Компания «Доктор Веб» обнаружила модификацию бэкдора Android.Pandora
Выявленное специалистами «Доктор Веб» ПО Android.Pandora2 является модификацией бэкдора Adnroid.Pandora10, которое распространяется под видом прошивки или приложения для просмотра пиратских фильмов и телепередач. После закрепления и установки в системе бэкдор получает адрес управляющего сервера, подменяет файл hosts и запускает процесс самообновления, после чего устройство используется в различных сетевых атаках. Компания «Доктор Веб» рекомендует обновлять ОС до последних доступных версий и скачивать ПО только из проверенных источников.
Google выпустила обновление для Android с исправлением критичных уязвимостей
В рамках ежемесячного бюллетеня по безопасности Google рассказала об исправлении активно эксплуатируемой уязвимости нулевого дня CVE-2023-35674 в Android Framework. Также обновление безопасности устраняет три критические ошибки в Android System и одну в компоненте от Qualcomm, которые могли привести к удаленному выполнению кода без дополнительных привилегий и взаимодействия с пользователем.
В Apache Superset обнаружены две новые RCE-уязвимости
Исследователи Horizon3 выпустили подробный отчет о найденных уязвимостях в популярном инструменте для исследования и визуализации данных Apache Superset. Superset позволяет привилегированным пользователям подключаться к базе данных и отправлять произвольные SQL-запросы. Пользуясь этим, злоумышленники заставляют подключиться к собственной базе метаданных, что позволяет удаленно выполнять произвольный код, собирать учетные данные и проникать в систему. Специалисты рекомендуют проверить все настройки по умолчанию и обновить ПО до последней версии.
Выявлена фишинговая кампания с распространением нового агента Теслы
Лаборатория FortiGuard зафиксировала фишинговую кампанию, направленную на распространение нового варианта агента Теслы. В статье представлен углубленный анализ от первоначального фишингового письма с зараженным документом Excel до сбора конфиденциальной информации с зараженного устройства. При открытии прикрепленного документа выполняется код, который приводит к повреждению памяти процесса EQNEDT32.EXE, что вызывает уязвимость CVE-2017-11882/CVE-2018-0802. После этого загружается файл с модулями агента Тесла. Кража конфиденциальных данных происходит путем отправки электронного письма на почту злоумышленника. Для защиты от данного типа угроз специалисты рекомендуют своевременно производить обновления, а также регулярно проводить мероприятия по повышению осведомленности сотрудников в части противодействия фишингу.
RedEyes (ScarCruft) теперь распространяется в формате LNK
Центр реагирования на чрезвычайные ситуации ASEC подтвердил, что ранее известное ВПО, которое распространялось в формате CHM, теперь распространяется в формате LNK. Злоумышленник распространяет файл на различных ресурсах, загружая его вместе с вредоносным ПО в сжатом виде. При запуске lnk-файла он создает и выполняет документ «Status Survey Table.xlsx» и вредоносный скрипт «PMmVvG56FLC9y.bat» в папке Temp. После запуска bat-файла он копируется в appdata\Microsoft\Protect как UserProfileSafeBackup.bat и закрепляется в реестре RunOnce, и уже после устанавливается соединение с C2-сервером.