Фальшивые читы обманом вынуждают геймеров распространять малварь

Аналитики McAfee обнаружили нового вредоноса, связанного с инфостилером Redline, который маскируется под демо-версии читерского софта. Интересно, что авторы малвари предлагают пользователям полную бесплатную копию этого «читерского ПО», если те сумеют убедить своих друзей тоже установить его (на самом деле, распространяя малварь).

Исследователи рассказывают, что новый инфостилер использует байт-код Lua, чтобы избежать обнаружения, что позволяет ему внедряться в легитимные процессы, а также использовать преимущества JIT-компиляции.

Эксперты связывают этот стилер с Redline, поскольку он использует управляющий сервер, который ранее ассоциировали с этим вредоносом. Однако отмечается, что новая малварь не демонстрирует типичного для Redline поведения (например, кражу информации из браузера, сохраненных паролей и cookie).

Вредоносные полезные нагрузки этой вариации Redline выдают себя за демо-версии читерских инструментов Cheat Lab и Cheater Pro, при этом используя URL-адреса, связанные с GitHub-репозиторием vcpkg компании Microsoft.

Малварь распространяется в виде файлов ZIP, содержащих инсталлятор MSI, который при запуске распаковывает два файла — compiler.exe и lua51.dll. Кроме того, в него помещается файл readme.txt, содержащий вредоносный байт-код Lua.

Как уже было сказано выше, интересной особенностью этой кампании является использование необычной приманки: жертвам предлагают получить полную версию читерского инструмента, если они убедят своих друзей его установить. Для большей убедительности сообщение даже содержит ключ активации.

«Чтобы разблокировать полную версию, просто поделитесь этой программой со своим другом. Как только вы это сделаете, программа активируется автоматически», — пишут злоумышленники.

Чтобы избежать обнаружения, пейлоад малвари распространяется не в виде исполняемого файла, а в виде нескомпилированного байт-кода. При установке программа compiler.exe компилирует байт-код Lua, содержащийся в файле readme.txt, и запускает его. Этот же файл обеспечивает устойчивость, создавая запланированные задачи, которые выполняются при каждом запуске системы.

Также специалисты пишут, что для дополнительной сохранности малварь использует резервный механизм, копируя три файла по длинному случайному пути.

После активации в зараженной системе вредонос связывается с своим управляющим сервером, передавая на него скриншоты активных окон и системную информацию, а затем ожидает дальнейших команд для выполнения на хосте.

Точный способ распространения этой версии Redline пока не установлен, но подобные инфостилеры часто распространяются через вредоносную рекламу, описания роликов на YouTube, P2P-загрузки и мошеннические сайты для скачивания софта.

Группа TA558 использует стеганографию и атаковала 320 организаций по всему миру

Новая кампания хак-группы TA558 получила название SteganoAmor, так как хакеры используют стеганографию и скрывают вредоносный код внутри изображений. Специалисты сообщают, что группировка использует длинные цепочки атаки, которые включают различные инструменты и малварь, в том числе: Agent Tesla, FormBook, Remcos, Lokibot, Guloader, SnakeKeylogger, XWorm, NjRAT, EkipaRAT.

Эксперты обнаружили атаки по всему миру, которые связывают с группировкой TA558. По изначальному описанию исследователей из ProofPoint, TA558 — небольшая финансово-ориентированная группировка, которая с 2018 года атаковала гостиничные и туристические организации в основном в Латинской Америке, но также была замечена за атаками на североамериканский регион и Западную Европу.

В исследованных теперь атаках группа активно использовала стеганографию: файлы полезной нагрузки (в виде VBS- и PowerShell-скриптов, RTF-документов со встроенным эксплоитом) передавались внутри картинок и текстовых файлов.

Исследователи отметили, что большинство RTF-документов и VB-скриптов имели такие названия, как greatloverstory.vbs, easytolove.vbs, iaminlovewithsomeoneshecuteandtrulyyoungunluckyshenotundersatnd_howmuchiloveherbutitsallgreatwithtrueloveriamgivingyou.doc. То есть были связаны со словом «любовь», поэтому операция получила название SteganoAmor.

Как правило, атаки TA558 начинаются с вредоносных писем, содержащих якобы безобидные вложения (файлы Excel и Word). Эти документы эксплуатируют уязвимость CVE-2017-11882, исправленную еще в 2017 году.

Вредоносное письмо
Примечательно, что  письма отправляются со скомпрометированных SMTP-серверов, чтобы минимизировать вероятность блокировки сообщений, которые в итоге поступают с легитимных доменов.

Если у жертвы установлена ​​старая версия Microsoft Office, эксплоит загрузит скрипт VBS с легитимного сервиса paste[.]ee, который будет выполнен для получения файла изображения (JPG), содержащего полезную нагрузку, закодированную base64.

Закодированная в base64 нагрузка для следующий стадии атаки содержит PowerShell-команду внутри скрипта.

После этого скрипт расшифровывает нагрузку с картинки и докачивает дополнительную нагрузку c того же URL, который написан в формате reverse string (то есть наоборот). Отмечается, что содержимое тоже представляет собой исполняемый файл, закодированный в base64, в перевернутом виде.

В своем отчете специалисты отмечают, что порой TA558 использует разные цепочки атак даже для одной и той же малвари, не говорят уже о разных вредоносах. А хакеры используют такую малварь, как Agent Tesla, Remcos, XWorm, LokiBot, GuLoader, FormBook и Snake Keylogger.

Похищенная в итоге информация отправляется на заранее взломанные FTP-серверы, которые злоумышленники используют в качестве управляющей инфраструктуры, чтобы трафик не вызывал подозрений.

В общей сложности специалисты выявили более 320 атак, направленных на компании из 31 страны, в том числе из США, Германии, Индии. Среди наиболее пострадавших отраслей — промышленность (21%), сфера услуг (16%), государственный сектор (16%), электроэнергетика (8%) и строительство (8%).

Взлом компании Sisense может раскрыть информацию ряда крупнейших компаний мира

Агентство по кибербезопасности и защите инфраструктуры США (CISA) заявило, что расследует недавний взлом компании Sisense, занимающейся анализом данных. CISA предупреждает, что атака затронула организации критической инфраструктуры страны и призывает клиентов Sisense срочно заменить все учетные данные и токены доступа, связанные с инструментами и сервисами компании.

Sisense — американская компания, занимающаяся разработкой ПО для бизнес-аналитики, основанная в Израиле в 2004 году и имеющая штаб-квартиру в Нью-Йорке. Среди клиентов компании числятся такие гиганты, как Nasdaq, ZoomInfo, Verizon и Air Canada.

CISA заявляет, что в настоящее время работает над расследованием совместно с представителями частного сектора и старается оценить возможные последствия инцидента. Также сообщается, что взлом был обнаружен некими независимыми ИБ-исследователями.

Эксперты призывают всех клиентов Sisense как можно скорее сбросить все учетные данные и секреты, которые могли быть раскрыты или использованы для доступа к платформе и сервисам компании.

Аналогичный совет дали своим клиентам и сами представители Sisense. Так, известный ИБ-журналист Брайан Кребс цитировал разосланное клиентам компании письмо, в котором сообщалось о взломе внутреннего сервера Sisense, на котором хранились данные пользователей.

В своем блоге Кребс, со ссылкой на собственные источники, рассказывает, что взлом начался с того, что злоумышленники каким-то образом получили доступ к GitLab-репозиторию компании, где нашли токен или учетные данные, которые давали доступ к бакетам Sisense в облаке Amazon S3.

Источники журналиста утверждают, что злоумышленники использовали доступ к S3 для кражи нескольких терабайт данных клиентов Sisense. Предполагается, что были похищены миллионы токенов доступа, пароли от учетных записей электронной почты и даже SSL-сертификаты. Так, позже Sisense опубликовала более детальные инструкции по сбросу всевозможных токенов и учетных данных для своих клиентов.

Серьезность атаки на Sisense косвенно подтверждает и ИБ-специалист Марк Роджерс (Marc Rogers), по данным которого, агентства по кибербезопасности всех стран альянса Five Eyes (объединяет спецслужбы Австралии, Канады, Новой Зеландии, США и Великобритании) были привлечены к реагированию на этот инцидент.

Основываясь на предупреждении CISA и просачивающихся в сеть слухах, специалисты полагают, что речь, похоже, идет о масштабной атаке на цепочку поставок, в результате которой пострадали данные тысяч компаний по всему миру.

Вымогатель STOP научился уклоняться от обнаружения

Исследователи обнаружили новый вариант вымогателя STOP (он же StopCrypt и STOP Djvu), который использует многоступенчатый механизм выполнения для обхода защитных средств. STOP является одним из наиболее активных и распространенных вымогателей в мире, но мало кто слышал о нем, так как он атакует не организации, а обычных пользователей.

Напомним, что детальный анализ STOP впервые был опубликован еще в 2019 году. Уже тогда специалисты предупреждали, что STOP является одной из наиболее активных угроз, наряду с популярными тогда вымогателям Ryuk, GandCrab и Sodinkibi.

Об этом шифровальщике почти не говорят и не пишут. Дело в том, что эта малварь атакует в основном любителей пиратского контента, посетителей подозрительных сайтов и распространяется в составе рекламных бандлов. Вымогатели довольствуются небольшими выкупами в размере 400-1000 долларов США, и не требуют десятки миллионов долларов, в отличие от своих «коллег».

Издание Bleeping Computer отмечает, что посвященная STOP тема на форме уже насчитывает 807 страниц, и именно туда жертвы вымогателей часто приходят, чтобы просить помощи у других пользователей и ИБ-экспертов.

С момента своего появления в 2018 году шифровальщик почти не изменился, и новые версии в основном выходят для устранения критических проблем. Однако теперь эксперты SonicWall обнаружили новую версию STOP, от которой может пострадать большое количество людей.

Исследователи сообщают, что теперь малварь использует многоступенчатый механизм выполнения. Так, сначала вредоносная программа загружает якобы несвязанный с ней DLL-файл (msim32.dll), возможно, в качестве отвлекающего маневра. В нем также реализована серия длинных loop-циклов с задержкой по времени, которые могут помочь обойти защитные средства, привязанные ко времени.

Затем STOP использует динамические вызовы API в стеке для выделения необходимого пространства памяти для разрешений на чтение/запись и выполнение, что дополнительно усложняет его обнаружение. Малварь применяет вызовы API для различных операций, в том числе для получения снапшотов запущенных процессов, чтобы понять, в какой среде он работает.

На следующем этапе вымогатель перехватывает легитимные процессы и внедряет в них свою полезную нагрузку для незаметного выполнения в памяти. Это делается с помощью ряда тщательно продуманных вызовов API, которые манипулируют памятью процессов и потоком управления.

После выполнения итоговой полезной нагрузки осуществляется ряд действий, направленных на закрепление в системе, изменение ACL (чтобы пользователи не имели возможности удаления важных файлов и каталогов малвари), а также создается запланированное задание для выполнения полезной нагрузки каждые пять минут.

В итоге файлы жертв шифруются, и им присваивается расширение .msjd. Однако эксперты подчеркивают, что существуют сотни других расширений, связанных со STOP, поскольку вымогатели очень часто их меняют. Наконец, в каждой пострадавшей папке создается файл  _readme.txt, в котором жертв инструктируют, как оплатить выкуп и восстановить данные.

Взломанные сайты на WordPress используют браузеры посетителей для компрометации других ресурсов

Sucuri предупреждает, что хакеры проводят массовые атаки на сайты под управлением WordPress и внедряют в их код скрипты, которые заставляют браузеры посетителей брутфорсить пароли для других сайтов.

Исследователи пишут, что стоящие за этой кампанией хакеры обычно взламывают сайты, чтобы внедрять на них скрипты для угона криптовалютных кошельков. Так, когда люди посещают такие сайты, скрипты отображают показывают мошеннические сообщения, стараясь убедить жертв подключить к ним свои кошельки. Если человек попадается на удочку мошенников, скрипты похищают все содержащиеся в его кошельке активы.

По словам экспертов, обычно хакеры использовали взломанные сайты на WordPress, внедряя на них малварь AngelDrainer. Атаки осуществлялись несколькими волнами с различных URL-адресов, последним из которых был dynamiclink[.]lol/cachingjs/turboturbo.js.

Однако в конце февраля злоумышленники переключились на другую тактику. Теперь они используют браузеры посетителей для брутфорса других WordPress-сайтов, применяя для этого вредоносный скрипт с недавно зарегистрированного домена dynamic-linx[.]com/chx.js.

То есть злоумышленники взламывают сайт под управлением WordPress и внедряют в его HTML-шаблоны вредоносный код. Когда посетители заходят на такой сайт, в их браузер загружаются скрипты с httрs://dyпаmiс-liпх[.]com/chx.js.

Эти скрипты вынуждают браузеры жертв незаметно связываться с сервером хакеров (httрs://dупаmiс-liпх[.]com/getTask.php) и получать задание на перебор паролей. Оно поставляется в виде JSON-файла, содержащего необходимые параметры для атаки: ID, URL сайта, имя учетной записи, число, обозначающее текущую партию паролей для перебора, а также сто паролей для пробы.

Когда задание получено, скрипт вынуждает браузер посетителя загружать файл через XMLRPC-интерфейс WordPress, используя имя учетной записи и пароль из JSON. Если пароль подобран правильно, скрипт уведомит своих операторов о том, что пароль для сайта найден. После этого хакеры смогут подключиться к сайту и извлечь загруженный файл с именем пользователя и паролем в кодировке base64.

До тех пор пока вредоносная страница остается открытой, скрипт будет заставлять браузер жертвы снова и снова подключаться к серверу злоумышленников и получать все новые задания для выполнения.

По данным РubliсНТМL, в настоящее время такими скриптами заражены более 1700 сайтов, то есть множество пользователей, могут невольно стать частью этой брутфорс-кампании. К примеру, в числе взломанных ресурсов можно найти даже сайт Ассоциации частных банков Эквадора.

Эксперты Sucuri пишут, что пока неясно, по какой причине хакеры вдруг переключились с кражи криптовалюты на брутфорс. Исследователи полагают, что таким способом злоумышленники могут расширять свое «портфолио» взломанных сайтов, которые затем планируется использовать для более масштабных атак, снова направленных на кражу криптовалюты.

«Скорее всего, они поняли, что при их масштабах заражений (~1000 взломанных сайтов) кража криптовалюты не слишком выгодна, — резюмирует специалист Sucuri. — Кроме того, они привлекают слишком много внимания, а их домены довольно быстро блокируются. Поэтому разумно сменить полезную нагрузку на что-то более скрытное, а также увеличить портфель взломанных сайтов для будущих волн атак, которые можно будет монетизировать каким-либо способом».

Малварь RustDoor ориентирована на macOS и маскируется под Visual Studio
Пользователи macOS атакует новый бэкдор на основе Rust, который активен как минимум с ноября 2023 года, по данным аналитиков Bitdefender. Вредонос маскируется под обновления для Microsoft Visual Studio и нацелен на архитектуры Intel и Arm.

Как именно малварь, получившая название RustDoor, проникает в системы жертв пока неизвестно. Судя по всему, вредонос распространяется в виде бинарных файлов FAT, содержащих файлы Mach-O, и выдает себя за обновления Visual Studio. Специалисты Bitdefender отмечают, что конфигурационный файл RustDoor содержит опции, позволяющие малвари маскироваться и под другие приложения, а также кастомизировать фейковое окно для ввода пароля администратора.

На данный момент обнаружено несколько версий малвари с незначительными модификациями, то есть, вероятно, RustDoor находится в активной разработке. Самый ранний образец датирован 2 ноября 2023 года.

Бэкдор использует задания Cron и LaunchAgents для планирования своего выполнения в определенное время или при входе пользователя в систему, то есть может «пережить» перезагрузку системы.

RustDoor способен выполнять широкий спектр команд, позволяющих собирать и похищать файлы из системы жертвы, а также воровать данные о самой скомпрометированной системе. При этом некоторые версии малвари содержат конфигурацию с подробным описанием того, какие именно данные нужно украсть, список целевых расширений и каталогов (например, искать определенные документы в Documents и Desktop), а также каталоги, следует исключить.

Собранная информация складывается в скрытую папку, сжимается в архив ZIP перед отправкой, а затем передается на управляющий сервер для генерации ID жертвы, который затем используется для дальнейших коммуникаций с бэкдором.

Исследователи полагают, что вредоносная программа может быть связана с такими известными семействами вымогательского ПО, как Black Basta и BlackCat (ALPHV), из-за совпадений в управляющей инфраструктуре.

Критическая уязвимость в Mastodon позволяет захватить чужую учетную запись

В коде опенсорсной децентрализованной социальной сети Mastodon исправили критическую уязвимость, которая позволяла злоумышленникам выдавать себя за любую учетную запись и захватить ее.

Уязвимость получила идентификатор CVE-2024-23832 и связана с некорректной проверкой происхождения (origin validation, CWE-346) в Mastodon, что позволяет злоумышленникам выдавать себя за других пользователей и завладевать их аккаунтами.

Уязвимость получила 9,4 балла по шкале CVSS 3.1 и затрагивает все версии Mastodon до 3.5.17, 4.0.13, 4.1.13 и 4.2.5.

Недостаток был устранен в версии 4.2.5, до которой всем администраторам Mastodon теперь рекомендуется обновиться как можно скорее, чтобы защитить пользователей своих инстансов.

Разработчики Mastodon пока воздерживаются от раскрытия технических подробностей о проблеме, чтобы предотвратить активную эксплуатацию бага. «Любые подробности помогут с легкостью создать эксплоит», — пишут они. Однако они пообещали поделиться более подробной информацией о CVE-2024-23832 в конце следующей недели, после того как большинство установит патчи.

Отмечается, что рядовые пользователи Mastodon не могут сделать для устранения проблемы ничего, но им следует убедиться, что администраторы инстансов, в которых они участвуют, обновились до безопасной версии. В противном случае их аккаунты будут подвержены риску взлома.

Опубликован эксплоит для GoAnywhere MFT, позволяющий создавать новых администраторов

В сети появился эксплоит для критической уязвимости обхода аутентификации в GoAnywhere MFT (Managed File Transfer) компании Fortra. Уязвимость позволяет создавать новых пользователей-администраторов в неисправленных установках GoAnywhere MFT.

GoAnywhere MFT — это инструмент для передачи файлов, разработанный с целью помочь организациям безопасно обмениваться файлами с партнерами и вести журналы аудита того, кто получил доступ к общим файлам. За его созданием стоит компания Fortra (ранее известная как HelpSystems), также разрабатывающая известный и широко используемый инструмент Cobalt Strike, предназначенный для пентестеров и red team, и ориентированный на эксплуатацию и постэксплуатацию.

Критический баг CVE-2024-0204 (9,8 балла по шкале CVSS) был исправлен еще 7 декабря 2023 года, с релизом GoAnywhere MFT 7.4.1. Однако компания публично раскрыла информацию об уязвимости только на этой неделе, а в декабре закрытое уведомление о проблеме получали только клиенты, которым настоятельно рекомендовали защитить свои установки GoAnywhere MFT от возможных атак.

Свежую проблему можно использовать удаленно, что позволяет неавторизованному злоумышленнику удаленно создавать новых пользователей с правами администратора.  Стоит ли говорить, что создание таких учетных записей может привести к полной компрометации. Например, позволит хакеру получить доступ к конфиденциальным данным, внедрить малварь и реализовать дальнейшие атаки внутри сети компании-жертвы.

Уязвимость затрагивает Fortra GoAnywhere MFT 6.x версии 6.0.1 и Fortra GoAnywhere MFT 7.4.0 и более ранних версий.

Теперь эксперты из компании Horizon3 опубликовали детальный технический анализ уязвимости, а также поделились РоС-эксплоитом, который помогает создавать новых администраторов в GoAnywhere MFT.

Эксплоит использует path traversal проблему, лежащую в основе CVE-2024-0204, для доступа к уязвимому эндпоинту /InitialAccountSetup.xhtml и запуску экрана начальной настройки учетной записи (который не должен быть доступен после процесса завершения установки), который нужен для создания новой учетной записи с привилегиями администратора.

"Самый пррстой индикатор компррметации, который можно использовать - любые обновления в группе Admin users в разделе Users -> Admin Users, - пишут аналитики Horizon3. - Если злоумышленник создал здесь нового пользователя, вы сможете изучить его последнюю активность в системе, чтобы узнать приблизительную дату компрометации".

Теперь, когда PoC-эксплоит опубликован, ИБ-специалисты ожидают, что хакеры начнут сканировать сеть в поисках установок GoAnywhere MFT и компрометировать те, что еще не получили исправлений.

Проблема в Google Kubernetes Engine позволяла повысить привилегии

Специалисты Google Cloud испрааили уязвимость, которая могла использоваться злоумышленником, имеющим доступ к кластеру Kubernetes, для повышения своих привилегий.

То есть ключевым условием, необходимым для эксплуатации этой уязвимости, является заблаговременная компрометация FluentBit, которую атакующему пришлось бы осуществить каким-то другим способом.

Обнаружившие эту уязвимость исследователи Palo Alto Networks заявили, что злоумышленники могли использовать ее для «кражи данных, развертывания вредоносных подов и нарушения работы кластера».

Это означает, что злоумышленник мог использовать такой доступ для получения привилегированного доступа к кластеру Kubernetes с включенным ASM, а затем использовать токен сервисного аккаунта ASM для повышения привилегий (путем создания нового пода с привилегиями администратора кластера).

Специалисты не обнаружили никаких признаков того, что проблему уже эксплуатировали хакеры. Баг был устранен в следующих версиях Google Kubernetes Engine (GKE) и Anthos Service Mesh (ASM):

• 25.16-gke.1020000;
• 26.10-gke.1235000;
• 27.7-gke.1293000;
• 28.4-gke.1083000;
• 17.8-asm.8;
• 18.6-asm.2;
• 19.5-asm.4.

В качестве исправления Google удалила доступ Fluent Bit к токенам и перестроила функциональность ASM таким образом, чтобы избавиться от избыточных RBAC-разрешений.