150 вредоносных расширений Firefox украли $1 млн

Была раскрыта масштабная вредоносная компания под названием GreedyBear, в ходе  которой злоумышленники загрузили в магазин расширений браузера Firefox 150 заражённых дополнений под видом криптокошельков. Пользователи, установившие эти расширения, лишились порядка миллиона долларов из-за скрытых функций кражи криптоключей. Утечка происходила через фоновое извлечение данных из кошельков без уведомления. Mozilla оперативно удалила вредоносные расширения после обнаружения.

Рекомендуется удалить расширения, которые вам неизвестны, проводить регулярный аудит расширений, а также хранить криптоключи вне браузера.

LunaSpy: шпион под прикрытием «антивируса» атакует Android-устройства

Специалисты из лаборатории «Kaspersky» обнаружили мобильный шпион «LunaSpy» который маскируется под антивирусное приложение, чтобы скрытно собирать данные пользователей. После установки происходит сбор файлов, фото, контактной информации и переписки без явного уведомления. Приложение также может активировать запись голосовых сообщений и звонков. Эта активность обнаружена на устройствах Android и подтверждена Kaspersky. «LunaSpy» распространялся через сторонние магазины приложений, не Google Play. 

Рекомендуется устанавливать приложения только из проверенных источников и регулярно проверять какие разрешения запрашивает приложение, доступ к микрофону, сообщениям, файлам и экрану. 

Новый EDR-киллер используется восьмью группами вымогателей

Специалисты из компании «Sophos» обнаружили новый инструмент, позволяющий отключать EDR (Endpoint Detection and Response) на целевых системах, что широко используется восьмью крупными группами «ransomware». Инструмент работает путем манипуляции легитимными процессами и сервисами, оставляя систему уязвимой для дальнейшего шифрования. Он позволяет обойти защиту без использования уязвимостей. Применяется в ходе атак прямо перед шифрованием данных, что существенно увеличивает эффективность вымогательских атак. 

Рекомендуется убедиться, что EDR и антивирус всегда работают под высокими привилегиями и защищены от отключения в ходе атаки, а также включит мониторинг отключение EDR.

Производитель SonicWall подтвердил патч для эксплуатируемой уязвимости

Компания «SonicWall» подтвердила, что всплеск атак на SSL VPN-устройства связан с давно известной уязвимостью CVE-2024-40766 (CVSS: 9.3), а не с новой zero-day. Атаки были вызваны повторным использованием паролей в момент миграции с Gen 6 на Gen 7. Уязвимость позволяла неавторизованным злоумышленникам получить доступ и даже вызвать сбой системы. «SonicWall» рекомендует обновить прошивку до версии 7.3.0, сбросить локальные пароли, включить MFA и Geo-IP-фильтрацию.

CISA добавляет 3 уязвимости D-Link в каталог KEV

Агентство CISA включило в каталог Known Exploited Vulnerabilities три старых уязвимости в устройствах D-Link (камеры и видеорегистраторы): CVE-2020-25078 (CVSS: 7.5), CVE-2020-25079 (CVSS: 8.8) и CVE-2020-40799 (CVSS: 8.8). Первая позволяет получить администраторский пароль, вторая — выполнить команду через CGI-инъекцию, третья — выполнить код без проверки целостности. Уязвимости активно эксплуатируются, особенно в устаревших версиях камер. Для некоторых моделей (DNR-322L) патчей уже нет из-за окончания поддержки. Рекомендуется обновить прошивку устройств или замените устаревшие модели на поддерживаемые и безопасные.