pages qui imitent les sites Web officiels des développeurs de logiciels populaires: mentionnez Discord, TeamViewer, DaemonTools et VLC Media Player. La seule différence notable par rapport à l'original était le manque de liens actifs, sauf un - conduisant au téléchargement du programme.

Le programme d'installation téléchargeable contient le programme légitime requis et un programme d'installation de porte dérobée distinct. Lorsqu'elle est lancée dans le planificateur Windows, une tâche est créée pour appeler un programme malveillant toutes les deux minutes. L'ensemble des fonctions de porte dérobée est traditionnel: il vous permet de vous connecter à distance au système infecté via le protocole RDP, exécute les instructions du serveur de commande, peut lancer des applications arbitraires, modifier les paramètres du pare-feu. Une fonctionnalité intéressante était l'interaction avec les navigateurs: une porte dérobée est capable d'émuler les actions des utilisateurs, comme ouvrir des pages Web et cliquer sur des liens publicitaires.

Les outils de sécurité de Kaspersky Lab identifient ce programme comme Backdoor.MSIL.XCore. La grande majorité des blocages de logiciels malveillants se sont produits sur le territoire de la Russie, seuls quelques cas ont été observés en dehors de celui-ci. Il s'agit de la troisième campagne massive de distribution de portes dérobées XCore, les précédentes ont été enregistrées à l'été 2019 et fin 2018.

Une étude des liens sponsorisés vers des demandes de recherche "à chaud" de téléchargements de logiciels a montré qu'en plus de la porte dérobée XCore, les utilisateurs courent le risque d'installer des logiciels publicitaires légèrement moins dangereux, mais plus ennuyeux, de la famille Maombi. Ce logiciel est souvent annoncé sur des sites avec des collections légitimes de programmes d'une manière familière aux visiteurs - lorsque sur la page de téléchargement (ce dont vous avez besoin), il n'est pas facile de distinguer le vrai bouton de téléchargement du faux, qui fait partie de la bannière publicitaire, comme dans la capture d'écran ci-dessus. La capture d'écran ci-dessous montre un exemple d'un tel programme d'installation. L'adware est installé indépendamment du choix de l'utilisateur, même si vous cliquez sur le bouton "Refuser" ou fermez la fenêtre.

Que s'est-il passé d'autre

Positive Technologies a découvert une vulnérabilité dans le module Intel Converged Security and Management Engine ( actualités , publication sur le blog de la société sur Habré). Selon les chercheurs, la vulnérabilité est présente dans tous les chipsets et SoC Intel, à l'exception des dernières solutions de 10e génération, et ne peut pas être corrigée avec une mise à jour logicielle. Un patch pour une vulnérabilité similaire ne limite que la possibilité d'exploitation. La société a promis de publier les détails techniques ultérieurement.

La prochaine mise à jour du pilote pour les cartes vidéo NVIDIA sous Windows ferme plusieurs vulnérabilités dangereuses .

Cisco a fermévulnérabilités qui permettent d'exécuter du code arbitraire dans des utilitaires pour travailler avec le service Webex. Les lecteurs de fichiers vidéo générés par les résultats d'une conférence en ligne peuvent être utilisés pour attaquer à l'aide d'un fichier préparé.

Le service de cryptage gratuit Let's Encrypt allait révoquer 3 millions de certificats émis en raison d'une erreur dans le processus de validation du site Web. À l'échéance initiale (4 mars), 1,7 million de certificats avaient été renouvelés. Les commentaires restants ont été reportés afin de ne pas rendre les sites inopérants. Maintenant, le plan est: Avertissez les propriétaires des sites concernés de renouveler les certificats dès que possible, mais l'ensemble du processus sera achevé dans trois mois, car les certificats Let's Encrypt ne durent en aucun cas plus d'un trimestre.

Une vulnérabilité grave a été découverte et corrigée dans le routeur Netgear Nighthawk 2016 . Le fabricant ne divulgue pas de détails (sauf qu'il s'agit d'exécuter du code arbitraire à distance), vous pouvez télécharger le patch ici .

En mars, la mise à jour de sécurité pour Android est une vulnérabilité fermée dans les appareils de la plate-forme Mediatek. Selon XDA Developers , le problème a été utilisé pour obtenir des droits root pendant plusieurs mois, y compris dans les logiciels malveillants.

Troy Hunt a changé d'avisVendez votre service Have I Been Pwned pour vérifier la fuite de comptes et de mots de passe. Après des négociations avec un acheteur potentiel, les paramètres de transaction se sont révélés «impraticables», le service continuera d'exister au statut d'indépendant.

Microsoft décrit en détail les attaques cryptographiques "manuelles" contre une entreprise ( actualités , recherche ). Cette fois, il ne s'agit pas d'attaques automatisées par des chevaux de Troie rançongiciels, mais d'une approche individuelle, lorsque des tactiques de piratage uniques sont appliquées à une victime spécifique, et que le prix de la rançon est fixé en fonction de la solvabilité. Une observation intéressante sur la vitesse d'attaque: toutes les étapes de la première pénétration au contrôle total prennent en moyenne une heure.

Vulnérabilité dans le logiciel Zoho Mobile Device Management avec Drama Elements. Le chercheur a publié des informations sur le problème et publié un exploit sans informer les développeurs du service et du logiciel en raison d'une «mauvaise expérience» dans le passé.