🔅 👩🏻‍💼 🙂 安全周11：搜索引擎恶意软件 🖱️ 🏔️ 👃🏽

2月20日，应希望下载通用软件的用户的要求，在哈布雷（Habré）上出现了一篇引起轰动的帖子，其中包含搜索结果中的广告示例。赞助商链接指向第三方资源，而不是开发人员的官方网站。该帖子的作者没有检查分发的程序是否恶意，Yandex的评论表明在发布之前已检查了此类广告。很有可能在受欢迎的查询中刊登广告，这些网站从软件开发人员那里收取安装程序的佣金。

上周，卡巴斯基实验室的研究人员展示了如果在类似情况下该软件仍然被证明是恶意软件，会发生什么情况。本文介绍了XCore后门，并明确指出为了增加模仿原始网站的流量，攻击者在搜索引擎上放置了广告。但是没有指定哪个和何时。因此，有一个重要的免责声明：上面链接中的文章中的特定示例与卡巴斯基实验室的研究极有可能不相关。

分发XCore后门的一项大规模活动涉及创建模仿流行软件开发人员官方网站的页面：提及Discord，TeamViewer，DaemonTools和VLC Media Player。与原始文件相比，唯一明显的区别是缺少活动链接，但缺少活动链接-导致程序下载。

可下载的安装程序包含必需的合法程序和单独的后门安装程序。在Windows Scheduler中启动后，将创建一个任务，每两分钟调用一次恶意程序。后门功能集是传统的：它允许您使用RDP协议远程连接到受感染的系统，从命令服务器执行指令，可以启动任意应用程序，更改防火墙的设置。一个有趣的功能是与浏览器的交互：后门能够模拟用户操作，例如打开网页和单击广告链接。

卡巴斯基实验室安全工具将此程序标识为Backdoor.MSIL.XCore。绝大多数恶意软件拦截都发生在俄罗斯境内，但在俄罗斯境外仅观察到少数案例。这是第三次大规模XCore后门发行活动，之前的活动是在2019年夏季和2018年底录制的。

一项对“热门”软件下载搜索请求的赞助商链接的研究表明，除了XCore后门之外，用户冒着安装来自Maombi家族的风险较小，但烦人的广告软件的风险。该软件通常以访问者熟悉的方式在具有合法程序集合的网站上进行广告宣传-在下载页面（您需要什么）上时，很难将真正的下载按钮与假冒的按钮区分开来。假冒的下载按钮是广告横幅的一部分，如上面的截图所示。下面的屏幕快照显示了这种安装程序的示例。即使您单击“拒绝”按钮或关闭窗口，也不会考虑用户的选择安装广告软件。

还有什么事

Positive Technologies在Intel融合安全性和管理引擎模块中发现了一个漏洞（新闻，发布在公司博客上的Habré）。据研究人员称，该漏洞存在于所有英特尔芯片组和SoC中，但最新的第10代解决方案除外，并且无法通过软件更新进行修复。具有类似漏洞的补丁程序仅限制了利用的可能性。该公司承诺稍后会发布技术细节。

Windows下针对NVIDIA视频卡的下一个驱动程序更新关闭了一些危险的漏洞。

思科关闭允许在实用程序中执行任意代码以使用Webex服务的漏洞。在线会议结果生成的视频文件的播放器可用于使用准备好的文件进行攻击。由于网站验证过程中的错误，

免费的加密服务Let's Encrypt将吊销 300万份已颁发的证书。在最初的截止日期（3月4日）之前，已续签了170万份证书。剩余的反馈被推迟，以免导致站点无法使用。现在的计划是：通知受影响站点的所有者尽快更新证书，但是整个过程将在三个月内完成，因为无论如何，让我们对证书进行加密的时间不得超过四分之一。在

Netgear Nighthawk 2016路由器中发现并关闭了一个严重漏洞。制造商没有透露细节（除了关于远程执行任意代码的信息外），您可以在此处下载补丁。

3月，Mediatek平台上的设备中的Android安全更新已关闭漏洞已关闭。根据XDA Developers的说法，该问题已被用于获取根权限长达数月之久，其中包括恶意软件。

特洛伊·亨特（Troy Hunt）改变了主意出售您是否拥有我的服务，以检查泄漏的帐户和密码。与潜在买家协商后，交易参数被证明是“不可行的”，该服务将继续以独立身份存在。

Microsoft详细描述了对企业（新闻，研究）的“手动”加密攻击。这次，这不是关于勒索软件木马的自动攻击，而是关于一种单独的方法，即对特定的受害者采用独特的黑客手段，并根据偿付能力确定勒索的价格。关于攻击速度的有趣观察：从首次穿透到完全控制的所有阶段平均需要一个小时。

具有戏剧元素的Zoho移动设备管理软件中的漏洞。由于过去的“不良经验”，研究人员发布了有关该问题的信息并发布了漏洞利用程序，而没有将服务和软件告知开发人员。

安全周11：搜索引擎恶意软件

还有什么事

More articles: