Minggu Keamanan 11: malware mesin pencari

Pada 20 Februari, sebuah pos resonansi muncul di Habré dengan contoh-contoh iklan dalam hasil pencarian atas permintaan pengguna yang ingin mengunduh perangkat lunak umum. Tautan sponsor mengarah ke sumber daya pihak ketiga, dan bukan ke situs web resmi pengembang. Penulis posting tidak memeriksa apakah program yang didistribusikan berbahaya, dan komentar Yandex menunjukkan bahwa iklan semacam ini diperiksa sebelum dipublikasikan. Kemungkinan besar, situs yang menerima komisi dari pengembang perangkat lunak untuk menginstal program diiklankan pada permintaan populer.

Pekan lalu, para peneliti Kaspersky Lab menunjukkan apa yang terjadi jika perangkat lunak dalam skenario yang sama ternyata tetap berbahaya. Artikel ini menjelaskan backdoor XCore dan secara eksplisit menyatakan bahwa untuk meningkatkan lalu lintas ke situs web meniru asli, penyerang menempatkan iklan di mesin pencari. Tetapi tanpa menentukan yang mana dan kapan. Oleh karena itu, penafian penting: contoh spesifik dalam artikel dari tautan di atas dan studi Kaspersky Lab kemungkinan besar tidak terkait.

Kampanye besar-besaran untuk mendistribusikan backdoor XCore melibatkan pembuatan halaman yang meniru situs web resmi pengembang perangkat lunak populer: sebutkan Discord, TeamViewer, DaemonTools, dan VLC Media Player. Satu-satunya perbedaan nyata dari yang asli adalah kurangnya tautan aktif, kecuali satu - yang mengarah ke pengunduhan program.

Pemasang yang dapat diunduh berisi program sah yang disyaratkan dan pemasang backdoor terpisah. Saat diluncurkan di Penjadwal Windows, tugas dibuat untuk memanggil program jahat setiap dua menit. Himpunan fungsi backdoor adalah tradisional: memungkinkan Anda untuk terhubung dari jarak jauh ke sistem yang terinfeksi menggunakan protokol RDP, menjalankan instruksi dari server perintah, dapat meluncurkan aplikasi sewenang-wenang, mengubah pengaturan firewall. Fitur yang menarik adalah interaksi dengan browser: backdoor mampu meniru tindakan pengguna, seperti membuka halaman web dan mengklik tautan iklan.

Alat keamanan Lab Kaspersky mengidentifikasi program ini sebagai Backdoor.MSIL.XCore. Sebagian besar pemblokiran malware terjadi di wilayah Rusia, hanya beberapa kasus yang diamati di luarnya. Ini adalah kampanye distribusi backdoor XCore ketiga yang besar, yang sebelumnya dicatat pada musim panas 2019 dan pada akhir 2018.

Sebuah studi tentang tautan sponsor ke permintaan pencarian "panas" untuk unduhan perangkat lunak menunjukkan bahwa selain backdoor XCore, pengguna menjalankan risiko memasang adware yang sedikit lebih berbahaya, tetapi lebih menyebalkan, dari keluarga Maombi. Perangkat lunak ini sering diiklankan di situs-situs dengan koleksi program yang sah dengan cara yang biasa bagi pengunjung - ketika pada halaman unduhan (apa yang Anda butuhkan) tidak mudah untuk membedakan tombol unduhan yang asli dari yang palsu, yang merupakan bagian dari spanduk iklan, seperti pada tangkapan layar di atas. Tangkapan layar di bawah ini menunjukkan contoh penginstal semacam itu. Adware diinstal terlepas dari pilihan pengguna, bahkan jika Anda mengklik tombol "Menolak" atau menutup jendela.

Apa lagi yang terjadi

Positive Technologies menemukan kerentanan dalam modul Intel Converged Security and Management Engine ( berita , posting di blog perusahaan di Habré). Menurut peneliti, kerentanan hadir di semua chipset dan SoC Intel, kecuali untuk solusi generasi ke-10 terbaru, dan tidak dapat diperbaiki dengan pembaruan perangkat lunak. Tambalan untuk kerentanan serupa hanya membatasi kemungkinan eksploitasi. Perusahaan berjanji untuk mempublikasikan rincian teknis nanti.

Pembaruan driver berikutnya untuk kartu video NVIDIA di bawah Windows menutup beberapa kerentanan berbahaya .

Cisco dimatikankerentanan yang memungkinkan kode sewenang-wenang dieksekusi dalam utilitas untuk bekerja dengan layanan Webex. Pemutar file video yang dihasilkan oleh hasil konferensi online dapat digunakan untuk menyerang menggunakan file yang disiapkan.

Layanan enkripsi gratis Let's Encrypt akan mencabut 3 juta sertifikat yang diterbitkan karena kesalahan dalam proses validasi situs web. Pada batas waktu awal (4 Maret), 1,7 juta sertifikat diperbarui. Umpan balik yang tersisa ditunda agar tidak menyebabkan situs menjadi tidak beroperasi. Sekarang rencananya adalah: beri tahu pemilik situs yang terpengaruh untuk memperbarui sertifikat sesegera mungkin, tetapi seluruh proses akan selesai dalam tiga bulan, karena Mari Enkripsi sertifikat dalam hal apa pun bertahan tidak lebih dari seperempat. Kerentanan serius ditemukan dan ditutup di

router Netgear Nighthawk 2016 . Pabrikan tidak mengungkapkan rincian (kecuali bahwa itu tentang mengeksekusi kode arbitrer dari jarak jauh), Anda dapat mengunduh tambalan di sini . Pada bulan Maret pembaruan keamanan untuk Android ditutup kerentanan pada perangkat pada platform Mediatek. Menurut Pengembang XDA , masalah tersebut telah digunakan untuk mendapatkan hak root selama beberapa bulan, termasuk di malware. Troy Hunt berubah pikiran



Jual layanan Have I Been Pwned Anda untuk memeriksa akun dan kata sandi yang bocor. Setelah bernegosiasi dengan pembeli potensial, parameter transaksi ternyata "tidak praktis", layanan akan terus ada dalam status independen.

Microsoft menjelaskan secara terperinci serangan crypto "manual" pada suatu bisnis ( berita , penelitian ). Kali ini, ini bukan tentang serangan otomatis oleh trojan ransomware, tetapi tentang pendekatan individual, ketika taktik peretasan yang unik diterapkan pada korban tertentu, dan harga tebusan ditetapkan berdasarkan solvabilitas. Pengamatan yang menarik tentang kecepatan serangan: semua tahap dari penetrasi pertama ke kontrol penuh memakan waktu rata-rata satu jam.

Kerentanan dalam Perangkat Lunak Manajemen Perangkat Seluler Zoho dengan Elemen Drama. Peneliti menerbitkan informasi tentang masalah dan memposting eksploit tanpa memberitahu pengembang layanan dan perangkat lunak karena "pengalaman buruk" di masa lalu.