0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

«Доктор Веб» обнаружил опасный бэкдор, распространяющийся под видом обновления для Chrome

«Доктор Веб» обнаружил опасный бэкдор, распространяющийся под видом обновления для Chrome

Злоумышленники распространяют опасный бэкдор под видом обновления для браузера Chrome

25 марта 2020 года

Вирусные аналитики компании «Доктор Веб» сообщают о компрометации ряда сайтов — от новостных блогов до корпоративных ресурсов, — созданных на CMS WordPress. JavaScript-сценарий, встроенный в код взломанных страниц, перенаправляет посетителей на фишинговую страницу, где пользователям предлагается установить важное обновление безопасности для браузера Chrome. Загружаемый файл представляет собой установщик вредоносного ПО, которое позволяет злоумышленникам дистанционно управлять инфицированными компьютерами. На данный момент «обновление» скачали более 2000 человек.

По данным вирусной лаборатории «Доктор Веб», за атакой стоит группа злоумышленников, ранее причастная к распространению поддельного установщика популярного видеоредактора VSDC, как через официальный сайт программы, так и с помощью сторонних каталогов. На этот раз хакерам удалось получить административный доступ к CMS ряда сайтов, которые стали использоваться в цепочке заражения. В коды страниц скомпрометированных сайтов встроен сценарий, написанный на JavaScript, который перенаправляет пользователей на фишинговую страницу, маскирующуюся под официальный ресурс компании Google.

Выборка пользователей осуществляется на основе геолокации и определения браузера пользователя. Целевая аудитория — посетители из США, Канады, Австралии, Великобритании, Израиля и Турции, использующие браузер Google Chrome. Стоит заметить, что скачиваемый файл имеет валидную цифровую подпись, аналогичную подписи фальшивого установщика NordVPN, распространяемого той же преступной группой.

Механизм заражения реализован следующим образом. При запуске программы в директории %userappdata% создается папка, содержащая файлы утилиты для удаленного администрирования TeamViewer, а также выполняется распаковка двух защищенных паролем SFX-архивов. В одном из архивов находится вредоносная библиотека msi.dll, позволяющая установить несанкционированное соединение с зараженным компьютером, и пакетный файл для запуска браузера Chrome со стартовой страницей Google[.]com. Из второго архива извлекается скрипт для обхода встроенной антивирусной защиты OC Windows. Вредоносная библиотека msi.dll загружается в память процессом TeamViewer, попутно скрывая от пользователя его работу.

С помощью бэкдора злоумышленники получают возможность доставлять на инфицированные устройства полезную нагрузку в виде вредоносных приложений. Среди них:

  • кейлоггер X-Key Keylogger,
  • стилер Predator The Thief,
  • троян для удаленного управления по протоколу RDP.

LiveInternetLiveInternet

Поиск по дневнику

Подписка по e-mail

Постоянные читатели

Статистика

Злоумышленники распространяют опасный бэкдор под видом обновления для браузера Chrome

25 марта 2020 года

Вирусные аналитики компании «Доктор Веб» сообщают о компрометации ряда сайтов — от новостных блогов до корпоративных ресурсов, — созданных на CMS WordPress. JavaScript-сценарий, встроенный в код взломанных страниц, перенаправляет посетителей на фишинговую страницу, где пользователям предлагается установить важное обновление безопасности для браузера Chrome. Загружаемый файл представляет собой установщик вредоносного ПО, которое позволяет злоумышленникам дистанционно управлять инфицированными компьютерами. На данный момент «обновление» скачали более 2000 человек.

По данным вирусной лаборатории «Доктор Веб», за атакой стоит группа злоумышленников, ранее причастная к распространению поддельного установщика популярного видеоредактора VSDC, как через официальный сайт программы, так и с помощью сторонних каталогов. На этот раз хакерам удалось получить административный доступ к CMS ряда сайтов, которые стали использоваться в цепочке заражения. В коды страниц скомпрометированных сайтов встроен сценарий, написанный на JavaScript, который перенаправляет пользователей на фишинговую страницу, маскирующуюся под официальный ресурс компании Google.

Читать еще:  Киберпанковая RPG Gamedec собрала на Kickstarter необходимые средства всего за 36 часов

Выборка пользователей осуществляется на основе геолокации и определения браузера пользователя. Целевая аудитория — посетители из США, Канады, Австралии, Великобритании, Израиля и Турции, использующие браузер Google Chrome. Стоит заметить, что скачиваемый файл имеет валидную цифровую подпись, аналогичную подписи фальшивого установщика NordVPN, распространяемого той же преступной группой.

Механизм заражения реализован следующим образом. При запуске программы в директории %userappdata% создается папка, содержащая файлы утилиты для удаленного администрирования TeamViewer, а также выполняется распаковка двух защищенных паролем SFX-архивов. В одном из архивов находится вредоносная библиотека msi.dll, позволяющая установить несанкционированное соединение с зараженным компьютером, и пакетный файл для запуска браузера Chrome со стартовой страницей Google[.]com. Из второго архива извлекается скрипт для обхода встроенной антивирусной защиты OC Windows. Вредоносная библиотека msi.dll загружается в память процессом TeamViewer, попутно скрывая от пользователя его работу.

С помощью бэкдора злоумышленники получают возможность доставлять на инфицированные устройства полезную нагрузку в виде вредоносных приложений. Среди них:

  • кейлоггер X-Key Keylogger,
  • стилер Predator The Thief,
  • троян для удаленного управления по протоколу RDP.

Более 2 тыс. пользователей установили бэкдор под видом обновления Chrome

Тысячи пользователей скачали и установили обновление браузера Google Chrome, которое на деле оказалось опасным бэкдором. Большое число скачавших вредонос объясняется часто мелькавшими в последние дни новостями о планах апдейта в связи с пандемией нового коронавируса.

Если не слышали, крупные корпорации и разработчики программ перестроили свои планы по выпуску обновлений. Причина — быстро развивающаяся ситуация с инфекцией COVID-19.

Например, Google приостановил выпуск следующих релизов браузера Chrome, сосредоточившись исключительно на патчах актуальной версии. Так был отложен выход Chrome 82. Приблизительно то же сделала и Microsoft.

Под такую ситуацию быстро подстроились киберпреступники, взломав множество сайтов на WordPress и разместив на них якобы обновления браузера Google Chrome. Группировка взламывала как новостные блоги, так и официальные корпоративные сайты.

По словам специалистов антивирусной компании «Доктор Веб», ранее эти же злоумышленники распространяли фейковый видеоредактор VSDC через легитимный сайт разработчиков.

В случае последних атак киберпреступники встроили вредоносный код JavaScript, перенаправляющий людей на поддельную страницу обновления Google Chrome. Само собой, вместо апдейта пользователи получали вредоносный файл.

По оценкам специалистов, этот файл скачали более 2000 раз. После запуска в систему устанавливалось приложение для удалённого доступа TeamViewer, а также защищённые паролем архивы.

В архивах содержались файлы, предназначенные для защиты вредоносной составляющей от детектирования антивирусными средствами Windows. Далее на устройства устанавливался кейлоггер и ещё один зловред, похищающий данные.

Читайте также

Новую реальность можно создать с использованием СКРД Diamond ACS – этот продукт позволяет с одного рабочего места управлять Аккордами-АМДЗ (СДЗ уровня платы расширения) и Аккордами-MKT (СДЗ уровня BIOS).

Системы, построенные единообразно, состоящие из однотипных СВТ, одинаково защищенных, постепенно переходят из жизни в сказки, а управлять системами через «единое окно» хочется все больше.

Спрос рождает предложение даже в самых сложных сегментах действительности, и вот, вышла новая версия средства контроля и разграничения доступа (СКРД) Diamond ACS, в которой реализована глубокая интеграция с СДЗ семейства Аккорд.

Результатом интеграции стала возможность с одного рабочего места управлять всеми базовыми функциями Аккордов на подконтрольных объектах (то есть на тех СВТ, которыми управляет Diamond ACS), причем независимо от того, Аккорды-АМДЗ или Аккорды-MKT установлены на этих подконтрольных объектах. На любой из рабочих станций теперь можно удаленно заводить и редактировать пользователей в СДЗ, устанавливать или менять им идентификаторы и пароли, блокировать, удалять, просматривать данные о них, а также журналы событий, и, что крайне важно, управлять контролем целостности.

Управление контролем целостности через Diamond ACS включает в себя:

  1. Настройку и просмотр списков контроля целостности в Аккордах (важно иметь в виду, что списки, созданные локально, при использовании этой возможности будет уже нельзя применять, они будут сбрасываться, так как приоритетны настройки, заданные централизованно).
  2. Пересчет контрольный сумм и запись этого факта в журнал.
  3. Просмотр журнала.
Читать еще:  Переданные Илоном Маском больницам аппараты ИВЛ оказались устройствами для лечения апноэ

Для наглядности несколько скриншотов. Вот так выглядит просмотр настроек пользователя:

А вот так – просмотр списка пользователей:

Так – создание пользователя и постановка на контроль:

А так – просмотр журналов:

Приобрести продукт можно как одновременно с СДЗ, так и отдельно – в ОКБ САПР или у его партнеров.

Опасный бэкдор распространяется под видом обновления для браузера Chrome

Аналитики «Доктор Веб» сообщают о компрометации ряда сайтов – от новостных блогов до корпоративных ресурсов, – созданных на CMS WordPress. JavaScript-сценарий, встроенный в код взломанных страниц, перенаправляет посетителей на фишинговую страницу, где пользователям предлагается установить важное обновление безопасности для браузера Chrome. Загружаемый файл представляет собой установщик вредоносного ПО, которое позволяет злоумышленникам дистанционно управлять инфицированными компьютерами. На данный момент «обновление» скачали более 2000 человек.

По данным вирусной лаборатории «Доктор Веб», за атакой стоит группа злоумышленников, ранее причастная к распространению поддельного установщика популярного видеоредактора VSDC, как через официальный сайт программы, так и с помощью сторонних каталогов. На этот раз хакерам удалось получить административный доступ к CMS ряда сайтов, которые стали использоваться в цепочке заражения. В коды страниц скомпрометированных сайтов встроен сценарий, написанный на JavaScript, который перенаправляет пользователей на фишинговую страницу, маскирующуюся под официальный ресурс компании Google.

Выборка пользователей осуществляется на основе геолокации и определения браузера пользователя. Целевая аудитория – посетители из США, Канады, Австралии, Великобритании, Израиля и Турции, использующие браузер Google Chrome. Стоит заметить, что скачиваемый файл имеет валидную цифровую подпись, аналогичную подписи фальшивого установщика NordVPN, распространяемого той же преступной группой.

Механизм заражения реализован следующим образом. При запуске программы в директории%userappdata% создается папка, содержащая файлы утилиты для удаленного администрирования TeamViewer, а также выполняется распаковка двух защищенных паролем SFX-архивов. В одном из архивов находится вредоносная библиотека msi.dll, позволяющая установить несанкционированное соединение с зараженным компьютером, и пакетный файл для запуска браузера Chrome со стартовой страницей Google[.]com. Из второго архива извлекается скрипт для обхода встроенной антивирусной защиты OC Windows. Вредоносная библиотека msi.dll загружается в память процессом TeamViewer, попутно скрывая от пользователя его работу.

С помощью бэкдора злоумышленники получают возможность доставлять на инфицированные устройства полезную нагрузку в виде вредоносных приложений. Среди них:

-кейлоггер X-Key Keylogger;
-стилер Predator The Thief;
-троян для удаленного управления по протоколу RDP.

Бэкдор распространяется под видом фальшивого обновления для Chrome

Candellmans

Бэкдор распространяется под видом под видом фальшивого обновления для Chrome

27.03.20
Специалисты «Доктор Веб» предупредили, что через скомпрометированные сайты на базе WordPress распространяется фиктивное обновление для Chrome. Так, JavaScript-сценарий, встроенный в код взломанных страниц, перенаправляет посетителей на фишинговую страницу, где им предлагают установить важное обновление безопасности для браузера. Загружаемый файл представляет собой установщик малвари, который позволяет злоумышленникам удалено управлять зараженными компьютерами. На данный момент это «обновление» скачали более 2000 человек.

По данным исследователей, за этой кампанией стоит та же хак-группа, которая ранее была причастна к распространению поддельного установщика популярного видеоредактора VSDC, как через официальный сайт программы, так и с помощью сторонних каталогов. На этот раз хакерам удалось получить административный доступ к CMS ряда сайтов, которые стали использоваться в цепочке заражения. В коды страниц скомпрометированных ресурсов встривают скрипт, который перенаправляет пользователей на фишинговую страницу, маскирующуюся под официальный ресурс Google.

Выборка пользователей осуществляется на основе геолокации и определения браузера пользователя. Целевая аудитория — посетители из США, Канады, Австралии, Великобритании, Израиля и Турции, использующие браузер Google Chrome. Стоит заметить, что скачиваемый файл имеет действительную цифровую подпись, аналогичную подписи фальшивого установщика NordVPN, распространяемого той же преступной группой.

Механизм заражения реализован следующим образом. При запуске программы в директории %userappdata% создается папка, содержащая файлы утилиты для удаленного администрирования TeamViewer, а также выполняется распаковка двух защищенных паролем SFX-архивов. В одном из архивов находится вредоносная библиотека msi.dll, позволяющая установить несанкционированное соединение с зараженным компьютером, и пакетный файл для запуска браузера Chrome со стартовой страницей Google[.]com. Из второго архива извлекается скрипт для обхода встроенной антивирусной защиты OC Windows. Вредоносная библиотека msi.dll загружается в память процессом TeamViewer, попутно скрывая от пользователя его работу.

Читать еще:  До основанья, а затем… Разбираем ASUS Padfone 2 и изучаем, как он устроен. Часть 1

С помощью этого бэкдора злоумышленники получают возможность доставлять на зараженные устройства полезную нагрузку в виде других вредоносных приложений. Среди них уже были замечены:

  • кейлоггер X-Key Keylogger,
  • инфостилер Predator The Thief,
  • троян для удаленного управления по протоколу RDP.

Хакер.ру

«Доктор Веб»: опасный Android-бэкдор распространяется через Google Play

Вредоносная программа получила имя Android.Backdoor.736.origin. Она распространяется под видом приложения OpenGL Plugin для проверки версии графического интерфейса OpenGL ES и загрузки его обновлений.

При запуске Android.Backdoor.736.origin запрашивает доступ к нескольким важным системным разрешениям, которые позволят ему собирать конфиденциальную информацию и работать с файловой системой. Кроме того, он пытается получить допуск к показу экранных форм поверх интерфейса других программ.

В окне вредоносного приложения имеется кнопка для «проверки» обновлений графического программного интерфейса OpenGL ES. После ее нажатия троянец имитирует процесс поиска новых версий OpenGL ES, однако на самом деле никаких проверок он не выполняет и лишь вводит пользователя в заблуждение.

После того как жертва закрывает окно приложения, Android.Backdoor.736.origin убирает свой значок из списка программ меню главного экрана и создает ярлык для своего запуска. Это делается для того, чтобы в дальнейшем пользователю было сложнее удалить троянца, поскольку удаление ярлыка не затронет саму вредоносную программу.

Android.Backdoor.736.origin постоянно активен в фоновом режиме и может запускаться не только через значок или ярлык, но также автоматически при старте системы и по команде злоумышленников через Firebase Cloud Messaging. Основной вредоносный функционал троянца расположен во вспомогательном файле, который зашифрован и хранится в каталоге с ресурсами программы. Он расшифровывается и загружается в память при каждом старте Android.Backdoor.736.origin.

Бэкдор поддерживает связь с несколькими управляющими серверами, откуда получает команды злоумышленников и куда отправляет собранные данные. Кроме того, киберпреступники могут управлять троянцем через сервис Firebase Cloud Messaging. Android.Backdoor.736.origin способен выполнять следующие действия:

  • передать на сервер информацию о контактах из телефонной книги;
  • передать на сервер информацию об СМС-сообщениях (в исследованной версии троянца для этого нет необходимых разрешений);
  • передать на сервер информацию о телефонных вызовах;
  • передать на сервер информацию о местоположении устройства;
  • загрузить и запустить apk- или dex-файл с использованием класса DexClassLoader;
  • передать на сервер сведения об установленных программах;
  • скачать и запустить исполняемый файл;
  • загрузить файл с сервера;
  • отправить заданный файл на сервер;
  • передать на сервер информацию о файлах в заданном каталоге или о файлах на карте памяти;
  • выполнить shell-команду;
  • запустить активность, заданную в команде;
  • загрузить и установить Android-приложение;
  • показать уведомление, заданное в команде;
  • запросить заданное в команде разрешение;
  • передать на сервер список разрешений, предоставленных троянцу;
  • не позволять устройству переходить в спящий режим в течение заданного времени.

Все передаваемые на сервер данные троянец шифрует алгоритмом AES. Каждый запрос защищается уникальным ключом, который генерируется с учетом текущего времени. Этим же ключом шифруется ответ сервера.

Android.Backdoor.736.origin способен устанавливать приложения сразу несколькими способами:

  • автоматически, если в системе есть root-доступ (с использованием shell-команды);
  • при помощи системного менеджера пакетов (только для системного ПО);
  • показав стандартный системный диалог установки программ, где пользователь должен согласиться на инсталляцию.

Таким образом, этот бэкдор представляет серьезную опасность. Он не только занимается кибершпионажем, но также может использоваться для фишинга, т. к. способен показывать окна и уведомления с любым содержимым. Кроме того, он может загружать и устанавливать любые другие вредоносные приложения, а также выполнять произвольный код. Например, по команде злоумышленников Android.Backdoor.736.origin может скачать и запустить эксплойт для получения root-полномочий, поле чего ему уже не потребуется участие пользователя для инсталляции других программ.

Компания «Доктор Веб» уведомила корпорацию Google о троянце, и на момент публикации этого материала он уже был удален из Google Play.

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector