Новый метод сохранения вредоносного ПО на серверах Magento
Компания Sansec обнаружила в базе данных шаблон макета, который использовался для автоматического внедрения вредоносного ПО Interceptor.php. Злоумышленники используют парсер макетов Magento и пакет beberlei/assert для выполнения команд через Checkout Cart, что приводит к удаленному выполнению кода, а также дает возможность использовать POST-запрос команды /cms/index. Данный метод взлома связан с недавно обнаруженной уязвимостью CVE-2024-20720 (CVSS: 9.1). Пользователям рекомендуется обновить Magento до версии 2.4.6-p4, 2.4.5-p6 или 2.4.4-p7.
Фишинговые письма от Google
Специалисты компании F.A.C.C.T. обнаружили новую мошенническую схему в России, которая позволяет злоумышленникам отправлять фишинговые письма от имени Google. Помимо того, что домен отправителя google.com, электронная почта имеет механизмы, такие как SPF и DKIM, которые позволяют установить подлинность письма. Злоумышленники используют инструмент Google Looker Studio для создания фишинговых писем, более того, маршрут письма подтверждает, что его первоисточником был именно сервер компании Google. Однако ссылка в теле письма ведет на Google-презентацию, которая содержит только один слайд и является ссылкой на мошеннический ресурс. Рекомендуется быть более бдительными, даже когда источник письма не вызывает никаких сомнений.
Критическая уязвимость в библиотеке Rust
Группа по реагированию компании Rust была уведомлена о критической уязвимости CVE-2024-24576 (CVSS: 10.0) в стандартной библиотеке Rust, которая затрагивает версии до 1.77.2. Уязвимость позволяет злоумышленникам выполнять произвольные команды оболочки, обходя механизмы экранирования при вызове пакетных файлов (с расширениями bat и cmd) в Windows с помощью Command. Хотя API Command::arg и Command::args были разработаны для безопасной передачи аргументов, cmd.exe имеет свою собственную логику разделения аргументов. Для решения проблемы специалисты повысили надежность экранирующего кода и изменили API Command так, чтобы он возвращал ошибку Invalidinput в случае невозможности безопасно экранировать аргумент. Исправление включено в версию Rust 1.77.2, однако новая логика экранирования может отклонять допустимые аргументы. Поэтому пользователи, которые обрабатывают доверенные входные данные или реализуют свою собственную логику экранирования, могут использовать метод CommandExt::raw_arg.
Новая техника обмана разработчиков GitHub
Компания Checkmarx сообщила о новой технике атаки на цепочку поставок открытого программного обеспечения. Злоумышленники используют тщательно созданные репозитории для распространения вредоносных программ и манипулируют функциями поиска GitHub, чтобы занимать высокие позиции в результатах поиска ПО. Вредоносный код скрывается в файлах проекта Visual Studio (.csproj или .vcxproj), чтобы избежать обнаружения, и автоматически запускается при сборке проекта. Также обнаружили, что в некоторые репозитории злоумышленники загружают зашифрованный файл «.7z» с исполняемым файлом «feedbackAPI.exe», размером размером 750 МБ. В конечном итоге запускается вредоносное ПО, которое заменяет адреса кошельков криптовалют на адреса атакующих. Рекомендуется не опираться только лишь на репутацию репозитория, а также крайне тщательно проверять исходный код при его скачивании.
Новая группировка Muliaka атакует российские компании
Специалисты F.A.C.C.T. обнаружили новую преступную группировку вымогателей Muliaka. Злоумышленники используют программу-вымогатель, которая осуществляет многопоточное шифрование файлов на всех логических дисках компьютера. В файлах объемом менее 5 Мб шифруется начальная часть, файлы более 5 Мб шифруются блоками. В последней модификации Muliaka предусмотрен отдельный режим для файлов виртуальных машин и баз данных. Для обхода средств защиты программа-вымогатель Muliaka для Windows запускается в качестве полезной нагрузки программы-загрузчика, разработанной на языке программирования Rust. Шифрование данных осуществляется с помощью потокового алгоритма AES-256 CTR, сгенерированные данные для получения ключа AES шифруются публичным ключом RSA-2048. Программа для ESXi, как и версия для Windows, предполагает шифрование файлов в два прохода. Рекомендуется обновлять используемое ПО, а также быть внимательным к подозрительным процессам на компьютере.