Semana da Segurança 11: malware do mecanismo de pesquisa

Em 20 de fevereiro, um post ressonante apareceu no Habré com exemplos de anúncios nos resultados de pesquisa, a pedido dos usuários que desejam baixar software comum. Links patrocinados levaram a recursos de terceiros, e não ao site oficial do desenvolvedor. O autor da postagem não verificou se os programas distribuídos eram maliciosos, e um comentário do Yandex indicou que anúncios desse tipo foram verificados antes da publicação. Provavelmente, os sites que recebem comissão de desenvolvedores de software para instalar programas são anunciados em consultas populares.

Na semana passada, os pesquisadores da Kaspersky Lab mostraram o que acontece se o software em um cenário semelhante ainda se mostra malicioso. O artigo descreve o backdoor do XCore e afirma explicitamente que, para aumentar o tráfego de sites que imitam o original, os invasores colocam anúncios nos mecanismos de pesquisa. Mas sem especificar quais e quando. Portanto, um aviso importante: exemplos específicos no artigo no link acima e no estudo da Kaspersky Lab provavelmente não estão relacionados.

Uma campanha massiva para distribuir o backdoor do XCore envolveu a criação de páginas que imitam os sites oficiais de desenvolvedores de software populares: mencione Discord, TeamViewer, DaemonTools e VLC Media Player. A única diferença notável em relação ao original foi a falta de links ativos, exceto um - levando ao download do programa.

O instalador para download contém o programa legítimo necessário e um instalador de backdoor separado. Quando iniciada no Windows Scheduler, uma tarefa é criada para chamar um programa malicioso a cada dois minutos. O conjunto de funções de backdoor é tradicional: permite conectar-se remotamente ao sistema infectado usando o protocolo RDP, executa instruções do servidor de comando, pode iniciar aplicativos arbitrários, alterar as configurações do firewall. Um recurso interessante foi a interação com os navegadores: um backdoor é capaz de emular ações do usuário, como abrir páginas da web e clicar em links de publicidade.

As ferramentas de segurança da Kaspersky Lab identificam esse programa como Backdoor.MSIL.XCore. A grande maioria dos bloqueios de malware ocorreu no território da Rússia, apenas alguns casos foram observados fora dele. Esta é a terceira campanha massiva de distribuição de backdoor da XCore, as anteriores foram registradas no verão de 2019 e no final de 2018.

Um estudo de links patrocinados para solicitações de pesquisa "quentes" para downloads de software mostrou que, além do backdoor do XCore, os usuários correm o risco de instalar um adware um pouco menos perigoso, mas mais irritante, da família Maombi. Esse software é frequentemente anunciado em sites com coleções legítimas de programas, de uma maneira familiar aos visitantes - quando na página de download (o que você precisa) não é fácil distinguir o botão de download real do falso, que faz parte do banner de publicidade, como na captura de tela acima. A captura de tela abaixo mostra um exemplo desse instalador. O adware é instalado independentemente da escolha do usuário, mesmo se você clicar no botão "Recusar" ou fechar a janela.

O que mais aconteceu

A Positive Technologies encontrou uma vulnerabilidade no módulo Intel Converged Security and Management Engine ( notícias , publicação no blog da empresa em Habré). Segundo os pesquisadores, a vulnerabilidade está presente em todos os chipsets e SoCs da Intel, exceto nas soluções mais recentes da 10ª geração, e não pode ser corrigida com uma atualização de software. Um patch para uma vulnerabilidade semelhante limita apenas a possibilidade de exploração. A empresa prometeu publicar detalhes técnicos posteriormente.

A próxima atualização de driver para placas de vídeo NVIDIA no Windows fecha várias vulnerabilidades perigosas .

Cisco desligadovulnerabilidades que permitem que código arbitrário seja executado em utilitários para trabalhar com o serviço Webex. Jogadores de arquivos de vídeo gerados pelos resultados de uma conferência online podem ser usados ​​para atacar usando um arquivo preparado.

O serviço de criptografia gratuito Let's Encrypt revogaria 3 milhões de certificados emitidos devido a um erro no processo de validação do site. No prazo inicial (4 de março), 1,7 milhão de certificados foram renovados. O feedback restante foi adiado para não causar a inoperância dos sites. Agora o plano é: notifique os proprietários dos sites afetados a renovarem os certificados o mais rápido possível, mas todo o processo será concluído em três meses, já que, em qualquer caso, os certificados Let's Encrypt, não duram mais que um quarto.

Uma vulnerabilidade séria foi descoberta e fechada no roteador Netgear Nighthawk 2016 . O fabricante não divulga detalhes (exceto que se trata de executar código arbitrário remotamente), você pode fazer o download do patch aqui .

Em março, a atualização de segurança para Android está fechada, vulnerabilidade nos dispositivos da plataforma Mediatek. Segundo os desenvolvedores da XDA , o problema foi usado para obter direitos de root por vários meses, inclusive em malware.

Troy Hunt mudou de idéiaVenda seu serviço Fui enviado para verificar contas e senhas vazadas. Após negociações com um potencial comprador, os parâmetros da transação se tornaram "impraticáveis", o serviço continuará a existir no status de independente.

A Microsoft descreve detalhadamente ataques criptográficos "manuais" a uma empresa ( notícias , pesquisas ). Desta vez, não se trata de ataques automatizados por trojans de ransomware, mas de uma abordagem individual, quando táticas exclusivas de hackers são aplicadas a uma vítima específica e o preço do resgate é definido com base na solvência. Uma observação interessante sobre a velocidade de ataque: todos os estágios, desde a primeira penetração até o controle total, levam em média uma hora.

Vulnerabilidade no software de gerenciamento de dispositivos móveis Zoho com elementos dramáticos. O pesquisador publicou informações sobre o problema e publicou uma exploração sem informar os desenvolvedores do serviço e software devido a "más experiências" no passado.